Уровень 2: Защита от сетевых атак.

Этот уровень является критичным в отношении общей безопасности хоста, потому что большинство проникновений в систему осуществ­ляется через сеть. Необходимо выполнить следующие действия:

· удалить ненужные учетные записи;

· применять сложные пароли;

· заблокировать неиспользуемые сетевые службы;

· изменить стандартные последовательности SNMP-протокола;

· заблокировать службы совместного использования ресурсов (Windows);

· заблокировать службы удаленного доступа (UNIX).

Уровень 3: Защита от атак, направленных против приложений.

Она защищает хост от атак, направленных на приложения и не имеющих отношение к конфигурации операционной системы хо­ста. Для этого, к примеру, про­грамма должна использовать самые последние заплаты по безопасности и должна сообщаться с наименее возможным количеством портов. Две характеристики, которые нарушители эксплуатируют наиболее часто – это плохая стандартная конфигурация и переполнение буфера.

Переполнение буфера происходит в случае, если программа не проверяет должным образом размер поступающих данных и пытается поместить слишком много информации в буфер памяти. Дополнительные данные переполня­ют буфер и могут перезаписать другие ячейки памяти, выполняя выбранную нару­шителем команду. Впоследствии такая программа может выполнить инструкции, которые повредят файлы, расширят привилегии пользователя или приведут к отка­зу от обслуживания.

Для обеспечения безопасности на уровне приложений необходимо обратить внимание на следующие моменты:

· методы доступа

· пароли для приложений

· патчи для операционной системы и приложений

 

Компьютерные вирусы

В наибольшей опасности находятся пользователи операционной системы (ОС) MS-DOS/Windows и ее разновидностей как наиболее часто употребляемой и широко распространенной, однако в последние несколько лет наметилась отчетливая тенденция к расширению “сферы влияния” компьютерных вирусов

Возможен ввод программных ошибок и компьютерных вирусов в программное обеспечение как на этапе сборки и отладки, так и в процессе эксплуатации. При этом можно заранее предусмотреть желаемое нарушение в работе аппаратных средств за счет ввода вируса, а сам вирус можно замаскировать под обычную непреднамеренную ошибку программирования.

Технология компьютерных вирусов предоставляет возможность осуществления почти анонимных диверсий.

Основные положения о компьютерных вирусах

Шнайдер, Мюнхен: компьютерный вирус есть скрытная и разрушительная программа, обладающая способностью изменять другие программы таким образом, что в них после определенных операций внедряется копия машинного кода вируса (без ведома пользователя).

После инфицирования проги приобретают свойство вируса к самокопированию, то инфекция продолжает распространяться. Можно разработать вирус, способный в ходе размножения “развиваться”, т.е. изменяться и адаптироваться к обстановке. В какой-то степени этим свойством обладает так называемый “китовый” вирус.

“троянский конь”: не способны размножаться. Замаскированные обычно под полезные сервисные программы, они выполняют свою разрушительную функцию чаще всего уже при запуске компьютера.

Категории вирусов по их целевому результату:

“вирусы публичного эффекта” (обычные, большинство, расчит.на «шум», не имеют опред.цели, менее опасны, случ.хар-р)

“диверсионные программы” (конкр.цель, матер.выгода, искл.проявления воздействия)

Т.об, компьютерный вирус (или “программа-вирус”) – это программа, которая способна размножать себя в компьютере, а также передаваться другим средствам вычислительной техники по каналам связи или через внешние магнитные носители.

Компьютерные вирусы могут быть написаны в принципе любым программистом, распространяться в любой вычислительной среде, однако наибольшую опасность они представляют для персональных компьютеров (ПЭВМ).

жизненный цикл вируса:

внедрение,

инкубационный период,

репродуцирование (саморазмножение)

деструкция (разрушительная функция)

 

Может быть занесен вместе с некоторой программой, в теле которой он размещается злоумышленником. При этом запуск прикладной программы приводит к запуску вируса. Может сцепляться с другими программами или внедряться в них.

 

Классификация

Компьютерные вирусы

Файловые

Системные

Гибридные

Необратимой модификации (измен.код проги)

Гибкой модификации

ПусковогоСектора. заменяет пусковую запись своим кодом

Декомпозиционные

 

 

Структура

Компонент, ответственный за размножение (функции, необходимые для распространения вируса, в частности поиск неинфицированных программ, внесение в них изменений, внедрение в оперативную память маскировочные мероприятия.

