Зробить стислий огляд сучасних сканерів безпеки.

Арсенал програмних засобів, використовуваних для аудиту безпеки ІС досить широкий. Одним з методів автоматизації процесів аналізу і контролю безпеки розподілених комп'ютерних систем є використання технології інтелектуальних програмних агентів. Система захисту будується на архітектурі консоль/менеджер/агент. На кожну з контрольованих систем встановлюється програмний агент, який і виконує відповідні налаштування ПЗ і перевіряє їх правильність, контролює цілісність файлів, своєчасність установки пакетів програмних корекцій, а також виконує інші корисні завдання по контролю безпеки ІС. (Управління агентами здійснюється по мережі програмою менеджером.) Менеджери є центральними компонентами подібних систем. Вони посилають команди, що управляють, усім агентам контрольованого ними домена і зберігають усі дані, отримані від агентів в центральній базі даних. Адміністратор управляє менеджерами за допомогою графічної консолі, що дозволяє вибирати, настроювати і створювати політики безпеки, аналізувати зміни стану системи, здійснювати ранжирування уязвимостей і т. п. Усі взаємодії між агентами, менеджерами і консоллю, що управляє, здійснюються по захищеному клієнт-серверному протоколу. Такий підхід був використаний при побудові комплексної системи управління безпекою організації Symantec ESM.

Іншим широко використовуваним методом аудиту безпеки є активне тестування механізмів захисту шляхом емуляції дії зловмисника із здійснення спроб мережевого вторгнення в ІС. Для цих цілей застосовуються мережеві сканери, що емулюють дії потенційних порушників. У основі роботи мережевих сканерів лежить база даних, що містить опис відомих уязвимостей ОС, МЭ, маршрутизаторів і мережевих сервісів, а також алгоритмів здійснення спроб вторгнення(сценаріїв атак). Мережеві сканери XSpider і Symantec NetRecon, що розглядаються нижче, є гідними представниками цього класу програмних засобів аудиту безпеки. Таким чином, програмні засоби аудиту безпеки умовно можна розділити на два класи. Перший клас, до якого належать мережеві сканери, іноді називають засобами аудиту безпеки мережевого рівня. Другий клас, до якого відносяться усі інші розглянуті тут засоби, іноді називають засобами аудиту безпеки системного рівня. Ці класи засобів мають свої достоїнства і недоліки, а на практиці взаємно доповнюють один одного.

Для функціонування мережевого сканера потрібний тільки один комп'ютер, що має мережевий доступ до аналізованих систем, тому на відміну від продуктів, побудованих на технології програмних агентів, немає необхідності встановлювати в кожній аналізованій системі свого агента(свого для кожної ОС).

До недоліків мережевих сканерів можна віднести великі тимчасові витрати, необхідні для сканування усіх мережевих комп'ютерів з однієї системи, і створення великого навантаження на мережу. Крім того, в загальному випадку важко відрізнити сеанс сканування від дійсних спроб здійснення атак. Мережевими сканерами також з успіхом користуються зловмисники.

Системи аудиту безпеки, побудовані на інтелектуальних програмних агентах, є потенційно потужнішим засобом, ніж мережеві сканери. Проте, незважаючи на усі свої достоїнства, використання програмних агентів не може замінити мережевого сканування, тому ці засоби краще застосовувати спільно. Крім того, сканери є простішими, доступнішими, дешевшими і, у багатьох випадках, ефективнішим засобом аудиту безпеки.

Опишіть протоколи TCP/IP?

TCP/IP - це абревіатура терміну Transmission Control Protocol/Internet Protocol(Протокол управління передачею/Протокол Internet). У термінології обчислювальних мереж протокол - це заздалегідь погоджений стандарт, який дозволяє двом комп'ютерам обмінюватися даними. Фактично TCP/IP не один протокол, а декілька. Саме тому ви часто чуєте, як його називають набором, або комплектом протоколів, серед яких TCP і IP - два основних.

Програмне забезпечення для TCP/IP, на вашому комп'ютері, є специфічною для цієї платформи реалізацією TCP, IP і інших членів сімейства TCP/IP. Зазвичай в нім також є такі високорівневі застосовні програми, як FTP(File Transfer Protocol, Протокол передачі файлів), які дають можливість через командний рядок управляти обміном файлами по Мережі.

