- •Лекция08: организация компьютерной безопасности и защиты информации
- •8.1. Причины возникновения необходимости в защите информации
- •8.2. Обеспечение безопасность передачи данных в сети организации
- •Антивирусные решения
- •Сетевые экраны
- •Системы обнаружения и предотвращения вторжений
- •Шифрование информации
- •Антивирусная программа AntiViral Toolkit Pro (avp) (http://www.Avp.Ru).
- •8.4. Архиваторы
- •Архиватор winrar.
- •Вопросы для самоконтроля
Сетевые экраны
Наиболее важным средством защиты сетей являются сетевые экраны (или межсетевые экраны, файрволы или брандмауэры) и прокси-сервера. Основная функция сетевого экрана - экранирование сетевого трафика с целью недопущения несанкционированного доступа между компьютерными сетями. Прокси-серверы используются для обработки запросов пользователей по внутренней сети и транслирование их к внешней сети и наоборот. В таких запросах, как правило, различают сети, пользующихся доверием, и такие, которые не пользуются (например, сеть Интернет).
Сетевой экран - это программное или аппаратное решение, осуществляющее контроль и фильтрацию сетевых пакетов, проходящих через него на разных уровнях модели OSI в соответствии с заданными правилами.
Сетевые экраны изобрели чрезвычайную популярность благодаря тем преимуществам, которые они в себе несут:
- средство реализации корпоративных политик безопасности;
возможность ограничивать доступ к определенным службам (например, в службу telnet, которая нужна обычным пользователям);
использование сетевого экрана как средства аудита. Собирать информацию можно не только о трафике, прошедшем, но и о том, что был заблокирован, таким образом предупреждая возможные будущие атаки на систему. Впрочем, сетевые экраны являясь лишь звеном в общей системе защиты информационной системы имеют недостатки:
сетевые экраны не могут блокировать нежелательную информацию, которая попадает к информационной системе через авторизованные каналы. Таким образом, если шпионское ПО поступило к системе через разрешенный канал, оно не сможет быть остановлено сетевым экраном;
эффективность сетевых экранов определяется эффективностью правил, которые положены в основу функционирования сетевого экрана. Поэтому нужно подойти со всей ответственностью к формулировке правил фильтрации трафика;
сетевые экраны не смогут предупредить атаки пользователей, пользующихся авторизованными каналами информации;
сетевые экраны не смогут противодействовать атакам, если есть возможность пустить информационный поток в обход экрана.
Распределение сетевых экранов можно провести в соответствии с классификационными признаками, например, в соответствии с местом нахождения сетевого экрана в сети, в зависимости от расположения механизма контроля в модели OSI, или в зависимости от возможности слежения за активными соединениями.
Одной из наиболее распространенных классификации является классификация сетевых экранов согласно охвату контролируемых территорий [1]:
1) прикладной шлюз или традиционный сетевой экран. Это программное или аппаратное решение, контролирует как входящие, так и исходящие потоки данных между подключенными сетями. Фактически при установлении соединения пользователя с сетью снаружи проходит два соединения: одно с сетевым экраном, а другое сетевого экрана с сетью извне. Данный вид сетевых экранов еще называют прокси-серверами или прокси-шлюзами. В случае осуществления атаки на систему пользователя, фактически атака будет осуществляться на прокси-сервер. Впрочем наряду с преимуществами в защите информации, прокси-сервера имеют и недостатки, а именно: уменьшение быстродействия, поскольку каждое соединение представляет собой два соединения и уменьшение прозрачности, когда некоторое ПО не может полноценно функционировать с сетью.
2) пакетные фильтры или персональные сетевые экраны. Установка данного типа сетевых проходит на конечные системы и защищают они только систему на которой установлены, а не целые сети. Данный тип сетевых экранов осуществляет фильтрацию трафика, основываясь на следующей информации:
- IP - адрес источника;
- IP - адрес получателя;
- используемый протокол;
- выходной порт;
- порт назначения;
- тип сообщения.
Эффективность сетевых экранов измеряется правильностью построения правил, на них возложенных, поэтому при построении правил нужно придерживаться следующих инструкций:
- построение правил должна осуществляться от наиболее конкретных к общим.
Поскольку проверка идет по правилам до первого соответствия, то неправильное построение правил может создать условия, когда более общий набор правил накроет более конкретные правила;
- размещение правил, используемых чаще должно быть в верхней части списка.
Поскольку проверка идет до первого совпадения, то размещение активных правил в конце списка может существенно уменьшить быстродействие работы информационной системы.
Сканеры уязвимостей
Сканеры уязвимостей - это программные или аппаратные решения, назначены для диагностики и мониторинга сетевых компьютерных систем. Они позволяют сканировать сети, информационные системы и приложения на предмет выявления потенциальных угроз в системе организации безопасности, оценивать и обезвредить уязвимости. Типы сканеров уязвимостей:
- сканеры портов;
- сканеры, исследующие топологию компьютерной сети;
- сканеры, исследующие уязвимости сетевых сервисов;
- сетевые черви;
- CGI - сканеры, позволяющие выявить уязвимые скрипты.
Работа сканера уязвимости распределяется на шаги:
1) выявление активных IP - адресов, открытых портов, активных операционных систем и приложений;
2) создание отчета по безопасности;
3) попытка выявления уровня возможного вмешательства в операционную систему или приложения;
4) возможно использование уязвимости для создания сбоя в системе (только для вредных сканеров).
Говоря о сканеры уязвимостей следует заметить, что они могут служить как инструментом обнаружения угроз, так и инструментом взлома информационной системы, поэтому четвертый шаг используют сканеры, которые созданы для осуществления атаки на информационную систему.
К сканеров уязвимостей относятся следующие решения: Microsoft Baseline Security Analyzer (MBSA), Security Administrator's Integrated Network Tool (SAINT), Сканер уязвимостей (веб-сервис) (QualysGuard), Сканер для исследования сетевых уязвимостей (X-scan), оценка уязвимостей на уровне приложений (ISS Internet Scanner) и другие.