Защита информации

4 курс 1 семестр
Аватара пользователя
Артём Мамзиков
Admin
Сообщения: 804
Стаж: 5 лет 1 месяц
Откуда: Вологодская область
Поблагодарили: 33 раза
Контактная информация:

Защита информации

Сообщение Артём Мамзиков »

Показать диплом, так как там есть раздел по защите информации
Видео уроки по ЗИ от Дмитрий Гурин в разделе видеозаписи 21 видео

Архив 300руб
Содержимое архива
Содержимое архива
Содержимое архива
Контрольная

Содержание

1. Понятие и классификация видов и методов несанкционированного доступа. Определение и модель злоумышленника………………………………………..3
2. Организация защиты информации. Классификация способов защиты информации в компьютерных системах………………………………………….11
3. Список использованной литературы…………………………………………...18

1. Понятие и классификация видов и методов несанкционированного доступа. Определение и модель злоумышленника
несанкционированный доступ компьютерный защита
Несанкционированный доступ – доступ к информации в нарушение должностных полномочий сотрудника, доступ к закрытой для публичного доступа информации со стороны лиц, не имеющих разрешения на доступ к этой информации. Так же иногда несанкционированным доступом называют получение доступа к информации лицом, имеющим право на доступ к этой информации в объёме, превышающем необходимый для выполнения служебных обязанностей.
Несанкционированный доступ к информации (НСД) - Доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами.
Причины несанкционированного доступа к информации:
• ошибки конфигурации
• слабая защищённость средств авторизации (хищение паролей, смарт-карт, физический доступ к плохо охраняемому оборудованию, доступ к незаблокированным рабочим местам сотрудников в отсутствие сотрудников)
• ошибки в программном обеспечении
• злоупотребление служебными полномочиями (воровство резервных копий, копирование информации на внешние носители при праве доступа к информации)
• прослушивание каналов связи при использовании незащищённых соединений внутри ЛВС
• использование клавиатурных шпионов, вирусов и троянов на компьютерах сотрудников для имперсонализации.
Методы несанкционированного доступа. С развитием технологий обработки информации получили распространение методы несанкционированного доступа к информации. Наибольшее распространение получили следующие методы:
• Работа между строк - подключение к линиям связи и внедрение в компьютерную систему с использованием промежутков в действиях законного пользователя.
• «Отказы в обслуживании» - несанкционированное использование компьютерной системы в своих целях (например, для бесплатного решения своих задач), либо блокирование системы для отказа в обслуживании другим пользователям. Для реализации такого злоупотребления используются так называемые «жадные программы» - программы, способные захватить монопольно определенный ресурс системы.
• Повторное использование объектов - состоит в восстановлении и повторном использовании удаленных объектов системы. Примером реализации подобного злоупотребления служит удаление файлов операционной системой. Когда ОС выдает сообщение, что, некоторый файл удален, то это не означает, что информация, содержащаяся в данном файле, уничтожена в прямом смысле слова. Информация, которая была в данном блоке, никуда не исчезает до момента записи на это место другой информации. Одной из разновидностей повторного использования объектов является работа с компьютерным «мусором».
• Маскарад - захватчик использует для входа в систему ставшую ему известной идентификацию законного пользователя.
• «Подкладывание свиньи» - нарушитель подключается к линиям связи и имитирует работу системы с целью осуществления незаконных манипуляций. Например, он может имитировать сеанс связи и получить данные под видом легального пользователя.
• Анализ трафика - захватчик анализирует частоту и методы контактов пользователей в системе. При этом можно выяснить правила вступления в связь, после чего производится попытка вступить в контакт подвидом законного пользователя.
• «Раздеватели» - комплекс специально разработанных программных средств, ориентированных на исследование защитного механизма программного продукта от НСД и его преодоление.
Развитие средств связи и электронной почты выделило злоупотребление, которое в литературе получило название «пинание» (pinging). Суть данного злоупотребления заключается в том, что, используя стандартные или специально разработанные программные средства, злоумышленник может вывести из строя электронный адрес, бомбардируя его многочисленными почтовыми сообщениями. Следствием «пинания» могут стать осложнения и возможность непреднамеренного игнорирования полученной электронной почты.
Необходимо отметить, что при планировании и разработке злоупотреблений нарушителями могут создаваться новые, не приведенные в данной классификации, а также применяться любые сочетания описанных злоупотреблений.
Виды несанкционированного доступа
Угроза информации - пути реализации воздействий, которые считаются опасными для информационной системы. По характеру возникновения их можно разделить на 2 вида:
• преднамеренные и непреднамеренные.
Непреднамеренные угрозы - это случайные действия, выраженные в неадекватной поддержке механизмов защиты или ошибками в управлении. А преднамеренные - это несанкционированное получение информации и несанкционированная манипуляция данными, ресурсами, самими системами.
По типу реализации угрозы можно различать:
• программные
• непрограммные
К программным относят те, которые реализованы в виде отдельного программного модуля или модуля в составе программного обеспечения. К непрограммным относят злоупотребления, в основе которых лежит использование технических средств информационной системы (ИС) для подготовки и реализации компьютерных преступлений (например, несанкционированное подключение к коммуникационным сетям, съем информации с помощью специальной аппаратуры и др.).
Преследуя различные цели, компьютерные злоумышленники используют широкий набор программных средств. Исходя из этого, представляется возможным объединение программных средств в две группы:
• тактические
• стратегические.
К тактическим относят те, которые преследуют достижение ближайшей цели (например, получение пароля, уничтожение данных и др.). Они обычно используются для подготовки и реализации стратегических средств, которые направлены на реализацию далеко идущих целей и связаны с большими финансовыми потерями для ИС. К группе стратегических относятся средства, реализация которых обеспечивает возможность получения контроля за технологическими операциями преобразования информации, влияние на функционирование компонентов ИС (например, мониторинг системы, вывод из строя аппаратной и программной среды и др.).
Потенциальными программными злоупотреблениями можно считать программные средства, которые обладают следующими функциональными возможностями:
• искажение произвольным образом, блокирование и/или подмена выводимого во внешнюю память или в канал связи массива информации, образовавшегося в результате работы прикладных программ, или уже находящиеся во внешней памяти массивы данных.
• сокрытие признаков своего присутствия в программной среде ЭВМ;
• разрушение (искажение произвольным образом) кодов программ в оперативной памяти;
• сохранение фрагментов информации из оперативной памяти в некоторых областях внешней памяти прямого доступа (локальных или удаленных);
• обладание способностью к самодублированию, ассоциированию себя с другими программами и/или переносу своих фрагментов в иные области оперативной или внешней памяти;
Рассмотрев основные методы и виды несанкционированного доступа обратимся к определению модели нарушителя, совершающего вышеперечисленные действия.
При разработке модели нарушителя определяются: 1) предположения о категориях лиц, к которым может принадлежать нарушитель; 2) предположения о мотивах действий нарушителя (целях, преследуемых нарушителем); 3) предположения о квалификации нарушителя и его технической оснащенности (методах и средствах, используемых для совершения нарушения); 4) ограничения и предположения о характере возможных действий нарушителя.
По отношению к автоматизированным информационным технологиям управления (АИТУ) нарушители могут быть внутренними (из числа персонала системы) или внешними (посторонними лицами). Внутренними нарушителями могут быть лица из следующих категорий персонала:
• пользователи (операторы) системы;
• персонал, обслуживающий технические средства (инженеры, техники);
• сотрудники отделов разработки и сопровождения программного обеспечения (прикладные и системные программисты);
• технический персонал, обслуживающий здания (уборщики, электрики, сантехники и другие сотрудники, имеющие доступ в здание и помещения, где расположены компоненты АИТУ);
• сотрудники службы безопасности АИТУ;
• руководители различного уровня должностной иерархии.
• Посторонние лица, которые могут быть внешними нарушителями:
• клиенты (представители организаций, граждане);
• посетители (приглашенные по какому-либо поводу);
• представители организаций, взаимодействующих по вопросам обеспечения жизнедеятельности организации (энерго-, водо-, теплоснабжение и т.п.);
• представители конкурирующих организаций (иностранных спецслужб) или лица, действующие по их заданию;
• лица, случайно или умышленно нарушившие пропускной режим (без цели нарушения безопасности АИТУ);
• любые лица за пределами контролируемой территории.
Можно выделить три основных мотива нарушений: а) безответственность; б) самоутверждение; в) корыстный интерес. При нарушениях, вызванных безответственностью, пользователь целенаправленно или случайно производит какие-либо разрушающие действия, не связанные, тем не менее, со злым умыслом. В большинстве случаев это следствие некомпетентности или небрежности.
Некоторые пользователи считают получение доступа к системным наборам данных крупным успехом, затевая своего рода игру «пользователь против системы» ради самоутверждения либо в собственных глазах, либо в глазах коллег.
Нарушение безопасности АИТУ может быть вызвано и корыстным интересом пользователя системы. В этом случае он будет целенаправленно пытаться преодолеть систему защиты для доступа к хранимой, передаваемой и обрабатываемой в АИТУ информации. Даже если АИТУ имеет средства, делающие такое проникновение чрезвычайно сложным, полностью защитить ее от проникновения практически невозможно. Всех нарушителей можно классифицировать по четырем параметрам (уровню знаний об АИТУ, уровню возможностей, времени и методу действия). 1. По уровню знаний об АИТУ различают нарушителей:
• знающих функциональные особенности АИТУ, основные закономерности формирования в ней массивов данных и потоков запросов к ним, умеющих пользоваться штатными средствами;
• обладающих высоким уровнем знаний и опытом работы с техническими средствами системы и их обслуживания;
• обладающих высоким уровнем знаний в области программирования и вычислительной техники, проектирования и эксплуатации автоматизированных информационных систем;
• знающих структуру, функции и механизм действия средств защиты, их сильные и слабые стороны.
2. По уровню возможностей (используемым методам и средствам) нарушителями могут быть:
• применяющие чисто агентурные методы получения сведений;
• применяющие пассивные средства (технические средства перехвата без модификации компонентов системы);
• использующие только штатные средства и недостатки систем защиты для ее преодоления (несанкционированные действия с использованием разрешенных средств), а также компактные магнитные носители информации, которые могут быть скрытно пронесены через посты охраны;
• применяющие методы и средства активного воздействия (модификация и подключение дополнительных механических средств, подключение к каналам передачи данных, внедрение программных «закладок» и использование специальных инструментальных и технологических программ).
3. По времени действия различают нарушителей, действующих:
• в процессе функционирования АИТУ (во время работы компонентов системы);
• в период неактивности компонентов системы (в нерабочее время, во время плановых перерывов в ее работе, перерывов для обслуживания и ремонта и т.п.);
• как в процессе функционирования АИТУ, так и в период неактивности компонентов системы.
4. По месту действия нарушители могут быть:
• не имеющие доступа на контролируемую территорию организации;
• действующие с контролируемой территории без доступа в здания и сооружения;
• действующие внутри помещений, но без доступа к техническим средствам АИТУ;
• действующие с рабочих мест конечных пользователей (операторов) АИТУ;
• имеющие доступ в зону данных (баз данных, архивов и т.п.);
• имеющие доступ в зону управления средствами обеспечения безопасности АИТУ.
При этом могут учитываться следующие ограничения и предположения о характере действий возможных нарушителей:
• работа по подбору кадров и специальные мероприятия затрудняют возможность создания коалиций нарушителей, т.е. объединения (сговора) и целенаправленных действий по преодолению подсистемы защиты двух и более нарушителей;
• нарушитель, планируя попытку несанкционированного доступа к информации, скрывает свои неправомерные действия от других сотрудников;
• несанкционированный доступ к информации может быть следствием ошибок пользователей, администраторов, эксплуатирующего и обслуживающего персонала, а также недостатком принятой технологии обработки информации и т.д. Определение конкретных значений характеристик возможных нарушителей в значительной степени субъективно. Модель нарушителя, построенная с учетом особенностей конкретной предметной области и технологии обработки информации, может быть представлена перечислением нескольких вариантов его облика. Каждый вид нарушителя должен быть охарактеризован значениями характеристик, приведенных выше.

