Раздел 3 Технические программные средства защищенных телекоммуникационных систем

23) Определение ИБ. Общее понятие ИБ, краткая история её развития. Современные стандарты обеспечения ИБ. Основные компоненты ЗИ.

ИБ – это защищенность инф и поддерживающей её инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного хар-ра, который может нанести ущерб владельцам или пользователям инф.

Целостность это гарантия того, что инф существует в ее исходном виде, т.е. при хранении или передаче инф не было произведено несанкционированных изменений.

Доступность – гарантия получения требуемой инф или информационной услуги пользователем за опр-е время.

Конфиденциальность – это гарантия доступности конкретной инф, только тем пользователям которым она предназначена.

Объективно категория «ИБ» возникла с появлением средств инф коммуникаций м/у людьми, а также с осознанием человеком наличия у него интересов, которым может быть нанесен ущерб путём воздействия на средства информационных коммуникаций, обеспечивающие инф обмен м/у людьми.

В развитии средств инф коммуникаций можно выделить несколько этапов:

I этап - до 1816 года — характеризуется использованием возникавших средств инф коммуникаций. В этот период основная задача ИБ заключалась в защите сведений о данных, человека или сообществу, к которому он принадлежал.

II этап - с 1816 года — начало использования технических средств электро- и радиосвязи. Для обеспечения скрытности и помехозащищенности необходимо было использовать применение помехоустойчивого кодирования и декодирования сообщения.

III этап — с 1935 года —появление радиолокационных и гидроакустических средств. Основным способом обеспечения ИБ в этот период было повышение защищенности радиолокационных средств от воздействия на их приемные устройства активными маскирующими и пассивными имитирующими радиоэлектронными помехами.

IV этап — начиная с 1946 года — изобретение и внедрение в практическую деятельность ЭВМ. Задачи ИБ решались, в основном, ограничением физ доступа.

V этап — начиная с 1965 года — обусловлен созданием и развитием локальных сетей. Задачи ИБ также решались, в основном, методами и способами физ защиты средств добывания, переработки и передачи инф, объединённых в локальную сеть путём администрирования и управления доступом к сетевым ресурсам.

VI этап — начиная с 1973 года —использование сверхмобильных коммуникационных устройств с широким спектром задач. Угрозы ИБ стали серьёзнее. Для обеспечения ИБ в компьютерных системах с беспроводными сетями передачи данных потребовалась разработка новых критериев без-ти. Появились хакеры, ставящие своей целью нанесение ущерба ИБ отдельных пользователей, организаций и целых стран. Инф ресурс стал важнейшим ресурсом гос-ва, а обеспечение его без-ти — важнейшей и обязательной составляющей национальной без-ти. Формируется инф право — новая отрасль международной правовой системы.

VII этап — начиная с 1985 года — создание и развитие глобальных сетей с использованием космических средств обеспечения. Очередной этап развития ИБ, связан с широким использованием сверхмобильных коммуникационных устройств с широким спектром задач и глобальным охватом в пространстве и времени, обеспечиваемым космическими информационно-коммуникационными системами.

Нельзя полагаться на один вид защиты для обеспечения ИБ. Не существует единого продукта, реализующего все необходимые способы защиты для компьютеров и сетей. Для всесторонней защиты инф ресурсов требуется множество различных продуктов.

Антивирусное ПО является неотъемлемой частью надежной программы без-ти. Значительно уменьшается риск воздействия вредоносных программ.

Управление доступом. Любая комп. система в пределах организации ограничивает доступ к файлам, идентифицирует пользователя, кот. входит в систему. При правильной настройке системы, при установке необходимого разрешения для легальных пользователей существует ограничение на использование файлов, к кот. у них нет доступа. Межсетевой экран (firewall) - это устр-во упр-я доступом, защищающее внутренние сети от внешних атак. Оно устанавливается на границе между внешней и внутренней сетью. Межсетевой экран является важнейшим устр-вом защиты. Однако он не сможет предотвратить атаку через разрешенный канал связи. Межсетевой экран не защитит от внутренних пользователей, поскольку они уже находятся внутри системы. Под внутреннего пользователя может замаскироваться злоумышленник. Смарт-карты Аутентификация (установление подлинности) личности может быть выполнена при использовании трех вещей: того, что вы знаете, того, что вы имеете, или того, чем вы являетесь. Биометрия: отпеч. пальцев, сетчатка радуж. оболочки глаза и др. 6) сканирование на наличие уязвимых мест. 7) Шифрование;8)механизмы физической защиты Политики и управление ими - важные компоненты надежной программы безопасности. С их помощью организация получает сведения о системах, не соответствующих установленным политикам.

Сканирование компьютерных систем на наличие уязвимых мест позволит выявить потенциальные точки для вторжения и предпринять немедленные меры для повышения безопасности.

Шифрование- важнейший механизм защиты инф при передаче. С помощью шифрования файлов можно обеспечить также безопасность информации при хранении. Однако служащие организации должны иметь доступ к этим файлам, а система шифрования не сможет различить законных и незаконных пользователей, если они представят одинаковые ключи для алгоритма шифрования. Для обеспечения без-ти при шифровании необходим контроль за ключами шифрования и системой в целом.

24) Категории сетевых атак. Различные категории атак, их определения и условия для их осуществления, механизм проведения атак.

Существуют четыре основных категории атак: атаки доступа; атаки модификации; атаки на отказ в обслуживании; атаки на отказ от обязательств.

Существует множество способов выполнения атак: при помощи специально разработанных средств, методов социального инжиниринга, через уязвимые места компьютерных систем. При социальном инжиниринге для получения несанкционированного доступа к системе не используются технические ср-ва.

Атаки, нацеленные на захват эл инф, не похищается, а копируется. Владелец инф несет убытки, а обнаружить момент, когда это произошло, очень трудно.

Атака доступа - это получение инф, не имея прав для ее просмотра.

Подсматривание - это просмотр файлов или док-тов для поиска интересующей инф.

Подслушивание. Для получения несанкционированного доступа к инф злоумышленник должен находиться поблизости от нее. Очень часто при этом он использует эл устр-ва.

Перехват - это активная атака. Злоумышленник захватывает инф в процессе ее передачи. После анализа инф он принимает решение о разрешении или запрете ее дальнейшего прохождения.

Атака модификации - попытка неправомочного изменения инф. Такая атака возможна везде, где существует или передается инф. она направлена на нарушение целостности инф.3 вида: замена, добавление, удаление.

Атаки на отказ в обслуживании (Denial-of-service, DoS) - это атаки, запрещающие пользователю использование системы, инф или возможностей компьютеров. В результате DoS-атаки злоумышленник обычно не получает доступа к компьютерной системе и не может оперировать с информацией.

отказ в доступе к инф т.е. она становится непригодной для использования. Инф уничтожается, искажается или переносится в недоступное место.

Отказ в доступе к приложению ставит своей целью вывод из строя системы, в результате чего сама система, установленные на ней приложения и вся инф становится недоступной.

