Опции

[cmb]

1. Задачи системы защиты информации
Информационная безопасность – под ней будем понимать защищенность информации, информационных ресурсов и систем от случайных или преднамеренных воздействий, которые могут нанести ущерб субъектам информационных отношений.
Объекты информационной безопасности:
- информационные ресурсы государства, предприятий и юридических и физических лиц;
- права граждан, юридических лиц и государства на получение, распространение и использование информации;
- права граждан, юридических лиц и государства на защиту конфиденциальной информации и интеллектуальной собственности;
- система формирования, распространения и использование информационных ресурсов (информационные. сети, архивы и т.д.);
- информационная инфраструктура., которая включает центры обработки и анализа информации, каналы информационного обмена и коммуникаций, включая также механизмы обеспечения и функционирования телекоммуникационных систем и сетей;
- системы формирования общественного сознания, базирующееся на СМИ и пропаганды;
Защита Информации - это комплекс мероприятий организационно-правовых и технических, направленных на обеспечение информационной безопасности.
1. Обеспечение подлинности и сохранности информации. Если задача обеспечения сохранности информации обычно не вызывает каких либо вопросов и сомнений, то задача обеспечения подлинности информации возникнув относительно недавно не всегда привлекает к себе достаточное внимание. Тем не менее, современные темпы ведения деловых операций делают системы электронного обмена информацией все более привлекательными, что делает вопросы гарантии подлинности информации существенно важными. При этом гарантия подлинности не ограничивается гарантией подлинности источника информации, но также включает в себя гарантию подлинности содержимого. Обеспечение сохранности информации – это обеспечение ее сохранности в случае природных катаклизмов, пожаров и так далее, включая аппаратные и программные сбои, а также действия злоумышленников по намеренному уничтожению информации. Относительно новым аспектом задачи обеспечения сохранности информации является собственно задача сбора информации, то есть фиксации, отображения в системе действий пользователей, прохождения информации и прочих событий реального мира, связанных с информационной системой предприятия.
2. Обеспечение функционирования системы Обеспечения функционирования информационной системы включает в себя:
- Обеспечение функционирования аппаратного и программного обеспечения;
- Обеспечение системы достаточным количеством потребляемых ресурсов (электроэнергии, каналов связи и так далее);
- Защита от злоумышленного вывода системы из строя;
- Обеспечение пользователям доступа к системе;
3. Обеспечение разграничения доступа к информации и ресурсам системы. Эта задача включает в себя следующие подзадачи:
- Идентификация пользователя;
- Систему описания прав и режима доступа к информации и ресурсам системы;
- Мониторинг системы и пользователей; Как правило, эта задача рассматривается в ракурсе только разграничения доступа к информации. Но сами ресурсы системы – аппаратное обеспечение, каналы связи – тоже часто становятся целью злоумышленника. Иногда неправомерное использование ресурсов приносит не только прямые, но и косвенные убытки – ущерб имиджу предприятия в деловых кругах, ухудшения условий предоставления услуг провайдерами связи и так далее.
2. Источники угроз внешние и внутренние. Примеры
Угроза безопасности информационных систем – набор факторов, приводящих к сбоям или неработоспособности системы, а также наносящих урон целостности информации. Для правильного построения комплекса защиты информационной системы необходимо четко представлять виды угроз и их возможные источники.
2.1. Источники угроз Все перечисленные выше виды угроз должны приниматься в расчет при построении системы безопасности ИС предприятия. Тем не менее, необходимо еще учитывать возможные источники угроз. Принято выделять два основных типа источников:
2.1.1. Внешние источники
Под внешними источниками угроз подразумеваются источники, находящиеся за пределами предприятия, действия которых не могут быть проконтролированы. Как правило, система безопасности заранее «подозревает» эти источники в «плохих намерениях» и предпринимает профилактические меры по предотвращению угроз. Потенциальными точками приложения внешних угроз являются:
- Каналы связи: Internet , модемная связь, телефонные линии, факс;
- Источники информации: веб-сайты, электронная почта, файлы, передаваемые на дискетах и т.п.;
- Аппаратное обеспечение, приобретаемое или получаемое в аренду;
- Спецтехника;
- Форс-мажор факторы.
2.1.2 . Внутренние источники
Наиболее распространенное заблуждение, связанное с защитой информационных систем, состоит в том, что достаточно отгородится от внешнего мира, чтобы быть уверенным в собственной безопасности. Внутренние источники, представляют не меньшую угрозу компьютерным системам, чем набивший оскомину хакер из, скажем, Китая.
К внутренним источникам угроз можно отнести:
- Персонал предприятия, в том числе временные и бывшие работники;
- Программное обеспечение, в том числе и разработанное на предприятии;
- Оборудование, коммуникации, системы водоснабжения и прочие вещи, не имеющие прямого отношения к компьютерной информационной системе, но участвующие в процессе производства.
3. Классификация атак и угроз
1. По характеру воздействия
- пассивное (класс 1.1)
- активное (класс 1.2)
Пассивное воздействие на распределенную вычислительную систему - воздействие, которое не оказывает непосредственного влияния на работу системы, но может нарушать ее политику безопасности. Именно отсутствие непосредственного влияния на работу распределенной ВС приводит к тому, что пассивное удаленное воздействие практически невозможно обнаружить. Примером пассивного типового удаленного воздействия в РВС служит прослушивание канала связи в сети.
Активное воздействие на распределенную ВС - воздействие, оказывающее непосредственное влияние на работу системы (изменение конфигурации РВС, нарушение работоспособности и т. д.) и нарушающее принятую в ней политику безопасности. Практически все типы удаленных атак являются активными воздействиями. Особенностью активного воздействия по сравнению с пассивным является принципиальная возможность его обнаружения, так как в результате его осуществления в системе происходят определенные изменения. В отличие от активного, при пассивном воздействии не остается никаких следов (от того, что атакующий просмотрит чужое сообщение в системе, в тот же момент ничего не изменится).
2. По цели воздействия
- нарушение конфиденциальности информации либо ресурсов системы (класс 2.1)
- нарушение целостности информации (класс 2.2)
- нарушение работоспособности (доступности) системы (класс 2.3)
Основная цель практически любой атаки - получить несанкционированный доступ к информации. Существуют две принципиальные возможности доступа к информации: перехват и искажение. Возможность перехвата информации означает получение к ней доступа, но невозможность ее модификации. Следовательно, перехват информации ведет к нарушению ее конфиденциальности. Примером перехвата информации может служить прослушивание канала в сети. В этом случае имеется несанкционированный доступ к информации без возможности ее искажения. Нарушение конфиденциальности информации является пассивным воздействием.
Возможность искажения информации означает либо полный контроль над информационным потоком между объектами системы, либо возможность передачи сообщений от имени другого объекта. Таким образом, искажение информации ведет к нарушению ее целостности. Данное информационное разрушающее воздействие представляет собой яркий пример активного воздействия.
Принципиально другой целью атаки является нарушение работоспособности системы. В этом случае не предполагается получение атакующим несанкционированного доступа к информации. Его основная цель - добиться, чтобы операционная система на атакуемом объекте вышла из строя и для всех остальных объектов системы доступ к ресурсам атакованного объекта был бы невозможен.
3. По условию начала осуществления воздействия
Удаленное воздействие, также как и любое другое, может начать осуществляться только при определенных условиях. В распределенных ВС существуют три вида условий начала осуществления удаленной атаки:
- Атака по запросу от атакуемого объекта (класс 3.1) В этом случае атакующий ожидает передачи от потенциальной цели атаки запроса определенного типа, который и будет условием начала осуществления воздействия. Примером подобных запросов в сети Internet могут быть - DNS- и ARP-запросы.
- Атака по наступлению ожидаемого события на атакуемом объекте (класс 3.2) В этом случае атакующий осуществляет постоянное наблюдение за состоянием операционной системы удаленной цели атаки и при возникновении определенного события в этой системе начинает воздействие. Как и в предыдущем случае, инициатором осуществления начала атаки выступает сам атакуемый объект.
- Безусловная атака (класс 3.3) В этом случае начало осуществления атаки безусловно по отношению к цели атаки, то есть атака осуществляется немедленно и безотносительно к состоянию системы и атакуемого объекта. Следовательно, в этом случае атакующий является инициатором начала осуществления атаки.
4. По наличию обратной связи с атакуемым объектом
- с обратной связью (класс 4.1)
- без обратной связи (однонаправленная атака) (класс 4.2)
Удаленная атака, осуществляемая при наличии обратной связи с атакуемым объектом, характеризуется тем, что на некоторые запросы, переданные на атакуемый объект, атакующему требуется получить ответ, а, следовательно, между атакующим и целью атаки существует обратная связь, которая позволяет атакующему адекватно реагировать на все изменения, происходящие на атакуемом объекте. Подобные удаленные атаки наиболее характерны для распределенных ВС.
В отличие от атак с обратной связью удаленным атакам без обратной связи не требуется реагировать на какие-либо изменения, происходящие на атакуемом объекте. Атаки данного вида обычно осуществляются передачей на атакуемый объект одиночных запросов, ответы на которые атакующему не нужны. Подобную УА можно называть однонаправленной удаленной атакой.
5. По расположению субъекта атаки относительно атакуемого объекта
- внутрисегментное (класс 5.1)
- межсегментное (класс 5.2)
6. По уровню эталонной модели ISO/OSI, на котором осуществляется воздействие
- физический (класс 6.1)
- канальный (класс 6.2)
- сетевой (класс 6.3)
- транспортный (класс 6.4)
- сеансовый (класс 6.5)
- представительный (класс 6.6)
- прикладной (класс 6.7)
4. Классификация сетевых атак

Снифферы пакетов Сниффер пакетов представляет собой прикладную программу, которая использует сетевую карту, работающую в режиме promiscuous mode (в этом режиме все пакеты, полученные по физическим каналам, сетевой адаптер отправляет приложению для обработки). При этом сниффер перехватывает все сетевые пакеты, которые передаются через определенный домен. В настоящее время снифферы работают в сетях на вполне законном основании. Они используются для диагностики неисправностей и анализа графика. Однако ввиду того, что некоторые сетевые приложения передают данные в текстовом формате (Telnet, FTP, SMTP, POP3 и т.д.), с помощью сниффера можно узнать полезную, а иногда и конфиденциальную информацию (например, имена пользователей и пароли). Смягчить угрозу сниффинга пакетов можно с помощью следующих средств:
- Аутентификация. Сильные средства аутентификации являются первым способом защиты от сниффинга пакетов. Под "сильным" мы понимаем такой метод аутентификации, который трудно обойти. Примером такой аутентификации являются однократные пароли (OTP - One-Time Password). OTP - это технология двухфакторной аутентификации, при которой происходит сочетание того, что у вас есть, с тем, что вы знаете. Типичным примером двухфакторной аутентификации является работа обычного банкомата, который опознает вас, во-первых, по вашей пластиковой карточке и, во-вторых, по вводимому вами ПИН-коду. Для аутентификации в системе ОТР также требуется ПИН-код и ваша личная карточка. Под "карточкой" (token) понимается аппаратное или программное средство, генерирующее (по случайному принципу) уникальный одномоментный однократный пароль. Если хакер узнает этот пароль с помощью сниффера, эта информация будет бесполезной, потому что в этот момент пароль уже будет использован и выведен из употребления. Заметим, что этот способ борьбы со сниффингом эффективен только для борьбы с перехватом паролей. Снифферы, перехватывающие другую информацию (например, сообщения электронной почты), не теряют своей эффективности.