2. Организация защиты информации. Классификация способов защиты информации в компьютерных системах

Проблема создания системы защиты информации включает две взаимодополняющие задачи:
1) разработка системы защиты информации (ее синтез);
2) оценка разработанной системы защиты информации.
Вторая задача решается путем анализа ее технических характеристик с целью установления, удовлетворяет ли система защиты, информации комплексу требований к данным системам. Такая задача в настоящее время решается почти исключительно экспертным путем с помощью сертификации средств защиты информации и аттестации системы защиты информации в процессе ее внедрения.
Методы и средства обеспечения безопасности информации:
Препятствия - методы физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т.д.).
Управление доступом - метод защиты информации регулированием использования всех ресурсов компьютерной информационной системы (элементов баз данных, программных и технических средств). Управление доступом включает следующие функции защиты:
• идентификацию пользователей, персонала и ресурсов системы (присвоение каждому объекту персонального идентификатора);
• опознание (установление подлинности) объекта или субъекта по предъявленному им идентификатору;
• проверку полномочий (проверка соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту);
• разрешение и создание условий работы в пределах установленного регламента;
• регистрацию (протоколирование) обращений к защищаемым ресурсам;
• регистрацию (сигнализация, отключение, задержка работ, отказ в запросе) при попытках несанкционированных действий.
Маскировка - метод защиты информации путем ее криптографического закрытия. Этот метод широко применяется за рубежом как при обработке, так и при хранении информации, в том числе на дискетах. При передаче информации по каналам связи большой протяженности данный метод является единственно надежным.
Регламентация - метод защиты информации, создающий такие условия автоматизированной обработки, хранения и передачи защищаемой информации, при которых возможности несанкционированного доступа к ней сводились бы к минимуму.
Принуждение - метод защиты, при котором пользователи и персонал системы вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.
Побуждение - метод защиты, который побуждает пользователя и персонал системы не нарушать установленный порядок за счет соблюдения сложившихся моральных и этических норм (как регламентированных, так и неписаных).
Рассмотренные методы обеспечения безопасности реализуются на практике за счет применения различных средств защиты, таких, как технические, программные, организационные, законодательные и морально-этические. К. основным средствам защиты, используемым для создания механизма обеспечения безопасности, относятся следующие.
Технические средства реализуются в виде электрических, электромеханических и электронных устройств. Вся совокупность технических средств делится на аппаратные и физические. Под аппаратными средствами принято понимать технику или устройства, которые сопрягаются с подобной аппаратурой по стандартному интерфейсу. Например, система опознания и разграничения доступа к информации (посредством паролей, записи кодов и другой информации на различные карточки). Физические средства реализуются в виде автономных устройств и систем. Например, замки на дверях, где размещена аппаратура, решетки на окнах, источники бесперебойного питания, электромеханическое оборудование охранной сигнализации. Так, различают наружные системы охраны («Ворон», GUARDWIR, FPS и др.), ультразвуковые системы (Cyclops и т.д.), системы прерывания луча (Pulsar 30В и т.п.), телевизионные системы (VМ216 и др.), радиолокационные системы («ВИТИМ» и т.д.), система контроля вскрытия аппаратуры и др.
Программные средства представляют собой программное обеспечение, специально предназначенное для выполнения функций защиты информации. В такую группу средств входят:
• механизм шифрования (криптографии - специальный алгоритм, который запускается уникальным числом или битовой последовательностью, обычно называемым шифрующим ключом; затем по каналам связи передается зашифрованный текст, а получатель имеет свой ключ для дешифрования информации);
• механизм цифровой подписи;
• механизмы контроля доступа;
• механизмы обеспечения целостности данных;
• механизмы постановки графика, механизмы управления маршрутизацией;
• механизмы арбитража, антивирусные программы;
• программы архивации (например, zip, rar, arj и др.);
• защита при вводе и выводе информации и т.д.
Организационные средства защиты представляют собой организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации вычислительной техники, аппаратуры телекоммуникаций для обеспечения защиты информации. Организационные мероприятия охватывают все структурные элементы аппаратуры на всех этапах их жизненного цикла (строительство помещений, проектирование компьютерной информационной системы банковской деятельности, монтаж и наладка оборудования, использование, эксплуатация).
Морально-этические средства защиты реализуются в виде всевозможных норм, которые сложились традиционно или складываются по мере распространения вычислительной техники и средств связи в обществе. Эти нормы большей частью не являются обязательными как законодательные меры, однако несоблюдение их обычно ведет к потере авторитета и престижа человека. Наиболее показательным примером таких норм является Кодекс профессионального поведения членов Ассоциации пользователей ЭВМ США.
Законодательные средства защиты определяются законодательными актами страны, которыми регламентируются правила пользования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил.
Все рассмотренные средства защиты разделены на формальные (выполняющие защитные функции строго по заранее предусмотренной процедуре без непосредственного участия человека) и неформальные (определяются целенаправленной деятельностью человека либо регламентируют эту деятельность).
В настоящее время наиболее острую проблему безопасности (даже в тех системах, где не требуется сохранять секретную информацию, и в домашних компьютерах) составляют вирусы. Поэтому здесь остановимся на них подробнее. Компьютерный вирус - это специально написанная небольшая по размерам программа, которая может «приписывать» себя к другим программам (т.е. «заражать» их), а также выполнять различные нежелательные действия на компьютере (например, портить файлы или таблицы размещения файлов на диске, «засорять» оперативную память и т.д.).
Основным средством защиты от вирусов служит архивирование. Другие методы заменить его не могут, хотя и повышают общий уровень защиты.
Архивирование необходимо делать ежедневно. Архивирование заключается в создании копий используемых файлов и систематическом обновлении изменяемых файлов. Это дает возможность не только экономить место на специальных архивных дисках, но и объединять группы совместно используемых файлов в один архивный файл, в результате чего гораздо легче разбираться в общем архиве файлов.
Наиболее уязвимыми считаются таблицы размещения файлов, главного каталога и бутсектор. Файлы рекомендуется периодически копировать на специальную дискету.
Их резервирование важно не только для защиты от вирусов, но и для страховки на случай аварийных ситуаций или чьих-то действий, в том числе собственных ошибок.
В целях профилактики для защиты от вирусов рекомендуется:
• работа с дискетами, защищенными от записи;
• минимизация периодов доступности дискет для записи;
• разделение дискет между конкретными ответственными пользователями;
• разделение передаваемых и поступающих дискет;
• разделение хранения вновь полученных программ и эксплуатировавшихся ранее;
• проверка вновь полученного программного обеспечения на наличие в них вируса тестирующими программами;
• хранение программ на жестком диске в архивированном виде.
Для того чтобы избежать появления компьютерных вирусов, необходимо соблюдать прежде всего следующие меры:
• не переписывать программное обеспечение с других компьютеров, если это необходимо, то следует принять перечисленные выше меры;
• не допускать к работе на компьютере посторонних лиц, особенно если они собираются работать со своими дискетами;
• не пользоваться посторонними дискетами, особенно с компьютерными играми.
Можно выделить следующие типичные ошибки пользователя, приводящие к заражению вирусами:
• отсутствие надлежащей системы архивации информации;
• запуск полученной программы без ее предварительной проверки на зараженность и без установки максимального режима защиты винчестера с помощью систем разграничения доступа и запуска резидентного сторожа;
• выполнение перезагрузки системы при наличии установленной в дисководе А дискеты (при этом BIOS делает попытку загрузиться именно с этой дискеты, а не с винчестера; в результате, если дискета заражена бутовым вирусом, происходит заражение винчестера);
• прогон всевозможных антивирусных программ, без знания типов диагностики одних и тех же вирусов разными антивирусными программами;
• анализ и восстановление программ на зараженной операционной системе.
В настоящее время наиболее популярные в России антивирусные средства АО «ДиалогНаука»:
• полифаг Aidstest (полифаг- это программа, выполняющая действия обратные тем, которые производит вирус при заражении файла, т.е. пытающаяся восстановить файл);
• ревизор Adinf;
• лечащий блок AdinfExt;
• полифаг для «полиморфиков» Doctor Web.
Существуют программы-фильтры, проверяющие, имеется ли в файлах (на указанном пользователем диске) специальная для данного вируса комбинация байтов. Используется также специальная обработка файлов, дисков, каталогов - вакцинация: запуск программ-вакцин, имитирующих сочетание условий, в которых начинает работать и проявляет себя данный тип вируса. В качестве примера резидентной программы для защиты от вирусов можно привести программу VSAFF фирмы Carmel Central Point Software. B качестве программ ранней диагностики компьютерного вируса могут быть рекомендованы программы CRCLIST и CRCTEST.
В заключении можно сказать при организации защиты информации процесс создание и эксплуатация систем защиты информации является сложным и ответственным. Система защиты должна быть достаточной, надежной, эффективной и управляемой. Эффективность защиты информации достигается способностью ее адекватно реагировать на все попытки несанкционированного доступа к информации; мероприятия по защите информации от несанкционированного доступа должны носить комплексный характер, т.е. объединять разнородные меры противодействия угрозам (правовые, организационные, программно-технические). Основная угроза информационной безопасности компьютерных систем исходит непосредственно от сотрудников. С учетом этого необходимо максимально ограничивать как круг сотрудников, допускаемых к конфиденциальной информации, так и круг информации, к которой они допускаются (в том числе и к информации по системе защиты). При этом каждый сотрудник должен иметь минимум полномочий по доступу к конфиденциальной информации.