Атаки на отказ в доступе к ср-ам связи. Целью атаки является коммуникационная среда. Целостность компьютерной системы и инф не нарушается, однако отсутствие средств связи лишает доступа к этим ресурсам.

Атаки на отказ от обязательств направлена против возможности идентификации инф, другими словами, это попытка дать неверную инф о реальном событии или транзакции.

Маскарад - это выполнение действий под видом другого пользователя или другой системы.

Целью DoS-атак обычно является отдельная компьютерная система или линия связи, но иногда они направлены против всего интернета!

Отрицание события - это отказ от факта совершения операции. Атаки выполняются по отношению к информации, хранящейся в виде бумажных документов или в электронном виде. Сложность реализации атаки зависит от мер предосторожности, принятых в организации.

25) Методы хакеров. Хакерские атаки, мотивация деятельности хакеров, история методов взлома, различные способы проведения атак, виды вредоносного ПО, а также способы выявления хакерских атак различных типов.

Мотивации хакеров Первоначальной мотивацией взломщиков было желание "сделать это". И до сих пор оно остается наиболее общим побудительным мотивом. В отдельных случаях взломщики специально удаляют уязвимое место, с помощью которого они вывели компьютер из строя, чтобы никто больше не смог повторить атаку.

Алчность -один из самых старых мотивов для преступной деят-ти. Это связано с жаждой получения любой наживы:денег, товаров, услуг, инф.

Злой умысел, вандализм. В этом случае хакер не заботится о захвате управления системой. Вместо этого он старается причинить вред пользователям, препятствуя их работе в системе. Основная причина таких атак - желание отомстить за несправедливое обращение или сделать политическое заявление, а конечный результат - причинение вреда системе без получения доступа к ней.

История хакерских методов. Первоначальной целью при создании интернета был общий доступ к данным и совместная работа. Таким образом, большинство систем было сконфигурировано для коллективного использования инф. При работе в ОС Unix использовалась сетевая файловая система (Network File System, NFS), которая позволяла одному компьютеру подключать диск другого компьютера через локальную сеть или интернет. Этим механизмом воспользовались первые хакеры для получения доступа к инф - они подключали удаленный диск и считывали ее. NFS использовала номера идентификаторов пользователя в качестве промежуточного звена для доступа к данным на диске. Если пользователь с определенным номером имел разрешение на доступ к файлу на своем домашнем компьютере, то другой пользователь с таким же номером на удаленном компьютере также мог прочитать этот файл. Опасность возросла, когда некоторые системы разрешили общий доступ в корневую файловую систему, включая файлы конфигурации и паролей. В этом случае хакер мог завладеть правами администратора и подключить корневую файловую систему, что позволяло ему изменять файлы конфигурации удаленной системы.

Общий доступ к файлам нельзя считать уязвимым местом, это, скорее, серьезная ошибка конфигурации

Способы проведения атак.

Слабые пароли.

Дефекты программирования. К дефектам относится оставленная в программе лазейка, позволяющая входить в систему.

Социальный инжиниринг это получение несанкционированного доступа к инф или к системе без применения технических средств. Оружие хакера в этом случае - приятный голос и актерские способности. Возможно исследование мусора организаций, использование источников открытой инф, открытый грабеж и самозванство. Кража портативного компьютера. Социальный инжиниринг позволяет осуществить самые хитроумные проникновения. Он обычно используется хакерами, которые наметили своей жертвой конкретную организацию.

Переполнение буфера - это одна из ошибок программирования, используемая хакерами. Его труднее обнаружить, чем слабые пароли. Требуется совсем немного опыта для его эксплуатации. Переполнение буфера опасно тем что позволяет хакерам выполнить практически любую команду в системе, являющейся целью атаки. Переполнение буфера не ограничивает доступ к удаленной системе.

Атаки на отказ в обслуживании (Denial-of-service, DoS) - это злонамеренные действия, выполняемые для запрещения легальному пользователю доступа к системе, сети, приложению или инф.

Прослушивание, или снифинг (sniffing), используется хакерами для сбора паролей и другой системной инф.

Дублирование MAC-адресов. Дублирование MAC-адреса системы-получателя является еще одним способом "убедить" коммутатор посылать трафик на снифер. Для этого хакеру нужно изменить MAC-адрес на снифере и разместиться в системе, которая находится в том же сегменте локальной сети.

Отправка всего трафика ко всем портам. В случае переполнения arp таблицы коммутаторы могут работать в качестве хаба.

Имитация IP-адреса (IP-спуфинг) Хакер может изменить ip адрес отправителя. Сложность заключается в том, что возвращаемые пакеты не смогут вернуться к системе-отправителю. Следовательно, попытка имитации IP-адреса для установки TCP-соединения связана с серьезными трудностями. Кроме того, в TCP-заголовке содержится порядковый номер, используемый для подтверждения приема пакета. Исходный порядковый номер (initial sequence number, ISN) для каждого нового соединения выбирается псевдо-случайным образом.

Выявление вредоносных программ

Вирусы являются паразитами по отношению к другим компьютерным программам. Они не могут жить самостоятельно. При выполнении программы, в которую внедрен вирус, исполняется код вируса, реализующий собственные функции. Эти функции обычно включают заражение других программ и распространение на другие диски. Некоторые вирусы являются вредоносными - они удаляют файлы или выводят из строя систему. Другие вирусы не наносят никакого вреда, кроме распространения самих себя по компьютерным системам.

"Троянский конь" является законченной и независимой программой, которая разработана для выполнения вредоносных действий. Она обычно маскируется под новую программу или электронную почту. Большинство программ типа "троянский конь" содержат механизмы самораспространения на другие компьютеры-жертвы. Ущерб от "троянских коней" подобен ущербу от компьютерных вирусов.

Червь - это программа, которая "переползает" от системы к системе без всякой помощи со стороны жертвы. Червь сам себя распространяет и воспроизводит. Все, что требуется от его создателя, - запуск. В последнее время появилась еще одна разновидность вредоносных программ - объединение двух типов программ в одну. Можно встретить программы, действующие одновременно и как черви, и как "троянские кони".

Выявление методов ненаправленных хакерских атак

Хакеры, использующие методы ненаправленных атак, не ищут определенную инф или организацию: им для взлома подходит любая система. В качестве мотива выступает, желание привлечь к себе внимание. Хакеры, использующие методы ненаправленных атак, отыскивают любую систему. Обычно у них нет определенной цели.

Хакер по-разному проводит предварительное исследование. Некоторые начинают атаку сразу же, без всякой "разведки" и точного опр-я цели, если находят систему, подключенную к сети. Атака обычно выполняется со взломанных систем, чтобы хакер мог "замести следы". Предварительное исследование через интернет. Чаще всего хакеры выполняют скрытое сканирование диапазона адресов. С его помощью выявляются системы, находящиеся в данном диапазоне, и службы, доступные в этих системах. Существуют способы скрытого сканирования, позволяющие определить открытые порты. Скрытое сканирование выявит службы, выполняющиеся в системе, и эти данные используются для реальных атак.

