Конспект курса бир структура Тема Часов - страница 7

7.1. Истощение ресурсов узла либо сети
Smurf

Атака smurf состоит в генерации шквала ICMP Echo-ответов, направленных на атакуемый узел. Для сотворения шквала злодей направляет несколько сфальсифицированных Echo-запросов от имени жертвы на широковещательные адреса нескольких Конспект курса бир структура Тема Часов - страница 7 сетей, которые выступят в роли усилителей. Потенциально огромное число узлов, находящихся в сетях-усилителях и поддерживающих обработку широковещательных Echo-запросов, сразу посылает ответы на атакуемый узел. В итоге атаки сеть, в какой находится Конспект курса бир структура Тема Часов - страница 7 жертва, сам атакуемый узел, также и сети-усилители могут быть временно заблокированы шквалом ответных сообщений.

Для атакуемого узла и его сети не существует адекватных методов защиты от этой атаки.

^ SYN flood и Конспект курса бир структура Тема Часов - страница 7 Naptha

Всераспространенная атака SYN flood (она же Neptune) состоит в посылке злоумышленником SYN-сегментов TCP на атакуемый узел в количестве большем, чем тот может обработать сразу (это число невелико — обычно несколько Конспект курса бир структура Тема Часов - страница 7 10-ов).

При получении каждого SYN-сегмента модуль TCP делает блок TCB, другими словами выделяет определенные ресурсы для обслуживания грядущего соединения, и посылает собственный SYN-сегмент. Ответа на него он никогда не получит Конспект курса бир структура Тема Часов - страница 7. (Чтоб замести следы и не затруднять себя игнорированием ответных SYN-сегментов, злодей будет посылать свои SYN-сегменты от имени несуществующего отправителя либо нескольких случаем избранных несуществующих отправителей.) Через пару минут модуль TCP Конспект курса бир структура Тема Часов - страница 7 ликвидирует так и не открытое соединение, но если сразу злодей сгенерирует огромное число SYN-сегментов, то он заполнит все ресурсы, выделенные для обслуживания открываемых соединений, и модуль TCP не сумеет обрабатывать новые SYN Конспект курса бир структура Тема Часов - страница 7-сегменты, пока не освободится от запросов злодея. Повсевременно посылая новые запросы, злодей может длительно задерживать жертву в блокированном состоянии. Чтоб снять воздействие атаки, злодей отправляет серию частей с флагом RST Конспект курса бир структура Тема Часов - страница 7, которые ликвидируют полуоткрытые соединения и высвобождают ресурсы атакуемого узла.

Целью атаки является приведение узла (сервера) в состояние, когда он не может принимать запросы на открытие соединений.

Полной защиты от обрисованных атак не существует Конспект курса бир структура Тема Часов - страница 7. Чтоб уменьшить подверженность узла атаке админ должен использовать программное обеспечение, позволяющее установить наибольшее число открываемых соединений, также перечень разрешенных клиентов (если это может быть). Только нужные порты должны быть открыты (находиться в состоянии LISTEN Конспект курса бир структура Тема Часов - страница 7), другие сервисы следует отключить. Операционная система обязана иметь устойчивость к атакам Naptha — при проведении атаки не должно появляться отказа в обслуживании юзеров и сервисов, не имеющих дела к атакуемым.

Должен также Конспект курса бир структура Тема Часов - страница 7 проводиться анализ трафика в сети для выявления начавшейся атаки, признаком чего является огромное число однотипных частей, и блокирование частей злодея фильтром на маршрутизаторе. Маршрутизаторы Cisco предлагают механизм TCP Intercept, который служит посредником Конспект курса бир структура Тема Часов - страница 7 меж наружным TCP-клиентом и TCP-сервером, находящимся в защищаемой сети. При получении SYN-сегмента из Веба маршрутизатор не ретранслирует его во внутреннюю сеть, а сам отвечает на этот сектор от имени Конспект курса бир структура Тема Часов - страница 7 сервера. Если соединение с клиентом устанавливается, то маршрутизатор устанавливает соединение с сервером от имени клиента и при предстоящей передаче частей в этом соединении действует как прозрачный посредник, о котором ни клиент, ни сервер Конспект курса бир структура Тема Часов - страница 7 не подозревают. Если ответ от клиента за определенное время так и не поступил, то уникальный SYN-сегмент не будет передан получателю.

Если SYN-сегменты начинают поступать в большенном количестве и на большой Конспект курса бир структура Тема Часов - страница 7 скорости, то маршрутизатор перебегает в «агрессивный» режим: время ожидания ответа от клиента резко сокращается, а каждый вновь прибывающий SYN-сегмент приводит к исключению из очереди 1-го из ранее приобретенных SYN-сегментов Конспект курса бир структура Тема Часов - страница 7. При понижении интенсивности потока запросов на соединения маршрутизатор ворачивается в обыденный, «дежурный» режим.

Отметим, что применение TCP Intercept практически переносит нагрузку по борьбе с SYN-атакой с атакуемого хоста на маршрутизатор Конспект курса бир структура Тема Часов - страница 7, который лучше подготовлен для этой борьбы.

^ UDP flood

Атака состоит в затоплении атакуемой сети шквалом UDP-сообщений. Для генерации шквала злодей употребляет сервисы UDP, посылающие сообщение в ответ на хоть какое сообщение.

Внедрение промежных Конспект курса бир структура Тема Часов - страница 7 систем для реализации атак, связанных с генерацией направленного шквала пакетов (типа smurf), оказалось очень плодотворной мыслью для злоумышленников. Такие атаки именуются распределенными (Distributed DoS, DDoS). Для их реализации злодеями создаются программы-демоны, захватывающие Конспект курса бир структура Тема Часов - страница 7 промежные системы и потом координирующие создание направленных на атакуемый узел шквалов пакетов (ICMP Echo, UDP, TCP SYN). Захват систем делается методом использования ошибок в программках разных сетевых сервисов.

^ Неверные Конспект курса бир структура Тема Часов - страница 7 DHCP-клиенты

Атака состоит в разработке злоумышленником огромного числа сфальсифицированных запросов от разных несуществующих DHCP-клиентов. Если DHCP-сервер выделяет адреса динамически из некого пула, то все адресные ресурсы могут быть истрачены на фиктивных Конспект курса бир структура Тема Часов - страница 7 клиентов, вследствие чего законные хосты не сумеют сконфигурироваться и лишатся доступа в сеть.

Для защиты от этой атаки админу следует поддерживать на DHCP-сервере таблицу соответствия MAC- и Айпишников (если это может быть Конспект курса бир структура Тема Часов - страница 7); сервер должен выдавать Айпишники в согласовании с этой таблицей.
7.2. Сбой системы
DoS-атаки этой группы не связаны с какими-либо неуввязками протоколов стека TCP/IP, а употребляют ошибки в их программной реализации. Эти Конспект курса бир структура Тема Часов - страница 7 ошибки сравнимо просто поправить. С другой стороны нет никаких гарантий того, что не будут обнаружены новые ошибки. Для защиты от схожих атак нужно использовать последние версии операционных систем и смотреть за обновлениями Конспект курса бир структура Тема Часов - страница 7 к ним. Примеры таких атак:

1. Ping of death (атака состоит в посылке на атакуемый узел фрагментированной датаграммы, размер которой после сборки превзойдет 65 535 октетов),

2. Teardrop (атака употребляет ошибку, возникающую при подсчете длины куска Конспект курса бир структура Тема Часов - страница 7 во время сборки датаграммы),

3. Land (атака состоит в посылке на атакуемый узел SYN-сегмента TCP, у которого Айпишник и порт отправителя совпадают с адресом и портом получателя),

4. Nuke (атака состояла в посылке Конспект курса бир структура Тема Часов - страница 7 на атакуемый TCP-порт срочных данных (задействовано поле Urgent Pointer) и поражала через порт 139 Windows-системы, в каких в прикладном процессе не была предусмотрена возможность приема срочных данных, что приводило к Конспект курса бир структура Тема Часов - страница 7 краху системы).
7.3. Изменение конфигурации либо состояния узла
^ Перенаправление трафика на несуществующий узел

В п.2 подверглись рассмотрению разные способы перехвата трафика злоумышленником. Хоть какой из этих способов может быть применен также и для перенаправления Конспект курса бир структура Тема Часов - страница 7 посылаемых атакуемым узлом (либо целой сетью) данных «в никуда», результатом чего будет утрата связи жертвы с избранными злоумышленником узлами либо сетями.

В дополнение необходимо отметить, что при использовании в сети хоть какого Конспект курса бир структура Тема Часов - страница 7 протокола маршрутизации злодей может генерировать сфальсифицированные сообщения протокола, содержащие неправильные либо предельные значения неких полей (порядковых номеров, возраста записи, метрики), что приведет к нарушениям в системе маршрутизации.

Навязывание длинноватой сетевой маски

Если Конспект курса бир структура Тема Часов - страница 7 хост получает маску для собственной сети через ICMP-сообщение Address Mask Reply, то, сформировав неверное сообщение с длинноватой маской (к примеру, 255.255.255.252), злодей значительно ограничит способность атакуемого хоста к соединениям (коннективность). Если в Конспект курса бир структура Тема Часов - страница 7 «суженной» злоумышленником сети не окажется маршрутизатора по дефлоту, то жертва сумеет посылать данные только узлам, попадающим под навязанную маску. В текущее время хосты динамически изменяются при помощи протокола DHCP. Все же, следует проверить, как Конспект курса бир структура Тема Часов - страница 7 система отреагирует на получение ICMP Address Mask Reply.

^ Десинхронизация TCP-соединения

Десинхронизация TCP-соединения подверглась рассмотрению в п.3. Разумеется, что если после выполнения десинхронизации злодей не будет работать в качестве посредника, то Конспект курса бир структура Тема Часов - страница 7 передача данных по атакованному TCP-соединению будет невозможна.

^ Сброс TCP-соединения

Если узел А установил соединение с узлом В, то злодей может приневолить узел А заблаговременно закрыть это соединение. Для этого злодей Конспект курса бир структура Тема Часов - страница 7 может отправить узлу А от имени В сфальсифицированный RST-сегмент либо ICMP-сообщение Destination Unreachable.

^ Принуждение к передаче данных на заниженной скорости

Злодей может несколькими методами вынудить модуль TCP узла А сбавить скорость передачи данных Конспект курса бир структура Тема Часов - страница 7 узлу В в TCP-соединении.

3. Способы и средства анализа уязвимостей серверов и служб.
^ Выявление уязвимостей компьютерных сетей Системы обнаружения атак
Существует три шага воплощения атаки. 1-ый, предварительный, шаг заключается в поиске Конспект курса бир структура Тема Часов - страница 7 предпосылок для воплощения той либо другой атаки. На этом шаге ищутся уязвимости, внедрение которых приводит к реализации атаки, т.е. ко второму шагу. На 3-ем шаге заканчивается атака, "заметаются" следы и т Конспект курса бир структура Тема Часов - страница 7.д. При всем этом 1-ый и 3-ий этапы сами по для себя могут являться атаками. К примеру, поиск нарушителем уязвимостей с помощью сканеров безопасности, к примеру, SATAN считается атакой.

