Опции

[cmb]

1. Задачи системы защиты информации
Информационная безопасность – под ней будем понимать защищенность информации, информационных ресурсов и систем от случайных или преднамеренных воздействий, которые могут нанести ущерб субъектам информационных отношений.
Объекты информационной безопасности:
- информационные ресурсы государства, предприятий и юридических и физических лиц;
- права граждан, юридических лиц и государства на получение, распространение и использование информации;
- права граждан, юридических лиц и государства на защиту конфиденциальной информации и интеллектуальной собственности;
- система формирования, распространения и использование информационных ресурсов (информационные. сети, архивы и т.д.);
- информационная инфраструктура., которая включает центры обработки и анализа информации, каналы информационного обмена и коммуникаций, включая также механизмы обеспечения и функционирования телекоммуникационных систем и сетей;
- системы формирования общественного сознания, базирующееся на СМИ и пропаганды;
Защита Информации - это комплекс мероприятий организационно-правовых и технических, направленных на обеспечение информационной безопасности.
1. Обеспечение подлинности и сохранности информации. Если задача обеспечения сохранности информации обычно не вызывает каких либо вопросов и сомнений, то задача обеспечения подлинности информации возникнув относительно недавно не всегда привлекает к себе достаточное внимание. Тем не менее, современные темпы ведения деловых операций делают системы электронного обмена информацией все более привлекательными, что делает вопросы гарантии подлинности информации существенно важными. При этом гарантия подлинности не ограничивается гарантией подлинности источника информации, но также включает в себя гарантию подлинности содержимого. Обеспечение сохранности информации – это обеспечение ее сохранности в случае природных катаклизмов, пожаров и так далее, включая аппаратные и программные сбои, а также действия злоумышленников по намеренному уничтожению информации. Относительно новым аспектом задачи обеспечения сохранности информации является собственно задача сбора информации, то есть фиксации, отображения в системе действий пользователей, прохождения информации и прочих событий реального мира, связанных с информационной системой предприятия.
2. Обеспечение функционирования системы Обеспечения функционирования информационной системы включает в себя:
- Обеспечение функционирования аппаратного и программного обеспечения;
- Обеспечение системы достаточным количеством потребляемых ресурсов (электроэнергии, каналов связи и так далее);
- Защита от злоумышленного вывода системы из строя;
- Обеспечение пользователям доступа к системе;
3. Обеспечение разграничения доступа к информации и ресурсам системы. Эта задача включает в себя следующие подзадачи:
- Идентификация пользователя;
- Систему описания прав и режима доступа к информации и ресурсам системы;
- Мониторинг системы и пользователей; Как правило, эта задача рассматривается в ракурсе только разграничения доступа к информации. Но сами ресурсы системы – аппаратное обеспечение, каналы связи – тоже часто становятся целью злоумышленника. Иногда неправомерное использование ресурсов приносит не только прямые, но и косвенные убытки – ущерб имиджу предприятия в деловых кругах, ухудшения условий предоставления услуг провайдерами связи и так далее.
2. Источники угроз внешние и внутренние. Примеры
Угроза безопасности информационных систем – набор факторов, приводящих к сбоям или неработоспособности системы, а также наносящих урон целостности информации. Для правильного построения комплекса защиты информационной системы необходимо четко представлять виды угроз и их возможные источники.
2.1. Источники угроз Все перечисленные выше виды угроз должны приниматься в расчет при построении системы безопасности ИС предприятия. Тем не менее, необходимо еще учитывать возможные источники угроз. Принято выделять два основных типа источников:
2.1.1. Внешние источники
Под внешними источниками угроз подразумеваются источники, находящиеся за пределами предприятия, действия которых не могут быть проконтролированы. Как правило, система безопасности заранее «подозревает» эти источники в «плохих намерениях» и предпринимает профилактические меры по предотвращению угроз. Потенциальными точками приложения внешних угроз являются:
- Каналы связи: Internet , модемная связь, телефонные линии, факс;
- Источники информации: веб-сайты, электронная почта, файлы, передаваемые на дискетах и т.п.;
- Аппаратное обеспечение, приобретаемое или получаемое в аренду;
- Спецтехника;
- Форс-мажор факторы.
2.1.2 . Внутренние источники
Наиболее распространенное заблуждение, связанное с защитой информационных систем, состоит в том, что достаточно отгородится от внешнего мира, чтобы быть уверенным в собственной безопасности. Внутренние источники, представляют не меньшую угрозу компьютерным системам, чем набивший оскомину хакер из, скажем, Китая.
К внутренним источникам угроз можно отнести:
- Персонал предприятия, в том числе временные и бывшие работники;
- Программное обеспечение, в том числе и разработанное на предприятии;
- Оборудование, коммуникации, системы водоснабжения и прочие вещи, не имеющие прямого отношения к компьютерной информационной системе, но участвующие в процессе производства.
3. Классификация атак и угроз
1. По характеру воздействия
- пассивное (класс 1.1)
- активное (класс 1.2)
Пассивное воздействие на распределенную вычислительную систему - воздействие, которое не оказывает непосредственного влияния на работу системы, но может нарушать ее политику безопасности. Именно отсутствие непосредственного влияния на работу распределенной ВС приводит к тому, что пассивное удаленное воздействие практически невозможно обнаружить. Примером пассивного типового удаленного воздействия в РВС служит прослушивание канала связи в сети.
Активное воздействие на распределенную ВС - воздействие, оказывающее непосредственное влияние на работу системы (изменение конфигурации РВС, нарушение работоспособности и т. д.) и нарушающее принятую в ней политику безопасности. Практически все типы удаленных атак являются активными воздействиями. Особенностью активного воздействия по сравнению с пассивным является принципиальная возможность его обнаружения, так как в результате его осуществления в системе происходят определенные изменения. В отличие от активного, при пассивном воздействии не остается никаких следов (от того, что атакующий просмотрит чужое сообщение в системе, в тот же момент ничего не изменится).
2. По цели воздействия
- нарушение конфиденциальности информации либо ресурсов системы (класс 2.1)
- нарушение целостности информации (класс 2.2)
- нарушение работоспособности (доступности) системы (класс 2.3)
Основная цель практически любой атаки - получить несанкционированный доступ к информации. Существуют две принципиальные возможности доступа к информации: перехват и искажение. Возможность перехвата информации означает получение к ней доступа, но невозможность ее модификации. Следовательно, перехват информации ведет к нарушению ее конфиденциальности. Примером перехвата информации может служить прослушивание канала в сети. В этом случае имеется несанкционированный доступ к информации без возможности ее искажения. Нарушение конфиденциальности информации является пассивным воздействием.
Возможность искажения информации означает либо полный контроль над информационным потоком между объектами системы, либо возможность передачи сообщений от имени другого объекта. Таким образом, искажение информации ведет к нарушению ее целостности. Данное информационное разрушающее воздействие представляет собой яркий пример активного воздействия.
Принципиально другой целью атаки является нарушение работоспособности системы. В этом случае не предполагается получение атакующим несанкционированного доступа к информации. Его основная цель - добиться, чтобы операционная система на атакуемом объекте вышла из строя и для всех остальных объектов системы доступ к ресурсам атакованного объекта был бы невозможен.
3. По условию начала осуществления воздействия
Удаленное воздействие, также как и любое другое, может начать осуществляться только при определенных условиях. В распределенных ВС существуют три вида условий начала осуществления удаленной атаки:
- Атака по запросу от атакуемого объекта (класс 3.1) В этом случае атакующий ожидает передачи от потенциальной цели атаки запроса определенного типа, который и будет условием начала осуществления воздействия. Примером подобных запросов в сети Internet могут быть - DNS- и ARP-запросы.
- Атака по наступлению ожидаемого события на атакуемом объекте (класс 3.2) В этом случае атакующий осуществляет постоянное наблюдение за состоянием операционной системы удаленной цели атаки и при возникновении определенного события в этой системе начинает воздействие. Как и в предыдущем случае, инициатором осуществления начала атаки выступает сам атакуемый объект.
- Безусловная атака (класс 3.3) В этом случае начало осуществления атаки безусловно по отношению к цели атаки, то есть атака осуществляется немедленно и безотносительно к состоянию системы и атакуемого объекта. Следовательно, в этом случае атакующий является инициатором начала осуществления атаки.
4. По наличию обратной связи с атакуемым объектом
- с обратной связью (класс 4.1)
- без обратной связи (однонаправленная атака) (класс 4.2)
Удаленная атака, осуществляемая при наличии обратной связи с атакуемым объектом, характеризуется тем, что на некоторые запросы, переданные на атакуемый объект, атакующему требуется получить ответ, а, следовательно, между атакующим и целью атаки существует обратная связь, которая позволяет атакующему адекватно реагировать на все изменения, происходящие на атакуемом объекте. Подобные удаленные атаки наиболее характерны для распределенных ВС.