Быстрое распространение беспроводных сетей в организациях и у домашних пользователей также позволяет произвести хакерскую "разведку". После выявления беспроводной сети хакер воспользуется ей для атаки других сайтов. Такой способ атаки отлично маскирует хакера, ведь ложный след ведет к беспроводной сети организации. После взлома системы хакер обычно помещает в нее "черный ход", через который он будет входить в систему в дальнейшем. Некоторые хакеры закрывают уязвимое место, через которое они проникли внутрь, чтобы никто больше не мог управлять "их системой".

Хакер, использующий методы направленных атак, пытается проникнуть в конкретную организацию или нанести ей ущерб. Мотивацией его действий является стремление получить от организации инф определенного типа. Он стремится причинить вред несколькими способами, используя для этого направленные DoS-атаки. Выбор объекта атаки обычно обоснован - это инф, представляющая интерес для хакера. Его может нанять сторонняя организация для получения некоторых сведений. Предварительное исследование систем представляет потенциальную опасность для хакера с точки зрения привлечения внимания.

26) Службы ИБ. Основные службы без-ти, проблемы конфиденциальности инф, ее целостности и доступности в компьютерных системах.

Службы ИБ являются службами базового уровня, которые исп-ся для противостояния атакам. Каждая из этих служб направлена на борьбу с определенным типом атак. Особенности использования служб ИБ в рамках отдельной организации зависят от уровня оценки риска в этой организации и планирования системы без-ти. Знание базовых требований к без-ти позволяет грамотно использовать соответствующие службы для противостояния атакам.

Служба конфиденциальности обеспечивает секретность инф. Правильно сконфигурированная, эта служба открывает доступ к инф только аутентифицированным пользователям. Ее надежная работа зависит от службы обеспечения идентификации и однозначного определения подлинности лиц. Выполняя эту функцию, служба конфиденциальности ограждает системы от атак доступа. Служба конфиденциальности должна учитывать различные способы представления инф - в виде распечаток, файлов или пакетов, передающихся по сетям.

Обеспечение конфиденциальности файлов

Контроль над файлами в компьютерных системах осуществляют системы управления доступом. Работа этих систем зависит от надежной идентификации и аутентификации пользователя и правильной конфигурации, исключающей обход защитных механизмов через уязвимые места системы.

Обеспечение конфиденциальности при передаче данных по сети

Это делается с помощью технологий шифрования. Механизмы защиты можно применить как для отдельного сообщения, так и для всего трафика соединения. Шифрование позволит предотвратить атаки подслушивания, но не сможет защитить от перехвата инф.

Предотвращение атак

Служба обеспечения конфиденциальности позволяет предотвратить атаки доступа. Впрочем, сама по себе она полностью не решает эту проблему. Эта служба должна работать совместно со службой идентификации для определения подлинности лиц, предпринимающих попытки доступа к инф. В этом случае значительно уменьшается риск получения злоумышленником несанкционированного доступа.

Целостность:

Служба обеспечения целостности следит за правильностью инф. При должном уровне организации эта служба дает пользователям уверенность в том, что инф является верной, и ее не изменил никто из посторонних. Подобно службе конфиденциальности, служба обеспечения целостности должна работать совместно со службой идентификации, чтобы осуществлять надежную проверку подлинности.

Целостность файлов. Инф может быть представлена в виде бумажных распечаток или в виде файлов. Легче обеспечить защиту бумажных док-тов, да и установить факт изменения содержимого такого док-та гораздо проще. А компьютерный файл может изменить любой, кто имеет к нему доступ. Основной способ предотвращения подделки док-тов - полное исключение неправомочного доступа. Для этого используются те же самые механизмы, что и для обеспечения конфиденциальности - физические меры без-ти. Основным способом защиты целостности в этом случае является контроль над доступом к файлам на компьютере. Цифровая подпись файла позволяет определить, что файл изменился с момента создания подписи. Цифровая подпись должна быть сопоставлена с конкретным пользователем; таким образом, служба обеспечения целостности должна включать в себя также функции идентификации и аутентификации.

Обеспечение целостности инф при передаче. Данные можно изменить в процессе их передачи по сетевым соединениям, но для этого должна быть выполнена атака перехвата. При наличии механизмов сильной идентификации и аутентификации атакам перехвата можно противостоять, а технологии шифрования позволяют предотвратить большинство типов атак на модификацию.

Служба обеспечения целостности позволяет предотвращать атаки на модификацию и атаки на отказ от обязательств. При должном уровне ее организации любое неправомочное изменение будет немедленно обнаружено. Взаимодействие со службой идентификации и аутентификации позволит противостоять атакам, направленным на организацию извне. А цифровая подпись позволит обнаружить атаки на отказ от обязательств.

Доступность:

Служба обеспечения доступности инф поддерживает ее готовность к работе, позволяет обращаться к компьютерным системам, хранящимся в этих системах данным и приложениям. Эта служба обеспечивает передачу инф м/у двумя конечными пунктами или компьютерными системами.

Переключение по отказу обеспечивает восстановление инф и сохранение производительности. Системы, настроенные подобным образом, способны обнаруживать неисправности и восстанавливать рабочее состояние автоматически с помощью резервных аппаратных средств. Переключение по отказу еще называется прямым восстановлением, поскольку не требует настройки. Резервная система располагается на том же рабочем месте, что и основная, чтобы незамедлительно включиться в работу при возникновении сбоя в исходной системе. Это наименее дорогостоящий вариант для большинства систем переключения по отказу.

Восстановление в аварийной ситуации защищает системы, инф и производственные мощности от стихийных бедствий типа пожара и наводнения. Это сложный процесс, позволяющий вернуть организацию в рабочее состояние в то время, когда становится невозможно попасть к основному оборудованию или в помещения.

Предотвращение атак

Механизмы обеспечения доступности используются для восстановления систем после атак на отказ в обслуживании. Надежных и эффективных способов предотвращения атак DoS мало, но данная служба позволит уменьшить последствия атак и вернуть системы и аппаратуру в рабочее состояние.

Выводы Для защиты секретной информации самой важной является служба конфиденциальности. Однако для одной информации требуется исключить возможность ее модификации, а для другой - возможность доступа. В обоих случаях нужна надежная служба идентификации и аутентификации. Если имеются системы или информация, от работы которых зависит деятельность организации, то потребуется также служба обеспечения доступности. Для ее работы не нужна служба идентификации и аутентификации.

31) Безопасность UNIX. Безопасности в ОС Unix, настройка данной ОС, управление пользователями и системой, поиск вторжений в данную ОС.

После построения системы Unix, в ней присутствуют уязвимости, которые устраняются посредством обновления, или внесения изменений в конфигурационные файлы. В файлах загрузки запускается ряд служб, необходимых для функционирования системы. Для предотвращения запуска службы, достаточно просто изменить имя файла. Внутри организации может потребоваться использование файловой системы NFS (предназначена для монтирования файловой системы с одной системы на другую).

Система Unix может использоваться как на серверах, так и на рабочих станциях.

