1. Задачи системы защиты информации
Информационная безопасность – под ней будем понимать защищенность информации, информационных ресурсов и систем от случайных или преднамеренных воздействий, которые могут нанести ущерб субъектам информационных отношений.
Объекты информационной безопасности:
- информационные ресурсы государства, предприятий и юридических и физических лиц;
- права граждан, юридических лиц и государства на получение, распространение и использование информации;
- права граждан, юридических лиц и государства на защиту конфиденциальной информации и интеллектуальной собственности;
- система формирования, распространения и использование информационных ресурсов (информационные. сети, архивы и т.д.);
- информационная инфраструктура., которая включает центры обработки и анализа информации, каналы информационного обмена и коммуникаций, включая также механизмы обеспечения и функционирования телекоммуникационных систем и сетей;
- системы формирования общественного сознания, базирующееся на СМИ и пропаганды;
Защита Информации - это комплекс мероприятий организационно-правовых и технических, направленных на обеспечение информационной безопасности.
1. Обеспечение подлинности и сохранности информации. Если задача обеспечения сохранности информации обычно не вызывает каких либо вопросов и сомнений, то задача обеспечения подлинности информации возникнув относительно недавно не всегда привлекает к себе достаточное внимание. Тем не менее, современные темпы ведения деловых операций делают системы электронного обмена информацией все более привлекательными, что делает вопросы гарантии подлинности информации существенно важными. При этом гарантия подлинности не ограничивается гарантией подлинности источника информации, но также включает в себя гарантию подлинности содержимого. Обеспечение сохранности информации – это обеспечение ее сохранности в случае природных катаклизмов, пожаров и так далее, включая аппаратные и программные сбои, а также действия злоумышленников по намеренному уничтожению информации. Относительно новым аспектом задачи обеспечения сохранности информации является собственно задача сбора информации, то есть фиксации, отображения в системе действий пользователей, прохождения информации и прочих событий реального мира, связанных с информационной системой предприятия.
2. Обеспечение функционирования системы Обеспечения функционирования информационной системы включает в себя:
- Обеспечение функционирования аппаратного и программного обеспечения;
- Обеспечение системы достаточным количеством потребляемых ресурсов (электроэнергии, каналов связи и так далее);
- Защита от злоумышленного вывода системы из строя;
- Обеспечение пользователям доступа к системе;
3. Обеспечение разграничения доступа к информации и ресурсам системы. Эта задача включает в себя следующие подзадачи:
- Идентификация пользователя;
- Систему описания прав и режима доступа к информации и ресурсам системы;
- Мониторинг системы и пользователей; Как правило, эта задача рассматривается в ракурсе только разграничения доступа к информации. Но сами ресурсы системы – аппаратное обеспечение, каналы связи – тоже часто становятся целью злоумышленника. Иногда неправомерное использование ресурсов приносит не только прямые, но и косвенные убытки – ущерб имиджу предприятия в деловых кругах, ухудшения условий предоставления услуг провайдерами связи и так далее.
2. Источники угроз внешние и внутренние. Примеры
Угроза безопасности информационных систем – набор факторов, приводящих к сбоям или неработоспособности системы, а также наносящих урон целостности информации. Для правильного построения комплекса защиты информационной системы необходимо четко представлять виды угроз и их возможные источники.
2.1. Источники угроз Все перечисленные выше виды угроз должны приниматься в расчет при построении системы безопасности ИС предприятия. Тем не менее, необходимо еще учитывать возможные источники угроз. Принято выделять два основных типа источников:
2.1.1. Внешние источники
Под внешними источниками угроз подразумеваются источники, находящиеся за пределами предприятия, действия которых не могут быть проконтролированы. Как правило, система безопасности заранее «подозревает» эти источники в «плохих намерениях» и предпринимает профилактические меры по предотвращению угроз. Потенциальными точками приложения внешних угроз являются:
- Каналы связи: Internet , модемная связь, телефонные линии, факс;
- Источники информации: веб-сайты, электронная почта, файлы, передаваемые на дискетах и т.п.;
- Аппаратное обеспечение, приобретаемое или получаемое в аренду;
- Спецтехника;
- Форс-мажор факторы.
2.1.2 . Внутренние источники
Наиболее распространенное заблуждение, связанное с защитой информационных систем, состоит в том, что достаточно отгородится от внешнего мира, чтобы быть уверенным в собственной безопасности. Внутренние источники, представляют не меньшую угрозу компьютерным системам, чем набивший оскомину хакер из, скажем, Китая.
К внутренним источникам угроз можно отнести:
- Персонал предприятия, в том числе временные и бывшие работники;
- Программное обеспечение, в том числе и разработанное на предприятии;
- Оборудование, коммуникации, системы водоснабжения и прочие вещи, не имеющие прямого отношения к компьютерной информационной системе, но участвующие в процессе производства.
3. Классификация атак и угроз
1. По характеру воздействия
- пассивное (класс 1.1)
- активное (класс 1.2)
Пассивное воздействие на распределенную вычислительную систему - воздействие, которое не оказывает непосредственного влияния на работу системы, но может нарушать ее политику безопасности. Именно отсутствие непосредственного влияния на работу распределенной ВС приводит к тому, что пассивное удаленное воздействие практически невозможно обнаружить. Примером пассивного типового удаленного воздействия в РВС служит прослушивание канала связи в сети.
Активное воздействие на распределенную ВС - воздействие, оказывающее непосредственное влияние на работу системы (изменение конфигурации РВС, нарушение работоспособности и т. д.) и нарушающее принятую в ней политику безопасности. Практически все типы удаленных атак являются активными воздействиями. Особенностью активного воздействия по сравнению с пассивным является принципиальная возможность его обнаружения, так как в результате его осуществления в системе происходят определенные изменения. В отличие от активного, при пассивном воздействии не остается никаких следов (от того, что атакующий просмотрит чужое сообщение в системе, в тот же момент ничего не изменится).
2. По цели воздействия
- нарушение конфиденциальности информации либо ресурсов системы (класс 2.1)
- нарушение целостности информации (класс 2.2)
- нарушение работоспособности (доступности) системы (класс 2.3)
Основная цель практически любой атаки - получить несанкционированный доступ к информации. Существуют две принципиальные возможности доступа к информации: перехват и искажение. Возможность перехвата информации означает получение к ней доступа, но невозможность ее модификации. Следовательно, перехват информации ведет к нарушению ее конфиденциальности. Примером перехвата информации может служить прослушивание канала в сети. В этом случае имеется несанкционированный доступ к информации без возможности ее искажения. Нарушение конфиденциальности информации является пассивным воздействием.
Возможность искажения информации означает либо полный контроль над информационным потоком между объектами системы, либо возможность передачи сообщений от имени другого объекта. Таким образом, искажение информации ведет к нарушению ее целостности. Данное информационное разрушающее воздействие представляет собой яркий пример активного воздействия.
Принципиально другой целью атаки является нарушение работоспособности системы. В этом случае не предполагается получение атакующим несанкционированного доступа к информации. Его основная цель - добиться, чтобы операционная система на атакуемом объекте вышла из строя и для всех остальных объектов системы доступ к ресурсам атакованного объекта был бы невозможен.
3. По условию начала осуществления воздействия
Удаленное воздействие, также как и любое другое, может начать осуществляться только при определенных условиях. В распределенных ВС существуют три вида условий начала осуществления удаленной атаки:
- Атака по запросу от атакуемого объекта (класс 3.1) В этом случае атакующий ожидает передачи от потенциальной цели атаки запроса определенного типа, который и будет условием начала осуществления воздействия. Примером подобных запросов в сети Internet могут быть - DNS- и ARP-запросы.
- Атака по наступлению ожидаемого события на атакуемом объекте (класс 3.2) В этом случае атакующий осуществляет постоянное наблюдение за состоянием операционной системы удаленной цели атаки и при возникновении определенного события в этой системе начинает воздействие. Как и в предыдущем случае, инициатором осуществления начала атаки выступает сам атакуемый объект.
- Безусловная атака (класс 3.3) В этом случае начало осуществления атаки безусловно по отношению к цели атаки, то есть атака осуществляется немедленно и безотносительно к состоянию системы и атакуемого объекта. Следовательно, в этом случае атакующий является инициатором начала осуществления атаки.
4. По наличию обратной связи с атакуемым объектом
- с обратной связью (класс 4.1)
- без обратной связи (однонаправленная атака) (класс 4.2)
Удаленная атака, осуществляемая при наличии обратной связи с атакуемым объектом, характеризуется тем, что на некоторые запросы, переданные на атакуемый объект, атакующему требуется получить ответ, а, следовательно, между атакующим и целью атаки существует обратная связь, которая позволяет атакующему адекватно реагировать на все изменения, происходящие на атакуемом объекте. Подобные удаленные атаки наиболее характерны для распределенных ВС.
В отличие от атак с обратной связью удаленным атакам без обратной связи не требуется реагировать на какие-либо изменения, происходящие на атакуемом объекте. Атаки данного вида обычно осуществляются передачей на атакуемый объект одиночных запросов, ответы на которые атакующему не нужны. Подобную УА можно называть однонаправленной удаленной атакой.
5. По расположению субъекта атаки относительно атакуемого объекта
- внутрисегментное (класс 5.1)
- межсегментное (класс 5.2)
6. По уровню эталонной модели ISO/OSI, на котором осуществляется воздействие
- физический (класс 6.1)
- канальный (класс 6.2)
- сетевой (класс 6.3)
- транспортный (класс 6.4)
- сеансовый (класс 6.5)
- представительный (класс 6.6)
- прикладной (класс 6.7)
4. Классификация сетевых атак