Имеющиеся механизмы Конспект курса бир структура Тема Часов - страница 7 защиты, реализованные в межсетевых экранах, серверах аутентификации, системах разграничения доступа и т.д. работают лишь на втором шаге. Т.е. по существу они являются средствами блокирующими, а не упреждающими атаки. В абсолютном Конспект курса бир структура Тема Часов - страница 7 большинстве случаев они защищают от атак, которые уже находятся в процессе воплощения. И даже если они смогли предупредить ту либо иную атаку, то намного более действенным было бы упреждение атак, т.е. устранение Конспект курса бир структура Тема Часов - страница 7 самих предпосылок реализации вторжений. Всеохватывающая система обеспечения информационной безопасности должна работать на всех 3-х шагах воплощения атаки. И обеспечение адекватной защиты на 3-ем, оканчивающем, шаге более принципиально, чем на первых 2-ух. Ведь Конспект курса бир структура Тема Часов - страница 7 исключительно в этом случае можно реально оценить вред от "удачной" атаки, также создать меры по устранению последующих попыток воплотить аналогичную атаку.

Обнаруживать, перекрыть и предотвращать атаки можно несколькими способами. 1-ый, и Конспект курса бир структура Тема Часов - страница 7 часто встречающийся, метод - это обнаружение уже реализуемых атак. Этот метод применяется в "традиционных" системах обнаружения атак (к примеру, RealSecure компании Internet Security Systems), межсетевых экранах и т.п. Но, "недочет" средств Конспект курса бир структура Тема Часов - страница 7 данного класса в том, что атаки могут быть реализованы повторно. 2-ой путь - предупредить атаки еще до их реализации. Осуществляется это методом поиска уязвимостей, которые могут быть применены для реализации атаки. И, в конце концов Конспект курса бир структура Тема Часов - страница 7, 3-ий путь - обнаружение уже совершенных атак и предотвращение их повторного воплощения. Таким макаром, системы обнаружения атак могут быть классифицированы по шагам воплощения атаки (рис.9.):



Набросок 9. Систематизация систем обнаружения атак по шагу воплощения атаки

Кроме этого, существует еще одна всераспространенная систематизация систем обнаружения нарушения политики безопасности - по принципу реализации: host-based, т.е. обнаруживающие Конспект курса бир структура Тема Часов - страница 7 атаки, направленные на определенный узел сети, и network-based, направленные на всю сеть либо сектор сети. Обычно на этом предстоящая систематизация останавливается. Но системы класса host-based можно поделить еще на три подуровня Конспект курса бир структура Тема Часов - страница 7:

Выделение обнаружения атак на системы управления Конспект курса бир структура Тема Часов - страница 7 базами данных (СУБД) в отдельную категорию связано с тем, что современные СУБД уже вышли из разряда обыденных приложений и по многим своим чертам, в т.ч. и по трудности, приближаются Конспект курса бир структура Тема Часов - страница 7 к операционным системам. Таким макаром, систематизация систем обнаружения атак по уровню реализации смотрится последующим образом (рис.10):

Можно увидеть, что это деление соответствует уровням информационной системы предприятия.



Набросок 10. Систематизация систем обнаружения атак по Конспект курса бир структура Тема Часов - страница 7 принципу реализации
Системы контроля целостности
Системы контроля целостности работают по замкнутому циклу, обрабатывая файлы, системные объекты и атрибуты системных объектов с целью получения контрольных сумм; потом они ассоциируют их с прошлыми контрольными суммами Конспект курса бир структура Тема Часов - страница 7, отыскивая конфигурации. Когда изменение найдено, система отправляет сообщение админу, фиксируя время, соответственное возможному времени конфигурации. Если вновь возвратиться к шагам реализации атаки, то системы этого класса работают на 3-ем шаге, т Конспект курса бир структура Тема Часов - страница 7.е. они могут совершенно точно сказать, происходила атака (поточнее изменение контролируемого объекта) либо нет.
Обманные системы
Обычно, когда речь входит об обмане в области информационной безопасности, то тут употребляются способы, которые используют злоумышленники, т Конспект курса бир структура Тема Часов - страница 7.е. лазейки для обхода применяемых средств защиты, будь то кража паролей и работа от имени авторизованного юзера либо несанкционированное внедрение модемов. Обман может сослужить неплохую службу не только лишь для злоумышленников Конспект курса бир структура Тема Часов - страница 7, да и для защиты корпоративных ресурсов. Существует огромное количество разных вариантов использования обмана в благих целях:

  1. Сокрытие

  2. Камуфляж

  3. Дезинформация

В той либо другой мере эти механизмы употребляются в практике работ отделов безопасности. Но, обычно Конспект курса бир структура Тема Часов - страница 7, эти механизмы употребляются не для информационной, а для других областей обеспечения безопасности (физическая, финансовая и т.д.).

В области информационной безопасности наибольшее распространение получил 1-ый способ - сокрытие. Броским примером использования Конспект курса бир структура Тема Часов - страница 7 этого способа в целях обеспечения информационной безопасности можно именовать сокрытие сетевой топологии с помощью межсетевого экрана. Примером камуфляжа является последующий пример: любая операционная система обладает присущим только ей представлением механизма идентификации юзера Конспект курса бир структура Тема Часов - страница 7, отличающимся цветом и типом шрифта, которым выдается приглашение, текстом приглашения и местом его расположения. И, в конце концов, в качестве примера дезинформации можно именовать внедрение заголовков (banner), которые бы давали осознать злодею Конспект курса бир структура Тема Часов - страница 7, что атакуемая им система типо уязвима.

Работа систем 2 и 3 их реализующих состоит в том, что эти системы эмулируют те либо другие известные уязвимости, которых в действительности не существует. Внедрение средств (deception systems Конспект курса бир структура Тема Часов - страница 7), реализующих камуфляж и дезинформацию, приводит к последующему:

1. Повышение числа выполняемых нарушителем операций и действий. Потому что заблаговременно найти является ли обнаруженная нарушителем уязвимость настоящей либо нет, злодею приходится делать много дополнительных действий, чтоб узнать Конспект курса бир структура Тема Часов - страница 7 это. И даже дополнительные деяния не всегда помогают в этом. К примеру, попытка запустить программку подбора паролей (к примеру, Crack для Unix либо L0phtCrack(LC) для Windows) на Конспект курса бир структура Тема Часов - страница 7 сфальсифицированный и несуществующий в действительности файл, приведет к никчемной растрате времени без какого-нибудь видимого результата. Нападающий будет мыслить, что он не сумел подобрать пароли, в то время как по сути программка "взлома" была Конспект курса бир структура Тема Часов - страница 7 просто обманута.

2. Получение способности отследить нападающих. За тот период времени, когда нападающие пробуют проверить все обнаруженные уязвимости, в т.ч. и фиктивные, админы безопасности могут проследить весь путь до нарушителя либо нарушителей и Конспект курса бир структура Тема Часов - страница 7 сделать надлежащие меры.

К примеру, в информационной системе употребляются от 5 до 10 зарезервированных портов (с номерами от 1 до 1024). К ним можно отнести порты, отвечающие за функционирование сервисов HTTP, FTP, SMTP, NNTP, NetBIOS Конспект курса бир структура Тема Часов - страница 7, Echo, Telnet и т.д. Если обманные системы (к примеру, RealSecure компании ISS) эмулируют внедрение еще 100 и поболее портов, то работа нападающего резко возрастает и злодей увидит не 5-10, а 100 открытых портов. При Конспект курса бир структура Тема Часов - страница 7 всем этом не много найти открытый порт, нужно еще попробовать использовать уязвимости, связанные с этим портом. И даже если нападающий автоматизирует эту работу методом использования соответственных программных средств (Nmap, SATAN Конспект курса бир структура Тема Часов - страница 7 и т.д.), то число выполняемых им операций все равно значительно возрастает, что приводит к резвому понижению производительности его работы.
Средства анализа защищенности
Обнаружением уязвимостей занимаются системы анализа защищенности - сканеры безопасности либо системы поиска уязвимостей Конспект курса бир структура Тема Часов - страница 7. Они проводят всесторонние исследования данных систем с целью обнаружения уязвимостей, которые могут привести к нарушениям политики безопасности. Результаты, приобретенные от средств анализа защищенности, представляют "моментальный снимок" состояния защиты системы Конспект курса бир структура Тема Часов - страница 7 на этот момент времени. Невзирая на то, что эти системы не могут обнаруживать атаку в процессе ее развития, они могут найти потенциальную возможность реализации атак.

Разработка анализа защищенности является действующим способом реализации политики Конспект курса бир структура Тема Часов - страница 7 сетевой безопасности до этого, чем осуществится попытка ее нарушения снаружи либо изнутри организации.

Одним из вариантов систематизации уязвимостей может служить систематизация, отражающая этапы актуального цикла информационной системы (Таблица 1).

Таблица 3. Категории уязвимостей

^ Этапы актуального цикла Конспект курса бир структура Тема Часов - страница 7 ИС

Категории уязвимостей ИС

Проектирование ИС

Уязвимости проектирования

Реализация ИС

Уязвимости реализации

Эксплуатация ИС

Уязвимости конфигурации

Более небезопасны уязвимости проектирования, которые обнаруживаются и устраняются с огромным трудом. В данном случае, уязвимость характерна проекту либо методу и, как следует, даже совершенная его Конспект курса бир структура Тема Часов - страница 7 реализация (что в принципе нереально) не освободит от заложенной в нем уязвимости. К примеру, уязвимость стека протоколов TCP/IP.

Смысл уязвимостей 2-ой категории (уязвимости реализации) заключается в возникновении ошибки на шаге реализации Конспект курса бир структура Тема Часов - страница 7 в программном либо аппаратном обеспечении корректного исходя из убеждений безопасности проекта либо метода. Обнаруживаются и устраняются такового рода уязвимости относительно просто - методом обновления исполняемого кода либо конфигурации начального текста уязвимого ПО.

Последняя Конспект курса бир структура Тема Часов - страница 7 причина появления уязвимостей - ошибки конфигурации программного либо аппаратного обеспечения. К их числу можно отнести, к примеру, доступный, но не применяемый на узле сервис Telnet, внедрение "слабеньких" паролей либо паролей наименее 6 знаков Конспект курса бир структура Тема Часов - страница 7, учетные записи (accounts) и пароли, остановленные по дефлоту (к примеру, SYSADM либо DBSNMP в СУБД Oracle), и т.д. Найти и поправить такие уязвимости проще всего.

Системы анализа защищенности могут быть классифицированы Конспект курса бир структура Тема Часов - страница 7 по типам обнаруживаемых ими уязвимостей (Рис.11), обрисованных выше.



Набросок 11. Системы анализа защищенности

Системы анализа защищенности второго и третьего классов получили наибольшее распространение посреди конечных юзеров. Существует несколько дополнительных классификаций этих систем. К примеру, системы Конспект курса бир структура Тема Часов - страница 7 анализа начального текста и исполняемого кода тестируемого программно-аппаратного обеспечения и т.д. 1-ые также используются обычно при сертификации программного обеспечения по требованиям безопасности. Почти всегда программное обеспечение поставляется Конспект курса бир структура Тема Часов - страница 7 в организации без начальных текстов. Не считая того, анализ начальных текстов просит высочайшей квалификации от обслуживающего их персонала. Отсутствие действенных систем анализа начальных текстов не позволяет проводить таковой анализ на высококачественном уровне. Вот поэтому Конспект курса бир структура Тема Часов - страница 7 большой энтузиазм вызывают системы поиска уязвимостей в исполняемом коде, самым всераспространенным подклассом которых являются системы имитации атак, которые моделируют разные несанкционированные воздействия на составляющие информационной системы. Конкретно эти системы получили Конспект курса бир структура Тема Часов - страница 7 широкую известность в мире ввиду собственной относительной простоты и дешевизны. Средством таких имитаторов обнаруживаются уязвимости еще до того, как они будут применены нарушителями для реализации атак. К числу систем данного класса можно Конспект курса бир структура Тема Часов - страница 7 отнести SATAN, Internet Scanner, Cisco Secure Scanner и т.д.