3. Список использованной литературы

1. Постановление Правительства РФ от 26 июня 1995 г. N 608 "О сертификации средств защиты информации".
2. Постановление Правительства РФ от 15 августа 2006 г. N 504 «О лицензировании деятельности по технической защите конфиденциальной информации».
3. Приказ от 05.02.2010 г. №58 «Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных»
4. Безбогов А.А., Яковлев А.В., Шамкин В.Н. Методы и средства защиты компьютерной информации: Учебное пособие. - Тамбов: Издательство ТГТУ, 2006.
5. Макаренко С. И. Информационная безопасность: учебное пособие для студентов вузов. – Ставрополь: СФ МГГУ им. М. А. Шолохова, 2009. – 372 с.
6. Нестеров С. А. Информационная безопасность и защита информации: Учеб. пособие. – СПб.: Изд-во Политехн. ун-та, 2009. – 126 с.
Последний раз редактировалось Артём Мамзиков Пт апр 05, 2019 19:47, всего редактировалось 1 раз. количество слов: 70
Аватара пользователя
Артём Мамзиков
Admin
Сообщения: 804
Стаж: 5 лет 1 месяц
Откуда: Вологодская область
Поблагодарили: 33 раза
Контактная информация:

Защита информации

Сообщение Артём Мамзиков »

Видео по защите информации

Урок 1. Системный подход при формировании системы защиты информации


Урок 2. Информационная безопасность и каналы утечка информации


Урок 3. Информационная безопасность и кадровая политика на предприятии


Информатика. Глобальная сеть Интернет. Урок 3. Защита информации в сети Интернет


Урок 4. Каналы утечки информации в здании, служебных помещениях и инженерных системах здания


Информатика. Глобальная сеть Интернет. Урок 4. Защита информации в сети Интернет. Продолжение


Урок 5. Электромагнитные каналы утечки информации, причины возникновения утечки информации


Урок 6. Каналы утечки информации: силовая сеть предприятия


Урок 7. Защита информации: силовая сеть информационной системы в условиях периодических токов


Урок 8. Каналы утечки информации: структурированная кабельная система


Урок 9. Каналы утечки информации: рабочие места пользователей и персонала ИС


Урок 10. Средства и способы перехвата акустических сигналов


Урок 11. Характеристики и виды средств акустической разведки


Урок 12. Средства радиотехнической и радиоразведки и их характеристики


Урок 13. Способы предотвращения утечки обрабатываемой информации за счёт электромагнитных излучений


Урок 14. Безопасность оптоволоконных кабельных систем


Урок 15. Защита от утечки информации по цепям заземления


Урок 16. Способы защиты информации при эксплуатации слаботочного оборудования


Урок 17. Системы пространственного зашумления объектов ЭВТ


Урок 18. Применение экранирующих конструкций


Урок 19. Основные организационно-технические мероприятия по защите информации


Больше видео
количество слов: 672
Аватара пользователя
Артём Мамзиков
Admin
Сообщения: 804
Стаж: 5 лет 1 месяц
Откуда: Вологодская область
Поблагодарили: 33 раза
Контактная информация:

Защита информации

Сообщение Артём Мамзиков »

Vipnet Coordinator
Пароль на все рабочие станции и оборудование соответствии требованиям безопасности Латиницей(без спецсимволов) не менее 6 символов минимум одна заглавная и одна цифра замена каждые * недели
Secret Net 7
Dr.Web Enterprise Security Suite 10
Экранированный кабель Rexant CAT 5e FTP
Доступ по помещениям

Еще по защите
XP Check 3.0
Server08R2S Check
Security Studio Honeypot Manager (сенсором и доп сенсора) ловушка
XSPIDER 7.7 кол 23-IP 1 год
Сертифицированное ПО ФСТЭК

Прокладка сети отдельно от других сетей силовых пожарных охранных пересечения только под 90 градусов, длинна жил без оболочки не более 5 мм в сетевой розетке и на патч-панели , никаких повреждений кабеля , скруток , перевиваний , резких изгибов кабеля.


1 Базовый пакет Windows 7 Профессиональная
(включая Лицензию на право использования Программы контроля Check) 1950,00
Показать прогрессирующую скидку
Приобретается по количеству рабочих мест.
2 Базовый пакет Windows 7 Максимальная и Корпоративная
(включая Лицензию на право использования Программы контроля Check) 2465,00
Показать прогрессирующую скидку
Приобретается по количеству рабочих мест.
Сертифицированные USB-ключи и смарт-карты eToken
3 Сертифицированный USB-ключ eToken PRO (Java) для получения сертифицированных обновлений eToken PRO (Java)/72K/cert 2 000,00 Приобретается однократно при первом заказе сертифицированного ПО для доступа к доверенной части сайта

http://www.altx-soft.ru/groups/page-267.htm
Программы контроля "Check" для сертифицированных версий продуктов Microsoft
АЛТЭКС-СОФТ является экспертом в области информационной безопасности на программной платформе Microsoft. Специалистами АЛТЭКС-СОФТ разработано унифицированное семейство Программ контроля и настройки сертифицированных версий Microsoft, объеденных под общим названием "Check". Программы поставляются в составе пакетов сертифицированных версий продуктов Microsoft, в том числе новейших операционных систем Microsoft Windows 8 и Windows Server 2012.

Программы "Check" предназначены для осуществления оценки соответствия условиям действия сертификатов и контроля защищенности информационных систем, построенных на сертифицированной платформе Microsoft. Программы, помимо АС, ГИС и ИСПДн, могут использоваться в любых системах, где предъявляются повышенные требования к безопасности информационных ресурсов. Реализованный функционал программ повышает эффективность использования встроенных механизмов защиты, делая "тонкую" настройку параметров безопасности и безопасную эксплуатацию продуктов Microsoft доступной даже начинающим пользователям.
Возможности программ "Check":
• сбор данных и формирование отчетов о соответствии установленного продукта сертифицированной версии;
• формирование отчетов об установленных и необходимых для установки сертифицированных обновлениях безопасности, в том числе и кумулятивных обновлений (Service Pack);
• проверка загруженных обновлений на предмет соответствия сертифицированным обновлениям продуктов Microsoft;
• фиксация и контроль целостности исполняемых файлов и библиотек инсталлированных программных продуктов методом контрольного суммирования по Уровню 3 (ГОСТ 28147-89) с использованием сертифицированного программного средства "ФИКС библиотека 1.0", Сертификат ФСТЭК России № 677;
• контроль и настройка политик безопасности (на основании сертифицированных конфигураций) и выборочных (установка отдельных значений) параметров безопасности;
• формирование отчета о соответствии текущей конфигурации параметров безопасности выбранной сертифицированной конфигурации;
• создание произвольных пользовательских конфигураций параметров безопасности с возможностью наследования значений от сертифицированных конфигураций или текущего состояния системы;
• экспорт конфигураций параметров безопасности для обеспечения единых параметров настройки безопасности для группы ПЭВМ.
Отличительной особенностью программ Check от подобных решений является поддержка международного протокола Security Content Automation Protocol (SCAP, протокол автоматизации управления контентом безопасности). Унифицированные механизмы и сервисы программ Check, использующие OVAL и XCCDF интерпретаторы, предоставляют пользователям доступ к репозиторию контента безопасности АЛТЭКС-СОФТ, а также возможность использовать произвольный SCAP-контент, в том числе и известных компаний в области информационной безопасности, таких как: Mitre, DISA FSO, CIS (Center For Internet Security), NIST и др. Передовые технологии позволяют более оперативно реагировать на появляющиеся угрозы, значительно расширить область применения программ Check и повысить эффективность механизмов настройки и контроля параметров безопасности как сертифицированных продуктов Microsoft, так и другого программного обеспечения, включая наложенные СЗИ.
1
1
Актуальные программы Check для сертифицированных версий ПО Microsoft
• Windows XP Professional русская версия
• Windows Vista (Business, Enterprise, Ultimate) русские версии
• Windows 7 (Профессиональная, Корпоративная, Максимальная) русская версия
• Windows 8 ( 8, Профессиональная, Корпоративная) русская версия;
• Windows Server 2003 и 2003 R2 (Standard,Enterprise) русские версии
• Windows Server 2008 и 2008 R2 (Standard, Enterprise, DataCenter) русские версии
• Windows Server 2012 (Standard, Datacenter, Storage, Essentials, Foundation)
• SQL Server 2005 (Standard, Enterprise) русские версии
• Office 2003 и 2007 (Standard, Professional, Professional Plus) русские версии
• ISA Server 2006 (Standard) русская версия
• Exchange Server 2007
• Windows Server 2008 (Standard, Enterprise, Datacenter) русские версии
• SQL Server 2008 (Standard, Enterprise) русские версии.
Программа поставляется на диске Медиа-кит в составе сертифицированного ПО Microsoft для следующих версий:

Ключевые преимущества программ
• информационная панель, позволяющую на основании проверок параметров программ мгновенно оценить степень соответствия системы безопасности принятому набору требований;
• использование регулярно обновляемого с "облачных" сервисов контента программы;
• дополнительные функции, позволяющие использовать программу как самостоятельное средство оценки уязвимости защищенных систем, построенных на платформе Microsoft;
• поддержка протокола SCAP, позволяющая использовать известные международные и отечественные Best-practices в области аудита уязвимостей и конфигураций безопасности;
• возможность аудита широкого спектра прикладного ПО Microsoft.
Дополнительные модули аудита уязвимостей и конфигураций безопасности
Для программ Seven_Check, Server08R2_Check, 8_Check, Server12_Check доступны дополнительные Модули аудита уязвимостей и конфигураций безопасности. Модули значительно расширяют базовые возможности программ "Check" для клиентских и серверных операционных систем Windows и обеспечивают:
• аудит обновлений;
• аудит уязвимостей;
• аудит конфигураций безопасности;
• анализ сетевой активности.
Модули аудита уязвимостей и конфигураций отдельно лицензируется и поставляется только при наличии базовых лицензии на использование программы "Check".
Локальные версии программ Check с дополнительными модулями уязвимости являются эффективным инструментом операторов персональных данных (ПДн) или государственных информационных ресурсов (ГИС) при реализации мероприятий по контролю (анализу) защищенности информационных ресурсов, в том числе:
• для выявления (поиска), анализа и устранение уязвимостей в информационной системе, связанных с ошибками кода в программном обеспечении, неверными установками и настройками средств защиты информации, технических средств и программного обеспечения;
• контроля работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации;
• разработки детальных отчетов и описаний уязвимостей по результатам контроля защищенности;
• устранения выявленных уязвимостей и приведения параметров безопасности заданным значениям;
• контроля за своевременной установкой обновлений программного обеспечения, включая обновлений СЗИ;
• регистрации событий безопасности на случаи расследования инцидентов;
• проверки слабости парольной защиты;
• контроля состава технических средств, программного обеспечения и средств защиты информации;
• обнаружения фактов несанкционированного нарушения целостности информационной системы, включая средства защиты;
• управление и документирование изменений конфигураций ИС.
количество слов: 203
Аватара пользователя
Артём Мамзиков
Admin
Сообщения: 804
Стаж: 5 лет 1 месяц
Откуда: Вологодская область
Поблагодарили: 33 раза
Контактная информация:

Защита информации

Сообщение Артём Мамзиков »

Лаба 1 взлом архива
Тема: Защита информации с помощью пароля
Цель: Оценка сложности восстановления пароля, а также критерии надежности пароля.
Описание:
Утилита Advanced Archive Password Recovery предназначена для восстановления паролей к ZIP и RAR - архивам, созданным с использованием почти любых программ-архиваторов, а также самораспаковывающихся архивов формата «.exe».
1
1
Системные требования для программы:
- Поддерживаемые операционные системы: Windows XP, Windows Vista (32/64 bit), Windows 7 (32/64 bit), Windows Server 2003/2008
- Около 6 МБ свободного пространства на жестком диске
Чтобы проверить работу программы, были зашифрованы средствами WinRAR несколько архивов с разными паролями для использования различных видов атак.
Происходит работа с программой для расшифрования паролей от архивов AdvancedArchivePassword. Были зашифрованы виды паролей:
Пароль «asd»:
Перебором – был расшифрован за 23ms:
2
2
Пароль «BaCup»:
Перебором – был расшифрован за 1s 322ms:
3
3
Пароль «house»:
Перебором – был расшифрован за 17s 979ms:
4
4
По словарю – был расшифрован за 51ms:
5
5
Пароль «Open/Close»:
Перебором – был расшифрован за 8m 45s 672ms:
6
6
Вывод: в данной лабораторной работы мною было расшифровано несколько видов паролей, которые содержали символы больших и маленьких букв, пароли с большим количеством символов расшифровывались дольше. Из этого можно сделать вывод: для того, чтобы ваш пароль был максимально сложным, необходимо использовать следующие правила, а именно:
- Пароль включал в себя:
а) Большие/маленькие буквы;
б) Цифры;
в) Служебные символы: «!»; «@», «#» и др.;
- Пароль имел длину от 8 символов и более.


ЛАБОРАТОРНАЯ РАБОТА
Защита информации с помощью пароля

1 ЦЕЛЬ РАБОТЫ

Целью работы является исследование защиты с применением пароля, а также исследование методов противодействия атакам на пароль.
2 ТЕОРЕТИЧЕСКАЯ ЧАСТЬ
2.1 Атаки на пароль
На сегодняшний день пароль является наиболее приемлемым и потому наиболее часто используемым средством установления подлинности, основанным на знаниях субъектов доступа.
В любой критической системе ошибки человека-оператора являются чуть ли не самыми дорогостоящими и распространенными. В случае криптосистем, непрофессиональные действия пользователя сводят на нет самый стойкий криптоалгоритм и самую корректную его реализацию и применение.
В первую очередь это связано с выбором паролей. Очевидно, что короткие или осмысленные пароли легко запоминаются человеком, но они гораздо проще для вскрытия. Использование длинных и бессмысленных паролей безусловно лучше с точки зрения криптостойкости, но человек обычно не может их запомнить и записывает на бумажке, которая потом либо теряется, либо попадает в руки злоумышленнику. Именно из того, что неискушенные пользователи обычно выбирают либо короткие, либо осмысленные пароли, существуют два метода их вскрытия: атака полным перебором и атака по словарю.
Защищенность пароля при его подборе зависит, в общем случае, от скорости проверки паролей и от размера полного множества возможных паролей, которое, в свою очередь, зависит от длины пароля и размера применяемого алфавита символов. Кроме того, на защищенность сильно влияет реализация парольной защиты.
В связи с резким ростом вычислительных мощностей атаки полным перебором имеют гораздо больше шансов на успех, чем раньше. Кроме того, активно используются распределенные вычисления, т.е. равномерное распределение задачи на большое количество машин, работающих параллельно. Это позволяет многократно сократить время взлома.
Однако вернемся на несколько лет назад, когда вычислительной мощности для полного перебора всех паролей не хватало. Тем не менее, хакерами был придуман остроумный метод, основанный на том, что в качестве пароля человеком выбирается существующее слово или какая-либо информация о себе или своих знакомых (имя, дата рождения и т.п.). Ну, а поскольку в любом языке не более 100000 слов, то их перебор займет весьма небольшое время, и от 40 до 80% существующих паролей может быть угадано с помощью простой схемы, называемой “атакой по словарю”. Кстати, до 80% этих паролей может быть угадано с использованием словаря размером всего 1000 слов!
Пусть сегодня пользователи уже понимают, что выбирать такие пароли нельзя, но, видимо, никогда эксперты по компьютерной безопасности не дождутся использования таких простых и радующих душу паролей, как 34jХs5U@bТа!6;). Поэтому даже искушенный пользователь хитрит и выбирает такие пароли, как hоре1, user1997, рАsSwOrD, toor, roottoor, раго1, gfhjkm, asхz. Видно, что все они, как правило, базируются на осмысленном слове и некотором простом правиле его преобразования: прибавить цифру, прибавить год, перевести через букву в другой регистр, записать слово наоборот, прибавить записанное наоборот слово, записать русское слово латинскими буквами, набрать русское слово на клавиатуре с латинской раскладкой, составить пароль из рядом расположенных на клавиатуре клавиш и т.п.
Поэтому не надо удивляться, если такой “хитрый” пароль будет вскрыт хакерами — они не глупее самих пользователей, и уже вставили в свои программы те правила, по которым может идти преобразование слов. В самых "продвинутых" программах (John The Ripper, Password Cracking library) эти правила могут быть программируемыми и задаваться с помощью специального языка самим хакером.
Приведем пример эффективности такой стратегии перебора. Во многих книгах по безопасности предлагается выбирать в качестве надежного пароля два осмысленных слова, разделенных некоторым знаком (например, good!password). Подсчитаем, за сколько времени в среднем будут сломаны такие пароли, если такое правило включено в набор программы-взломщика (пусть словарь 10000 слов, разделительными знаками могут быть 10 цифр и 32 знака препинания и специальных символа, машина класса Pentium со скоростью 15000 паролей/сек):
10000*(32+10)*10000/15000*2=140000 секунд или менее 1.5 дня!
Чем больше длина пароля, тем большую безопасность будет обеспечивать система, так как потребуются большие усилия для его отгадывания. Это обстоятельство можно представить в терминах ожидаемого времени раскрытия пароля или ожидаемого безопасного времени. Ожидаемое безопасное время (Тб) — половина произведения числа возможных паролей и времени, требуемого для того, чтобы попробовать каждый пароль из последовательности запросов. Представим это в виде формулы:
7 - zasihtifo7.jpg
7 - zasihtifo7.jpg (2.49 КБ) 4342 просмотра
(1)
где t— время, требуемое на попытку введения пароля, равное E/R; E — число символов в передаваемом сообщении при попытке получить доступ (включая пароль и служебные символы); R — скорость передачи (символы/мин) в линии связи; S — длина пароля; А — число символов в алфавите, из которых составляется пароль. Если после каждой неудачной попытки подбора автоматически предусматривается десятисекундная задержка, то безопасное время резко увеличивается.
Поэтому при использовании аутентификации на основе паролей защищенной системой должны соблюдаться следующие правила:
а) не позволяются пароли меньше 6–8 символов;
б) пароли должны проверяться соответствующими контроллерами;
в) символы пароля при их вводе не должны появляться в явном виде;
г) после ввода правильного пароля выдается информация о последнем входе в систему;
д) ограничивается количество попыток ввода пароля;
е) вводится задержка времени при неправильном пароле;
ж) при передаче по каналам связи пароли должны шифроваться;
з) пароли должны храниться в памяти только в зашифрованном виде в файлах, недоступных пользователям;
и) пользователь должен иметь возможность самому менять пароль;
к) администратор не должен знать пароли пользователей, хотя может их менять;
л) пароли должны периодически меняться;
м) устанавливаются сроки действия паролей, по истечении которых надо связаться с администратором.

2.2 Проблема выбора пароля

Выбор длины пароля в значительной степени определяется развитием технических средств, их элементной базы и ее быстродействием. В настоящее время широко применяются многосимвольные пароли, где S>10. В связи с этим возникают вопросы: как и где его хранить и как связать его с аутентификацией личности пользователя? На эти вопросы отвечает комбинированная система паролей, в которой код пароля состоит из двух частей. Первая часть состоит из 3–4-х десятичных знаков, если код цифровой, и более 3–4-х, если код буквенный, которые легко запомнить человеку. Вторая часть содержит количество знаков, определяемое требованиями к защите и возможностями технической реализации системы, она помещается на физическом носителе и определяет ключ-пароль, расчет длины кода которого ведется по указанной выше методике. В этом случае часть пароля будет недоступна для нарушителя.
Однако при расчете длины кода пароля не следует забывать о том, что при увеличении длины пароля нельзя увеличивать периодичность его смены. Коды паролей необходимо менять обязательно, так как за большой период времени увеличивается вероятность их перехвата путем прямого хищения носителя, снятия его копии, принуждения человека. Выбор периодичности необходимо определять из конкретных условий работы системы, но не реже одного раза в год. Причем желательно, чтобы дата замены и периодичность должны носить случайный характер.
Для проверки уязвимости паролей используются специальные контроллеры паролей. Например, известный контроллер Кляйна, осуществляет попытки взлома пароля путем проверки использования в качестве пароля входного имени пользователя, его инициалов и их комбинаций, проверки использования в качестве пароля слов из различных словарей, начиная от наиболее употребительных в качестве пароля, проверки различных перестановок слов, а также проверки слов на языке пользователя–иностранца. Проверка паролей в вычислительных сетях с помощью контроллера Кляйна показала довольно высокие результаты — большинство пользователей используют простые пароли. Показателен пример, когда контроллер Кляйна позволил определить 100 паролей из 5 символов, 350 паролей из 6 символов, 250 паролей из 7 символов и 230 паролей из 8 символов.
Приведенный анализ позволяет сформулировать следующие правила снижения уязвимости паролей и направленные на противодействие известным атакам на них:
– расширяйте применяемый в пароле алфавит — используйте прописные и строчные буквы латинского и русского алфавитов, цифры и знаки;
– не используйте в пароле осмысленные слова;
– не используйте повторяющиеся группы символов;
– не применяйте пароли длиной менее 6–8 символов, так как запомнить их не представляет большого труда, а пароль именно нужно запоминать, а не записывать. По той же причине не имеет смысла требовать длину неосмысленного пароля более 15 символов, так как запомнить его нормальному человеку практически невозможно;
– не используйте один и тот же пароль в различных системах, так как при компрометации одного пароля пострадают все системы;
– проверяйте пароли перед их использованием контроллерами паролей.
Для составления пароля можно дать рекомендации, которыми пользоваться надо очень осторожно:
– выберите несколько строк из песни или поэмы (только не те, которые Вы повторяете первому встречному) и используйте первую (или вторую) букву каждого слова — при этом пароль должен иметь большую длину (более 15 символов), иначе нужно менять регистры букв, применять латинские буквы вместо русских или наоборот, можно вставлять цифры и знаки;
– замените в слове из семи–восьми букв одну согласную и одну или две гласных на знаки или цифры. Это даст вам слово-абракадабру, которое обычно произносимо и поэтому легко запоминается. Подведем итог:

Что такое плохой пароль:
• Собственное имя;
• Слово, которое есть в словаре;
• Идентификатор, присвоенный Вам какой-нибудь системой, или любые его вариации;
• Дата рождения;
• Повторенный символ (например: AAA);
• Пароль меньше 6 символов;
• Пароль, установленный Вам чужим человеком;
• Пароль, состоящий из символов соседствующих на клавиатуре (например: QWERTY или ЙЦУКЕ);
• Пароль состоящий из паспортных данных: персональный номер, номер водительских прав и т.д.