- Коммутируемая инфраструктура. Еще одним способом борьбы со сниффингом пакетов в вашей сетевой среде является создание коммутируемой инфраструктуры. Если, к примеру, во всей организации используется коммутируемый Ethernet, хакеры могут получить доступ только к графику, поступающему на тот порт, к которому они подключены. Коммутируемая инфраструктура не ликвидирует угрозу сниффинга, но заметно снижает ее остроту.
- Анти-снифферы. Третий способ борьбы со сниффингом заключается в установке аппаратных или программных средств, распознающих снифферы, работающие в вашей сети. Эти средства не могут полностью ликвидировать угрозу, но, как и многие другие средства сетевой безопасности, они включаются в общую систему защиты, Так называемые "анти-снифферы" измеряют время реагирования хостов и определяют, не приходится ли хостам обрабатывать "лишний" график. Одно из таких средств, поставляемых компанией LOpht Heavy Industries, называется AntiSniff.
- Криптография. Самый эффективный способ борьбы со сниффингом пакетов не предотвращает перехвата и не распознает работу снифферов, но делает эту работу бесполезной. Если канал связи является криптографически защищенным, это значит, что хакер перехватывает не сообщение, а зашифрованный текст (то есть непонятную последовательность битов). IPSec представляет собой стандартный метод защищенной связи между устройствами с помощью протокола IP. К прочим криптографическим протоколам сетевого управления относятся протоколы SSH (Secure Shell) и SSL (Secure Socket Level).
IP-спуфинг IP-спуфинг происходит, когда хакер, находящийся внутри корпорации или вне ее, выдает себя за санкционированного пользователя. Это можно сделать двумя способами. Во-первых, хакер может воспользоваться IP-адресом, находящимся в пределах диапазона санкционированных IP-адресов, или авторизованным внешним адресом, которому разрешается доступ к определенным сетевым ресурсам. Атаки IP-спуфинга часто являются отправной точкой для прочих атак. Классический пример - атака DoS, которая начинается с чужого адреса, скрывающего истинную личность хакера. Угрозу спуфинга можно ослабить (но не устранить) с помощью следующих мер:
- Контроль доступа. Самый простой способ предотвращения IP-спуфинга состоит в правильной настройке управления доступом. Чтобы снизить эффективность IP-спуфигна, настройте контроль доступа на отсечение любого графика, поступающего из внешней сети с исходным адресом, который должен располагаться внутри вашей сети. Заметим, что это помогает бороться с IP-спуфингом, когда санкционированными являются только внутренние адреса. Если санкционированными являются и некоторые адреса внешней сети, данный метод становится неэффективным.
- Фильтрация RFC 2827. Вы можете пресечь попытки спуфинга чужих сетей пользователями вашей сети (и стать добропорядочным "сетевым гражданином"). Для этого необходимо отбраковывать любой исходящий трафик, исходный адрес которого не является одним из IP-адресов вашей организации. Этот тип фильтрации, известный под названием "RFC 2827", может выполнять и ваш провайдер (ISP). В результате отбраковывается весь трафик, который не имеет исходного адреса, ожидаемого на определенном интерфейсе. К примеру, если ISP предоставляет соединение с IP-ад-ресом 15.1.1.0/24, он может настроить фильтр таким образом, чтобы с данного интерфейса на маршрутизатор ISP допускался только трафик, поступающий с адреса 15.1.1.0/24. Заметим, что до тех пор, пока все провайдеры не внедрят этот тип фильтрации, его эффективность будет намного ниже возможной. Кроме того, чем дальше от фильтруемых устройств, тем труднее проводить точную фильтрацию. Так, например, фильтрация RFC 2827 на уровне маршрутизатора доступа требует пропуска всего графика с главного сетевого адреса (10.0.0.0/8), тогда как на уровне распределения (в данной архитектуре) можно ограничить трафик более точно (адрес - 10.1.5.0/24).
Наиболее эффективный метод борьбы с IP-спуфингом тот же, что и в случае со сниффингом пакетов: необходимо сделать атаку абсолютно неэффективной. IP-спуфинг может функционировать только при условии, что аутентификация происходит на базе IP-адресов. Поэтому внедрение дополнительных методов аутентификации делает этот вид атак бесполезными. Лучшим видом дополнительной аутентификации является криптографическая. Если она невозможна, хорошие результаты может дать двухфакторная аутентификация с использованием одноразовых паролей.
Отказ в обслуживании (Denial of Service - DoS) Атаки DoS отличаются от атак других типов. Они не нацелены на получение доступа к вашей сети или на получение из этой сети какой-либо информации. Атака DoS делает вашу сеть недоступной для обычного использования за счет превышения допустимых пределов функционирования сети, операционной системы или приложения. В случае использования некоторых серверных приложений (таких как Web-сервер или FTP-сервер) атаки DoS могут заключаться в том, чтобы занять все соединения, доступные для этих приложений, и держать их в занятом состоянии, не допуская обслуживания обычных пользователей. В ходе атак Во5 могут использоваться обычные Интернет-протоколы, такие как TCP и ICMP (Internet Control Message Protocol). Большинство атак DoS опирается не на программные ошибки или бреши в системе безопасности, а на общие слабости системной архитектуры. Угроза атак типа DoS может снижаться тремя способами:
- Функции анти-спуфинга. Правильная конфигурация функций анти-спуфинга на ваших маршрутизаторах и межсетевых экранах поможет снизить риск DoS. Эти функции, как минимум, должны включать фильтрацию RFC 2827, Если хакер не сможет замаскировать свою истинную личность, он вряд ли решится провести атаку.
- Функции анти-DoS. Правильная конфигурация функций анти-DoS на маршрутизаторах и межсетевых экранах может ограничить эффективность атак. Эти функции часто ограничивают число полуоткрытых каналов в любой момент времени.
- Ограничение объема графика (traffic rate limiting). Организация может попросить провайдера (15Р) ограничить объем графика. Этот тип фильтрации позволяет ограничить объем некритического графика, проходящего по вашей сети. Обычным примером является ограничение объемов графика ICMP, который используется только для диагностических целей. Атаки (D)DoS часто используют ICMP.
Парольные атаки Хакеры могут проводить парольные атаки с помощью целого ряда методов, таких как простой перебор (brute force attack), "троянский конь", IP-спуфинг и сниффинг пакетов. Хотя логин и пароль часто можно получить при помощи IP-спуфинга и сниффинга пакетов, хакеры часто пытаются подобрать пароль и логин, используя для этого многочисленные попытки доступа. Такой подход носит название простого перебора (brute force attack). Часто для такой атаки используется специальная программа, которая пытается получить доступ к ресурсу общего пользования (например, к серверу). Если в результате хакер получает доступ к ресурсам, он получает его на правах обычного пользователя, пароль которого был подобран. Если этот пользователь имеет значительные привилегии доступа, хакер может создать для себя "проход" для будущего доступа, который будет действовать, даже если пользователь изменит свой пароль и логин.
Атаки типа Man-in-the-Middle Для атаки типа Man-in-the-Middle хакеру нужен доступ к пакетам, передаваемым по сети. Такой доступ ко всем пакетам, передаваемым от провайдера в любую другую сеть, может, к примеру, получить сотрудник этого провайдера. Для атак этого типа часто используются снифферы пакетов, транспортные протоколы и протоколы маршрутизации. Атаки проводятся с целью кражи информации, перехвата текущей сессии и получения доступа к частным сетевым ресурсам, для анализа графика и получения информации о сети и ее пользователях, для проведения атак типа DoS, искажения передаваемых данных и ввода несанкционированной информации в сетевые сессии, Эффективно бороться с атаками типа Man-in-the-Middle можно только с помощью криптографии. Если хакер перехватит данные зашифрованной сессии, у него на экране появится не перехваченное сообщение, а бессмысленный набор символов. Заметим, что если хакер получит информацию о криптографической сессии (например, ключ сессии), это может сделать возможной атаку Man-in-the-Middle даже в зашифрованной среде.
Атаки на уровне приложений Атаки на уровне приложений могут проводиться несколькими способами. Самый распространенный из них состоит в использовании хорошо известных слабостей серверного программного обеспечения (sendmail, HTTP, FTP). Используя эти слабости, хакеры могут получить доступ к компьютеру от имени пользователя, работающего с приложением (обычно это бывает не простой пользователь, а привилегированный администратор с правами системного доступа). Сведения об атаках на уровне приложений широко публикуются, чтобы дать возможность администраторам исправить проблему с помощью коррекционных модулей (патчей). Меры, которые можно предпринять, чтобы снизить уязвимость для атак этого типа:
- Читайте лог-файлы операционных систем и сетевые лог-файлы и/или анализируйте их с помощью специальных аналитических приложений.
- Подпишитесь на услуги по рассылке данных о слабых местах прикладных программ: Bugtrad и CERT
- Пользуйтесь самыми свежими версиями операционных систем и приложений и самыми последними коррекционными модулями (патчами).
- Кроме системного администрирования, пользуйтесь системами распознавания атак (IDS).
Сетевая разведка Сетевой разведкой называется сбор информации о сети с помощью общедоступных данных и приложений. При подготовке атаки против какой-либо сети хакер, как правило, пытается получить о ней как можно больше информации.
Злоупотребление доверием Собственно говоря, этот тип действий не является "атакой" или "штурмом". Он представляет собой злонамеренное использование отношений доверия, существующих в сети. Классическим примером такого злоупотребления является ситуация в периферийной части корпоративной сети. В этом сегменте часто располагаются серверы DNS, SMTP и HTTP. Поскольку все они принадлежат к одному и тому же сегменту, взлом одного из них приводит к взлому и всех остальных, так как эти серверы доверяют другим системам своей сети. Другим примером является система, установленная с внешней стороны межсетевого экрана, имеющая отношения доверия с системой, установленной с его внутренней стороны. В случае взлома внешней системы хакер может использовать отношения доверия для проникновения в систему, защищенную межсетевым экраном.
Переадресация портов Переадресация портов представляет собой разновидность злоупотребления доверием, когда взломанный хост используется для передачи через межсетевой экран графика, который в противном случае был бы обязательно отбракован. Представим себе межсетевой экран с тремя интерфейсами, к каждому из которых подключен определенный хост. Внешний хост может подключаться к хосту общего доступа (DMZ), но не к хосту, установленному с внутренней стороны межсетевого экрана. Хост общего доступа может подключаться и к внутреннему, и к внешнему хосту. Если хакер захватит хост общего доступа, он сможет установить на нем программное средство, перенаправляющее трафик с внешнего хоста прямо на внутренний хост. Хотя при этом не нарушается ни одно правило, действующее на экране, внешний хост в результате переадресации получает прямой доступ к защищенному хосту. Примером приложения, которое может предоставить такой доступ, является netcat. Основным способом борьбы с переадресацией портов является использование надежных моделей доверия. Кроме того, помешать хакеру установить на хосте свои программные средства может хост-система IDS (HIDS).
