- •Задачи и методы защиты информации от нсд Компьютерные системы зи
- •Методы защиты информации
- •Идентификация и аутентификация пользователей
- •Ограничение доступа на вход в систему
- •Разграничение доступа
- •Регистрация событий (аудит)
- •Контроль целостности
- •Управление политикой безопасности
- •Уничтожение остаточной информации
- •Защита программ от несанкционированного копирования
- •Методы, затрудняющие считывание скопированной информации
- •Методы, препятствующие использованию скопированной информации
- •Основные функции средств защиты от копирования
- •Основные методы защиты от копирования Криптографические методы
- •Метод привязки к идентификатору
- •Методы, основанные на работа с переходами и стеком
- •Манипуляции с кодом программы
- •Методы противодействия динамическим способам снятия защиты программ от копирования
- •Межсетевые экраны (мэ)
- •Развитие технологий мэ
- •Фильтрация пакетов
- •Трансляция сетевых адресов
- •Процесс фильтрации пакетов
- •Межсетевые экраны уровня соединения
- •Межсетевые экраны прикладного уровня.
- •Межсетевые экраны прикладного уровня
- •Межсетевой экран с динамической фильтрацией пакетов
- •Межсетевые экраны и инспекции состояния
- •Персональные межсетевые экраны
- •Распределенные межсетевые экраны
- •Обход мэ
- •Постепенный подход
- •Туннелирование
- •Несущий протокол
- •Протокол-пассажир
- •Протокол инкапсуляции
- •Требования и показатели защищенности межсетевых экранов
Персональные межсетевые экраны
Рассмотренные виды межсетевых экранов дорогостоящими и сложными, поэтому для защиты компьютеров отдельных пользователей стали разрабатываться персональные межсетевые экраны.
Персональные межсетевые экраны (встроенные) являются программными продуктами, которые располагаются внутри компьютера на низшем уровне ОС (между сетевыми платами и всеми протокольными стеками – TCP/IP, IPx…)
Персональные межсетевые экраны обычно выполняют следующие защитные функции:
-
защита от внешних атак
-
защита от атак со стороны данного компьютера
Распределенные межсетевые экраны
В самой технологии распределенных межсетевых экранов можно выделить два основных направления:
-
Построение системы распределенных межсетевых экранов , реализующих сложную политику безопасности организации.
-
Построение системы распределенных компонент МЭ, которые реализуют заданную политику безопасности.
При построении распределенной системы межсетевых экранов их функциональные компоненты распределяются по узлам сети и могут обладать различной функциональностью.
При обнаружении подозрительных на атаку признаков управляющие модули распределенного межсетевого экрана могут адаптивно изменять конфигурацию, состав и расположение компонентов.
Обход мэ
Поскольку МЭ является первым элементом защиты, то на них сосредоточены основные усилия атакующих при проведение атак на корпоративные сети.
Можно выделить 2 основных подход:
- (firewalking)
- туннелированние
Постепенный подход
Под постепенным подходом понимается методика сбора информации о защите сети межсетевым экраном.
Этот метод использует посылку и анализ сетевых пакетов подобно утилите Trace route для определения возможности определенного пакета пройти на хост назначение через устройство фильтрации пакетов.
Метод позволяет определить открытые порты для данного устройства, определить возможность прохождения пакетов различных служб через данный порт.
Утилита Trace Route предназначена для перечисления всех хостов на маршруте к цели. Она посылает на хост назначения UDP или ICMP пакеты, в которых постепенно увеличивается значение поля TTL, после каждого удачного шага.
Если используется пакет UDP, то номер порта назначения увеличивается на единицу с каждой пробой. При получении пакета с TTL=0 маршрутизатор удаляет пакет; посылает на хост инициатор ICMP Error Message. Это позволяет хосту инициатору узнать на каком маршрутизаторе пакет удален, чтобы удостоверится, что получен ответ от хоста-назначения утилита Trace Route посылает следующий UDP пакет на порт с большим номером, который вероятней всего не используется приложением.
На основе утилиты Trace Route разработаны средства, позволяющие проводить требуемый анализ. Одним из таких средств является Firewalk. Это средство посылает UDP и TCP с TTL , значение которого на единицу больше целевого шлюза.
Если шлюз пропускает трафик, то пакет проходит на следующее устройство, на котором значение TTL равно нулю. Если шлюз не пропускает данный пакет, то он удаляет его, не посылая никаких сообщений.
Данный подход позволяет определить элементы списка управления доступом шлюза.