Снифферы пакетов Сниффер пакетов представляет собой прикладную программу, которая использует сетевую карту, работающую в режиме promiscuous mode (в этом режиме все пакеты, полученные по физическим каналам, сетевой адаптер отправляет приложению для обработки). При этом сниффер перехватывает все сетевые пакеты, которые передаются через определенный домен. В настоящее время снифферы работают в сетях на вполне законном основании. Они используются для диагностики неисправностей и анализа графика. Однако ввиду того, что некоторые сетевые приложения передают данные в текстовом формате (Telnet, FTP, SMTP, POP3 и т.д.), с помощью сниффера можно узнать полезную, а иногда и конфиденциальную информацию (например, имена пользователей и пароли). Смягчить угрозу сниффинга пакетов можно с помощью следующих средств:
- Аутентификация. Сильные средства аутентификации являются первым способом защиты от сниффинга пакетов. Под "сильным" мы понимаем такой метод аутентификации, который трудно обойти. Примером такой аутентификации являются однократные пароли (OTP - One-Time Password). OTP - это технология двухфакторной аутентификации, при которой происходит сочетание того, что у вас есть, с тем, что вы знаете. Типичным примером двухфакторной аутентификации является работа обычного банкомата, который опознает вас, во-первых, по вашей пластиковой карточке и, во-вторых, по вводимому вами ПИН-коду. Для аутентификации в системе ОТР также требуется ПИН-код и ваша личная карточка. Под "карточкой" (token) понимается аппаратное или программное средство, генерирующее (по случайному принципу) уникальный одномоментный однократный пароль. Если хакер узнает этот пароль с помощью сниффера, эта информация будет бесполезной, потому что в этот момент пароль уже будет использован и выведен из употребления. Заметим, что этот способ борьбы со сниффингом эффективен только для борьбы с перехватом паролей. Снифферы, перехватывающие другую информацию (например, сообщения электронной почты), не теряют своей эффективности.
- Коммутируемая инфраструктура. Еще одним способом борьбы со сниффингом пакетов в вашей сетевой среде является создание коммутируемой инфраструктуры. Если, к примеру, во всей организации используется коммутируемый Ethernet, хакеры могут получить доступ только к графику, поступающему на тот порт, к которому они подключены. Коммутируемая инфраструктура не ликвидирует угрозу сниффинга, но заметно снижает ее остроту.
- Анти-снифферы. Третий способ борьбы со сниффингом заключается в установке аппаратных или программных средств, распознающих снифферы, работающие в вашей сети. Эти средства не могут полностью ликвидировать угрозу, но, как и многие другие средства сетевой безопасности, они включаются в общую систему защиты, Так называемые "анти-снифферы" измеряют время реагирования хостов и определяют, не приходится ли хостам обрабатывать "лишний" график. Одно из таких средств, поставляемых компанией LOpht Heavy Industries, называется AntiSniff.
- Криптография. Самый эффективный способ борьбы со сниффингом пакетов не предотвращает перехвата и не распознает работу снифферов, но делает эту работу бесполезной. Если канал связи является криптографически защищенным, это значит, что хакер перехватывает не сообщение, а зашифрованный текст (то есть непонятную последовательность битов). IPSec представляет собой стандартный метод защищенной связи между устройствами с помощью протокола IP. К прочим криптографическим протоколам сетевого управления относятся протоколы SSH (Secure Shell) и SSL (Secure Socket Level).
IP-спуфинг IP-спуфинг происходит, когда хакер, находящийся внутри корпорации или вне ее, выдает себя за санкционированного пользователя. Это можно сделать двумя способами. Во-первых, хакер может воспользоваться IP-адресом, находящимся в пределах диапазона санкционированных IP-адресов, или авторизованным внешним адресом, которому разрешается доступ к определенным сетевым ресурсам. Атаки IP-спуфинга часто являются отправной точкой для прочих атак. Классический пример - атака DoS, которая начинается с чужого адреса, скрывающего истинную личность хакера. Угрозу спуфинга можно ослабить (но не устранить) с помощью следующих мер:
- Контроль доступа. Самый простой способ предотвращения IP-спуфинга состоит в правильной настройке управления доступом. Чтобы снизить эффективность IP-спуфигна, настройте контроль доступа на отсечение любого графика, поступающего из внешней сети с исходным адресом, который должен располагаться внутри вашей сети. Заметим, что это помогает бороться с IP-спуфингом, когда санкционированными являются только внутренние адреса. Если санкционированными являются и некоторые адреса внешней сети, данный метод становится неэффективным.
- Фильтрация RFC 2827. Вы можете пресечь попытки спуфинга чужих сетей пользователями вашей сети (и стать добропорядочным "сетевым гражданином"). Для этого необходимо отбраковывать любой исходящий трафик, исходный адрес которого не является одним из IP-адресов вашей организации. Этот тип фильтрации, известный под названием "RFC 2827", может выполнять и ваш провайдер (ISP). В результате отбраковывается весь трафик, который не имеет исходного адреса, ожидаемого на определенном интерфейсе. К примеру, если ISP предоставляет соединение с IP-ад-ресом 15.1.1.0/24, он может настроить фильтр таким образом, чтобы с данного интерфейса на маршрутизатор ISP допускался только трафик, поступающий с адреса 15.1.1.0/24. Заметим, что до тех пор, пока все провайдеры не внедрят этот тип фильтрации, его эффективность будет намного ниже возможной. Кроме того, чем дальше от фильтруемых устройств, тем труднее проводить точную фильтрацию. Так, например, фильтрация RFC 2827 на уровне маршрутизатора доступа требует пропуска всего графика с главного сетевого адреса (10.0.0.0/8), тогда как на уровне распределения (в данной архитектуре) можно ограничить трафик более точно (адрес - 10.1.5.0/24).
Наиболее эффективный метод борьбы с IP-спуфингом тот же, что и в случае со сниффингом пакетов: необходимо сделать атаку абсолютно неэффективной. IP-спуфинг может функционировать только при условии, что аутентификация происходит на базе IP-адресов. Поэтому внедрение дополнительных методов аутентификации делает этот вид атак бесполезными. Лучшим видом дополнительной аутентификации является криптографическая. Если она невозможна, хорошие результаты может дать двухфакторная аутентификация с использованием одноразовых паролей.
Отказ в обслуживании (Denial of Service - DoS) Атаки DoS отличаются от атак других типов. Они не нацелены на получение доступа к вашей сети или на получение из этой сети какой-либо информации. Атака DoS делает вашу сеть недоступной для обычного использования за счет превышения допустимых пределов функционирования сети, операционной системы или приложения. В случае использования некоторых серверных приложений (таких как Web-сервер или FTP-сервер) атаки DoS могут заключаться в том, чтобы занять все соединения, доступные для этих приложений, и держать их в занятом состоянии, не допуская обслуживания обычных пользователей. В ходе атак Во5 могут использоваться обычные Интернет-протоколы, такие как TCP и ICMP (Internet Control Message Protocol). Большинство атак DoS опирается не на программные ошибки или бреши в системе безопасности, а на общие слабости системной архитектуры. Угроза атак типа DoS может снижаться тремя способами:
- Функции анти-спуфинга. Правильная конфигурация функций анти-спуфинга на ваших маршрутизаторах и межсетевых экранах поможет снизить риск DoS. Эти функции, как минимум, должны включать фильтрацию RFC 2827, Если хакер не сможет замаскировать свою истинную личность, он вряд ли решится провести атаку.
- Функции анти-DoS. Правильная конфигурация функций анти-DoS на маршрутизаторах и межсетевых экранах может ограничить эффективность атак. Эти функции часто ограничивают число полуоткрытых каналов в любой момент времени.
- Ограничение объема графика (traffic rate limiting). Организация может попросить провайдера (15Р) ограничить объем графика. Этот тип фильтрации позволяет ограничить объем некритического графика, проходящего по вашей сети. Обычным примером является ограничение объемов графика ICMP, который используется только для диагностических целей. Атаки (D)DoS часто используют ICMP.
Парольные атаки Хакеры могут проводить парольные атаки с помощью целого ряда методов, таких как простой перебор (brute force attack), "троянский конь", IP-спуфинг и сниффинг пакетов. Хотя логин и пароль часто можно получить при помощи IP-спуфинга и сниффинга пакетов, хакеры часто пытаются подобрать пароль и логин, используя для этого многочисленные попытки доступа. Такой подход носит название простого перебора (brute force attack). Часто для такой атаки используется специальная программа, которая пытается получить доступ к ресурсу общего пользования (например, к серверу). Если в результате хакер получает доступ к ресурсам, он получает его на правах обычного пользователя, пароль которого был подобран. Если этот пользователь имеет значительные привилегии доступа, хакер может создать для себя "проход" для будущего доступа, который будет действовать, даже если пользователь изменит свой пароль и логин.
Атаки типа Man-in-the-Middle Для атаки типа Man-in-the-Middle хакеру нужен доступ к пакетам, передаваемым по сети. Такой доступ ко всем пакетам, передаваемым от провайдера в любую другую сеть, может, к примеру, получить сотрудник этого провайдера. Для атак этого типа часто используются снифферы пакетов, транспортные протоколы и протоколы маршрутизации. Атаки проводятся с целью кражи информации, перехвата текущей сессии и получения доступа к частным сетевым ресурсам, для анализа графика и получения информации о сети и ее пользователях, для проведения атак типа DoS, искажения передаваемых данных и ввода несанкционированной информации в сетевые сессии, Эффективно бороться с атаками типа Man-in-the-Middle можно только с помощью криптографии. Если хакер перехватит данные зашифрованной сессии, у него на экране появится не перехваченное сообщение, а бессмысленный набор символов. Заметим, что если хакер получит информацию о криптографической сессии (например, ключ сессии), это может сделать возможной атаку Man-in-the-Middle даже в зашифрованной среде.
Атаки на уровне приложений Атаки на уровне приложений могут проводиться несколькими способами. Самый распространенный из них состоит в использовании хорошо известных слабостей серверного программного обеспечения (sendmail, HTTP, FTP). Используя эти слабости, хакеры могут получить доступ к компьютеру от имени пользователя, работающего с приложением (обычно это бывает не простой пользователь, а привилегированный администратор с правами системного доступа). Сведения об атаках на уровне приложений широко публикуются, чтобы дать возможность администраторам исправить проблему с помощью коррекционных модулей (патчей). Меры, которые можно предпринять, чтобы снизить уязвимость для атак этого типа:
- Читайте лог-файлы операционных систем и сетевые лог-файлы и/или анализируйте их с помощью специальных аналитических приложений.
- Подпишитесь на услуги по рассылке данных о слабых местах прикладных программ: Bugtrad и CERT
- Пользуйтесь самыми свежими версиями операционных систем и приложений и самыми последними коррекционными модулями (патчами).
- Кроме системного администрирования, пользуйтесь системами распознавания атак (IDS).
Сетевая разведка Сетевой разведкой называется сбор информации о сети с помощью общедоступных данных и приложений. При подготовке атаки против какой-либо сети хакер, как правило, пытается получить о ней как можно больше информации.
Злоупотребление доверием Собственно говоря, этот тип действий не является "атакой" или "штурмом". Он представляет собой злонамеренное использование отношений доверия, существующих в сети. Классическим примером такого злоупотребления является ситуация в периферийной части корпоративной сети. В этом сегменте часто располагаются серверы DNS, SMTP и HTTP. Поскольку все они принадлежат к одному и тому же сегменту, взлом одного из них приводит к взлому и всех остальных, так как эти серверы доверяют другим системам своей сети. Другим примером является система, установленная с внешней стороны межсетевого экрана, имеющая отношения доверия с системой, установленной с его внутренней стороны. В случае взлома внешней системы хакер может использовать отношения доверия для проникновения в систему, защищенную межсетевым экраном.
Переадресация портов Переадресация портов представляет собой разновидность злоупотребления доверием, когда взломанный хост используется для передачи через межсетевой экран графика, который в противном случае был бы обязательно отбракован. Представим себе межсетевой экран с тремя интерфейсами, к каждому из которых подключен определенный хост. Внешний хост может подключаться к хосту общего доступа (DMZ), но не к хосту, установленному с внутренней стороны межсетевого экрана. Хост общего доступа может подключаться и к внутреннему, и к внешнему хосту. Если хакер захватит хост общего доступа, он сможет установить на нем программное средство, перенаправляющее трафик с внешнего хоста прямо на внутренний хост. Хотя при этом не нарушается ни одно правило, действующее на экране, внешний хост в результате переадресации получает прямой доступ к защищенному хосту. Примером приложения, которое может предоставить такой доступ, является netcat. Основным способом борьбы с переадресацией портов является использование надежных моделей доверия. Кроме того, помешать хакеру установить на хосте свои программные средства может хост-система IDS (HIDS).
Несанкционированный доступ
Вирусы и приложения типа "троянский конь"
5. Общая схема проведения атаки
1)Разведка
2) – собственно действия направленные на достижения целей атаки: отказ в обслуживании, похищение информации и так далее. Как правило, этот этап достаточно компактен по времени, тем не менее, если целью злоумышленника было, например, неправомочное использование ресурсов, то атака может повторяться и повторяться. Особенно, если взломщик уверен в своей безнаказанности. Редко, когда администратору удается отследить факт проведения атаки, непосредственно в момент ее проведения, однако, если по счастливой случайности, это ему удалось, вполне возможно непосредственно противодействовать взломщику.
3)Заметание следов Грамотный взломщик всегда постарается скрыть следы своего вторжения (особенно если оно было неуспешным) в компьютерную систему. Причем меры по сокрытию принимаются еще до начала атаки. Во многом успех атаки зависит от умения замаскировать сам факт атаки или на крайний случай ее истинные цели.
6. Разведка, способы разведки
Разведка На этой стадии происходит сбор как можно большего количества информации о цели атаки. (версии программного обеспечения, имена, фамилии, даты рождения пользователей и администраторов системы, режим их работы, используемое аппаратное обеспечение и так далее.) Полезным может оказаться навести справки об администраторе системы – будет возможно сделать предположение о его опыте и знаниях. Система содержит большое количество каналов взаимодействия с внешним миром. Основным помощником тут является человеческий фактор. Социальная инженерия Можно дать следующее определение социальной инженерии как способу разведки: социальная инженерия – есть набор действий по получению интересующей информации, основанный на типовых поведенческих реакциях человека, психологических ловушках и изучении побочных результатов деятельности пользователей системы. По умолчанию, практически все версии серверного программного обеспечения, «представляются» при подключении к ним. Таким образом, выполняя простейшее (и вполне легальное) подключение к некоторым «хорошо известным» портам TCP / UDP можно составить достаточно полную картину об используемом программном обеспечении. Вот список наиболее популярных портов, при подключении к которым можно узнать «много интересного»:
TCP 20, TCP 21 - Служба FTP сервера
TCP 22 - Security shell , служба безопасного терминального доступа, применяется для дистанционного управления UNIX серверами
TCP 23 - Служба обычного, незащищенного терминального доступа
TCP 25 - SMTP сервер, наиболее распространенная служба обмена сообщениями электронной почты
TCP 110 - Служба POP 3, предназначена для передачи сообщений электронной почты с сервера на клиентские места
TCP 80 - Web сервер
Вот список некоторых портов, которые используют новые службы Windows 2000/ XP : TCP / UDP 445 - Основной порт службы Directory Service , через который осуществляется управления и взаимодействие. Примером того, как программное обеспечение может оставлять отпечатки на информации, проходящей «сквозь» него, могут служить сообщения электронной почты. Из заголовка сообщения электронной почты можно сделать следующие выводы:
1. Можно узнать IP адрес почтового сервера отправителя
2. Можно узнать IP адрес машины отправителя
3. Можно узнать версии программного обеспечения сервера отправителя
4. Можно узнать версию почтового клиента отправителя
С помощью программы nslookup – штатного средства проверки корректности настроек серверов DNS , можно получить список адресов компьютеров внутри сети предприятия, на основании которого можно сделать определенные выводы о структуре сети.
Цели разведки: 1. Определить потенциальные «точки входа» в информационную систему. 2. Определить оптимальное время и способ проведения атаки. 3. Определить средства и вероятность достижения атаки. Как уже говорилось раньше, в ходе реализации атаки, разведка помогает злоумышленнику скорректировать действия, поэтому тут задачи разведки немного меняются: 1. Наиболее полно определить тип, версии и настройки работающего программного обеспечения. 2. Вовремя обнаружить «колпак» над собой 3. «Сориентироваться» в информационной системе и найти искомую информацию или другую цель вторжения.
7. Атака «Отказ в обслуживании ( DoS , DDos )»
Отказ в обслуживании (Denial of Service - DoS)
DoS, без всякого сомнения, является наиболее известной формой хакерских атак. Кроме того, против атак такого типа труднее всего создать стопроцентную защиту. Атаки DoS отличаются от атак других типов. Они не нацелены на получение доступа к вашей сети или на получение из этой сети какой-либо информации. Атака DoS делает вашу сеть недоступной для обычного использования за счет превышения допустимых пределов функционирования сети, операционной системы или приложения. В случае использования некоторых серверных приложений (таких как Web-сервер или FTP-сервер) атаки DoS могут заключаться в том, чтобы занять все соединения, доступные для этих приложений, и держать их в занятом состоянии, не допуская обслуживания обычных пользователей. В ходе атак DoS могут использоваться обычные Интернет-протоколы, такие как TCP и ICMP (Internet Control Message Protocol). Когда атака этого типа проводится одновременно через множество устройств, мы говорим о распределенной атаке DoS (DDoS - distributed DoS). Угроза атак типа DoS может снижаться тремя способами:
- Функции анти-спуфинга. Правильная конфигурация функций анти-спуфинга на ваших маршрутизаторах и межсетевых экранах поможет снизить риск DoS. Эти функции, как минимум, должны включать фильтрацию RFC 2827, Если хакер не сможет замаскировать свою истинную личность, он вряд ли решится провести атаку.
- Функции анти-DoS. Правильная конфигурация функций анти-DoS на маршрутизаторах и межсетевых экранах может ограничить эффективность атак. Эти функции часто ограничивают число полуоткрытых каналов в любой момент времени.
- Ограничение объема графика (traffic rate limiting). Организация может попросить провайдера (15Р) ограничить объем графика. Этот тип фильтрации позволяет ограничить объем некритического графика, проходящего по вашей сети. Обычным примером является ограничение объемов графика ICMP, который используется только для диагностических целей. Атаки (D)DoS часто используют ICMP. Данный способ атаки может заключаться в следующем: 1. Превышение «разумного» размера передаваемых данных 2. Противоречие передаваемых данных 3. Передача данных на вход в «неподходящий» момент
Для реализации первого способа используется ситуация переполнения буфера (стека), заключается она в особенностях механизма вызова процедур или распределения памяти. Например, при распределении памяти блок данных может оказаться рядом с блоком кода. Использование логически противоречивых данных может привести не только к «падению» системы, но и к бессмысленному ее функционированию, что отнимает значительные ресурсы от полезной работы. Изменение заголовка пакета.
Вторая разновидность этой типовой удаленной атаки состоит в передаче с одного адреса такого количества запросов на атакуемый объект, какое позволит трафик (направленный "шторм" запросов). В этом случае, если в системе не предусмотрены правила, ограничивающие число принимаемых запросов с одного объекта (адреса) в единицу времени, то результатом этой атаки может являться как переполнение очереди запросов и отказа одной из телекоммуникационных служб, так и полная остановка компьютера из-за невозможности системы заниматься ничем другим, кроме обработки запросов. И последней, третьей разновидностью атаки "Отказ в обслуживании" является передача на атакуемый объект некорректного, специально подобранного запроса. В этом случае при наличии ошибок в удаленной системе возможно зацикливание процедуры обработки запроса, переполнение буфера с последующим зависанием системы
8. Атака НСД (дезинформация, хищение, модификация).
Несанкционированный доступ (НСД) – второй по популярности вид угрозы, заключается в неправомочном использовании системы или получении секретной информации. Дезинформация – это умышленная подмена информации поступающей, хранящейся или выдаваемой системой в ответ на запросы пользователя.
1. Перехват ключей, паролей, трафика (Пример атаки 1. глушим днс. 2. отвечаем на запросы ДНС.3 Транслируем запросы к серверу)
2. Подделка IP , MAC или ИД беспроводной сети обратного адреса почты, ICQ и так далее. Результаты высоко интеллектуального анализа, как правило, существенно влияют на стратегию развития предприятия и в случае их искажения могут привести к весьма плачевному итогу. Данные для анализа, зачастую не только хранятся внутри самой системы, но и берутся из открытых источников. Результаты анализа тоже попадают заказчику через определенные каналы связи. Подмена на любом из этапов – весьма хитрая и трудно обнаружимая угроза безопасности информационной системы. Ложный объект позволяет не только модифицировать, но и подменять перехваченную им информацию. Если модификация информации приводит к ее частичному искажению, то подмена - к ее полному изменению. При возникновении в сети определенного контролируемого ложным объектом события одному из участников обмена посылается заранее подготовленная дезинформация. При этом такая дезинформация в зависимости от контролируемого события может быть воспри-нята либо как исполняемый код, либо как данные. Рассмотрим пример подобного рода дезинформации. Предположим, что ложный объект контролирует событие, которое состоит в подключении пользователя к серверу. В этом случае он ожидает, например, запуска соответствующей программы входа в систему. В случае, если эта программа находится на сервере, то при ее запуске исполняемый файл передается на рабочую станцию. Вместо того, чтобы выполнить данное действие, ложный объект передает на рабочую станцию код заранее написанной специальной программы - захватчика паролей. Эта программа выполняет визуально те же действия, что и настоящая программа входа в систему, например, запрашивая имя и пароль пользователя, после чего полученные сведения посылаются на ложный объект, а пользователю выводится сообщение об ошибке. При этом пользователь, посчитав, что он неправильно ввел пароль (пароль обычно не отображается на экране) снова запустит программу подключения к системе (на этот раз настоящую) и со второго раза получит доступ. Результат такой атаки - имя и пароль пользователя, сохраненные на ложном объекте. Намеренное введение в заблуждение (приписки)
9. Атака «Модификация информации»
Одной из особенностей любой системы воздействия, построенной по принципу ложного объекта, является то, что она способна модифицировать перехваченную информацию. Следует особо отметить, что это один из способов, позволяющих программно модифицировать поток информации между объектами РВС с другого объекта. Ведь для реализации перехвата информации в сети необязательно атаковать распределенную ВС по схеме "ложный объект" . Эффективней будет атака, осуществляющая анализ сетевого трафика (п. 3.2.1), позволяющая получать все пакеты, проходящие по каналу связи, но, в отличие от удаленной атаки по схеме "ложный объект" , она не способна к модификации информации. Далее рассмотрим два вида модификации информации:
• модификация передаваемых данных;
• модификация передаваемого кода.
Одной из функций, которой может обладать система воздействия, построенная по принципу "ложный объект", является модификация передаваемых данных. В результате селекции потока перехваченной информации и его анализа система может распознавать тип передаваемых файлов (исполняемый или текстовый). Соответственно, в случае обнаружения текстового файла или файла данных появляется возможность модифицировать проходящие через ложный объект данные. Особую угрозу эта функция представляет для сетей обработки конфиденциальной информации. Другим видом модификации может быть модификация передаваемого кода. Ложный объект, проводя семантический анализ проходящей через него информации, может выделять из потока данных исполняемый код. Известный принцип неймановской архитектуры гласит, что не существует различий между данными и командами. Следовательно, для того, чтобы определить, что передается по сети - код или данные, необходимо использовать определенные особенности, свойственные реализации сетевого обмена в конкретной распределенной ВС или некоторые особенности, присущие конкретным типам исполняемых файлов в данной локальной ОС. Представляется возможным выделить два различных по цели вида модификации кода:
• внедрение РПС (разрушающих программных средств);
• изменение логики работы исполняемого файла. В первом случае при внедрении РПС исполняемый файл модифицируется по вирусной технологии: к исполняемому файлу одним из известных способов дописывается тело РПС ,а также одним из известных способов изменяется точка входа так, чтобы она указывала на начало внедренного кода РПС. Описанный способ, в принципе, ничем не отличается от стандартного заражения исполняемого файла вирусом, за исключением того, что файл оказался поражен вирусом или РПС в момент передачи его по сети! Такое возможно лишь при использовании системы воздействия, построенной по принципу "ложный объект" . Конкретный вид РПС, его цели и задачи в данном случае не имеют значения, но можно рассмотреть, например, вариант использования ложного объекта для создания сетевого червя - наиболее сложного на практике удаленного воздействия в сетях, или в качестве РПС использовать сетевые шпионы. Во втором случае происходит модификация исполняемого кода с целью изменения логики его работы. Данное воздействие требует предварительного исследования работы исполняемого файла и, в случае его проведения, может принести самые неожиданные результаты. Например, при запуске на сервере (например, в ОС Novell NetWare) программы идентификации пользователей распределенной базы данных ложный объект может так модифицировать код этой программы, что появится возможность беспарольного входа с наивысшими привилегиями в базу данных.
10. Атака «НИР» (Неправомочное использование ресурсов)
В отличие от НСД, речь идет об использовании вспомогательных ресурсов (каналов связи, например), над которыми, как правило, собственно информационная система контроля не имеет. Помимо прямых убытков (увеличение платы за канал и т.п.) эта угроза может привести и к замедлению работы системы или даже к отказу в обслуживании.