Несанкционированный доступ
Вирусы и приложения типа "троянский конь"
5. Общая схема проведения атаки
1)Разведка
2) – собственно действия направленные на достижения целей атаки: отказ в обслуживании, похищение информации и так далее. Как правило, этот этап достаточно компактен по времени, тем не менее, если целью злоумышленника было, например, неправомочное использование ресурсов, то атака может повторяться и повторяться. Особенно, если взломщик уверен в своей безнаказанности. Редко, когда администратору удается отследить факт проведения атаки, непосредственно в момент ее проведения, однако, если по счастливой случайности, это ему удалось, вполне возможно непосредственно противодействовать взломщику.
3)Заметание следов Грамотный взломщик всегда постарается скрыть следы своего вторжения (особенно если оно было неуспешным) в компьютерную систему. Причем меры по сокрытию принимаются еще до начала атаки. Во многом успех атаки зависит от умения замаскировать сам факт атаки или на крайний случай ее истинные цели.
6. Разведка, способы разведки
Разведка На этой стадии происходит сбор как можно большего количества информации о цели атаки. (версии программного обеспечения, имена, фамилии, даты рождения пользователей и администраторов системы, режим их работы, используемое аппаратное обеспечение и так далее.) Полезным может оказаться навести справки об администраторе системы – будет возможно сделать предположение о его опыте и знаниях. Система содержит большое количество каналов взаимодействия с внешним миром. Основным помощником тут является человеческий фактор. Социальная инженерия Можно дать следующее определение социальной инженерии как способу разведки: социальная инженерия – есть набор действий по получению интересующей информации, основанный на типовых поведенческих реакциях человека, психологических ловушках и изучении побочных результатов деятельности пользователей системы. По умолчанию, практически все версии серверного программного обеспечения, «представляются» при подключении к ним. Таким образом, выполняя простейшее (и вполне легальное) подключение к некоторым «хорошо известным» портам TCP / UDP можно составить достаточно полную картину об используемом программном обеспечении. Вот список наиболее популярных портов, при подключении к которым можно узнать «много интересного»:
TCP 20, TCP 21 - Служба FTP сервера
TCP 22 - Security shell , служба безопасного терминального доступа, применяется для дистанционного управления UNIX серверами
TCP 23 - Служба обычного, незащищенного терминального доступа
TCP 25 - SMTP сервер, наиболее распространенная служба обмена сообщениями электронной почты
TCP 110 - Служба POP 3, предназначена для передачи сообщений электронной почты с сервера на клиентские места
TCP 80 - Web сервер
Вот список некоторых портов, которые используют новые службы Windows 2000/ XP : TCP / UDP 445 - Основной порт службы Directory Service , через который осуществляется управления и взаимодействие. Примером того, как программное обеспечение может оставлять отпечатки на информации, проходящей «сквозь» него, могут служить сообщения электронной почты. Из заголовка сообщения электронной почты можно сделать следующие выводы:
1. Можно узнать IP адрес почтового сервера отправителя
2. Можно узнать IP адрес машины отправителя
3. Можно узнать версии программного обеспечения сервера отправителя
4. Можно узнать версию почтового клиента отправителя
С помощью программы nslookup – штатного средства проверки корректности настроек серверов DNS , можно получить список адресов компьютеров внутри сети предприятия, на основании которого можно сделать определенные выводы о структуре сети.
Цели разведки: 1. Определить потенциальные «точки входа» в информационную систему. 2. Определить оптимальное время и способ проведения атаки. 3. Определить средства и вероятность достижения атаки. Как уже говорилось раньше, в ходе реализации атаки, разведка помогает злоумышленнику скорректировать действия, поэтому тут задачи разведки немного меняются: 1. Наиболее полно определить тип, версии и настройки работающего программного обеспечения. 2. Вовремя обнаружить «колпак» над собой 3. «Сориентироваться» в информационной системе и найти искомую информацию или другую цель вторжения.
7. Атака «Отказ в обслуживании ( DoS , DDos )»
Отказ в обслуживании (Denial of Service - DoS)
DoS, без всякого сомнения, является наиболее известной формой хакерских атак. Кроме того, против атак такого типа труднее всего создать стопроцентную защиту. Атаки DoS отличаются от атак других типов. Они не нацелены на получение доступа к вашей сети или на получение из этой сети какой-либо информации. Атака DoS делает вашу сеть недоступной для обычного использования за счет превышения допустимых пределов функционирования сети, операционной системы или приложения. В случае использования некоторых серверных приложений (таких как Web-сервер или FTP-сервер) атаки DoS могут заключаться в том, чтобы занять все соединения, доступные для этих приложений, и держать их в занятом состоянии, не допуская обслуживания обычных пользователей. В ходе атак DoS могут использоваться обычные Интернет-протоколы, такие как TCP и ICMP (Internet Control Message Protocol). Когда атака этого типа проводится одновременно через множество устройств, мы говорим о распределенной атаке DoS (DDoS - distributed DoS). Угроза атак типа DoS может снижаться тремя способами:
- Функции анти-спуфинга. Правильная конфигурация функций анти-спуфинга на ваших маршрутизаторах и межсетевых экранах поможет снизить риск DoS. Эти функции, как минимум, должны включать фильтрацию RFC 2827, Если хакер не сможет замаскировать свою истинную личность, он вряд ли решится провести атаку.
- Функции анти-DoS. Правильная конфигурация функций анти-DoS на маршрутизаторах и межсетевых экранах может ограничить эффективность атак. Эти функции часто ограничивают число полуоткрытых каналов в любой момент времени.
- Ограничение объема графика (traffic rate limiting). Организация может попросить провайдера (15Р) ограничить объем графика. Этот тип фильтрации позволяет ограничить объем некритического графика, проходящего по вашей сети. Обычным примером является ограничение объемов графика ICMP, который используется только для диагностических целей. Атаки (D)DoS часто используют ICMP. Данный способ атаки может заключаться в следующем: 1. Превышение «разумного» размера передаваемых данных 2. Противоречие передаваемых данных 3. Передача данных на вход в «неподходящий» момент
Для реализации первого способа используется ситуация переполнения буфера (стека), заключается она в особенностях механизма вызова процедур или распределения памяти. Например, при распределении памяти блок данных может оказаться рядом с блоком кода. Использование логически противоречивых данных может привести не только к «падению» системы, но и к бессмысленному ее функционированию, что отнимает значительные ресурсы от полезной работы. Изменение заголовка пакета.
Вторая разновидность этой типовой удаленной атаки состоит в передаче с одного адреса такого количества запросов на атакуемый объект, какое позволит трафик (направленный "шторм" запросов). В этом случае, если в системе не предусмотрены правила, ограничивающие число принимаемых запросов с одного объекта (адреса) в единицу времени, то результатом этой атаки может являться как переполнение очереди запросов и отказа одной из телекоммуникационных служб, так и полная остановка компьютера из-за невозможности системы заниматься ничем другим, кроме обработки запросов. И последней, третьей разновидностью атаки "Отказ в обслуживании" является передача на атакуемый объект некорректного, специально подобранного запроса. В этом случае при наличии ошибок в удаленной системе возможно зацикливание процедуры обработки запроса, переполнение буфера с последующим зависанием системы
8. Атака НСД (дезинформация, хищение, модификация).
Несанкционированный доступ (НСД) – второй по популярности вид угрозы, заключается в неправомочном использовании системы или получении секретной информации. Дезинформация – это умышленная подмена информации поступающей, хранящейся или выдаваемой системой в ответ на запросы пользователя.
1. Перехват ключей, паролей, трафика (Пример атаки 1. глушим днс. 2. отвечаем на запросы ДНС.3 Транслируем запросы к серверу)
2. Подделка IP , MAC или ИД беспроводной сети обратного адреса почты, ICQ и так далее. Результаты высоко интеллектуального анализа, как правило, существенно влияют на стратегию развития предприятия и в случае их искажения могут привести к весьма плачевному итогу. Данные для анализа, зачастую не только хранятся внутри самой системы, но и берутся из открытых источников. Результаты анализа тоже попадают заказчику через определенные каналы связи. Подмена на любом из этапов – весьма хитрая и трудно обнаружимая угроза безопасности информационной системы. Ложный объект позволяет не только модифицировать, но и подменять перехваченную им информацию. Если модификация информации приводит к ее частичному искажению, то подмена - к ее полному изменению. При возникновении в сети определенного контролируемого ложным объектом события одному из участников обмена посылается заранее подготовленная дезинформация. При этом такая дезинформация в зависимости от контролируемого события может быть воспри-нята либо как исполняемый код, либо как данные. Рассмотрим пример подобного рода дезинформации. Предположим, что ложный объект контролирует событие, которое состоит в подключении пользователя к серверу. В этом случае он ожидает, например, запуска соответствующей программы входа в систему. В случае, если эта программа находится на сервере, то при ее запуске исполняемый файл передается на рабочую станцию. Вместо того, чтобы выполнить данное действие, ложный объект передает на рабочую станцию код заранее написанной специальной программы - захватчика паролей. Эта программа выполняет визуально те же действия, что и настоящая программа входа в систему, например, запрашивая имя и пароль пользователя, после чего полученные сведения посылаются на ложный объект, а пользователю выводится сообщение об ошибке. При этом пользователь, посчитав, что он неправильно ввел пароль (пароль обычно не отображается на экране) снова запустит программу подключения к системе (на этот раз настоящую) и со второго раза получит доступ. Результат такой атаки - имя и пароль пользователя, сохраненные на ложном объекте. Намеренное введение в заблуждение (приписки)
9. Атака «Модификация информации»
Одной из особенностей любой системы воздействия, построенной по принципу ложного объекта, является то, что она способна модифицировать перехваченную информацию. Следует особо отметить, что это один из способов, позволяющих программно модифицировать поток информации между объектами РВС с другого объекта. Ведь для реализации перехвата информации в сети необязательно атаковать распределенную ВС по схеме "ложный объект" . Эффективней будет атака, осуществляющая анализ сетевого трафика (п. 3.2.1), позволяющая получать все пакеты, проходящие по каналу связи, но, в отличие от удаленной атаки по схеме "ложный объект" , она не способна к модификации информации. Далее рассмотрим два вида модификации информации:
• модификация передаваемых данных;
• модификация передаваемого кода.
