Мы поможем в написании ваших работ!
ЗНАЕТЕ ЛИ ВЫ?
|
Ограничивающая политика защиты
| Коммерческая или производственная организация.
Устанавливается баланс между свободой действий пользователей при использовании сетевых ресурсов и степенью защиты сети.
Сценарий работы сети аналогичен предыдущему.
Средства безопасности.
Выполняется идентификация пользователей организации в рамках кампусной сети с использованием учетных имен и паролей.
Для идентификации удаленных пользователей используются аутентификация маршрутов с помощью одноразовых паролей генерируемых идентификационными картами. Пароль вводится при обращении пользователя к серверу сетевого доступа перед установкой соединения. При передаче такого пароля используются протоколы РРР и РАР. Одноразовый пароль проверяется сервером ААА (аутентификация – авторизация – аудит) или сервером идентификационных карт.
Возможен удаленный доступ через Internet. При этом используются встроенные в брандмауэр средства аутентификации пользователей на основе одноразовых паролей.
На маршрутизаторе WAN и маршрутизаторе шлюза используются списки контроля доступа, разрешающие доступ к сети предприятия только узлам с определенными сетевыми адресами.
Брандмауэр канального уровня разрешает доступ в Internet только тем соединениям, которые исходят из области, ограниченной этим брандмауэром.
|
Концепции ограничивающей политики защиты.
· Не все сетевые соединения разрешаются, что требует создания ограничений для одних групп соединений и разрешений для других.
· Построение системы безопасности требует специальных действий по настройке и сопровождению.
· Пользователи в этой системе выполняют дополнительные шаги для получения доступа к сетевым ресурсам.
· Необходимо иметь штат сотрудников, занимающихся защитой и выделять достаточные средства на поддержку политики защиты.
картинка 1.14.
Для контроля доступа применяются:
Аутентификация:
· одноразовые пароли (удаленный доступ и Internet);
· пароли (кампусная сеть).
Управление доступом:
· списки доступа в маршрутизаторе WAN и шлюзовом маршрутизаторе;
· брандмауэр между предприятием и Internet;
· аутентификация маршрутов (филиалы и территориальная сеть);
· шифрование связей с филиалами.
Рис 1.14.
|
Закрытая политика защиты
| Правительственные организации.
Вводятся дополнительные ограничения, обеспечивающие более сильную защиту, несмотря на ограничение пользователей, замедление работы и усложнение использования системы.
Сценарий работы сети аналогичен предыдущим.
Средства безопасности.
Выполняется идентификация пользователей организации в рамках кампусной сети с использованием учетных имен и паролей.
Для удаленных пользователей из филиалов компании применяли сервер каталогов, размещенный в рамках территориальной сети.
Идентификация удаленных пользователей выполнятся с помощью цифровых сертификатов, обрабатываемых службой сертификации.
Маршрутизатор WAN и маршрутизатор шлюза Internet используют списки контроля доступа, разрешающие доступ к сети только узлам с заданными сетевыми адресами.
Отдельно размещенный брандмауэр с фильтрацией пакетов разрешает доступ в Internet соединениям, исходящим из области, ограниченной этим брандмауэром.
Для связи между филиалами и маршрутизатором WAN применяется аутентификация маршрутов и отдельно размещенные устройства шифрования канального уровня.
Выход в Internet разрешен только ограниченной группе пользователей.
| Концепции закрытой политики.
· Запрещено все, что не разрешено.
· Разрабатывается подробная политика защиты.
· Определяется полный набор правил для каждого пользователя.
· Построение системы безопасности требует сложных специальных действий по настройке и сопровождению.
· Пользователи в этой системе выполняют много дополнительных шагов для получения доступа к сетевым ресурсам.
· Необходимо иметь штат сотрудников, занимающихся защитой и выделять достаточные средства на поддержку политики защиты.
картинка 1.15.
Для контроля доступа применяются:
Аутентификация:
· цифровые сертификаты (удаленный доступ, связь с филиалами и территориальная сеть).
Управление доступом:
· списки доступа в маршрутизаторе WAN и маршрутизаторе шлюза;
· брандмауэр между сетью предприятия и Internet;
· аутентификация маршрутов (филиалы и территориальная сеть);
· шифрование (удаленный доступ, связь с филиалами и частично территориальная сеть).
Рис.1.15.
|
Анализ угроз безопасности
Источники угроз
| В процессе анализа угроз безопасности сети можно выделить три источника угроз безопасности:
1. Недостатки системы защиты.
2. Вредоносные программы.
3. Нарушители.
Каждый из этих источников угроз является комплексным и должен быть рассмотрен.
|
Рис 1.16
|
Недостатки системы защиты
| Любая система защиты строится вокруг некоторой операционной системы, использующей стандартные протоколы для связи. Система защиты использует определенные средства или механизмы, требующие правильной настройки. Кроме этого необходимо правильно применять эти средства защиты.