Настройка паролей Существует три этапа процедуры упр-я паролями: Настройка требований к паролям; Запрет на вход без пароля; Указание требований к содержимому паролей.

Контроль доступа к файлам. В системе Unix доступ к файлам контролируется посредством набора разрешений. Для владельца файла, группы которой принадлежит владелец и для всех остальных лиц можно присваивать привилегии чтения, записи и выполнения.

Доступ через корневую учетную запись. Рекомендуется ограничивать прямой доступ с использованием корневой учетной записи. При таком подходе даже администраторам необходимо сначала выполнить вход систему с использованием их аутентификационных данных, и только после этого получить доступ к корневой учетной записи. Это также обеспечивает создание записей в журнале, отображающих, какие идентификаторы пользователей использовались для получения доступа к корневой учетной записи.

Управление пользователями.

Добавление пользователей в систему.

В большинстве версий Unix имеются утилиты для добавления пользователей в систему. Ключевыми задачами являются следующие:

Добавление имени пользователя в файл паролей, присвоение соответствующего идентификатора (/группового), пределение соответствующей оболочки для входа в систему; Добавление имени пользователя в теневой файл; Указание начального пароля; Определение псевдонима эл почты; Создание домашнего каталога пользователя.

При увольнении сотрудника его учетную запись требуется заблокировать, и после 30 дней она удалится.

Управление системой Unix. Заключается в ведении журнала и отслеживании системы на наличие признаков подозрительной активности.

Аудит. Ведение журналов является стандартной процедурой, выполняемой в большинстве версий Unix. Большая часть систем Unix обеспечивает широкие возможности по ведению журналов в программе syslog(фоновая программа, выполняющаяся и фиксирующая данные журнала согласно установке).

Скрытые файлы представляют проблему для систем Unix. Хакеры научились использовать скрытые файлы для маскировки своих действий.

27) Обеспечение ИБ. Вопросы обеспечения ИБ, оценки стоимости проведения мероприятий по без-ти, разработка и реализация политики без-ти, а также аудита систем.

Обеспечение ИБ - это процесс, опережающий упр-е риском, а не следующий за ним. В отличие от ответной модели, когда вначале происходит ЧП, а только потом принимаются меры по защите инф ресурсов, предупредительная модель работает до того, как что-то случится. В ответной модели общие затраты на без-ть неизвестны. Поскольку организация не предпринимает никаких шагов для предотвращения инцидента, нет никакой возможности узнать величину возможного ущерба. Нельзя оценить риск, пока не произойдет реальный инцидент. Организация может сократить затраты на обеспечение ИБ. Правильное планирование и упр-е риском позволят значительно снизить, если не исключить, величину ущерба от происшествия. Предупредительное принятие необходимых мер - это правильный подход к ИБ. В этом случае организация определяет свои уязвимые места, выявляет величину риска и выбирает экономически эффективные контрмеры.

Оценка стоимости. Процесс обеспечения ИБ начинается с оценки имущества: определения инф активов организации, факторов, угрожающих этой инф, и ее уязвимости, значимости общего риска. Без понимания текущего состояния риска невозможно эффективно выполнить программу защиты этих активов. Сразу после выявления риска и его количественной оценки можно выбрать рентабельную контрмеру для уменьшения этого риска. Цели оценки ИБ следующие:

Определить ценность инф активов, их угрозы, определить существующие уязвимые места в практической деят-ти организации; Установить риски организации в отношении инф активов; Предложить изменения позволяющие сократить величину рисков до допустимого уровня; обеспечить базу для создания соответствующего проекта обеспечения без-ти.

Пять основных видов оценки: Оценка уязвимых мест на системном, сетевом уровне; Общая оценка риска в рамках организации; Аудит; Испытание на возможность проникновения.

Эти виды оценки подразумевают некоторое предварительное понимание рисков и наличие опыта в практической реализации системы без-ти и упр-я риском.

Необходимо провести оценку собранной инф из трех главных источников: опрос работников; проверка документации; инвентаризация.

Последний этап сбора инф - инвентаризация всех материальных ценностей организации.

При проведении оценки изучают следующие моменты: сетевое окр-е; физические меры без-ти; существующие политики и процедуры; меры предосторожности, принятые на местах; осведомленность работников в вопросах без-ти; персонал; загруженность персонала; взаимоотношения работников; строгое соблюдение работниками установленной политики и мероприятий; специфику деят-ти.

Разработка политики. Определяет предполагаемое состояние без-ти и перечень необходимых работ.

Необходимо разработать следующие политики и процедуры: Инф политика (Выявляет секретную инф и способы ее обработки); Политика без-ти (Определяет технические ср-ва упр-я компьютерных систем); Политика использования (Обеспечивает политику компании по использованию компьютерных систем); Политика резервного копирования (Определяет требования к резервным копиям); Процедуры управления учетными записями (Определяют действия, выполняемые при добавлении или удалении пользователей); Процедура управления инцидентом (Определяет цели и действия при обработке происшествия, связанного с ИБ); План на случай чрезвычайных обстоятельств (Обеспечивает действия по восстановлению оборудования компании после стихийных бедствий или инцидентов, произошедших по вине человека).

Порядок разработки политик

Если ЗИ определена как область с высоким уровнем риска, инф политика должна разрабатываться одной из первых. Если же вероятны потери в бизнесе из-за отсутствия плана на случай чрезвычайных действий, то этот план должен быть разработан в первую очередь. Еще одним фактором в выборе порядка разработки политик является затрачиваемое время. Планы восстановления в случае ЧП обычно представляют очень подробные док-ты и требуют серьезных усилий со стороны отделов и сотрудников. Этот план потребует много времени для составления. Единственная политика, которая должна быть разработана на начальной стадии процесса, - это инф политика. Она формирует основу понимания того, почему внутренняя инф важна и насколько она должна быть защищена. В самом лучшем случае возможна одновременная разработка нескольких политик, поскольку заинтересованные стороны будут объединены общими интересами.

Обновление существующих политик

Политики и процедуры требуют обновления. Если в их создании принимал участие отдел ИБ, то в первую очередь необходимо собрать все заинтересованные стороны, участвовавшие в работе над предыдущей версии политики, и начать работу по обновлению. Если в разработке док-та участвовал кто-то из сотрудников организации, его также нужно привлечь к работе над обновлением. Отдел ИБ не должен ослаблять контроль над деят-тью бывшего владельца.

Реализация политики без-ти

Реализация политики заключается в реализации технич ср-в и ср-в непосредственного контроля, а также в подборе штата без-ти. Могут потребоваться изменения в конфигурации систем, находящихся вне компетенции отдела без-ти. В таких случаях в проведении программы без-ти должны участвовать системные и сетевые администраторы.

Системы отчетности по без-ти - это механизм, с помощью которого отдел без-ти отслеживает соблюдение политик и процедур, общее состояние уязвимых мест внутри организации. Используются ручные и автоматические системы.