В отличие от атак с обратной связью удаленным атакам без обратной связи не требуется реагировать на какие-либо изменения, происходящие на атакуемом объекте. Атаки данного вида обычно осуществляются передачей на атакуемый объект одиночных запросов, ответы на которые атакующему не нужны. Подобную УА можно называть однонаправленной удаленной атакой.
5. По расположению субъекта атаки относительно атакуемого объекта
- внутрисегментное (класс 5.1)
- межсегментное (класс 5.2)
6. По уровню эталонной модели ISO/OSI, на котором осуществляется воздействие
- физический (класс 6.1)
- канальный (класс 6.2)
- сетевой (класс 6.3)
- транспортный (класс 6.4)
- сеансовый (класс 6.5)
- представительный (класс 6.6)
- прикладной (класс 6.7)
4. Классификация сетевых атак

Снифферы пакетов Сниффер пакетов представляет собой прикладную программу, которая использует сетевую карту, работающую в режиме promiscuous mode (в этом режиме все пакеты, полученные по физическим каналам, сетевой адаптер отправляет приложению для обработки). При этом сниффер перехватывает все сетевые пакеты, которые передаются через определенный домен. В настоящее время снифферы работают в сетях на вполне законном основании. Они используются для диагностики неисправностей и анализа графика. Однако ввиду того, что некоторые сетевые приложения передают данные в текстовом формате (Telnet, FTP, SMTP, POP3 и т.д.), с помощью сниффера можно узнать полезную, а иногда и конфиденциальную информацию (например, имена пользователей и пароли). Смягчить угрозу сниффинга пакетов можно с помощью следующих средств:
- Аутентификация. Сильные средства аутентификации являются первым способом защиты от сниффинга пакетов. Под "сильным" мы понимаем такой метод аутентификации, который трудно обойти. Примером такой аутентификации являются однократные пароли (OTP - One-Time Password). OTP - это технология двухфакторной аутентификации, при которой происходит сочетание того, что у вас есть, с тем, что вы знаете. Типичным примером двухфакторной аутентификации является работа обычного банкомата, который опознает вас, во-первых, по вашей пластиковой карточке и, во-вторых, по вводимому вами ПИН-коду. Для аутентификации в системе ОТР также требуется ПИН-код и ваша личная карточка. Под "карточкой" (token) понимается аппаратное или программное средство, генерирующее (по случайному принципу) уникальный одномоментный однократный пароль. Если хакер узнает этот пароль с помощью сниффера, эта информация будет бесполезной, потому что в этот момент пароль уже будет использован и выведен из употребления. Заметим, что этот способ борьбы со сниффингом эффективен только для борьбы с перехватом паролей. Снифферы, перехватывающие другую информацию (например, сообщения электронной почты), не теряют своей эффективности.
- Коммутируемая инфраструктура. Еще одним способом борьбы со сниффингом пакетов в вашей сетевой среде является создание коммутируемой инфраструктуры. Если, к примеру, во всей организации используется коммутируемый Ethernet, хакеры могут получить доступ только к графику, поступающему на тот порт, к которому они подключены. Коммутируемая инфраструктура не ликвидирует угрозу сниффинга, но заметно снижает ее остроту.
- Анти-снифферы. Третий способ борьбы со сниффингом заключается в установке аппаратных или программных средств, распознающих снифферы, работающие в вашей сети. Эти средства не могут полностью ликвидировать угрозу, но, как и многие другие средства сетевой безопасности, они включаются в общую систему защиты, Так называемые "анти-снифферы" измеряют время реагирования хостов и определяют, не приходится ли хостам обрабатывать "лишний" график. Одно из таких средств, поставляемых компанией LOpht Heavy Industries, называется AntiSniff.
- Криптография. Самый эффективный способ борьбы со сниффингом пакетов не предотвращает перехвата и не распознает работу снифферов, но делает эту работу бесполезной. Если канал связи является криптографически защищенным, это значит, что хакер перехватывает не сообщение, а зашифрованный текст (то есть непонятную последовательность битов). IPSec представляет собой стандартный метод защищенной связи между устройствами с помощью протокола IP. К прочим криптографическим протоколам сетевого управления относятся протоколы SSH (Secure Shell) и SSL (Secure Socket Level).
IP-спуфинг IP-спуфинг происходит, когда хакер, находящийся внутри корпорации или вне ее, выдает себя за санкционированного пользователя. Это можно сделать двумя способами. Во-первых, хакер может воспользоваться IP-адресом, находящимся в пределах диапазона санкционированных IP-адресов, или авторизованным внешним адресом, которому разрешается доступ к определенным сетевым ресурсам. Атаки IP-спуфинга часто являются отправной точкой для прочих атак. Классический пример - атака DoS, которая начинается с чужого адреса, скрывающего истинную личность хакера. Угрозу спуфинга можно ослабить (но не устранить) с помощью следующих мер:
- Контроль доступа. Самый простой способ предотвращения IP-спуфинга состоит в правильной настройке управления доступом. Чтобы снизить эффективность IP-спуфигна, настройте контроль доступа на отсечение любого графика, поступающего из внешней сети с исходным адресом, который должен располагаться внутри вашей сети. Заметим, что это помогает бороться с IP-спуфингом, когда санкционированными являются только внутренние адреса. Если санкционированными являются и некоторые адреса внешней сети, данный метод становится неэффективным.
- Фильтрация RFC 2827. Вы можете пресечь попытки спуфинга чужих сетей пользователями вашей сети (и стать добропорядочным "сетевым гражданином"). Для этого необходимо отбраковывать любой исходящий трафик, исходный адрес которого не является одним из IP-адресов вашей организации. Этот тип фильтрации, известный под названием "RFC 2827", может выполнять и ваш провайдер (ISP). В результате отбраковывается весь трафик, который не имеет исходного адреса, ожидаемого на определенном интерфейсе. К примеру, если ISP предоставляет соединение с IP-ад-ресом 15.1.1.0/24, он может настроить фильтр таким образом, чтобы с данного интерфейса на маршрутизатор ISP допускался только трафик, поступающий с адреса 15.1.1.0/24. Заметим, что до тех пор, пока все провайдеры не внедрят этот тип фильтрации, его эффективность будет намного ниже возможной. Кроме того, чем дальше от фильтруемых устройств, тем труднее проводить точную фильтрацию. Так, например, фильтрация RFC 2827 на уровне маршрутизатора доступа требует пропуска всего графика с главного сетевого адреса (10.0.0.0/8), тогда как на уровне распределения (в данной архитектуре) можно ограничить трафик более точно (адрес - 10.1.5.0/24).
Наиболее эффективный метод борьбы с IP-спуфингом тот же, что и в случае со сниффингом пакетов: необходимо сделать атаку абсолютно неэффективной. IP-спуфинг может функционировать только при условии, что аутентификация происходит на базе IP-адресов. Поэтому внедрение дополнительных методов аутентификации делает этот вид атак бесполезными. Лучшим видом дополнительной аутентификации является криптографическая. Если она невозможна, хорошие результаты может дать двухфакторная аутентификация с использованием одноразовых паролей.
Отказ в обслуживании (Denial of Service - DoS) Атаки DoS отличаются от атак других типов. Они не нацелены на получение доступа к вашей сети или на получение из этой сети какой-либо информации. Атака DoS делает вашу сеть недоступной для обычного использования за счет превышения допустимых пределов функционирования сети, операционной системы или приложения. В случае использования некоторых серверных приложений (таких как Web-сервер или FTP-сервер) атаки DoS могут заключаться в том, чтобы занять все соединения, доступные для этих приложений, и держать их в занятом состоянии, не допуская обслуживания обычных пользователей. В ходе атак Во5 могут использоваться обычные Интернет-протоколы, такие как TCP и ICMP (Internet Control Message Protocol). Большинство атак DoS опирается не на программные ошибки или бреши в системе безопасности, а на общие слабости системной архитектуры. Угроза атак типа DoS может снижаться тремя способами:
- Функции анти-спуфинга. Правильная конфигурация функций анти-спуфинга на ваших маршрутизаторах и межсетевых экранах поможет снизить риск DoS. Эти функции, как минимум, должны включать фильтрацию RFC 2827, Если хакер не сможет замаскировать свою истинную личность, он вряд ли решится провести атаку.
- Функции анти-DoS. Правильная конфигурация функций анти-DoS на маршрутизаторах и межсетевых экранах может ограничить эффективность атак. Эти функции часто ограничивают число полуоткрытых каналов в любой момент времени.
