Амелин Р.В.Информационная безопасностьэлектронный учебник |
Оглавление
Установочный модуль
Модуль 1 Глава 1.Введение в информационную безопасность Глава 2. Принципы построения защищенной АИС Глава 3. Модели безопасности Тест к модулю 1 Модуль 2 Глава 4.Введение в криптографию. Симметричное шифрование Тест к модулю 2 Модуль 3 Глава 5.Шифрование с открытым ключом. ЭЦП Глава 6. Криптографические протоколы Тест к модулю 3 Модуль 4 Глава 7.Парольная защита Глава 8. Компьютерные вирусы и борьба с ними Глава 9.
Тест к модулю 4
Средства защиты сети Практические задания Глоссарий Список литературы Актуальные проблемы уголовно-правовой борьбы с посягательствами на компьютерную информацию по УК РФ |
|
Глава 9. Средства защиты сетиЕсли локальная сеть организации или персональный компьютер пользователя имеют выход в сеть Интернет, количество угроз безопасности увеличивается в десятки раз по сравнению с изолированной сетью или компьютером. Сетевые вирусы, попытки проникновения в систему извне (используя подобранный или украденный пароль, уязвимости программного обеспечения и т.д.), перехват и подмена данных, передаваемых в сеть или получаемых из сети — вот перечень наиболее типичных угроз. Существует ряд средств, методов и технологий защиты информации, учитывающих специфику сетевых атак. К ним, в частности, относятся межсетевые экраны (брандмауэры), виртуальные частные сети (VPN) и системы обнаружения вторжений. 9.1. Межсетевые экраныМежсетевой экран (брандмауэр, файрвол) — комплекс аппаратных и/или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов на различных уровнях модели OSI в соответствии с заданными правилами. Межсетевой экран, как правило, обладает несколькими интерфейсами, по одному на каждую из сетей, к которым он подключен. Набор правил политики определяет, каким образом трафик передается из одной сети в другую. Если в правиле отсутствует явное разрешение на пропуск трафика, межсетевой экран отклоняет или аннулирует пакеты. Межсетевой экран может выступать в роли proxy-сервера. Proxy-сервер — это программа или узел сети, играющий роль посредника между внутренней сетью организации и внешней сетью (например, Интернет). В этом случае он может также скрывать внутренние адреса компьютеров организации. Эта функция называется трансляцией сетевых адресов (NAT — Network Address Translation). Когда какой-то узел внутренней сети хочет передавать информацию вовне, он отправляет ее proxy-серверу (одновременно являющемуся межсетевым экраном). Проверив передаваемые пакеты на соответствие политике фильтрации, межсетевой экран инициирует новое соединение, и передает пакеты уже от своего имени. В результате скрывается схема внутренней адресации сети и тем самым существенно затрудняется ее анализ злоумышленником (с целью обнаружения уязвимостей). Существует ряд классификаций межсетевых экранов по различным критериям: 1. В зависимости от охвата контролируемых потоков данных.
2. В зависимости от уровня модели OSI, на котором происходит контроль доступа.
3. В зависимости от отслеживания активных соединений.
Рассмотрим некоторые популярные брандмауэры, реализованные в виде прикладных программ. 1. Outpost Firewall Pro. Персональный брандмауэер, обладает следующими функциональными возможностями:
2. ZoneAlarm Pro. Мощный брандмауэр с гибко настраиваемыми функциональными возможностями, включающими:
9.2. Виртуальные частные сети (VPN)Виртуальная частная сеть (VPN) — логическая сеть, создаваемая поверх другой сети, чаще всего Интернет. Все данные, передающиеся между узлами этой сети шифруются, поэтому, хотя физически данные передаются по публичным сетям с использованием небезопасных протоколов, по сути, VPN представляет собой закрытые от посторонних каналы обмена информацией. Канал между двумя узлами, защищенный за счет шифрования проходящего по нему трафика, называется туннелем. Выделяют два основных класса VPN: 1. Защищенные. Наиболее распространённый вариант. C его помощью на основе ненадёжной сети (как правило, Интернета) создается надежная и защищенная подсеть. Примером защищённых VPN являются: IPSec, OpenVPN и PPTP (протокол тунеллирования от точки к точке). 2. Доверительные. Используются для создания виртуальной подсети в рамках другой, надежной и защищенной сети, т.е. задача обеспечения безопасности по сути не ставится. К доверительным VPN относятся протоколы MPLS и L2TP. По архитектуре технического решения выделяют следующие классы VPN [5]:
По способу технической реализации различают VPN на основе маршрутизаторов (задача шифрования трафика ложится на маршрутизаторы, через которые проходит вся исходящая из локальных сетей информация), на основе межсетевых экранов, на основе программного обеспечения и на основе специализированных аппаратных средств. Рассмотрим набор протоколов IPSec, предназначенный для обеспечения защиты данных, передаваемых по протоколу IP. Он позволяет осуществлять подтверждение подлинности и шифрование IP-пакетов, а также включает протоколы для защищенного обмена ключами через Интернет. Протоколы IPsec работают на сетевом уровне модели OSI. Они подразделяются на два класса: протоколы отвечающие за защиту потока передаваемых пакетов (ESP, AH) и протоколы обмена ключами (IKE). Протоколы защиты передаваемого потока могут работать в двух режимах — в транспортном режиме и в режиме туннелирования. В транспортном режиме шифруется (или подписывается) только информативная часть IP-пакета, а заголовок не затрагивается (поэтому процедура маршрутизации не изменяется). В туннельном режиме IP-пакет шифруется целиком. Для того, чтобы его можно было передать по сети, он помещается в другой IP-пакет. Именно этот режим используется для организации виртуальной частной сети. Режим IPSec-тунеллирования работает следующим образом [6]:
9.3. Системы обнаружения вторжений (IDS)Система обнаружения вторжений (Intrusion Detection System — IDS) — программное или аппаратное средство, предназначенное для выявления фактов неавторизованного доступа в компьютерную систему или сеть либо несанкционированного управления ими (в основном через Интернет). Системы обнаружения вторжений используются для обнаружения некоторых типов вредоносной активности, которые могут нарушить безопасность системы или сети. К ним относятся сетевые атаки против уязвимых сервисов, атаки, направленные на повышение привилегий, неавторизованный доступ к важным файлам, а также действия вредоносного программного обеспечения (вирусов, троянских коней). Структурно СОВ состоит из следующих компонентов: 1. Сенсорная подсистема отслеживает события, которые могут затрагивать безопасность защищаемой системы. 2. Подсистема анализа выявляет среди этих событий те, которые представляют угрозу или нарушения безопасности (атаки, подозрительные действия). В пассивных СОВ при обнаружении такого события информация о нем помещается в хранилище, после чего сигнал опаности по определенному каналу направляется администратору системы. Активные СОВ (системы предотвращения вторжений) могут также предпринять ответные действия (например, прервать соединение или автоматически настроить межсетевой экран для блокирования трафика от злоумышленника). 3. Хранилище обеспечивает накопление и хранение данных сенсорной подсистемы и результатов их анализа; 4. Консоль управления используется для настройки СОВ, наблюдения за состоянием защищаемой системы, просмотра выявленных подсистемой анализа инцидентов. Рассмотрим основные разновидности современных СОВ [8]. 1. СОВ, защищающие сегмент сети. Развертываются на специализированном сервере, на котором не работают никакие другие приложения (поэтому он может быть особенно надежно защищен от нападения; кроме того, этот сервер может быть сделан «невидимым» для нападающего). Для защиты сети устанавливаются несколько таких серверов, которые анализируют сетевой трафик в различных сегментах сети. Таким образом, несколько удачно расположенных систем могут контролировать большую сеть. К недостаткам таких систем относят проблемы распознавания нападений в момент высокой загрузки сети, и неспособность анализировать степень проникновения (система просто сообщает об инициированном нападении). 2. СОВ, защищающие отдельный сервер. Собирают и анализируют информацию о процессах, происходящих на конкретном сервере. Благодаря узкой направленности, могут проводить высоко детализированный анализ и точно определять, кто из пользователей выполняет злонамеренные действия. Некоторые СОВ этого класса могут управлять группой серверов, подготавливая централизованные обобщающие отчеты о возможных нападениях. В отличие от предыдущих систем могут работать даже в сети, использующей шифрование данных (когда информация находится в открытом виде на сервере до ее отправки потребителю). Однако систем этого класса не способны контролировать ситуацию во всей сети, так как видят только пакеты, получаемые «своим» сервером. Кроме того, снижается эффективность работы сервера вследствие использования его вычислительных ресурсов. 3. СОВ на основе защиты приложений. Контролируют события, проявляющиеся в пределах отдельного приложения. Знания о приложении, а также возможность анализировать его системный журнал и взаимодействовать с ним посредством API, позволяет таким системам контролировать деятельность пользователей (работающих с данным приложением) с очень высокой степенью детализации. Аналогично антивирусным программам, системы обнаружения вторжений используют два основных подхода к методам обнаружения подозрительной активности. Подход на основе сигнатуры выявляет деятельность, которая соответствует предопределенному набору событий, уникально описывающиему известное нападение. Эта методика чрезвычайно эффективна и является основным методом, используемым в коммерческих программах. Однако, такая СОВ не может бороться с новыми видами нападений, а также с видоизмененными вариантами традиционных нападений, сигнатура которых незначительно отличается от имеющейся в базе. СОВ на основе аномалий обнаруживают нападения, идентифицируя необычное поведение на сервере или в сети. Они способны обнаруживать нападения, заранее не запрограмированные в них, но производят большое количество ложных срабатываний. назад | оглавление | вперед
|