Мониторинг использования. Включают в себя ПО, отслеживающее использование интернета. Целью является выявление работников, нарушающих политику компании. Некоторые механизмы способны блокировать такой доступ и сохранять журнал попыток.

Сканирование уязвимых мест систем. Служба без-ти должна периодически отслеживать системы и их уязвимые места. Необходимо обеспечить администраторов отчетами об уязвимых местах для их удаления. О вновь установленных системах нужно доводить до сведения администратора.

Соблюдение политики. Для опр-я соблюдения политики исп-ся ручной и автоматический режимы. Ручной режим требует от работника службы без-ти исследования каждой системы, что занимает много времени и велика вероятность ошибок. Для автоматической проверки разрабатывается соответствующее ПО, которое дает более точный результат в короткие сроки.

Аутентификация систем - установление личности пользователей, желающих получить доступ в систему или сеть. Механизмы: пароли, смарт-карты и биометрия.

Безопасность в интернете Реализация без-ти в интернете включает такие механизмы, как межсетевые экраны и виртуальные частные сети, и ведет к изменениям в сетевой архитектуре.

Шифрование применяют для защиты конфиденциальных или частных интересов.

Физическая без-ть. Установка видеокамер, замков и охранников.

Персонал. При применении любых новых систем без-ти должен быть подходящий персонал. Некоторые системы потребуют постоянного обслуживания. Другим системам потребуются люди для выполнения положений плана.

Проведение аудита

Аудит - это последний шаг в процессе реализации ИБ. После определения состояния ИБ внутри организации, проведение аудита позволит удостовериться, что все средства контроля сконфигурированы правильно.

Функции аудита:

Аудит соблюдения политики. Определяет реальное состояние дел. Любые отклонения отмечаются как нарушения. Подобные проверки могут выполняться внутренним персоналом или внешними консультантами. И в том и в другом случае этот процесс требует участия системных администраторов. Аудит соблюдения политики не должен ограничиваться только проверкой конфигурации систем. Он должен проявлять интерес к тому, как выполняются другие формы упр-я инф.

Периодическая оценка (/новых) проектов. Компьютерная и сетевая среда внутри организации постоянно изменяются. Поэтому результаты оценок быстро устаревают, и должны выполнять периодически. Полная оценка должна выполняться раз в два года.

Проверка возможности нарушения защиты. Проверка защиты подходит для следующих случаев: Способность системы обнаружения вторжений выявить попытку нарушения защиты; Уместность процедуры реагирования на инцидент, связанный с без-тью; Инф о сети, которую можно узнать через средства упр-я сетевым доступом; Уместность физической без-ти помещения; Адекватность инф, предоставляемой сотрудникам программой повышения осведомленности в плане без-ти.

Вывод. Какой бы ни была причина проведения проверки возможности нарушения защиты, подробный план этой проверки должен быть предоставлен до ее начала. Для каждого этапа плана необходимо определить цель проверки. Проверка возможности нарушения защиты через внешнюю сеть ограничена внешними сетевыми соединениями организации. Проверка физического нарушения защиты выявляют людей, пытающихся получить несанкционированный доступ к оборудованию. Проверка возможности атак социального инжиниринга связана с тестированием осведомленности сотрудников, она разрешает проверяющим вступать в контакт с сотрудниками, пытаясь заставить их разгласить инф или предоставить доступ к внутренним системам.

28) Рекомендации по обеспечению сетевой без-ти. Понятие административной без-ти, рекомендации по организации работы службы без-ти на предприятии, ср-ва технической без-ти, плюсы и минусы использования стандарта ISO 17799.

Административная без-ть Рекомендации по административной без-ти - это решения, соответствующие политикам и процедурам, ресурсам, степени ответственности, потребностям в обучении персонала и планам по выходу из критических ситуаций. Эти меры призваны определить важность инф и инф систем для компании и объяснить персоналу, в чем именно заключается эта важность. Рекомендации по обеспечению административной без-ти определяют ресурсы, необходимые для осуществления должного упр-я рисками и определения лиц, несущих ответственность за упр-е без-тью организации.

Ресурсы. Для применения корректных рекомендаций по без-ти необходимо осуществить присвоение ресурсов. Необходимые ресурсы обуславливаются размером организации, деловыми процессами организации и опасностями, угрожающими ей.

Персонал. Независимо от размеров организации, некоторым сотрудникам должна быть поручена обработка уязвимостей и обеспечение ИБ. В небольших организациях это может быть возложено на сотрудника отдела ИТ. В более крупных организациях могут существовать целые отделы без-ти.

Сотрудники отдела без-ти должны иметь следующие навыки: Администрирование без-ти; Разработка политик; Архитектура(сетевая, системная); Исследование; Оценка; Аудит.

Все эти навыки полезны но не все компании могут привлечь сотрудников, обладающих этими навыками. Наиболее удобно будет привлечь администратора в качестве сотрудника, а для выполнения других функций следует привлечь сторонние организации.

Бюджет без-ти должен быть разделен м/у капитальными затратами, текущими операциями и обучением персонала.

Распределение бюджета, согласно рекомендациям, должно основываться на планах проекта без-ти (которые базируются на риске, существующем для организации). Для успешного выполнения планов проекта без-ти должны быть выделены все необходимые средства.

Ответственность. Некоторое должностное лицо в организации должно нести ответственность за упр-е рисками, связанными с БИ. В крупных компаниях эти обязанности принято возлагать на специального сотрудника исполнительного уровня - главного специалиста по БИ.

Обучение сотрудников является одной из важных составляющих процесса упр-я угрозами для БИ. Рекомендуется осуществлять три формы обучения: Превентивные меры; Принудительные меры; Поощрительные меры.

Превентивные меры. Обучение этим мерам обеспечивает сотрудников знаниями о защите инф ресурсов организации. Понимание причин применения этих мер сделает их более совместимыми с политиками и процедурами. Если сотрудники не будут знать, цели обеспечения без-ти, то могут нарушить установленные политики и процедуры.

Принудительные меры. В целях "избавления" уклоняющихся от выполнения превентивных мер сотрудников проводят обеспечение осведомленности сотрудников об основах политики организации. По завершении прохождения сотрудником обучения без-ти ему нужно предложить подписать соглашение о том, что он ознакомился и согласился с политиками организации. Эти док -ты могут использоваться в случае судебного процесса.

Поощрительные меры. Т. к. сотрудники отдела без-ти не могут уследить абсолютно за всем, сотрудники являются важной частью системы оповещения об опасностях. Одним из методов для увеличения отчетности, является программа поощрений сотрудников.

Планы выхода из критических ситуаций – формулируются для быстрого восстановления и снижения ущерба, нанесенного в результате инцидента.

Процедуры резервного копирования должны исходить из политики резервного копирования. Они определяют время и указывают шаги выполняемые при резервировании данных. В процедурах архивации данных указывается периодичность повторного использования резервных носителей и места, где должны располагаться носители.

Восстановление после сбоев. В организации должны присутствовать планы восстановления после сбоев. Они описывают, вычислительные ресурсы являющиеся наиболее критичными, и с помощью них формируются конкретные требования по возврату этих ресурсов в работоспособное состояние.