11. Вирусная атака. Классификация вирусов.
Компьютерным вирусом называется специально написанная программа, способная создавать свои копии и внедрять их в файлы, системные области компьютера, вычислительные сети и т. п. При этом копии сохраняют способность дальнейшего распространения. Назначением компьютерного вируса является выполнение несанкционированных действий на несущем компьютере. Компьютерные вирусы этого типа поражают файлы с расширениями СОМ, EXE , SYS , BAT , DLL . При запуске программы, содержащей вирус, происходит запуск внедренного в нее программного кода вируса. Работа этого кода вызывает скрытые от пользователя изменения в файловой системе жестких дисков и (или) в содержании других программ. Вирус может размножаться (воспроизводить себя в теле других программ) и производить разрушающие действия (нарушать работу программ и операционной системы, удалять информацию, хранящуюся на жестком диске, форматировать диск и даже уничтожать данные BIOS ), т. е. производить вирусную атаку. Программные вирусы поступают на компьютер при запуске непроверенных программ, полученных на внешнем носителе (гибкий диск, компакт-диск) или принятых из Интернета. Загрузочные вирусы в отличие от программных поражают определенные системные области магнитных носителей (дискет, жесткого диска). Кроме того, на включенном компьютере они могут временно располагаться в оперативной памяти. Обычно заражение происходит при попытке загрузить компьютер с магнитного носителя (системной дискеты), системная область которого содержит загрузочный вирус. Существуют и файлово-загрузочные вирусы, которые могут поражать как файлы, так и загрузочные сектора. Макровирусы. Эта особая разновидность вирусов поражает документы, выполненные в некоторых прикладных программах, имеющих средства для исполнения так называемых макрокоманд (документы текстового процессора MS Word , табличного процессора MS Excel ). Заражение происходит при открытии документа в окне приложения, если не отключена возможность исполнения макрокоманд.
Классификация вирусов по способу заражения:
а) резидентные - при заражении компьютера оставляют в оперативной памяти свою резидентную часть, которая потом перехватывает обращение операционной системы к объектам заражения и внедряется в них. Эти вирусы находятся в памяти и являются активными до выключения компьютера;
б) нерезидентные - не заражают память компьютера и активны только ограниченное время.
Классификация по деструктивным возможностям:
а) безвредные - никак не влияют на работу компьютерной системы, кроме уменьшения свободной памяти на диске в результате своего распространения;
б) неопасные - вирусы, влияние которых ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и прочими эффектами;
в) опасные — могут привести к серьезным сбоям в работе;
г) очень опасные - приводят к потере программ, уничтожению данных.
Классификация по особенностям алгоритма :
а) компаньон-вирусы создают для ЕХЕ-файлов файлы-спутники, имеющие то же самое имя, но с расширением СОМ. ОС MS DOS первым выполнит СОМ-файл (вирус), а затем запустит и ЕХЕ-файл;
б) вирусы «черви» - вариант компаньон-вирусов. «Черви» не связывают свои копии с какими-то файлами. Они создают свои копии на дисках, никаким образом не изменяя других файлов;
в) паразитические - все вирусы, которые при распространении своих копий обязательно изменяют содержимое дисковых секторов или файлов;
г) «студенческие» - примитивные вирусы, часто нерезидентные и содержащие большое число ошибок;
д) стелс-вирусы - весьма совершенные программы, перехватывают обращение ОС к пораженным файлам или секторам дисков и подставляют вместо себя незараженные участки информации, что затрудняет их обнаружение;
е) полиморфик-вирусы (призраки) - трудно обнаруживаемы, так как не содержат ни одного постоянного участка кода. Достигается этот эффект шифрованием основного тела вируса и модификациями программы-расшифровщика;
ж) макровирусы - используют возможности макроязыка VBA ( Visual Basic for Application );
з) сетевые вирусы (сетевые «черви») — распространяются в компьютерной сети, но не изменяют файлы и сектора на дисках.
Для распространения используют сетевые протоколы и «дыры» в сетевом программном обеспечении. Часто выполняют шпионские действия - кражу паролей, установление удаленного несанкционированного управления зараженным компьютером. Обычные программные и макровирусы также могут распространяться через компьютерные сети, заражая файлы, размещенные на «общих» дисках, на серверах и в сети Интернет. О заражении компьютерным вирусом могут свидетельствовать следующие признаки:
• частые беспричинные «зависания» компьютера;
• замедленная, по сравнению с обычной, загрузка программ;
• изменение размеров файлов;
• уменьшение объема доступной оперативной памяти.
12. Атака «Черный вход»
Оставили программисты для тестового использования Пароль по умолчанию. Создает пользователь или администратор Администратор продажный
13. Психологические атаки
Несмотря на разнообразие поведения человека, некоторые поступки могут быть предсказаны с определенной долей вероятности. Знание психологических мотивов, например, выбора пароля администратором системы, может существенно облегчить задачу взломщика. Вообще, чем более «авторское» исполнение системы защиты, тем более она предсказуема и тем более она уязвима. Кроме того, часто люди, даже очень дисциплинированные и исполнительные, попадают в психологические ловушки: хорошей иллюстрацией может послужить эпидемия вируса « I love you » - мало кто сможет устоять перед соблазном прочитать интимное послание «по ошибке» попавшее ему в руки. Психологическая атака – это метод разнообразного, изменчивого; быстрого, активного; многословного, многозначного; подвижного, пантомимического воздействия на психику человека с целью отключения логического мышления: произведения или неотразимого впечатления, или введения в состояние растерянности, с последующим побуждением человека к нужной реакции.
ЭЛЕМЕНТЫ ПСИ-АТАКИ ОБРАЗЫ ДЕЙСТВИЯ СЛОВА ПОЛОЖЕНИЕ разнообразие быстрота многословие подвижность изменчивость активность многозначность пантомимика Психологическая атака применяется предпринимателями, коммивояжерами, дистрибъюторами; радио- и телеведущими; в процессе презентации, аттраксии и т.д. В основе либерократического стиля-метода руководства - пси-атака.
14. Перехват и криптоанализ
Подслушивание FTP , POP 3 – пароли Можно заставить Windows передавать пароль в открытой форме. Подслушивание HASH . Криптоанализ – расшифровка данных на основе их изучения. Шифрованный трафик. Слабые ключи шифрования. Прямой взлом – распараллеливание усилий Слабые схемы шифрования, пляшущие человечки. Долгоживущий ключ – устаревает и очевиден. Проблемы генерации ключей – возможность предугадать «случайные числа». Проблема вычисления простого числа – их не так уж и много, но сложно вычислить новое. Правило – если данные после шифрования неплохо сжимаются – плохое шифрование. Возможность угадать ключ, зная исходное сообщение.
15. Использование спец.техники
Прослушка излучений
По звуку можно догадаться что печатают
Считывание с «испорченных дискет», со «стертых файлов», до 7 циклов считывание после форматирования/записи
Самый мощный излучатель – монитор. Простейшие средства доступны студенту
Обычные дисководы могут читать склеенные диски

16. Заметание следов, как этап успешной атаки

1. Маскировка источника
Атака с другого сервера
Маскировка маршрута
2. Уничтожение журналов
3. Сокрытие одной атаки другой
Обычно после НСД – DoS (в down )
Или маскируют под «злобных хакеров» - поменяют странички, нагадят и убегут

