Спойлер все лабы с КАВКАЗА
.pdfЦентр
управления
|
ЛВС |
|
Аутентификация |
Удостоверяющий |
Аутентификация |
|
ентр |
|
|
Криптография |
|
Сервер ЭП |
|
|
Сервер ЭП |
|
|
|
Рисунок 10 – Рубежи защиты в зоне ЛВС |
|
|||
|
В результате взаимодействия криптографических средств защиты |
||||
сетевых |
операционных |
систем, |
межсетевых |
экранов |
и |
телекоммуникационного |
оборудования |
образуется |
рубеж |
криптографической защиты.
Против зоны ОЗУ сервера-получателя применяются следующие типовые нападения:
использование служебных функций электронной почты – цель:
сбор информации о системе электронной почты, организация атак типа «отказ в обслуживании», использование изъянов программного обеспечения
его конфигураций;
похищение услуг, сервисов электронной почты – цель:
используя изъяны конфигурации программного обеспечения и средств защиты сервера-получателя, вынудить выполнить его дополнительные функции, например, пересылку или тиражирование почты, автообработку почтового сообщения, ввод информации в базу данных и т. п.
3) обход фильтров электронной почты – цель: с помощью криптографических или специальных преобразований затруднить или сделать полностью неэффективной работу фильтров сервера получателей, реализующих политику управления информационными потоками или политику информационной безопасности.
В зоне ОЗУ сервера-получателя образуются рубежи защиты, показанные на рисунке 11:
Аутентификация
Сервер ЭП |
Фильтрация |
ОЗУ
Преобразование
Маршрутизация
Рисунок 11 – Рубежи защиты в зоне ОЗУ сервера-получателя
Функциональное назначение рубежей защиты для сервера-получателя зеркально-симметрично аналогичным рубежам сервера-отправителя.
Основной рубеж образуют встроенные средства системного и прикладного программного обеспечения операционной системы сервера и электронной почты. Важнейшие функции: аутентификация и криптографическая защита канала передачи данных.
На основе вышеописанного рубежа реализуются дополнительные
рубежи: фильтрация, преобразование, маршрутизация.
Рубеж фильтрации предназначен для борьбы с навязыванием ложной информации, с распространением вредоносного программного обеспечения и нежелательной корреспонденции, он также участвует в реализации политики управления информационными потоками.
Рубеж преобразования на основе системы правил выполняет модификацию заголовков и содержимого электронного сообщения. Задача данного рубежа - скрыть внутреннюю структуру организации, замаскировать каналы обмена информацией, реализовать централизованную криптографическую защиту сообщений электронной почты.
Рубеж маршрутизации выполняет основную работу по управлению информационными потоками. Именно здесь принимаются решения о доставке электронной почты на тот или иной концентратор электронной
почты. Дополнительной задачей рубежа является реализация отказоустойчивости за счет использования избыточных каналов связи.
Против зоны ДЗУ сервера-получателя реализуются следующие нападения:
навязывание электронной почты в почтовых ящиках пользователей – цель: используя прямой доступ к базе данных концентратора электронной почты, навязать в почтовый ящик одного или более пользователей сервера сообщения электронной почты. Наибольшую угрозу этот вид нападения представляет для крупных серверов электронной почты, например, серверов, обслуживающих системы mail.ru, yandex.ru и
т.п.;
перехват электронной почты в почтовых ящиках пользователей
– цель: используя прямой доступ к базе данных концентратора электронной почты или к файлам базы данных, восстановить сообщения отдельных пользователей с последующей передачей на компьютер злоумышленника;
перехват электронной почты в очереди полученных сообщений
– цель: используя прямой доступ к файлам и папкам концентратора электронной почты или механизмы межпроцессного взаимодействия, получить доступ к сообщениям электронной почты;
навязывание электронной почты в очереди полученных сообщений – цель: используя прямой доступ к файлам и папкам концентратора электронной почты или механизмы межпроцессного взаимодействия, навязать сообщения электронной почты, которые в дальнейшем будут подвергнуты штатной обработке средствами программного обеспечения электронной почты.