Планы проектов без-ти т. к. обеспечение без-ти является непрерывным процессом, без-ть инф следует рассматривать как постоянно выполняемый проект. Отдел без-ти организации должен утверждать следующие планы: усовершенствования; проведения оценок; оценки уязвимостей, политики; аудита; обучения.

Усовершенствование. Планы усовершенствования вытекают из процедур оценки. Если в результате оценки определены некоторые опасные области, следует создать планы по усовершенствованию для разрешения возможных проблем и внесения соответствующих изменений в среду.

Оценка. Отдел без-ти должен разрабатывать ежегодные планы оценки риска. В средних организациях это может быть план полной оценки. В крупных организациях план может быть оценён по подразделениям.

Оценка уязвимостей. Отделы без-ти организаций должны регулярно проводить сканирование систем организации. Отдел без-ти должен планировать ежемесячную оценку всех систем внутри организации. Если в организации очень много компьютеров, то их нужно сгруппировать и по частям сканировать каждую неделю.

Аудит. Отдел без-ти должен разработать планы проведения аудита на соответствие политике организации. Такие аудиты могут быть сфокусированы на конфигурации систем, соответствии политике резервного копирования или на защите инф в физической форме. Так как аудиты требуют больших усилий со стороны персонала, каждый аудит нацелен на небольшую часть организации. При обнаружении значительных расхождений и несоответствий в соответствующем подразделении проводится более масштабный аудит.

Обучение. Планы обучения должны создаваться совместно с отделом кадров. Эти планы включают в себя расписание занятий и планы проведения рекламных кампаний. В расписании необходимо учитывать, что каждый сотрудник должен проходить обучение один раз в два года.

Оценка политики. Каждая политика организации должна предусматривать даты пересмотра. Отдел без-ти должен разрабатывать планы для начала пересмотра и оценки политики по мере приближения даты пересмотра.

Техническая безопасность

Меры по обеспечению технической без-ти связаны с применением эл-тов упр-я без-тью на компьютерах и в компьютерных сетях. Эти эл-ты упр-я являются отражением политик и процедур организации.

Сетевые соединения. Для защиты организации от вторжений, необходимо соблюдать следующие рекомендации.

Постоянные соединения. Сетевые соединения должны защищаться брандмауэром.

Защита от вредоносного кода. Для контроля этой опасности нужно использовать антивирус.

Аутентификация пользователей предотвращает доступ к корпоративным инф системам. Использование механизмов аутентификации предотвращает доступ авторизованных пользователей к запрещенной инф. Главным механизмом аутентификации являются пароли. Мин длина должна быть не менее 8 символов, а возраст не более 60 дней.

Мониторинг сетей на предмет наличия подозрительной активности стал необходимым и обязательным действием. Как правило, оно разделяется на аудит и обнаружение вторжений.

Аудит - запись действий, происходящих на компьютере. Журнал содержит инф о произошедших событиях, кто выполнил то или иное действие.

Шифрование. Обеспечивает ЗИ при передаче или хранении.

Обновление систем. Необходимо обновлять системы с точки зрения без-ти.

Резервное копирование и восстановление. Резервное копирование и восстановление являются важными процедурами для восстановления после сбоя. Инф на серверах должна резервироваться ежедневно. Полное копирование должно производиться раз в неделю.

Физическая без-ть. Требуется для обеспечения полной защиты. Физическая без-ть обеспечивает защиту инф систем в следующих областях: Физический доступ; Климатические условия; Защита от пожара; Электроэнергия.

Физический доступ. Все секретные компьютерные системы должны быть защищены от несанкционированного доступа. Доступ к инф центру контролируется различными способами. Магнитные карты или кодовые замки ограничивают число сотрудников.

Климатические условия. Компьютерные системы чувствительны к высоким температурам. Нужно обеспечивать в инф центре постоянную температуру и влажность.

Защита от пожара. В инф центрах следует использовать системы пожаротушения, активное вещество которых основано не на воде.

Электроэнергия. Необходимо использовать резервные источники электропитания, для избегания потери инф во время отключения эл-ва

Использование стандарта ISO 17799

Ключевые концепции стандарта

ISO 17799 охватывает десять основных областей:

Политика без-ти; Организационная без-ть; Классификация и контроль имущества; Без-ть персонала; Физ без-ть и без-ть среды; Упр-е коммуникациями и операциями; Контроль доступа; Разработка и поддержка систем. Поддержка непрерывности деловых процессов; Соответствие политике.

Стандарт ISO 17799 используется как стартовая точка для разработки программ без-ти. При построении программы без-ти необходимо ознакомиться с ним и использовать в качестве руководства при работе в той или иной области.

29) Виртуальные частные сети. Определение, 2 типа VPN, их преимущества и недостатки, понятие стандартных технологий функционирования VPN.

Частные сети используются организациями для соединения с удаленными сайтами и другими организациями. Частные сети состоят из каналов связи. Они характеризуются тем, что соединяют только 2 объекта. Частные сети обладают множеством преимуществ: Инф сохраняется на сервере; удаленные сайты могут осуществлять обмен инф незамедлительно; Удаленные пользователи не ощущают себя изолированными от системы, к которой они осуществляют доступ.

VPN обладают несколькими х-ками: Трафик шифруется для обеспечения защиты от прослушивания; Осуществляется аутентификация удаленного сайта; VPN обеспечивают поддержку множества протоколов; соединение обеспечивает связь только м/у двумя конкретными абонентами.

VPN подразделяются на 2 типа: пользовательские и узловые.

Пользовательские VPN представляют собой виртуальные частные сети, построенные м/у отдельной пользовательской системой и узлом или сетью организации. Часто пользовательские VPN используются сотрудниками, находящимися в командировке или работающими из дома. Сервер VPN может являться межсетевым экраном организации либо быть отдельным VPN-сервером. Пользователь подключается к интернету через телефонное подключение к локальному поставщику услуг, через канал DSL или кабельный модем и инициирует VPN-соединение с узлом организации через интернет.

Пользовательские VPN обладают двумя основными преимуществами:

Сотрудники, находящиеся в командировке, могут осуществлять доступ к элпочте, файлам и внутренним системам в любое время без необходимости в осуществлении дорогостоящих междугородних и международных телефонных вызовов для соединения с серверами;

Сотрудники, работающие из дома, могут осуществлять доступ к службам сети, как и сотрудники, работающие в организации, без аренды дорогостоящих выделенных каналов.

Оба эти преимущества можно приписать к экономии денежных средств. Экономия может заключаться в отказе от использования дорогостоящих междугородних и международных соединений, арендуемых каналов связи или в выполнении сотрудниками задач по администрированию серверов, принимающих входящие телефонные соединения.

