- •Кафедра судовой автоматики и измерений
- •Часть 1
- •Санкт-Петербург
- •Введение
- •1 Угрозы, атаки и уязвимости
- •1.1 Угрозы и атаки
- •1.2 Уязвимости
- •2 Каналы утечки информации
- •3 Политика безопасности
- •3.1 Основные понятия политики безопасности
- •3.2 Структура политики безопасности организации
- •3.2.1 Базовая политика безопасности
- •3.2.2 Специализированные политики безопасности
- •3.2.3 Процедуры безопасности
- •3.3 Разработка политики безопасности организации
- •3.3.1 Основные этапы обеспечения безопасности
- •3.3.2 Компоненты архитектуры безопасности
- •3.3.3 Роли и ответственности в безопасности сети
- •3.3.4 Аудит и оповещение
- •4. Компьютерные сети
- •4.1 Модели osi
- •4.2 Сетевые протоколы
- •4.2.1 Протокольный стек tcp/ip
- •4.2.2 Адресация в ip
- •4.3 Проводные сети
- •4.3.1 Базовые топологии
- •4.3.1.1 Топология «шина»
- •4.3.1.2 Топология «звезда»
- •4.3.1.3 Топология «кольцо»
- •4.3.1.4 Комбинированные топологии
- •4.4 Кабельная подсистема
- •4.4.1 Коаксиальный кабель
- •4.4.2 Витая пара
- •4.4.3 Оптоволоконный кабель
- •4.4.4 Защита информации в кабельных сетях
- •4.4.4.1 Механическая защита кабельной сети
- •4.4.4.2 Экранирование кабельных каналов
- •4.5 Беспроводные сети
- •4.5.1 Стандарты беспроводных сетей
- •4.5.2 Сравнение стандартов беспроводной передачи данных
- •4.5.3 Архитектура беспроводных сетей
- •4.5.4 Технологии беспроводных сетей
- •4.5.5 Защита информации в беспроводных сетях
- •5 Отказоустойчивые системы хранения данных: raid - массивы
- •6 Антивирусная защита информации
- •6.1 Классификация компьютерных вирусов
- •6.2 Жизненный цикл вирусов
- •6.3 Основные каналы распространения вирусов и других вредоносных программ
- •6.4 Методы построения антивирусной защиты
- •7 Роль стандартов информационной безопасности
- •7.1 Международные стандарты информационной безопасности
- •7.1.1 Стандарты iso/iec 17799:2002 (bs 7799:2000)
- •7.1.2 Германский стандарт bsi
- •7.1.3 Международный стандарт iso 15408 «Общие критерии безопасности информационных технологий»
- •7.1.4 Стандарты информационной безопасности в Интернете
- •7.2 Отечественные стандарты безопасности информационных технологий
- •Список использованных источников
1.1 Угрозы и атаки
Категории атак
Все атаки можно условно разделит на 5 типов:
Перехват информации (interception) в процессе ее передачи;
Модификация информации (modification) в процессе ее передачи;
Подделка информации (fabrication) в процессе ее передачи;
Прерывание процесса передачи информации (interruption) в процессе ее передачи;
Несанкционированный доступ (intrusion) в систему.
Категории угроз
Выделяются несколько основных угроз, наносящих ущерб (таблица 1.1)
Таблица 1.1 –Категории угроз.
