- •Методы и средства защиты информации
- •Оглавление
- •Введение.
- •Понятие информационной безопасности
- •Классификация Угроз иб
- •Сетевая безопасность Эталонная модель взаимодействия открытых систем.
- •Модель osi
- •Стек Протоколов Internet Основы протокола передачи информации tcp/ip
- •Протокол ip
- •Адресация в ip-сетях
- •Протокол icmp
- •Протокол arp
- •Протокол dhcp
- •Протокол tcp
- •Безопасность протокола tcp/ip
- •Безопасность протокола tcp/ip . Классификация сетевых атак и способы их реализации. Методы борьбы с атаками.
- •Защита протоколов прикладного уровня (Telnet, ftp, www-сервера, электронной почты) Telnet
- •Протокол ftp
- •Электронная почта
- •Протокол smtp
- •Протокол рор-3
- •Протокол imap-4
- •Протокол http
- •Аутентификация
- •Вопросы безопасности www
- •Организация защиты информации на основе маршрутизаторов, межсетевых экранов, прокси-серверов. Построение vpn Сетевые адаптеры
- •Концентраторы
- •Коммутатор
- •Маршрутизаторы
- •Прокси-сервер
- •Межсетевой экран
- •Построение виртуальных частных сетей
- •Классификация сетей vpn
- •Криптографические методы защиты информации
- •Симметричные криптоалгоритмы Классификация симметричных криптоалгоритмов:
- •Блочные шифры Сеть Фейштеля
- •Алгоритм des
- •Алгоритм гост 28147-89
- •Методы хеширования
- •Secure Hash Algorithm (sha)
- •Хэш-функция гост 3411
- •Логика выполнения гост 3411
- •Технологии цифровых подписей
- •Алгоритм цифровой подписи rsa
- •Алгоритм цифровой подписи Эль Гамаля (egsa)
- •Отечественный стандарт электронной подписи (гост р 34.10-94)
- •Безопасность операционных систем Методы идентификации и аутентификации пользователей Аутентификация на основе многоразовых паролей.
- •Аутентификация на основе одноразовых паролей
- •Аутентификация на основе биометрических данных
- •Авторизация и управление доступом
- •Механизм реализации доступа
- •Матричная модель доступа
- •Дискреционный доступ (произвольное управление доступом)
- •Полномочный или мандатный доступ
- •Обеспечение безопасности Операционных систем Управление доступом в unix [10,13]
- •Управление доступом в Windows 2000
- •Ролевое управление
- •Защита от вирусов
- •Классификация вирусов
- •Этапы жизненного цикла
- •Методы обнаружения вирусов
- •Обзор антивирусных программ
- •Методы защиты в субд
- •Механизмы разграничения доступа..
- •Методы обеспечения безотказности Классификация методов дублирования информации
- •Зеркальное дублирование
- •Raid технология
- •Магнитные ленты
- •Инженерно-технические средства защиты информации Обнаружение каналов утечки , пассивные и активные методы защиты
- •Пассивные методы защиты включающие в себя:
- •Активные методы защиты
- •1. Анализ физической и логической архитектуры компьютерной системы, а также используемых схем автоматизированной обработки информации:
- •2. Выявление на основе проведенного анализа уязвимых элементов, через которые возможна реализация угроз информации:
- •Законадательная база Механизмы безопасности «Оранжевая книга»
- •Руководящие документы Гостехкомиссии России.
- •Стандарт iso/iec 15408 "Критерии оценки безопасности информационных технологий"
- •Управление рисками Основные понятия и определения
- •Технология анализа и управления рисками. Средства автоматизации оценки информационных рисков.
Адресация в ip-сетях
Для нахождения дейтограммой адресата в стеке TCP/IP существует маршрутизация с помощью IP-адресов, которая использует 3 типа адресов:
локальные (аппаратные)- тип адреса используемого средствами базовой технологии для доставки кадров в пределах подсети (например, MAC-адрес, назначенный сетевому адаптеру)
IP-адрес- уникальный 32-битный идентификатор на основании которого сетевой уровень осуществляет передачу между сетями. Имеет длину 4 байта, в виде 4 чисел представляющих значение каждого байта в десятичной форме, разделенных точкой и состоящий из номера сети и номера узла. Существует 5 классов сети. В первых 3 битах номера сети определяется, к какому из классов относится данная сеть, какая часть адреса относиться к номеру сети, а какая к номеру узла.