- Ограничение объема графика (traffic rate limiting). Организация может попросить провайдера (15Р) ограничить объем графика. Этот тип фильтрации позволяет ограничить объем некритического графика, проходящего по вашей сети. Обычным примером является ограничение объемов графика ICMP, который используется только для диагностических целей. Атаки (D)DoS часто используют ICMP.
Парольные атаки Хакеры могут проводить парольные атаки с помощью целого ряда методов, таких как простой перебор (brute force attack), "троянский конь", IP-спуфинг и сниффинг пакетов. Хотя логин и пароль часто можно получить при помощи IP-спуфинга и сниффинга пакетов, хакеры часто пытаются подобрать пароль и логин, используя для этого многочисленные попытки доступа. Такой подход носит название простого перебора (brute force attack). Часто для такой атаки используется специальная программа, которая пытается получить доступ к ресурсу общего пользования (например, к серверу). Если в результате хакер получает доступ к ресурсам, он получает его на правах обычного пользователя, пароль которого был подобран. Если этот пользователь имеет значительные привилегии доступа, хакер может создать для себя "проход" для будущего доступа, который будет действовать, даже если пользователь изменит свой пароль и логин.
Атаки типа Man-in-the-Middle Для атаки типа Man-in-the-Middle хакеру нужен доступ к пакетам, передаваемым по сети. Такой доступ ко всем пакетам, передаваемым от провайдера в любую другую сеть, может, к примеру, получить сотрудник этого провайдера. Для атак этого типа часто используются снифферы пакетов, транспортные протоколы и протоколы маршрутизации. Атаки проводятся с целью кражи информации, перехвата текущей сессии и получения доступа к частным сетевым ресурсам, для анализа графика и получения информации о сети и ее пользователях, для проведения атак типа DoS, искажения передаваемых данных и ввода несанкционированной информации в сетевые сессии, Эффективно бороться с атаками типа Man-in-the-Middle можно только с помощью криптографии. Если хакер перехватит данные зашифрованной сессии, у него на экране появится не перехваченное сообщение, а бессмысленный набор символов. Заметим, что если хакер получит информацию о криптографической сессии (например, ключ сессии), это может сделать возможной атаку Man-in-the-Middle даже в зашифрованной среде.
Атаки на уровне приложений Атаки на уровне приложений могут проводиться несколькими способами. Самый распространенный из них состоит в использовании хорошо известных слабостей серверного программного обеспечения (sendmail, HTTP, FTP). Используя эти слабости, хакеры могут получить доступ к компьютеру от имени пользователя, работающего с приложением (обычно это бывает не простой пользователь, а привилегированный администратор с правами системного доступа). Сведения об атаках на уровне приложений широко публикуются, чтобы дать возможность администраторам исправить проблему с помощью коррекционных модулей (патчей). Меры, которые можно предпринять, чтобы снизить уязвимость для атак этого типа:
- Читайте лог-файлы операционных систем и сетевые лог-файлы и/или анализируйте их с помощью специальных аналитических приложений.
- Подпишитесь на услуги по рассылке данных о слабых местах прикладных программ: Bugtrad и CERT
- Пользуйтесь самыми свежими версиями операционных систем и приложений и самыми последними коррекционными модулями (патчами).
- Кроме системного администрирования, пользуйтесь системами распознавания атак (IDS).
Сетевая разведка Сетевой разведкой называется сбор информации о сети с помощью общедоступных данных и приложений. При подготовке атаки против какой-либо сети хакер, как правило, пытается получить о ней как можно больше информации.
Злоупотребление доверием Собственно говоря, этот тип действий не является "атакой" или "штурмом". Он представляет собой злонамеренное использование отношений доверия, существующих в сети. Классическим примером такого злоупотребления является ситуация в периферийной части корпоративной сети. В этом сегменте часто располагаются серверы DNS, SMTP и HTTP. Поскольку все они принадлежат к одному и тому же сегменту, взлом одного из них приводит к взлому и всех остальных, так как эти серверы доверяют другим системам своей сети. Другим примером является система, установленная с внешней стороны межсетевого экрана, имеющая отношения доверия с системой, установленной с его внутренней стороны. В случае взлома внешней системы хакер может использовать отношения доверия для проникновения в систему, защищенную межсетевым экраном.
Переадресация портов Переадресация портов представляет собой разновидность злоупотребления доверием, когда взломанный хост используется для передачи через межсетевой экран графика, который в противном случае был бы обязательно отбракован. Представим себе межсетевой экран с тремя интерфейсами, к каждому из которых подключен определенный хост. Внешний хост может подключаться к хосту общего доступа (DMZ), но не к хосту, установленному с внутренней стороны межсетевого экрана. Хост общего доступа может подключаться и к внутреннему, и к внешнему хосту. Если хакер захватит хост общего доступа, он сможет установить на нем программное средство, перенаправляющее трафик с внешнего хоста прямо на внутренний хост. Хотя при этом не нарушается ни одно правило, действующее на экране, внешний хост в результате переадресации получает прямой доступ к защищенному хосту. Примером приложения, которое может предоставить такой доступ, является netcat. Основным способом борьбы с переадресацией портов является использование надежных моделей доверия. Кроме того, помешать хакеру установить на хосте свои программные средства может хост-система IDS (HIDS).
Несанкционированный доступ
Вирусы и приложения типа "троянский конь"
5. Общая схема проведения атаки
1)Разведка
2) – собственно действия направленные на достижения целей атаки: отказ в обслуживании, похищение информации и так далее. Как правило, этот этап достаточно компактен по времени, тем не менее, если целью злоумышленника было, например, неправомочное использование ресурсов, то атака может повторяться и повторяться. Особенно, если взломщик уверен в своей безнаказанности. Редко, когда администратору удается отследить факт проведения атаки, непосредственно в момент ее проведения, однако, если по счастливой случайности, это ему удалось, вполне возможно непосредственно противодействовать взломщику.
3)Заметание следов Грамотный взломщик всегда постарается скрыть следы своего вторжения (особенно если оно было неуспешным) в компьютерную систему. Причем меры по сокрытию принимаются еще до начала атаки. Во многом успех атаки зависит от умения замаскировать сам факт атаки или на крайний случай ее истинные цели.
6. Разведка, способы разведки
Разведка На этой стадии происходит сбор как можно большего количества информации о цели атаки. (версии программного обеспечения, имена, фамилии, даты рождения пользователей и администраторов системы, режим их работы, используемое аппаратное обеспечение и так далее.) Полезным может оказаться навести справки об администраторе системы – будет возможно сделать предположение о его опыте и знаниях. Система содержит большое количество каналов взаимодействия с внешним миром. Основным помощником тут является человеческий фактор. Социальная инженерия Можно дать следующее определение социальной инженерии как способу разведки: социальная инженерия – есть набор действий по получению интересующей информации, основанный на типовых поведенческих реакциях человека, психологических ловушках и изучении побочных результатов деятельности пользователей системы. По умолчанию, практически все версии серверного программного обеспечения, «представляются» при подключении к ним. Таким образом, выполняя простейшее (и вполне легальное) подключение к некоторым «хорошо известным» портам TCP / UDP можно составить достаточно полную картину об используемом программном обеспечении. Вот список наиболее популярных портов, при подключении к которым можно узнать «много интересного»:
TCP 20, TCP 21 - Служба FTP сервера
TCP 22 - Security shell , служба безопасного терминального доступа, применяется для дистанционного управления UNIX серверами
TCP 23 - Служба обычного, незащищенного терминального доступа
TCP 25 - SMTP сервер, наиболее распространенная служба обмена сообщениями электронной почты
TCP 110 - Служба POP 3, предназначена для передачи сообщений электронной почты с сервера на клиентские места
TCP 80 - Web сервер
Вот список некоторых портов, которые используют новые службы Windows 2000/ XP : TCP / UDP 445 - Основной порт службы Directory Service , через который осуществляется управления и взаимодействие. Примером того, как программное обеспечение может оставлять отпечатки на информации, проходящей «сквозь» него, могут служить сообщения электронной почты. Из заголовка сообщения электронной почты можно сделать следующие выводы:
1. Можно узнать IP адрес почтового сервера отправителя
2. Можно узнать IP адрес машины отправителя
3. Можно узнать версии программного обеспечения сервера отправителя
4. Можно узнать версию почтового клиента отправителя
С помощью программы nslookup – штатного средства проверки корректности настроек серверов DNS , можно получить список адресов компьютеров внутри сети предприятия, на основании которого можно сделать определенные выводы о структуре сети.