17. Причины возможности реализации атак
Знания видов угроз и их возможных источников еще не достаточно для построения эффективной системы защиты. Необходимо представлять причины принципиальной возможности проведения атаки. Можно выделить четыре основных причины, делающие возможность проведения атаки:
3.1. Ошибки в программном обеспечении Справедлива следующая аксиома: в любом программном продукте содержатся ошибки. Следствие: в новой версии программного продукта содержатся новые ошибки. Эти два высказывания справедливы сейчас и будут справедливы всегда, по отношению, как к коммерческому, так и бесплатному программному обеспечению.
3.2. Ошибки конфигурации и планирования систем Любая информационная система представляет собой комплекс, стоящий на более высоком уровне сложности, чем составляющие его элементы. Работоспособность системы в целом определяется не только работоспособностью отдельных элементов, но и слаженностью их взаимодействия. Как правило, конфигурирование всех составляющих ИС производится с учетом особенностей их работы в рамках общего целого. При выполнении настроек неизбежны ошибки и несоответствия, приводящие к возможности внештатных ситуаций. Плохо проведенное планирование системы в целом и недостаточное изучение вопросов совместимости отдельных ее компонент, также является причиной возможности реализации атаки.
3.3. Человеческий фактор Несомненно, человек – пользователь или администратор – играет самую значимую роль в обеспечении защиты информационных систем. Как правило, невозможно не только предотвратить, но даже предусмотреть все возможные варианты поведения пользователя ИС. Тем не менее, нельзя ограничиваться лишь кругом людей, имеющих отношение к информационной системе. Практически любой работник предприятия, даже уборщица, может стать причина реализации атаки. Следует особо выделить следующие факторы: 3.3.1. Недисциплинированность Любой человек склонен нарушать инструкции и приказы, пусть даже не намеренно. Чем больше инструкций – тем больше шансов, что какая-либо будет нарушена. Лучшее подтверждение этому – инструктажи по технике безопасности и охране труда.
3.3.2. Нелояльность К сожалению, не все работники предприятия довольны своим окладом, начальством и имеют хорошие отношения с сослуживцами. Часто нелояльность работника может быть простимулирована денежным поощрением от недоброжелателей. Нелояльный работник – наиболее частая причина реализации атаки.
3.3.3. Психология Несмотря на разнообразие поведения человека, некоторые поступки могут быть предсказаны с определенной долей вероятности. Знание психологических мотивов, например, выбора пароля администратором системы, может существенно облегчить задачу взломщика. Вообще, чем более «авторское» исполнение системы защиты, тем более она предсказуема и тем более она уязвима. Кроме того, часто люди, даже очень дисциплинированные и исполнительные, попадают в психологические ловушки: хорошей иллюстрацией может послужить эпидемия вируса « I love you » - мало кто сможет устоять перед соблазном прочитать интимное послание «по ошибке» попавшее ему в руки.
3.4. Несанкционированные изменения в информационной системе Эта причина есть следствие первых трех, но, тем не менее, разумно выделить ее отдельным пунктом, для того чтобы заострить на ней внимание. Ни одна информационная система никогда не существует в застывшем, неизменном состоянии. Постоянно идет ее развитие, перенастройка и доработка. Как правило, этим занимается несколько человек, и не один из них не в состоянии полностью удерживать всю картину целиком в голове. Существуют определенные инструкции (которые нарушают), определяющие порядок изменения настроек, внедрения новых модулей, документирования и так далее, охватывающий весь процесс санкционированного развития информационной системы. Но существуют еще «гении-самоучки» - пытливые пользователи, жаждущие применить свои знания на практике. Добавив к этому вирусные атаки, несанкционированно устанавливаемое программного обеспечение развлекательного характера, получаем весьма высокую вероятность того, что реально работающая система несколько отличается от того, что представляет себе администратор или того, что описано в документации. Все это открывает дополнительные возможности для злоумышленника и делает систему менее защищенной перед прочими угрозами.
18. Защита: профилактика разведки и атак.
1. Сканирование систем и сетей
2. Применение обновлений ПО
3. Технология виртуальных частных сетей Профилактика разведки Недоступность информации, бюрократические препоны, уничтожение дискет, бумаги, шаблоны документов на сервере (только для чтения), убрать дискеты там где не надо, недопускать установку пользователями ПО 5.2. Обнаружение разведки
1. Мониторинг входящего и исходящего трафика
2. Мониторинг системы
- Целостность ПО, журналов (Хранить копии журналов , регулярно их читать, обращать внимание на неповторяемость)
- Временные сбои и странное поведение (Скорее всего сигнал ) •
- Действия пользователей (Ограничить набор программ, установка обновлений и компонент только с сервера.)
3. Загрузка системы (profiling) Наблюдение за работой системы, стаднартные средства мониторинга, base - line и отклонения
4. Мониторинг трафика на интенсивность направленность и содержание
Сканеры безопасности (сканеры уязвимостей, security scanners ) В отличие от обычных сканеров, сканеры уязвимостей (безопасности) предназначены не только для определения открытых портов на исследуемом хосте, но и для проведения исследования обнаруженных сервисов на наличие известных уязвимостей. Как правило сканер уязвимостей работает в двух режимах – поиск открытых портов и анализ найденных сервисов на известные уязвимости. Сначала происходит анализ исследуемого хоста, определяются открытые порты, определяются версии сервисов на найденных портах, версия операционной системы. Затем происходит «имитация» атаки на найденные сервисы. При имитации атаки сканер применяет имеющиеся у него шаблоны атак на данные сервисы и анализирует полученный результат. Следует отметить то, что при имитации атаки сканер уязвимостей может вывести сервисы из строя т.к. он их фактически атакует. Однако после удачной атаки сканер уязвимостей не производит никаких враждебных действий на исследуемом хосте. После проведения атак, сканер анализирует полученные результаты и по окончанию своей работы он выдает отчет, в котором говорится, какие сервисы были найдены (версии и названия программ), какие были уязвимости и ссылки на описания найденных уязвимостей и способы их устранения. Как правило, уязвимости в отчете имеют определенную градацию: информационные (из серии «чтоб вы знали что у вас тут есть»), средней опасности и очень опасные. Наибольшую степень опасности имеют уязвимости которые позволяют злоумышленнику получить контроль над атакуемой системой или получить много полезной и важной информации о хосте или провести DoS атаку (отказ в обслуживании. Когда сервис становится недоступным вследствие действий злоумышленника т.о. честные клиенты не могут получить желаемую услугу, что ведет к определенным финансовым потерям и т.п. Как пример: злоумышленник провел DoS атаку, вследствие чего почтовый сервер перестал отсылать и/или принимать почту и поэтому стала невозможной пересылка электронной почты).
Обычные сканеры (сканеры портов) Сканируют хосты и смотрят, какие порты там открыты. Могут определять версию ОС по определенным особенностям работы стека TCP / IP или определенным особенностям свойственным данным ОС (так называемые отпечатки, OS fingerprints ). Данный тип сканеров не может принести никакого вреда исследуемому хосту т.к. он не производит никаких враждебных действий (атаки). В конце работы выдает список открытых портов, список портов которые отфильтровывает файрвол (пакетный фильтр) и, если есть такая возможность, версию ОС. Примеры обычных сканеров: nmap , tcpscan , portscanner . Примеры сканеров безопасности (уязвимостей) ISS scanner , retina , nessus , xspider , languard .
19. Фильтрация трафика. Обзор персональных программных межсетевых экранов Фильтрация трафика
Брандмауэр - это система или комбинация систем, позволяющие разделить сеть на две или более частей и реализовать набор правил, определяющих условия прохождения пакетов из одной части в другую (см рис.1). Как правило, эта граница проводится между локальной сетью предприятия и INTERNET, хотя ее можно провести и внутри локальной сети предприятия. Брандмауэр таким образом пропускает через себя весь трафик. Для каждого проходящего пакета брандмауэр принимает решение пропускать его или отбросить. Для того чтобы брандмауэр мог принимать эти решения, ему необходимо определить набор правил. О том, как эти правила описываются и какие параметры используются при их описании речь пойдет ниже. Многие брандмауэры имеют систему проверки целостности программных кодов. При этом контрольные суммы программных кодов хранятся в защищенном месте и сравниваются при старте программы во избежание подмены программного обеспечения. Все брандмауэры можно разделить на три типа:
• Пакетные фильтры (Packet filter)
• Серверы прикладного уровня (Application gateways)
• Сервера уровня соединения (circuit gayeways)
Все типы могут одновременно встретиться в одном брандмауэре.
Системы сбора статистики и предупреждения об атаке Информация обо всех событиях - отказах, входящих, выходящих соединениях, числе переданных байт, использовавшихся сервисах, времени соединения и т.д. - накапливается в файлах статистики. Многие брандмауэры позволяют гибко определять подлежащие протоколированию события, описать действия брандмауэра при атаках или попытках несанкционированного доступа - это может быть сообщение на консоль, почтовое послание администратору системы и т.д. В состав многих брандмауэров входят генераторы отчетов, служащие для обработки статистики.
Защита от уязвимых мест в службах Брандмауэр может значительно повысить сетевую безопасность и уменьшить риски для хостов в подсети путем фильтрации небезопасных служб. В результате подсеть будет подвергаться гораздо меньшему числу опасностей, так как только через брандмауэр смогут пройти только безопасные протоколы. Например, брандмауэр может запретить, чтобы такие уязвимые службы, как NFS, не использовались за пределами этой подсети. Это позволяет защититься от использования этих служб посторонними атакующими, но продолжать использовать их внутри сети, не подвергаясь особой опасности. Поэтому можно будет спокойно использовать такие удобные службы, как NFS и NIS, специально разработанные для уменьшения затрат на администрирование в локальной сети. Брандмауэры также могут обеспечить защиту от атак с использованием маршрутизации, таких как маршрутизация источника и попыток изменить маршруты передачи данных с помощью команд перенаправления ICMP. Брандмауэр может заблокировать все пакеты с маршрутизацией источника и перенаправленя ICMP, а затем информировать администраторов об инцидентах.
Управляемый доступ к систем сети Брандмауэр также предоставляет возможности по управлению доступом к хостам сети. Например, некоторые хосты могут быть сделаны достижимыми из внешних сетей, в то время как доступ к другим системам извне будет запрещен. Сеть может запретить доступ к своим хостам извне, за исключением особых случаев, таких как почтовые сервера или информационные сервера. Эти свойства брандмауэров требуются при политике управления доступом, построенной по принципу: не предоставлять доступ к хостам или службам, к которым доступ не требуется. Другими словами, зачем давать доступ к хостам и службам, которые могут использоваться атакующими, когда на самом деле он не нужен или не требуется? Если, например, пользователю не нужно, чтобы кто-то в сети мог получить доступ к его рабочей станции, то брандмауэр как раз и может реализовать этот вид политики.
Концентрированная безопасность Брандмауэр может на самом деле оказаться недорогим для организации из-за того, что большинство или все изменения в программах и дополнительные программы по безопасности будут установлены на системе брандмауэра, а не распределены по большому числу хостов. В частности, системы одноразовых паролей и другие дополнительные программы усиленной аутентификации могут быть установлены только на брандмауэре, а не на каждой системе, которой нужно обращаться к Интернету.
Повышенная конфиденциальность Конфиденциальность очень важна для некоторых организаций, так как то, что обычно считается безобидной информацией, может на самом деле содержать полезные подсказки для атакующего. Используя брандмауэр, некоторые сети могут заблокировать такие службы, как finger и доменную службу имен. finger дает информацию о пользователях, такую как время последнего сеанса, читалась ли почта, и другие данные. Но finger может дать атакующему информацию о том, как часто используется система, работают ли сейчас в этой системе пользователи, и может ли быть система атакована, не привлекая при этом внимания. Брандмауэры также могут быть использованы для блокирования информации DNS о системах сети, поэтому имена и IP-адреса хостов в сети не станут известны хостам в Интернете. Некоторые организации уже убедились в том, что блокируя эту информацию, они скрывают ту информацию, которая была бы полезна для атакующего.
Протоколирование и статистика использования сети и попыток проникновения Если все доступ к Интернету и из Интернета осуществляется через брандмауэр, то брандмауэр может протоколировать доступ и предоставить статистику об использовании сети. При правильно настроенной системе сигналов о подозрительных событиях (alarm), брандмауэр может дать детальную информацию о том, были ли брандмауэр или сеть атакованы или зондированы. Важно собирать статистику использования сети и доказательства зондирования по ряду причин. Прежде всего нужно знать наверняка, что брандмауэр устойчив к зондированию и атакам, и определить, адекватны ли меры защиты брандмауэра. Кроме того, статистика использования сети важна в качестве исходных данных при проведении исследований для формулирования требований к сетевому оборудованию и программам и анализе риска.
Проблемы, возникающие из-за брандмауэров
1. Ограничение в доступе к нужным службам
2. Большое количество остающихся уязвимых мест Брандмауэры не защищают от черных входов(люков) в сети.
3. Плохая защита от атак своих сотрудников
4. Другие проблемы С брандмауэром также связан ряд других проблем:
WWW, gopher - новые информационные сервера и клиенты, такие как WWW, gopher, WAIS и ряд других не рассчитаны на совместную работу с брандмауэром, и из-за их новизны вообще достаточно рискованны.
MBONE - групповые передачи с помощью IP(MBONE), содержащие речь и изображение, инкапсулируются в других пакетах; брандмауэры обычно пропускают эти пакеты, не проверяя их содержимое. Передачи типа MBONE представляют потенциальную угрозу, если пакеты содержат команды, изменяющие параметры работы средств защиты и позволяющие злоумышленникам получить доступ.
Вирусы - брандмауэры не защищают от пользователей, загружающих программы для ПЭВМ, зараженные вирусами, из Интернетовских архивов или передачи таких программ в качестве приложений к письму. Так как эти программы могут быть закодированы или сжаты большим числом способов, брандмауэр не может сканировать такие программы на предмет обнаружения сигнатур вирусов.
Пропускная способность - брандмауэры являются потенциально узким местом, так как все соединения должны проходить через брандмауэр и, в некоторых случаях, изучаться брандмауэром. Тем не менее, сегодня это не является проблемой, так как брандмауэры могут обрабатывать данные со скоростями 1.5 Мбита/с, а большинство сетей, подключенных к Интернету, имеют подключение со скоростью меньшей или равной этой.

20. Защита информации в операционных системах
Надежность и отказоустойчивость . Система должна быть защищена как от внутренних, так и от внешних ошибок, сбоев и отказов. Её действия должны быть всегда предсказуемыми, а приложения не должны быть в состоянии наносить вред ОС.
Безопасность . В дополнение к стандарту POSIX правительство США также определило требования компьютерной безопасности для приложений, используемых правительством. Многие из этих требований являются желаемыми свойствами для любой многопользовательской системы. Правила безопасности определяют такие свойства, как защита ресурсов одного пользователя от других и установление квот по ресурсам для предотвращения захвата одним пользователем всех системных ресурсов (таких как память). Обеспечение защиты информации от несанкционированного доступа является обязательной функцией сетевых операционных систем. В большинстве популярных систем гарантируется степень безопасности данных, соответствующая уровню С2 в системе стандартов США. Основы стандартов в области безопасности были заложены «Критериями оценки надежных компьютерных систем». Этот документ, изданный в США в 1983 году национальным центром компьютерной безопасности (NCSC – National Computer Security Center ), часто называют Оранжевой Книгой. В соответствии с требованиями Оранжевой книги безопасной считается такая система, которая «посредством специальных механизмов защиты контролирует доступ к информации таким образом, что только имеющие соответствующие полномочия лица или процессы, выполняющиеся от их имени, могут получить доступ на чтение, запись, создание или удаление информации». Иерархия уровней безопасности, приведенная в Оранжевой Книге, помечает низший уровень безопасности как D, а высший – как А. В класс D попадают системы, оценка которых выявила их несоответствие требованиям всех других классов. Основными свойствами, характерными для С-систем, являются: наличие подсистемы учета событий, связанных с безопасностью, и избирательный контроль доступа. Уровень С делится на 2 подуровня: уровень С1, обеспечивающий защиту данных от ошибок пользователей, но не от действий злоумышленников, и более строгий уровень С2. На уровне С2 должны присутствовать средства секретного входа, обеспечивающие идентификацию пользователей путем ввода уникального имени и пароля перед тем, как им будет разрешен доступ к системе. Избирательный контроль доступа, требуемый на этом уровне позволяет владельцу ресурса определить, кто имеет доступ к ресурсу и что он может с ним делать. Владелец делает это путем предоставляемых прав доступа пользователю или группе пользователей. Средства учета и наблюдения (auditing) – обеспечивают возможность обнаружить и зафиксировать важные события, связанные с безопасностью, или любые попытки создать, получить доступ или удалить системные ресурсы. Защита памяти – заключается в том, что память инициализируется перед тем, как повторно используется. На этом уровне система не защищена от ошибок пользователя, но поведение его может быть проконтролировано по записям в журнале, оставленным средствами наблюдения и аудитинга. Системы уровня В основаны на помеченных данных и распределении пользователей по категориям, то есть реализуют мандатный контроль доступа. Каждому пользователю присваивается рейтинг защиты, и он может получать доступ к данным только в соответствии с этим рейтингом. Этот уровень в отличие от уровня С защищает систему от ошибочного поведения пользователя. Уровень А является самым высоким уровнем безопасности, он требует в дополнение ко всем требованиям уровня В выполнения формального, математически обоснованного доказательства соответствия системы требованиям безопасности. Различные коммерческие структуры (например, банки) особо выделяют необходимость учетной службы, аналогичной той, что предлагают государственные рекомендации С2. Любая деятельность, связанная с безопасностью, может быть отслежена и тем самым учтена. Это как раз то, что требует С2 и то, что обычно нужно банкам. Однако, коммерческие пользователи, как правило, не хотят расплачиваться производительностью за повышенный уровень безопасности. А-уровень безопасности занимает своими управляющими механизмами до 90% процессорного времени. Более безопасные системы не только снижают эффективность, но и существенно ограничивают число доступных прикладных пакетов, которые соответствующим образом могут выполняться в подобной системе. Например, для ОС Solaris (версия UNIX) есть несколько тысяч приложений, а для ее аналога В-уровня – только сотня.