Отсюда выделим три возможных недостатка системы защиты:
1. Технические недостатки.
2. Конфигурационные недостатки.
3. Недостатки применения.
|
Рис 1.17
|
Технические недостатки
| Недостатки стека протоколов TCP/IP.
Стек протоколов TCP/IP (Transmission control protocol / Internet protocol) разработан для обеспечения связи в разнородных сетях и, поэтому является открытым стандартом. Сервисы, построенные на основе этого стека протоколов, обеспечивают поддержку открытых соединений. Эти факторы определяют внутреннюю уязвимость соответствующих сервисов.
· Заголовки IP пакетов, сегментов T CP и UDP (user datagram protocol) и их содержимое можно прочитать, изменить и отправить повторно без возможности контроля.
· Сетевая файловая система (Network File System - NFS) дает возможность незащищенного доступа к рабочим станциям (хостам), так как не поддерживает аутентификацию пользователей и использует случайные номера портов для установления сеансов связи.
· Установление соединения по Telnet дает возможность доступа ко многим сетевым ресурсами и службам.
Недостатки операционных систем (ОС).
Каждая ОС имеет много брешей, возможность появления которых не учитывалась при разработке. Выявленные уязвимые места постоянно фиксируются.
Например, в системе UNIX существует демон sendmail, который можно использовать для
· доступа к корневому уровню. При этом можно определить тип ОС;
· определения узлов, принадлежащих домену с данным именем;
· направления почты по несанкционированным адресам.
Недостатки сетевого оборудования.
Сетевое оборудование так же может являться причиной уязвимости.
· Ненадежная защита пароля при передаче;
· Отсутствие защиты в поддерживаемых протоколах маршрутизации.
|
Рис 1.18
|
Конфигурационные недостатки
| Можно внедрить самую совершенную систему безопасности, но если она будет некорректно сконфигурирована, то сеть будет беззащитна.
Рассмотрим некоторые примеры недостатков конфигурации.
· Установки по умолчанию. Любые установки по умолчанию оставляют уязвимости в системе защиты. Необходимо четко определить все параметры настройки системы защиты.
· Неправильная конфигурация сетевого оборудования. Неправильная конфигурация оборудования может привести к неэффективности использования системы защиты. Неправильная настройка протоколов маршрутизации, списков контроля доступа может открыть возможность несанкционированного доступа к сети.
· Использование простых паролей.
· Хранение и передача учетных записей пользователей в открытом виде.
· Неправильная настройка использования служб и протоколов.
|
Рис 1.19
|
Недостатки применения
| Можно внедрить самую совершенную систему безопасности, но если она будет неправильно применяться и проводиться, то сеть будет беззащитна.
· Политика защиты не задокументирована. Если политика защиты не оформлена в виде набора документов, то ее нельзя применить полностью и принудительно.
· Внутренние разногласия. Внутренние разногласия и конфликты в организации делают невозможным проведение согласованной комплексной политики защиты.
· Отсутствие преемственности. Частая замена сотрудников, обеспечивающих реализацию политики защиты, приводит к ее нестабильности.
· Отсутствие стратегии формирования учетных записей. Если к выбору паролей на сотрудников не накладываются ограничения по минимальным параметрам (длине, символы и т.д.), то это открывают несанкционированный доступ к сети.
· Отсутствие плана мероприятий по администрированию, тестированию и мониторингу. Если отсутствует план мероприятий по администрированию и тестированию системы безопасности, то у злоумышленников появляются дополнительные возможности по использованию различных средств вторжения.
· Программно-аппаратные средства не соответствуют заданной политике защиты. Несанкционированная установка дополнительного оборудования или непротестированных программных средств делает систему уязвимой.
· Отсутствие алгоритма действий при проникновении и плана восстановления системы. При отсутствии четкого плана по обработке вторжений при возникновении сетевой атаки может произойти полное прекращение работы сети.
|
- Недокументированная политика защиты.
- Внутренние разногласия.
- Отсутствие преемственности.
- Отсутствие стратегии формирования учетных записей.
- Отсутствие плана мероприятий по администрированию, тестированию и мониторингу.
- Программно-аппаратные средства не соответствуют заданной политике защиты.
- Отсутствие алгоритма действий при проникновении и плана восстановления системы.
Рис 1.20
|
Вредоносные программы
| Существует три типа вредоносных программ.
Вирус – программа, которая внедряется в другую программу. После запуска этой программы выполняются нежелательные действия на компьютере.
Червь – программа, которая автоматически генерирует произвольный код и запускает свои копии в памяти компьютера с последующим распространением на другие компьютеры.
Троянский конь – это приложение, похожее на какую либо полезную программу. После запуска этой программы происходит атака компьютера изнутри.
| Рис 1.21
|
|
Археология
Биология
Генетика
География
Информатика
История
Логика
Маркетинг
Математика
Менеджмент
Механика
Педагогика
Религия
Социология
Технологии
Физика
Философия
Финансы
Химия
Экология