Цели разведки: 1. Определить потенциальные «точки входа» в информационную систему. 2. Определить оптимальное время и способ проведения атаки. 3. Определить средства и вероятность достижения атаки. Как уже говорилось раньше, в ходе реализации атаки, разведка помогает злоумышленнику скорректировать действия, поэтому тут задачи разведки немного меняются: 1. Наиболее полно определить тип, версии и настройки работающего программного обеспечения. 2. Вовремя обнаружить «колпак» над собой 3. «Сориентироваться» в информационной системе и найти искомую информацию или другую цель вторжения.
7. Атака «Отказ в обслуживании ( DoS , DDos )»
Отказ в обслуживании (Denial of Service - DoS)
DoS, без всякого сомнения, является наиболее известной формой хакерских атак. Кроме того, против атак такого типа труднее всего создать стопроцентную защиту. Атаки DoS отличаются от атак других типов. Они не нацелены на получение доступа к вашей сети или на получение из этой сети какой-либо информации. Атака DoS делает вашу сеть недоступной для обычного использования за счет превышения допустимых пределов функционирования сети, операционной системы или приложения. В случае использования некоторых серверных приложений (таких как Web-сервер или FTP-сервер) атаки DoS могут заключаться в том, чтобы занять все соединения, доступные для этих приложений, и держать их в занятом состоянии, не допуская обслуживания обычных пользователей. В ходе атак DoS могут использоваться обычные Интернет-протоколы, такие как TCP и ICMP (Internet Control Message Protocol). Когда атака этого типа проводится одновременно через множество устройств, мы говорим о распределенной атаке DoS (DDoS - distributed DoS). Угроза атак типа DoS может снижаться тремя способами:
- Функции анти-спуфинга. Правильная конфигурация функций анти-спуфинга на ваших маршрутизаторах и межсетевых экранах поможет снизить риск DoS. Эти функции, как минимум, должны включать фильтрацию RFC 2827, Если хакер не сможет замаскировать свою истинную личность, он вряд ли решится провести атаку.
- Функции анти-DoS. Правильная конфигурация функций анти-DoS на маршрутизаторах и межсетевых экранах может ограничить эффективность атак. Эти функции часто ограничивают число полуоткрытых каналов в любой момент времени.
- Ограничение объема графика (traffic rate limiting). Организация может попросить провайдера (15Р) ограничить объем графика. Этот тип фильтрации позволяет ограничить объем некритического графика, проходящего по вашей сети. Обычным примером является ограничение объемов графика ICMP, который используется только для диагностических целей. Атаки (D)DoS часто используют ICMP. Данный способ атаки может заключаться в следующем: 1. Превышение «разумного» размера передаваемых данных 2. Противоречие передаваемых данных 3. Передача данных на вход в «неподходящий» момент
Для реализации первого способа используется ситуация переполнения буфера (стека), заключается она в особенностях механизма вызова процедур или распределения памяти. Например, при распределении памяти блок данных может оказаться рядом с блоком кода. Использование логически противоречивых данных может привести не только к «падению» системы, но и к бессмысленному ее функционированию, что отнимает значительные ресурсы от полезной работы. Изменение заголовка пакета.
Вторая разновидность этой типовой удаленной атаки состоит в передаче с одного адреса такого количества запросов на атакуемый объект, какое позволит трафик (направленный "шторм" запросов). В этом случае, если в системе не предусмотрены правила, ограничивающие число принимаемых запросов с одного объекта (адреса) в единицу времени, то результатом этой атаки может являться как переполнение очереди запросов и отказа одной из телекоммуникационных служб, так и полная остановка компьютера из-за невозможности системы заниматься ничем другим, кроме обработки запросов. И последней, третьей разновидностью атаки "Отказ в обслуживании" является передача на атакуемый объект некорректного, специально подобранного запроса. В этом случае при наличии ошибок в удаленной системе возможно зацикливание процедуры обработки запроса, переполнение буфера с последующим зависанием системы
8. Атака НСД (дезинформация, хищение, модификация).
Несанкционированный доступ (НСД) – второй по популярности вид угрозы, заключается в неправомочном использовании системы или получении секретной информации. Дезинформация – это умышленная подмена информации поступающей, хранящейся или выдаваемой системой в ответ на запросы пользователя.
1. Перехват ключей, паролей, трафика (Пример атаки 1. глушим днс. 2. отвечаем на запросы ДНС.3 Транслируем запросы к серверу)
2. Подделка IP , MAC или ИД беспроводной сети обратного адреса почты, ICQ и так далее. Результаты высоко интеллектуального анализа, как правило, существенно влияют на стратегию развития предприятия и в случае их искажения могут привести к весьма плачевному итогу. Данные для анализа, зачастую не только хранятся внутри самой системы, но и берутся из открытых источников. Результаты анализа тоже попадают заказчику через определенные каналы связи. Подмена на любом из этапов – весьма хитрая и трудно обнаружимая угроза безопасности информационной системы. Ложный объект позволяет не только модифицировать, но и подменять перехваченную им информацию. Если модификация информации приводит к ее частичному искажению, то подмена - к ее полному изменению. При возникновении в сети определенного контролируемого ложным объектом события одному из участников обмена посылается заранее подготовленная дезинформация. При этом такая дезинформация в зависимости от контролируемого события может быть воспри-нята либо как исполняемый код, либо как данные. Рассмотрим пример подобного рода дезинформации. Предположим, что ложный объект контролирует событие, которое состоит в подключении пользователя к серверу. В этом случае он ожидает, например, запуска соответствующей программы входа в систему. В случае, если эта программа находится на сервере, то при ее запуске исполняемый файл передается на рабочую станцию. Вместо того, чтобы выполнить данное действие, ложный объект передает на рабочую станцию код заранее написанной специальной программы - захватчика паролей. Эта программа выполняет визуально те же действия, что и настоящая программа входа в систему, например, запрашивая имя и пароль пользователя, после чего полученные сведения посылаются на ложный объект, а пользователю выводится сообщение об ошибке. При этом пользователь, посчитав, что он неправильно ввел пароль (пароль обычно не отображается на экране) снова запустит программу подключения к системе (на этот раз настоящую) и со второго раза получит доступ. Результат такой атаки - имя и пароль пользователя, сохраненные на ложном объекте. Намеренное введение в заблуждение (приписки)
9. Атака «Модификация информации»
Одной из особенностей любой системы воздействия, построенной по принципу ложного объекта, является то, что она способна модифицировать перехваченную информацию. Следует особо отметить, что это один из способов, позволяющих программно модифицировать поток информации между объектами РВС с другого объекта. Ведь для реализации перехвата информации в сети необязательно атаковать распределенную ВС по схеме "ложный объект" . Эффективней будет атака, осуществляющая анализ сетевого трафика (п. 3.2.1), позволяющая получать все пакеты, проходящие по каналу связи, но, в отличие от удаленной атаки по схеме "ложный объект" , она не способна к модификации информации. Далее рассмотрим два вида модификации информации:
• модификация передаваемых данных;
• модификация передаваемого кода.
Одной из функций, которой может обладать система воздействия, построенная по принципу "ложный объект", является модификация передаваемых данных. В результате селекции потока перехваченной информации и его анализа система может распознавать тип передаваемых файлов (исполняемый или текстовый). Соответственно, в случае обнаружения текстового файла или файла данных появляется возможность модифицировать проходящие через ложный объект данные. Особую угрозу эта функция представляет для сетей обработки конфиденциальной информации. Другим видом модификации может быть модификация передаваемого кода. Ложный объект, проводя семантический анализ проходящей через него информации, может выделять из потока данных исполняемый код. Известный принцип неймановской архитектуры гласит, что не существует различий между данными и командами. Следовательно, для того, чтобы определить, что передается по сети - код или данные, необходимо использовать определенные особенности, свойственные реализации сетевого обмена в конкретной распределенной ВС или некоторые особенности, присущие конкретным типам исполняемых файлов в данной локальной ОС. Представляется возможным выделить два различных по цели вида модификации кода:
• внедрение РПС (разрушающих программных средств);
• изменение логики работы исполняемого файла. В первом случае при внедрении РПС исполняемый файл модифицируется по вирусной технологии: к исполняемому файлу одним из известных способов дописывается тело РПС ,а также одним из известных способов изменяется точка входа так, чтобы она указывала на начало внедренного кода РПС. Описанный способ, в принципе, ничем не отличается от стандартного заражения исполняемого файла вирусом, за исключением того, что файл оказался поражен вирусом или РПС в момент передачи его по сети! Такое возможно лишь при использовании системы воздействия, построенной по принципу "ложный объект" . Конкретный вид РПС, его цели и задачи в данном случае не имеют значения, но можно рассмотреть, например, вариант использования ложного объекта для создания сетевого червя - наиболее сложного на практике удаленного воздействия в сетях, или в качестве РПС использовать сетевые шпионы. Во втором случае происходит модификация исполняемого кода с целью изменения логики его работы. Данное воздействие требует предварительного исследования работы исполняемого файла и, в случае его проведения, может принести самые неожиданные результаты. Например, при запуске на сервере (например, в ОС Novell NetWare) программы идентификации пользователей распределенной базы данных ложный объект может так модифицировать код этой программы, что появится возможность беспарольного входа с наивысшими привилегиями в базу данных.