Системы имитации атак с схожим фуррором обнаруживают не только лишь уязвимости реализации, да и уязвимости эксплуатации. Работать системы анализа защищенности, а именно системы Конспект курса бир структура Тема Часов - страница 7 поиска уязвимостей реализации и эксплуатации, могут на всех уровнях информационной инфраструктуры хоть какой компании, другими словами на уровне сети, операционной системы, СУБД и прикладного программного обеспечения. Наибольшее распространение получили средства анализа защищенности сетевых сервисов Конспект курса бир структура Тема Часов - страница 7 и протоколов. Связано это, сначала, с универсальностью применяемых протоколов. Изученность и повсеместное внедрение таких стеков протоколов, как TCP/IP и т.п. позволяют с высочайшей степенью эффективности инспектировать защищенность корпоративной сети, работающей Конспект курса бир структура Тема Часов - страница 7 в данном сетевом окружении, независимо от того, какое программное обеспечение работает на более больших уровнях. Примером таковой системы является Internet Scanner компании ISS. Вторыми по распространенности являются средства анализа защищенности операционных Конспект курса бир структура Тема Часов - страница 7 систем. Связано это также с универсальностью и распространенностью неких операционных систем (к примеру, UNIX и Windows). Но, из-за того, что каждый производитель заносит в операционную систему свои конфигурации (броским примером является огромное Конспект курса бир структура Тема Часов - страница 7 количество разновидностей ОС UNIX), средства анализа защищенности ОС анализируют сначала характеристики, соответствующие для всего семейства одной ОС. И только для неких систем анализируются специфичные для нее характеристики. Примером таковой Конспект курса бир структура Тема Часов - страница 7 системы является System Scanner компании ISS.

При проведении анализа защищенности реализуются две стратегии. 1-ая - пассивная, - реализуемая на уровне операционной системы, СУБД и приложений, при которой осуществляется анализ конфигурационных файлов и системного реестра на наличие Конспект курса бир структура Тема Часов - страница 7 некорректных характеристик, файлов паролей на наличие просто угадываемых паролей, также других системных объектов на нарушения политики безопасности. 2-ая стратегия, - активная, - осуществляемая почти всегда на сетевом уровне, позволяющая воспроизводить более всераспространенные Конспект курса бир структура Тема Часов - страница 7 сценарии атак, и рассматривать реакции системы на эти сценарии.

Но не стоит мыслить, что с помощью средств анализа защищенности можно тестировать только возможность несанкционированного доступа в корпоративную сеть из сетей открытого доступа (к Конспект курса бир структура Тема Часов - страница 7 примеру, Internet). Эти средства с не наименьшим фуррором могут быть применены для анализа неких частей либо узлов внутренней сети организации. Системы анализа защищенности могут быть применены:



Таблица Конспект курса бир структура Тема Часов - страница 7 4. Средства анализа защищенности.

Заглавие

Производитель

Категория

Примечание

Internet Scanner

Internet Security Systems

На уровне сети

1-ая система, получившая сертификат ГТК. По системе существует авторизованное обучение в Рф.

System Scanner

Internet Security Systems

На уровне ОС

По системе существует авторизованное обучение в Рф Конспект курса бир структура Тема Часов - страница 7.

Database Scanner

Internet Security Systems

На уровне СУБД

По системе существует авторизованное обучение в Рф.

Cisco Secure Scanner

Cisco Systems

На уровне сети




CyberCop Scanner

Network Associates

На уровне сети




WebTrends Security Analyzer

WebTrends Corporation

На уровне сети




Enterprise

Security Manager

Symantec

На уровне ОС

SFProtect

Hewlett Packard

На уровне сети Конспект курса бир структура Тема Часов - страница 7, ОС, СУБД




Nessus

Свободно распространяется

На уровне сети

Система имеет сертификат ГТК.

Так как повсевременно возникают новые уязвимости, то для их действенного обнаружения нужно повсевременно обновлять базу данных системы анализа защищенности. В эталоне разрыв меж Конспект курса бир структура Тема Часов - страница 7 возникновением инфы об уязвимости в разных "хакерских" источниках и возникновением сигнатуры в базе данных системы обнаружения должен отсутствовать. Но вроде бы нередко не обновлялась база данных уязвимостей, существует временной просвет меж сообщением о Конспект курса бир структура Тема Часов - страница 7 новейшей уязвимости и возникновением проверки для нее.

Существует два главных механизма, с помощью которых сканер инспектирует наличие уязвимости - сканирование (scan) и зондирование (probe).

Сканирование - механизм пассивного анализа, при помощи которого сканер пробует найти Конспект курса бир структура Тема Часов - страница 7 наличие уязвимости без фактического доказательства ее наличия - по косвенным признакам. Этот способ является более резвым и обычным для реализации. В определениях компании ISS данный способ получил заглавие "логический вывод" (inference Конспект курса бир структура Тема Часов - страница 7). Согласно компании Cisco этот процесс идентифицирует открытые порты, отысканные на каждом сетевом устройстве, и собирает связанные с портами заглавия (banner), отысканные при сканировании каждого порта. Каждый приобретенный заголовок сравнивается с таблицей правил определения сетевых устройств Конспект курса бир структура Тема Часов - страница 7, операционных систем и возможных уязвимостей. На базе проведенного сопоставления делается вывод о наличии либо отсутствии уязвимости.

Зондирование - механизм активного анализа, который позволяет убедиться, находится либо нету на анализируемом узле уязвимость. Зондирование Конспект курса бир структура Тема Часов - страница 7 производится методом имитации атаки, использующей проверяемую уязвимость. Этот способ более неспешный, чем "сканирование", но практически всегда еще более четкий, чем он. В определениях компании ISS данный способ получил заглавие "доказательство" (verification). Согласно Конспект курса бир структура Тема Часов - страница 7 компании Cisco этот процесс употребляет информацию, полученную в процессе сканирования ("логического вывода"), для детализированного анализа каждого сетевого устройства. Этот процесс также употребляет известные способы реализации атак для того, чтоб на сто Конспект курса бир структура Тема Часов - страница 7 процентов подтвердить предполагаемые уязвимости и найти другие уязвимости, которые не могут быть обнаружены пассивными способами, к примеру подверженность атакам типа "отказ в обслуживании" ("denial of service").

На практике обозначенные механизмы реализуются последующими несколькими способами Конспект курса бир структура Тема Часов - страница 7.
"Проверка заголовков" (banner check)
Обозначенный механизм представляет собой ряд проверок типа "сканирование" и позволяет делать вывод об уязвимости, делая упор на информацию в заголовке ответа на запрос сканера. Обычный пример Конспект курса бир структура Тема Часов - страница 7 таковой проверки - анализ заголовков программки Sendmail либо FTP-сервера, позволяющий выяснить их версию и на базе этой инфы прийти к выводу о наличии в их уязвимости. Но не следует забывать, что админ Конспект курса бир структура Тема Часов - страница 7 может поменять текст заголовков, возвращаемых на наружные запросы.
"Активные зондирующие проверки" (active probing check)
Также относятся к механизму "сканирования". Но они основаны на сопоставлении "цифрового слепка" (fingerprint) куска программного обеспечения со Конспект курса бир структура Тема Часов - страница 7 слепком известной уязвимости. Аналогичным образом поступают антивирусные системы, сравнивая куски сканируемого программного обеспечения с сигнатурами вирусов, хранящимися в спец базе данных. Разновидностью этого способа являются проверки контрольных сумм либо даты сканируемого программного обеспечения Конспект курса бир структура Тема Часов - страница 7, которые реализуются в сканерах, работающих на уровне операционной системы.

Спец база данных (в определениях компании Cisco - база данных по сетевой безопасности) содержит информацию об уязвимостях и методах их использовании (атаках). Эти данные дополняются Конспект курса бир структура Тема Часов - страница 7 сведениями о мерах их устранения, позволяющих понизить риск безопасности в случае их обнаружения. Часто эта база данных употребляется и системой анализа защищенности и системой обнаружения атак. По последней мере, так поступают компании Конспект курса бир структура Тема Часов - страница 7 Cisco и ISS.

Этот способ также довольно резв, но реализуется сложнее, чем "проверка заголовков".
"Имитация атак" (exploit check)
Некие уязвимости не обнаруживают себя, пока их не "подтолкнут". Для этого против подозрительного Конспект курса бир структура Тема Часов - страница 7 сервиса либо узла запускаются реальные атаки. Проверки способом "exploit check" позволяет имитировать реальные атаки, тем с большей эффективностью (но наименьшей скоростью) обнаруживая уязвимости на сканируемых узлах. Имитация атак является более надежным методом анализа защищенности Конспект курса бир структура Тема Часов - страница 7, чем проверки заголовков, и обычно более надежны, чем активные зондирующие проверки.

Но есть случаи, когда имитация атак не всегда может быть реализована. Такие случаи можно поделить на две категории Конспект курса бир структура Тема Часов - страница 7: ситуации, в каких тест приводит к "отказу в обслуживании" анализируемого узла либо сети, и ситуации, при которых уязвимость в принципе не пригодна для реализации атаки на сеть.

Многие трудности защиты не могут Конспект курса бир структура Тема Часов - страница 7 быть выявлены без блокирования либо нарушения функционирования сервиса либо компьютера в процессе сканирования. В неких случаях не нужно использовать имитацию атак (к примеру, для анализа защищенности принципиальных серверов), т.к. это может Конспект курса бир структура Тема Часов - страница 7 привести к огромным затратам (вещественным и временным) на восстановление работоспособности выведенных из строя частей корпоративной сети. В этих случаях лучше применить другие проверки, к примеру, активное зондирование либо проверки заголовков.

Но, есть некие уязвимости Конспект курса бир структура Тема Часов - страница 7, которые просто не могут быть протестированы без вероятного выведения из строя сервиса либо компьютера. В данном случае такие проверки выключены и юзер может сам включить их. К примеру, в Internet Конспект курса бир структура Тема Часов - страница 7 Scanner такового рода проверки выделены в отдельную категорию "Denial of service" ("Отказ в обслуживании").
Этапы сканирования
Фактически хоть какой сканер проводит анализ защищенности в несколько шагов:

  1. Сбор инфы о сети. На данном шаге Конспект курса бир структура Тема Часов - страница 7 идентифицируются все активные устройства в сети и определяются запущенные на их сервисы и бесы. В случае использования систем анализа защищенности на уровне операционной системы данный шаг пропускается, так как на каждом анализируемом Конспект курса бир структура Тема Часов - страница 7 узле установлены надлежащие агенты системного сканера.

  2. Обнаружение возможных уязвимостей. Сканер употребляет описанную выше базу данных для сопоставления собранных данных с известными уязвимостями с помощью проверки заголовков либо активных зондирующих проверок. В неких системах все Конспект курса бир структура Тема Часов - страница 7 уязвимости ранжируются по степени риска. К примеру, в Internet Scanner уязвимости делятся на три степени риска: высочайшая (High), средняя (Medium) и низкая (Low).