Одной из функций, которой может обладать система воздействия, построенная по принципу "ложный объект", является модификация передаваемых данных. В результате селекции потока перехваченной информации и его анализа система может распознавать тип передаваемых файлов (исполняемый или текстовый). Соответственно, в случае обнаружения текстового файла или файла данных появляется возможность модифицировать проходящие через ложный объект данные. Особую угрозу эта функция представляет для сетей обработки конфиденциальной информации. Другим видом модификации может быть модификация передаваемого кода. Ложный объект, проводя семантический анализ проходящей через него информации, может выделять из потока данных исполняемый код. Известный принцип неймановской архитектуры гласит, что не существует различий между данными и командами. Следовательно, для того, чтобы определить, что передается по сети - код или данные, необходимо использовать определенные особенности, свойственные реализации сетевого обмена в конкретной распределенной ВС или некоторые особенности, присущие конкретным типам исполняемых файлов в данной локальной ОС. Представляется возможным выделить два различных по цели вида модификации кода:
• внедрение РПС (разрушающих программных средств);
• изменение логики работы исполняемого файла. В первом случае при внедрении РПС исполняемый файл модифицируется по вирусной технологии: к исполняемому файлу одним из известных способов дописывается тело РПС ,а также одним из известных способов изменяется точка входа так, чтобы она указывала на начало внедренного кода РПС. Описанный способ, в принципе, ничем не отличается от стандартного заражения исполняемого файла вирусом, за исключением того, что файл оказался поражен вирусом или РПС в момент передачи его по сети! Такое возможно лишь при использовании системы воздействия, построенной по принципу "ложный объект" . Конкретный вид РПС, его цели и задачи в данном случае не имеют значения, но можно рассмотреть, например, вариант использования ложного объекта для создания сетевого червя - наиболее сложного на практике удаленного воздействия в сетях, или в качестве РПС использовать сетевые шпионы. Во втором случае происходит модификация исполняемого кода с целью изменения логики его работы. Данное воздействие требует предварительного исследования работы исполняемого файла и, в случае его проведения, может принести самые неожиданные результаты. Например, при запуске на сервере (например, в ОС Novell NetWare) программы идентификации пользователей распределенной базы данных ложный объект может так модифицировать код этой программы, что появится возможность беспарольного входа с наивысшими привилегиями в базу данных.
10. Атака «НИР» (Неправомочное использование ресурсов)
В отличие от НСД, речь идет об использовании вспомогательных ресурсов (каналов связи, например), над которыми, как правило, собственно информационная система контроля не имеет. Помимо прямых убытков (увеличение платы за канал и т.п.) эта угроза может привести и к замедлению работы системы или даже к отказу в обслуживании.

[cmb]

23. Защита СУБД, 30. Криптография и удостоверение подлинности, средства идентификации.
Для СУБД важны три основных аспекта информационной безопасности - конфиденциальность, целостность и доступность.
1 . Некоторые термины
Конфиденциальная информация (sensitive information) – информация, которая требует защиты. Доступ к информации (access to information) – ознакомление с информацией, ее обработка (в частности, копирование), модификация, уничтожение. Идентификация (identification) – присвоение объектам и субъектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов. Аутентификация (authentification) – проверка принадлежности субъекту доступа предъявленного им идентификатора, подтверждение подлинности.
2 Пользователи СУБД Пользователей СУБД можно разделить на три группы: Прикладные программисты - отвечают за создание программ, использующих базу данных. В смысле защиты данных программист может быть как пользователем, имеющим привилегии создания объектов данных и манипулирования ими, так и пользователем, имеющим привилегии только манипулирования данными. Конечные пользователи базы данных - работают с БД непосредственно через терминал или рабочую станцию. Как правило, конечные пользователи имеют строго ограниченный набор привилегий манипулирования данными. Этот набор может определяться при конфигурировании интерфейса конечного пользователя и не изменяться. Политику безопасности в данном случае определяет администратор безопасности или администратор базы данных (если это одно и то же должностное лицо).
3 Дискреционная защита. Дискреционное управление доступам (discretionary access control) — разграничение доступа между поименованными субъектами и поименованными объектами. Субъект с определенным правом доступа может передать это право любому другому субъекту. Логическая защита в СУБД представляет собой набор привилегий или ролей по отношению к защищаемому объекту.
4 Мандатная защита Средства мандатной защиты предоставляются специальными (trusted) версиями СУБД. Мандатное управление доступом (mandatory access control) — это разграничение доступа субъектов к объектам данных, основанное на характеризуемой меткой конфиденциальности информации, которая содержится в объектах, и на официальном разрешении (допуске) субъектов обращаться к информации такого уровня конфиденциальности.

Аутентификация «Человек – компьютер» Эта схема используется для идентификации пользователя компьютерной системы с целью предоставления или не предоставления ему сервисов. Выделяют следующие методы аутентификации пользователей:
- статические и одноразовые пароли;
- биометрия – метод автоматизированного распознавания человека по его уникальным физиологическим или поведенческим характеристикам. Вариантов биометрических методов более 600, среди них можно выделить следующие: - по отпечаткам пальцев; - по сетчатке глаза – метод идентификации по рисунку кровеносных сосудов глазного дна; - по радужной оболочке глаза. - по форме; - другие методы статической биометрии, включая идентификацию по запаху, по ДНК и др.; - по голосу.
Переносные аутентификаторы, или токены : - асинхронные – пользователь вводит строку в устройство, получает ответ и вводит его в компьютер; - PIN/асинхронные – асинхронный метод дополняется вводом PIN-кода в устройство; - синхронные – например, токен синхронизирован по времени с сервером и генерирует для данного пользователя в данную минуту пароль, который уже и вводится в систему; - PIN/синхронные. Смарт-карты – это устройства, похожие на переносные аутентификаторы, но более сложные по своему составу.
Аутентификация «компьютер – компьютер» Данный тип связан с взаимной аутентификацией компьютеров в сети.
Аутентификация «Человек – Человек» Такой способ аутентификации применяется для распознавания личности при взаимодействии пользователей. Основными технологиями здесь являются цифровые подписи и протокол Kerberos версии 5 KDC (Key Distribution Center). Kerberos использует схему доверительного центра. Все участники, включая пользователей, клиентские и серверные программы, аутентифицируют друг друга с помощью доверительного центра.

25. Шифрование с симметричным ключом, обзор.
Исторически сложилось так, что системы шифрования являются системами на симметричных (секретных) ключах . Система шифрования на симметричном ключе использует один и тот же ключ как для зашифровки, так и для расшифровки данных. Когда римляне отправляли сообщения, зашифрованные посредством смещения алфавита, ключом была величина смещения и его направление. Используя эту информацию, получатель мог расшифровать сообщение посредством сдвига букв сообщения в обратном направлении для размещения их на исходных местах. В такой системе ключом являлось число (меньшее, чем число букв в римском алфавите) и направление (влево или вправо). Недостатком данной системы шифрования было то, что легко угадывался ключ и раскрывался текст сообщения. Современные компьютеризированные системы шифрования позволяют использовать очень длинные ключи. Если стороннее лицо узнает алгоритм шифрования, то для угадывания ключа длиной 128 бит понадобится очень много времени, даже при использовании компьютеризированных методов, так как количество возможных комбинаций равно 3, 4 x 10 38 . Поэтому шифры, используемые в промышленности и в государственных стандартах безопасности, открыты для всеобщего доступа и хорошо известны. Это может показаться слишком легкомысленным, однако открытое распространение шифров, на самом деле, предназначено для повышения их защищенности, так как многие специалисты в области шифрования имеют возможность оценки, дополнения и совершенствования шифров. Примерами хорошо известных систем шифрования, алгоритмы которых доступны любому желающему, являются DES , Triple DES и новый стандарт AES . Некоторые коммерческие симметричные алгоритмы, такие как RC4, сделаны общедоступными для повышения надежности посредством проверки алгоритмов пользователями. Ниже приведен перечень современных симметричных шифров.
• DES – стандарт шифрования (Data Encryption Standard), используемый правительством США.
• Skipjack – секретный алгоритм симметричного ключа, применяемый в оборудовании, совместимом с FORTEZZA (применяется в правительстве США).
• Triple- DES – стандарт DES , применяемый трижды (для повышения сложности взлома).
• RC2, RC4, RC5 и RC6 – эти коммерческие шифры создаются и лицензируются компанией RSA Security, Inc. Microsoft использует RC4 по умолчанию в протоколах PPTP и L2TP, SSL/ TLS и при поддержке протокола IPSec (можно изменить в системном реестре).
• AES – стандарт AES является новым федеральным стандартом обработки информации, который применяется для определения криптографического алгоритма в организациях правительства США для защиты важной (секретной) информации.
Важно . Стандарт DES разработан в начале 1970-х годов. Он десятилетиями использовался для шифрования финансовых транзакций между банками и финансовыми институтами. Сейчас этот стандарт устарел, так как длина его ключа ограничена 56 битами. Новые стандарты не имеют этого ограничения. Используя мощь современных микропроцессоров, 56-битный ключ DES может быть взломан за несколько часов, в то время как на взлом 128-битного ключа потребуются многие месяцы работы самых мощных компьютеров. Вывод: не следует использовать алгоритмы шифрования с ключами, длина которых меньше 128 бит. Преимущество шифрования на симметричном ключе заключается в быстрой и эффективной работе, что делает его подходящим для приложений, требующих шифрования в реальном времени, в отличие от других методов, отрицательно влияющих на производительность систем. Недостатком шифрования с использованием симметричного ключа является то, что ключи должны согласовываться между отправителем и получателем заранее, т.е. им необходимо договориться о ключах. При обмене ключами нужно соблюдать особые меры предосторожности, так как если ключи станут известны третьему лицу, то он легко расшифрует текст. Если количество получателей текста невелико, этот процесс можно осуществить с относительной легкостью, но при увеличении числа получателей его сложность возрастает в геометрической прогрессии. Следовательно, несмотря на возможность автоматизации, обмен ключами является очень ответственным процессом на веб-сайтах, с которыми работает большое число клиентов.
26. Шифрование с несимметричными ключами, обзор.
В 1970-х годах появилась новая система шифрования, называемая шифрованием на ассиметричном (открытом) ключе . Она называется ассиметричной, потому что не требует использования идентичных ключей отправителем и получателем шифрованного сообщения. Она является системой с открытым ключом, так как один из ключей не содержится в секрете. Давайте остановимся на этом поподробнее. Шифрование на открытом ключе использует два различных ключа, составляющих пару, но не идентичных. В шифровании с симметричным ключом каждый ключ является уникальным. Пара ключей открытый/секретный работает сообща: один ключ предназначен для шифрования данных, а другой – для расшифровки, и наоборот. Секретный ключ должен содержаться в секретности в целях безопасности, а открытый ключ может передаваться по небезопасному соединению без угрозы для системы. Следовательно, система шифрования на открытом ключе решает одну из главных проблем старых систем шифрования, заключающуюся в безопасном способе передачи ключа шифрования другой стороне. Как правило, открытые ключи используются только для зашифровки данных. Расшифровать их сможет только тот пользователь, чей компьютер содержит соответствующий секретный ключ. Эта система построена на математических принципах, используемых в шифрах с открытыми ключами и обеспечивающих существование одного и только одного уникального секретного ключа, соответствующего уникальному открытому ключу. Следовательно, если выполняется шифрование данных пользователя на общем ключе, можете быть уверены, что только пользователь, владеющий второй, секретной, половиной ключа, сможет их расшифровать. Первым коммерческим алгоритмом шифрования на открытом ключе был алгоритм RSA (сокращение представляет собой первые буквы фамилий трех специалистов, которые разработали шифр и впоследствии создали свою собственную компанию RSA Security, Inc.). Данный алгоритм использовался в Netscape в качестве компонента первой версии SSL (это был единственный шифр, используемый в Netscape), который в итоге фактически стал частью стандарта, когда Netscape открыли SSL для общего пользования. Microsoft изначально использовал шифрование RSA в операционной системе Windows NT, оно используется и в Windows 2000. Ключи RSA являются основными возможностями шифрования в Windows 2000/IIS.

