Безопасность в информационных сетях

Большинство угроз безопасности в ИС связаны с уязвимостью протоколов передачи данных, в частности, протоколов ТСР, дело в том, что данные протоколы разрабатывались в те временны, когда вопросы безопасности не стояли на повестке дня. Пользователи информационных сетей тогда представляли собой ограниченный круг специалистов, заинтересованных в работе сети и никто не покушался на ее работоспособность. Но, с развитием ИС, возникла потребность в обеспечении их безопасности и появился специальный термин сетевая безопасность – это комплекс мер, направленных на защиту ИС от атак.

Классификация сетевых атак

Атака представляет собой попытку злоумышленника (хакера) получить доступ к конфиденциальной информации, повредить или уничтожить эту информацию или же каким-либо иным способом подорвать безопасность в информационной сети.

1. Сетевая разведка – как правило, атака предваряется сетевой разведкой, то есть сбором информации о компьютере жертвы, с целью, обнаружить уязвимость безопасности дальнейших атак. Простейшая сетевая разведка производится с помощью «мирной» команды ping и специальных программ для сканирования портов.

Сначала, с помощью команды ping определяется какие адреса присвоены тому или иному домену и какие из этих адресов доступны, затем выполняется сканирование портов, с целью определить какие общеизвестные сетевые службы и приложения запущены на атакуемом компьютере.

2. Анализ сетевого трафика – злоумышленник может использовать специальные программы или устройства, называемые снифферами, которые предназначенные для перехвата и последующего анализа сетевого трафика. Анализ применяется для компьютеру или для сбора информации о компьютере жертвы с целью дальнейших атак или же для кражи конфиденциальной информации

1. Атака отказа в обслуживании – имеет своей целью заставить сервер не отвечать на поступающие запросы, за счет превышения допустимых пределов его функционирования. Такой класс атак не подразумевает получение доступа к компьютеру и получения данных от него. Часто для проведения данных атак злоумышленник использует сразу нескольких компьютеров, как правило, без ведома их пользователей. В этом случае имеет место распределенная атака отказа в обслуживании.

Рассмотрим пример ДОС-атаки, в особенностях протокола ТСР. Злоумышленник организует массовую передачу на ТСР-сервер сегментом SYN, которые инициируют создание нового ТСР-соединения. Получит такие сегменты, сервер выделяет ресурсы для каждого из новых соединений и отправляет ответ с флагами SYN ASK после чего сервер ждет ответа от клиента с флагом ASK, которые не придет. Аналогичным образом продолжают создаваться незавершенные соединения, что приводит к перегрузке сервера. Сервер работает, но в таком состоянии уже не способен отвечать на легальные запросы. Цель атаки достигнута.

1. Переполнение буфера – эта атака построена на использовании уязвимостей в программах, которые не правильно работают с памятью и с полученными из вне данными. Такой программе передается слишком большой объем данных, в результате чего эта программа завершается с ошибкой и выдает DUMP памяти, который в последствие позволит злоумышленнику выполнить практически любую программу на атакуемом компьютере.
2. Вредоносные программы – этот термин подразумевает три различные вида программ:
• компьютерные вирусы – вредоносная программа, которая внедряется в другие программы для выполнения определенных нежелательных функций на компьютере.
• троянская программа – вредоносная программа, которая выглядит как полезное приложение, но на самом деле выполняет вредоносные действия.
• сетевой червь – это вредоносна программа самостоятельно распространяющаяся через информационные сети.
3. Инъекция – это атака, связанная с внедрением сторонних команд или данных в работающую систему, с целью получения доступа к закрытой информации или нарушения работы системы в целом.

· SQL-инъекция – атака, в ходе которой изменяются параметры запросов к БД. В результате такой атаке злоумышленник может изменить или удалить данные.