Защита электронной корреспонденции в зоне ДЗУ осуществляется криптографическими средствами операционных систем и программного обеспечения электронной почты, а также средствами контроля целостности.
Последний контур защиты описывает взаимодействие «сервер-клиент». В дополнение к рассмотренным выше нападениям на зону ОЗУ сервераполучателя в контексте данного контура защиты воздействует доступ к интерфейсу почтового ящика в оперативной памяти – в стандартных серверах электронной почты функции работы с почтовым ящиком сгруппированы в одну библиотеку, с помощью специальной собранной программы можно посредством данной библиотеки обратиться к почтовому ящику и выполнить манипуляции с ним (рисунок 12).
м
но
|
|
в |
|
ступ |
|
р |
и |
|
|
з |
и |
э |
|
р |
|
|
|
а |
|
к |
|
|
|
|
|
ы рм |
|
носит лектро |
|
ч |
|
|
|
т |
о |
еле нной |
по инф |
||
ни |
е |
|
|
|
|
л |
|
инф |
а ит |
|
|
почте |
ыв с |
|
|
|
|
|
|
ормаци на |
|
|
|
|
з |
о |
|
а
и
ДЗУ
Подмена
почты
к
ли
и
|
|
|
Стеганог |
|
я п |
|
|
|
ч |
|
|
|
|
|
|
о |
|
|
|
|
|
|
п |
|
|
|
|
|
|
е |
|
|
|
|
|
|
а |
|
|
|
|
|
|
в |
|
|
|
|
|
|
зы |
|
|
|
|
|
|
я |
|
|
|
|
|
|
в |
|
|
|
|
|
|
|
а |
|
|
|
|
|
Внедрен |
ие вре до |
|
||
Фильтрация |
прогр |
|
|
|||
|
аммного |
|
носног |
|||
|
|
обеспе |
|
|
|
о |
|
|
чения |
|
|
|
|
|
|
Н |
|
|
|
|
|
|
авяз |
|
|
|
|
|
|
е |
|
|
|
|
Центр |
|
До |
|
|
|
|
|
т |
|
|
|
у |
|
|
|
|
|
|
|
|
управления |
|
|
|
|
|
оп |
|
н |
|
|
|
я |
|
|
|
|
|
|
||
|
|
в |
|
|
|
|
|
|
|
|
|
с |
|
|
|
е |
м |
е |
о |
п |
|
|
|
|
|||
Удостоверяющий |
|
|
н |
|
о |
|
|
р |
|
о |
|
|
|
Центр |
|
н |
м |
|
|
л |
|
|
г ж |
|
|
т |
|
|
|
р |
р |
|
|
л |
|
|
п |
|
|
|
е е ц и |
|
|
н |
|
|
|
|
|
|
|
|
|
|
е е |
|
|
н |
|
|
|
|
|
|
е |
|
|
|
п |
|
|
|
|
|
|
нс |
|
|
а |
|
|
|
е |
|
|
р |
|
|
|
р |
|
|
т |
|
|
|
р |
|
|
|
|
|
|
о |
|
|
|
|
|
|
ок |
|
|
п |
|
|
|
|
|
|
с |
|
|
|
|
|
|
|
|
|
Р |
|
Использова |
|
Л |
|
|
|
|
резерв |
|
|
|
|
|
|
оние |
|
|
|
|
ЛВС |
|
гок уязви |
|
|
|
|
||
н |
|
л |
|
|
|
|
о |
|
|
|
|
|
|
м |
|
|
|
|
|
|
ани е |
|
ч |
|
|
|
|
|
о |
|
|
|
|
|
|
|
|
|
|
|
|
й |
|
|
е ту |
|
|
|
|
|
|
с |
|
|
|
систем |
е |
|
о |
|
|
|
|
|
|
|
|
||
|
|
в |
|
|
|
|
|
|
|
о |
|
|
|
|
|
|
вм |
|
|
|
|
|
п |
я |
|
|
|
|
|
|
|
|
р |
|
|
|
к |
|
|
|
|
|
|
|
|
|
|
|
|
|
в |
|
|
|
|
|
|
о |
|
|
|
нср |
|
|
|
|
|
о |
ы |
|
|
|
|
|
|
|
|
|
ж |
|
|
|
|
|
|
|
л |
л |
|
|
|
|
|
а |
|
|
н
е
и
н
в
о
н
о
копирования
ДЗУ
Сервер
резервного
в
операт
ента |
и |
вно
й
ти
ОЗУ
й
б
н
н
но
р
е
в
р
с
й о ны
жны
й
ж
иент
Сервер ЭП
|
н |
Криптография |
й |
о |
|
р |
|
е |
|
|
п |
в |
а |
ы |
н |
|
и |
|
л |
|
к |
|
и |
|
ия |
|
