- •1, 8. Физическая защита информационных систем.
- •2. Защита процессов, процедур и программ.
- •3)Защита каналов связи
- •4. Защита от пэмин
- •5. Этапы создания систем защиты информации.
- •6. Угрозы, виды угроз и дифференциация угроз
- •7. Методы проведения оценки уязвимости и рисков информационных систем.
- •9. Разрушение информационных систем с помощью вредоносных программ.
- •Файловые вирусы
- •Загрузочные вирусы
- •Макровирусы
- •Скрипт-вирусы
- •Особенности алгоритмов работы вирусов
- •Резидентные вирусы
- •Стелс-вирусы
- •Полиморфик-вирусы
- •10. Признаки комплексных преступлений и злоупотреблений
- •Информационная безопасность
- •13,Безопасность глобальных сетевых технологий и методы информационного воздействия на глобальные информационные сети.
- •14. Методы несанкционированного доступа в локальные сети
- •15. Троянские кони, люки и технология салями
- •16. Положение о защите информации
- •17. Аутентификаторы и системы аутентификации.
- •Сервер аутентификации Kerberos
- •Идентификация/аутентификация с помощью биометрических данных
- •18. Положение по парольной защите
- •19. Системные журналы и ведение системных журналов
- •20. Комплекс документации на информационные системы
- •21. Пожароохранные системы
- •22. Охранное телевидение, охранное освещение, ограждение и физическая изоляция.
- •23. Аппаратные средства защиты информации
- •24. Программные средства защиты информации
- •25. Сканеры сети
- •26. Технология работы электронной подписи. Контрольные суммы
- •Контроль crc
- •Алгоритмы хэширования
- •Цифровая подпись и криптосистемы с ключом общего пользования
- •27. Биометрия. Технологии создания защищенных систем с помощью биометрии.
- •28. Требования по защите ис и классы защиты ис
- •29. Аутентификаторы и методы аутентификации
- •30. Межсетевые экраны и методы создания защищенных систем включающих межсетевые экраны. Классы защищенности мсэ.
- •31. Электронная почта и методы защиты почтовых сообщений
- •32. Методы и средства защиты от несанкционированного доступа
- •33. Организация безопасного удаленного доступа
- •34. Протоколы ppp, smtp, ftp и методы создания защищенного обмена
34. Протоколы ppp, smtp, ftp и методы создания защищенного обмена
PPP (Point-to-Point Protocol) - это стандарт по передаче IP-пакетов по последовательным линиям.
Аутентификация на основе протокола PPP - это популярное средство инкапсуляции (упаковки), которое часто используется в глобальных сетях. В его состав входят три основных компонента:
метод инкапсуляции дейтаграмм в последовательных каналах;
протокол Link Control Protocol (LCP), который используется для установления, конфигурирования и тестирования связи;
семейство протоколов Network Control Protocols (NCP) для установки и конфигурирования различных протоколов сетевого уровня.
Чтобы установить прямую связь между двумя точками по каналу PPP, каждая из этих точек должна сначала отправить пакеты LCP для конфигурирования связи на этапе ее установления. После установления связи, прежде чем перейти к этапу работы на протоколах сетевого уровня, протокол PPP дает (при необходимости) возможность провести аутентификацию.
По умолчанию аутентификация является необязательным этапом. В случае если аутентификация требуется, в момент установления связи система указывает дополнительную конфигурацию протоколов аутентификации. Эти протоколы используются в основном центральными компьютерами и маршрутизаторами, которые связаны с сервером PPP через коммутируемые каналы или линии телефонной связи, а возможно, и через выделенные каналы. Во время согласования на сетевом уровне сервер может выбрать опцию аутентификации центрального компьютера или маршрутизатора.
Протоколы EAP и CHAP представляют собой два метода аутентификации протокола PPP. EAP - это общий протокол аутентификации PPP, который поддерживает множество идентификационных механизмов. Этот протокол находится в процессе доработки, и в будущем он сможет поддерживать более современные механизмы в рамках аутентификации PPP. Аутентификация происходит после согласования LCP и до согласования IP Control Protocol (IPCP), в ходе которого происходит обмен адресами IP. Этот процесс аутентификации проходит в автоматическом режиме и не требует от пользователей ввода в компьютер каких-либо данных при подключении PPP. Часто аутентификация РАР или CHAP занимает место переговорного сценария, который отвечает на запросы о вводе сетевого имени пользователя (login) и пароля. CHAP поддерживает более высокий уровень безопасности, поскольку не передает реальный пароль по каналу PPP. Однако РАР используется чаще.