Что такое хороший пароль:
• Бессмысленная фраза;
• Случайный набор символов вперемешку с буквами.

2.3 Порядок работы с программами вскрытия паролей.
В данной лабораторной работе используeтся программныи продукт для вскрытия закрытых паролем архивов на примере Advanced ZIP Password Recovery
2.4 Работа с программами взлома на примере AZPR
Программа AZPR используется для восстановления забытых паролей ZIP-архивов. На сегодняшний день существует два способа вскрытия паролей: перебор (brute force) и атака по словарю (dictionary-based attack).
Панель управления:
• кнопки Открыть и Сохранить позволяют работать с проектом, в котором указан вскрываемый файл, набор символов, последний протестированный пароль. Это позволяет приостанавливать и возобновлять вскрытие.
• кнопки Старт и Стоп ¬позволяют соответственно начинать и заканчивать подбор пароля.
• кнопка Набор позволяет задать свое множество символов, если известны символы, из которых состоит пароль.
• кнопка Справка выводит помощь по программе.
• кнопка O AZPR выводит информацию о программе.
• кнопка Выход позволяет выйти из программы
8
8
Рассмотрим возможности программы:
Выбирается архив для вскрытия и тип атаки (см. рис).
9 - zasihtifo9.jpg
9 - zasihtifo9.jpg (10.38 КБ) 4342 просмотра
Выбираются параметры работы:
• Закладка Набор
Программа позволяет выбрать область перебора (набор символов). Это значительно сокращает время перебора. Можно использовать набор пользователя, заданный с помощью кнопки Набор. Можно ограничить количество тестируемых паролей, задав начальный пароль. В случае если известна часть пароля, очень эффективна атака по маске. Нужно выбрать соответствующий тип атаки, после этого станет доступным поле маска. В нем нужно ввести известную часть пароля в виде P?s?W?r? , где на месте неизвестных символов нужно поставить знак вопроса. Можно использовать любой другой символ, введя его в поле символ маски.

• Закладка Длина
10
10
Позволяет выбрать длину пароля.
• Закладка Словарь
Позволяет выбрать файл-словарь. Выбирайте файл English.dic, он содержит набор английских слов и наборы символов, наиболее часто использующиеся в качестве паролей.
• Закладка Автосохранение
Можно выбрать имя файла для сохранения результатов работы и интервал автосохранения.
• Закладка Опции
Выбирается приоритет работы (фоновый или высокий), интервал обновления информации о тестируемом в данный момент пароле. Увеличение интервала повышает быстродействие, но снижает информативность. Также можно установить режим ведения протокола работы и возможность минимизации программы в tray (маленькая иконка рядом с часами).


3 ПОРЯДОК ВЫПОЛНЕНИЯ РАБОТ
Создайте архивы защищенные паролем различной сложности. С помощью программы подбора паролей попробуйте найти пароль к архиву. Сделайте вывод о критерии надежности пароля.

4.СОДЕРЖАНИЕ ОТЧЕТА
1) титульный лист;
2) формулировку цели работы;
3) описание результатов выполнения;
4) выводы, согласованные с целью работы.
количество слов: 171
Аватара пользователя
Артём Мамзиков
Admin
Сообщения: 804
Стаж: 5 лет 1 месяц
Откуда: Вологодская область
Поблагодарили: 33 раза
Контактная информация:

Защита информации

Сообщение Артём Мамзиков »

Лаба 2 уязвимости сети

Тема: Выявление уязвимостей компьютерных сетей.
Цель: Исследование персональных компьютеров и локальных вычислительных сетей на наличие уязвимостей.

Описание:
Существует три этапа осуществления атаки. Первый, подготовительный, этап заключается в поиске предпосылок для осуществления той или иной атаки. На этом этапе ищутся уязвимости, использование которых приводит к реализации атаки, т.е. ко второму этапу. На третьем этапе завершается атака, "заметаются" следы и т.д. При этом первый и третий этапы сами по себе могут являться атаками.

С помощью программы Essential NetTools будет выполнена проверка хостового компьютера и локальной сети на уязвимости.
11
11
Ping – показывает существует ли данный IP-адрес и может отвечать на запросы, отправляя отклик по протоколу ICMP.
12
12
TraceRoute – этот модуль, отслеживает путь (т.е. шлюзы на каждом участке) от компьютера-клиента до удаленного хоста, сообщая все IP-адреса маршрутизаторов.
13
13
PortScan - показывает список открытых TCP-портов, которые могут участвовать в соединениях.
14
14
HostAlive – модуль, который проверяет доступность удалённого хоста.
15
15
EmailVerify – этот модуль проверят, существует ли адрес электронной почты и может ли этот адрес принимать почту.
16
16
NSLookup позволяет получить IP-адресу по имени хоста. Также можно выполнить обратный поиск по имени и узнать имя хоста по IP-адресу.
17
17
IPBlackList – этот модуль проверяет IP-адреса на предмет их нахождения в различных черных списках, таких как базы данных адресов спамеров, открытые прокси, рилеи электронной почты и т. п.
18
18
NBScan - мощный и быстрый сканер NetBios, который используется для исследования сетей. NBScan может просканировать сеть в заданном диапазоне IP-адресов и показать список компьютеров с разделяемыми ресурсами NetBios, а также таблицы их имён.
19
19
Модуль RawSocket предоставляет возможность передавать и принимать "сырую" информацию на/от IP-адрес, а также принимать входящие TCP- или UDP-соединения на любом локальном порту.
20
20
С помощью модуля NetAudit была произведена проверка сети на данном компьютере.
21
21
Вывод: Существующие механизмы защиты, реализованные в межсетевых экранах, серверах аутентификации, системах разграничения доступа. Т.е. по существу они являются средствами блокирующими, а не упреждающими атаки. В абсолютном большинстве случаев они защищают от атак, которые уже находятся в процессе осуществления. И даже если они смогли предотвратить ту или иную атаку, то намного более эффективным было бы упреждение атак, т.е. устранение самих предпосылок реализации вторжений. Комплексная система обеспечения информационной безопасности должна работать на всех трех этапах осуществления атаки. Ведь только в этом случае можно реально оценить ущерб от "успешной" атаки, а также разработать меры по устранению дальнейших попыток реализовать аналогичную атаку.


ЛАБОРАТОРНАЯ РАБОТА

Выявление уязвимостей компьютерных сетей

1 ЦЕЛЬ РАБОТЫ

Целью работы является исследование персональных компьютеров и локальных вычислительных сетей на наличие уязвимостей.
2 ТЕОРЕТИЧЕСКАЯ ЧАСТЬ

Системы обнаружения атак
Существует три этапа осуществления атаки. Первый, подготовительный, этап заключается в поиске предпосылок для осуществления той или иной атаки. На этом этапе ищутся уязвимости, использование которых приводит к реализации атаки, т.е. ко второму этапу. На третьем этапе завершается атака, "заметаются" следы и т.д. При этом первый и третий этапы сами по себе могут являться атаками. Например, поиск нарушителем уязвимостей при помощи сканеров безопасности, например, SATAN считается атакой.
Существующие механизмы защиты, реализованные в межсетевых экранах, серверах аутентификации, системах разграничения доступа и т.д. работают только на втором этапе. Т.е. по существу они являются средствами блокирующими, а не упреждающими атаки. В абсолютном большинстве случаев они защищают от атак, которые уже находятся в процессе осуществления. И даже если они смогли предотвратить ту или иную атаку, то намного более эффективным было бы упреждение атак, т.е. устранение самих предпосылок реализации вторжений. Комплексная система обеспечения информационной безопасности должна работать на всех трех этапах осуществления атаки. И обеспечение адекватной защиты на третьем, завершающем, этапе не менее важно, чем на первых двух. Ведь только в этом случае можно реально оценить ущерб от "успешной" атаки, а также разработать меры по устранению дальнейших попыток реализовать аналогичную атаку.
Обнаруживать, блокировать и предотвращать атаки можно несколькими путями. Первый, и самый распространенный, способ - это обнаружение уже реализуемых атак. Этот способ применяется в "классических" системах обнаружения атак (например, RealSecure компании Internet Security Systems), межсетевых экранах и т.п. Однако, "недостаток" средств данного класса в том, что атаки могут быть реализованы повторно. Второй путь - предотвратить атаки еще до их реализации. Осуществляется это путем поиска уязвимостей, которые могут быть использованы для реализации атаки. И, наконец, третий путь - обнаружение уже совершенных атак и предотвращение их повторного осуществления. Таким образом, системы обнаружения атак могут быть классифицированы по этапам осуществления атаки (рис.1.):
22 - zasihtifo22.jpg
22 - zasihtifo22.jpg (8.74 КБ) 4342 просмотра
Рисунок 1. Классификация систем обнаружения атак по этапу осуществления атаки
Системы, функционирующие на первом этапе осуществления атак и позволяющие обнаружить уязвимости информационной системы, используемые нарушителем для реализации атаки. Иначе средства этой категории называются системами анализа защищенности (security assessment systems) или сканерами безопасности (security scanners). Обычно системы анализа защищенности не принято относить к классу средств обнаружения атак, однако, если следовать описанным выше этапам осуществления атаки, то такое отнесение вполне логично.
Системы, функционирующие на втором этапе осуществления атаки и позволяющие обнаружить атаки в процессе их реализации, т.е. в режиме реального (или близкого к реальному) времени. Именно эти средства и принято считать системами обнаружения атак в классическом понимании. Помимо этого можно выделить такой класс средств обнаружения атак как обманные системы.
Системы, функционирующие на третьем этапе осуществления атаки и позволяющие обнаружить уже совершенные атаки. Эти системы делятся на два класса - системы контроля целостности, обнаруживающие изменения контролируемых ресурсов, и системы анализа журналов регистрации.
Помимо этого, существует еще одна распространенная классификация систем обнаружения нарушения политики безопасности - по принципу реализации: host-based, т.е. обнаруживающие атаки, направленные на конкретный узел сети, и network-based, направленные на всю сеть или сегмент сети. Обычно на этом дальнейшая классификация останавливается. Однако системы класса host-based можно разделить еще на три подуровня:
Application IDS (Intrusion Detection System), обнаруживающие атаки на конкретные приложения;
OS IDS, обнаруживающие атаки на операционные системы;
DBMS IDS, обнаруживающие атаки на системы управления базами данных.
Выделение обнаружения атак на системы управления базами данных (СУБД) в отдельную категорию связано с тем, что современные СУБД уже вышли из разряда обычных приложений и по многим своим характеристикам, в т.ч. и по сложности, приближаются к операционным системам. Таким образом, классификация систем обнаружения атак по уровню реализации выглядит следующим образом (рис.2):
Можно заметить, что это деление соответствует уровням информационной системы предприятия.
23 - zasihtifo23.jpg
23 - zasihtifo23.jpg (6.33 КБ) 4342 просмотра
Рисунок 2. Классификация систем обнаружения атак по принципу реализации
Системы контроля целостности
Системы контроля целостности работают по замкнутому циклу, обрабатывая файлы, системные объекты и атрибуты системных объектов с целью получения контрольных сумм; затем они сравнивают их с предыдущими контрольными суммами, отыскивая изменения. Когда изменение обнаружено, система посылает сообщение администратору, фиксируя время, соответствующее вероятному времени изменения. Если вновь вернуться к этапам реализации атаки, то системы этого класса функционируют на третьем этапе, т.е. они могут однозначно сказать, происходила атака (точнее изменение контролируемого объекта) или нет.
Обманные системы
Обычно, когда речь заходит об обмане в области информационной безопасности, то здесь используются методы, которые применяют злоумышленники, т.е. лазейки для обхода используемых средств защиты, будь то кража паролей и работа от имени авторизованного пользователя или несанкционированное использование модемов. Обман может сослужить хорошую службу не только для злоумышленников, но и для защиты корпоративных ресурсов. Существует множество различных вариантов использования обмана в благих целях:
• Сокрытие
• Камуфляж
• Дезинформация