м |
|
а |
|
п |
Н |
|
Клиент ЭП
Перехват
ОЗУ
ДЗУ ывани
|
|
к |
почт |
ы |
в б |
|
|
|
|
азе да |
|||
|
|
|
лие нта |
|
||
|
|
|
|
|
|
нны х |
|
|
к |
|
|
|
|
|
|
те |
|
|
|
|
|
|
лиента е |
|
|
|
|
ЭЦП |
|
|
|
|
|
аз |
|
|
|
|
|
|
д |
Криптография |
|
|
|
|
|
анных |
ты |
|
|
|
|
|
|
по |
|
|
|
|
|
|
тэл |
|
|
|
|
|
|
в доступа |
к почтовому |
|
|
|
|
|
ящику |
|
|
|
|
|
|
|
|
|
|
|
|
у |
|
|
|
|
|
|
щи |
|
|
|
|
|
|
я |
АутентификацияФильтрация |
у |
|
|
|
|
|
ов |
|
|
|
м |
||
|
|
|
|
|
|
о |
|
|
|
|
|
|
те |
|
|
|
|
|
|
л |
|
|
|
|
|
|
е |
|
|
|
|
|
кип |
т |
по
н
а
н
й д
р
П
ДЗУ
Встроенные средства безопасности операционных систем
Локальные межсетевые экраны
Корпоративные межсетевые экраны
Персональные средства антивирусной защиты
Корпоративные средства антивирусной защиты
Системы обнаружения атак и проактивной защиты
Сетевые средства криптографической защиты
Вредоносное
программное
обеспечение
Средства контентной фильтрации
Локальные средства криптографической защиты
П
е |
Дост |
|
|
||
р |
уп к |
|
|
||
е |
|
|
х |
|
|
в |
Преоб |
|
а |
разова |
|
ние |
||
т |
||
|
||
р |
|
|
е |
|
|
з |
|
|
е |
|
|
р |
|
|
в |
|
|
н |
|
|
ы |
|
|
х |
|
|
к |
|
|
о |
|
|
п |
|
|
и |
|
|
й |
|
|
в |
|
|
о |
|
|
п |
|
|
е |
|
|
р |
|
|
а |
|
|
т |
|
|
и |
|
|
в |
|
|
н |
|
|
о |
|
|
й |
|
|
п |
|
|
а |
|
|
м |
|
|
я |
|
|
т |
|
|
и |
|
интерфей |
су по |
|
|
|
опе |
|
|
|
|
|
ративной п |
чтового я |
|
|
|
|
|
амяти |
щика в |
Маршрутиз ация
Рисунок 12 – Контур защиты взаимодействия «сервер-клиент»
Рубежи защиты сервера-получателя представлены на рисунке 13.
Аутентификация
Сервер ЭП |
Фильтрация |
|
ОЗУ
Преобразование
Маршрутизация
Рисунок 13 – Рубежи защиты сервера-получателя
На зону ДЗУ сервера получателя дополнительно воздействует угроза прямого доступа к носителю с почтовым ящиком пользователя.
К зоне ОЗУ клиента-получателя применяются следующие типовые нападения (рисунок 2.14):
внедрение вредоносного программного обеспечения – цель:
используя средства автоматической обработки почтовых сообщений программным обеспечением клиента электронной почты, внедрить в программную среду клиента программные закладки (вредоносное программное обеспечение);
подмена почтового сообщения в оперативной памяти – цель:
заменить содержание почтового сообщения, полученного с сервера, содержимым сообщения злоумышленника путем модификации участка программного кода, ответственного за этот этап прохождения электронной почты;
навязывание почтового сообщения в оперативной памяти –
цель: воздействуя на структуры динамической памяти, навязать сообщение электронной почты, имитируя его прием в текущей почтовой сессии.