21. Методы взлома и защиты электронной почты.
Особенности электронной почты как сетевого сервиса. Характерная особенность электронной почты (ЭП) в том, что ее работа основана на двух прикладных протоколах. Соответственно работа ЭП обеспечена двумя серверами: сервером исходящих сообщений и сервером входящих сообщений. Необходимость в наличии двух разных протоколов связана с требованиями безопасности. При отправке сообщений обычно не нужна строгая процедура идентификации отправителя. Служба исходящих сообщений основана на протоколе SMTP (простейший протокол передачи почты). Для получения сообщения клиент должен предъявить определенные права. Наиболее распространенным протоколом этой службы является РОРЗ (протокол почтового отделения, версия 3). Обычная ЭП, основанная на протоколах SMTP и РОРЗ, называется e - mail . В последние годы получила развитие другая система ЭП сети Интернет, основанная на службе WWW и называющаяся web - mail . Это не самостоятельная служба, а сервис, реализованный средствами службы WWW на основе протокола HTTP . Co стороны сети Интернет этот сервис поддерживается web-серверами, а на клиентской стороне для работы с ним достаточно иметь обычный web-браузер. К отдельным сообщениям ЭП принято подходить как к записям базы данных (БД). В этом смысле «почтовый ящик» РОРЗ представляет собой удаленную БД, а сообщения, принятые на компьютер, образуют локальную БД. Прием и отправка сообщений эквивалентны операциям копирования записей из одной базы данных в другую. Сообщение, как и любая запись БД, имеет поля (например, адрес получателя, тема сообщения и др.) С содержимым отдельных полей можно работать порознь. Эта особенность сообщений ЭП активно используется почтовыми клиентами. Сообщение ЭП состоит из двух больших разделов: заголовка и тела сообщения. Тело сообщения представляет собой текстовый фрагмент в ACSII-кодах и не может представлять угрозы безопасности (например, содержать вирусы). Механизм почтовых вложений позволяет пересылать вместе с текстовыми сообщениями документы нетекстовой природы. Поле с информацией о наличии вложенного файла содержится в заголовке сообщения. В большинстве почтовых систем сообщение, содержащее вложение, помечается значком скрепки.
Угрозы безопасности при работе с ЭП. При работе с ЭП выделяют следующие угрозы и уязвимости: • угроза нарушения конфиденциальности информации; • отказ в обслуживании; • заражение компьютерным вирусом. Во избежание утечки конфиденциальной информации в почтовом обмене используются криптографические методы. Отказ в обслуживании наступает в случае целенаправленного вывода из строя почтового сервера адресата, например в результате переполнения поступающими сообщениями (почтовой бомбардировки). Почтовая бомбардировка - это целенаправленная злонамеренная акция по переполнению «почтового ящика» жертвы путем массовой отправки незатребованной корреспонденции. Рассылка незатребованной информации называется спамом. В качестве меры противодействия рекомендуется: • использование почтовых клиентов, способных анализировать поступающие сообщения на сервере без загрузки их на компьютер пользователя (фильтры и почтовые правила); • не следует широко публиковать свой адрес ЭП. При необходимости публикации своего адреса открывают учетную запись в одной из бесплатных служб web - mail и используют ее в качестве временной. При передаче своего адреса по сети следует иметь в виду, что существуют автоматические программные средства, занимаю¬щиеся просмотром файлов любых типов в поисках имеющихся в них адресов e - mail . Обычно эти средства разыскивают в документах сим¬вол @. Поэтому рекомендуется его заменять каким-либо другим символом, понятным человеку: например, вместо: myname@abcd.com - myname#abcd.com. Еще надежнее метод, когда вместо имени адресата используется стандартный шаблон, например NOSPAM : nospammyname # abcd . com Через механизм ЭП можно получить как классические, так и особые «почтовые» вирусы. Классические вирусы распространяются в виде исполнимых файлов, вложенных в сообщения ЭП. Механизм работы «почтовых» вирусов основан на эксплуатации уязвимостей, имеющихся в отдельных почтовых программах (напри¬мер, Outlook Express ). Для срабатывания почтового вируса даже не требуется запускать на исполнение файл-вложение, достаточно про¬сто открыть сообщение.

22. Антивирусная защита. Виды антивирусных программ.
Средства и методы антивирусной защиты Существует три рубежа защиты от компьютерных вирусов:
• предотвращение поступления вирусов;
• предотвращение вирусной атаки, если вирус все-таки поступил на компьютер;
• предотвращение разрушительных последствий, если атака все-таки произошла. Существует три типа реализации защиты:
• программные методы защиты;
• аппаратные методы защиты;
• организационные методы защиты.
К средствам антивирусной защиты относятся:
• резервное копирование данных;
• использование средств аппаратной защиты;
• использование антивирусных программ.
К другим организационным мерам защиты от вирусов относится соблюдение следующих правил:
• использование только лицензионного программного обеспечения, полученного из надежных источников;
• ограничение круга лиц, имеющих доступ к компьютеру;
• соблюдение правил безопасности при работе в сети Интернет;
• обязательная проверка дискет с помощью антивирусной программы перед использованием;
• периодическое сканирование жесткого диска с помощью антивирусной программы;
• своевременное регулярное обновление антивирусных баз.
Вспомогательными средствами защиты информации являются антивирусные программы и средства аппаратной защиты.
Типы антивирусных программ
По назначению выделяют следующие виды антивирусных программ:
• сканеры;
• ревизоры;
• резидентные мониторы;
• иммунизаторы.
Принцип работы сканеров основан на проверке файлов, секторов и системной памяти и поиске в них известных и новых вирусов. Для поиска известных вирусов используются маски вируса (маска - некоторая постоянная последовательность кода, специфичная для конкретного вируса). Существуют две категории сканеров: универсальные (на все виды вирусов) и специализированные (на определенный тип вирусов, например, макровирусов). Достоинством сканеров является их универсальность, недостатком - большие размеры антивирусных баз и небольшая скорость поиска вирусов.
Работа ревизоров диска базируется на подсчете контрольных сумм для имеющихся файлов и системных секторов. Эти суммы (длины файлов, даты последней модификации и т. д.) сохраняются в базе данных антивируса. При последующем запуске антивирусная программа сверяет данные, содержащиеся в базе, с реальными и сигнализирует об изменении файлов или заражении их вирусом. Недостатками являются:
а) неспособность поймать вирус в момент его появления в системе;
б) невозможность определить вирус в новых файлах (в электронной почте, на дискете).
Резидентные мониторы - программы, постоянно находящиеся в оперативной памяти и контролирующие операции, которые производятся с диском и оперативной памятью. Позволяют обнаруживать вирус до момента реального заражения системы. Недостатком является уменьшение размера свободной оперативной памяти, а также замедление работы, поскольку мониторы работают в интерактивном режиме, сообщая пользователю о зараженных объектах.
Иммунизаторы делятся на два типа:
1) иммунизаторы, сообщающие о заражении;
2) иммунизаторы, блокирующие заражение каким-либо типом вируса. Первые из них обычно записываются в конец файлов (по принципу файлового вируса) и при запуске файла каждый раз проверяют его на изменение. Недостаток: невозможность сообщить о заражении стелс-вирусом. Иммунизаторы второго типа защищают систему от заражения каким-либо определенным типом вируса. Файлы на дисках модифицируются таким образом, что вирус принимает их за уже зараженные. Для защиты от резидентного вируса в память компьютера заносится программа, имитирующая копию вируса. При запуске вирус натыкается на нее и считает, что система уже заражена. Такой тип иммунизации не универсален, однако может служить дополнительной мерой защиты от новых неизвестных вирусов. Современные антивирусные программы, как правило, снабжены мощными эвристическими механизмами для борьбы с еще неизвестными вирусами. Работа таких механизмов основана на том, что по характерным для вирусов участков кода можно с определенной степенью вероятности утверждать о наличии неизвестного программе вируса в объекте. Этот механизм может давать ложные срабатывания (детектирование вируса в незараженном объекте), однако для качественной эвристики их процент минимален.

23. Защита СУБД, 30. Криптография и удостоверение подлинности, средства идентификации.
Для СУБД важны три основных аспекта информационной безопасности - конфиденциальность, целостность и доступность.
1 . Некоторые термины
Конфиденциальная информация (sensitive information) – информация, которая требует защиты. Доступ к информации (access to information) – ознакомление с информацией, ее обработка (в частности, копирование), модификация, уничтожение. Идентификация (identification) – присвоение объектам и субъектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов. Аутентификация (authentification) – проверка принадлежности субъекту доступа предъявленного им идентификатора, подтверждение подлинности.
2 Пользователи СУБД Пользователей СУБД можно разделить на три группы: Прикладные программисты - отвечают за создание программ, использующих базу данных. В смысле защиты данных программист может быть как пользователем, имеющим привилегии создания объектов данных и манипулирования ими, так и пользователем, имеющим привилегии только манипулирования данными. Конечные пользователи базы данных - работают с БД непосредственно через терминал или рабочую станцию. Как правило, конечные пользователи имеют строго ограниченный набор привилегий манипулирования данными. Этот набор может определяться при конфигурировании интерфейса конечного пользователя и не изменяться. Политику безопасности в данном случае определяет администратор безопасности или администратор базы данных (если это одно и то же должностное лицо).
3 Дискреционная защита. Дискреционное управление доступам (discretionary access control) — разграничение доступа между поименованными субъектами и поименованными объектами. Субъект с определенным правом доступа может передать это право любому другому субъекту. Логическая защита в СУБД представляет собой набор привилегий или ролей по отношению к защищаемому объекту.
4 Мандатная защита Средства мандатной защиты предоставляются специальными (trusted) версиями СУБД. Мандатное управление доступом (mandatory access control) — это разграничение доступа субъектов к объектам данных, основанное на характеризуемой меткой конфиденциальности информации, которая содержится в объектах, и на официальном разрешении (допуске) субъектов обращаться к информации такого уровня конфиденциальности.

Аутентификация «Человек – компьютер» Эта схема используется для идентификации пользователя компьютерной системы с целью предоставления или не предоставления ему сервисов. Выделяют следующие методы аутентификации пользователей:
- статические и одноразовые пароли;
- биометрия – метод автоматизированного распознавания человека по его уникальным физиологическим или поведенческим характеристикам. Вариантов биометрических методов более 600, среди них можно выделить следующие: - по отпечаткам пальцев; - по сетчатке глаза – метод идентификации по рисунку кровеносных сосудов глазного дна; - по радужной оболочке глаза. - по форме; - другие методы статической биометрии, включая идентификацию по запаху, по ДНК и др.; - по голосу.
Переносные аутентификаторы, или токены : - асинхронные – пользователь вводит строку в устройство, получает ответ и вводит его в компьютер; - PIN/асинхронные – асинхронный метод дополняется вводом PIN-кода в устройство; - синхронные – например, токен синхронизирован по времени с сервером и генерирует для данного пользователя в данную минуту пароль, который уже и вводится в систему; - PIN/синхронные. Смарт-карты – это устройства, похожие на переносные аутентификаторы, но более сложные по своему составу.
Аутентификация «компьютер – компьютер» Данный тип связан с взаимной аутентификацией компьютеров в сети.
Аутентификация «Человек – Человек» Такой способ аутентификации применяется для распознавания личности при взаимодействии пользователей. Основными технологиями здесь являются цифровые подписи и протокол Kerberos версии 5 KDC (Key Distribution Center). Kerberos использует схему доверительного центра. Все участники, включая пользователей, клиентские и серверные программы, аутентифицируют друг друга с помощью доверительного центра.

25. Шифрование с симметричным ключом, обзор.
Исторически сложилось так, что системы шифрования являются системами на симметричных (секретных) ключах . Система шифрования на симметричном ключе использует один и тот же ключ как для зашифровки, так и для расшифровки данных. Когда римляне отправляли сообщения, зашифрованные посредством смещения алфавита, ключом была величина смещения и его направление. Используя эту информацию, получатель мог расшифровать сообщение посредством сдвига букв сообщения в обратном направлении для размещения их на исходных местах. В такой системе ключом являлось число (меньшее, чем число букв в римском алфавите) и направление (влево или вправо). Недостатком данной системы шифрования было то, что легко угадывался ключ и раскрывался текст сообщения. Современные компьютеризированные системы шифрования позволяют использовать очень длинные ключи. Если стороннее лицо узнает алгоритм шифрования, то для угадывания ключа длиной 128 бит понадобится очень много времени, даже при использовании компьютеризированных методов, так как количество возможных комбинаций равно 3, 4 x 10 38 . Поэтому шифры, используемые в промышленности и в государственных стандартах безопасности, открыты для всеобщего доступа и хорошо известны. Это может показаться слишком легкомысленным, однако открытое распространение шифров, на самом деле, предназначено для повышения их защищенности, так как многие специалисты в области шифрования имеют возможность оценки, дополнения и совершенствования шифров. Примерами хорошо известных систем шифрования, алгоритмы которых доступны любому желающему, являются DES , Triple DES и новый стандарт AES . Некоторые коммерческие симметричные алгоритмы, такие как RC4, сделаны общедоступными для повышения надежности посредством проверки алгоритмов пользователями. Ниже приведен перечень современных симметричных шифров.
• DES – стандарт шифрования (Data Encryption Standard), используемый правительством США.
• Skipjack – секретный алгоритм симметричного ключа, применяемый в оборудовании, совместимом с FORTEZZA (применяется в правительстве США).
• Triple- DES – стандарт DES , применяемый трижды (для повышения сложности взлома).
• RC2, RC4, RC5 и RC6 – эти коммерческие шифры создаются и лицензируются компанией RSA Security, Inc. Microsoft использует RC4 по умолчанию в протоколах PPTP и L2TP, SSL/ TLS и при поддержке протокола IPSec (можно изменить в системном реестре).
• AES – стандарт AES является новым федеральным стандартом обработки информации, который применяется для определения криптографического алгоритма в организациях правительства США для защиты важной (секретной) информации.
Важно . Стандарт DES разработан в начале 1970-х годов. Он десятилетиями использовался для шифрования финансовых транзакций между банками и финансовыми институтами. Сейчас этот стандарт устарел, так как длина его ключа ограничена 56 битами. Новые стандарты не имеют этого ограничения. Используя мощь современных микропроцессоров, 56-битный ключ DES может быть взломан за несколько часов, в то время как на взлом 128-битного ключа потребуются многие месяцы работы самых мощных компьютеров. Вывод: не следует использовать алгоритмы шифрования с ключами, длина которых меньше 128 бит. Преимущество шифрования на симметричном ключе заключается в быстрой и эффективной работе, что делает его подходящим для приложений, требующих шифрования в реальном времени, в отличие от других методов, отрицательно влияющих на производительность систем. Недостатком шифрования с использованием симметричного ключа является то, что ключи должны согласовываться между отправителем и получателем заранее, т.е. им необходимо договориться о ключах. При обмене ключами нужно соблюдать особые меры предосторожности, так как если ключи станут известны третьему лицу, то он легко расшифрует текст. Если количество получателей текста невелико, этот процесс можно осуществить с относительной легкостью, но при увеличении числа получателей его сложность возрастает в геометрической прогрессии. Следовательно, несмотря на возможность автоматизации, обмен ключами является очень ответственным процессом на веб-сайтах, с которыми работает большое число клиентов.
26. Шифрование с несимметричными ключами, обзор.
В 1970-х годах появилась новая система шифрования, называемая шифрованием на ассиметричном (открытом) ключе . Она называется ассиметричной, потому что не требует использования идентичных ключей отправителем и получателем шифрованного сообщения. Она является системой с открытым ключом, так как один из ключей не содержится в секрете. Давайте остановимся на этом поподробнее. Шифрование на открытом ключе использует два различных ключа, составляющих пару, но не идентичных. В шифровании с симметричным ключом каждый ключ является уникальным. Пара ключей открытый/секретный работает сообща: один ключ предназначен для шифрования данных, а другой – для расшифровки, и наоборот. Секретный ключ должен содержаться в секретности в целях безопасности, а открытый ключ может передаваться по небезопасному соединению без угрозы для системы. Следовательно, система шифрования на открытом ключе решает одну из главных проблем старых систем шифрования, заключающуюся в безопасном способе передачи ключа шифрования другой стороне. Как правило, открытые ключи используются только для зашифровки данных. Расшифровать их сможет только тот пользователь, чей компьютер содержит соответствующий секретный ключ. Эта система построена на математических принципах, используемых в шифрах с открытыми ключами и обеспечивающих существование одного и только одного уникального секретного ключа, соответствующего уникальному открытому ключу. Следовательно, если выполняется шифрование данных пользователя на общем ключе, можете быть уверены, что только пользователь, владеющий второй, секретной, половиной ключа, сможет их расшифровать. Первым коммерческим алгоритмом шифрования на открытом ключе был алгоритм RSA (сокращение представляет собой первые буквы фамилий трех специалистов, которые разработали шифр и впоследствии создали свою собственную компанию RSA Security, Inc.). Данный алгоритм использовался в Netscape в качестве компонента первой версии SSL (это был единственный шифр, используемый в Netscape), который в итоге фактически стал частью стандарта, когда Netscape открыли SSL для общего пользования. Microsoft изначально использовал шифрование RSA в операционной системе Windows NT, оно используется и в Windows 2000. Ключи RSA являются основными возможностями шифрования в Windows 2000/IIS.