Компонент, реализующий нанесение ущерба, вступает в действие после комп.размножения

Механизмы вирусной атаки

Место нахождения: в ОС, где он сцепляется с программами, расположенными в системной части накопителя на гибком или жестком магнитном диске. Его внутренние поля могут располагаться в структуре файлов типа EXE, в сетевом драйвере, в “плохих” или специальных секторах на диске, в ПЗУ.

Распространение:

- транзитно (находясь в ОЗУ компьютера, вирус дописывает себя в другие программы, хранимые на диске)

- резидентно (вирус при обращениях к ОС “заражает” программы, вызываемые на выполнение.

Активация

- с момента внедрения в средства вычислительной техники

- по наступлении определенного события

- случайно

развитие “вирусной технологии”

“стелз-вирус” (вирус-невидимка) -устранение основного признака, выдающего наличие вируса в системе (на диске), – размера файла.

“круизный вирус” (через сети и предназначен для конкр.компа)

 

 

Протоколы

протоко́ л - набор правил, позволяющий осуществлять соединение и обмен данными между двумя и более включёнными в сеть устройствами.

Протокол РРР РАР

PPP (Point-to-Point Protocol) PAP (Password Authentication Protocol) — протокол простой проверки подлинности, предусматривающий отправку имени пользователя и пароля на сервер удаленного доступа открытым текстом (без шифрования). Протокол PAP крайне ненадежен.

Протокол РРР CHAP

широко распространён CHAP (Challenge Handshake Authentication Protocol) —алгоритм проверки подлинности, путем передачи не самого пароля пользователя, а косвенных сведений о нём.

1) Сервер удаленного доступа отправляет клиенту строку запроса.

2) На основе этой строки и пароля пользователя клиент вычисляет хеш-код и передает его серверу.

3) Сервер, которому доступен пароль пользователя, выполняет те же самые вычисления и сравнивает результат с хеш-кодом, полученным от клиента.

4) В случае совпадения учётные данные клиента удалённого доступа считаются подлинными.

Протокол РРР ЕАР

РРР ЕАР (Extensible Authentication Protocol) – общий протокол аутентификации РРР. Поддерживает множество аутентификационных механизмов. ЕАР не производит выбор конкретного аутентификационного механизма на этапе контроля соединения, но откладывает этот выбор до этапа аутентификации

TACACS+

сеансовый последнего поколения протокол TACACS+ (Terminal Access Controller Access Control System plus) – это простой протокол управления доступом, основанный на стандартах UDP. Пользуется транспортным протоколом TCP, использует порт 49.

работает по технологии клиент/сервер (клиент обычно NAS, сервер процесс, запускаемый на машине UNIX или NT).

можно использовать любой аутентификационный механизм, в том числе РРР PAP, PPP CHAP, аппаратные карты и Kerberos.

Аутентификация не является обязательной.

Транзакции между клиентом и сервером идентифицируются с помощью общего " секрета", который никогда не передается по каналам связи. Обычно этот секрет вручную устанавливается на сервере и на клиенте.

В ходе аутентификации TACACS+ используются пакеты трех типов: START, CONTINUE(клиент) и REPLY(сервер):

RADIUS

RADIUS ( R emote A uthentication in D ial- I n U ser S ervice)) – протокол аутентификации серверного доступа и учета.

Связь между NAS и сервером RADIUS основана на UDP.

работает по технологии клиент/сервер (клиент обычно NAS, сервер процесс, запускаемый на машине UNIX или NT.

1) Клиент передает пользовательскую информацию на определенные серверы RADIUS,

2) Серверы RADIUS принимают запросы пользователей на подключение, проводят аутентификацию (разные методы) пользователей, а затем отправляют всю конфигурационную информацию, которая необходима клиенту для обслуживания пользователя.

2.1) из NAS на сервер RADIUS запроса Access Request (имя пользователя, зашифрованный пароль, IP-адрес системы NAS и номер порта)

2.2) поиск указанного имени пользователя в базе данных.

2.3) ответа (положительного или отрицательного), который дает сервер.

3) клиенты действует в соответствии с полученными от сервера инструкциями.

В системе RADIUS функции аутентификации и авторизации совмещены.

В настоящее время (с середины 2003-го года) разрабатывается протокол DIAMETER, который призван заменить RADIUS, оставшись обратно совместимым с ним.

Протоколы безопасности на транспортном уровне SSL и SSH, (между клиентом и сервером).

SSL (англ. Secure Sockets Layer — протокол защищённых сокетов) — открытый криптографический протокол, обеспечивающий безопасную передачу данных по сети Интернет, между протоколами приложений (такими как HTTP, Telnet, NNTP или FTP) и протоколом TCP/IP. При его использовании создаётся защищённое соединение между клиентом и сервером, в настоящее время принят IETF как стандарт.