27. Организационные меры по обеспечению безопасности на предприятии.
К организационным мерам защиты можно отнести организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации системы обработки и передачи данных фирмы или банка с целью обеспечения защиты информации. Организационные мероприятия охватывают все структурные элементы системы защиты на всех этапах их жизненного цикла: строительство помещений, проектирование системы, монтаж и наладка оборудования, испытания и проверка в эксплуатации аппаратуры, оргтехники, средств обработки и передачи данных. Первым шагом в создании эффективной системы защиты фирмы от технического проникновения конкурентов или злоумышленников должна стать оценка основных методов промышленного шпионажа, которыми могут воспользоваться ваши конкуренты, изучение характеристик, имеющихся у них на вооружении средств съема информации с отдельных помещений и технических средств фирмы. Предварительный анализ уязвимости помещений и технических средств фирмы от промышленного шпионажа позволяет сделать вывод о наиболее вероятных методах съема информации, которые может использовать конкурент. Организационные меры защиты должны охватывать все основные пути сохранения информационных ресурсов и включать: - ограничение физического доступа к объектам обработки и хранения информации и реализацию режимных мер; - ограничение возможности перехвата информации вследствие существования физических полей; - ограничение доступа к информационным ресурсам и другим элементам системы обработки данных путем установления правил разграничения доступа, криптографическое закрытие каналов передачи данных, выявление и уничтожение "закладок"; - создание твердых копий важных с точки зрения утраты массивов данных; - проведение профилактических и других мер от внедрения "вирусов". По содержанию все множество организационных мероприятий можно условно разделить на следующие группы. 1) Мероприятия, осуществляемые при создании системы обработки, накопления, хранения и передачи данных заключающиеся в учете требований защиты при: разработке общего проекта системы и ее структурных элементов; строительстве или переоборудовании помещений; разработке математического, программного, информационного или лингвистического обеспечений; монтаже и наладке оборудования; испытаниях и приемке системы. Особое значение на данном этапе придается определению действительных возможностей механизмов защиты, для чего целесообразно осуществить целый комплекс испытаний и проверок. 2) Мероприятия, осуществляемые в процессе эксплуатации систем обработки данных: организация пропускного режима; организация автоматизированной обработки информации; распределение реквизитов разграничения доступа (паролей, полномочий и т.д.); организация ведения протоколов; контроль выполнения требований служебных инструкций и т.п. 3) Мероприятия общего характера: учет требований защиты при подборе и подготовке кадров; организация проверок механизма защиты; планирование всех мероприятий по защите информации; обучение персонала; проведение занятий с привлечением ведущих организаций; участие в семинарах и конференциях по проблемам безопасности информации и т.п. Одна из важнейших организационных мер защиты информации - создание службы безопасности фирмы. Главный принцип работы службы безопасности- предупреждение проблемных ситуаций. Собственно, на этом принципе основано и деление службы безопасности по группам, обеспечивающим безопасность личности ( руководителей, персонала фирмы и членов их семей); защиту материальной базы и коммерческих тайн фирмы. Служба безопасности защищает помещения офисов, оборудование и технику, транспорт, землю, на которой осуществляется производственные или коммерческая деятельность и т.п. Анализирует, кто из конкурентов может заниматься вымогательством и шантажом. Не менее важное значение имеет защита связей с партнерами, экономического положения на рынке. К числу способов защиты экономической базы фирмы относятся аудиторские проверки, заключение сделок по факту поставки товаров и т.п. Предотвращение хищений имущества и ценностей фирмы обеспечивается, помимо работы с персоналом, контролем и защитой от несанкционированного проникновения в помещение, к грузам, ценностям, носителям информации. В связи с тем, что до 80 % случаев утечки информации и утраты документов совершается по вине персонала, служба безопасности (СБ) самым внимательным образом проводит работу по подбору и проверке сотрудников , обучает их работе с секретной информацией. СБ может иметь открытую и закрытую области деятельности. Работа открытого характера связана с поддержанием официальных контактов с представителями других предприятий, прессой, персоналом фирмы. Закрытая деятельность обычно не афишируется. Это, как правило, скрытая проверка персонала, выполнение различных конфиденциальных поручений руководства фирмы.
29. Защита от форс-мажор факторов.
1. Дублирование
2. Архивирование информации
3. Распределенные системы
30. Криптография и удостоверение подлинности, средства идентификации.
Основные вопросы информационной безопасности:
- какие именно ресурсы требуют защиты;
- кто, с помощью каких средств и на каком уровне имеет доступ к защищаемым ресурсам;
- как выстроена политика безопасности и что следует предпринимать в случаях ее нарушения.
Как видно, корнем этих вопросов являются понятия идентификации и аутентификации.
И если идентификация – это получение ответа на вопросы «кто вы?» и «что вы?», то аутентификация служит доказательством того, что вы являетесь именно тем, за кого себя выдаете.
Аутентификация «Человек – компьютер» Эта схема используется для идентификации пользователя компьютерной системы с целью предоставления или не предоставления ему сервисов. Выделяют следующие методы аутентификации пользователей:
- статические и одноразовые пароли;
- биометрия – метод автоматизированного распознавания человека по его уникальным физиологическим или поведенческим характеристикам. Вариантов биометрических методов более 600, среди них можно выделить следующие: - по отпечаткам пальцев; - по сетчатке глаза – метод идентификации по рисунку кровеносных сосудов глазного дна; - по радужной оболочке глаза. - по форме; - другие методы статической биометрии, включая идентификацию по запаху, по ДНК и др.; - по голосу.
Переносные аутентификаторы, или токены : - асинхронные – пользователь вводит строку в устройство, получает ответ и вводит его в компьютер; - PIN/асинхронные – асинхронный метод дополняется вводом PIN-кода в устройство; - синхронные – например, токен синхронизирован по времени с сервером и генерирует для данного пользователя в данную минуту пароль, который уже и вводится в систему; - PIN/синхронные. Смарт-карты – это устройства, похожие на переносные аутентификаторы, но более сложные по своему составу.
Аутентификация «компьютер – компьютер» Данный тип связан с взаимной аутентификацией компьютеров в сети.
Аутентификация «Человек – Человек» Такой способ аутентификации применяется для распознавания личности при взаимодействии пользователей. Основными технологиями здесь являются цифровые подписи и протокол Kerberos версии 5 KDC (Key Distribution Center). Kerberos использует схему доверительного центра. Все участники, включая пользователей, клиентские и серверные программы, аутентифицируют друг друга с помощью доверительного центра.
Для обсечения идентификации и подлинности, используют ЭЦП, которая связывается посредством сертификата с ключом и шифром
31. Методы архивирования и дублирования информации как средства защиты от форс-мажор факторов.
Хранение архивной информации, представляющей особую ценность, должно быть организовано в специальном охраняемом помещении. Специалисты рекомендуют хранить дубликаты архивов наиболее ценных данных в другом здании, на случай пожара или стихийного бедствия. RAID - это акроним от Redundant Array of Independent Disks. Дисковый массив - это набор дисковых устройств, работающих вместе, чтобы повысить скорость и надежность системы ввода/вывода. Этим набором устройств управляет специальный RAID -контроллер (контроллер массива), который инкапсулирует в себе функции размещения данных по массиву; а для всей остальной системы позволяет представлять весь массив как одно логическое устройство ввода/вывода. За счет параллельного выполения операций чтения и записи на нескольких дисках, массив обеспечивает повышенную скорость обменов по сравнению с одним большим диском. Массивы также могут обеспечивать избыточное хранение данных, с тем, чтобы данные не были потеряны в случае выхода из строя одного из дисков. В зависимости от уровня RAID , проводится или зеркалирование или распределение данных по дискам.
Уровни RAID Каждый из четырех основных уровней RAID использует уникальный метод записи данных на диски, и поэтому все уровни обеспечивают различные преимущества. Уровни RAID 1,3 и 5 обеспечивают зеркалирование или хранение битов четности; и поэтому позволяют восстановить информацию в случае сбоя одного из дисков.
RAID уровня 0 Технология RAID 0 также известна как распределение данных ( data striping ). С применение этой технологии, информация разбивается на куски (фиксированные объемы данных, обычно именуемы блоками); и эти куски записываются на диски и считываются с них в параллель. С точки зрения производительности это означает два основных преимущества: повышается пропускная способность последовательного ввода/вывода за счет одновременной загрузки нескольких интерфейсов. снижается латентность случайного доступа; несколько запросов к различным небольшим сегментам информации могут выполнятся одновременно. Недостаток: уровень RAID 0 предназначен исключительно для повышения производительности, и не обеспечивает избыточности данных. Поэтому любые дисковые сбои потребуют восстановления информации с резервных носителей.
RAID уровня 1 Технология RAID 1 также известна как зеркалирование ( disk mirroring ). В этом случае, копии каждого куска информации хранятся на отдельном диске; или, обычно каждый (используемый) диск имеет "двойника", который хранит точную копию этого диска. Если происходит сбой одного из основных дисков, этот замещается своим "двойником". Производительность произвольного чтения может быть улучшена, если для чтения информации будет использоваться тот из "двойников", головка которого расположена ближе к требуемому блоку. Время записи может оказаться несколько больше, чем для одного диска, в зависимости от стратегии записи: запись на два диска может производится либо в параллель (для скорости), либо строго последовательно (для надежности). Уровень RAID 1 хорошо подходит для приложений, которые требуют высокой надежности, низкой латентности при чтении, а также если не требуется минимизация стоимости. RAID 1 обеспечивает избыточность хранения информации, но в любом случае следует поддерживать резервную копию данных, т.к. это единственный способ восстановить случайно удаленные файлы или директории.
RAID уровней 2 и 3 Технология RAID уровней 2 и 3 предусматривает параллельную ("в унисон") работу всех дисков. Эта архитектура требует хранения битов четности для каждого элемента информации, распределяемого по дискам. Отличие RAID 3 от RAID 2 состоит только в том, что RAID 2 использует для хранения битов четности несколько дисков, тогда как RAID 3 использует только один. RAID 2 используется крайне редко. Если происходит сбой одного диска с данными, то система может восстановить его содержимое по содержимому остальных дисков с данными и диска с информацией четности.
RAID уровней 4 и 5 RAID 4 исправляет некоторые недостатки технологии RAID 3 за счет использования больших сегментов информации, распределяемых по всем дискам, за исключением диска с информацией четности. При этом для небольших объемов информации используется только диск, на котором находится нужная информация. Это означает, что возможно одновременное исполнение нескольких запросов на чтение. Однако запросы на запись порождают блокировки при записи информации четности. RAID 4 используется крайне редко. Технология RAID 5 очень похожа на RAID 4, но устраняет связанные с ней блокировки. Различие состоит в том, что информация четности распределяется по всем дискам массива. В данном случае возможны как одновременные операции чтения, так и записи. Данная технология хорошо подходит для приложений, которые работают с небольшими объемами данных, например, для систем обработки транзакций.