Категория угрозы |
Категория атаки |
Модификация информации клиента или учреждения |
Модификация информации в процессе ее передачи |
Несанкционированный доступ в систему клиента или учреждения |
|
Ввод несуществующей информации |
Подделка информации |
Несанкционированный доступ в систему клиента или учреждения |
|
Нарушение конфиденциальности информации |
Перехват информации в процессе ее передачи |
Несанкционированный доступ в систему клиента или учреждения |
|
Отказ от факта получения информации |
Реализуется не техническими мерами |
Отказ от авторства информации |
Реализуется не техническими мерами |
Дублирование информации |
Подделка информации |
Модификация информации в процессе ее передачи |
|
Несанкционированный доступ в систему клиента или учреждения |
|
Потеря или уничтожение информации |
Прерывание процесса передачи информации |
Несанкционированный доступ в систему клиента или учреждения |
|
Нарушение работоспособности учреждения или клиента |
Все типы атак |
В качестве основных угроз из Internet можно привести следующие:
Нарушение целостности наполнения общедоступного Web-сервера;
Проникновение в Internet-сегмент учреждения и далее во внутреннюю сеть;
Нарушение доступности Internet-сегмента учреждения;
Обеспечение конфиденциальности интересов учреждения в Internet, а также характера и интенсивности взаимодействия сотрудников учреждения с Internet.
Для вариантов 3 и 4 использования Internet в учреждении основными угрозами будут следующие:
модификация или подделка платежных документов;
отказ от авторства или факта получения информации;
потеря или уничтожение информации;
проникновение в Internet-сегмент учреждения и далее во внутреннюю банковскую сеть;
нарушение доступности Internet-сегмента учреждения;
Типы атак
Отказ в обслуживании (Dos) - воздействия на сеть или отдельные ее части таким образом, что те перестают нормально функционировать. Атаки этого типа слишком разнообразны, чтобы описывать их все, но как правило они заключаются в искусственном исчерпании какого-либо ресурса, что приводит к невозможности предоставления всех услуг, использующих данный ресурс. Примеры: переполнение буферов входящих IP-пакетов, многократное “пингование”, принудительное переполнение канала связи, недопустимая команда, вызывающая “зависание” сервера, даже простое “замусоривание” почтового ящика и др. - что сильно зависит от наименований используемой аппаратуры и программного обеспечения.
Как правило, атаки подобного рода имеют целью именно вызвать отказ системы - в целях проведения атаки другого рода, шантажа, при ведении конкурентной борьбы или боевых действий или, наконец, просто из вредности.
Сканирование (scanning) - атака с использованием программ, опробующих последовательность возможных точек входа в систему (например, номеров TCP-портов или телефонных номеров) с целью установления факта возможности и путей проникновения. При этом можно использовать специальные пакеты, облегчающие такого рода работу - они автоматически, возможно, даже в режиме off-line, соберут всю необходимую информацию. Примерами таких пакетов могут быть средства поиска уязвимостей типа SATAN, COPS, ISS.
IP-обман (IP-spoofing) - метод атаки, при котором злоумышленник подменяет IP-адреса пакетов, передаваемых по Internet таким образом, что они выглядят как поступившие изнутри сети, где каждый узел доверяет адресной информации другого узла. IP-обман, как правило реализуется одним из двух способов: либо злоумышленник маскируется под узел внутренней сети, где все узлы - доверенные (т.е. попытка соединения выглядит как запрос внутреннему узлу от другого внутреннего узла), либо под доверенный внешний узел, если не предусмотрено никаких специальных алгоритмов аутентификации. Соединение при таком способе атаки возможно с использованием дополнительной услуги протокола IP “маршрутизация источника” (опция Source Route в заголовке IP-пакета), что позволяет злоумышленнику получать и обрабатывать пакеты, посылаемые объектом атаки, хотя при определенных условиях конфигурации подсети - объекта атаки это не обязательно. В результате блокирование IP-пакетов с маршрутизацией источника на межсетевом экране может не дать эффекта. Для проведения атак типа IP-обман существуют специальные пакеты, позволяющие “вручную” формировать параметры TCP/IP соединений, подгоняя их формат под разрешенный в системе объекта атаки. Данный способ атаки чрезвычайно опасен как в силу возможности нанесения значительного ущерба (злоумышленник становится “своим”), так и значительных сложностей при организации противодействия.
