Вопрос 2. Адресация, порты.

Адресация.

Чтобы процессы могли связываться по сети, должны существовать механизмы определяющие сетевые адреса компьютера на котором работает другой процесс.

Во всех глобальных сетях применяется IP-адресация. Числа с маской содержат достаточную информацию о сети. Сетевые вызовы UNIX не могу работать с IP-адресацией в таком формате на программном уровне. IP адресация храниться в структуре in_addr_t. Обычно программа не требует знать внутренние представление этого типа, так как для преобразования IP-адреса предназначена процедура inet_addr.

Пример: in_addr_t server;

server=inet_addr(“197.135.141.5”).

IP адресация

Сеть Класс А 0 1-126 127обрат петля

Сеть Класс B 10 128-191

Сеть Класс C 110 192-223

Сеть Класс D 1110 224-240

Сеть Класс E 1111 241-255

Бесклассовая адресация

193.124.151.8/29 адрес подсети

193.124.151.13/29 адрес узла 255 255 255 248

1 адрес подсети 8

2 адрес широковещательного сообщения 15

Порты.

Кроме адреса компьютера клиентская программа должна иметь возможность подключиться к серверному процессу. Он ждет подключения к заданному N порту. После клиентский процесс должен выполнить запрос на подключение к определенному порту на заданном компьютере.

Некоторые порты уже зарезервированные некоторыми службами(ftp, www, т.д.). В общем случае порты меньше 1024(включительно) зарезервированные для системных процессов UNIX. Все остальные для пользователей . Информация о портах записывается в файл /etc/services.

RFC- основной документ, где прописаны все протоколы Internet.

Билет №4.

Вопрос 1. Защита внутренних информационных ресурсов.

Межсетевые экраны, система обнаружения атак, сканер для выявления уязвимостей узлов сети, ОС и СУБД.

Сканеры, фильтры для пакетов маршрут., достаточно ли этого для обеспечения инф. безопасности различных важных систем, работающих в интернет? Практика показывает, что нет. В отличие от корпоративных систем, подключенных к интернет, где решают проблемы защиты сегментов сети от злоумышленников системы эл. Коммерции, системы предоставления услуг пользователям интернет предъявляют повышенные требования к безопасности. Использование интернет в коммерческой деятельности связано с немалым риском оставить без надлежащей защиты приложение или инф. ресурс. БД, файлы, ПО могут быть подвергнуты атакам как приложения, запускаемые web-сервером (мобильный код). Опыт показывает недостаточную способность широко используемых ОС противостоять атакам, описание различных инцидентов, связанных со взломом ОС и список обнаруживаемых уязвимостей обнародуется на сайте cert.org. Как указано в доклад экспертной комиссии SANS - одной из 10-ти угроз безопасности в интернет являются уязвимости CGI-программ и web-приложений. Способы устранения уязвимостей:

1) Не запускать web- сервер от имени пользователя root.

2) Удалить все непроверенные и небезопасные CGI скрипты.

3) Не размещать интерпретаторы в той же директории, что и скрипты

4) Тщательно проверять коды всех рабочих скриптов и писать их в соответствии требованиями безопасности.

5) Удалить все неиспользуемые скрипты

6) Сконфигурировать web-сервер и параметры ОС так чтобы пользователю были доступны каталоги с соответствующими правами доступа только самого web-сервера.

Пример…

Если не соблюдать эти правила то злоумышленник может используя уязвимости ОС и web-сервера получить доступ к файлам на сервере, удаленно выполнять команды на сервере.

Для противодействия потенциальным атакам компании внедряют многоуровневые комплексные

средства защиты информации. Механизмы аутентификации, криптография позволяет защитить информацию которая передается по сети. Однако, эти средства не дают полной гарантии целостности серверного приложения и его окружения. Обычно используют средства ОС и предоставляют доступ к внутренним ресурсам. Контроль такого приложения создает все условия для доступа к ресурсам. Межсетевые экраны, широко используются в различных организациях. МСЭ и фильтрующий маршрутизатор используются для защиты внутренних сетей, они не эффективны, если приложения работают также во внешней сети.

Брандмауэры дают защиту для стандратных серверов smtp, http… Они не предназначены для запуска бизнес приложений предоставляющих доступ к информации. Они контролируют трафик между внутренней и внешней сетью.

Обычно такие интернет приложения выполняются на узле в зоне DMZ МСЭ и предоставляют доступ к внутренним информационным ресурсам через стандартный WEB интерфейс. Увеличение риска при использовании таких систем связано с тем что WEB сервер должен взаимодействие с внутренними ресурсами с СУБД, для динамического формирования информации используется браузер. Для этого администратор должен настроить МСЭ. Открыть порт и предоставить WEB серверу из DMZ обращаться к другому сегменту где находится узел с СУБД. В это случае МСЭ только обеспечивает возможность доступа к приложению но не защищает ресурсы. МСЭ не эффективный против атак WEB серверов и приложений или ОС под управление которых они работают.

Необходимость надежной ОС. Если ОС, под управлением к-й работает веб-сервер надежно не защищена, то компрометация приложений неизбежна. Ряд компаний создают на базе ОС Linux защищенные версии ОС, предназначенные специально для использования в решения электронной коммерции. Однако, защищенная ОС это только один из элементов защиты внутренних информационных ресурсов. Анализ угроз информационной безопасности, накопленный практический опыт показывает, что для обеспечения инф. безопасности систем, предоставляющих различные услуги пользователям интернет, необходимо обратить внимание на следующие факторы: в таких системах нужно использовать надежно защищенные и соответствующим образом сконфигурированные компоненты (cgi-скрипты, приложения ISAPI, аплеты и приложения java…) и внутренних СУБД. А так же схем аутентификации.

Также очень желательно добавить в такие системы дополнительный компонент – сервер приложений, к-й представлял бы из себя шлюз безопасности между веб-сервером и внутренними инф. ресурсами организации.

Защищенная информационная система.

Защищенная система обработки информации для определенных условий эксплуатации обеспечивает безопасность (конфиденциальность, целостность и доступность) обрабатываемой информации и поддерживает свою работоспособность в условиях воздействия на нее заданного множества угроз. Под ЗС обр. инф. подразумевают систему, к-я обладает 3-мя основными свойствами:

1) Осуществляет обработку информации, включая все аспекты этого процессы, связанные с обеспечением безопасности информации.

2) Успешно противостоит угрозам безопасности действующим в опр. среде

3) Соответствует требованиям и критериям стандартов информационной безопасности.