1. Подмена IP-адреса – используя подмену адреса отправителя в заголовке пакета, злоумышленник может обманывать систему безопасности, выдавая себя за пользователя или компьютер, которым он в действительности не является.
2. Спам – данный класс атак подразумевает отправку большого количества электронных писем одному и тому же пользователю, что делает невозможной работу с электронной почтой. Подобные письма могут содержать как безвредную информацию, так и различные вредоносные программы.
3. Социальная инженерия – основным отличием ее от других классов атак является то, что в данном случае в роле объекта атаки выбирается не компьютер, а его пользователь. Злоумышленник может получить конфиденциальную информацию с помощью обмана пользователей, в результате которого они передают злоумышленнику свои данные доступа к конфиденциальной информации. Представителем данного гласа атак является фишинг – для проведения фишинг-атаки злоумышленник проводит массовую рассылку электронных писем от имени банков, интернет-провайдеров, социальных сетей и других организаций, в которых содержатся уведомления о том, что по какой-либо причине получателю срочно нужно передать или обновить личные данные. И ссылка, похожая на URL оригинальных сайтов. После того, как пользователь попадает на поддельный сайт, который внешне не отличим от оригинального, злоумышленник пытается выудить у пользователя данные доступа к конфиденциальной информации – логины и пароли к определенном сайтам или банковским счетам. Фишинг-атака основана на незнании пользователями простого факта – организации никогда не рассылают писем с просьбами сообщить свои личные данные.

По данным ресурса securelist. com доля спама в мировом почтовом трафике 62,9 %, доля фишинговых писем 0,15%, вредоносные программы в письмах – 3,27%.

Защита от сетевых атак:

1. Шифрование – один из способов защиты данных при передачи по незащищенным каналам связи, это способ преобразования открытых данных в закрытых при отправке и обратно – при получении. Сегодня в ИС применяются 2 протокола на основе шифрования SSL-уровень защищенных сокетов и TLS-безопасность транспортного уровня. Приложения, работающие на протоколе НТТР или SSH инкапсулируют свои сообщения в пакеты SSL или TLS (уровень представления данных). Такой подход гарантирует безопасную передачу конфиденциальных данных.
2. Межсетевой экран – (брандмауэр),программное или аппаратное средство фильтрации сетевого трафика, поступающего из внешней сети по отношению к локальной сети или персональному компьютеру

ПК ßà Межсетевой экран ßàВнешняя сеть

Программный брандмауэр – представляет сетевое приложение, работающее на ПК или на пограничном устройстве, например – маршрутизаторе.

Аппаратный межсетевой экран – представляет собой отдельный сетевой элемент.

Межсетевой экран позволяет настраивать фильтры, отвечающие за пропуск сетевого трафика по следующим критериям:

1. IP-адрес – межсетевой экран позволяет задать IP-адрес узла сети, либо определенный диапазон адресов, тем самым, запретив получать от них пакеты данных или же наоборот – разрешит доступ только с данных IP-адресов.
2. Доменное имя – межсетевой экран позволяет разрешить или запретить получение данных для определенных сетевых узлов по их доменным именам.
3. Порт – межсетевой экран позволяет запретить доступ к нежелательным сетевым приложениям, либо наоборот – разрешить доступ только им.
4. Протокол – межсетевой экран может быть настроен на пропуск данных только какого-либо одного протокола, либо запретить доступ с его использованием.

Так же могут применять и дру.Э
гие фильтры, специфичные для конкретной информационной сети.

 

1. Прокси-сервер – это программное средство, которое выполняет функции посредника между клиентом и сервером, предполагается, что клиент принадлежит внутренней защищаемой сети, а сервер – внешней – потенциально опасной сети.

Клиент ßà Прокси-сервер ßà Сервер

Внешняя сеть

Подобно межсетевому экрану, прокси-сервер может выполнять контроль процесса обмена данными между клиентом и сервером. Для работы в информационной сети прокси-сервером по клиентского компьютера должно быть настроено таким образом, чтобы у него не было возможности установить прямое соединение с сервером, минуя прокси-сервер.

Следует отметить, что прокси-серверы часто применяются для организации доступа в сети Интернет из локальной сети в локальную сеть предприятия или организации.

 

ВИРТУАЛЬНЫЕ ЧАСТНЫЕ СЕТИ

· VPN

Виртуальная частная сеть - обобщенное название технологий, позволяющих создать один или несколько защищенных каналов связи поверх общедоступной незащищенной сети, например сети Интернет.

В зависимости от того, кто реализует сети VPN, они разделяются на 2 вида:

· Поддерживаемая клиентом виртуальная частная сеть

ß---------------------------Защищенный канал--------------------------------------------à

Локальная сеть1----------------Общедоступная сеть-----------------Локальная сеть2