Анализ трафика (sniffing) - прослушивание трафика с целью сбора передаваемых паролей, ключей и другой идентификационной или аутентификационный информации. Анализ трафика может осуществляться одним из двух способов: путем “замыкания” на себя, (т.е. на узел злоумышленника) трафика части сети, где каждый узел в принципе может “прослушивать” кадры данных, адресованные другим узлам. Либо путем получения непосредственного доступа к тем областям памяти узла или маршрутизатора, через которые проходят IP-пакеты, и осуществить расшифровку трафика - по телу IP-пакетов восстановить последовательность действий обоих абонентов соединения. Для подобного рода атак разработаны специальные средства, получившие название sniffer, которые можно найти без особого труда в сети Internet. Данная угроза основывается на том, что в большинстве случаев идентификатор и пароль пользователя передается по сети в открытом виде. Даже если программное обеспечение позволяет шифровать эти данные, то при его инсталляции администраторы сети забывают установить необходимые параметры.
RIP-атаки - воздействие на таблицы маршрутизации путем рассылки злоумышленником фальшивых сообщений, содержащих информацию о том, каким образом необходимо их изменить. Могут использоваться в сетях с разрешенной динамической маршрутизацией с целью вызова отказа в обслуживании или нарушения конфиденциальности трафика, если таблицы корректируются таким образом, что часть трафика направляется через ЭВМ злоумышленника.
Использование «черного хода», т.е. попытка доступа к ресурсу intranet с помощью обходных путей. Например, если доступ по протоколу http к данному узлу вам запрещен, но можно использовать telnet или ftp. Или, если на данный узел разрешен вход только с определенных IP-адресов, можно опробовать возможность доступа на эти узлы, а уж затем попытаться выйти на узел, который является целью. Другие варианты: использовать telnet для прохода через порт 80 (http), 25 (smtp) или другой, что является вполне возможным при использовании настроек по умолчанию. Что, в свою очередь, может привести к возможности выхода в командный интерпретатор, получению привилегий администратора и, соответственно, захвату контроля над системой.
Атаки на DNS-серверы. Заключаются в модификации содержимого первичного или одного из вторичных DNS-серверов сети. В результате в зоне, за которую отвечают эти серверы, может наблюдаться неадекватность отображения логических адресов (буквенных) в IP-адреса (цифровые). Аналогичный результат получается при использовании кэша resolver или proxy-сервера - для тех пользователей, которые пользуются этими механизмами. Итог: попытка обращения к известному серверу по логическому имени может привести к установлению соединения совсем с другим сервером, который, в свою очередь, может попытаться провести какие-либо нежелательные действия с вашим клиентом из числа, например, тех, которые были описаны выше. Или же ложный сервер может внешне полностью копировать исходный, но с некоторыми изменениями.
Особая опасность: прорыв в цепи «Dialup (Internet/PPP) - компьютер - LAN (TCP/IP)». Если с вашего компьютера, осуществляется работа с Internet и при этом эта же ПЭВМ используется и для работы во внутренней сети (не обязательно в одно и то же время), то при выполнении определенных условий возможен прорыв через PPP-соединение во внутреннюю сеть и попытка установления соединения с каким-либо из внутренних узлов сети.
«Почтовые бомбы» - сообщение электронной почты, несущее в своем теле указание серверу или клиенту выполнить те или иные действия, регламентированные спецификациями. Например, в спецификациях почтовых сообщений MIME имеется формат “external-body”, в этом случае почтовое сообщение представляет собой ссылку на документ, находящийся где-либо. Попытка прочесть данное сообщение с помощью, например, Netscape Navigator, приводит к активизации этой ссылки, что может привести к перегрузке канала сообщением большого объема (атака типа отказ в обслуживании), загрузке разрушающего апплета Java или другому действию. Другой разновидностью почтовых бом является посылка либо огромного числа файлов, либо файла большого (до нескольких десятков Мб) объема. Такая атака называется spamming.
Число возможных атак достаточно велико. Кроме того, число таких атак постоянно увеличивается. Для получения более полной информации о появляющихся атаках, рекомендуется посещать Web-сервера организаций, занимающихся информационной безопасностью (например, CERT, ISS, FIRST).