  3. Доказательство избранных уязвимостей. Сканер употребляет особые способы и моделирует Конспект курса бир структура Тема Часов - страница 7 (имитирует) определенные атаки для доказательства факта наличия уязвимостей на избранных узлах сети.

  4. Генерация отчетов.

  5. Автоматическое устранение уязвимостей. Этот шаг очень изредка реализуется в сетевых сканерах, но обширно применяется в системных сканерах (к Конспект курса бир структура Тема Часов - страница 7 примеру, System Scanner). При всем этом данная возможность может реализовываться по-разному. К примеру, в System Scanner создается особый сценарий (fix script), который админ может запустить для устранения уязвимости. Сразу Конспект курса бир структура Тема Часов - страница 7 с созданием этого сценария, создается и 2-ой сценарий, отменяющий произведенные конфигурации. Это нужно в этом случае, если после устранения препядствия, обычное функционирование узла быдет нарушено.

В любом случае у админа, осуществляющего поиск уязвимостей, есть Конспект курса бир структура Тема Часов - страница 7 несколько вариантов использования системы анализа защищенности:

Подсистема генерации отчетов - важный элемент системы анализа защищенности. Без нее тяжело составить мировоззрение о том, каковой уровень защищенности частей корпоративной сети Конспект курса бир структура Тема Часов - страница 7. На базе сделанных отчетов админ безопасности строит всю свою последующую деятельность - изменяет политику безопасности, избавляет обнаруженные уязвимости, реконфигурирует средства защиты, готовит отчеты управлению и т.д. При всем этом не плохая подсистема Конспект курса бир структура Тема Часов - страница 7 генерации отчетов должна владеть последующими качествами:
Особенности внедрения
Если сканер не находит уязвимостей на тестируемом узле это не означает, что их Конспект курса бир структура Тема Часов - страница 7 нет. Просто это зависит не только лишь от сканера, да и от его окружения. К примеру, для ОС Windows характерен таковой случай: сканер пробует дистанционно проанализировать системный реестр, но в Конспект курса бир структура Тема Часов - страница 7 случае запрета на анализируемом узле удаленного доступа к реестру, сканер никаких уязвимостей не увидит. Разные реализации 1-го итого же сервиса по-разному реагируют на системы анализа защищенности. Очень нередко на практике можно узреть, что Конспект курса бир структура Тема Часов - страница 7 сканер указывает уязвимости, которых на анализируемом узле нет. Это относится к сетевым сканерам, которые проводят дистанционный анализ узлов сети. Удаленно найти, существует ли в реальности уязвимость либо нет, фактически нереально. В данном Конспект курса бир структура Тема Часов - страница 7 случае можно посоветовать использовать систему анализа защищенности на уровне операционной системы, агенты которой инсталлируются на каждый контролируемый узел и проводят все проверки локально.

Для решения этой задачи некие компании Конспект курса бир структура Тема Часов - страница 7-производители пошли по пути предоставления своим юзерам нескольких систем анализа защищенности, работающих на всех обозначенных выше уровнях, - сетевом, системном и уровне приложений. Совокупа этих систем позволяет с высочайшей степенью эффективности найти фактически все известные Конспект курса бир структура Тема Часов - страница 7 уязвимости. К примеру, компания Internet Security Systems предлагает семейство SAFEsuite, состоящее из 4 сканеров: Internet Scanner, System Scanner, Security Manager и Database Scanner.

Компания Cisco, предлагающая только систему анализа защищенности на уровне сети пошла Конспект курса бир структура Тема Часов - страница 7 другим методом для устранения трудности неверного срабатывания. Она разделяет все уязвимости на два класса:

Проверки на потенциальную уязвимость проводятся через коллекцию заголовков и внедрение "несильных подталкиваний". "Подталкивание Конспект курса бир структура Тема Часов - страница 7" употребляется для сервисов, не возвращающих заглавия, но реагирующих на обыкновенные команды, к примеру, посылка команды HEAD для получения версии HTTP-сервера.

В неких случаях имеются уязвимости, с трудом обнаруживаемые либо совершенно не обнаруживаемые Конспект курса бир структура Тема Часов - страница 7 через сеть. К примеру, проверка "беспомощности" паролей, применяемых юзерами и другими учетными записями. В случае использования сетевого сканера вам будет нужно затратить сильно много времени на удаленную проверку каждой учетной Конспект курса бир структура Тема Часов - страница 7 записи. В то же время, подобная проверка, осуществляемая на локальном узле, проводится на несколько порядков резвее. Другим примером может служить проверка файловой системы сканируемого узла. В почти всех случаях ее нельзя выполнить дистанционно Конспект курса бир структура Тема Часов - страница 7.

Плюсы сканирования на уровне ОС кроются в прямом доступе к низкоуровневым способностям ОС хоста, определенным сервисам и деталям конфигурации. Тогда как сканер сетевого уровня имитирует ситуацию, которую мог бы иметь наружный Конспект курса бир структура Тема Часов - страница 7 злодей, сканер системного уровня может рассматривать систему со стороны юзера, уже имеющего доступ к анализируемой системе и имеющего в ней учетную запись. Это является более принципиальным различием, так как сетевой сканер по определению не Конспект курса бир структура Тема Часов - страница 7 может предоставить действенного анализа вероятных рисков деятельности юзера.

Многие сканеры употребляют более чем один способ проверки одной и той же уязвимости либо класса уязвимостей. Но в случае огромного числа проверок внедрение нескольких Конспект курса бир структура Тема Часов - страница 7 способов поиска одной уязвимости привносит свои препядствия. Связано это со скоростью проведения сканирования.

Не все проверки, разработанные в лабораторных критериях, работают так, как должны. Даже, невзирая на то, что эти проверки тестируются Конспект курса бир структура Тема Часов - страница 7, до того как будут внесены в окончательную версию сканера. На это могут оказывать влияние некие причины:

В таких случаях автоматическая проверка может пропустить уязвимость, которая просто находится вручную и которая может быть обширно всераспространена в почти всех системах. Проверка заголовка в совокупы с активным зондированием в Конспект курса бир структура Тема Часов - страница 7 таком случае может посодействовать найти подозрительную ситуацию, сервис либо узел. И хотя уязвимость не найдена, это не означает, что ее не существует.
^ Меры безопасности при использовании протоколов TCP/IP 1.Фильтрация на маршрутизаторе Конспект курса бир структура Тема Часов - страница 7
Фильтры на маршрутизаторе, соединяющем сеть предприятия с Вебом, используются для запрета пропуска датаграмм, которые могут быть применены для атак как на сеть организации из Веба, так и на наружные сети злоумышленником, находящимся снутри организации.

Необходимо Конспект курса бир структура Тема Часов - страница 7 подчеркнуть, что более неопасным и управляемым решением, чем фильтрация того либо другого TCP-трафика последующего от либо к компу юзера, является работа юзеров через прокси-серверы. Прокси-сервер берет на себя функции Конспект курса бир структура Тема Часов - страница 7 предоставления юзеру требуемого сервиса и сам связывается с необходимыми хостами Веба. Хост юзера ведет взаимодействие только с прокси-сервером и не нуждается в коннективности с Вебом. Таким макаром, фильтрующий маршрутизатор разрешает прохождение Конспект курса бир структура Тема Часов - страница 7 TCP-сегментов определенного типа только от либо к прокси-серверу. Достоинства этого решения последующие:

· Прокси-сервер находится под контролем админа предприятия, что позволяет реализовывать разные политики для дифференцированного управления доступом юзеров Конспект курса бир структура Тема Часов - страница 7 к сервисам и ресурсам Веба, фильтрации передаваемых данных (защита от вирусов, цензура и т.п.), кэширования (там, где это применимо).

· Исходя из убеждений Веба от имени всех пользовательских хостов предприятия действует один Конспект курса бир структура Тема Часов - страница 7 прокси-сервер, другими словами имеется только один возможный объект для атаки из Веба, а безопасность 1-го прокси-сервера, легче обеспечить, чем безопасность огромного количества пользовательских компов.
2.Анализ сетевого трафика
Анализ сетевого трафика Конспект курса бир структура Тема Часов - страница 7 проводится для обнаружения атак, предпринятых злодеями, находящимися как в сети организации, так и в Вебе.
3.Защита маршрутизатора
Мероприятия по защите маршрутизатора проводятся с целью предотвращения атак, направленных на нарушение схемы маршрутизации датаграмм Конспект курса бир структура Тема Часов - страница 7 либо на захват маршрутизатора злоумышленником.
4.Защита хоста
Мероприятия по защите хоста проводятся для предотвращения атак, цель которых — перехват данных, отказ в обслуживании, либо проникновение злодея в операционную систему.
5.Превентивное сканирование
Админ сети Конспект курса бир структура Тема Часов - страница 7 должен знать и использовать способы и инструменты злодея и проводить превентивное сканирование сети организации для обнаружения слабеньких мест в безопасности до того, как это сделает злодей. Для этой цели имеется также Конспект курса бир структура Тема Часов - страница 7 особое программное обеспечение — сканеры безопасности.
Общие меры по увеличению безопасности сети
1. ^ Оперативная установка исправлений для программ (Patching). Системные админы должны защищать важнейшие свои системы, оперативно устанавливая исправления для программ на их. Все же Конспект курса бир структура Тема Часов - страница 7, установить исправления для программ на всех хостах в сети тяжело, потому что исправления могут появляться довольно нередко. В данном случае нужно непременно заносить исправления в программки на важнейших хостах.

2. ^ Обнаружение вирусов и троянских Конспект курса бир структура Тема Часов - страница 7 жеребцов. Для наибольшей эффективности они должны быть установлены на всех компьютерах в сети. На установку антивирусных программ на всех компьютерах и постоянное обновление антивирусных баз в их может уходить довольно много времени Конспект курса бир структура Тема Часов - страница 7 - но по другому это средство не будет действенным. Юзеров следует учить, как им самим делать эти обновления, но при всем этом нельзя вполне полагаться на их. Кроме обыкновенной антивирусной программки на Конспект курса бир структура Тема Часов - страница 7 каждом компьютере мы нужно сканирование приложений к электрическим письмам на почтовом сервере. Таким макаром можно найти большая часть вирусов до того, как они достигнут машин юзеров.

3. ^ Межсетевые экраны Межсетевые экраны - самое принципиальное Конспект курса бир структура Тема Часов - страница 7 средство защиты сети организации. Они держут под контролем сетевой трафик, входящий в сеть и выходящий из нее. Межсетевой экран может перекрыть передачу в сеть какого-нибудь вида трафика либо делать те Конспект курса бир структура Тема Часов - страница 7 либо другие проверки другого вида трафика. Отлично сконфигуированный межсетевой экран в состоянии приостановить большая часть узнаваемых компьютерных атак.

4. ^ Вскрыватели паролей (Password Crackers) Хакеры нередко употребляют малоизвестные уязвимые места в компьютерах для того, чтоб украсть Конспект курса бир структура Тема Часов - страница 7 файлы с зашифрованными паролями. Потом они употребляют особые программки для вскрытия паролей, которые могут найти слабенькие пароли в этих зашифрованных файлах. Хотя это средство употребляются злодеями, оно будет также Конспект курса бир структура Тема Часов - страница 7 полезно и системным админам, чтоб вовремя найти слабенькие пароли.