10. Атака «НИР» (Неправомочное использование ресурсов)
В отличие от НСД, речь идет об использовании вспомогательных ресурсов (каналов связи, например), над которыми, как правило, собственно информационная система контроля не имеет. Помимо прямых убытков (увеличение платы за канал и т.п.) эта угроза может привести и к замедлению работы системы или даже к отказу в обслуживании.

[cmb]

11. Вирусная атака. Классификация вирусов.
Компьютерным вирусом называется специально написанная программа, способная создавать свои копии и внедрять их в файлы, системные области компьютера, вычислительные сети и т. п. При этом копии сохраняют способность дальнейшего распространения. Назначением компьютерного вируса является выполнение несанкционированных действий на несущем компьютере. Компьютерные вирусы этого типа поражают файлы с расширениями СОМ, EXE , SYS , BAT , DLL . При запуске программы, содержащей вирус, происходит запуск внедренного в нее программного кода вируса. Работа этого кода вызывает скрытые от пользователя изменения в файловой системе жестких дисков и (или) в содержании других программ. Вирус может размножаться (воспроизводить себя в теле других программ) и производить разрушающие действия (нарушать работу программ и операционной системы, удалять информацию, хранящуюся на жестком диске, форматировать диск и даже уничтожать данные BIOS ), т. е. производить вирусную атаку. Программные вирусы поступают на компьютер при запуске непроверенных программ, полученных на внешнем носителе (гибкий диск, компакт-диск) или принятых из Интернета. Загрузочные вирусы в отличие от программных поражают определенные системные области магнитных носителей (дискет, жесткого диска). Кроме того, на включенном компьютере они могут временно располагаться в оперативной памяти. Обычно заражение происходит при попытке загрузить компьютер с магнитного носителя (системной дискеты), системная область которого содержит загрузочный вирус. Существуют и файлово-загрузочные вирусы, которые могут поражать как файлы, так и загрузочные сектора. Макровирусы. Эта особая разновидность вирусов поражает документы, выполненные в некоторых прикладных программах, имеющих средства для исполнения так называемых макрокоманд (документы текстового процессора MS Word , табличного процессора MS Excel ). Заражение происходит при открытии документа в окне приложения, если не отключена возможность исполнения макрокоманд.
Классификация вирусов по способу заражения:
а) резидентные - при заражении компьютера оставляют в оперативной памяти свою резидентную часть, которая потом перехватывает обращение операционной системы к объектам заражения и внедряется в них. Эти вирусы находятся в памяти и являются активными до выключения компьютера;
б) нерезидентные - не заражают память компьютера и активны только ограниченное время.
Классификация по деструктивным возможностям:
а) безвредные - никак не влияют на работу компьютерной системы, кроме уменьшения свободной памяти на диске в результате своего распространения;
б) неопасные - вирусы, влияние которых ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и прочими эффектами;
в) опасные — могут привести к серьезным сбоям в работе;
г) очень опасные - приводят к потере программ, уничтожению данных.
Классификация по особенностям алгоритма :
а) компаньон-вирусы создают для ЕХЕ-файлов файлы-спутники, имеющие то же самое имя, но с расширением СОМ. ОС MS DOS первым выполнит СОМ-файл (вирус), а затем запустит и ЕХЕ-файл;
б) вирусы «черви» - вариант компаньон-вирусов. «Черви» не связывают свои копии с какими-то файлами. Они создают свои копии на дисках, никаким образом не изменяя других файлов;
в) паразитические - все вирусы, которые при распространении своих копий обязательно изменяют содержимое дисковых секторов или файлов;
г) «студенческие» - примитивные вирусы, часто нерезидентные и содержащие большое число ошибок;
д) стелс-вирусы - весьма совершенные программы, перехватывают обращение ОС к пораженным файлам или секторам дисков и подставляют вместо себя незараженные участки информации, что затрудняет их обнаружение;
е) полиморфик-вирусы (призраки) - трудно обнаруживаемы, так как не содержат ни одного постоянного участка кода. Достигается этот эффект шифрованием основного тела вируса и модификациями программы-расшифровщика;
ж) макровирусы - используют возможности макроязыка VBA ( Visual Basic for Application );
з) сетевые вирусы (сетевые «черви») — распространяются в компьютерной сети, но не изменяют файлы и сектора на дисках.
Для распространения используют сетевые протоколы и «дыры» в сетевом программном обеспечении. Часто выполняют шпионские действия - кражу паролей, установление удаленного несанкционированного управления зараженным компьютером. Обычные программные и макровирусы также могут распространяться через компьютерные сети, заражая файлы, размещенные на «общих» дисках, на серверах и в сети Интернет. О заражении компьютерным вирусом могут свидетельствовать следующие признаки:
• частые беспричинные «зависания» компьютера;
• замедленная, по сравнению с обычной, загрузка программ;
• изменение размеров файлов;
• уменьшение объема доступной оперативной памяти.
12. Атака «Черный вход»
Оставили программисты для тестового использования Пароль по умолчанию. Создает пользователь или администратор Администратор продажный
13. Психологические атаки
Несмотря на разнообразие поведения человека, некоторые поступки могут быть предсказаны с определенной долей вероятности. Знание психологических мотивов, например, выбора пароля администратором системы, может существенно облегчить задачу взломщика. Вообще, чем более «авторское» исполнение системы защиты, тем более она предсказуема и тем более она уязвима. Кроме того, часто люди, даже очень дисциплинированные и исполнительные, попадают в психологические ловушки: хорошей иллюстрацией может послужить эпидемия вируса « I love you » - мало кто сможет устоять перед соблазном прочитать интимное послание «по ошибке» попавшее ему в руки. Психологическая атака – это метод разнообразного, изменчивого; быстрого, активного; многословного, многозначного; подвижного, пантомимического воздействия на психику человека с целью отключения логического мышления: произведения или неотразимого впечатления, или введения в состояние растерянности, с последующим побуждением человека к нужной реакции.
ЭЛЕМЕНТЫ ПСИ-АТАКИ ОБРАЗЫ ДЕЙСТВИЯ СЛОВА ПОЛОЖЕНИЕ разнообразие быстрота многословие подвижность изменчивость активность многозначность пантомимика Психологическая атака применяется предпринимателями, коммивояжерами, дистрибъюторами; радио- и телеведущими; в процессе презентации, аттраксии и т.д. В основе либерократического стиля-метода руководства - пси-атака.
14. Перехват и криптоанализ
Подслушивание FTP , POP 3 – пароли Можно заставить Windows передавать пароль в открытой форме. Подслушивание HASH . Криптоанализ – расшифровка данных на основе их изучения. Шифрованный трафик. Слабые ключи шифрования. Прямой взлом – распараллеливание усилий Слабые схемы шифрования, пляшущие человечки. Долгоживущий ключ – устаревает и очевиден. Проблемы генерации ключей – возможность предугадать «случайные числа». Проблема вычисления простого числа – их не так уж и много, но сложно вычислить новое. Правило – если данные после шифрования неплохо сжимаются – плохое шифрование. Возможность угадать ключ, зная исходное сообщение.
15. Использование спец.техники
Прослушка излучений
По звуку можно догадаться что печатают
Считывание с «испорченных дискет», со «стертых файлов», до 7 циклов считывание после форматирования/записи
Самый мощный излучатель – монитор. Простейшие средства доступны студенту
Обычные дисководы могут читать склеенные диски

16. Заметание следов, как этап успешной атаки

1. Маскировка источника
Атака с другого сервера
Маскировка маршрута
2. Уничтожение журналов
3. Сокрытие одной атаки другой
Обычно после НСД – DoS (в down )
Или маскируют под «злобных хакеров» - поменяют странички, нагадят и убегут

17. Причины возможности реализации атак
Знания видов угроз и их возможных источников еще не достаточно для построения эффективной системы защиты. Необходимо представлять причины принципиальной возможности проведения атаки. Можно выделить четыре основных причины, делающие возможность проведения атаки:
3.1. Ошибки в программном обеспечении Справедлива следующая аксиома: в любом программном продукте содержатся ошибки. Следствие: в новой версии программного продукта содержатся новые ошибки. Эти два высказывания справедливы сейчас и будут справедливы всегда, по отношению, как к коммерческому, так и бесплатному программному обеспечению.