В той или иной мере эти механизмы используются в практике работ отделов безопасности. Однако, как правило, эти механизмы используются не для информационной, а для иных областей обеспечения безопасности (физическая, экономическая и т.д.).
В области информационной безопасности наибольшее распространение получил первый метод - сокрытие. Ярким примером использования этого метода в целях обеспечения информационной безопасности можно назвать сокрытие сетевой топологии при помощи межсетевого экрана. Примером камуфляжа является следующий пример: каждая операционная система обладает присущим только ей представлением механизма идентификации пользователя, отличающимся цветом и типом шрифта, которым выдается приглашение, текстом приглашения и местом его расположения. И, наконец, в качестве примера дезинформации можно назвать использование заголовков (banner), которые бы давали понять злоумышленнику, что атакуемая им система якобы уязвима.
Работа систем 2 и 3 их реализующих заключается в том, что эти системы эмулируют те или иные известные уязвимости, которых в реальности не существует. Использование средств (deception systems), реализующих камуфляж и дезинформацию, приводит к следующему:
1. Увеличение числа выполняемых нарушителем операций и действий. Так как заранее определить является ли обнаруженная нарушителем уязвимость истинной или нет, злоумышленнику приходится выполнять много дополнительных действий, чтобы выяснить это. И даже дополнительные действия не всегда помогают в этом. Например, попытка запустить программу подбора паролей (например, Crack для Unix или L0phtCrack(LC) для Windows) на сфальсифицированный и несуществующий в реальности файл, приведет к бесполезной трате времени без какого-либо видимого результата. Нападающий будет думать, что он не смог подобрать пароли, в то время как на самом деле программа "взлома" была просто обманута.
2. Получение возможности отследить нападающих. За тот период времени, когда нападающие пытаются проверить все обнаруженные уязвимости, в т.ч. и фиктивные, администраторы безопасности могут проследить весь путь до нарушителя или нарушителей и предпринять соответствующие меры.
Например, в информационной системе используются от 5 до 10 зарезервированных портов (с номерами от 1 до 1024). К ним можно отнести порты, отвечающие за функционирование сервисов HTTP, FTP, SMTP, NNTP, NetBIOS, Echo, Telnet и т.д. Если обманные системы (например, RealSecure компании ISS) эмулируют использование еще 100 и более портов, то работа нападающего резко увеличивается и злоумышленник обнаружит не 5-10, а 100 открытых портов. При этом мало обнаружить открытый порт, надо еще попытаться использовать уязвимости, связанные с этим портом. И даже если нападающий автоматизирует эту работу путем использования соответствующих программных средств (Nmap, SATAN и т.д.), то число выполняемых им операций все равно существенно увеличивается, что приводит к быстрому снижению производительности его работы.
Средства анализа защищенности
Обнаружением уязвимостей занимаются системы анализа защищенности - сканеры безопасности или системы поиска уязвимостей. Они проводят всесторонние исследования заданных систем с целью обнаружения уязвимостей, которые могут привести к нарушениям политики безопасности. Результаты, полученные от средств анализа защищенности, представляют "мгновенный снимок" состояния защиты системы в данный момент времени. Несмотря на то, что эти системы не могут обнаруживать атаку в процессе ее развития, они могут определить потенциальную возможность реализации атак.
Технология анализа защищенности является действенным методом реализации политики сетевой безопасности прежде, чем осуществится попытка ее нарушения снаружи или изнутри организации.
Одним из вариантов классификации уязвимостей может служить классификация, отражающая этапы жизненного цикла информационной системы (Таблица 1).
Таблица 1. Категории уязвимостей
24
24
Наиболее опасны уязвимости проектирования, которые обнаруживаются и устраняются с большим трудом. В этом случае, уязвимость свойственна проекту или алгоритму и, следовательно, даже совершенная его реализация (что в принципе невозможно) не избавит от заложенной в нем уязвимости. Например, уязвимость стека протоколов TCP/IP.
Смысл уязвимостей второй категории (уязвимости реализации) заключается в появлении ошибки на этапе реализации в программном или аппаратном обеспечении корректного с точки зрения безопасности проекта или алгоритма. Обнаруживаются и устраняются такого рода уязвимости относительно легко - путем обновления исполняемого кода или изменения исходного текста уязвимого ПО.
Последняя причина возникновения уязвимостей - ошибки конфигурации программного или аппаратного обеспечения. К их числу можно отнести, например, доступный, но не используемый на узле сервис Telnet, использование "слабых" паролей или паролей менее 6 символов, учетные записи (accounts) и пароли, остановленные по умолчанию (например, SYSADM или DBSNMP в СУБД Oracle), и т.д. Обнаружить и исправить такие уязвимости проще всего.
Системы анализа защищенности могут быть классифицированы по типам обнаруживаемых ими уязвимостей (Рис.3), описанных выше.
25 - zasihtifo25.jpg
25 - zasihtifo25.jpg (6.1 КБ) 4342 просмотра
Системы анализа защищенности второго и третьего классов получили наибольшее распространение среди конечных пользователей. Существует несколько дополнительных классификаций этих систем. Например, системы анализа исходного текста и исполняемого кода тестируемого программно-аппаратного обеспечения и т.д. Первые также применяются обычно при сертификации программного обеспечения по требованиям безопасности. В большинстве случаев программное обеспечение поставляется в организации без исходных текстов. Кроме того, анализ исходных текстов требует высокой квалификации от обслуживающего их персонала. Отсутствие эффективных систем анализа исходных текстов не позволяет проводить такой анализ на качественном уровне. Именно поэтому большой интерес вызывают системы поиска уязвимостей в исполняемом коде, самым распространенным подклассом которых являются системы имитации атак, которые моделируют различные несанкционированные воздействия на компоненты информационной системы. Именно эти системы получили широкую известность во всем мире ввиду своей относительной простоты и дешевизны. Посредством таких имитаторов обнаруживаются уязвимости еще до того, как они будут использованы нарушителями для реализации атак. К числу систем данного класса можно отнести SATAN, Internet Scanner, Cisco Secure Scanner и т.д.
Системы имитации атак с одинаковым успехом обнаруживают не только уязвимости реализации, но и уязвимости эксплуатации. Функционировать системы анализа защищенности, в частности системы поиска уязвимостей реализации и эксплуатации, могут на всех уровнях информационной инфраструктуры любой компании, то есть на уровне сети, операционной системы, СУБД и прикладного программного обеспечения. Наибольшее распространение получили средства анализа защищенности сетевых сервисов и протоколов. Связано это, в первую очередь, с универсальностью используемых протоколов. Изученность и повсеместное использование таких стеков протоколов, как TCP/IP и т.п. позволяют с высокой степенью эффективности проверять защищенность корпоративной сети, работающей в данном сетевом окружении, независимо от того, какое программное обеспечение функционирует на более высоких уровнях. Примером такой системы является Internet Scanner компании ISS. Вторыми по распространенности являются средства анализа защищенности операционных систем. Связано это также с универсальностью и распространенностью некоторых операционных систем (например, UNIX и Windows). Однако, из-за того, что каждый производитель вносит в операционную систему свои изменения (ярким примером является множество разновидностей ОС UNIX), средства анализа защищенности ОС анализируют в первую очередь параметры, характерные для всего семейства одной ОС. И лишь для некоторых систем анализируются специфичные для нее параметры. Примером такой системы является System Scanner компании ISS.
При проведении анализа защищенности реализуются две стратегии. Первая - пассивная, - реализуемая на уровне операционной системы, СУБД и приложений, при которой осуществляется анализ конфигурационных файлов и системного реестра на наличие неправильных параметров, файлов паролей на наличие легко угадываемых паролей, а также других системных объектов на нарушения политики безопасности. Вторая стратегия, - активная, - осуществляемая в большинстве случаев на сетевом уровне, позволяющая воспроизводить наиболее распространенные сценарии атак, и анализировать реакции системы на эти сценарии.
Однако не стоит думать, что при помощи средств анализа защищенности можно тестировать только возможность несанкционированного доступа в корпоративную сеть из сетей открытого доступа (например, Internet). Эти средства с не меньшим успехом могут быть использованы для анализа некоторых сегментов или узлов внутренней сети организации. Системы анализа защищенности могут быть использованы:
• для оценки уровня безопасности организации;
• для контроля эффективности настройки сетевого, системного и прикладного программно-аппаратного обеспечения;
• внешними аудиторскими и консалтинговыми компаниями, осуществляющими информационные обследования сетей заказчиков;
• для тестирования и сертификации того или иного программно-аппаратного обеспечения.