Класс А- к данному классу относят большие сети.
Старший бит адреса равен 0. Под номер сети отводиться 1 байт, остальные 3 занимает номер узла. Количество сетей класса А – 27. Количество узлов -2 24 .
|
0 |
№ сети |
№ узла |
|
1 байт |
3 байт | |
Класс В- к данному классу относят средние сети.
Значение двух старших бит адреса равно 10. Под номер сети отводиться 2 байта, остальные 2 занимает номер узла. Количество сетей класса В – 214. Количество узлов -216 .
|
1 |
0 |
№ сети |
№ узла |
|
2 байта |
2 байта | ||
Класс С- наиболее распространенные сети.
Значение трех старших бит адреса равно 110. Под номер сети отводиться 3 байта, 1 байт занимает номер узла. Количество сетей класса С – 221. Количество узлов -28 .
|
1 |
1 |
0 |
№ сети |
№ узла |
|
3 байта |
1 байта | |||
Класс D- особый зарезервированный класс, некоторые адреса которого используются для групповой рассылки. Значение первых четырех бит адреса равно 1110.
|
1 |
1 |
1 |
0 |
№ узла |
Класс E- адреса данного класса в настоящее время не применяются и зарезервированы для будущих применений. Значение первых четырех бит адреса равно 1110.
|
1 |
1 |
1 |
1 |
0 |
Зарезервировано |
Примечание. Наличие только нулей в номере узла IP-адреса обозначает собственно сеть, наличие только единиц – адрес широковещательной рассылки (то есть все дейтограммы будут получены всеми узлами сети). Например, адрес 194.124.84.255 будет разослан всем узлам сети 194.124.84.0 на 254 возможных адреса. Однако широковещательный IP-адрес имеет пределы распространения ограниченные либо сетью, к которой принадлежит источник, либо сетью номер которой указан в адресе назначения.
символьные доменные –уникальное символьное обозначение адреса компьютера в сети, несущее полезную информацию об его местонахождении. Составляющие полного символьного имени в IP сетях разделены точкой и перечислены в следующем порядке: простое имя конечного узла, имя группы узлов и так до самого высокого уровня. Такое разделение имени на части позволяет решить проблему образования уникальных имен. Совокупность имен, с совпадающими старшими частями образуют домен, например www.rambler.ru и www.yandex.ru входят в доме ru, обозначающий домен Россия. Компьютеры, входящие в домен могут иметь совершенно различные IP-адреса, принадлежащие к различным сетям и подсетям. Соответствие между доменными именами и IP-адресами устанавливает специальная служба – система доменных имен DNS. Для каждого домена имен создается свой DNS- сервер, хранящий таблицы отображений доменное имя-IP-адрес.
Бесклассовая модель
Применение классового разделения сетей не всегда используется на практике. Поэтому широкое распространение получил признак разделения номера сети и номера узла, называемое маска. Маска-это 32 битное число, прилагающееся к IP-адресу, содержащее единицы в тех разрядах, которые должны в IP-адресе интерпретироваться как номер сети.
Маршрутизация с помощью IP-адресов
При продвижении по сети дейтаграмма передается от одного сетевого устройства к другому, в зависимости от адреса назначения. При получении очередного кадра маршрутизатор или узел:
Извлекает из заголовка дейтаграммы адрес получателя;
Осуществляется выбор маршрута из нескольких возможных на основании:
информации о текущей конфигурации сети;
указанного критерия выбора маршрута (задержка прохождения пути пакетом, средняя пропускная способность, число пройденных маршрутизаторов, прогнозируемое суммарное время пересылки, стоимость канала связи);
таблиц маршрутизации.