Надёжность передачи данных за счёт использования корректирующих кодов и безопасных хэш-функций.

SSL состоит из двух уровней.

Для доступа к страницам, защищённым протоколом SSL, в URL вместо обычного префикса http применяется префикс https (порт 443). Для работы SSL требуется, чтобы на сервере имелся SSL сертификат.

SSH ( S ecure Sh ell) — сетевой протокол прикладного уровня, позволяющий производить удалённое управление операционной системой и туннелирование TCP-соединений (например, для передачи файлов). Сходен по функциональности с протоколами Telnet и rlogin, но, в отличие от них, шифрует весь трафик, включая и передаваемые пароли. SSH допускает выбор различных алгоритмов шифрования. SSH-клиенты и SSH-серверы имеются для большинства сетевых операционных систем.

SSH позволяет безопасно передавать в незащищенной среде практически любой другой сетевой протокол, таким образом, можно не только удаленно работать на компьютере через командную оболочку, но и передавать по шифрованному каналу звуковой поток или видео (например, с веб-камеры). Также SSH может использовать сжатие передаваемых данных для последующего их шифрования, что удобно, например, для удаленного запуска клиентов X Window System.

S-http безопасный протокол связи, ориентированный на сообщения и разработанный для использования в сочетании с HTTP. Он предназначен для совместной работы с моделью сообщений HTTP и легкой интеграции с приложениями HTTP. Этот протокол предоставляет клиенту и серверу одинаковые возможности.

протокол поддерживает только операции с симметричными шифровальными ключами.

Протокол S-HTTP поддерживает безопасные сквозные (end-to-end) транзакции.

S-HTTP поддерживает высокий уровень гибкости криптографических алгоритмов,

SOCKS сокращение от «SOCKetS» (сокеты, гнёзда) разработан для того, чтобы дать возможность приложениям клиент/сервер в доменах TCP и UDP удобно и безопасно пользоваться услугами межсетевого экрана. Он дает пользователям возможность преодолевать межсетевой экран организации и получать доступ к ресурсам, расположенным в сети Интернет. SOCKS является “посредником уровня приложений”: он взаимодействует с общими сетевыми средствами (например, Telnet и браузер Netscape) и с помощью центрального сервера (прокси-сервера) от имени вашего компьютера устанавливает связь с другими центральными компьютерами.

SOCKS V.5 создает основу для аутентифицированного перехода межсетевого экрана одноадресным пользовательским графиком TCP и UDP. Однако ввиду того, что поддержка UDP в текущей версии SOCKS V.5 имеет проблемы с масштабируемостью и другие недостатки, расширения определяются двояко: как базовые расширения UDP и как многоадресные расширения UDP.

 

IPSec Безопасный протокол IP (IPSec) представляет собой набор стандартов, используемых для защиты данных и для аутентификации на уровне IP. Текущие стандарты IPSec включают независимые от алгоритмов базовые спецификации, которые являются стандартными RFC. IPSec - стек протоколов сетевого уровня, предназначенный для обеспечения защиты конфиденциальных данных, передаваемых по межсетевому протоколу IP с помощью шифрования, аутентификации, защищенного обмена ключами.

Существует два режима работы стека IPSec: транспортный режим и туннельный режим.

Протокол РРР РАР

PPP (Point-to-Point Protocol) PAP (англ. Password Authentication Protocol) — протокол простой проверки подлинности, предусматривающий отправку имени пользователя и пароля на сервер удаленного доступа открытым текстом (без шифрования). Протокол PAP крайне ненадежен, поскольку пересылаемые пароли можно легко читать в пакетах PPP (Point-to-Point Protocol), которыми обмениваются стороны в ходе проверки подлинности. Обычно PAP используется только при подключении к старым серверам удаленного доступа на базе UNIX, которые не поддерживают никакие другие протоколы проверки подлинности.

Протокол РРР CHAP

широко распространён CHAP (Challenge Handshake Authentication Protocol) —алгоритм проверки подлинности, путем передачи не самого пароля пользователя, а косвенных сведений о нём.

1) Сервер удаленного доступа отправляет клиенту строку запроса.

2) На основе этой строки и пароля пользователя клиент вычисляет хеш-код и передает его серверу. Хеш-функция является алгоритмом одностороннего (необратимого) шифрования, поскольку значение хеш-функции для блока данных вычислить легко, а определить исходный блок по хеш-коду с математической точки зрения невозможно за приемлемое время.