SMTP (англ. Simple Mail Transfer Protocol — простой протокол передачи почты) — это сетевой протокол, предназначенный для передачи электронной почты в сетях TCP/IP.
ESMTP (англ. Extended SMTP) — масштабируемое расширение протокола SMTP. В настоящее время под «протоколом SMTP», как правило, подразумевают ESMTP и его расширения.
Изначально SMTP не поддерживал единой схемы авторизации. В результате этого спам стал практически неразрешимой проблемой, так как было невозможно определить, кто на самом деле является отправителем сообщения — фактически можно отправить письмо от имени любого человека. В настоящее время производятся попытки решить эту проблему при помощи спецификаций SPF, Sender ID, DKIM. Единой спецификации на настоящий момент не существует.
Контроль доступа
Вкладка Access (Доступ) позволяет настраивать четыре основных параметра, используемых для предотвращения несанкционированного использования SMTP-сервера и для обеспечения безопасности входящих подключений (см. рис. 10.13).
Контроль доступа.
Безопасное соединение.
Контроль подключения.
Ограничения ретрансляции.
Аутентификация.
Включите обязательную аутентификацию клиентов и серверов перед получением доступа к службам SMTP. Для настройки аутентификации входящих подключений SMTP-службы имеются три параметра: Anonymous (Анонимная), Basic (Базовая) и Windows security services (Службы безопасности Windows). Параметром по умолчанию является Anonymous Access (Анонимный доступ), используемый клиентами интернета и не требующий ввода имени пользователя и пароля. Этот параметр необходим для реализации интернет-сервера, выполняющего функции главного почтового сервера. Базовая аутентификация требует от клиента отправки корректных имени пользователя и пароля, которые проверяются в домене, указанном в поле Default Domain (Домен по умолчанию). Как и в базовой системе аутентификации в IIS, пароль передается в открытом виде, однако здесь можно применить шифрование TLS (Transport Layer Security). TLS требует наличия соответствующего сертификата сервера, так же как и SSL. Параметр Windows Security Package (Пакет безопасности Windows) не требует непосредственной отправки паролей, так как он использует интерфейс Windows 2000 Security Support Provider Interface (SSPI) для выполнения Win2K-аутентификации переданных имен пользователей и паролей (Kerberos или NTLM). Почтовые клиенты типа Microsoft Outlook Express не требуют поддержки данного метода аутентификации.
Безопасное соединение.
Можно обеспечить шифрование входящих данных посредством включения обязательного использования TLS при обмене между серверами. Компьютеры клиентов будут использовать TLS для отправки зашифрованных сообщений, которые дешифровываются службой SMTP. Можно повысить надежность соединений посредством использования 128-битного шифрования (по умолчанию используется 40-битное), если серверы, требующие подключения к серверу, также используют 128-битное шифрование.
Контроль подключения.
Можно ограничить доступ к SMTP-серверу, указав IP-адрес удаленного компьютера или доменное имя DNS. Данные параметры следует настроить так же, как и службу FTP. Обратитесь к нижеприведенной "Проблеме", чтобы узнать, как с помощью контроля подключения защитить сервер Microsoft Exchange.
Ограничения ретрансляции.
Если служба SMTP принимает сообщение для удаленного домена, то она перенаправляет его на указанный конечный домен. SMTP-серверы, принимающие и перенаправляющие сообщения на непроверенные почтовые домены, называются открытыми ретрансляторами почты. Спаммеры (пользователи, занимающиеся нелегальной массовой рассылкой) используют открытые ретрансляторы для отправки тысяч нелегальных сообщений, вызывая перегрузку сервера и получение нежелательной почты. Открытый ретранслятор используется хакерами для реализации атаки на другой сайт через отправку большого количества электронных сообщений. В этом случае все выглядит так, словно нелегальная почта отправлена с сервера с открытой ретрансляцией, поэтому компании, обеспечивающей работу этого сервера, могут быть предъявлены обвинения в рассылке спама или в выполнении атак на отказ в обслуживании. Это приводит к потере репутации и другим нежелательным последствиям, так как многие организации блокируют серверы, от которых исходят нелегальные массовые рассылки. Необходимо настроить SMTP-сервер на контроль и блокировку сторонних почтовых ретрансляторов; в противном случае любой пользователь сможет отправлять сообщения на сервер, который, в свою очередь, осуществит их обработку и доставку. По умолчанию служба SMTP настроена на прием только тех входящих сообщений, которые направлены на локальные домены, расположенные на самом сервере.