Рубежи защиты клиента-получателя представлены на рисунке 14.
Стеганография |
Криптография |
|
|
Фильтрация |
|
ОЗУ
Клиент ЭП |
ЭЦП |
|
Рисунок 14 – Рубежи защиты клиента – получателя
Основные средства защиты клиента-получателя: встроенные средства операционной системы и программного обеспечения электронной почты, антивирусные программные средства, средства контентной фильтрации.
Против зоны ДЗУ сервера резервного копирования существуют следующие типовые нападения:
доступ к электронной почте на резервном носителе информации
– цель: хищение или несанкционированное копирование носителя информации с резервной копией сообщений электронной почты;
навязывание электронной почты на резервный носитель информации – цель: путем замены или модификации носителя с резервной копией сообщений электронной почты и последующим инспирированием сбойной ситуации, добиться восстановления навязанной информации на сервере электронной почты.
Основные средства защиты информации: средства контроля целостности и криптографической защиты носителей с резервной копией.
Зоне ОЗУ сервера резервного копирования угрожают следующие типовые нападения:
использование уязвимостей системы резервного копирования
– цель: воздействуя на ошибки программного обеспечения и изъяны конфигурации получить контроль над сервером резервного копирования;
резервное копирование с ложного сервера – цель: подавляя средства резервного копирования санкционированного сервера, выполнить
резервное копирование ложной информации на сервер резервного копирования с последующей инспирацией сбойной ситуации и восстановления с навязанной резервной копии;
восстановление на ложный сервер – цель: хищение сообщений электронной почты путем имитации сбоя на санкционированном сервере электронной почты и последующего перехвата сеанса восстановления информации из резервной копии, с подавлением санкционированного сервера электронной почты;
перехват электронных сообщений в оперативной памяти –
цель: с помощью программной закладки получить доступ к электронным сообщениям в оперативной памяти сервера резервного копирования на этапе подготовки к сохранению на резервном носителе информации.
Для отражения этих нападений в зоне ОЗУ сервера резервного копирования создаются рубежи защиты, представленные на рисунке 15.
ОЗУ
Сервер
резервного
копирования
Рисунок 15 – Рубежи защиты в зоне ОЗУ сервера резервного копирования
В реализации рубежа защиты сервера резервного копирования
участвуют встроенные средства защиты операционной системы и программного обеспечения системы резервного копирования.
Для зоны ЛВС, связывающей клиента, сервер электронной почты и сервер резервного копирования, характерны следующие типовые нападения:
перехват электронной почты – цель: восстановить сообщения электронной почты из перехваченных сетевых пакетов сеансов взаимодействия клиента с сервером электронной почты;
перехват реквизитов доступа к почтовому ящику – цель:
извлечение или восстановление реквизитов доступа санкционированного пользователя к содержимому почтового ящика;
распространение вредоносного программного обеспечения –
цель: используя средства автоматической обработки входящей электронной почты, внедрить программные закладки, вредоносное программное обеспечение в программную среду компьютера клиента системы электронной почты;
распространение нежелательной корреспонденции – цель:
использование ставшего известным злоумышленнику адреса электронной почты для доставки адресного информационного воздействия пользователю электронной почты;
ложный сервер – цель: активно подавляя санкционированный сервер электронной почты, похитить реквизиты доступа у клиента электронной почты или же навязать ему электронную почту злоумышленника;
ложный клиент – цель: активно подавляя санкционированного клиента, воспользоваться его почтовой сессией для доступа к информации почтового ящика.
Основные рубежи защиты зоны ЛВС показаны на рисунке 16.
Клиент ЭП
Центр
управления
ЛВС
Удостоверяющий
Центр
Сервер ЭП
Сервер
резервного
копирования
Рисунок 16 – Основные рубежи защиты зоны ЛВС