3) Сервер, которому доступен пароль пользователя, выполняет те же самые вычисления и сравнивает результат с хеш-кодом, полученным от клиента.

4) В случае совпадения учётные данные клиента удалённого доступа считаются подлинными.

Протокол РРР ЕАР

РРР ЕАР (Extensible Authentication Protocol) – общий протокол аутентификации РРР. Поддерживает множество аутентификационных механизмов. ЕАР не производит выбор конкретного аутентификационного механизма на этапе контроля соединения, но откладывает этот выбор до этапа аутентификации

 

61. 61. TACACS+

TACACS+ (Terminal Access Controller Access Control System plus) является протоколом последнего поколения из серии протоколов TACACS. TACACS – это простой протокол управления доступом, основанный на стандартах User Datagram Protocol (UDP) и разработанный компанией Bolt, Beranek and Newman, Inc. (BBN) для военной сети Military Network (MIL-NET). Компания Cisco несколько раз совершенствовала и расширяла протокол TACACS, и в результате появилась ее собственная версия TACACS, известная как TACACS+.

Все версии TACACS и расширенные варианты этого протокола используют порт 49.

Протокол TACACS+ работает по технологии клиент/сервер, где клиентом TACACS+ обычно является NAS, а сервером TACACS+, как правило, считается " демон" (процесс, запускаемый на машине UNIX или NT). Фундаментальным структурным компонентом протокола TACACS+ является разделение аутентификации, авторизации и учета (ААА – Authentication, Authorization, Accounting). Это позволяет обмениваться аутентификационными сообщениями любой длины и содержания, и, следовательно, использовать для клиентов TACACS+ любой аутентификационный механизм, в том числе РРР PAP, PPP CHAP, аппаратные карты и Kerberos.

Транзакции между клиентом TACACS+ и сервером TACACS+ идентифицируются с помощью общего " секрета", который никогда не передается по каналам связи. Обычно этот секрет вручную устанавливается на сервере и на клиенте. TACACS+ можно настроить на шифрование всего трафика, который передается между клиентом TACACS+ и демоном сервера TACACS+.

В ходе аутентификации TACACS+ используются пакеты трех типов: START, CONTINUE и REPLY. START и CONTINUE всегда отправляются клиентом, a REPLY всегда отправляется сервером.

RADIUS

Протокол RADIUS ( R emote A uthentication in D ial- I n U ser S ervice))

Применяется в UNIX, также в Windows. Разработан протокол в качестве протокола идентификации серверного доступа и учета. Связь м/у NAS и сервером RADIUS основана на базе протокола UDP. Основан на технологии «клиент-сервер». Клиентом также считается NAS, а сервером яв-ся демон.

1. Пользователь инициирует соединение РРР с сервером доступа.

2. Сервер доступа запрашивает у пользователя имя и пароль.

3. Пользователь отвечает на запрос.

4. Клиент RADIUS посылает имя пользователя и зашифрованный пароль серверу RADIUS.

5. Сервер RADIUS отвечает сообщениями Accept, Reject или Challenge.

6. Клиент RADIUS обрабатывает параметры, полученные от сервера, вместе с сообщениями Accept, Reject или Challenge.

Пользователь 1. Клиент 4. Сервер

2. RADIUS 5. RADIUS

3.

⇐ Предыдущая234567891011Следующая ⇒

Поделиться:

Популярное:

1. III. Защита статистической информации, необходимой для проведения государственных статистических наблюдений
2. VIII. ПУБЛИЧНАЯ ЗАЩИТА СОЧИНЕНИЯ
3. Антропогенные опасности и защита от них
4. Аутентификация, основанная на знании и защита от компрометации паролей методы, позволяющих несколько уменьшить угрозу компрометации паролей пользователей
5. БЕЗОПАСНОСТЬ ЖИЗНЕДЕЯТЕЛЬНОСТИ И ЭКОЛОГИЧЕСКАЯ ЗАЩИТА
6. Возможности собственной эволюции ADSL: от доступа к Интернет к предоставлению полного набора сетевых услуг
7. Высшим нравственным смыслом служебной деятельности сотрудника является защита человека, его жизни и здоровья, чести и личного достоинства, неотъемлемых прав и свобод.
8. Газовая защита тр-ра, назначение, схема, конструкция газового реле.
9. Гарантии и защита конституционных прав и свобод
10. Глава 19 ЗАЩИТА ПРАВ НАЛОГОПЛАТЕЛЬЩИКОВ
11. Глава 2. Социальная защита детства.
12. Глава II. Защита некоторых видов гражданских прав при банкротстве