Причина, по якій TCP/IP такий важливий сьогодні, полягає в тому, що він дозволяє самостійним мережам підключатися до Internet або об'єднуватися для створення приватних інтрамереж. Обчислювальні мережі, що становлять інтрамережу, фізично підключаються через пристрої, що називаються маршрутизаторами або IP- маршрутизаторами. Маршрутизатор - це комп'ютер, який передає пакети даних з однієї мережі в іншу. У інтрамережі, працюючій на основі TCP/IP, інформація передається у вигляді дискретних блоків, званих IP- пакетами(IP packets) або IP- дейтаграммами(IP datagrams). Завдяки програмному забезпеченню TCP/IP усі комп'ютери, підключені до обчислювальної мережі, стають "близькими родичами". По суті воно приховує маршрутизатори і базову архітектуру мереж і робить так, що усе це виглядає як одна велика мережа. Точно так, як і підключення до мережі Ethernet розпізнаються по 48-розрядних ідентифікаторах Ethernet, підключення до інтрамережі ідентифікуються 32-розрядними IP- адресами, які ми виражаємо у формі десяткових чисел, розділених точками(наприклад, 128.10.2.3). Узявши IP- адреса видаленого комп'ютера, комп'ютер в інтрамережі або в Internet може відправити дані на нього, неначе вони складають частину однієї і тієї ж фізичної мережі.

TCP/IP дає вирішення проблеми даними між двома комп'ютерами, підключеними до однієї і тієї ж інтрамережі, але що належать різним фізичним мережам. Рішення складається з декількох частин, причому кожен член сімейства протоколів TCP/IP вносить свій внесок в загальну справу. IP - найфундаментальніший протокол з комплекту TCP/IP - передає IP- дейтаграммы по інтрамережі і виконує важливу функцію, що називається маршрутизацією, по суті справи це вибір маршруту, по якому дейтаграмма виходитиме з пункту А в пункт B, і використання маршрутизаторів для " стрибків" між мережами.

TCP - це протокол більш високого рівня, який дозволяє застосовним програмам, запущеним на різних головних комп'ютерах мережі, обмінюватися потоками даних. TCP ділить потоки даних на ланцюжки, які називаються TCP- сегментами, і передає їх за допомогою IP. У більшості випадків кожен TCP- сегмент пересилається в одній IP- дейтаграмме. Проте при необхідності TCP розщеплюватиме сегменти на декілька IP- дейтаграмм, що вміщуються у фізичні кадри даних, які використовують для передачі інформації між комп'ютерами в мережі. Оскільки IP не гарантує, що дейтаграммы будуть отримані в тій же самій послідовності, в якій вони були послані, TCP здійснює повторне " складання" TCP- сегментів на іншому кінці маршруту, щоб утворити безперервний потік даних. FTP і telnet - це два приклади популярних застосовних програм TCP/IP, які спираються на використання TCP.

 

Теоретична частина

35. Архітектура мережі Інтернет.

Інтернет можна визначити як безліч локальних мереж, об'єднаних між собою. З точки зору фізичних сполук, вони можуть мати різну природу. Починаючи від модемних з'єднань по телефонній лінії (до 50 кбіт / с) і закінчуючи зв'язком через супутники. В межах однієї будівлі для створення мережі зазвичай використовують широко відомі специфікації локальних мереж (Ethernet, FDDI, Token Ring). Між географічно віддаленими машинами простіше всього використовувати виділену телефонну лінію, або радіорелейний зв'язок.

Для можливості роботи додатків на різних комп'ютерах, які використовують різні мережеві з'єднання використовується протокол TCP / IP. Якщо Інтернет не має певної специфікації з точки зору фізичних з'єднань його можна чітко визначити на логічному рівні. Як правило вважається, що комп'ютер має повноцінне підключення до Інтернет, якщо на ньому підтримується протокол передачі даних TCP / IP.

Адреса машини в Інтернет являє собою 4 байтових числа, розділених крапками, наприклад 193.124.214.99 (адреса першого машини в класі cctelcom) і називається IP адресою. Кожна машина, що має підключення до Інтернет має власний унікальний адресу, з чого випливає що таких машин може бути не більше 4 млрд. У зв'язку з цим останнім часом постає питання про брак адрес і переходу до нового протоколу з більш довгим адресою. Хоча є програмні засоби використання цілого сегмента машин, з виділенням їм всього одного IP адреси. В IP адресу певну кількість молодших біт (зазвичай вісім) відповідає номеру комп'ютера, інші задають адресу мережі. Це розбиття задається т.зв. маскою мережі, що представляє собою 4 байтових числа, де замість адреси мережі виставляються 1-ці, а біти, що задають номер машини встановлюються в 0. Для випадку, коли адреса машини задається останнім байтом, маска мережі рана 255.255.255.0. Це означає, що дві сусідні машини в мережі можуть мати, наприклад, такі адреси: 193.124.214.99 і 193.124.214.100 (ws01 і ws02). Крім того існують спеціальні зарезервовані адреси, наприклад, адреса 127.0.0.1 завжди відповідає адресою локальної машини.