27. Организационные меры по обеспечению безопасности на предприятии.
К организационным мерам защиты можно отнести организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации системы обработки и передачи данных фирмы или банка с целью обеспечения защиты информации. Организационные мероприятия охватывают все структурные элементы системы защиты на всех этапах их жизненного цикла: строительство помещений, проектирование системы, монтаж и наладка оборудования, испытания и проверка в эксплуатации аппаратуры, оргтехники, средств обработки и передачи данных. Первым шагом в создании эффективной системы защиты фирмы от технического проникновения конкурентов или злоумышленников должна стать оценка основных методов промышленного шпионажа, которыми могут воспользоваться ваши конкуренты, изучение характеристик, имеющихся у них на вооружении средств съема информации с отдельных помещений и технических средств фирмы. Предварительный анализ уязвимости помещений и технических средств фирмы от промышленного шпионажа позволяет сделать вывод о наиболее вероятных методах съема информации, которые может использовать конкурент. Организационные меры защиты должны охватывать все основные пути сохранения информационных ресурсов и включать: - ограничение физического доступа к объектам обработки и хранения информации и реализацию режимных мер; - ограничение возможности перехвата информации вследствие существования физических полей; - ограничение доступа к информационным ресурсам и другим элементам системы обработки данных путем установления правил разграничения доступа, криптографическое закрытие каналов передачи данных, выявление и уничтожение "закладок"; - создание твердых копий важных с точки зрения утраты массивов данных; - проведение профилактических и других мер от внедрения "вирусов". По содержанию все множество организационных мероприятий можно условно разделить на следующие группы. 1) Мероприятия, осуществляемые при создании системы обработки, накопления, хранения и передачи данных заключающиеся в учете требований защиты при: разработке общего проекта системы и ее структурных элементов; строительстве или переоборудовании помещений; разработке математического, программного, информационного или лингвистического обеспечений; монтаже и наладке оборудования; испытаниях и приемке системы. Особое значение на данном этапе придается определению действительных возможностей механизмов защиты, для чего целесообразно осуществить целый комплекс испытаний и проверок. 2) Мероприятия, осуществляемые в процессе эксплуатации систем обработки данных: организация пропускного режима; организация автоматизированной обработки информации; распределение реквизитов разграничения доступа (паролей, полномочий и т.д.); организация ведения протоколов; контроль выполнения требований служебных инструкций и т.п. 3) Мероприятия общего характера: учет требований защиты при подборе и подготовке кадров; организация проверок механизма защиты; планирование всех мероприятий по защите информации; обучение персонала; проведение занятий с привлечением ведущих организаций; участие в семинарах и конференциях по проблемам безопасности информации и т.п. Одна из важнейших организационных мер защиты информации - создание службы безопасности фирмы. Главный принцип работы службы безопасности- предупреждение проблемных ситуаций. Собственно, на этом принципе основано и деление службы безопасности по группам, обеспечивающим безопасность личности ( руководителей, персонала фирмы и членов их семей); защиту материальной базы и коммерческих тайн фирмы. Служба безопасности защищает помещения офисов, оборудование и технику, транспорт, землю, на которой осуществляется производственные или коммерческая деятельность и т.п. Анализирует, кто из конкурентов может заниматься вымогательством и шантажом. Не менее важное значение имеет защита связей с партнерами, экономического положения на рынке. К числу способов защиты экономической базы фирмы относятся аудиторские проверки, заключение сделок по факту поставки товаров и т.п. Предотвращение хищений имущества и ценностей фирмы обеспечивается, помимо работы с персоналом, контролем и защитой от несанкционированного проникновения в помещение, к грузам, ценностям, носителям информации. В связи с тем, что до 80 % случаев утечки информации и утраты документов совершается по вине персонала, служба безопасности (СБ) самым внимательным образом проводит работу по подбору и проверке сотрудников , обучает их работе с секретной информацией. СБ может иметь открытую и закрытую области деятельности. Работа открытого характера связана с поддержанием официальных контактов с представителями других предприятий, прессой, персоналом фирмы. Закрытая деятельность обычно не афишируется. Это, как правило, скрытая проверка персонала, выполнение различных конфиденциальных поручений руководства фирмы.
29. Защита от форс-мажор факторов.
1. Дублирование
2. Архивирование информации
3. Распределенные системы
30. Криптография и удостоверение подлинности, средства идентификации.
Основные вопросы информационной безопасности:
- какие именно ресурсы требуют защиты;
- кто, с помощью каких средств и на каком уровне имеет доступ к защищаемым ресурсам;
- как выстроена политика безопасности и что следует предпринимать в случаях ее нарушения.
Как видно, корнем этих вопросов являются понятия идентификации и аутентификации.
И если идентификация – это получение ответа на вопросы «кто вы?» и «что вы?», то аутентификация служит доказательством того, что вы являетесь именно тем, за кого себя выдаете.
Аутентификация «Человек – компьютер» Эта схема используется для идентификации пользователя компьютерной системы с целью предоставления или не предоставления ему сервисов. Выделяют следующие методы аутентификации пользователей:
- статические и одноразовые пароли;
- биометрия – метод автоматизированного распознавания человека по его уникальным физиологическим или поведенческим характеристикам. Вариантов биометрических методов более 600, среди них можно выделить следующие: - по отпечаткам пальцев; - по сетчатке глаза – метод идентификации по рисунку кровеносных сосудов глазного дна; - по радужной оболочке глаза. - по форме; - другие методы статической биометрии, включая идентификацию по запаху, по ДНК и др.; - по голосу.
Переносные аутентификаторы, или токены : - асинхронные – пользователь вводит строку в устройство, получает ответ и вводит его в компьютер; - PIN/асинхронные – асинхронный метод дополняется вводом PIN-кода в устройство; - синхронные – например, токен синхронизирован по времени с сервером и генерирует для данного пользователя в данную минуту пароль, который уже и вводится в систему; - PIN/синхронные. Смарт-карты – это устройства, похожие на переносные аутентификаторы, но более сложные по своему составу.
Аутентификация «компьютер – компьютер» Данный тип связан с взаимной аутентификацией компьютеров в сети.
Аутентификация «Человек – Человек» Такой способ аутентификации применяется для распознавания личности при взаимодействии пользователей. Основными технологиями здесь являются цифровые подписи и протокол Kerberos версии 5 KDC (Key Distribution Center). Kerberos использует схему доверительного центра. Все участники, включая пользователей, клиентские и серверные программы, аутентифицируют друг друга с помощью доверительного центра.
Для обсечения идентификации и подлинности, используют ЭЦП, которая связывается посредством сертификата с ключом и шифром
31. Методы архивирования и дублирования информации как средства защиты от форс-мажор факторов.
Хранение архивной информации, представляющей особую ценность, должно быть организовано в специальном охраняемом помещении. Специалисты рекомендуют хранить дубликаты архивов наиболее ценных данных в другом здании, на случай пожара или стихийного бедствия. RAID - это акроним от Redundant Array of Independent Disks. Дисковый массив - это набор дисковых устройств, работающих вместе, чтобы повысить скорость и надежность системы ввода/вывода. Этим набором устройств управляет специальный RAID -контроллер (контроллер массива), который инкапсулирует в себе функции размещения данных по массиву; а для всей остальной системы позволяет представлять весь массив как одно логическое устройство ввода/вывода. За счет параллельного выполения операций чтения и записи на нескольких дисках, массив обеспечивает повышенную скорость обменов по сравнению с одним большим диском. Массивы также могут обеспечивать избыточное хранение данных, с тем, чтобы данные не были потеряны в случае выхода из строя одного из дисков. В зависимости от уровня RAID , проводится или зеркалирование или распределение данных по дискам.
Уровни RAID Каждый из четырех основных уровней RAID использует уникальный метод записи данных на диски, и поэтому все уровни обеспечивают различные преимущества. Уровни RAID 1,3 и 5 обеспечивают зеркалирование или хранение битов четности; и поэтому позволяют восстановить информацию в случае сбоя одного из дисков.
RAID уровня 0 Технология RAID 0 также известна как распределение данных ( data striping ). С применение этой технологии, информация разбивается на куски (фиксированные объемы данных, обычно именуемы блоками); и эти куски записываются на диски и считываются с них в параллель. С точки зрения производительности это означает два основных преимущества: повышается пропускная способность последовательного ввода/вывода за счет одновременной загрузки нескольких интерфейсов. снижается латентность случайного доступа; несколько запросов к различным небольшим сегментам информации могут выполнятся одновременно. Недостаток: уровень RAID 0 предназначен исключительно для повышения производительности, и не обеспечивает избыточности данных. Поэтому любые дисковые сбои потребуют восстановления информации с резервных носителей.
RAID уровня 1 Технология RAID 1 также известна как зеркалирование ( disk mirroring ). В этом случае, копии каждого куска информации хранятся на отдельном диске; или, обычно каждый (используемый) диск имеет "двойника", который хранит точную копию этого диска. Если происходит сбой одного из основных дисков, этот замещается своим "двойником". Производительность произвольного чтения может быть улучшена, если для чтения информации будет использоваться тот из "двойников", головка которого расположена ближе к требуемому блоку. Время записи может оказаться несколько больше, чем для одного диска, в зависимости от стратегии записи: запись на два диска может производится либо в параллель (для скорости), либо строго последовательно (для надежности). Уровень RAID 1 хорошо подходит для приложений, которые требуют высокой надежности, низкой латентности при чтении, а также если не требуется минимизация стоимости. RAID 1 обеспечивает избыточность хранения информации, но в любом случае следует поддерживать резервную копию данных, т.к. это единственный способ восстановить случайно удаленные файлы или директории.
RAID уровней 2 и 3 Технология RAID уровней 2 и 3 предусматривает параллельную ("в унисон") работу всех дисков. Эта архитектура требует хранения битов четности для каждого элемента информации, распределяемого по дискам. Отличие RAID 3 от RAID 2 состоит только в том, что RAID 2 использует для хранения битов четности несколько дисков, тогда как RAID 3 использует только один. RAID 2 используется крайне редко. Если происходит сбой одного диска с данными, то система может восстановить его содержимое по содержимому остальных дисков с данными и диска с информацией четности.
RAID уровней 4 и 5 RAID 4 исправляет некоторые недостатки технологии RAID 3 за счет использования больших сегментов информации, распределяемых по всем дискам, за исключением диска с информацией четности. При этом для небольших объемов информации используется только диск, на котором находится нужная информация. Это означает, что возможно одновременное исполнение нескольких запросов на чтение. Однако запросы на запись порождают блокировки при записи информации четности. RAID 4 используется крайне редко. Технология RAID 5 очень похожа на RAID 4, но устраняет связанные с ней блокировки. Различие состоит в том, что информация четности распределяется по всем дискам массива. В данном случае возможны как одновременные операции чтения, так и записи. Данная технология хорошо подходит для приложений, которые работают с небольшими объемами данных, например, для систем обработки транзакций.
33. Законодательство РФ в области информационной безопасности
2.1. Государственная политика в сфере информационной безопасности
До недавнего времени серьезные криптографические методы использовались почти исключительно для защиты секретной информации в государственных организациях, прежде всего для защиты военных и дипломатических секретов. Поэтому разработка и эксплуатация систем защиты информации были «закрытыми», недоступными простому пользователю.
Процедуры формирования и проверки электронной цифровой подписи (ЭЦП) должны соответствовать стандарту ГОСТ Р 34.10-2001, ГОСТ Р 34.11-94. При разработке средств защиты информации возникает ряд проблем правового характера.
1. Лицензирование деятельности.
2. Сертификация программно-аппаратных средств с функциями защиты.
3. Соответствие разрабатываемых средств защиты концептуаль¬ным требованиям к защите, стандартам и другим нормативным документам
ГОСТы.
В 2000 году президентом была утверждена Доктрина информационной безопасности Российской Федерации (№ Пр-1895 от 09.09.2000 ). Доктрина определяет цели, задачи, принципы и основ¬ные направления обеспечения информационной безопасности Российской Федерации. В названии Доктрины употреблен термин «информационная безопасность», а не «защита информации». Защита информации, как правило, понимается достаточно узко - как набор аппаратных и программных средств для обеспечения со¬хранности, доступности и конфиденциальности данных. Информационную безопасность можно определить как состояние защищенно¬сти интересов личности, общества и государства в информационной сфере от внутренних и внешних угроз. В принятой Доктрине под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.
При анализе текущего состояния информационной безопасности Российской Федерации отмечено, что ее уровень не в полной мере соответствует потребностям общества и государства. Перечислены следующие недостатки:
• противоречивость и неразвитость правового регулирования общественных отношений в информационной сфере и в области массовой информации;
• необеспеченность прав граждан на доступ к информации;
• отсутствие достаточного правового, организационного и технического обеспечения права граждан на неприкосновенность частной жизни, личную и семейную тайну, тайну переписки;
• неудовлетворительная организация защиты собираемых орга¬нами государственной власти и местного самоуправления данных о физических лицах (персональных данных);
• отсутствие четкости при проведении государственной политики в области формирования российского информационного пространства, развития российской системы массовой информации, организации международного информационного обмена;
• интенсивное внедрение зарубежных информационных технологий и отставание отечественных информационных технологий, из-за чего повышается вероятность несанкционированного доступа к информации и возрастает зависимость России от иностранных производителей компьютерной, телекоммуникационной техники и программного обеспечения. Задачей государственной политики в сфере обеспечения информационной безопасности является проведение комплекса мер, направленных на устранение этих недостатков. При этом методы обеспечения информационной безопасности могут быть разделены на правовые, организационные и технические. Совершенствование правовых механизмов регулирования общественных отношений, возникающих в информационной сфере, выделено в качестве приоритетного направления государственной политики в области обеспечения информационной безопасности Российской Федерации. Правовое обеспечение информационной безопасности должно базироваться прежде всего:
• на принципе законности;
• на соблюдении баланса интересов граждан, общества и госу¬дарства в информационной сфере. Второй принцип предполагает:
• законодательное закрепление приоритетов перечисленных интересов в различных областях жизнедеятельности общества;
• использование форм общественного контроля деятельности органов государственной власти;
• реализация государственных гарантий конституционных прав и свобод человека и гражданина в информационной сфере.
В качестве основных направлений усовершенствования Российского законодательства в области информационной безопасности можно выделить следующие:
1) создание целостной, логически полной системы взглядов на информационную безопасность;
2) устранение внутренних противоречий в федеральном законодательстве, противоречий, связанных с международными соглашениями, к которым присоединилась Российская Федерация, и противоречий между федеральными законодательными актами и законодательными актами субъектов Российской Федерации;
3) конкретизация правовых норм, устанавливающих ответственность за правонарушения в области обеспечения информационной безопасности;
4) разработка и внедрение механизмов реализации всех продекларированных в законодательстве норм.
Действующий Уголовный кодекс РФ рассматривает следующие преступления в сфере компьютерной информации (гл. 28): • неправомерный доступ к компьютерной информации (статья 272); • создание, использование и распространение вредоносных программ для ЭВМ (статья 273); • нарушение правил эксплуатации ЭВМ, систем или сетей ЭВМ (статья 274). За перечисленные деяния предусмотрена административная (от¬странение от должности, штрафы) либо уголовная ответственность.