33. Законодательство РФ в области информационной безопасности
2.1. Государственная политика в сфере информационной безопасности
До недавнего времени серьезные криптографические методы использовались почти исключительно для защиты секретной информации в государственных организациях, прежде всего для защиты военных и дипломатических секретов. Поэтому разработка и эксплуатация систем защиты информации были «закрытыми», недоступными простому пользователю.
Процедуры формирования и проверки электронной цифровой подписи (ЭЦП) должны соответствовать стандарту ГОСТ Р 34.10-2001, ГОСТ Р 34.11-94. При разработке средств защиты информации возникает ряд проблем правового характера.
1. Лицензирование деятельности.
2. Сертификация программно-аппаратных средств с функциями защиты.
3. Соответствие разрабатываемых средств защиты концептуаль¬ным требованиям к защите, стандартам и другим нормативным документам
ГОСТы.
В 2000 году президентом была утверждена Доктрина информационной безопасности Российской Федерации (№ Пр-1895 от 09.09.2000 ). Доктрина определяет цели, задачи, принципы и основ¬ные направления обеспечения информационной безопасности Российской Федерации. В названии Доктрины употреблен термин «информационная безопасность», а не «защита информации». Защита информации, как правило, понимается достаточно узко - как набор аппаратных и программных средств для обеспечения со¬хранности, доступности и конфиденциальности данных. Информационную безопасность можно определить как состояние защищенно¬сти интересов личности, общества и государства в информационной сфере от внутренних и внешних угроз. В принятой Доктрине под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.
При анализе текущего состояния информационной безопасности Российской Федерации отмечено, что ее уровень не в полной мере соответствует потребностям общества и государства. Перечислены следующие недостатки:
• противоречивость и неразвитость правового регулирования общественных отношений в информационной сфере и в области массовой информации;
• необеспеченность прав граждан на доступ к информации;
• отсутствие достаточного правового, организационного и технического обеспечения права граждан на неприкосновенность частной жизни, личную и семейную тайну, тайну переписки;
• неудовлетворительная организация защиты собираемых орга¬нами государственной власти и местного самоуправления данных о физических лицах (персональных данных);
• отсутствие четкости при проведении государственной политики в области формирования российского информационного пространства, развития российской системы массовой информации, организации международного информационного обмена;
• интенсивное внедрение зарубежных информационных технологий и отставание отечественных информационных технологий, из-за чего повышается вероятность несанкционированного доступа к информации и возрастает зависимость России от иностранных производителей компьютерной, телекоммуникационной техники и программного обеспечения. Задачей государственной политики в сфере обеспечения информационной безопасности является проведение комплекса мер, направленных на устранение этих недостатков. При этом методы обеспечения информационной безопасности могут быть разделены на правовые, организационные и технические. Совершенствование правовых механизмов регулирования общественных отношений, возникающих в информационной сфере, выделено в качестве приоритетного направления государственной политики в области обеспечения информационной безопасности Российской Федерации. Правовое обеспечение информационной безопасности должно базироваться прежде всего:
• на принципе законности;
• на соблюдении баланса интересов граждан, общества и госу¬дарства в информационной сфере. Второй принцип предполагает:
• законодательное закрепление приоритетов перечисленных интересов в различных областях жизнедеятельности общества;
• использование форм общественного контроля деятельности органов государственной власти;
• реализация государственных гарантий конституционных прав и свобод человека и гражданина в информационной сфере.
В качестве основных направлений усовершенствования Российского законодательства в области информационной безопасности можно выделить следующие:
1) создание целостной, логически полной системы взглядов на информационную безопасность;
2) устранение внутренних противоречий в федеральном законодательстве, противоречий, связанных с международными соглашениями, к которым присоединилась Российская Федерация, и противоречий между федеральными законодательными актами и законодательными актами субъектов Российской Федерации;
3) конкретизация правовых норм, устанавливающих ответственность за правонарушения в области обеспечения информационной безопасности;
4) разработка и внедрение механизмов реализации всех продекларированных в законодательстве норм.
Действующий Уголовный кодекс РФ рассматривает следующие преступления в сфере компьютерной информации (гл. 28): • неправомерный доступ к компьютерной информации (статья 272); • создание, использование и распространение вредоносных программ для ЭВМ (статья 273); • нарушение правил эксплуатации ЭВМ, систем или сетей ЭВМ (статья 274). За перечисленные деяния предусмотрена административная (от¬странение от должности, штрафы) либо уголовная ответственность.

34. ЭЦП, принципы и примеры использования
Шифрование на общем ключе привело к введению цифровых сертификатов, используемых для аутентификации на веб-сайтах с протоколами SSL/TLS и IPSec. Цифровой сертификат представляет собой цифровой документ (небольшой файл), заверяющий подлинность и статус владельца для пользователя или компьютерной системы. Например, бизнес-сертификат подтверждает тот факт, что компания обладает определенным открытым ключом. Цифровые сертификаты помогают автоматизировать распределение открытых ключей в протоколе шифрования с открытым ключом. Когда другому компьютеру необходимо произвести обмен данными с вашей системой, он осуществляет доступ к цифровому сертификату, содержащему ваш открытый ключ.
Набор продуктов и процессов, необходимых для безопасного создания, управления и распределения цифровых сертификатов, называется инфраструктурой открытого ключа (PKI). Одним из компонентов PKI является компьютер, называемый сервером сертификатов. Объединение, включающее сервер сертификатов и создающее сертификаты, называется бюро сертификатов (CA). CA несет ответственность за подтверждение подлинности сертификата и принадлежности его физическому лицу или организации перед созданием сертификата.
Существуют компании, например, Verisign и SSL.com, являющиеся коммерческими CA. Эти организации за определенную плату выпускают сертификаты для отдельных лиц и компаний. Если организация взяла на себя роль своего собственного бюро сертификатов и выпускает свои сертификаты, то необходим программный продукт Microsoft Sertificate Server, но придется установить этот компонент и управлять им на отдельном сервере в целях безопасности. Стандарт цифровых сертификатов X.509 обеспечивает совместимость с протоколами SSL/TLS и IPSec, используемыми в Microsoft Windows 2000 и IIS. Согласно этому стандарту цифровой сертификат X.509 v3 должен содержать четыре объекта.
• Отличительное имя (Distinguished Name, DN) организации, от которой получен сертификат (т.е. имя, введенное в поле Name сертификата).
• Открытый ключ отдельного лица или организации, идентифицируемый сертификатом.
• Цифровую подпись, полученную от секретного ключа бюро сертификатов, предусмотренного соответствующим сервером сертификатов.
• Отметки о дате, означающие даты выпуска и срок действия сертификата.
Имея эту информацию, два узла в виртуальной частной сети или веб-сервер и правильно настроенный веб-браузер могут отправлять и получать потоки данных, которые будут расшифрованы только ими.
Установление доверия к бюро сертификатов осуществляется по решению персонала или руководства компании. В интернете, как правило, принимается сертификат Verisign. После вынесения решения о доверии корневой сертификат СА нужно установить на серверах и клиентах, осуществляющих взаимную аутентификацию. Корневым сертификатом называется сертификат, содержащий открытый ключ CA, которому будут сопоставляться отдельно выпущенные и подписанные сертификаты с применением концепции открытого ключа для подтверждения подлинности сертификатов. Например, браузер авторизует цифровой сертификат веб-сайта, сопоставляя подпись сертификата с открытым ключом корневого сертификата CA, установленного в браузере. С помощью этой проверки браузер определяет, что сайт на самом деле принадлежит компании или организации, которую он представляет (в силу доверия к бюро сертификатов).
35. Протокол SSL принципы и примеры использования
SSL (англ. Secure Sockets Layer — уровень защищённых сокетов) — криптографический протокол, обеспечивающий безопасную передачу данных по сети Интернет. При его использовании создаётся защищённое соединение между клиентом и сервером. SSL изначально разработан компанией Netscape Communications. Впоследствии на основании протокола SSL 3.0 был разработан и принят стандарт RFC, получивший имя TLS.
Использует шифрование с открытым ключом для подтверждения подлинности передатчика и получателя. Поддерживает надёжность передачи данных за счёт использования корректирующих кодов и безопасных хэш-функций.
SSL состоит из двух уровней. На нижнем уровне многоуровневого транспортного протокола (например, TCP) он является протоколом записи и используется для инкапсуляции (то есть формирования пакета) различных протоколов (SSL работает совместно с таким протоколами как POP3, IMAP, XMPP, SMTP и HTTP). Для каждого инкапсулированного протокола он обеспечивает условия, при которых сервер и клиент могут подтверждать друг другу свою подлинность, выполнять алгоритмы шифрования и производить обмен криптографическими ключами, прежде чем протокол прикладной программы начнёт передавать и получать данные.
Для доступа к веб-страницам, защищённым протоколом SSL, в URL вместо обычного префикса (schema) http, как правило, применяется префикс https, указывающий на то, что будет использоваться SSL-соединение. Стандартный TCP-порт для соединения по протоколу https — 443.
Для работы SSL требуется, чтобы на сервере имелся SSL-сертификат.

37. Обзор средств анализа защищенности компьютерных комплексов.
Антивиры,+ фаерволы+орг.меры
сканеры безопасности, портов н-р, Xspider - сканирует порты и сервисы
есть еще System Security Scaner - сканирует на уровне Ос
Один из методов автоматизации процессов анализа и контроля защищенности распределенных компьютерных систем - использование технологии интеллектуальных программных агентов. На каждую из контролируемых систем устанавливается программный агент, который выполняет соответствующие настройки программного обеспечения, проверяет их правильность, контролирует целостность файлов, своевременность установки обновлений, а также решает другие задачи по контролю защищенности АС. Управление агентами осуществляет по сети программа-менеджер. Менеджеры, являющиеся центральными компонентами подобных систем, посылают управляющие команды всем агентам контролируемого ими домена и сохраняют все полученные от агентов данные в центральной базе данных. Администратор управляет менеджерами при помощи графической консоли, позволяющей выбирать, настраивать и создавать политики безопасности, анализировать изменения состояния системы, осуществлять ранжирование уязвимостей и т.п. Все взаимодействия между агентами, менеджерами и управляющей консолью осуществляются по защищенному клиент-серверному протоколу. Такой подход, например, использован при построении комплексной системы управления безопасностью организации Symantec Enterprise Security Manager (ESM).
38. Обзор средств обнаружения атак
• межсетевые экраны (МЭ, Брэндмауэр), которые, в свою очередь, разделяют на сегментные, персональные и встраиваемые;
• сканеры безопасности;
• сетевые анализаторы.

39. Использование VPN протокола
VPN (англ. Virtual Private Network - виртуальная частная сеть) - логическая сеть, создаваемая поверх другой сети, например Интернет. Несмотря на то, что коммуникации осуществляются по публичным сетям с использованием небезопасных протоколов, за счёт шифрования создаются закрытые от посторонних каналы обмена информацией. VPN позволяет объединить, например, несколько офисов организации в единую сеть с использованием для связи между ними неподконтрольных каналов.