3.2. Ошибки конфигурации и планирования систем Любая информационная система представляет собой комплекс, стоящий на более высоком уровне сложности, чем составляющие его элементы. Работоспособность системы в целом определяется не только работоспособностью отдельных элементов, но и слаженностью их взаимодействия. Как правило, конфигурирование всех составляющих ИС производится с учетом особенностей их работы в рамках общего целого. При выполнении настроек неизбежны ошибки и несоответствия, приводящие к возможности внештатных ситуаций. Плохо проведенное планирование системы в целом и недостаточное изучение вопросов совместимости отдельных ее компонент, также является причиной возможности реализации атаки.
3.3. Человеческий фактор Несомненно, человек – пользователь или администратор – играет самую значимую роль в обеспечении защиты информационных систем. Как правило, невозможно не только предотвратить, но даже предусмотреть все возможные варианты поведения пользователя ИС. Тем не менее, нельзя ограничиваться лишь кругом людей, имеющих отношение к информационной системе. Практически любой работник предприятия, даже уборщица, может стать причина реализации атаки. Следует особо выделить следующие факторы: 3.3.1. Недисциплинированность Любой человек склонен нарушать инструкции и приказы, пусть даже не намеренно. Чем больше инструкций – тем больше шансов, что какая-либо будет нарушена. Лучшее подтверждение этому – инструктажи по технике безопасности и охране труда.
3.3.2. Нелояльность К сожалению, не все работники предприятия довольны своим окладом, начальством и имеют хорошие отношения с сослуживцами. Часто нелояльность работника может быть простимулирована денежным поощрением от недоброжелателей. Нелояльный работник – наиболее частая причина реализации атаки.
3.3.3. Психология Несмотря на разнообразие поведения человека, некоторые поступки могут быть предсказаны с определенной долей вероятности. Знание психологических мотивов, например, выбора пароля администратором системы, может существенно облегчить задачу взломщика. Вообще, чем более «авторское» исполнение системы защиты, тем более она предсказуема и тем более она уязвима. Кроме того, часто люди, даже очень дисциплинированные и исполнительные, попадают в психологические ловушки: хорошей иллюстрацией может послужить эпидемия вируса « I love you » - мало кто сможет устоять перед соблазном прочитать интимное послание «по ошибке» попавшее ему в руки.
3.4. Несанкционированные изменения в информационной системе Эта причина есть следствие первых трех, но, тем не менее, разумно выделить ее отдельным пунктом, для того чтобы заострить на ней внимание. Ни одна информационная система никогда не существует в застывшем, неизменном состоянии. Постоянно идет ее развитие, перенастройка и доработка. Как правило, этим занимается несколько человек, и не один из них не в состоянии полностью удерживать всю картину целиком в голове. Существуют определенные инструкции (которые нарушают), определяющие порядок изменения настроек, внедрения новых модулей, документирования и так далее, охватывающий весь процесс санкционированного развития информационной системы. Но существуют еще «гении-самоучки» - пытливые пользователи, жаждущие применить свои знания на практике. Добавив к этому вирусные атаки, несанкционированно устанавливаемое программного обеспечение развлекательного характера, получаем весьма высокую вероятность того, что реально работающая система несколько отличается от того, что представляет себе администратор или того, что описано в документации. Все это открывает дополнительные возможности для злоумышленника и делает систему менее защищенной перед прочими угрозами.
18. Защита: профилактика разведки и атак.
1. Сканирование систем и сетей
2. Применение обновлений ПО
3. Технология виртуальных частных сетей Профилактика разведки Недоступность информации, бюрократические препоны, уничтожение дискет, бумаги, шаблоны документов на сервере (только для чтения), убрать дискеты там где не надо, недопускать установку пользователями ПО 5.2. Обнаружение разведки
1. Мониторинг входящего и исходящего трафика
2. Мониторинг системы
- Целостность ПО, журналов (Хранить копии журналов , регулярно их читать, обращать внимание на неповторяемость)
- Временные сбои и странное поведение (Скорее всего сигнал ) •
- Действия пользователей (Ограничить набор программ, установка обновлений и компонент только с сервера.)
3. Загрузка системы (profiling) Наблюдение за работой системы, стаднартные средства мониторинга, base - line и отклонения
4. Мониторинг трафика на интенсивность направленность и содержание
Сканеры безопасности (сканеры уязвимостей, security scanners ) В отличие от обычных сканеров, сканеры уязвимостей (безопасности) предназначены не только для определения открытых портов на исследуемом хосте, но и для проведения исследования обнаруженных сервисов на наличие известных уязвимостей. Как правило сканер уязвимостей работает в двух режимах – поиск открытых портов и анализ найденных сервисов на известные уязвимости. Сначала происходит анализ исследуемого хоста, определяются открытые порты, определяются версии сервисов на найденных портах, версия операционной системы. Затем происходит «имитация» атаки на найденные сервисы. При имитации атаки сканер применяет имеющиеся у него шаблоны атак на данные сервисы и анализирует полученный результат. Следует отметить то, что при имитации атаки сканер уязвимостей может вывести сервисы из строя т.к. он их фактически атакует. Однако после удачной атаки сканер уязвимостей не производит никаких враждебных действий на исследуемом хосте. После проведения атак, сканер анализирует полученные результаты и по окончанию своей работы он выдает отчет, в котором говорится, какие сервисы были найдены (версии и названия программ), какие были уязвимости и ссылки на описания найденных уязвимостей и способы их устранения. Как правило, уязвимости в отчете имеют определенную градацию: информационные (из серии «чтоб вы знали что у вас тут есть»), средней опасности и очень опасные. Наибольшую степень опасности имеют уязвимости которые позволяют злоумышленнику получить контроль над атакуемой системой или получить много полезной и важной информации о хосте или провести DoS атаку (отказ в обслуживании. Когда сервис становится недоступным вследствие действий злоумышленника т.о. честные клиенты не могут получить желаемую услугу, что ведет к определенным финансовым потерям и т.п. Как пример: злоумышленник провел DoS атаку, вследствие чего почтовый сервер перестал отсылать и/или принимать почту и поэтому стала невозможной пересылка электронной почты).
Обычные сканеры (сканеры портов) Сканируют хосты и смотрят, какие порты там открыты. Могут определять версию ОС по определенным особенностям работы стека TCP / IP или определенным особенностям свойственным данным ОС (так называемые отпечатки, OS fingerprints ). Данный тип сканеров не может принести никакого вреда исследуемому хосту т.к. он не производит никаких враждебных действий (атаки). В конце работы выдает список открытых портов, список портов которые отфильтровывает файрвол (пакетный фильтр) и, если есть такая возможность, версию ОС. Примеры обычных сканеров: nmap , tcpscan , portscanner . Примеры сканеров безопасности (уязвимостей) ISS scanner , retina , nessus , xspider , languard .
19. Фильтрация трафика. Обзор персональных программных межсетевых экранов Фильтрация трафика
Брандмауэр - это система или комбинация систем, позволяющие разделить сеть на две или более частей и реализовать набор правил, определяющих условия прохождения пакетов из одной части в другую (см рис.1). Как правило, эта граница проводится между локальной сетью предприятия и INTERNET, хотя ее можно провести и внутри локальной сети предприятия. Брандмауэр таким образом пропускает через себя весь трафик. Для каждого проходящего пакета брандмауэр принимает решение пропускать его или отбросить. Для того чтобы брандмауэр мог принимать эти решения, ему необходимо определить набор правил. О том, как эти правила описываются и какие параметры используются при их описании речь пойдет ниже. Многие брандмауэры имеют систему проверки целостности программных кодов. При этом контрольные суммы программных кодов хранятся в защищенном месте и сравниваются при старте программы во избежание подмены программного обеспечения. Все брандмауэры можно разделить на три типа:
• Пакетные фильтры (Packet filter)
• Серверы прикладного уровня (Application gateways)
• Сервера уровня соединения (circuit gayeways)
Все типы могут одновременно встретиться в одном брандмауэре.
Системы сбора статистики и предупреждения об атаке Информация обо всех событиях - отказах, входящих, выходящих соединениях, числе переданных байт, использовавшихся сервисах, времени соединения и т.д. - накапливается в файлах статистики. Многие брандмауэры позволяют гибко определять подлежащие протоколированию события, описать действия брандмауэра при атаках или попытках несанкционированного доступа - это может быть сообщение на консоль, почтовое послание администратору системы и т.д. В состав многих брандмауэров входят генераторы отчетов, служащие для обработки статистики.