Таблица 2. Средства анализа защищенности.
26
26
Поскольку постоянно появляются новые уязвимости, то для их эффективного обнаружения необходимо постоянно обновлять базу данных системы анализа защищенности. В идеале разрыв между появлением информации об уязвимости в различных "хакерских" источниках и появлением сигнатуры в базе данных системы обнаружения должен отсутствовать. Но как бы часто не обновлялась база данных уязвимостей, существует временной промежуток между сообщением о новой уязвимости и появлением проверки для нее.
Существует два основных механизма, при помощи которых сканер проверяет наличие уязвимости - сканирование (scan) и зондирование (probe).
Сканирование - механизм пассивного анализа, с помощью которого сканер пытается определить наличие уязвимости без фактического подтверждения ее наличия - по косвенным признакам. Этот метод является наиболее быстрым и простым для реализации. В терминах компании ISS данный метод получил название "логический вывод" (inference). Согласно компании Cisco этот процесс идентифицирует открытые порты, найденные на каждом сетевом устройстве, и собирает связанные с портами заголовки (banner), найденные при сканировании каждого порта. Каждый полученный заголовок сравнивается с таблицей правил определения сетевых устройств, операционных систем и потенциальных уязвимостей. На основе проведенного сравнения делается вывод о наличии или отсутствии уязвимости.
Зондирование - механизм активного анализа, который позволяет убедиться, присутствует или нет на анализируемом узле уязвимость. Зондирование выполняется путем имитации атаки, использующей проверяемую уязвимость. Этот метод более медленный, чем "сканирование", но почти всегда гораздо более точный, чем он. В терминах компании ISS данный метод получил название "подтверждение" (verification). Согласно компании Cisco этот процесс использует информацию, полученную в процессе сканирования ("логического вывода"), для детального анализа каждого сетевого устройства. Этот процесс также использует известные методы реализации атак для того, чтобы полностью подтвердить предполагаемые уязвимости и обнаружить другие уязвимости, которые не могут быть обнаружены пассивными методами, например подверженность атакам типа "отказ в обслуживании" ("denial of service").
На практике указанные механизмы реализуются следующими несколькими методами.
"Проверка заголовков" (banner check)
Указанный механизм представляет собой ряд проверок типа "сканирование" и позволяет делать вывод об уязвимости, опираясь на информацию в заголовке ответа на запрос сканера. Типичный пример такой проверки - анализ заголовков программы Sendmail или FTP-сервера, позволяющий узнать их версию и на основе этой информации сделать вывод о наличии в них уязвимости. Однако не стоит забывать, что администратор может изменить текст заголовков, возвращаемых на внешние запросы.
"Активные зондирующие проверки" (active probing check)
Также относятся к механизму "сканирования". Однако они основаны на сравнении "цифрового слепка" (fingerprint) фрагмента программного обеспечения со слепком известной уязвимости. Аналогичным образом поступают антивирусные системы, сравнивая фрагменты сканируемого программного обеспечения с сигнатурами вирусов, хранящимися в специализированной базе данных. Разновидностью этого метода являются проверки контрольных сумм или даты сканируемого программного обеспечения, которые реализуются в сканерах, работающих на уровне операционной системы.
Специализированная база данных (в терминах компании Cisco - база данных по сетевой безопасности) содержит информацию об уязвимостях и способах их использовании (атаках). Эти данные дополняются сведениями о мерах их устранения, позволяющих снизить риск безопасности в случае их обнаружения. Зачастую эта база данных используется и системой анализа защищенности и системой обнаружения атак. По крайней мере, так поступают компании Cisco и ISS.
Этот метод также достаточно быстр, но реализуется труднее, чем "проверка заголовков".
"Имитация атак" (exploit check)
Некоторые уязвимости не обнаруживают себя, пока их не "подтолкнут". Для этого против подозрительного сервиса или узла запускаются реальные атаки. Проверки методом "exploit check" позволяет имитировать реальные атаки, тем самым с большей эффективностью (но меньшей скоростью) обнаруживая уязвимости на сканируемых узлах. Имитация атак является более надежным способом анализа защищенности, чем проверки заголовков, и обычно более надежны, чем активные зондирующие проверки.
Однако существуют случаи, когда имитация атак не всегда может быть реализована. Такие случаи можно разделить на две категории: ситуации, в которых тест приводит к "отказу в обслуживании" анализируемого узла или сети, и ситуации, при которых уязвимость в принципе не годна для реализации атаки на сеть.
Многие проблемы защиты не могут быть выявлены без блокирования или нарушения функционирования сервиса или компьютера в процессе сканирования. В некоторых случаях нежелательно использовать имитацию атак (например, для анализа защищенности важных серверов), т.к. это может привести к большим затратам (материальным и временным) на восстановление работоспособности выведенных из строя элементов корпоративной сети. В этих случаях желательно применить другие проверки, например, активное зондирование или проверки заголовков.
Однако, есть некоторые уязвимости, которые просто не могут быть протестированы без возможного выведения из строя сервиса или компьютера. В этом случае такие проверки выключены и пользователь может сам включить их. Например, в Internet Scanner такого рода проверки выделены в отдельную категорию "Denial of service" ("Отказ в обслуживании").
Этапы сканирования
Практически любой сканер проводит анализ защищенности в несколько этапов:
Сбор информации о сети. На данном этапе идентифицируются все активные устройства в сети и определяются запущенные на них сервисы и демоны. В случае использования систем анализа защищенности на уровне операционной системы данный этап пропускается, поскольку на каждом анализируемом узле установлены соответствующие агенты системного сканера.
Обнаружение потенциальных уязвимостей. Сканер использует описанную выше базу данных для сравнения собранных данных с известными уязвимостями при помощи проверки заголовков или активных зондирующих проверок. В некоторых системах все уязвимости ранжируются по степени риска. Например, в Internet Scanner уязвимости делятся на три степени риска: высокая (High), средняя (Medium) и низкая (Low).
Подтверждение выбранных уязвимостей. Сканер использует специальные методы и моделирует (имитирует) определенные атаки для подтверждения факта наличия уязвимостей на выбранных узлах сети.
Генерация отчетов.
Автоматическое устранение уязвимостей. Этот этап очень редко реализуется в сетевых сканерах, но широко применяется в системных сканерах (например, System Scanner). При этом данная возможность может реализовываться по-разному. Например, в System Scanner создается специальный сценарий (fix script), который администратор может запустить для устранения уязвимости. Одновременно с созданием этого сценария, создается и второй сценарий, отменяющий произведенные изменения. Это необходимо в том случае, если после устранения проблемы, нормальное функционирование узла быдет нарушено.
В любом случае у администратора, осуществляющего поиск уязвимостей, есть несколько вариантов использования системы анализа защищенности:
• Запуск сканирования только с проверками на потенциальные уязвимости (этапы 1,2 и 4). Это дает предварительное ознакомление с системами в сети. Этот метод является гораздо менее разрушительным по сравнению с другими и также является самым быстрым.
• •Запуск сканирования с проверками на потенциальные и подтвержденные уязвимости. Этот метод может вызвать нарушение работы узлов сети во время реализации проверок типа "exploit check".
• Запуск сканирования с пользовательскими правилами для нахождения конкретной проблемы.

Комбинации вышеперечисленного.
Подсистема генерации отчетов - немаловажный элемент системы анализа защищенности. Без нее трудно составить мнение о том, каков уровень защищенности сегментов корпоративной сети. На основе созданных отчетов администратор безопасности строит всю свою дальнейшую деятельность - изменяет политику безопасности, устраняет обнаруженные уязвимости, реконфигурирует средства защиты, готовит отчеты руководству и т.д. При этом хорошая подсистема генерации отчетов должна обладать следующими свойствами:
Наличие в отчетах, как текстовой информации, так и графических данных.
Наличие в отчетах информации об обнаруженной уязвимости, вариантах ложного обнаружения, наличие рекомендаций по устранению обнаруженных проблем, ссылках на сервера производителей, дополнительной информации. Во многих случаях отчеты также содержат ссылки на FTP- или Web-сервера, содержащие patch'и и hotfix'ы, устраняющие обнаруженные уязвимости.
Возможность выборки из всей собранной информации только нужных данных по заданным критериям (интервал времени, название уязвимости, степень риска, операционная система, тип уязвимости и т.д.).
Возможность сортировки данных в создаваемых отчетах по различным параметрам (по имени, по дате, по степени риска и т.д.).
Возможность создания отчетов для различных категорий специалистов. Как минимум можно выделить три таких категории: руководство компании, руководство среднего звена и технические специалисты. В отчетах первой категории не содержится никакой технической информации об обнаруженных уязвимостях или атаках. Они содержат описание общего состояния защищенности корпоративной сети. Отчеты второй категории могут содержать более подробную техническую информацию, например, описание обнаруженных уязвимостей или атак, но без указания мер по их устранению. К данной категории также относятся так называемые сравнительные отчеты (trend analysis), которые показывают тенденции в изменении уровня защищенности заданных узлов корпоративной сети. К последней категории отчетов можно отнести технические отчеты, содержащие не только подробное описание каждой из обнаруженных проблем, но и рекомендации по их устранению, а также ссылки на дополнительные источники информации. Такие категории отчетов приняты, например, в Internet Scanner и Cisco Secure Scanner.
Поддержка различных форматов создаваемых отчетов.
Особенности применения
Если сканер не находит уязвимостей на тестируемом узле это не значит, что их нет. Просто это зависит не только от сканера, но и от его окружения. Например, для ОС Windows характерен такой случай: сканер пытается дистанционно проанализировать системный реестр, однако в случае запрета на анализируемом узле удаленного доступа к реестру, сканер никаких уязвимостей не обнаружит. Различные реализации одного итого же сервиса по-разному реагируют на системы анализа защищенности. Очень часто на практике можно увидеть, что сканер показывает уязвимости, которых на анализируемом узле нет. Это относится к сетевым сканерам, которые проводят дистанционный анализ узлов сети. Удаленно определить, существует ли в действительности уязвимость или нет, практически невозможно. В этом случае можно порекомендовать использовать систему анализа защищенности на уровне операционной системы, агенты которой устанавливаются на каждый контролируемый узел и проводят все проверки локально.
Для решения этой проблемы некоторые компании-производители пошли по пути предоставления своим пользователям нескольких систем анализа защищенности, работающих на всех указанных выше уровнях, - сетевом, системном и уровне приложений. Совокупность этих систем позволяет с высокой степенью эффективности обнаружить практически все известные уязвимости. Например, компания Internet Security Systems предлагает семейство SAFEsuite, состоящее из четырех сканеров: Internet Scanner, System Scanner, Security Manager и Database Scanner.
Компания Cisco, предлагающая только систему анализа защищенности на уровне сети пошла другим путем для устранения проблемы ложного срабатывания. Она делит все уязвимости на два класса:
Потенциальные - вытекающие из проверок заголовков и т.н. активных "подталкиваний" (nudge) анализируемого сервиса или узла. Потенциальная уязвимость возможно существует в системе, но активные зондирующие проверки не подтверждают этого.
Подтвержденные - выявленные и существующие на анализируемом хосте.
Проверки на потенциальную уязвимость проводятся через коллекцию заголовков и использование "несильных подталкиваний". "Подталкивание" используется для сервисов, не возвращающих заголовки, но реагирующих на простые команды, например, посылка команды HEAD для получения версии HTTP-сервера.
В некоторых случаях имеются уязвимости, с трудом обнаруживаемые или совсем не обнаруживаемые через сеть. Например, проверка "слабости" паролей, используемых пользователями и другими учетными записями. В случае использования сетевого сканера вам потребуется затратить очень много времени на удаленную проверку каждой учетной записи. В то же время, аналогичная проверка, осуществляемая на локальном узле, проводится на несколько порядков быстрее. Другим примером может служить проверка файловой системы сканируемого узла. Во многих случаях ее нельзя осуществить дистанционно.
Достоинства сканирования на уровне ОС кроются в прямом доступе к низкоуровневым возможностям ОС хоста, конкретным сервисам и деталям конфигурации. Тогда как сканер сетевого уровня имитирует ситуацию, которую мог бы иметь внешний злоумышленник, сканер системного уровня может рассматривать систему со стороны пользователя, уже имеющего доступ к анализируемой системе и имеющего в ней учетную запись. Это является наиболее важным отличием, поскольку сетевой сканер по определению не может предоставить эффективного анализа возможных рисков деятельности пользователя.
Многие сканеры используют более чем один метод проверки одной и той же уязвимости или класса уязвимостей. Однако в случае большого числа проверок использование нескольких методов поиска одной уязвимости привносит свои проблемы. Связано это со скоростью проведения сканирования.
Не все проверки, разработанные в лабораторных условиях, функционируют так, как должны. Даже, несмотря на то, что эти проверки тестируются, прежде чем будут внесены в окончательную версию сканера. На это могут влиять некоторые факторы:
• Особенности конфигурации пользовательской системы.
• Способ, которым был скомпилирован анализируемый демон или сервис.
• Ошибки удаленной системы.