Проблемы, связанные с пользовательскими VPN. Самой большой проблемой без-ти при использовании VPN сотрудником является одновременное соединение с другими сайтами интернета. ПО VPN на компьютере пользователя определяет, должен ли трафик передаваться через VPN, либо его нужно отправить на какой-либо другой сайт в открытом виде. Если на компьютер пользователя была произведена атака с использованием "троянского коня", возможно, что внешний нелегальный пользователь использует компьютер сотрудника для подключения к внутренней сети организации. Атаки данного типа осуществляются довольно сложно, но они совершенно реальны.

Узловые виртуальные частные сети используются организациями для подключения к удаленным узлам без применения дорогостоящих выделенных каналов или для соединения двух различных организаций, м/у которыми необходима связь для осуществления инф обмена, связанного с деятельностью этих организаций. Как правило, VPN соединяет один межсетевой экран или пограничный маршрутизатор с другим аналогичным устр-вом.

Преимущества узловых VPN

Как и в случае с пользовательскими VPN, основным преимуществом узловой VPN является экономичность. Организация с небольшими, удаленными друг от друга офисами может создать виртуальную частную сеть, соединяющую все удаленные офисы с центральным узлом (или даже друг с другом) со значительно меньшими затратами. Сетевая инфраструктура также может быть применена значительно быстрее, так как в удаленных офисах могут использоваться локальные ISP для каналов ISDN или DSL.

На базе политики организации могут быть разработаны правила, определяющие, каким образом удаленные сайты будут подключаться к центральному сайту или друг к другу. Если узловая VPN предназначена для соединения двух организаций, то на доступ ко внутренним сетям и компьютерным системам могут налагаться строгие ограничения.

Проблемы, связанные с узловыми VPN

Узловые VPN расширяют периметр без-ти организации, добавляя новые удаленные узлы или даже удаленные организации. Если уровень без-ти удаленного узла невелик, VPN может позволить злоумышленнику получить доступ к центральному узлу и другим частям внутренней сети организации. Следовательно, необходимо применять строгие политики и реализовывать ф-и аудита для обеспечения без-ти организации в целом. В случаях, когда две организации используют узловую VPN для соединения своих сетей, очень важную роль играют политики без-ти, установленные по обе стороны соединения. В данной ситуации обе организации должны определить, какие данные могут передаваться через VPN, а какие нет, и соответствующим образом настроить политики на своих межсетевых экранах.

Аутентификация узловых VPN также является важным условием для обеспечения без-ти. При установке соединения могут использоваться произвольные секреты, но один и тот же общий секрет не должен использоваться для более чем одного соединения VPN. Если предполагается использовать сертификаты с открытыми ключами, необходимо создать процедуры для поддержки изменения и отслеживания срока действия сертификатов.

Как и в случае с пользовательскими VPN, сервер VPN должен поддерживать дешифрование и шифрование VPN-трафика. Если уровень трафика высок, сервер VPN может оказаться перегруженным. В особенности это относится к ситуации, когда межсетевой экран является VPN-сервером, и имеет место интернет-трафик большого объема.

Необходимо обдумать вопросы, связанные с адресацией. Если узловая VPN используется внутри одной организации, в ней необходимо наличие одинаковой схемы адресации для всех узлов. В данном случае адресация не представляет какой-либо сложности. Если же VPN используется для соединения двух различных организаций, необходимо предпринять меры для предупреждения любых конфликтов, связанных с адресацией.

Понятие стандартных технологий функционирования VPN

Сеть VPN состоит из четырех ключевых компонентов: Сервер VPN; Алгоритмы шифрования; Система аутентификации; Протокол VPN.

Эти компоненты реализуют соответствие требованиям по без-ти, производительности и способности к взаимодействию.

Сервер VPN представляет собой компьютер, выступающий в роли конечного узла соединения VPN. Данный сервер должен обладать х-ками, достаточными для поддержки ожидаемой нагрузки. Большая часть производителей ПО VPN должна предоставлять рекомендации по поводу производительности процессора и конфигурации памяти, в зависимости от числа единовременных VPN-соединений. Следует обеспечить наличие системы с соответствующими параметрами, а также позаботиться о ее дальнейшей модернизации.

Алгоритм шифрования, используемый в VPN, должен быть стандартными мощным. Все стандартные и мощные алгоритмы могут эффективно использоваться при построении VPN. Различные производители отдают предпочтение различным алгоритмам, в зависимости от ограничений реализации продукта, аспектов, связанных с лицензированием, и предпочтений по программированию.

Следует заметить, что выбор алгоритма не имеет принципиального значения, если он будет стандартным и в достаточной степени мощным. Гораздо больше влияет на общий уровень без-ти реализация системы.

Система аутентификации VPN должна быть двухфакторной. Пользователи могут проходить аутентификацию с использованием того, что они знают, того, что у них есть или с помощью данных о том, кем они являются. При использовании пользовательских VPN отдается предпочтение первым двум вариантам.

Хорошей комбинацией средств аутентификации являются смарт-карты в паре с персональным идентификационным номером или паролем. Производители ПО, как правило, предоставляют организациям на выбор несколько систем аутентификации. В данном перечне присутствуют ведущие производители смарт-карт.

Протокол VPN определяет, каким образом система VPN взаимодействует с другими системами в интернете, а также уровень защищенности трафика. Если рассматриваемая организация использует VPN только для внутреннего инф обмена, вопрос о взаимодействии можно оставить без внимания. Однако если организация использует VPN для соединения с другими организациями, собственные протоколы использовать, скорее всего, не удастся. Протокол VPN оказывает влияние на общий уровень без-ти системы. Причиной этому является тот факт, что протокол VPN используется для обмена ключами шифрования между двумя конечными узлами. Если этот обмен не защищен, злоумышленник может перехватить ключи и затем расшифровать трафик, сведя на нет все преимущества VPN.

При соединении рекомендуется использовать стандартные протоколы. В настоящее время стандартным протоколом для VPN является IPSec. Этот протокол представляет собой дополнение к IP, осуществляющее инкапсуляцию и шифрование заголовка TCP и полезной инф, содержащейся в пакете. IPSec также поддерживает обмен ключами, удаленную аутентификацию сайтов и согласование алгоритмов. IPSec использует UDP-порт 500 для начального согласования, после чего используется IP-протокол 50 для всего трафика. Для правильного функционирования VPN эти протоколы должны быть разрешены.

30) Обнаружение вторжений. Основные типы систем обнаружения вторжений и датчиков вторжений. Вопросы установки, упр-я IDS и предотвращения вторжений посредством их.

Обнаружение вторжений – активный процесс, при котором происходит обнаружение хакера при его попытках проникнуть в систему.

Существует 2 основных типа IDS: узловые(HIDS) и сетевые(NIDS). Система HIDS располагается на отдельном узле и отслеживает признаки атак на данный узел. Система NIDS находится на отдельной системе, отслеживающей сетевой трафик на наличие признаков атак.

Узловые IDS представляют систему датчиков, загружаемые на различные сервера и управляются центральным диспетчером. Они отслеживают различные типы событий, и предпринимают действия на сервере или передают уведомление. Существует 5 основных типов датчиков HIDS: Анализаторы журналов; Датчики признаков; Анализаторы системных вызовов; Анализаторы поведения приложений; Контролеры целостности файлов.