34. ЭЦП, принципы и примеры использования
Шифрование на общем ключе привело к введению цифровых сертификатов, используемых для аутентификации на веб-сайтах с протоколами SSL/TLS и IPSec. Цифровой сертификат представляет собой цифровой документ (небольшой файл), заверяющий подлинность и статус владельца для пользователя или компьютерной системы. Например, бизнес-сертификат подтверждает тот факт, что компания обладает определенным открытым ключом. Цифровые сертификаты помогают автоматизировать распределение открытых ключей в протоколе шифрования с открытым ключом. Когда другому компьютеру необходимо произвести обмен данными с вашей системой, он осуществляет доступ к цифровому сертификату, содержащему ваш открытый ключ.
Набор продуктов и процессов, необходимых для безопасного создания, управления и распределения цифровых сертификатов, называется инфраструктурой открытого ключа (PKI). Одним из компонентов PKI является компьютер, называемый сервером сертификатов. Объединение, включающее сервер сертификатов и создающее сертификаты, называется бюро сертификатов (CA). CA несет ответственность за подтверждение подлинности сертификата и принадлежности его физическому лицу или организации перед созданием сертификата.
Существуют компании, например, Verisign и SSL.com, являющиеся коммерческими CA. Эти организации за определенную плату выпускают сертификаты для отдельных лиц и компаний. Если организация взяла на себя роль своего собственного бюро сертификатов и выпускает свои сертификаты, то необходим программный продукт Microsoft Sertificate Server, но придется установить этот компонент и управлять им на отдельном сервере в целях безопасности. Стандарт цифровых сертификатов X.509 обеспечивает совместимость с протоколами SSL/TLS и IPSec, используемыми в Microsoft Windows 2000 и IIS. Согласно этому стандарту цифровой сертификат X.509 v3 должен содержать четыре объекта.
• Отличительное имя (Distinguished Name, DN) организации, от которой получен сертификат (т.е. имя, введенное в поле Name сертификата).
• Открытый ключ отдельного лица или организации, идентифицируемый сертификатом.
• Цифровую подпись, полученную от секретного ключа бюро сертификатов, предусмотренного соответствующим сервером сертификатов.
• Отметки о дате, означающие даты выпуска и срок действия сертификата.
Имея эту информацию, два узла в виртуальной частной сети или веб-сервер и правильно настроенный веб-браузер могут отправлять и получать потоки данных, которые будут расшифрованы только ими.
Установление доверия к бюро сертификатов осуществляется по решению персонала или руководства компании. В интернете, как правило, принимается сертификат Verisign. После вынесения решения о доверии корневой сертификат СА нужно установить на серверах и клиентах, осуществляющих взаимную аутентификацию. Корневым сертификатом называется сертификат, содержащий открытый ключ CA, которому будут сопоставляться отдельно выпущенные и подписанные сертификаты с применением концепции открытого ключа для подтверждения подлинности сертификатов. Например, браузер авторизует цифровой сертификат веб-сайта, сопоставляя подпись сертификата с открытым ключом корневого сертификата CA, установленного в браузере. С помощью этой проверки браузер определяет, что сайт на самом деле принадлежит компании или организации, которую он представляет (в силу доверия к бюро сертификатов).
35. Протокол SSL принципы и примеры использования
SSL (англ. Secure Sockets Layer — уровень защищённых сокетов) — криптографический протокол, обеспечивающий безопасную передачу данных по сети Интернет. При его использовании создаётся защищённое соединение между клиентом и сервером. SSL изначально разработан компанией Netscape Communications. Впоследствии на основании протокола SSL 3.0 был разработан и принят стандарт RFC, получивший имя TLS.
Использует шифрование с открытым ключом для подтверждения подлинности передатчика и получателя. Поддерживает надёжность передачи данных за счёт использования корректирующих кодов и безопасных хэш-функций.
SSL состоит из двух уровней. На нижнем уровне многоуровневого транспортного протокола (например, TCP) он является протоколом записи и используется для инкапсуляции (то есть формирования пакета) различных протоколов (SSL работает совместно с таким протоколами как POP3, IMAP, XMPP, SMTP и HTTP). Для каждого инкапсулированного протокола он обеспечивает условия, при которых сервер и клиент могут подтверждать друг другу свою подлинность, выполнять алгоритмы шифрования и производить обмен криптографическими ключами, прежде чем протокол прикладной программы начнёт передавать и получать данные.
Для доступа к веб-страницам, защищённым протоколом SSL, в URL вместо обычного префикса (schema) http, как правило, применяется префикс https, указывающий на то, что будет использоваться SSL-соединение. Стандартный TCP-порт для соединения по протоколу https — 443.
Для работы SSL требуется, чтобы на сервере имелся SSL-сертификат.

37. Обзор средств анализа защищенности компьютерных комплексов.
Антивиры,+ фаерволы+орг.меры
сканеры безопасности, портов н-р, Xspider - сканирует порты и сервисы
есть еще System Security Scaner - сканирует на уровне Ос
Один из методов автоматизации процессов анализа и контроля защищенности распределенных компьютерных систем - использование технологии интеллектуальных программных агентов. На каждую из контролируемых систем устанавливается программный агент, который выполняет соответствующие настройки программного обеспечения, проверяет их правильность, контролирует целостность файлов, своевременность установки обновлений, а также решает другие задачи по контролю защищенности АС. Управление агентами осуществляет по сети программа-менеджер. Менеджеры, являющиеся центральными компонентами подобных систем, посылают управляющие команды всем агентам контролируемого ими домена и сохраняют все полученные от агентов данные в центральной базе данных. Администратор управляет менеджерами при помощи графической консоли, позволяющей выбирать, настраивать и создавать политики безопасности, анализировать изменения состояния системы, осуществлять ранжирование уязвимостей и т.п. Все взаимодействия между агентами, менеджерами и управляющей консолью осуществляются по защищенному клиент-серверному протоколу. Такой подход, например, использован при построении комплексной системы управления безопасностью организации Symantec Enterprise Security Manager (ESM).
38. Обзор средств обнаружения атак
• межсетевые экраны (МЭ, Брэндмауэр), которые, в свою очередь, разделяют на сегментные, персональные и встраиваемые;
• сканеры безопасности;
• сетевые анализаторы.

39. Использование VPN протокола
VPN (англ. Virtual Private Network - виртуальная частная сеть) - логическая сеть, создаваемая поверх другой сети, например Интернет. Несмотря на то, что коммуникации осуществляются по публичным сетям с использованием небезопасных протоколов, за счёт шифрования создаются закрытые от посторонних каналы обмена информацией. VPN позволяет объединить, например, несколько офисов организации в единую сеть с использованием для связи между ними неподконтрольных каналов.
3 типа соединения: Узел-узел, Узел-сеть, Сеть-Сеть.
Классификация VPN
1) Защищенные
2) Open VPN, PPtP
3) Доверительные
Классификация по назначению
Intra NET – единая сеть
Remote Access VPN
Extra Net VPN
Internet VPN
Клиент сервер VPN
Протоколы
TCP\IP, IPX, Apple Talk
Требования к средствам построения VPN:
1) Отсутствие необходимости внесения изменения в существующие технологии
2) Инвариантность к другим системам безопасности
3) Масштабируемость
4) Минимизация ресурсов для внедрения
5) Низкая стоимость.
VPN состоит из двух частей: «внутренняя» (подконтрольная) сеть, которых может быть несколько, и «внешняя» сеть, по которой проходит инкапсулированное соединение (обычно используется Интернет). Возможно также подключение к виртуальной сети отдельного компьютера. Подключение удалённого пользователя к VPN производится посредством сервера доступа, который подключён как к внутренней, так и к внешней (общедоступной) сети. При подключении удалённого пользователя (либо при установке соединения с другой защищённой сетью) сервер доступа требует прохождения процесса идентификации, а затем процесса аутентификации. После успешного прохождения обоих процессов, удалённый пользователь (удаленная сеть) наделяется полномочиями для работы в сети, то есть происходит процесс авторизации.
Используется инкапсуляция протокола PPP в другой PPP->IP – PPPiP или Ethernet - PPPoE
. VPN-технологии обеспечивают:
• защиту (конфиденциальность, подлинность и целостность) передаваемой по сетям информации;
• защиту внутренних сегментов сети от НСД со стороны сетей общего пользования;
• контроль доступа в защищаемый периметр сети;
• сокрытие внутренней структуры защищаемых сегментов сети;
• идентификацию и аутентификацию пользователей сетевых объектов;
• централизованное управление политикой корпоративной сетевой безопасности и настройками VPN-сети;
• криптографическую защиту данных, передаваемых по каналам связи сетей общего пользования между защищаемыми сегментами сети;
• безопасный доступ пользователей VPN к ресурсам сетей общего пользования. Потоки данных отдельного предприятия образуют виртуальные каналы частной сети.

41. Сканеры безопасности
Сканер безопасности – это программное средство для удаленной или локальной диагностики различных элементов сети на предмет выявления в них различных уязвимостей. Например: ISS Internet Scanner, XSpider, LanGuard, ShadowSecurityScanner, X-Scan. Средства анализа защищенности исследуют сеть и ищут "слабые" места в ней, анализируют полученные результаты и на их основе создают различного рода отчеты. Перечислим некоторые из проблем, идентифицируемых системами анализа защищенности:
• "люки" в программах (back door) и программы типа "троянский конь";
• слабые пароли;
• восприимчивость к проникновению из незащищенных систем;
• неправильная настройка межсетевых экранов, Web-серверов и баз данных;
и т.д.
Практически любой сканер проводит анализ защищенности в несколько этапов:
• Сбор информации о сети. Идентифицируются все активные устройства в сети и определяются запущенные на них сервисы и демоны. В случае использования систем анализа защищенности на уровне операционной системы данный этап пропускается, поскольку на каждом анализируемом узле установлены соответствующие агенты системного сканера.
• Обнаружение потенциальных уязвимостей. Сканер использует базу данных для сравнения собранных данных с известными уязвимостями при помощи проверки заголовков или активных зондирующих проверок. В некоторых системах все уязвимости ранжируются по степени риска.
• Подтверждение выбранных уязвимостей. Сканер использует специальные методы и моделирует (имитирует) определенные атаки для подтверждения факта наличия уязвимостей на выбранных узлах сети.
• Генерация отчетов. На основе собранной информации система анализа защищенности создает отчеты, описывающие обнаруженные уязвимости. В некоторых системах отчеты создаются для различных категорий пользователей, начиная от администраторов сети и заканчивая руководством компании. Если первых в первую очередь интересуют технические детали, то для руководства компании необходимо представить красиво оформленные с применением графиков и диаграмм отчеты с минимумом подробностей. Немаловажным аспектом является наличие рекомендаций по устранению обнаруженных проблем.
• Автоматическое устранение уязвимостей. Этот этап очень редко реализуется в сетевых сканерах, но широко применяется в системных сканерах. При этом данная возможность может реализовываться по-разному. Например, возможность "отката".

