- •Правила оформления работы
- •1. Содержание работы
- •2. Содержимое основной части
- •3. Правила оформления текста работы
- •3.1. Иллюстрации
- •3.2. Таблицы
- •3.3. Формулы и уравнения
- •3.4. Ссылки
- •3.5. Перечисления
- •4. Приложения
- •Реферат
- •Содержание
- •Перечень сокращений
- •Введение
- •Проблема удаленных атак
- •1.1. Недостатки семейства протоколов tcp/ip
- •1.2. Удаленные атаки в Internet
- •2. Средства защиты от удаленных атак
- •2.1. Программно-аппаратные методы защиты
- •2.1.1. Межсетевые экраны
- •2.1.2. Программные методы защиты
- •2.1.2.1. Протокол skip
- •2.1.2.2. Протокол s-http
- •2.1.2.3. Протокол ssl
- •2.2. Сетевые мониторы безопасности
- •3. Систематизация удаленных атак
- •3.1. Обзор существующих классификаций
- •3.2. Построение классификации удаленных атак
- •3.3. Разработка метода обнаружения удаленных атак
- •Заключение
- •Список использованных источников
- •Приложение
2. Средства защиты от удаленных атак
В настоящий момент среди средств предотвращения удаленных атак наиболее широкое распространение получили такие системы как межсетевые экраны (МЭ) и сетевые мониторы безопасности. Межсетевой экран предназначен для фильтрации сетевого трафика. Сетевой монитор безопасности – это средство, предназначенное для обнаружения сетевых атак. Лидером в производстве МЭ является компания CISCO, сетевых мониторов безопасности – фирма ISS (Internet Security Systems).
Необходимо заметить, что компания CISCO производит МЭ как отдельное устройство. Существуют также и такие МЭ, которые представляют собой программный продукт, устанавливаемый на обыкновенный компьютер с двумя и более сетевыми картами, одна из которых является внешней. Одним из таких продуктов является FireWall-1 – продукт фирмы Checkpoint. Основным достоинством МЭ является возможность централизованно осуществлять сетевую политику безопасности в защищаемом фрагменте сети.
Сетевые мониторы безопасности предназначены для отслеживания сетевого трафика и выдачи предупреждений при подозрении на осуществлении удаленной атаки или предотвращении удаленной атаки. Наиболее известным сетевым монитором является RealSecure (фирма ISS). Для обнаружения атак используются сигнатуры. В базе данных RealSecure есть следующие виды сигнатур удаленных атак:
-
отказ в обслуживании;
-
попытки несанкционированного доступа;
-
подготовка к атакам;
-
подозрительная активность;
-
подозрительные команды на уровне протоколов.
2.1. Программно-аппаратные методы защиты
К программно-аппаратным средствам обеспечения информационной безопасности в вычислительных сетях можно отнести:
-
аппаратные шифраторы сетевого трафика;
-
МЭ, реализуемый на базе программно-аппаратных средств;
-
криптопротоколы;
-
программно-аппаратные анализаторы сетевого трафика;
-
защищенные сетевые ОС.
Существует огромное количество литературы / /, посвященной этим средствам защиты, предназначенным для использования в Internet.
Кратко рассмотрим особенности данных средств защиты, применяемых в Internet.
2.1.1. Межсетевые экраны
В общем случае МЭ реализует следующие основные три функции:
1. Многоуровневая фильтрация сетевого трафика.
Фильтрация обычно осуществляется на трех уровнях:
-
сетевом (IP);
-
транспортном (TCP, UDP);
-
прикладном (FTP, TELNET, HTTP, SMTP и т. д.).
Фильтрация сетевого трафика является основной функцией систем МЭ и позволяет администратору безопасности сети централизованно осуществлять необходимую сетевую политику безопасности в выделенном сегменте IP-сети, то есть, настроив соответствующим образом МЭ, можно разрешить или запретить пользователям как доступ из внешней сети к соответствующим службам хостов или к хостам, находящихся в защищаемом сегменте, так и доступ пользователей из внутренней сети к соответствующим ресурсам внешней сети. Можно провести аналогию с администратором локальной ОС, который для осуществления политики безопасности в системе назначает необходимым образом соответствующие отношения между субъектами (пользователями) и объектами системы (файлами, например), что позволяет разграничить доступ субъектов системы к ее объектам в соответствии с заданными администратором правами доступа. Те же рассуждения применимы к МЭ-фильтрации: в качестве субъектов взаимодействия будут выступать IP-адреса хостов пользователей, а в качестве объектов, доступ к которым необходимо разграничить, - IP-адреса хостов, используемые транспортные протоколы и службы предоставления удаленного доступа.
2. Proxy-схема с дополнительной идентификацией и аутентификацией пользователей на МЭ-хосте.
Proxy-схема позволяет, во-первых, при доступе к защищенному МЭ сегменту сети осуществить на нем дополнительную идентификацию и аутентификацию удаленного пользователя и, во-вторых, является основой для создания приватных сетей с виртуальными IP-адресами. Смысл proxy-схемы состоит в создании соединения с конечным адресатом через промежуточный proxy-сервер (proxy от англ. полномочный) на хосте МЭ. На этом proxy-сервере и может осуществляться дополнительная идентификация абонента.
3. Создание приватных сетей (Virtual Private Network - VPN) с "виртуальными" IP-адресами.
В том случае, если администратор безопасности сети считает целесообразным скрыть истинную топологию своей внутренней IP-сети, то ему можно порекомендовать использовать системы МЭ для создания приватной сети (VPN-сеть). Хостам в VPN-сети назначаются любые "виртуальные" IP-адреса. Для адресации во внешнюю сеть (через МЭ) необходимо либо использование на хосте МЭ описанных выше proxy-серверов, либо применение специальных систем роутинга (маршрутизации), только через которые и возможна внешняя адресация. Это происходит из-за того, что используемый во внутренней VPN-сети виртуальный IP-адрес не пригоден для внешней адресации (внешняя адресация - это адресация к абонентам, находящимся за пределами VPN-сети). Поэтому proxy-сервер или средство роутинга должно осуществлять связь с абонентами из внешней сети со своего настоящего IP-адреса. Кстати, эта схема удобна в том случае, если вам для создания IP-сети выделили недостаточное количество IP-адресов (в стандарте IPv4 это случается сплошь и рядом, поэтому для создания полноценной IP-сети с использованием proxy-схемы достаточно только одного выделенного IP-адреса для proxy-сервера).
Однако системы МЭ не являются гарантией абсолютной защиты от удаленных атак в сети Internet, так как МЭ лишь запрещают какой-либо вид доступа, но большинство атак имеют другие цели и именно против них МЭ бессильны.
Поэтому применение методики МЭ является необходимым, но недостаточным условием. МЭ – хороший инструмент администрирования и может предотвращать некоторые разновидности сетевых атак (такие как навязывание хосту ложного маршрута с использованием протокола ICMP), но не может полностью обезопасить защищаемую сеть от удаленных атак.