 

36. Що таке URL-адреса?Які види URL-адрес ви знаєте?Чим відрізняється абсолютна URL-адреса від відносної? Правила запису URL- адреси.

 

URL розшифровується як "uniform resource locator" (уніфікований покажчик ресурсу). Це стандартний спосіб посилання на об'єкти в інтернеті. URL використовуються також при використанні інших серверів інтернет: передачі файлів по протоколу FTP, відправлення [електронної пошти] та т.п. Розробники HTML-документів використовують URL у своїх документах для створення гіперпосилань на інші [веб-сайти]. Незважаючи на здавалося б заплутаний набір похилих рисок і двокрапок, синтаксис URL розроблений таким чином, щоб він був ясний і простий. Дізайнери представляють URL не тільки як засіб встановлення зв'язку між електронними документами, але і як корисну інформацію, яка може вказуватися в книгах, на візитних картках, у рекламних повідомленнях.
URL містить інформацію про:
1) протокол, за допомогою которoго можна одержати файл (найчастіше - http:// або ftp://)
2) адресі або ім'ї машини, на якій лежить цей файл (наприклад, 194.67.56.26 (адреса) або www.mail.ru (ім'я машини))
3) назві папки, у якій лежить цей файл (наприклад, /folder1/subfolder1/)
4) ім'я самого файлу (наприклад, file.txt)

Щоб знайти який-небудь об'єкт в [Інтернеті], необхідно дізнатися його адресу, а потім підключитися до компютерної мережі Інтернет. Пошук адреси полягає у визначенні доменного імені або IP-адреси комп’ютера, а підключення до комп'ютера полягає у введенні імені користувача та пароля. Крім цього, необхідно знати, де знаходиться файл на даному комп’ютері, тобто необхідно знати ім'я каталогу. Необхідно також знати відповіді на наступні питання:Яке ім'я потрібного вам файлу і як його отримати? Який протокол буде використовуватися для передачі інформації або доступу до об'єкту?Правильно заданий URL відповість на поставлені вище питання,так як містить опис того, де знаходиться об'єкт, і яким чином він може бути доставлений."Яким чином" визначається протоколом обміну, наприклад, HTTP. "Де" визначається ім'ям комп'ютера, ім'ям каталогу та ім'ям файлу. Для розділень частин уніфікованого покажчика ресурсів використовуються символи прямої похилої риси (слеша) і двокрапки.

37. Як виглядає оператор відключення попереджень? Навіщо використовується оператор відключення попереджень?

Оператор відключення попереджень про помилку – @.

Якщо цей оператор поставити перед будь-яким виразом, то всі помилки, які там виникнуть, будуть проігноровані. Якщо у виразі використовується результат роботи функції, з якої викликається інша функція і т. д., то попередження будуть заблоковані для кожної з них. Тому обережно застосовуйте @.

Наприклад:
if (! @ filemtime ("notextst.txt"))
echo "Файл не існує!";
Спробуйте прибрати оператор @ - тут же отримаєте повідомлення: "Файл не знайдено", а тільки після цього - висновок оператора echo. Однак з оператором @ попередження буде придушене, що і було потрібно.

Оператор відключення помилок @ цінний ще й тим, що він блокує не тільки виведення помилок в браузер, але також і в log-файл. Приклад з лістингу 1.1 ілюструє ситуацію.
Лістинг 1.1. Файл er.php
<? Php # # Відключення помилок: логи не модифікуються.
error_reporting (E_ALL);
ini_set ("error_log", "log.txt");
ini_set ("log_errors", true);
@ Filemtime ("spoon");
?>
Запустивши наведений скрипт, ви помітите, що файл журналу log.txt навіть не створився. Спробуйте тепер прибрати оператор @ - ви-отримаєте попередження "stat failed for spoon", і воно ж запишеться в log.txt.