Методы защиты сетей
Наиболее важным шагом в планировании эффективной безопасности сети является разработка стратегии безопасности.
Лучшая стратегия безопасности основное внимание уделяет не столько обновлению после несчастья, сколько предупреждению этого несчастья.
Существуют следующие основные методы защиты:
- физические;
- организационные;
- программно- аппаратные.
Физические методы защиты состоят в физическом преграждении доступа посторонних лиц в помещения ВС на пути к данным и процессу их обработки.
Организационная защита реализуется совокупностью организационно - технических мероприятий, направленных на обеспечение защиты информации, разработкой и принятием законодательных актов по вопросам защиты информации, утверждением морально - этических норм использования информации в обществе.
Программно аппаратные средства защиты реализуются следующими методами:
- программно-аппаратные шифраторы сетевого трафика, защищенные сетевые криптопротоколы;
- методика Firewall;
- программные средства обнаружения атак;
- защищенные сетевые ОС
Использование стойкой криптографии заключается в том, что в настоящее время разработаны различные протоколы обмена, позволяющие защитить сетевое соединение и зашифровать трафик.
Шифрование является достаточно мощным средством защиты данных. Расшифровка требует знания ключа шифрования, подбор которого является трудоемкой задачей.
Шифрование данных осуществляется в темпе поступления информации (on-line) и в автономном режиме (off-line).
Первый способ применяется в основном в системах приема-передачи информации, а второй – для засекречивания хранимой информации.
В современных системах защиты в основном применяется два алгоритма: DES и RSA.
Стандарт шифрования DES (Data Encryption Standard) является правительственным стандартом цифрового шифрования, разработан фирмой IBM в начале 70-х годов. Алгоритм DES является симметричным, т.е. для шифрования и дешифрования используется один и тот же ключ. Обеспечивает высокую степень защиты при небольших расходах на шифрование (для подбора ключевой комбинации требуется перебор 72-квадриллиона вариантов).
Другой алгоритм RSA (сокращение по фамилиям авторов - Ривест, Шамир, Альдман) был предложен в 1976году.
Он ассиметричен. Достоинством его является то, что он работает при разной длине ключа. Чем длиннее ключ, тем больше времени требуется для расшифровки и тем выше уровень безопасности.
Алгоритм шифрования реализуется программно или аппаратно.
Применение межсетевых экранов Firewall реализует основные функции:
1. многоуровневая фильтрация сетевого трафика;
2. рroxy- схема с дополнительной идентификацией пользователей на Firewall- хосте, смысл которого заключается в создании соединения с конечным адресатом через промежуточный Proxy- сервер; он перехватывает запросы на информацию и скрывает адреса действительного размещения информации.
3. Создание приватных сетей с «виртуальными» IP- адресами для скрытия истинной топологии внутренней IP- сети.
Все межсетевые экраны функционируют на основе информации, получаемой от различных уровней эталонной модели ISO/OSI, и чем выше OSI, на основе которого построен межсетевой экран, тем выше уровень защиты им обеспечиваемой. Существуют три основных типа межсетевых экранов – брандмауэров (брандмауэр – это охранное устройство, которое блокирует передачу определенных данных): пакетный фильтр (Packet Filtering), шлюз на сеансовом уровне (Circuit- level gateway) и шлюз на прикладном уровне(Application- level gateway).
Пакетные фильтры препятствуют прохождению через них определенных типов пакетов. Например, пакетный фильтр может пропускать пакеты электронной почты, но блокировать передачу файлов.
Шлюзы канального уровня работают по более гибкой схеме, чем пакетные фильтры. Так же как и пакетные фильтры, шлюзы канального уровня могут препятствовать прохождению определенных типов пакетов через брандмауэр, но кроме этого шлюз канального уровня удаляет заголовок и окончание пришедшего пакета и заменяет их заголовком и окончанием принятым с другой стороны брандмауэра. Таким образом, с помощью шлюзов канального уровня можно подключать частные IP-сети к Интернету, не изменяя адресацию частной сети под стандарты Интернета.
Шлюзы приложений предоставляют наибольшую безопасность, так как с одной стороны брандмауэра и с другой никогда на самом деле не общаются друг с другом. Внешняя станция отправляет сообщение шлюзу приложений, который преобразует его и передает по адресу назначения с другой стороны брандмауэра. В отличие от использования пакетных фильтров или шлюзов канального уровня, оба компьютера воспринимают такой брандмауэр как конечную точку сетевого потока данных.