3 типа соединения: Узел-узел, Узел-сеть, Сеть-Сеть.
Классификация VPN
1) Защищенные
2) Open VPN, PPtP
3) Доверительные
Классификация по назначению
Intra NET – единая сеть
Remote Access VPN
Extra Net VPN
Internet VPN
Клиент сервер VPN
Протоколы
TCP\IP, IPX, Apple Talk
Требования к средствам построения VPN:
1) Отсутствие необходимости внесения изменения в существующие технологии
2) Инвариантность к другим системам безопасности
3) Масштабируемость
4) Минимизация ресурсов для внедрения
5) Низкая стоимость.
VPN состоит из двух частей: «внутренняя» (подконтрольная) сеть, которых может быть несколько, и «внешняя» сеть, по которой проходит инкапсулированное соединение (обычно используется Интернет). Возможно также подключение к виртуальной сети отдельного компьютера. Подключение удалённого пользователя к VPN производится посредством сервера доступа, который подключён как к внутренней, так и к внешней (общедоступной) сети. При подключении удалённого пользователя (либо при установке соединения с другой защищённой сетью) сервер доступа требует прохождения процесса идентификации, а затем процесса аутентификации. После успешного прохождения обоих процессов, удалённый пользователь (удаленная сеть) наделяется полномочиями для работы в сети, то есть происходит процесс авторизации.
Используется инкапсуляция протокола PPP в другой PPP->IP – PPPiP или Ethernet - PPPoE
. VPN-технологии обеспечивают:
• защиту (конфиденциальность, подлинность и целостность) передаваемой по сетям информации;
• защиту внутренних сегментов сети от НСД со стороны сетей общего пользования;
• контроль доступа в защищаемый периметр сети;
• сокрытие внутренней структуры защищаемых сегментов сети;
• идентификацию и аутентификацию пользователей сетевых объектов;
• централизованное управление политикой корпоративной сетевой безопасности и настройками VPN-сети;
• криптографическую защиту данных, передаваемых по каналам связи сетей общего пользования между защищаемыми сегментами сети;
• безопасный доступ пользователей VPN к ресурсам сетей общего пользования. Потоки данных отдельного предприятия образуют виртуальные каналы частной сети.

41. Сканеры безопасности
Сканер безопасности – это программное средство для удаленной или локальной диагностики различных элементов сети на предмет выявления в них различных уязвимостей. Например: ISS Internet Scanner, XSpider, LanGuard, ShadowSecurityScanner, X-Scan. Средства анализа защищенности исследуют сеть и ищут "слабые" места в ней, анализируют полученные результаты и на их основе создают различного рода отчеты. Перечислим некоторые из проблем, идентифицируемых системами анализа защищенности:
• "люки" в программах (back door) и программы типа "троянский конь";
• слабые пароли;
• восприимчивость к проникновению из незащищенных систем;
• неправильная настройка межсетевых экранов, Web-серверов и баз данных;
и т.д.
Практически любой сканер проводит анализ защищенности в несколько этапов:
• Сбор информации о сети. Идентифицируются все активные устройства в сети и определяются запущенные на них сервисы и демоны. В случае использования систем анализа защищенности на уровне операционной системы данный этап пропускается, поскольку на каждом анализируемом узле установлены соответствующие агенты системного сканера.
• Обнаружение потенциальных уязвимостей. Сканер использует базу данных для сравнения собранных данных с известными уязвимостями при помощи проверки заголовков или активных зондирующих проверок. В некоторых системах все уязвимости ранжируются по степени риска.
• Подтверждение выбранных уязвимостей. Сканер использует специальные методы и моделирует (имитирует) определенные атаки для подтверждения факта наличия уязвимостей на выбранных узлах сети.
• Генерация отчетов. На основе собранной информации система анализа защищенности создает отчеты, описывающие обнаруженные уязвимости. В некоторых системах отчеты создаются для различных категорий пользователей, начиная от администраторов сети и заканчивая руководством компании. Если первых в первую очередь интересуют технические детали, то для руководства компании необходимо представить красиво оформленные с применением графиков и диаграмм отчеты с минимумом подробностей. Немаловажным аспектом является наличие рекомендаций по устранению обнаруженных проблем.
• Автоматическое устранение уязвимостей. Этот этап очень редко реализуется в сетевых сканерах, но широко применяется в системных сканерах. При этом данная возможность может реализовываться по-разному. Например, возможность "отката".

Механизмы работы
Существует два основных механизма, при помощи которых сканер проверяет наличие уязвимости - сканирование (scan) и зондирование (probe).
Сканирование - механизм пассивного анализа, с помощью которого сканер пытается определить наличие уязвимости без фактического подтверждения ее наличия - по косвенным признакам. Согласно компании Cisco этот процесс идентифицирует открытые порты, найденные на каждом сетевом устройстве, и собирает связанные с портами заголовки (banner), найденные при сканировании каждого порта. Каждый полученный заголовок сравнивается с таблицей правил определения сетевых устройств, операционных систем и потенциальных уязвимостей. На основе проведенного сравнения делается вывод о наличии или отсутствии уязвимости.
Зондирование - механизм активного анализа, который позволяет убедиться, присутствует или нет на анализируемом узле уязвимость. Зондирование выполняется путем имитации атаки, использующей проверяемую уязвимость. Этот метод более медленный, чем "сканирование", но почти всегда гораздо более точный, чем он. Согласно компании Cisco этот процесс использует информацию, полученную в процессе сканирования ("логического вывода"), для детального анализа каждого сетевого устройства. Этот процесс также использует известные методы реализации атак для того, чтобы полностью подтвердить предполагаемые уязвимости и обнаружить другие уязвимости, которые не могут быть обнаружены пассивными методами, например подверженность атакам типа "отказ в обслуживании" ("denial of service").
Однако существуют случаи, когда имитация атак не всегда может быть реализована. Такие случаи можно разделить на две категории: ситуации, в которых тест приводит к "отказу в обслуживании" анализируемого узла или сети, и ситуации, при которых уязвимость в принципе не годна для реализации атаки на сеть.
Как мы все знаем, многие проблемы защиты не могут быть выявлены без блокирования или нарушения функционирования сервиса или компьютера в процессе сканирования. В некоторых случаях нежелательно использовать имитацию атак (например, для анализа защищенности важных серверов), т.к. это может привести к большим затратам (материальным и временным) на восстановление работоспособности выведенных из строя элементов корпоративной сети. В этих случаях желательно применить другие проверки, например, активное зондирование или, в крайнем случае, проверки заголовков.
Этапы сканирования
42. Honey Pot- ловля на живца
Фактически Honeypot представляет собой приманку, на которую в случае удачи и высокого фактора достоверности попадется злоумышленник. Задача Honeypot — подвергнуться атаке или несанкционированному исследованию, что позволит изучить стратегию злоумышленника и определить круг средств, с помощью которых могут быть нанесены удары по реальным объектам безопасности. Реализация Honeypot не принципиальна, это может быть как специальный выделенный сервер, так и один сетевой сервис, задача которого — привлечь внимание хакеров. Honeypot кардинально отличается от всех разработок в сфере безопасности. Это не формализованный продукт или технология, а своего рода инструмент, примерно как микроскоп в руках биолога. Honeypot обеспечивает специалистам в области безопасности достаточно весомые преимущества. В первую очередь, это сбор необходимой информации, зачастую содержащей ценные сведения. Развертывание и эксплуатация «живца» не представляют особой трудности, также и средства Honeypot, как правило, не требовательны к системным ресурсам. Поскольку Honeypot изначально «забрасывается» для атаки и исследований, можно предположить, что практически вся снятая с ловушки информация отражает действия именно злоумышленников. На ее основе можно провести анализ, построить статистику методов, использующихся хакерами, а также определить наличие каких-либо новых решений, применяющихся взломщиками. Один из наиболее щекотливых моментов, связанных с Honeypot, заключается в наглядности метода. Допустим, на этапе проектирования и развертывания инфраструктуры компания ответственно отнеслась к вопросам обеспечения безопасности: были инсталлированы и должным образом настроены межсетевые экраны, средства аутентификации, шифрования и т. д. Потом, как правило, наступает этап успокоения: «нас нельзя взломать, мы вложили огромные средства и имеем дело только с лучшими продуктами», а затем — этап недовольства, ведь если руководство не видит эффекта, то обычно возникают мысли о напрасно потраченных деньгах. Honeypot способен наглядно показать наличие большой опасности — она никуда не исчезла, разве что временно находится «за дверью», но никто не даст гарантии, что через час межсетевой экран и все прочие средства защиты не будут преодолены: достаточно вспомнить о случаях проникновения в сети NASA или военного ведомства США. Особо следует остановиться на инсталляции и эксплуатации Honeypot. Как правило, весь комплекс мероприятий сводится к «установить и ждать. Для того чтобы уяснить ценность ловушек, примем во внимание модель безопасности Брюса Шнейера (Bruce Schneier), которая подразумевает три уровня: предотвращение, обнаружение и ответ. Honeypot-ловушки могут быть задействованы на всех трех уровнях, например на уровне предотвращения Honeypot применяется при замедлении или полной остановке автоматических вторжений. Минусы. В первую очередь нужно отметить узкую направленность конкретной ловушки, также существует вероятность обнаружения и опасность полного взлома Honeypot. Honeypot потенциально не способен охватить все проблемы безопасности, поэтому приходится либо исследовать уровень безопасности отдельно взятого фрагмента инфраструктуры, либо задействовать несколько приманок. Нельзя исключить риск осознания злоумышленниками того факта, что перед ними не реальный «фронт работы», а лишь подставная ловушка. Чаще всего это происходит из-за неправильной или недостаточно тщательной настройки ловушки, то есть в подавляющем большинстве случаев виновен человеческий фактор.
Идея Honeypot представлена и в более масштабном понимании — на уровне целой сети — Honeynet. Это определенная разновидность Honeypot, однако подобная система состоит не из одного компьютера или активного сетевого устройства, а из целой сети. Она находится за межсетевым экраном и перехватывает все входящие и исходящие соединения, затем информация об активности злоумышленника рассматривается и анализируется. Honeynet, разумеется, создает для атакующего более достоверную картину, нежели организованный отдельно Honeypot. Кроме того, с помощью нескольких машин с различным программным обеспечением можно гораздо больше узнать о действиях хакера, нежели при использовании одной ловушки.