5. Шифрование. Атакующие нередко попадают в сети при помощи прослушивания сетевого трафика в более принципиальных местах и выделения из него имен юзеров и их паролей Конспект курса бир структура Тема Часов - страница 7. Потому соединения с удаленными машинами, защищаемые при помощи пароля, должны быть зашифрованы. Это в особенности принципиально в тех случаях, если соединение осуществляется по Веб либо с принципиальным сервером. Имеется ряд коммерческих и бесплатных программ Конспект курса бир структура Тема Часов - страница 7 для шифрования трафика TCP/IP (более известен SSH).

6. ^ Сканеры уязвимых мест. Это программки, которые сканируют сеть в поисках компов, уязвимых к определенным видам атак. Сканеры имеют огромную базу данных уязвимых мест Конспект курса бир структура Тема Часов - страница 7, которую они употребляют при проверке того либо другого компьютера на наличие у него уязвимых мест.

7. ^ Грамотное конфигурирование компов в отношении безопасности.

8. Средства для поиска присоединенных модемов. Для поиска присоединенных модемов Конспект курса бир структура Тема Часов - страница 7 атакующие могут использовать программки обзвонки огромного числа телефонных номеров. Потому что юзеры обычно изменяют свои компы сами, они нередко оказываются плохо защищенными и дают атакующему еще одну возможность для организации атаки на сеть Конспект курса бир структура Тема Часов - страница 7. Системные админы должны часто использовать программки для проверки телефонных номеров собственных юзеров и обнаружения сконфигурированных схожим образом компов.

9. ^ Советы по безопасности (security advisories) Советы по безопасности - это предупреждения, публикуемые группами по борьбе с Конспект курса бир структура Тема Часов - страница 7 компьютерными злодеяниями и производителями программ о не так давно найденных уязвимых местах. Советы обычно обрисовывают самые суровые опасности, возникающие из-за этих уязвимых мест и потому являются занимающими не достаточно времени Конспект курса бир структура Тема Часов - страница 7 на чтение, но очень полезными. Они обрисовывают опасность и дают достаточно определенные советы о том, что необходимо сделать для устранения данного уязвимого места. 2-мя самыми полезными являются советы, которые публикует группа Конспект курса бир структура Тема Часов - страница 7 по борьбе с компьютерными злодеяниями CIAC и CERT.

10. ^ Средства обнаружения атак (Intrusion Detection) Системы обнаружения атак оперативно обнаруживают компьютерные атаки. Они могут быть установлены за межсетевым экраном, чтоб обнаруживать атаки, организуемые изнутри Конспект курса бир структура Тема Часов - страница 7 сети. Либо они могут быть установлены перед межсетевым экраном, чтоб обнаруживать атаки на межсетевой экран. Средства этого типа могут иметь различные способности.

11. ^ Средства выявления топологии сети и сканеры портов. Эти программки позволяют Конспект курса бир структура Тема Часов - страница 7 составить полную картину того, как устроена ваша сеть и какие компы в ней работают, также выявить все сервисы, которые работают на каждой машине. Атакующие употребляют эти средства для выявления уязвимых компов и Конспект курса бир структура Тема Часов - страница 7 программ на их. Системные админы должны использовать эти средства для наблюдения за тем, какие программки и на каких компьютерах работают в их сети. С помощью их можно найти некорректно сконфигурированные программки на компьютерах Конспект курса бир структура Тема Часов - страница 7 и установить исправления на их.

12. ^ Аннотации по действию в критичных ситуациях. В каждой сети, независимо от того, как она неопасна, происходят какие-либо действия, связанные с безопасностью (может быть даже неверные волнения Конспект курса бир структура Тема Часов - страница 7). Сотрудники организации должны заблаговременно знать, что необходимо делать в том либо ином случае.

13. ^ Политики безопасности. Организации должны написать политику безопасности, в какой определялся бы ожидаемый уровень защиты, который должен быть всюду единообразно Конспект курса бир структура Тема Часов - страница 7 реализован. Важнейшим нюансом политики является выработка единых требований к тому, какой трафик должен пропускаться через межсетевые экраны сети. Также политика должна определять как и какие средства защиты (к примеру, средства обнаружения атак либо сканеры Конспект курса бир структура Тема Часов - страница 7 уязвимых мест) должны употребляться в сети. Для заслуги одного уровня безопасности политика должна определять стандартные неопасные конфигурации для разных типов компов.

14. ^ Тестирование межсетевых экранов и WWW-серверов на устойчивость Конспект курса бир структура Тема Часов - страница 7 к попыткам их блокирования. Атаки на блокирование компьютера всераспространены в Веб. Атакующие повсевременно выводят из строя WWW-сайты, перегружают компы либо переполняют сети глупыми пакетами. Сети, заботящиеся о безопасности, могут организовать атаки против Конспект курса бир структура Тема Часов - страница 7 себя сами, чтоб найти, какой вред может быть нанесен им.


Модуль 4.

Лекция Х.

Механизмы работы межсетевых экранов. Различия программных и аппаратных межсетевых экранов. Программные межсетевые экраны фаворитных ОС, особенности опции. Аппаратные Конспект курса бир структура Тема Часов - страница 7 межсетевые экраны, их особенности. Способности и особенности опции аппаратных межсетевых экранов компании D-Link

^ 1. Экранирование и межсетевые экраны. Главные понятия.

По материалам РД. (Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа. Характеристики защищенности Конспект курса бир структура Тема Часов - страница 7 от несанкционированного доступа к инфы) межсетевой экран (МЭ) представляет собой локальное (однокомпонентное) либо функционально-распределенное средство (комплекс), реализующее контроль за информацией, поступающей в АС и/либо выходящей из АС, и обеспечивает защиту АС Конспект курса бир структура Тема Часов - страница 7 средством фильтрации инфы, другими словами ее анализа по совокупы критериев и принятия решения о ее распространении в (из) АС.

Мы будем использовать понятия межсетевой экран (МЭ), брандмауэр, firewall, шлюз с установленным дополнительным программным Конспект курса бир структура Тема Часов - страница 7 обеспечением firewall, как эквивалентные.

Формальная постановка задачки экранирования, состоит в последующем. Пусть имеется два огромного количества информационных систем. Экран – это средство разграничения доступа клиентов из 1-го огромного количества к серверам из Конспект курса бир структура Тема Часов - страница 7 другого огромного количества. Экран производит свои функции, контролируя все информационные потоки меж 2-мя огромными количествами систем (рис.12а). Контроль потоков состоит в их фильтрации, может быть, с выполнением неких преобразований.



Рис Конспект курса бир структура Тема Часов - страница 7.12а. Экран как средство разграничения доступа.

На последующем уровне детализации экран (полупроницаемую мембрану) комфортно представлять как последовательность фильтров. Любой из фильтров, проанализировав данные, может задержать (не пропустить) их, а может и Конспект курса бир структура Тема Часов - страница 7 сходу "перебросить" за экран. Не считая того, допускается преобразование данных, передача порции данных на последующий фильтр для продолжения анализа либо обработка данных от имени адресата и возврат результата отправителю (рис.12б).



Рис.12б Конспект курса бир структура Тема Часов - страница 7. Экран как последовательность фильтров

Кроме функций разграничения доступа, экраны производят протоколирование обмена информацией.

Межсетевой экран размещается меж защищаемой (внутренней) сетью и наружной средой (наружными сетями либо другими секторами корпоративной сети). В первом случае молвят Конспект курса бир структура Тема Часов - страница 7 о наружном МЭ, во 2-м – о внутреннем. Межсетевой экран – безупречное место для встраивания средств активного аудита. МЭ способен воплотить сколь угодно сильную реакцию на подозрительную активность, прямо до разрыва связи с наружной средой Конспект курса бир структура Тема Часов - страница 7.

На межсетевой экран целенаправлено возложить идентификацию/аутентификацию наружных юзеров, нуждающихся в доступе к корпоративным ресурсам (с поддержкой концепции одного входа в сеть).

В силу принципов эшелонированности обороны для защиты наружных подключений Конспект курса бир структура Тема Часов - страница 7 обычно употребляется двухкомпонентное экранирование (рис.13). Первичная фильтрация (к примеру, пакетов с определенными Айпишниками, включенными в "блэклист") осуществляется граничным маршрутизатором, за которым размещается так именуемая демилитаризованная зона (сеть с умеренным доверием безопасности, куда выносятся Конспект курса бир структура Тема Часов - страница 7 наружные информационные сервисы организации – Web, электрическая почта и т.п.) и основной МЭ, защищающий внутреннюю часть корпоративной сети.



Рис.13. Двухкомпонентное экранирование с демилитаризованной зоной.

На теоретическом уровне межсетевой экран (в особенности Конспект курса бир структура Тема Часов - страница 7 внутренний) должен быть многопротокольным, но на практике преобладание семейства протоколов TCP/IP настолько велико, что поддержка других протоколов представляется излишеством, вредным для безопасности (чем труднее сервис, тем он более уязвим).

Наружный, и Конспект курса бир структура Тема Часов - страница 7 внутренний межсетевой экран может стать узеньким местом, так как объем сетевого трафика имеет тенденцию резвого роста. Один из подходов к решению этой трудности подразумевает разбиение МЭ на несколько аппаратных частей и компанию специализированных Конспект курса бир структура Тема Часов - страница 7 серверов-посредников. Основной межсетевой экран может проводить грубую систематизацию входящего трафика по видам и передоверять фильтрацию подходящим посредникам (к примеру, посреднику, анализирующему HTTP-трафик). Исходящий трафик поначалу обрабатывается сервером-посредником, который Конспект курса бир структура Тема Часов - страница 7 может делать и функционально полезные деяния, такие как кэширование страничек наружных Web-серверов, что понижает нагрузку на сеть вообщем и основной МЭ а именно.

Ситуации, когда корпоративная сеть содержит только один наружный канал Конспект курса бир структура Тема Часов - страница 7, являются быстрее исключением, чем правилом. Почаще корпоративная сеть состоит из нескольких территориально разнесенных частей, любой из которых подключен к Internet. В данном случае каждое подключение должно защищаться своим экраном. Можно Конспект курса бир структура Тема Часов - страница 7 считать, что корпоративный наружный межсетевой экран является составным (распределенным), и требуется решать задачку согласованного администрирования всех компонент.

Есть также индивидуальные МЭ, созданные для защиты отдельных компов. Главное отличие индивидуального межсетевого экрана Конспект курса бир структура Тема Часов - страница 7 от распределенного - наличие функции централизованного управления. Если индивидуальные межсетевые экраны управляются только с того компьютера, на котором они установлены, и совершенно подходят для домашнего внедрения, то распределенные межсетевые экраны могут управляться централизованно Конспект курса бир структура Тема Часов - страница 7, с единой консоли управления. Такие отличия позволили неким производителям выпускать свои решения в 2-ух версиях - индивидуальной (для домашних юзеров) и распределенной (для корпоративных юзеров).

^ Механизмы работы межсетевых экранов

Существует два главных метода сотворения наборов правил Конспект курса бир структура Тема Часов - страница 7 межсетевого экрана: ''включающий'' и ''исключающий''. Исключающий межсетевой экран позволяет прохождение всего трафика, кроме трафика, соответственного набору правил. Включающий межсетевой экран действует прямо обратным образом. Он пропускает только трафик, соответственный правилам и Конспект курса бир структура Тема Часов - страница 7 перекрывает все другое.