Механизмы работы
Существует два основных механизма, при помощи которых сканер проверяет наличие уязвимости - сканирование (scan) и зондирование (probe).
Сканирование - механизм пассивного анализа, с помощью которого сканер пытается определить наличие уязвимости без фактического подтверждения ее наличия - по косвенным признакам. Согласно компании Cisco этот процесс идентифицирует открытые порты, найденные на каждом сетевом устройстве, и собирает связанные с портами заголовки (banner), найденные при сканировании каждого порта. Каждый полученный заголовок сравнивается с таблицей правил определения сетевых устройств, операционных систем и потенциальных уязвимостей. На основе проведенного сравнения делается вывод о наличии или отсутствии уязвимости.
Зондирование - механизм активного анализа, который позволяет убедиться, присутствует или нет на анализируемом узле уязвимость. Зондирование выполняется путем имитации атаки, использующей проверяемую уязвимость. Этот метод более медленный, чем "сканирование", но почти всегда гораздо более точный, чем он. Согласно компании Cisco этот процесс использует информацию, полученную в процессе сканирования ("логического вывода"), для детального анализа каждого сетевого устройства. Этот процесс также использует известные методы реализации атак для того, чтобы полностью подтвердить предполагаемые уязвимости и обнаружить другие уязвимости, которые не могут быть обнаружены пассивными методами, например подверженность атакам типа "отказ в обслуживании" ("denial of service").
Однако существуют случаи, когда имитация атак не всегда может быть реализована. Такие случаи можно разделить на две категории: ситуации, в которых тест приводит к "отказу в обслуживании" анализируемого узла или сети, и ситуации, при которых уязвимость в принципе не годна для реализации атаки на сеть.
Как мы все знаем, многие проблемы защиты не могут быть выявлены без блокирования или нарушения функционирования сервиса или компьютера в процессе сканирования. В некоторых случаях нежелательно использовать имитацию атак (например, для анализа защищенности важных серверов), т.к. это может привести к большим затратам (материальным и временным) на восстановление работоспособности выведенных из строя элементов корпоративной сети. В этих случаях желательно применить другие проверки, например, активное зондирование или, в крайнем случае, проверки заголовков.
Этапы сканирования
42. Honey Pot- ловля на живца
Фактически Honeypot представляет собой приманку, на которую в случае удачи и высокого фактора достоверности попадется злоумышленник. Задача Honeypot — подвергнуться атаке или несанкционированному исследованию, что позволит изучить стратегию злоумышленника и определить круг средств, с помощью которых могут быть нанесены удары по реальным объектам безопасности. Реализация Honeypot не принципиальна, это может быть как специальный выделенный сервер, так и один сетевой сервис, задача которого — привлечь внимание хакеров. Honeypot кардинально отличается от всех разработок в сфере безопасности. Это не формализованный продукт или технология, а своего рода инструмент, примерно как микроскоп в руках биолога. Honeypot обеспечивает специалистам в области безопасности достаточно весомые преимущества. В первую очередь, это сбор необходимой информации, зачастую содержащей ценные сведения. Развертывание и эксплуатация «живца» не представляют особой трудности, также и средства Honeypot, как правило, не требовательны к системным ресурсам. Поскольку Honeypot изначально «забрасывается» для атаки и исследований, можно предположить, что практически вся снятая с ловушки информация отражает действия именно злоумышленников. На ее основе можно провести анализ, построить статистику методов, использующихся хакерами, а также определить наличие каких-либо новых решений, применяющихся взломщиками. Один из наиболее щекотливых моментов, связанных с Honeypot, заключается в наглядности метода. Допустим, на этапе проектирования и развертывания инфраструктуры компания ответственно отнеслась к вопросам обеспечения безопасности: были инсталлированы и должным образом настроены межсетевые экраны, средства аутентификации, шифрования и т. д. Потом, как правило, наступает этап успокоения: «нас нельзя взломать, мы вложили огромные средства и имеем дело только с лучшими продуктами», а затем — этап недовольства, ведь если руководство не видит эффекта, то обычно возникают мысли о напрасно потраченных деньгах. Honeypot способен наглядно показать наличие большой опасности — она никуда не исчезла, разве что временно находится «за дверью», но никто не даст гарантии, что через час межсетевой экран и все прочие средства защиты не будут преодолены: достаточно вспомнить о случаях проникновения в сети NASA или военного ведомства США. Особо следует остановиться на инсталляции и эксплуатации Honeypot. Как правило, весь комплекс мероприятий сводится к «установить и ждать. Для того чтобы уяснить ценность ловушек, примем во внимание модель безопасности Брюса Шнейера (Bruce Schneier), которая подразумевает три уровня: предотвращение, обнаружение и ответ. Honeypot-ловушки могут быть задействованы на всех трех уровнях, например на уровне предотвращения Honeypot применяется при замедлении или полной остановке автоматических вторжений. Минусы. В первую очередь нужно отметить узкую направленность конкретной ловушки, также существует вероятность обнаружения и опасность полного взлома Honeypot. Honeypot потенциально не способен охватить все проблемы безопасности, поэтому приходится либо исследовать уровень безопасности отдельно взятого фрагмента инфраструктуры, либо задействовать несколько приманок. Нельзя исключить риск осознания злоумышленниками того факта, что перед ними не реальный «фронт работы», а лишь подставная ловушка. Чаще всего это происходит из-за неправильной или недостаточно тщательной настройки ловушки, то есть в подавляющем большинстве случаев виновен человеческий фактор.
Идея Honeypot представлена и в более масштабном понимании — на уровне целой сети — Honeynet. Это определенная разновидность Honeypot, однако подобная система состоит не из одного компьютера или активного сетевого устройства, а из целой сети. Она находится за межсетевым экраном и перехватывает все входящие и исходящие соединения, затем информация об активности злоумышленника рассматривается и анализируется. Honeynet, разумеется, создает для атакующего более достоверную картину, нежели организованный отдельно Honeypot. Кроме того, с помощью нескольких машин с различным программным обеспечением можно гораздо больше узнать о действиях хакера, нежели при использовании одной ловушки.
43. Криптографическое приложение PGP
PGP (Pretty Good Privacy) - криптографическое приложение для обеспечения защиты и аутентификации данных. Защита гарантирует, что только получатель информации сможет воспользоваться ей. Оказавшись в чужих руках, она будет совершенно бесполезной, поскольку ее невозможно декодировать. Аутентификация гарантирует, что если некоторая информация была создана Вами и выложена для публичного доступа, то она действительно поступила от Вас и не была никем фальсифицирована или изменена в пути. PGP основана на криптографической системе, известной как открытый ключ, которая может быть использована на ненадежных каналах. Это делает ее идеальной для обеспечения защиты информации, передаваемой по таким сетям, как Internet. В системах с открытым ключом каждый из участников информационного обмена имеет два ключа, взаимно дополняющих друг друга; один является открытым ключом, а другой закрытым. Открытый ключ может и должен быть свободно доступным, так как он является именно тем ключом, который отправитель использует для шифрования передаваемой Вам информации. Закрытый ключ ни в коем случае не должен распространяться. Именно он гарантирует безопасность передаваемых данных. Как это работает Шифрование Возьмем для примера двух друзей - Сергея и Максима. У Сергея есть открытый ключ Максима. Он шифрует письмо с помощью этого ключа и отправляет. Теперь только Максим сможет прочитать это письмо, потому что закрытый ключ находится только у него. Даже Сергей уже не может прочитать свое собственное, но уже зашифрованное письмо. Аутентификация Вы посылаете письмо в список рассылки для своих клиентов. При этом подписчики списка хотят быть уверены что это именно Вы послали сообщение и что оно не было изменено каким-либо посторонним лицом. Подписываем сообщение с помощью своего закрытого ключа и вставляем подпись в письмо. Теперь все клиенты, у которых есть открытый ключ, могут с помощью него проверить, действительно ли Вы послали это письмо и не изменено ли оно кем-либо.
Для криптования используется алгоритм RSA, а в версии 6.5.1i добавлен алгоритм DSS/DH.
Генерация ключей Сначала необходимо зайти в unix shell и в своей домашней директории создать подкаталог .pgp командой: mkdir .pgp После этого командой "/usr/local/bin/pgp -kg" создаем ключи и защищаем свой закрытый ключ паролем. Обязательно запишите этот пароль. При утере восстановить его будет невозможно и придется создавать новые ключи. В каталоге .pgp созданы два файла: pubring.pgp - набор открытых ключей secring.pgp - набор закрытых ключей Теперь можете приступать к использованию PGP Использование PGP
Создание пары ключей Чтобы начать использовать PGP, нужно создать собственную пару ключей (открытый/закрытый). Чтобы это сделать, выполните команду: pgp -kg Вас попросят выбрать максимальный размер ключа (512, 768 или 1024 байт). Чем больше ключ, тем более надежным он будет, правда ценой небольшого снижения быстродействия при шифровании. После выбора размера нужно задать идентификатор открытого ключа. Обычно здесь указывают свои имена и/или e-mail адрес. Например: Ivan Petrov <ivan@zmail.ru> Далее нужно задать пароль, который будет защищать закрытый ключ. Это необходимо для защиты закрытого ключа. Например, если кто-нибудь украдет его, ключ будет бесполезен без пароля. Наконец, программа попросит в произвольном порядке нажать несколько клавиш на клавиатуре чтобы она могла создать последовательность случайных чисел. Через несколько секунд PGP создаст ключи и известит об этом соответствующим сообщением. После того, как ключи были сгенерированы должным образом, они сохраняются в каталоге ~/.pgp в виде файлов: pubring.pgp и secring.pgp. Первый, pubring.pgp, является файлом с открытыми ключами, secring.pgp - файл с закрытыми ключами На данный момент эти файлы содержат только открытый и закрытый ключи их создателя. Необходимо помнить, что безопасность методов открытого ключа опирается на безопасности закрытого ключа, поэтому обязательно хранить его в надежном месте и следить за тем, чтобы никто не смог его получить. Установите такие права доступа к файлу secring.pgp, чтобы только Вы могли читать и записывать в него. Редактировать и изменять, и идентификаторы ключей и пароли закрытых ключей можно с помощью команды: pgp -ke идентификатор [файл с ключами]
Добавление ключей в файл Теперь Вам, вероятно, захочется добавить открытые ключи людей, с которыми есть желание обмениваться шифрованными сообщениями. Для этого потребуется получить открытые ключи Ваших корреспондентов: с сервера ключей, непосредственно от конкретных людей, по e-mail, и т.д. Вспомним, что открытые ключи распространяются свободно и нет необходимости передавать их по безопасному каналу. Если в файле somekey.pgp содержится ключ и есть желание добавить его в файл ключей, процедура такова: pgp -ka somekey [файл с ключами] По умолчанию расширение .pgp указывает на файл с ключем и имена pubring.pgp и secring.pgp даются файлам, содержащим наборы открытых и закрытых ключей, соответственно. После добавления ключа PGP может сообщить, что добавленный ключ не полностью сертифицирован, это означает, что данный ключ не обязательно может принадлежать заявленному владельцу. Если есть уверенность, что ключ действительно принадлежит этому человеку, то сами можете подтвердить его приемлемость для использования.
Удаление ключа из файла Удалить ненужный ключ из файла можно командой pgp -kr идентификатор [файл с ключами] Например: "pgp -kr alex" удалит любой ключ, у которого в идентификаторе содержится "alex". По умолчанию исследуется файл открытых ключей.
Выделение ключа После сохранения ключей друзей в файле необходимо послать им свой открытый ключ. Прежде всего его необходимо выделить из собственного файла открытых ключей: pgp -kx идентификатор файл [файл с ключами] Например: "pgp -kx alex mykey" выделяет открытый ключ, идентифицированный подстрокой "alex" в файле mykey. Созданный файл mykey.pgp будет не в формате ASCII. Однако, если потребуется создать файл ключа в формате ASCII чтобы послать, к примеру, по e-mail или добавить дополнительную информацию к базе данных, потребуется использовать команду: pgp -kxa идентификатор файл [файл с ключами] Например: "pgp -kxa alex mykey" выделяет открытый ключ, идентифицированный подстрокой "alex", в файл "mykey.asc". Вместе с ключом также выделяются все сертификаты, которые его подтверждают.
Содержание файлов с ключами Чтобы просмотреть ключи, содержащиеся в файле, наберите команду: pgp -kv [идентификатор] [файл с ключами] Еще раз заметим, что файлом по умолчанию является pubring.pgp. Если идентификатор не указан явно, то показываются все ключи из файла. Чтобы просмотреть все сертификаты каждого ключа, необходимо набрать: pgp -kvv [идентификатор] [кольцо]
Шифрование сообщений Теперь попробуем зашифровать файл. Сделать это можно командой: pgp -e файл идентификатор Эта команда создает файл с именем файл.pgp, содержащий исходный файл, зашифрованный так, что только получатель может его расшифровать с помощью своего закрытого ключа. Помните, что созданный файл, не является ASCII файлом, поэтому для отправки его по E-Mail может потребоваться добавить еще одну опцию -a для того, чтобы выходной закодированный файл был в формате ASCII, например так: pgp -ea файл идентификатор
Кодирование сообщения для нескольких получателей Допустим, необходимо зашифровать и отправить письмо для нескольких получателей. В этом случае поступим так: pgp -ea файл идентификатор1 идентификатор2 идентификатор3
Как подписывается сообщение Подписывание документа позволяет получателю удостовериться в том, что текст написан действительно отправителем и что сообщение не было изменено. Чтобы подписать документ, необходимо использовать закрытый ключ: pgp -s файл идентификатор Если у нас есть несколько закрытых ключей в нашем secring.pgp, мы можем выбрать один из них при помощи идентификатора. Эта команда создает файл, который не является ASCII-текстом, потому что PGP пытается сжать файл. Если, с другой стороны, Вы хотите подписать файл, оставив текст читабельным и с подписью в конце, то процедура будет выглядеть так : pgp -sta файл Эта последняя команда очень полезна при подписывании электронной почты, которую и дальше можно будет читать без использования PGP. Также такое сообщение смогут читать те, кому не обязательно проверять подпись. Кроме того, можно подписать документ и затем закодировать его при помощи следующей команды: pgp -es файл идентификатор_получателя мой_идентификатор Для кодирования файла используется открытый ключ, идентифицируемый подстрокой "идентификатор_получателя", поэтому только этим ключом можно декодировать этот файл. Затем идентифицируем закрытый ключ строкой "мой_идентификатор", так как в нашем наборе есть несколько ключей. Даже в этом случае можно создать файл в формате ASCII, используя опцию -a.
Расшифровка Для расшифровки файла и/или проверки его подписи используется команда: pgp входной_файл [-o выходной_файл] По умолчанию предполагается, что входной файл имеет расширение .pgp. Имя файла, который получится в результате декодирования, является необязательным параметром. Если выходной файл не указан, расшифрованный файл будет сохранен в файле входной_файл без расширения .pgp. Также можно просто просмотреть расшифрованный файл без сохранения: pgp -m файл

45. Системы обнаружения атак (IDS)
Итак, за основу построения нашей системы реагирования на нарушения сетевой безопасности берем самую распространенную на сегодняшний день IDS Snort. Она, являясь сенсором, первая обнаруживает атаку и первая реагирует на нее согласно заранее заданному алгоритму. Чаще всего она подает сигнал о проводимой атаке какому-либо внешнему средству, которое предпринимает меры по ее ликвидации. Предупреждение может быть отправлено системному администратору по электронной почте, в виде короткого сообщения на мобильный телефон или выдано на монитор, следя за которым, специалист вручную блокирует действия нарушителя. Это также может быть и программа, выполняющая действия по блокировке нарушений автоматически, если администратор не имеет в данный момент возможности предпринять какие-либо действия. Принцип работы этой IDS основан на сравнении с сигнатурами (они же правила). Пришедшие пакеты сравниваются с эталоном и на основании этих сравнений предпринимаются определенные, заданные заранее системным аналитиком или же самим системным администратором, меры. Чаще всего если удалось идентифицировать атаку, то в БД или в определенный файл записывается название атаки. Также есть возможность задавать динамические правила, которые выполняются при наступлении какого-либо события. Шаблон, по которому создается БД, с которой в дальнейшем будет работать Snort, поставляется вместе с программой и создание такой БД не отнимает много времени. Файл или БД, куда ведется запись, может находиться как на локальном хосте, так и на удаленном, что очень надежно при построении больших систем. Физически IDS может располагаться перед фаерволлом, в демилитаризованной зоне, на маршрутизаторе, может быть подключена к зеркальному порту коммутатора или находиться в комбинации этих вариантов, - в зависимости от сложности решения (см. рис. 1). Также может быть установлено несколько таких сенсоров в разных частях сети.
Ниже представлен краткий перечень его возможностей.
- Идентификация сенсора IDS в случае его физической удаленности. Проверка обычно проводится как по адресу, так и по паролю.
- Может слушать различные порты, что придает системе большую гибкость.
- Создание списка доверенных хостов/сетей. Это важно в случае с DoS-атаками. В противном случае нарушитель мог бы провести атаку, представившись IDS или хостом ее БД.
- Наличие предела блокировок. Это позволяет снять лишнюю нагрузку с фаерволла. При приближении количества блокировок к пределу, они отключаются.
- Наличие временных блокировок. Т.е. таких, которые действуют лишь в течение заданного интервала времени и потом отключаются. Это очень важное качество, которое в некоторых случаях дает Snortsam непревзойденные преимущества перед другими программами такого рода.
- Отправка сообщения о блокировке по электронной почте или на мобильный телефон.