43. Криптографическое приложение PGP
PGP (Pretty Good Privacy) - криптографическое приложение для обеспечения защиты и аутентификации данных. Защита гарантирует, что только получатель информации сможет воспользоваться ей. Оказавшись в чужих руках, она будет совершенно бесполезной, поскольку ее невозможно декодировать. Аутентификация гарантирует, что если некоторая информация была создана Вами и выложена для публичного доступа, то она действительно поступила от Вас и не была никем фальсифицирована или изменена в пути. PGP основана на криптографической системе, известной как открытый ключ, которая может быть использована на ненадежных каналах. Это делает ее идеальной для обеспечения защиты информации, передаваемой по таким сетям, как Internet. В системах с открытым ключом каждый из участников информационного обмена имеет два ключа, взаимно дополняющих друг друга; один является открытым ключом, а другой закрытым. Открытый ключ может и должен быть свободно доступным, так как он является именно тем ключом, который отправитель использует для шифрования передаваемой Вам информации. Закрытый ключ ни в коем случае не должен распространяться. Именно он гарантирует безопасность передаваемых данных. Как это работает Шифрование Возьмем для примера двух друзей - Сергея и Максима. У Сергея есть открытый ключ Максима. Он шифрует письмо с помощью этого ключа и отправляет. Теперь только Максим сможет прочитать это письмо, потому что закрытый ключ находится только у него. Даже Сергей уже не может прочитать свое собственное, но уже зашифрованное письмо. Аутентификация Вы посылаете письмо в список рассылки для своих клиентов. При этом подписчики списка хотят быть уверены что это именно Вы послали сообщение и что оно не было изменено каким-либо посторонним лицом. Подписываем сообщение с помощью своего закрытого ключа и вставляем подпись в письмо. Теперь все клиенты, у которых есть открытый ключ, могут с помощью него проверить, действительно ли Вы послали это письмо и не изменено ли оно кем-либо.
Для криптования используется алгоритм RSA, а в версии 6.5.1i добавлен алгоритм DSS/DH.
Генерация ключей Сначала необходимо зайти в unix shell и в своей домашней директории создать подкаталог .pgp командой: mkdir .pgp После этого командой "/usr/local/bin/pgp -kg" создаем ключи и защищаем свой закрытый ключ паролем. Обязательно запишите этот пароль. При утере восстановить его будет невозможно и придется создавать новые ключи. В каталоге .pgp созданы два файла: pubring.pgp - набор открытых ключей secring.pgp - набор закрытых ключей Теперь можете приступать к использованию PGP Использование PGP
Создание пары ключей Чтобы начать использовать PGP, нужно создать собственную пару ключей (открытый/закрытый). Чтобы это сделать, выполните команду: pgp -kg Вас попросят выбрать максимальный размер ключа (512, 768 или 1024 байт). Чем больше ключ, тем более надежным он будет, правда ценой небольшого снижения быстродействия при шифровании. После выбора размера нужно задать идентификатор открытого ключа. Обычно здесь указывают свои имена и/или e-mail адрес. Например: Ivan Petrov <ivan@zmail.ru> Далее нужно задать пароль, который будет защищать закрытый ключ. Это необходимо для защиты закрытого ключа. Например, если кто-нибудь украдет его, ключ будет бесполезен без пароля. Наконец, программа попросит в произвольном порядке нажать несколько клавиш на клавиатуре чтобы она могла создать последовательность случайных чисел. Через несколько секунд PGP создаст ключи и известит об этом соответствующим сообщением. После того, как ключи были сгенерированы должным образом, они сохраняются в каталоге ~/.pgp в виде файлов: pubring.pgp и secring.pgp. Первый, pubring.pgp, является файлом с открытыми ключами, secring.pgp - файл с закрытыми ключами На данный момент эти файлы содержат только открытый и закрытый ключи их создателя. Необходимо помнить, что безопасность методов открытого ключа опирается на безопасности закрытого ключа, поэтому обязательно хранить его в надежном месте и следить за тем, чтобы никто не смог его получить. Установите такие права доступа к файлу secring.pgp, чтобы только Вы могли читать и записывать в него. Редактировать и изменять, и идентификаторы ключей и пароли закрытых ключей можно с помощью команды: pgp -ke идентификатор [файл с ключами]
Добавление ключей в файл Теперь Вам, вероятно, захочется добавить открытые ключи людей, с которыми есть желание обмениваться шифрованными сообщениями. Для этого потребуется получить открытые ключи Ваших корреспондентов: с сервера ключей, непосредственно от конкретных людей, по e-mail, и т.д. Вспомним, что открытые ключи распространяются свободно и нет необходимости передавать их по безопасному каналу. Если в файле somekey.pgp содержится ключ и есть желание добавить его в файл ключей, процедура такова: pgp -ka somekey [файл с ключами] По умолчанию расширение .pgp указывает на файл с ключем и имена pubring.pgp и secring.pgp даются файлам, содержащим наборы открытых и закрытых ключей, соответственно. После добавления ключа PGP может сообщить, что добавленный ключ не полностью сертифицирован, это означает, что данный ключ не обязательно может принадлежать заявленному владельцу. Если есть уверенность, что ключ действительно принадлежит этому человеку, то сами можете подтвердить его приемлемость для использования.
Удаление ключа из файла Удалить ненужный ключ из файла можно командой pgp -kr идентификатор [файл с ключами] Например: "pgp -kr alex" удалит любой ключ, у которого в идентификаторе содержится "alex". По умолчанию исследуется файл открытых ключей.
Выделение ключа После сохранения ключей друзей в файле необходимо послать им свой открытый ключ. Прежде всего его необходимо выделить из собственного файла открытых ключей: pgp -kx идентификатор файл [файл с ключами] Например: "pgp -kx alex mykey" выделяет открытый ключ, идентифицированный подстрокой "alex" в файле mykey. Созданный файл mykey.pgp будет не в формате ASCII. Однако, если потребуется создать файл ключа в формате ASCII чтобы послать, к примеру, по e-mail или добавить дополнительную информацию к базе данных, потребуется использовать команду: pgp -kxa идентификатор файл [файл с ключами] Например: "pgp -kxa alex mykey" выделяет открытый ключ, идентифицированный подстрокой "alex", в файл "mykey.asc". Вместе с ключом также выделяются все сертификаты, которые его подтверждают.
Содержание файлов с ключами Чтобы просмотреть ключи, содержащиеся в файле, наберите команду: pgp -kv [идентификатор] [файл с ключами] Еще раз заметим, что файлом по умолчанию является pubring.pgp. Если идентификатор не указан явно, то показываются все ключи из файла. Чтобы просмотреть все сертификаты каждого ключа, необходимо набрать: pgp -kvv [идентификатор] [кольцо]
Шифрование сообщений Теперь попробуем зашифровать файл. Сделать это можно командой: pgp -e файл идентификатор Эта команда создает файл с именем файл.pgp, содержащий исходный файл, зашифрованный так, что только получатель может его расшифровать с помощью своего закрытого ключа. Помните, что созданный файл, не является ASCII файлом, поэтому для отправки его по E-Mail может потребоваться добавить еще одну опцию -a для того, чтобы выходной закодированный файл был в формате ASCII, например так: pgp -ea файл идентификатор
Кодирование сообщения для нескольких получателей Допустим, необходимо зашифровать и отправить письмо для нескольких получателей. В этом случае поступим так: pgp -ea файл идентификатор1 идентификатор2 идентификатор3
Как подписывается сообщение Подписывание документа позволяет получателю удостовериться в том, что текст написан действительно отправителем и что сообщение не было изменено. Чтобы подписать документ, необходимо использовать закрытый ключ: pgp -s файл идентификатор Если у нас есть несколько закрытых ключей в нашем secring.pgp, мы можем выбрать один из них при помощи идентификатора. Эта команда создает файл, который не является ASCII-текстом, потому что PGP пытается сжать файл. Если, с другой стороны, Вы хотите подписать файл, оставив текст читабельным и с подписью в конце, то процедура будет выглядеть так : pgp -sta файл Эта последняя команда очень полезна при подписывании электронной почты, которую и дальше можно будет читать без использования PGP. Также такое сообщение смогут читать те, кому не обязательно проверять подпись. Кроме того, можно подписать документ и затем закодировать его при помощи следующей команды: pgp -es файл идентификатор_получателя мой_идентификатор Для кодирования файла используется открытый ключ, идентифицируемый подстрокой "идентификатор_получателя", поэтому только этим ключом можно декодировать этот файл. Затем идентифицируем закрытый ключ строкой "мой_идентификатор", так как в нашем наборе есть несколько ключей. Даже в этом случае можно создать файл в формате ASCII, используя опцию -a.
Расшифровка Для расшифровки файла и/или проверки его подписи используется команда: pgp входной_файл [-o выходной_файл] По умолчанию предполагается, что входной файл имеет расширение .pgp. Имя файла, который получится в результате декодирования, является необязательным параметром. Если выходной файл не указан, расшифрованный файл будет сохранен в файле входной_файл без расширения .pgp. Также можно просто просмотреть расшифрованный файл без сохранения: pgp -m файл

45. Системы обнаружения атак (IDS)
Итак, за основу построения нашей системы реагирования на нарушения сетевой безопасности берем самую распространенную на сегодняшний день IDS Snort. Она, являясь сенсором, первая обнаруживает атаку и первая реагирует на нее согласно заранее заданному алгоритму. Чаще всего она подает сигнал о проводимой атаке какому-либо внешнему средству, которое предпринимает меры по ее ликвидации. Предупреждение может быть отправлено системному администратору по электронной почте, в виде короткого сообщения на мобильный телефон или выдано на монитор, следя за которым, специалист вручную блокирует действия нарушителя. Это также может быть и программа, выполняющая действия по блокировке нарушений автоматически, если администратор не имеет в данный момент возможности предпринять какие-либо действия. Принцип работы этой IDS основан на сравнении с сигнатурами (они же правила). Пришедшие пакеты сравниваются с эталоном и на основании этих сравнений предпринимаются определенные, заданные заранее системным аналитиком или же самим системным администратором, меры. Чаще всего если удалось идентифицировать атаку, то в БД или в определенный файл записывается название атаки. Также есть возможность задавать динамические правила, которые выполняются при наступлении какого-либо события. Шаблон, по которому создается БД, с которой в дальнейшем будет работать Snort, поставляется вместе с программой и создание такой БД не отнимает много времени. Файл или БД, куда ведется запись, может находиться как на локальном хосте, так и на удаленном, что очень надежно при построении больших систем. Физически IDS может располагаться перед фаерволлом, в демилитаризованной зоне, на маршрутизаторе, может быть подключена к зеркальному порту коммутатора или находиться в комбинации этих вариантов, - в зависимости от сложности решения (см. рис. 1). Также может быть установлено несколько таких сенсоров в разных частях сети.
Ниже представлен краткий перечень его возможностей.
- Идентификация сенсора IDS в случае его физической удаленности. Проверка обычно проводится как по адресу, так и по паролю.
- Может слушать различные порты, что придает системе большую гибкость.
- Создание списка доверенных хостов/сетей. Это важно в случае с DoS-атаками. В противном случае нарушитель мог бы провести атаку, представившись IDS или хостом ее БД.
- Наличие предела блокировок. Это позволяет снять лишнюю нагрузку с фаерволла. При приближении количества блокировок к пределу, они отключаются.
- Наличие временных блокировок. Т.е. таких, которые действуют лишь в течение заданного интервала времени и потом отключаются. Это очень важное качество, которое в некоторых случаях дает Snortsam непревзойденные преимущества перед другими программами такого рода.
- Отправка сообщения о блокировке по электронной почте или на мобильный телефон.