Включающие межсетевые экраны обычно более неопасны, чем исключающие, так как они значительно уменьшают риск пропуска межсетевым экраном ненужного трафика.

Безопасность может быть дополнительно повышена с внедрением ''межсетевого экрана с Конспект курса бир структура Тема Часов - страница 7 сохранением состояния''. Таковой межсетевой экран сохраняет информацию об открытых соединениях и разрешает только трафик через открытые соединения либо открытие новых соединений. Недочет межсетевого экрана с сохранением состояния в том, что он может быть уязвим Конспект курса бир структура Тема Часов - страница 7 для атак DoS (Denial of Service, отказ в обслуживании), если огромное количество новых соединений раскрывается очень стремительно. Большая часть межсетевых экранов позволяют сочетать поведение с сохранением состояния и без Конспект курса бир структура Тема Часов - страница 7 сохранения состояния, что нормально для реальных применений.
Систематизация межсетевых экранов
При рассмотрении хоть какого вопроса, касающегося сетевых технологий, основой служит семиуровневая эталонная модель ISO/OSI. Межсетевые экраны также целенаправлено систематизировать по уровню Конспект курса бир структура Тема Часов - страница 7 фильтрации:

Соответственно, можно гласить об:

Есть также всеохватывающие экраны, анализирующие информацию на нескольких уровнях Конспект курса бир структура Тема Часов - страница 7. Таким макаром, МЭ можно поделить на три типа:

Фильтрация информационных потоков осуществляется межсетевыми экранами на базе набора правил, являющихся выражением Конспект курса бир структура Тема Часов - страница 7 сетевых качеств политики безопасности организации. В этих правилах, кроме инфы, содержащейся в фильтруемых потоках, могут фигурировать данные, приобретенные из окружения, к примеру, текущее время, количество активных соединений, порт, через Конспект курса бир структура Тема Часов - страница 7 который поступил сетевой запрос, и т.д. Таким макаром, в межсетевых экранах употребляется мощнейший логический подход к разграничению доступа.

Способности межсетевого экрана конкретно определяются тем, какая информация может употребляться в правилах фильтрации и какова Конспект курса бир структура Тема Часов - страница 7 может быть мощность наборов правил. Вообщем говоря, чем выше уровень в модели ISO/OSI, на котором работает МЭ, тем паче содержательная информация ему доступна и, как следует, тем тоньше и надежнее он может Конспект курса бир структура Тема Часов - страница 7 быть сконфигурирован.
Пакетные фильтры
Экранирующие маршрутизаторы (и концентраторы) имеют дело с отдельными пакетами данных, потому их именуют пакетными фильтрами. Дополнительной возможностью пакетных фильтров являются: модификация неких полей в заголовках пакетов, трансляция Конспект курса бир структура Тема Часов - страница 7 адресов и номеров портов, протоколирование и ведение статистики, незамедлительное извещение админа о возникновении пакетов, которые блокируются фильтром. Конструктивной особенностью обычных фильтров пакетов является отсутствие памяти состояния соединения, т.е. они не Конспект курса бир структура Тема Часов - страница 7 являются в полном смысле протокольными автоматами. Обычная фильтрация пакетов действует лишь на сетевом уровне. В качестве данных из заголовков IP-пакетов для фильтрации могут употребляться (в порядке убывания значимости):

Параметрами среды, которые могут употребляться для Конспект курса бир структура Тема Часов - страница 7 фильтрации, являются:

Фильтрация на базе Айпишников источника и приемника является наименьшим требованием к МЭ с возможностью обычный фильтрации пакетов. Задание только этих данных в Конспект курса бир структура Тема Часов - страница 7 аспектах фильтрации позволяет запретить установление связи меж определенными компьютерами, что позволяет сделать достижимыми из глобальной сети только те компы организации, которые предоставляют службы наружным юзерам либо пользуются службами наружной сети. Необходимо подчеркнуть, что фильтрацию Конспект курса бир структура Тема Часов - страница 7 на базе цифровых адресов, обозначенных в заголовках IP-пакетов, могут производить все маршрутизаторы.

Но злодей может подменить собственный адресок (из наружной сети) адресом внутренней сети, таким макаром, делая неосуществимой Конспект курса бир структура Тема Часов - страница 7 надежную фильтрацию на базе только цифровых адресов, если нужно запретить доступ к отдельным компьютерам снаружи, разрешив к ним доступ для внутренних юзеров. Потому очень нужным параметром фильтрации является направление пакета: входящий во внутреннюю сеть Конспект курса бир структура Тема Часов - страница 7 либо исходящий из нее.

Текущее время может употребляться для воспрещения доступа к неким ресурсам организации в нерабочее время и выходные деньки. Не считая того, может быть воспрещение доступа наружных юзеров в часы большей Конспект курса бир структура Тема Часов - страница 7 загрузки локальной сети. Длина IP-пакета может употребляться для блокирования очень длинноватых пакетов, получение которых компьютером-приемником может привести к выведению последнего из строя ("зависанию" либо перезагрузке).

Тип протокола Конспект курса бир структура Тема Часов - страница 7 транспортного уровня (TCP, UDP либо ICMP) употребляется для более высококачественной фильтрации - можно перекрыть весь ICMP-трафик, заблокировав тем атаки маршрутизации источника и ей подобные. Типы TCP и UDP вместе с номерами портов источника Конспект курса бир структура Тема Часов - страница 7 и приемника употребляются для блокирования доступа к отдельным службам на отдельных компьютерах. Необходимо подчеркнуть, что эффективную защиту службы можно организовать, только если данная служба имеет определенный фиксированный порт, в неприятном случае приходиться вполне перекрыть Конспект курса бир структура Тема Часов - страница 7 доступ к компу, что часто неприемлемо.

Используя дополнительные характеристики IP-пакета и TCP/UDP-заголовка, можно, к примеру, запретить фрагментацию и сделать надлежащие атаки неэффективными. Некие пакетные фильтры предоставляют возможность конфигурации обозначенных Конспект курса бир структура Тема Часов - страница 7 характеристик с той же целью.

Принципиальной дополнительной возможностью МЭ на базе обычной фильтрации пакетов является трансляция сетевых адресов и портов (network address & port translation) либо изменение реальных адресов компов внутренней сети на Конспект курса бир структура Тема Часов - страница 7 измышленные (виртуальные), при этом несколько (либо все) реальных внутренних адресов могут транслироваться в один сетевой адресок (с конфигурацией номеров портов). Не считая качеств, связанных с качествами защиты, данная возможность Конспект курса бир структура Тема Часов - страница 7 может употребляться в случае, если количество компов, присоединенных к сети Веб, в организации больше, чем количество сетевых адресов, официально выделенных данной организации.

Политика фильтрации задается при помощи упорядоченного набора правил. Каждое правило Конспект курса бир структура Тема Часов - страница 7 состоит из условия срабатывания правила и, фактически, деяния. Общее воздействие правила состоит из деяния по разрешению либо блокированию пакета (с извещением об этом отправителя пакета либо без него), деяния по трансляции адреса и Конспект курса бир структура Тема Часов - страница 7 номера порта, деяния по изменению дополнительных характеристик TCP/UDP/IP-заголовка, деяния по учету пакета (ведение статистики) и деяния по вероятному незамедлительному информированию админа безопасности. Если подходящее правило не было найдено, то Конспект курса бир структура Тема Часов - страница 7 употребляется политика по дефлоту - или разрешено все, что не запрещено, или запрещено все, что не разрешено.

Для описания правил прохождения пакетов составляются таблицы типа:

Действие

тип пакета

адресок источн.

порт источн.

адресок назнач.

порт Конспект курса бир структура Тема Часов - страница 7 назнач.

флаги

Поле "действие" может принимать значения пропустить либо откинуть.

Тип пакета - TCP, UDP либо ICMP.

Флаги - флаги из заголовка IP-пакета.

Поля "порт источника" и "порт предназначения" имеют смысл только для Конспект курса бир структура Тема Часов - страница 7 TCP и UDP пакетов.

К положительным качествам обычной пакетной фильтрации (по сопоставлению с другими способами фильтрации) следует отнести:
относительно низкая цена; упругость в определении правил фильтрации; наибольшая пропускная способность. Недочеты у обычный фильтрации Конспект курса бир структура Тема Часов - страница 7 пакетов последующие: локальная сеть видна (маршрутизируется) из сети Веб; не учитывается содержимое IP-пакетов; правила фильтрации пакетов трудны в описании; при нарушении работоспособности МЭ все компы за ним становятся стопроцентно незащищенными Конспект курса бир структура Тема Часов - страница 7 или труднодоступными; аутентификацию с внедрением Айпишники (наружной сети) можно одурачить заменой адреса; отсутствует аутентификация на пользовательском уровне. Сервера уровня соединения
Сервер уровня соединения представляет из себя транслятор TCP соединения. Юзер образует соединение с определенным Конспект курса бир структура Тема Часов - страница 7 портом на брандмауэре, после этого последний производит соединение с местом предназначения по другую сторону от брандмауэра. Во время сеанса этот транслятор копирует байты в обоих направлениях, действуя как посредник. Посредничество состоит Конспект курса бир структура Тема Часов - страница 7 в том, что связь меж 2-мя компьютерами на физическом уровне осуществляется через систему-посредника и реально состоит из 2-ух TCP-соединений.

Необходимо подчеркнуть, что компьютер-инициатор не передает МЭ имя компьютера Конспект курса бир структура Тема Часов - страница 7-адресата - его Айпишник и номер TCP-порта фиксированы для определенного МЭ и известны. Из этого замечания следует, что, во-1-х, связь через МЭ осуществляется от многих к одному, а, во-2-х, МЭ Конспект курса бир структура Тема Часов - страница 7 уровня соединения употребляются только для организации неопасного соединения от наружных компов (удаленных рабочих станций) к внутреннему компу (серверу поддержки локальной сети либо информационному серверу). Все же, вероятен случай, когда компьютеров-адресатов будет несколько Конспект курса бир структура Тема Часов - страница 7. При всем этом МЭ, поддерживающий этот случай, перед установлением связи с адресатом должен избрать определенный компьютер из нескольких схожих.

^ Под безопасностью связи предполагается то, что после установления связи факт ее существования уже Конспект курса бир структура Тема Часов - страница 7 запротоколирован и проведена аутентификация компьютера-инициатора связи. Протоколирование факта значит не только лишь возможность в предстоящем выследить злодея, да и возможность обнаружения атаки в реальном масштабе времени. Под аутентификацией компьютера-инициатора понимаются деяния Конспект курса бир структура Тема Часов - страница 7, предпринимаемые МЭ при проверке допустимости связи.

Проверка допустимости связи производится МЭ конкретно после запроса на соединение компьютером-инициатором и может основываться на данных из пакета-запроса на соединение, данных среды и статистических Конспект курса бир структура Тема Часов - страница 7 данных. В качестве данных пакета-запроса на соединение могут употребляться:

Вероятными применяемыми данными среды являются:

Более необходимыми из вышеперечисленных являются Айпишник компьютера-инициатора и ответ DNS-сервера, содержащий символьное имя (если таковое имеется) компьютера-инициатора, и текущее время запроса соединения. Необходимо подчеркнуть, что при передаче данных соединения Конспект курса бир структура Тема Часов - страница 7 вероятен контроль неких характеристик в целях улучшения защиты и свойства соединения:

Контролирование этих характеристик Конспект курса бир структура Тема Часов - страница 7 позволяет верно распределить пропускную способность канала связи меж несколькими соединениями, тем, ограничив очень вероятную загрузку линий связи трафиком злодея, также позволяет впору найти деятельность злодея и закрыть (т.е. окончить по инициативе посредника) данное соединение Конспект курса бир структура Тема Часов - страница 7 (с протоколированием предпосылки и извещением об этом админа).

