- •Методы и средства защиты информации
- •Оглавление
- •Введение.
- •Понятие информационной безопасности
- •Классификация Угроз иб
- •Сетевая безопасность Эталонная модель взаимодействия открытых систем.
- •Модель osi
- •Стек Протоколов Internet Основы протокола передачи информации tcp/ip
- •Протокол ip
- •Адресация в ip-сетях
- •Протокол icmp
- •Протокол arp
- •Протокол dhcp
- •Протокол tcp
- •Безопасность протокола tcp/ip
- •Безопасность протокола tcp/ip . Классификация сетевых атак и способы их реализации. Методы борьбы с атаками.
- •Защита протоколов прикладного уровня (Telnet, ftp, www-сервера, электронной почты) Telnet
- •Протокол ftp
- •Электронная почта
- •Протокол smtp
- •Протокол рор-3
- •Протокол imap-4
- •Протокол http
- •Аутентификация
- •Вопросы безопасности www
- •Организация защиты информации на основе маршрутизаторов, межсетевых экранов, прокси-серверов. Построение vpn Сетевые адаптеры
- •Концентраторы
- •Коммутатор
- •Маршрутизаторы
- •Прокси-сервер
- •Межсетевой экран
- •Построение виртуальных частных сетей
- •Классификация сетей vpn
- •Криптографические методы защиты информации
- •Симметричные криптоалгоритмы Классификация симметричных криптоалгоритмов:
- •Блочные шифры Сеть Фейштеля
- •Алгоритм des
- •Алгоритм гост 28147-89
- •Методы хеширования
- •Secure Hash Algorithm (sha)
- •Хэш-функция гост 3411
- •Логика выполнения гост 3411
- •Технологии цифровых подписей
- •Алгоритм цифровой подписи rsa
- •Алгоритм цифровой подписи Эль Гамаля (egsa)
- •Отечественный стандарт электронной подписи (гост р 34.10-94)
- •Безопасность операционных систем Методы идентификации и аутентификации пользователей Аутентификация на основе многоразовых паролей.
- •Аутентификация на основе одноразовых паролей
- •Аутентификация на основе биометрических данных
- •Авторизация и управление доступом
- •Механизм реализации доступа
- •Матричная модель доступа
- •Дискреционный доступ (произвольное управление доступом)
- •Полномочный или мандатный доступ
- •Обеспечение безопасности Операционных систем Управление доступом в unix [10,13]
- •Управление доступом в Windows 2000
- •Ролевое управление
- •Защита от вирусов
- •Классификация вирусов
- •Этапы жизненного цикла
- •Методы обнаружения вирусов
- •Обзор антивирусных программ
- •Методы защиты в субд
- •Механизмы разграничения доступа..
- •Методы обеспечения безотказности Классификация методов дублирования информации
- •Зеркальное дублирование
- •Raid технология
- •Магнитные ленты
- •Инженерно-технические средства защиты информации Обнаружение каналов утечки , пассивные и активные методы защиты
- •Пассивные методы защиты включающие в себя:
- •Активные методы защиты
- •1. Анализ физической и логической архитектуры компьютерной системы, а также используемых схем автоматизированной обработки информации:
- •2. Выявление на основе проведенного анализа уязвимых элементов, через которые возможна реализация угроз информации:
- •Законадательная база Механизмы безопасности «Оранжевая книга»
- •Руководящие документы Гостехкомиссии России.
- •Стандарт iso/iec 15408 "Критерии оценки безопасности информационных технологий"
- •Управление рисками Основные понятия и определения
- •Технология анализа и управления рисками. Средства автоматизации оценки информационных рисков.
Маршрутизаторы
Маршрутизатор–устройство, использующее одну и более метрик для определения оптимального пути передачи сетевого трафика на основе информации сетевого уровня.