Анализаторы журналов.(реактивный) Отслеживает файлы журналов в системе. Настроена на отслеживание записей журналов, события которых связаны с безопасностью системы. Реагируют на событие после того, как оно произошло.

Датчики признаков.(реактивный) Набор определенных признаков событий без-ти, сопоставляемых с входящим трафиком или записями журнала. Отслеживаю атаки во время их выполнения, но атака все равно будет завершена, перед вступлением в действие датчика HIDS.

Анализаторы системных вызовов. Применяются в виде программной спайки м/у приложениями и ОС. Осуществляют анализ вызовов м/у приложениями и ОС для идентификации событий, связанных с без-тью. Могут предотвращать действия.

Анализаторы поведения приложений. применяются в виде программной спайки м/у приложениями и ОС. Проверяет вызов на предмет того, разрешено ли приложению выполнять данное действие.

Контроллеры целостности файлов. Отслеживают изменения в файлах, посредством использования криптографической контрольной суммы или цифровой подписи файла. Малейшее изменение файла приведет к изменению конечной цифровой подписи.

Сетевые IDS

Представляют собой программный процесс, работающий на специально выделенной системе. NIDS переключает сетевую карту в режим при котором весь трафик идёт в ПО NIDS. Далее происходит анализ трафика с использованием набора правил и признаков.

Преимущества NIDS:

NIDS можно скрыть в сети

Одна система может исп-ся для мониторинга трафика с большим чистом потенциальных систем-целей.

NIDS может осуществлять перехват содержимого всех пакетов.

Недостатки: Система выдает тревогу, только если трафик соответствует предустановленным признакам; Из-за широкой полосы пропускания может пропустить нужный трафик; Система не может определить успешность атаки; не может просматривать зашифрованный трафик; В коммутируемых сетях требуются специальные конфигурации, без которых NIDS будет проверять не весь трафик.

При создании политики IDS необходимо выполнить следующие шаги: Определить цели создания IDS; Выбрать объекты мониторинга; Выбрать ответные действия; Установить пороги; Применить политику.

Управление IDS

Для успешной реализации программы необходимо обеспечить наличие всех нужных ресурсов.

Система обнаружения вторжений может сообщать о тех событиях, на обнаружение которых она настроена.

События атак требуют быстрой реакции. События не соответствующие категории, заносятся в категорию подозрительных событий.

Предотвращение вторжений. Для предотвращения вторжения необходимо остановить атаку, перед её достижением системы- -жертвы, либо остановить действие атаки перед выполнением на системе- жертве кода, использующего уязвимость. Предотвращение атаки легче всего рассматривать на узле, использующем HIDS.Можно использовать анализаторы системных вызовов или поведения приложения. Если вызов приложения похож на атаку, либо оно пытается выполнить неавторизованную операцию, анализатор вызовов/ анализатор поведения приложения предотвратит ее выполнение.

Предотвращение атаки при помощи NIDS является более сложным.

Датчик NIDS располагается в том месте, из которого он может отслеживать трафик. При обнаружении пакета, представляющего опасность, он либо закрывает соединение, либо перенастраивает брандмауэр для блокировки дальнейшего трафика из источника. Однако в большинстве случаев, пакет достигает своей цели ещё перед выполнением действий.

32) Безопасность беспроводных соединений. Современные беспроводные технологии, вопросы безопасности беспроводных сетей.

В беспроводных локальных сетях главным образом используется группа стандартов технологии 802.11x. Эти стандарты позволяют соединять рабочие станции каналами с пропускной способностью до 54 Мбит/с с использованием беспроводной точки доступа, которая подключается к кабельной сети или напрямую к другой рабочей станции

Для эффективного использования беспроводных локальных сетей (WLAN) на предприятии необходимо обеспечить достаточную зону покрытия в областях, где сотрудники или посетители организации будут размещать свои компьютеры. В помещениях радиус действия сети составляет 50м, а вне помещения 50м.

Стандарт 802.11х определяет протокол WEP для ЗИ при ее передаче через WLAN, предусматривает обеспечение 3 основных аспектов: аутентификация, конфиденциальность, Целостность.

Аутентификация. Служба аутентификации WEP исп-ся для аутентификации рабочих станций на точках доступа. WEP также предусматривает возможность криптографической аутентификации, механизм базируется на знании общего секрета, который обрабатывается алгоритмом RC4

Конфиденциальность. Механизм обеспечения конфиденциальности базируется на RC4(Стандартный, мощный, алгоритм шифрования). WEP определяет систему на базе RC4, обеспечивающую упр-е ключами, и др службы для алгоритма. WEP поддерживает ключи длиной 40 и 128 бит.

Целостность. Спецификация протокола WEP включает контроль целостности для каждого пакета. Используемая проверка представляет собой циклическую 32-битную проверку избыточности, вычисляемая для каждого пакета перед его шифрованием, далее данные шифруются и отправляются в пункт направления.

Вопросы безопасности беспроводных сетей.

Обнаружение WLAN. Обнаружить WLAN очень легко, с помощью специальных разработанных средств, и использующихся совместно со спутниковым навигатором. Надежным методом обнаружения WLAN является обследование офисного здания с ноутбуком.

Прослушивание. Наиболее очевидным риском для организации является возможность проникновения злоумышленника во внутреннюю сеть компании. Беспроводные сети позволяют присоединяться компьютерам, находящимся на расстоянии от неё. Злоумышленник может добыть инф посредством пассивного прослушивания, которое практически невозможно обнаружить.

Активные атаки могут быть более опасными. Хакер может успешно преодолеть периметр сетевой защиты организации. Системы расположенные внутри периметра как правило защищены меньше.

Безопасность точки доступа. Необходимо настроить без-ть точки беспроводного доступа, использовать HTTPS для управления точкой доступа, и сложные пароли. Не маловажную роль играет расположение точек доступа, нужно размешать так, что их диапазон не выходил за пределы помещения или здания.

Безопасность передачи данных. Несмотря на серьезные уязвимости, присутствующие в WEP, необходимо использовать этот протокол. Защита WEP может быть преодолена, однако для этого потребуется много усилий. Следует применять VPN при соединении рабочих станций WLAN с внутренней сетью. Большая часть VPN-продуктов предусматривает надежные алгоритмы шифрования, в которых отсутствуют недостатки, присущие WEP.

Безопасность рабочей станции

Существует возможность напрямую атаковать рабочие станции в сети WLAN. Если злоумышленник хочет проникнуть в сеть WLAN, то будет использовать снифферы для обнаружения других рабочих станций. Даже если не получится проникнуть во внутренние системы или прослушать информацию, передаваемую в сети, он сможет атаковать другие рабочие станции.

Защита рабочих станций в сети WLAN не отличается от защиты переносных компьютеров, расположенных в другом месте. Необходимо установить соответствующее антивирусное ПО. Если риск велик, на рабочих станциях следует применить персональные межсетевые экраны.