Способ задания политики фильтрации и принцип функционирования части устройства, реализующей определение допустимости соединения аналогичен вышеперечисленному.

К преимуществам МЭ уровня соединения следует отнести последующие:

Недочетами МЭ этого типа являются:
Сервера прикладного уровня
МЭ прикладного уровня производит посреднические услуги по передаче данных и команд прикладного уровня 2-мя компьютерами в сети. Посредничество состоит в том, что связь меж 2-мя компьютерами на физическом Конспект курса бир структура Тема Часов - страница 7 уровне осуществляется через систему-посредника и реально состоит из 2-ух соединений прикладного уровня. В общих чертах механизм работы МЭ прикладного уровня таковой же как и у МЭ уровня соединения Конспект курса бир структура Тема Часов - страница 7, но, функционирование происходит на более высочайшем уровне и существует возможность поддержки особых протоколов безопасности (SSH, SSL, S/MIME, SOCKS и др.).

Сначала, стоит отметить, что в отличие от МЭ уровня соединения, нацеленного на Конспект курса бир структура Тема Часов - страница 7 единственный протокол TCP, МЭ прикладного уровня существует много - под каждый протокол прикладного (и сеансового) уровня. Каждый МЭ допускает и защищает только тот протокол, который он поддерживает (тем реализуется политика "запрещено все Конспект курса бир структура Тема Часов - страница 7, что не разрешено"). Более пользующиеся популярностью поддерживаемые МЭ протоколы можно поделить на последующие группы:

Потому что МЭ работает на прикладном уровне Конспект курса бир структура Тема Часов - страница 7, то у него есть огромные способности по фильтрации прикладных команд и данных. К примеру, для протокола FTP может быть воспрещение команды "put" - команды записи файла на сервер. Вероятна организация разграничения доступа к объектам сервера Конспект курса бир структура Тема Часов - страница 7 дополнительно к способностям самого сервера по разграничению доступа.

Если МЭ поддерживает "неопасный" протокол, то может быть поддержание конфиденциальности и целостности передаваемых через внешнюю сеть данных методом шифрования данных и вычисления криптографических контрольных Конспект курса бир структура Тема Часов - страница 7 сумм (т.е. туннелируя трафик прикладного уровня). В данном случае компьютер-инициатор тоже должен поддерживать тот же самый "неопасный" протокол (удаленная защищенная рабочая станция) или нужен очередной МЭ прикладного уровня, поддерживающий тот Конспект курса бир структура Тема Часов - страница 7 же самый "неопасный" протокол (виртуальная личная сеть - VPN).

Метод реализации схемы усиленной аутентификации компьютера-инициатора и юзера находится в зависимости от применяемого протокола, поддержка МЭ (и компьютером-инициатором) "неопасного Конспект курса бир структура Тема Часов - страница 7" протокола позволяют не только лишь прирастить надежность аутентификации, да и унифицировать процесс аутентификации.

Следует также отметить, что компьютер-инициатор сначала сеанса связи передает МЭ имя компьютера-адресата и запрашиваемого сервиса (в общем случае Конспект курса бир структура Тема Часов - страница 7 - URL), т.е. связь с через МЭ может осуществляется от многих ко многим. Метод передачи этого имени находится в зависимости от применяемого протокола. Тут же может передаваться и имя юзера, с правами Конспект курса бир структура Тема Часов - страница 7 которого будет осуществляться доступ. В схеме передачи данных меж 2-мя соединениями заместо обычного копирования употребляется техника высокоуровневой фильтрации, трансляции и кэширования данных (протокольный автомат).

К преимуществам МЭ прикладного уровня (по сопоставлению с другими способами Конспект курса бир структура Тема Часов - страница 7 фильтрации) следует отнести последующие:

Главным недочетом МЭ этого типа является необходимость в существовании нескольких МЭ для различных сервисов.

^ Пакетная фильтрация инспекционного типа

Пакетная фильтрация инспекционного типа (packet state-full inspection) - способность Конспект курса бир структура Тема Часов - страница 7 неких МЭ по блокированию (уничтожению) и изменению пакетов, проходящих через МЭ, по данному аспекту на базе данных, содержащихся в этих пакетах, данных контекстов соединений транспортного, сеансового и прикладного уровней, текущих характеристик среды Конспект курса бир структура Тема Часов - страница 7 и статистических данных.

Разработка фильтрации пакетов инспекционного (либо экспертного) типа соединяет внутри себя элементы всех 3-х обрисованных выше технологий. Как и обычная фильтрация пакетов, фильтрация инспекционного типа работает на сетевом уровне модели OSI Конспект курса бир структура Тема Часов - страница 7, фильтруя входящие и исходящие пакеты на базе проверки Айпишников и номеров портов и т.п. Фильтры пакетов инспекционного типа также делают функции посредника уровня соединения, определяя, относятся ли пакеты к соответственному Конспект курса бир структура Тема Часов - страница 7 сеансу связи. И, в конце концов, фильтры инспекционного типа берут на себя функции многих посредников прикладного уровня (сразу), оценивая и модифицируя содержимое каждого пакета в согласовании с политикой безопасности, выработанной в определенной организации.

Как и Конспект курса бир структура Тема Часов - страница 7 посредник прикладного уровня, фильтр пакетов инспекционного типа может быть сконфигурирован для блокирования пакетов, содержащих определенные команды, к примеру команду "put" службы FTP. Но, в отличие от посредников прикладного уровня Конспект курса бир структура Тема Часов - страница 7, при анализе данных прикладного уровня таковой фильтр не нарушает модели клиент-сервер взаимодействия в сети - фильтр инспекционного типа допускает прямые соединения меж компьютером-инициатором соединения и компьютером-адресатом. Для обеспечения защиты такие фильтры Конспект курса бир структура Тема Часов - страница 7 перехватывают и анализируют каждый пакет на прикладном уровне модели OSI. Заместо внедрения связанных с приложениями программ-посредников, фильтр пакетов инспекционного типа употребляет особые методы определения и обработки данных на уровне приложений.

Владея Конспект курса бир структура Тема Часов - страница 7 всеми преимуществами 3-х вышерассмотренных типов фильтров и наименьшим количеством недочетов, МЭ с функцией фильтрации пакетов инспекционного типа обеспечивают один из самых больших на сегодня уровней защиты локальных сетей.
Схемы подключения МЭ
Брандмауэр Конспект курса бир структура Тема Часов - страница 7 может употребляться в качестве наружного роутера, используя поддерживаемые типы устройств для подключения к наружной сети (см. рис. 14).



Набросок 14. Подключение через брандмауэр.

Время от времени употребляется схема, изображенная на рис 15, но воспользоваться ей следует исключительно Конспект курса бир структура Тема Часов - страница 7 в последнем случае, так как требуется очень аккуратная настройка роутеров и маленькие ошибки могут образовать суровые дыры в защите.



Набросок 15. Подключение через брандмауэр.

Если брандмауэр может поддерживать два Ethernet Конспект курса бир структура Тема Часов - страница 7 интерфейса, то в большинстве случаев подключение осуществляется через наружный маршрутизатор (см рис. 15).



Набросок 16. Подключение через брандмауэр.

При всем этом меж наружным роутером и брандмауэром имеется только один путь, по которому идет весь трафик. Обычно роутер Конспект курса бир структура Тема Часов - страница 7 настраивается таким макаром, что брандмауэр является единственной видимой снаружи машиной. Эта схема является более предпочтительной исходя из убеждений безопасности и надежности защиты. Другая схема представлена на рис. 16.



Набросок 17. Подключение Конспект курса бир структура Тема Часов - страница 7 через брандмауэр.

При всем этом брандмауэром защищается только одна сабсеть из нескольких выходящих из роутера. В незащищаемой брандмауэром области нередко располагают серверы, которые должны быть видимы снаружи (WWW, FTP и т.д Конспект курса бир структура Тема Часов - страница 7.). Некие брандмауэры предлагают расположить эти сервера на нем самом - решение, далековато не наилучшее исходя из убеждений загрузки машины и безопасности самого брандмауэра

Есть решения (см рис. 17),которые позволяют организовать для серверов, которые должны быть Конспект курса бир структура Тема Часов - страница 7 видимы снаружи, третью сеть; это позволяет обеспечить контроль за доступом к ним, сохраняя в то же время нужный уровень защиты машин в основной сети. При всем этом довольно много внимания уделяется тому, чтоб Конспект курса бир структура Тема Часов - страница 7 юзеры внутренней сети не могли случаем либо специально открыть дыру в локальную сеть через эти сервера. Для увеличения уровня защищенности может быть использовать в одной сети несколько брандмауэров, стоящих вереницей.



Набросок Конспект курса бир структура Тема Часов - страница 7 18. Подключение через брандмауэр.

Дополнительные способности МЭ

Можно отметить последующие дополнительные способности межсетевых экранов:

Действенный межсетевой экран должен владеть механизмом защиты от небезопасного содержимого, которое можно получить из Internet. К Конспект курса бир структура Тема Часов - страница 7 такому содержимому можно отнести апплеты Java и управляющие элементы ActiveX, код ShockWave и сценарии JavaScript, Jscript и VBScript. При помощи этих, с одной стороны неподменных и комфортных технологий, можно выполнить огромное Конспект курса бир структура Тема Часов - страница 7 число несанкционированных действий на компьютере. Начиная от внедрения вирусов и установки троянских жеребцов и заканчивая кражей либо удалением всей инфы. Также индивидуальные межсетевые экраны должны защищать от cookies, которые могут раскрыть секретную информацию о Конспект курса бир структура Тема Часов - страница 7 обладателе компьютера.

^ Вопросы безопасности внедрения МЭ

Более естественным недочетом МЭ является большая возможность того, что он может заблокировать некие нужные юзеру службы, такие как Telnet, FTP, XWindow, NFS и т.д. Некие Конспект курса бир структура Тема Часов - страница 7 объекты могут владеть топологией, не созданной для использования МЭ, либо использовать службы (сервисы) таким макаром, что его внедрение потребовало бы полной реорганизации локальной сети.

МЭ не защищают системы локальной сети от проникания Конспект курса бир структура Тема Часов - страница 7 через "лючки" (backdoors). К примеру, если на систему, защищенную МЭ. все таки разрешается неограниченный модемный доступ, злодей может с фуррором обойти МЭ. Связь через протоколы PPP (Point-to-Point) и SLIP (Serial Line Конспект курса бир структура Тема Часов - страница 7 IP) в рамках защищенной сабсети является, по существу, еще одним сетевым соединением и возможным каналом нападения. Межсетевые экраны не могут защитить ресурсы корпоративной сети в случае неконтролируемого использования в ней модемов. Доступ Конспект курса бир структура Тема Часов - страница 7 в сеть через модем по протоколам SLIP либо PPP в обход межсетевого экрана делает сеть фактически незащищенной. Для решения этой задачки нужно строго держать под контролем все имеющиеся в корпоративной сети Конспект курса бир структура Тема Часов - страница 7 модемы и программное обеспечение удаленного доступа. Для этих целей может быть применение как организационных, так и технических мер. К примеру, внедрение систем разграничения доступа, в т.ч. и к COM-портам (к примеру Конспект курса бир структура Тема Часов - страница 7, Secret Net) либо систем анализа защищенности (к примеру, Internet Scanner и System Scanner). Верно разработанная политика безопасности обеспечит дополнительный уровень защиты корпоративной сети, установит ответственность за нарушение правил работы в Конспект курса бир структура Тема Часов - страница 7 Internet и т.п. Не считая того, подабающим образом сформированная политика безопасности позволит понизить возможность несанкционированного использования модемов и других устройств и программ для воплощения удаленного доступа.