Функции маршрутизаторов:
обеспечение фильтрации пакетов, в соответствии с информацией, содержащейся в заголовках пакетов сетевого и транспортного уровня (адресами отправителя, получателя, информацией о протоколе, видами приложений источника и получателя)
поддержание сетей с избыточными активными связями, для осуществления резервирования сети;
определение наилучшего маршрута передачи пакетов с возможными минимальными затратами и максимальной надежностью
Рассмотрим работу маршрутизатора:
Дейтограмма, поступивший на порт маршрутизатора освобождается от заголовка физического уровня и передается канальному уровню;
Отбрасывание заголовка канального уровня и передача пакета сетевому уровню;
Извлечение и анализ заголовка сетевого уровня, проверка контрольной суммы, времени жизни, фильтрация пакетов при несовпадении уничтожение пакета.
Если пакет прошел все виды проверок, то маршрутизатором производится определение дальнейшего маршрута. Выбор маршрута продвижения пакета осуществляется путем сбора информации о других маршрутизаторах и узлах в сети, которые заносятся в таблицы маршрутизации, на основании которых затем выбирается наилучший маршрут для каждого конкретного пакета. Таблица маршрутизации включает по крайне мере следующие столбцы:
сетевой адрес назначения;
адрес следующего маршрутизатора;
адрес порта, на который нужно направить пакет;
характеристика пути (пропускная способность канала, отметка времени).
Передача пакета, адреса следующего маршрутизатора (или иного узла), номера выходного порта канальному и физическому уровням.
В качества примера рассмотрим таблицу маршрутизации с тремя интерфейсами:
одним интерфейсом Ethernet (IР-адрес 131.187.2.3)- именуемым ed0,
последовательным портом, подключенным к внешнему модему (IР-адрес 137.175.2.7), для организации связи с сервером в главном офисе именуемым du0;
интерфейсом глобальной сети Frame Relay (IР-адрес 131.187.2.2) именуемым tt0.
Для локальной сети оператор выделил блок адресов класса С в диапазоне от 199.18.210.1 до 199.18.210.254. Все пакеты, посылаемые в сеть офиса через модем направляются маршрутизатором на последовательный порт –первая запись таблицы. Все пакеты, предназначенные для локальной сети, направляются на интерфейс Ethernet с адресом 199.18.210.1. Флаг U (Up) означает, что соединение активно, а флаг G (Gateway) означает, что маршрутизатор действительно является шлюзом в другую сеть, в то время как флаг Н (Host) означает, что маршрутизатор подключен к конечному адресату. Адрес 127.0.0.1 является так называемым петлевым адресом, и он используется маршрутизатором для обращения к самому себе. Последняя строка таблицы является маршрутом по умолчанию.
Таблица***1. Пример таблицы маршрутизации
|
Получатель |
Шлюз |
Флаг |
Интерфейс |
|
137.175.2.7 |
199.18.210.1 |
UH |
du0 |
|
199.18.210.3 |
199.18.210.1 |
UG |
eu0 |
|
127.0.0.1 |
127.0.0.1 |
UH |
lo0 |
|
default |
137.187.2.3 |
UG |
tt0 |
При поступлении очередного пакета маршрутизатор помещает его в буфер. При этом маршрутизаторы имеют несколько буферов для организации очередей каждой выходной линии, по одной для каждого отправителя. Когда линия освобождается, маршрутизатор берет пакет из следующей по кругу очереди. Некоторые алгоритмы позволяют устанавливать приоритет тем или иным очередям.
Проблемы маршрутизаторов
правила фильтрации пакетов сложно формулируются и обычно отсутствуют средства для тестирования их корректности (кроме ручного тестирования);
исключения из правил фильтрации, для разрешения определенных видов доступа, делают правила неконтролируемыми;
Маршрутизаторы более чем двумя интерфейсами иногда не имеют возможностей по фильтрации пакетов в зависимости от того, с какого интерфейса приняты пакеты и куда должны быть направлены. Фильтрация входящих и исходящих пакетов упрощает правила фильтрации пакетов и позволяет маршрутизатору легко определить, какой IP-адрес настоящий, а какой – фальшивый. Маршрутизаторы без такой возможности затрудняют реализацию стратегий фильтрации.