Обычно межсетевые экраны совмещают в себе функции двух или трех типов.
В настоящее время имеется новая технология построения межсетевых экранов, объединяющая в себе положительные свойства всех трех типов.
Эта технология была названа Statefue Inspection, а межсетевые экраны относятся к категории Statefue Inspection Firewall.
Межсетевые экраны обладают следующими недостатками:
- практически ни один межсетевой экран не имеет встроенных механизмов защиты от вирусов;
- снижение производительности сети, чувствительно снижается пропускная способность;
Таким образом, межсетевые экраны являются необходимыми, но не достаточными средствами обеспечения информационной безопасности. Они обеспечивают в основном первую линию обороны, и следует применять их совместно с другими средствами обеспечения информационной безопасности.
Socks- см стр. 144(Усатова)
Защита против вирусов
Одной из разновидностей несанкционированных программ являются компьютерные вирусы, количество которых постоянно растет, уже есть даже новая инженерная дисциплина - компьютерная вирусология.
Последствия воздействия вирусов могут быть разнообразными; от внешне необычных эффектов на мониторе и простого замедления работы до краха вычислительных системы или сети. Отсюда возникает необходимость защиты от вирусов на всех стадиях их развития, проникновения в систему и размножения.
Для этого в систему защиты включают программно-аппаратные средства, используют различные антивирусные программы для локализации и удаления вирусов и устранения последствий их воздействия.
На сегодняшний день сложились установившиеся названия для некоторых типов вирусов:
Ловушками называются вирусы, использующие имеющиеся неточности в действующих программах или несовершенство (например, изменяющие адрес входа из программы в программы и обратно).
Логические бомбы или бомбы замедленного действия осуществляют длительную и разнообразную подготовку к проведению деструктивных действий и затем срабатывают при выполнении определенного этапа работ, в наступлении заданного времени, обращенного к программе определенного пользователя. Эти вирусы особенно опасны в силу длительности периода времени, при котором они себя практически не обнаруживают, хотя уже ведут разрушительную работу.
Вирусы-черви вызывают неуправляемое функционирование, например, сетевых или периферийных устройств (бесконечный «прогон» бумаги в принтере; постоянную перезагрузку ОС и т.п.).
Троянскими конями называются вирусы, распространяемые вместе с ПО специального назначения, причем для пользователя оказываются крайне неожиданными их действия (например, таким вирусов могут быть зараженными сами антивирусные программы) Пород «троянцев» множество.
Борьба с вирусами ведется путем применения программ-антивирусов, осуществляющих обнаружение или обнаружение и удаление вируса.
Сетевые вирусы занимают особое место среди множества известных вирусов.
Возможность шифрования вирусами корпоративных сетей становится серьезной проблемой. Опасность действия вирусов определяется возможностью частичной или полной потери ценной информации, а также потерей времени и средств, направленных на восстановление нормального функционирования ИС.
Основные пути, которыми файлы, зараженные вирусами, попадают в корпоративную сеть:
- копирование инфицированных файлов или при запуске программ и других файлов с переносимых источников (гибких, оптических дисков и т.д.)
- программное обеспечение, полученное через WEB или FTP и сохраненное на локальных рабочих станциях;
- файлы, получаемые при соединении удаленного сервера с сетью для обмена с файловым сервером,
- электронная почта, содержащая приложенные зараженные файлы.
Сетевые вирусы для своего распространения активно используют протоколы и возможности локальных и глобальных сетей.
Основным принципом работы сетевого вируса является возможность самостоятельно передать свой код на удаленный сервер или рабочую станцию и возможностью запустить на выполнение свой код на удаленном компьютере или «подтолкнуть» пользователя к запуску зараженного файла.
Проблему защиты от вирусов целесообразно рассматривать в общем контексте проблемы защиты информации от несанкционированного доступа, соблюдая при этом три важных обстоятельства:
1. Защита информации от несанкционированных действий эффективна только тогда, когда комплекцию применяются.
2. Защита должна осуществляться непрерывно.
3. На защиту информации не нужно жалеть затрат денежных, материальных, временных и других ресурсов, так как он многократно окупится сохранением целостности информации.