Если возникнет необходимость в перенаправлении сообщений, вызванная особенностями вашего бизнеса, можно указать исключения двумя способами. Первый способ – указание исключений при помощи IP-адресов или доменных имен DNS компьютеров, которым перенаправляются сообщения. Второй способ – указание удаленных доменов, на которые перенаправляется поступающая почта, если соответствующий домен является пунктом назначения того или иного сообщения независимо от исходного IP-адреса или имени домена DNS.
Ограничение размера сообщения и сеанса.
Лимит размера сообщения представляет собой предельный размер получаемого SMTP-службой сообщения, этот параметр не является принудительным. При подключении SMTP-клиента или сервера к IIS предел размера сообщения передается удаленному компьютеру через команду Size. Однако IIS принимает и обрабатывает сообщения, большие по размеру, чем полученное предельное значение.
Максимальный сеансовый размер является принудительным значением, и, если удаленная SMTP-система отправляет сообщение большего размера, IIS закрывает соединение и обрывает сообщение в процессе передачи. Будьте внимательны при установке этого параметра, так как удаленная система, скорее всего, повторно отправит сообщение при следующем соединении, что вызовет цикл, повторяющийся до достижения предельного числа повторных попыток.
Ограничение сообщений и получателей.
Несмотря на то, что параметры Limit Number of Messages Per Connection (Ограничить число сообщений за сеанс) и Limit Number of Recipients per Message (Ограничить число получателей сообщения), по всей видимости, предотвращают злоупотребление SMTP-сервером, они лишь контролируют процесс доставки сообщений. Максимальное число получателей одного сообщения не предотвращает отправку SMTP-клиентом сообщения с большим количеством адресатов, чем указываемое значение. Вместо этого служба SMTP отправляет сообщение с максимально разрешенным числом получателей, после чего отправляет копию сообщения с оставшимися получателями, повторяя этот процесс до тех пор, пока все получатели не получат копию сообщения. Если число сообщений в очереди превысит максимально допустимое число сообщений за сеанс, то для повышения производительности устанавливаются дополнительные соединения с конечным SMTP-сервером.
FTP представляет самый простой способ обмена файлами между удаленными компьютерами и используется для загрузки или отгрузки файлов на другой компьютер. Это стандартный протокол интернета, оптимизированный для передачи данных через сети TCP/IP. Для надежной передачи данных FTP устанавливает соединение клиент/сервер с использованием двух портов TCP на компьютере-клиенте и сервере. Первый порт называется FTР Control и обеспечивает начало сеанса и контроль ошибок; второй порт называется FTP Data и обеспечивает непосредственную передачу данных между клиентом и сервером. Служба FTP использует хорошо известный порт 21 для операций контроля и порт 20 для передачи данных. Клиентские порты TCP присваиваются динамически при создании сеанса.
"Хорошо известные" номера портов зарезервированы организацией ICANN (Internet Corporation for Assigned Names and Numbers) для использования конечными точками приложения, которые устанавливают связь через протоколы TCP или UDP. Каждый тип приложения имеет свой собственный и, следовательно, "хорошо известный" номер порта. Когда приложение на одном клиенте устанавливает соединение с другим клиентом, оно указывает на конкретное приложение посредством номера порта. Известные порты лежат в диапазоне от 0 до 1023, зарегистрированные порты – с 1024 по 49 151, а оставшиеся порты, вплоть до 65 535, используются в качестве динамических или частных портов. Вы можете сменить номер порта, используемый любой службой IIS, включая SMTP и NNTP. Это делается из соображений безопасности в небольшой частной сети; однако большинство хакеров используют сканеры портов для нахождения открытых портов.
Служба FTP позволяет пользователям загружать с сайта файлы, например, руководства по использованию товаров, сотрудникам отдела продаж работать с заказами или отчетами, находясь в отъезде или в пути. Однако за эти возможности можно заплатить немалую цену. Протокол FTP осуществляет передачу всех данных, включая имена пользователей и пароли, через сеть в открытом виде, что открывает доступ к локальной файловой системе любому пользователю в сети, если не обеспечена должная защита (право на локальный вход требуется каждому пользователю, подключающемуся к FTP-серверу).
Совет. При смене значения контрольного порта FTP вы скроете свой сервер от большинства клиентов FTP в интернете. В этом случае сообщите новый номер порта только тем пользователям, которым предоставляется доступ к FTP-службе, например: ftp://www.ваш_сервер.com:1025.