Для этого маршрутизатор последовательно сравнивает номер сети извлеченный из заголовка дейтаграммы, с номерами сетей из каждой строки своей таблицы, представленной на рис. В случае совпадения пакет будет направлен на указанный порт маршрутизатора. Если в таблице маршрутизации имеется несколько строк, соответствующих одному и тому же адресу сети, то принимается во внимание критерий выбора маршрута. Это так же позволяет передавать данные к этому узлу параллельно, по нескольким каналам связи, что повышает пропускную способность и надежность сети. В случае если запись с необходимым маршрутизатором отсутствует, то используется специальная запись в таблице «маршрутизатор по умолчанию» (default) см табл***1.
Конечный узел, как и маршрутизатор, имеет в своем распоряжении таблицу маршрутов унифицированного формата и на основании ее данных принимает решение, какому маршрутизатору нужно передавать пакет. Решение о маршрутизации конечным узлом принимается в случае, если имеется нескольких маршрутизаторов в локальной сети.
Отсылает пакет по выбранному маршруту.
Классификация алгоритмов и протоколов маршрутизации
|
Классификация |
Описание | |
|
По степени гибкости и сходимости
|
неадаптивные (статические) |
адаптивные (динамические) |
|
выбор маршрутов осуществляют заранее и прописывают их вручную в таблицу маршрутизации, где хранится информация о том, на какой интерфейс отправить пакет с соответствующей адресной информацией. Недостаток:наличие нескольких маршрутов к одним и тем же информационным ресурсам является фактором повышения надежности, в случае отказа того или иного узла. Однако, в этом случае маршруты из таблицы приходится удалять и вносить новые, что достаточно проблематично при частых отказах. Целесообразно использовать данные протоколы только в простых и небольших сетях, где трафик является предсказуемым.
|
таблица маршрутизации меняется автоматически при изменении топологии сети или трафика в ней. Существуют 2 типа протокола динамической маршрутизации:
| |
|
По количеству одновременно поддерживаемых маршрутов к одному пункту назначения |
одномаршрутными |
многомаршрутными |
|
Для каждого адресата задан один маршрут. Используются в сетях с простой топологией связей или магистралей крупных сетей, имеющих простую структуру |
Осуществляют мультиплексную передачу трафика сразу по нескольким каналам, что ускоряет передачу и увеличивает пропускную способность. К данным протоколам относят OSPF, ISIS | |
|
По способу организации маршрутизаторов
|
одноуровневая организация |
иерархическая организация |
|
предполагает равенство всех маршрутизаторов по отношению друг к другу. Примером протокола является протокол RIP
|
маршрутизаторы разделяются по уровням. Вводятся два уровня маршрутизации — верхний и нижний. К нижнему уровню относятся маршрутизаторы отдельных областей сети, а к верхнему — маршрутизаторы межобластной связи. Передачу пакетов в пределах одной сетевой области обеспечивают маршрутизаторы нижнего уровня.. Передача пакетов в другую область осуществляется маршрутизаторами нижнего уровня маршрутизаторам верхнего, которые доставляют пакеты в требуемую область, далее маршрутизаторам нижнего уровня. Алгоритмы иерархической организации реализованы в протоколах OSPF, IS-IS, NLSP. | |
|
По способу получения маршрутной информации |
алгоритмы вектора расстояния |
алгоритмы состояния канала |
|
Каждый маршрутизатор периодически рассылает копию своей таблицы маршрутизации. Соседние маршрутизаторы сверяя полученные данные со своими вносят необходимые изменения. Данные алгоритмы просты в реализации, но плохо работают в больших сетях. Используется в протоколах RIP, IGRP и др. |
Маршрутизатор собирает информацию о своих непосредственных соседях, определяя текущие состояния соединяющих его с ними каналов связи. Для этого маршрутизатор осуществляет широковещательную рассылку списка непосредственно подключенных к нему маршрутизаторов и локальных сетей, а также сведений о состоянии его каналов связи в случае каких либо изменений в своих каналах связи, по запросам других маршрутизаторов и по истечении заданного периода времени. Алгоритмы состояния канала меньше склонны к образованию петель маршрутизации и оптимальны для больших сетей. Недостатками алгоритма является сложность реализации, высокие требования к производительности процессора и объему оперативной памяти. Алгоритмы состояния канала лежат в основе протоколов OSPF, IS-IS, NLSP, EIGRP .
| |