В таких случаях автоматическая проверка может пропустить уязвимость, которая легко обнаруживается вручную и которая может быть широко распространена во многих системах. Проверка заголовка в совокупности с активным зондированием в таком случае может помочь определить подозрительную ситуацию, сервис или узел. И хотя уязвимость не обнаружена, это не значит, что ее не существует.
Меры безопасности при использовании протоколов TCP/IP
1.Фильтрация на маршрутизаторе
Фильтры на маршрутизаторе, соединяющем сеть предприятия с Интернетом, применяются для запрета пропуска датаграмм, которые могут быть использованы для атак как на сеть организации из Интернета, так и на внешние сети злоумышленником, находящимся внутри организации.
Следует отметить, что более безопасным и управляемым решением, чем фильтрация того или иного TCP-трафика следующего от или к компьютеру пользователя, является работа пользователей через прокси-серверы. Прокси-сервер берет на себя функции предоставления пользователю требуемого сервиса и сам связывается с необходимыми хостами Интернета. Хост пользователя взаимодействует только с прокси-сервером и не нуждается в коннективности с Интернетом. Таким образом, фильтрующий маршрутизатор разрешает прохождение TCP-сегментов определенного типа только от или к прокси-серверу. Преимущества этого решения следующие:
• Прокси-сервер находится под контролем администратора предприятия, что позволяет реализовывать различные политики для дифференцированного управления доступом пользователей к сервисам и ресурсам Интернета, фильтрации передаваемых данных (защита от вирусов, цензура и т.п.), кэширования (там, где это применимо).
• С точки зрения Интернета от имени всех пользовательских хостов предприятия действует один прокси-сервер, то есть имеется только один потенциальный объект для атаки из Интернета, а безопасность одного прокси-сервера, легче обеспечить, чем безопасность множества пользовательских компьютеров.
2.Анализ сетевого трафика
Анализ сетевого трафика проводится для обнаружения атак, предпринятых злоумышленниками, находящимися как в сети организации, так и в Интернете.
3.Защита маршрутизатора
Мероприятия по защите маршрутизатора проводятся с целью предотвращения атак, направленных на нарушение схемы маршрутизации датаграмм или на захват маршрутизатора злоумышленником.
4.Защита хоста
Мероприятия по защите хоста проводятся для предотвращения атак, цель которых — перехват данных, отказ в обслуживании, или проникновение злоумышленника в операционную систему.
5.Превентивное сканирование
Администратор сети должен знать и использовать методы и инструменты злоумышленника и проводить превентивное сканирование сети организации для обнаружения слабых мест в безопасности до того, как это сделает злоумышленник. Для этой цели имеется также специальное программное обеспечение — сканеры безопасности. Общие меры по повышению безопасности сети
1. Оперативная установка исправлений для программ (Patching). Системные администраторы должны защищать самые важные свои системы, оперативно устанавливая исправления для программ на них. Тем не менее, установить исправления для программ на всех хостах в сети трудно, так как исправления могут появляться достаточно часто. В этом случае надо обязательно вносить исправления в программы на самых важных хостах.
2. Обнаружение вирусов и троянских коней. Для максимальной эффективности они должны быть установлены на всех компьютерах в сети. На установку антивирусных программ на всех компьютерах и регулярное обновление антивирусных баз в них может уходить достаточно много времени - но иначе это средство не будет эффективным. Пользователей следует учить, как им самим делать эти обновления, но при этом нельзя полностью полагаться на них. Помимо обычной антивирусной программы на каждом компьютере мы необходимо сканирование приложений к электронным письмам на почтовом сервере. Таким образом можно обнаружить большинство вирусов до того, как они достигнут машин пользователей.
3. Межсетевые экраны Межсетевые экраны - самое важное средство защиты сети организации. Они контролируют сетевой трафик, входящий в сеть и выходящий из нее. Межсетевой экран может блокировать передачу в сеть какого-либо вида трафика или выполнять те или иные проверки другого вида трафика. Хорошо сконфигуированный межсетевой экран в состоянии остановить большинство известных компьютерных атак.
4. Вскрыватели паролей (Password Crackers) Хакеры часто используют малоизвестные уязвимые места в компьютерах для того, чтобы украсть файлы с зашифрованными паролями. Затем они используют специальные программы для вскрытия паролей, которые могут обнаружить слабые пароли в этих зашифрованных файлах. Хотя это средство используются злоумышленниками, оно будет также полезно и системным администраторам, чтобы своевременно обнаружить слабые пароли.
5. Шифрование. Атакующие часто проникают в сети с помощью прослушивания сетевого трафика в наиболее важных местах и выделения из него имен пользователей и их паролей. Поэтому соединения с удаленными машинами, защищаемые с помощью пароля, должны быть зашифрованы. Это особенно важно в тех случаях, если соединение осуществляется по Интернет или с важным сервером. Имеется ряд коммерческих и бесплатных программ для шифрования трафика TCP/IP (наиболее известен SSH).
6. Сканеры уязвимых мест. Это программы, которые сканируют сеть в поисках компьютеров, уязвимых к определенным видам атак. Сканеры имеют большую базу данных уязвимых мест, которую они используют при проверке того или иного компьютера на наличие у него уязвимых мест.
7. Грамотное конфигурирование компьютеров в отношении безопасности.
8. Средства для поиска подключенных модемов. Для поиска подключенных модемов атакующие могут использовать программы обзвонки большого числа телефонных номеров. Так как пользователи обычно конфигурируют свои компьютеры сами, они часто оказываются плохо защищенными и дают атакующему еще одну возможность для организации атаки на сеть. Системные администраторы должны регулярно использовать программы для проверки телефонных номеров своих пользователей и обнаружения сконфигурированных подобным образом компьютеров.
9. Рекомендации по безопасности (security advisories) Рекомендации по безопасности - это предупреждения, публикуемые группами по борьбе с компьютерными преступлениями и производителями программ о недавно обнаруженных уязвимых местах. Рекомендации обычно описывают самые серьезные угрозы, возникающие из-за этих уязвимых мест и поэтому являются занимающими мало времени на чтение, но очень полезными. Они описывают угрозу и дают довольно конкретные советы о том, что нужно сделать для устранения данного уязвимого места. Двумя самыми полезными являются рекомендации, которые публикует группа по борьбе с компьютерными преступлениями CIAC и CERT
10. Средства обнаружения атак (Intrusion Detection) Системы обнаружения атак оперативно обнаруживают компьютерные атаки. Они могут быть установлены за межсетевым экраном, чтобы обнаруживать атаки, организуемые изнутри сети. Или они могут быть установлены перед межсетевым экраном, чтобы обнаруживать атаки на межсетевой экран. Средства этого типа могут иметь разнообразные возможности.
11. Средства выявления топологии сети и сканеры портов. Эти программы позволяют составить полную картину того, как устроена ваша сеть и какие компьютеры в ней работают, а также выявить все сервисы, которые работают на каждой машине. Атакующие используют эти средства для выявления уязвимых компьютеров и программ на них. Системные администраторы должны использовать эти средства для наблюдения за тем, какие программы и на каких компьютерах работают в их сети. С их помощью можно обнаружить неправильно сконфигурированные программы на компьютерах и установить исправления на них.
12. Инструкции по действию в критических ситуациях. В каждой сети, независимо от того, насколько она безопасна, происходят какие-либо события, связанные с безопасностью (может быть даже ложные тревоги). Сотрудники организации должны заранее знать, что нужно делать в том или ином случае.
13. Политики безопасности. Организации должны написать политику безопасности, в которой определялся бы ожидаемый уровень защиты, который должен быть везде единообразно реализован. Самым важным аспектом политики является выработка единых требований к тому, какой трафик должен пропускаться через межсетевые экраны сети. Также политика должна определять как и какие средства защиты (например, средства обнаружения атак или сканеры уязвимых мест) должны использоваться в сети. Для достижения единого уровня безопасности политика должна определять стандартные безопасные конфигурации для различных типов компьютеров.
14. Тестирование межсетевых экранов и WWW-серверов на устойчивость к попыткам их блокирования. Атаки на блокирование компьютера распространены в Интернет. Атакующие постоянно выводят из строя WWW-сайты, перегружают компьютеры или переполняют сети бессмысленными пакетами. Сети, заботящиеся о безопасности, могут организовать атаки против себя сами, чтобы определить, какой ущерб может быть нанесен им.
3 ПОРЯДОК ВЫПОЛНЕНИЯ РАБОТ

Различными утилитами входящими в состав программного комплекса Essential NetTools выполнить проверку хостового компьютера и локальной сети на уязвимости.

4.СОДЕРЖАНИЕ ОТЧЕТА
1) титульный лист;
2) формулировку цели работы;
3) описание результатов выполнения;
4) выводы, согласованные с целью работы.
количество слов: 271
Ответить Вложения 28 Пред. темаСлед. тема

Вернуться в «Защита информации»