Ограничение подключений
Если служба FTP предназначена для нескольких отдельных клиентов или сотрудников, на сервере не нужна поддержка множества единовременных подключений, так как это упрощает хакерам реализацию атаки на отказ в обслуживании. На вкладке FTP Site (FTP-узел) в области Connection (Подключение) в поле Limited To (Ограничено) введите соответствующий предел согласно назначению сервера. После этого на вкладке Message (Сообщение) включите отображение сообщения пользователям, пытающимся подключиться к серверу после достижения максимально допустимого числа подключений. В поле Connection Timeout (Время простоя соединения) введите время (в секундах), по истечении которого сервер отключит неактивных пользователей. Такая настройка параметров обеспечит закрытие всех подключений, если это не сделает протокол FTP.
Ведение журнала FTP-активности
В соответствии с политикой аудита безопасности необходимо осуществлять запись FTP-активности, поэтому отметьте опцию Enable Logging (Вести журнал). Для включения записи активности пользователей отметьте опцию Log Visits (Записывать в журнал посещения) на вкладке Home Directory (Домашний каталог) для каждого сайта FTP. Система обнаружения вторжений поддерживает мониторинг журналов, однако следует выяснить формат этих журналов. Параметры и настройки журнала должны быть такими же, как и для службы WWW.
Отключение пользователей
В окне Properties (Свойства) FTP-сайта выясните, какие пользователи в данный момент подключены к сайту, нажав на кнопку Current Sessions (Текущие сеансы), как показано на рисунке. Анонимные пользователи отображаются с использованием вопросительных знаков. Для быстрого отключения определенного пользователя (например, возникло подозрение, что он использует сервер не по назначению) выделите его (или их) и нажмите на кнопку Disconnect (Отключить) или отключите всех пользователей, нажав на кнопку Disconnect All (Отключить всех).
Учетные записи безопасности
Для получения доступа к FTP-серверу пользователи должны осуществлять вход в систему. На вкладке Security Accounts имеются средства управления, позволяющие определить, кто имеет доступ к FTP-серверу, и кто является его администратором. Для предоставления общего доступа из интернета к файлам FTP-сервера выберите опцию Allow Anonymous Connection (Разрешить анонимное подключение) и укажите учетную запись, которая будет использоваться для анонимного доступа. На рисунке 10.3 показано, что учетной записью по умолчанию является IUSR_имя-компьютера. Эта же учетная запись используется для анонимного доступа из интернета к IIS-серверу.
(Если служба FTP настроена на разрешение анонимного доступа, клиенты смогут входить в систему под именем "anonymous". Как правило, анонимные пользователи FTP вводят в качестве пароля свой адрес электронной почты. Internet Explorer осуществляет автоматический анонимный вход на любой FTP-сервер, разрешающий анонимное подключение.)
Если используется одна и та же учетная запись для обеих служб, то любая "брешь" в службе FTP подвергает опасности и сервер IIS. Если только серверам FTP и IIS не требуется доступ к одним и тем же папкам (что не рекомендуется), создайте новую учетную запись для анонимных пользователей FTP. Используя раздельные учетные записи, разрешения NTFS смогут контролировать права доступа, и возникающие проблемы будут относиться только к FTP-папкам. Выбор опции Allow Only Anonymous Connections (Разрешить только анонимные подключения) позволит пользователям выполнять только анонимный вход. Это запретит использование имен и паролей через небезопасное FTP-подключение и предотвратит попытки хакеров получить доступ через учетную запись администратора. При выключении опции Allow Anonymous Connections при каждом запросе пользователя будет появляться диалоговое окно аутентификации для ввода имени и пароля.
Наделите отдельных пользователей или группы пользователей привилегиями операторов на общем уровне и уровне отдельных сайтов, добавив их в список операторов FTP-сайта. Операторы FTP-сайта представляют собой специальную группу, имеющую ограниченные полномочия администрирования на отдельных FTP-сайтах. Операторы администрируют параметры, влияющие только на подконтрольные им сайты. У них нет доступа к параметрам IIS, настройкам компьютера или к настройкам сети. Например, можно присвоить одному сотруднику из каждого отдела компании права оператора FTP-сайта соответствующего отдела организации. Оператор устанавливает разрешения на доступ к FTP-сайту, ведет журнал и настраивает сообщения, однако не может изменять настройки идентификации FTP-сайтов и анонимные имя пользователя и пароль, создавать виртуальные каталоги или изменять их пути. Учетные записи операторов не обязательно входят в группу администраторов Windows. Операторы сайтов могут относиться и к другим службам IIS, таким как WWW, NNTP и SMTP.