Защита от уязвимых мест в службах Брандмауэр может значительно повысить сетевую безопасность и уменьшить риски для хостов в подсети путем фильтрации небезопасных служб. В результате подсеть будет подвергаться гораздо меньшему числу опасностей, так как только через брандмауэр смогут пройти только безопасные протоколы. Например, брандмауэр может запретить, чтобы такие уязвимые службы, как NFS, не использовались за пределами этой подсети. Это позволяет защититься от использования этих служб посторонними атакующими, но продолжать использовать их внутри сети, не подвергаясь особой опасности. Поэтому можно будет спокойно использовать такие удобные службы, как NFS и NIS, специально разработанные для уменьшения затрат на администрирование в локальной сети. Брандмауэры также могут обеспечить защиту от атак с использованием маршрутизации, таких как маршрутизация источника и попыток изменить маршруты передачи данных с помощью команд перенаправления ICMP. Брандмауэр может заблокировать все пакеты с маршрутизацией источника и перенаправленя ICMP, а затем информировать администраторов об инцидентах.
Управляемый доступ к систем сети Брандмауэр также предоставляет возможности по управлению доступом к хостам сети. Например, некоторые хосты могут быть сделаны достижимыми из внешних сетей, в то время как доступ к другим системам извне будет запрещен. Сеть может запретить доступ к своим хостам извне, за исключением особых случаев, таких как почтовые сервера или информационные сервера. Эти свойства брандмауэров требуются при политике управления доступом, построенной по принципу: не предоставлять доступ к хостам или службам, к которым доступ не требуется. Другими словами, зачем давать доступ к хостам и службам, которые могут использоваться атакующими, когда на самом деле он не нужен или не требуется? Если, например, пользователю не нужно, чтобы кто-то в сети мог получить доступ к его рабочей станции, то брандмауэр как раз и может реализовать этот вид политики.
Концентрированная безопасность Брандмауэр может на самом деле оказаться недорогим для организации из-за того, что большинство или все изменения в программах и дополнительные программы по безопасности будут установлены на системе брандмауэра, а не распределены по большому числу хостов. В частности, системы одноразовых паролей и другие дополнительные программы усиленной аутентификации могут быть установлены только на брандмауэре, а не на каждой системе, которой нужно обращаться к Интернету.
Повышенная конфиденциальность Конфиденциальность очень важна для некоторых организаций, так как то, что обычно считается безобидной информацией, может на самом деле содержать полезные подсказки для атакующего. Используя брандмауэр, некоторые сети могут заблокировать такие службы, как finger и доменную службу имен. finger дает информацию о пользователях, такую как время последнего сеанса, читалась ли почта, и другие данные. Но finger может дать атакующему информацию о том, как часто используется система, работают ли сейчас в этой системе пользователи, и может ли быть система атакована, не привлекая при этом внимания. Брандмауэры также могут быть использованы для блокирования информации DNS о системах сети, поэтому имена и IP-адреса хостов в сети не станут известны хостам в Интернете. Некоторые организации уже убедились в том, что блокируя эту информацию, они скрывают ту информацию, которая была бы полезна для атакующего.
Протоколирование и статистика использования сети и попыток проникновения Если все доступ к Интернету и из Интернета осуществляется через брандмауэр, то брандмауэр может протоколировать доступ и предоставить статистику об использовании сети. При правильно настроенной системе сигналов о подозрительных событиях (alarm), брандмауэр может дать детальную информацию о том, были ли брандмауэр или сеть атакованы или зондированы. Важно собирать статистику использования сети и доказательства зондирования по ряду причин. Прежде всего нужно знать наверняка, что брандмауэр устойчив к зондированию и атакам, и определить, адекватны ли меры защиты брандмауэра. Кроме того, статистика использования сети важна в качестве исходных данных при проведении исследований для формулирования требований к сетевому оборудованию и программам и анализе риска.
Проблемы, возникающие из-за брандмауэров
1. Ограничение в доступе к нужным службам
2. Большое количество остающихся уязвимых мест Брандмауэры не защищают от черных входов(люков) в сети.
3. Плохая защита от атак своих сотрудников
4. Другие проблемы С брандмауэром также связан ряд других проблем:
WWW, gopher - новые информационные сервера и клиенты, такие как WWW, gopher, WAIS и ряд других не рассчитаны на совместную работу с брандмауэром, и из-за их новизны вообще достаточно рискованны.
MBONE - групповые передачи с помощью IP(MBONE), содержащие речь и изображение, инкапсулируются в других пакетах; брандмауэры обычно пропускают эти пакеты, не проверяя их содержимое. Передачи типа MBONE представляют потенциальную угрозу, если пакеты содержат команды, изменяющие параметры работы средств защиты и позволяющие злоумышленникам получить доступ.
Вирусы - брандмауэры не защищают от пользователей, загружающих программы для ПЭВМ, зараженные вирусами, из Интернетовских архивов или передачи таких программ в качестве приложений к письму. Так как эти программы могут быть закодированы или сжаты большим числом способов, брандмауэр не может сканировать такие программы на предмет обнаружения сигнатур вирусов.
Пропускная способность - брандмауэры являются потенциально узким местом, так как все соединения должны проходить через брандмауэр и, в некоторых случаях, изучаться брандмауэром. Тем не менее, сегодня это не является проблемой, так как брандмауэры могут обрабатывать данные со скоростями 1.5 Мбита/с, а большинство сетей, подключенных к Интернету, имеют подключение со скоростью меньшей или равной этой.

20. Защита информации в операционных системах
Надежность и отказоустойчивость . Система должна быть защищена как от внутренних, так и от внешних ошибок, сбоев и отказов. Её действия должны быть всегда предсказуемыми, а приложения не должны быть в состоянии наносить вред ОС.
Безопасность . В дополнение к стандарту POSIX правительство США также определило требования компьютерной безопасности для приложений, используемых правительством. Многие из этих требований являются желаемыми свойствами для любой многопользовательской системы. Правила безопасности определяют такие свойства, как защита ресурсов одного пользователя от других и установление квот по ресурсам для предотвращения захвата одним пользователем всех системных ресурсов (таких как память). Обеспечение защиты информации от несанкционированного доступа является обязательной функцией сетевых операционных систем. В большинстве популярных систем гарантируется степень безопасности данных, соответствующая уровню С2 в системе стандартов США. Основы стандартов в области безопасности были заложены «Критериями оценки надежных компьютерных систем». Этот документ, изданный в США в 1983 году национальным центром компьютерной безопасности (NCSC – National Computer Security Center ), часто называют Оранжевой Книгой. В соответствии с требованиями Оранжевой книги безопасной считается такая система, которая «посредством специальных механизмов защиты контролирует доступ к информации таким образом, что только имеющие соответствующие полномочия лица или процессы, выполняющиеся от их имени, могут получить доступ на чтение, запись, создание или удаление информации». Иерархия уровней безопасности, приведенная в Оранжевой Книге, помечает низший уровень безопасности как D, а высший – как А. В класс D попадают системы, оценка которых выявила их несоответствие требованиям всех других классов. Основными свойствами, характерными для С-систем, являются: наличие подсистемы учета событий, связанных с безопасностью, и избирательный контроль доступа. Уровень С делится на 2 подуровня: уровень С1, обеспечивающий защиту данных от ошибок пользователей, но не от действий злоумышленников, и более строгий уровень С2. На уровне С2 должны присутствовать средства секретного входа, обеспечивающие идентификацию пользователей путем ввода уникального имени и пароля перед тем, как им будет разрешен доступ к системе. Избирательный контроль доступа, требуемый на этом уровне позволяет владельцу ресурса определить, кто имеет доступ к ресурсу и что он может с ним делать. Владелец делает это путем предоставляемых прав доступа пользователю или группе пользователей. Средства учета и наблюдения (auditing) – обеспечивают возможность обнаружить и зафиксировать важные события, связанные с безопасностью, или любые попытки создать, получить доступ или удалить системные ресурсы. Защита памяти – заключается в том, что память инициализируется перед тем, как повторно используется. На этом уровне система не защищена от ошибок пользователя, но поведение его может быть проконтролировано по записям в журнале, оставленным средствами наблюдения и аудитинга. Системы уровня В основаны на помеченных данных и распределении пользователей по категориям, то есть реализуют мандатный контроль доступа. Каждому пользователю присваивается рейтинг защиты, и он может получать доступ к данным только в соответствии с этим рейтингом. Этот уровень в отличие от уровня С защищает систему от ошибочного поведения пользователя. Уровень А является самым высоким уровнем безопасности, он требует в дополнение ко всем требованиям уровня В выполнения формального, математически обоснованного доказательства соответствия системы требованиям безопасности. Различные коммерческие структуры (например, банки) особо выделяют необходимость учетной службы, аналогичной той, что предлагают государственные рекомендации С2. Любая деятельность, связанная с безопасностью, может быть отслежена и тем самым учтена. Это как раз то, что требует С2 и то, что обычно нужно банкам. Однако, коммерческие пользователи, как правило, не хотят расплачиваться производительностью за повышенный уровень безопасности. А-уровень безопасности занимает своими управляющими механизмами до 90% процессорного времени. Более безопасные системы не только снижают эффективность, но и существенно ограничивают число доступных прикладных пакетов, которые соответствующим образом могут выполняться в подобной системе. Например, для ОС Solaris (версия UNIX) есть несколько тысяч приложений, а для ее аналога В-уровня – только сотня.