МЭ, обычно, не обеспечивает защиту от внутренних Конспект курса бир структура Тема Часов - страница 7 угроз. С одной стороны, МЭ можно создать так, чтоб предупредить получение секретной инфы злодеями из наружной сети, но, МЭ не воспрещает юзерам внутренней сети копировать информацию на магнитные носители либо выводить Конспект курса бир структура Тема Часов - страница 7 ее на печатающее устройство. Таким макаром, было бы ошибкой считать, что наличие МЭ обеспечивает защиту от внутренних атак либо вообщем атак, для которых не требуется внедрение МЭ. Межсетевой экран просматривает трафик на границах Конспект курса бир структура Тема Часов - страница 7 меж внутренней сетью и сетью Internet. Если трафик, использующий "бреши" в защите, никогда не проходит через межсетевой экран, то МЭ и не находит никаких заморочек.

Существует также и возможность "общего риска Конспект курса бир структура Тема Часов - страница 7" - в МЭ все средства безопасности сосредоточены в одном месте, а не распределены меж системами сети. Компрометация МЭ ведет к нарушению безопасности для других, наименее защищенных систем.

Межсетевой экран фильтрует трафик и воспринимает решения Конспект курса бир структура Тема Часов - страница 7 о пропуске либо перекрытии сетевых пакетов, делая упор на информацию об применяемом протоколе. Обычно, правила предугадывают подобающую проверку с целью определения того, разрешен либо нет определенный протокол. К примеру, если на МЭ Конспект курса бир структура Тема Часов - страница 7 разрешен 25 и 80 порты, то тем разрешается пропуск во внутреннюю сеть почтового (SMTP) и Web (HTTP) трафика. Конкретно этот принцип обработки и употребляется квалифицированными злодеями. Вся несанкционированная деятельность осуществляется в рамках разрешенного Конспект курса бир структура Тема Часов - страница 7 протокола, создавая тем в нем туннель, по которому злодей и реализует атаку. Самый обычный пример, демонстрирующий применение туннелей - Internet-черви и макровирусы, заносимые в корпоративную сеть в виде вложений в сообщения электрической Конспект курса бир структура Тема Часов - страница 7 почты. Если межсетевой экран разрешает прохождение SMTP-трафика, то во внутреннюю сеть может попасть и "вирусная зараза".

Замена адреса - это метод сокрытия реального адреса злодея. Но он может употребляться и для обхода Конспект курса бир структура Тема Часов - страница 7 защитных устройств межсетевого экрана. Таковой простой метод, как подмена адреса источника сетевых пакетов на адресок из защищаемой сети, уже не может ввести в заблуждение современные межсетевые экраны. Они все употребляют разные методы Конспект курса бир структура Тема Часов - страница 7 защиты от таковой замены. Но сам принцип замены адреса остается как и раньше животрепещущим. К примеру, злодей может подменить собственный реальный адресок на адресок узла, у которого установлены доверенные дела с атакуемой системой Конспект курса бир структура Тема Часов - страница 7 и воплотить атаку типа "отказ в обслуживании" на нее.

В заключение необходимо отметить, что межсетевые экраны являются нужным, но очевидно недостающим средством обеспечения информационной безопасности. Они обеспечивают только первую линию Конспект курса бир структура Тема Часов - страница 7 обороны.

^ 2. Различия программных и аппаратных межсетевых экранов.

Аппаратные брандмауэры - это наружные устройства, которые представляют собой буферное устройство меж компом и соединением с Вебом. Большая часть аппаратных брандмауэров предназначены для кабельных либо цифровых Конспект курса бир структура Тема Часов - страница 7 соединений. Аппаратные индивидуальные брандмауэры - это замкнутые устройства, которые ведут взаимодействие с компом при помощи Web-браузера. Не считая Web-браузера, дополнительного программного обеспечения не требуется. Характеристики аппаратных брандмауэров варьируются зависимо от поставщика Конспект курса бир структура Тема Часов - страница 7. Набор доступных параметров также варьируется зависимо от цены. При малых запросах можно приобрести аппаратный брандмауэр, поддерживающий одиночное соединение юзера ПК. Ненамного дороже стоит аппаратный брандмауэр, который делает еще одну функцию как сетевой Конспект курса бир структура Тема Часов - страница 7 концентратор/коммутатор, который может поддерживать маленькую локальную сеть.

Аппаратные брандмауэры соединяются с кабельным либо цифровым модемом при помощи сетевого соединения Ethernet. Аппаратный брандмауэр, имеющий более 1-го порта, позволяет соединить с ним Конспект курса бир структура Тема Часов - страница 7 другие компы и сделать локальную сеть.

После установки можно поддерживать связь с индивидуальным брандмауэром при помощи Айпишников, присвоенных им для себя без помощи других, через Web-браузер. Например, индивидуальный брандмауэр Linksys присвоил для себя Конспект курса бир структура Тема Часов - страница 7 Айпишник 192.168.1.1. Чтоб начать его конфигурирование, довольно запустить собственный браузер и напечатать http://192,168.1.1 в поле URL (строке "Адресок") и надавить Enter. Будет нужно ввести пароль, который можно потом поменять, чтоб не допустить Конспект курса бир структура Тема Часов - страница 7 способности того, что кто-либо еще будет способен поменять конфигурацию брандмауэра. Все управление отныне будет происходить при помощи соединения с браузером.

На рынке представлен ряд индивидуальных аппаратных брандмауэров. Большая часть из Конспект курса бир структура Тема Часов - страница 7 их имеют общий набор черт. Эти свойства включают:

Программные брандмауэры - это программки, установленные на компьютере, которые находятся на жестком диске и загружаются Конспект курса бир структура Тема Часов - страница 7 в память, когда компьютер начинает работать. В отличие от аппаратных брандмауэров, программные брандмауэры предназначены для работы с текущей аппаратной конфигурацией и так же эффективны для коммутируемых соединений, как для кабельных и цифровых Конспект курса бир структура Тема Часов - страница 7 соединений. После установки каждый программный брандмауэр изменяется при помощи собственного собственного специализиро­ванного интерфейса.

В отличие от аппаратных брандмауэров, программные брандмауэры предназначены для защиты отдельного устройства и не предоставляют способности сотворения локальных сетей Конспект курса бир структура Тема Часов - страница 7.

Программные брандмауэры дешевле, чем аппаратные. Некие хорошие программные брандмауэры даже бесплатны для личных юзеров. К примеру, индивидуальный брандмауэр ZoneAlarm бесплатен, хотя существует также проф версия программки, предоставляющая дополнительные
характеристики, которая не бесплатна.


^ 3. Программные Конспект курса бир структура Тема Часов - страница 7 межсетевые экраны фаворитных ОС, особенности опции.

Посреди бессчетных параметров ОС Windows есть интегрированный брандмауэр, который компания Microsoft именовала Брандмауэр Интернет-соединения.

Мастер домашних сетей Microsoft автоматом установит и сконфигурирует как соединение Конспект курса бир структура Тема Часов - страница 7 компьютера с Вебом, так и его индивидуальный брандмауэр. Компания Microsoft утверждает, что этот брандмауэр будет перекрыть незатребованные соединения с Вебом. Не считая того, если есть маленькая домашняя сеть, можно использовать индивидуальный брандмауэр для Конспект курса бир структура Тема Часов - страница 7 ее защиты.

Программные брандмауэры предназначены для работы с определенными операционными системами. Программные брандмауэры предоставляют обыкновенные в эксплуатации мастера опции, которые проведут через процессы установки и конфигурирования. Каждый программный брандмауэр предоставляет Конспект курса бир структура Тема Часов - страница 7 собственный свой набор заблаговременно определенных служб безопасности, которые позволяют вам устанавливать разные уровни безопасности. К примеру, брандмауэр BlacklCE Defender предоставляет четыре за ранее настроенные службы безопасности:

доверительная (Trusting) - пропускает- весь входящий трафик, значительно перегружающий Конспект курса бир структура Тема Часов - страница 7 брандмауэр;

дальновидная (Cautious) - перекрывает весь незатребованный Интернет- трафик, который пробует получить доступ к ресурсам сети либо операцион­ной системы;

пугливая (Nervous) - перекрывает весь незатребованный,. Интернет-трафик, кроме определенных типов Конспект курса бир структура Тема Часов - страница 7;

параноидальная (Paranoid) - перекрывает весь незатребованный Интернет-трафик.

Правомерно ждать от программного брандмауэра приблизительно того же уровня защиты, как и от аппаратного. Основное различие меж 2-мя видами брандмауэров - это то, что аппаратные брандмауэры Конспект курса бир структура Тема Часов - страница 7 защищают компьютер, пытаясь перекрыть хоть какое нападение, атакующее из хоть какого места, тогда как программный брандмауэр в силу того, что он установлен на самом компьютере, может защищать компьютер от атак, которые уже достигнули компьютера Конспект курса бир структура Тема Часов - страница 7. Программные брандмауэры потребляют компьютерные ресурсы, включая место на диске и память, и потому (даже когда они удачно делают свои функции) все таки незначительно оказывают влияние на производительность компьютера.

Аппаратные требования разных программных брандмауэров Конспект курса бир структура Тема Часов - страница 7 могут существенно различаться. Аппаратные брандмауэры, с другой стороны, не требуют установки программного обеспечения на компьютере, который защищают. Их единственное требование - это наличие Ethernet-соединения.

Разглядим детально брандмауэры ОС Linux.

Во Конспект курса бир структура Тема Часов - страница 7 все ядра Linux, начиная с 2.0, встроено средство для фильтрации сетевых пакетов. В версии 2.0 это ipfwadm, в 2.2 - ipchains, а в 2.4 и 2.6 - iptables. Мы будем рассматривать последний вариант, как более современный.

Принцип фильтрации заключается в последующем Конспект курса бир структура Тема Часов - страница 7: когда через ядро проходит пакет, он проверяется на совпадение с одним либо несколькими правилами. При всем этом зависимо от этих правил он может быть пропущен (ACCEPT), отброшен (DROP) либо отклонен Конспект курса бир структура Тема Часов - страница 7 (REJECT). Не считая того, он может быть выслан на проверку в последующую цепочку правил. Тут же можно указать, что факт прохождения пакета, подходящего под определенное правило, должен быть отмечен в syslog. Правила Конспект курса бир структура Тема Часов - страница 7 могут включать в себя проверку адреса/порта источника/получателя, протокола, флагов TCP.


konspekt-lekcij-po-kursu-strahovanie-referat.html
konspekt-lekcij-po-kursu-tehnologiya-osnovnogo-neorganicheskogo-sinteza-sernaya-kislota-napravlenie-240100-himicheskaya-tehnologiya-i-biotehnologiya.html
konspekt-lekcij-po-materialovedeniyu-referat.html