21. Методы взлома и защиты электронной почты.
Особенности электронной почты как сетевого сервиса. Характерная особенность электронной почты (ЭП) в том, что ее работа основана на двух прикладных протоколах. Соответственно работа ЭП обеспечена двумя серверами: сервером исходящих сообщений и сервером входящих сообщений. Необходимость в наличии двух разных протоколов связана с требованиями безопасности. При отправке сообщений обычно не нужна строгая процедура идентификации отправителя. Служба исходящих сообщений основана на протоколе SMTP (простейший протокол передачи почты). Для получения сообщения клиент должен предъявить определенные права. Наиболее распространенным протоколом этой службы является РОРЗ (протокол почтового отделения, версия 3). Обычная ЭП, основанная на протоколах SMTP и РОРЗ, называется e - mail . В последние годы получила развитие другая система ЭП сети Интернет, основанная на службе WWW и называющаяся web - mail . Это не самостоятельная служба, а сервис, реализованный средствами службы WWW на основе протокола HTTP . Co стороны сети Интернет этот сервис поддерживается web-серверами, а на клиентской стороне для работы с ним достаточно иметь обычный web-браузер. К отдельным сообщениям ЭП принято подходить как к записям базы данных (БД). В этом смысле «почтовый ящик» РОРЗ представляет собой удаленную БД, а сообщения, принятые на компьютер, образуют локальную БД. Прием и отправка сообщений эквивалентны операциям копирования записей из одной базы данных в другую. Сообщение, как и любая запись БД, имеет поля (например, адрес получателя, тема сообщения и др.) С содержимым отдельных полей можно работать порознь. Эта особенность сообщений ЭП активно используется почтовыми клиентами. Сообщение ЭП состоит из двух больших разделов: заголовка и тела сообщения. Тело сообщения представляет собой текстовый фрагмент в ACSII-кодах и не может представлять угрозы безопасности (например, содержать вирусы). Механизм почтовых вложений позволяет пересылать вместе с текстовыми сообщениями документы нетекстовой природы. Поле с информацией о наличии вложенного файла содержится в заголовке сообщения. В большинстве почтовых систем сообщение, содержащее вложение, помечается значком скрепки.
Угрозы безопасности при работе с ЭП. При работе с ЭП выделяют следующие угрозы и уязвимости: • угроза нарушения конфиденциальности информации; • отказ в обслуживании; • заражение компьютерным вирусом. Во избежание утечки конфиденциальной информации в почтовом обмене используются криптографические методы. Отказ в обслуживании наступает в случае целенаправленного вывода из строя почтового сервера адресата, например в результате переполнения поступающими сообщениями (почтовой бомбардировки). Почтовая бомбардировка - это целенаправленная злонамеренная акция по переполнению «почтового ящика» жертвы путем массовой отправки незатребованной корреспонденции. Рассылка незатребованной информации называется спамом. В качестве меры противодействия рекомендуется: • использование почтовых клиентов, способных анализировать поступающие сообщения на сервере без загрузки их на компьютер пользователя (фильтры и почтовые правила); • не следует широко публиковать свой адрес ЭП. При необходимости публикации своего адреса открывают учетную запись в одной из бесплатных служб web - mail и используют ее в качестве временной. При передаче своего адреса по сети следует иметь в виду, что существуют автоматические программные средства, занимаю¬щиеся просмотром файлов любых типов в поисках имеющихся в них адресов e - mail . Обычно эти средства разыскивают в документах сим¬вол @. Поэтому рекомендуется его заменять каким-либо другим символом, понятным человеку: например, вместо: myname@abcd.com - myname#abcd.com. Еще надежнее метод, когда вместо имени адресата используется стандартный шаблон, например NOSPAM : nospammyname # abcd . com Через механизм ЭП можно получить как классические, так и особые «почтовые» вирусы. Классические вирусы распространяются в виде исполнимых файлов, вложенных в сообщения ЭП. Механизм работы «почтовых» вирусов основан на эксплуатации уязвимостей, имеющихся в отдельных почтовых программах (напри¬мер, Outlook Express ). Для срабатывания почтового вируса даже не требуется запускать на исполнение файл-вложение, достаточно про¬сто открыть сообщение.

22. Антивирусная защита. Виды антивирусных программ.
Средства и методы антивирусной защиты Существует три рубежа защиты от компьютерных вирусов:
• предотвращение поступления вирусов;
• предотвращение вирусной атаки, если вирус все-таки поступил на компьютер;
• предотвращение разрушительных последствий, если атака все-таки произошла. Существует три типа реализации защиты:
• программные методы защиты;
• аппаратные методы защиты;
• организационные методы защиты.
К средствам антивирусной защиты относятся:
• резервное копирование данных;
• использование средств аппаратной защиты;
• использование антивирусных программ.
К другим организационным мерам защиты от вирусов относится соблюдение следующих правил:
• использование только лицензионного программного обеспечения, полученного из надежных источников;
• ограничение круга лиц, имеющих доступ к компьютеру;
• соблюдение правил безопасности при работе в сети Интернет;
• обязательная проверка дискет с помощью антивирусной программы перед использованием;
• периодическое сканирование жесткого диска с помощью антивирусной программы;
• своевременное регулярное обновление антивирусных баз.
Вспомогательными средствами защиты информации являются антивирусные программы и средства аппаратной защиты.
Типы антивирусных программ
По назначению выделяют следующие виды антивирусных программ:
• сканеры;
• ревизоры;
• резидентные мониторы;
• иммунизаторы.
Принцип работы сканеров основан на проверке файлов, секторов и системной памяти и поиске в них известных и новых вирусов. Для поиска известных вирусов используются маски вируса (маска - некоторая постоянная последовательность кода, специфичная для конкретного вируса). Существуют две категории сканеров: универсальные (на все виды вирусов) и специализированные (на определенный тип вирусов, например, макровирусов). Достоинством сканеров является их универсальность, недостатком - большие размеры антивирусных баз и небольшая скорость поиска вирусов.
Работа ревизоров диска базируется на подсчете контрольных сумм для имеющихся файлов и системных секторов. Эти суммы (длины файлов, даты последней модификации и т. д.) сохраняются в базе данных антивируса. При последующем запуске антивирусная программа сверяет данные, содержащиеся в базе, с реальными и сигнализирует об изменении файлов или заражении их вирусом. Недостатками являются:
а) неспособность поймать вирус в момент его появления в системе;
б) невозможность определить вирус в новых файлах (в электронной почте, на дискете).
Резидентные мониторы - программы, постоянно находящиеся в оперативной памяти и контролирующие операции, которые производятся с диском и оперативной памятью. Позволяют обнаруживать вирус до момента реального заражения системы. Недостатком является уменьшение размера свободной оперативной памяти, а также замедление работы, поскольку мониторы работают в интерактивном режиме, сообщая пользователю о зараженных объектах.
Иммунизаторы делятся на два типа:
1) иммунизаторы, сообщающие о заражении;
2) иммунизаторы, блокирующие заражение каким-либо типом вируса. Первые из них обычно записываются в конец файлов (по принципу файлового вируса) и при запуске файла каждый раз проверяют его на изменение. Недостаток: невозможность сообщить о заражении стелс-вирусом. Иммунизаторы второго типа защищают систему от заражения каким-либо определенным типом вируса. Файлы на дисках модифицируются таким образом, что вирус принимает их за уже зараженные. Для защиты от резидентного вируса в память компьютера заносится программа, имитирующая копию вируса. При запуске вирус натыкается на нее и считает, что система уже заражена. Такой тип иммунизации не универсален, однако может служить дополнительной мерой защиты от новых неизвестных вирусов. Современные антивирусные программы, как правило, снабжены мощными эвристическими механизмами для борьбы с еще неизвестными вирусами. Работа таких механизмов основана на том, что по характерным для вирусов участков кода можно с определенной степенью вероятности утверждать о наличии неизвестного программе вируса в объекте. Этот механизм может давать ложные срабатывания (детектирование вируса в незараженном объекте), однако для качественной эвристики их процент минимален.