- •Введение
- •1. Информация как предмет защиты
- •2. Информационная безопасность
- •3. Основные угрозы информационной безопасности
- •Классификация угроз безопасности данных
- •4. Модель потенциального нарушителя
- •Типы нарушителей информационной безопасности ис
- •5. Классификация компьютерных преступлений
- •6. Личностные особенности компьютерного преступника
- •7. Принципы организации систем обеспечения безопасности данных (собд) ивс
- •8. Стандарты информационной безопасности
- •8.1. Критерии оценки безопасности компьютерных систем. «Оранжевая книга» сша
- •Основные элементы политики безопасности
- •Произвольное управление доступом
- •Безопасность повторного использования объектов
- •Метки безопасности
- •Принудительное управление доступом
- •Классы безопасности
- •Требования к политике безопасности
- •Произвольное управление доступом:
- •Повторное использование объектов:
- •Метки безопасности:
- •Целостность меток безопасности:
- •Принудительное управление доступом:
- •Требования к подотчетности Идентификация и аутентификация:
- •Предоставление надежного пути:
- •Требования к гарантированности Архитектура системы:
- •Верификация спецификаций архитектуры:
- •Конфигурационное управление:
- •Тестовая документация:
- •Описание архитектуры:
- •8.2. Европейские критерии безопасности информационных технологий
- •8.3. Руководящие документы Гостехкомиссии России
- •8.4. Общие критерии безопасности информационных технологий
- •9. Методы и средства защиты данных
- •9.1. Основные методы защиты данных
- •9.2. Классификация средств защиты данных
- •9.3. Формальные средства защиты
- •9.4. Физические средства защиты
- •9.5. Аппаратные средства защиты
- •9.5.1. Отказоустойчивые дисковые массивы
- •9.5.2. Источники бесперебойного питания
- •9.6.Криптографические методы и средства защиты данных
- •Классификация криптографических методов преобразования информации
- •9.7. Методы шифрования
- •9.7.1. Методы замены
- •9.7.2. Методы перестановки
- •9.7.3. Методы аналитических преобразований
- •9.7.4. Комбинированные методы
- •9.7.5. Стандарт сша на шифрование данных (des)
- •9.7.6. Отечественный стандарт на шифрование данных
- •9.8. Системы шифрации с открытым ключом
- •9.8.1. Алгоритм rsa
- •9.8.2. Криптосистема Эль-Гамаля
- •9.8.3. Криптосистемы на основе эллиптических уравнений
- •9.9. Электронная цифровая подпись
- •9.10. Методы кодирования
- •9.11. Другие методы шифрования
- •10. Стеганография
- •11. Защита программ от несанкционированного копирования
- •11.1. Методы, затрудняющие считывание скопированной информации
- •11.2. Методы, препятствующие использованию скопированной информации
- •11.3. Основные функции средств защиты от копирования
- •11.4. Основные методы защиты от копирования
- •11.4.1. Криптографические методы
- •11.4.2. Метод привязки к идентификатору
- •11.4.3. Методы, основанные на работе с переходами и стеком
- •11.4.4. Манипуляции с кодом программы
- •11.5. Методы противодействия динамическим способам снятия защиты программ от копирования
- •12. Защита информации от несанкционированного доступа
- •12.1. Аутентификация пользователей на основе паролей и модели «рукопожатия»
- •12.2. Аутентификация пользователей по их биометрическим характеристикам, клавиатурному почерку и росписи мыши
- •12.3. Программно-аппаратная защита информации от локального несанкционированного доступа
- •12.4. Аутентификация пользователей при удаленном доступе
- •13. Защита информации в компьютерных сетях
- •Пакетные фильтры
- •Сервера прикладного уровня
- •Сервера уровня соединения
- •Сравнительные характеристики пакетных фильтров и серверов прикладного уровня
- •Схемы подключения
- •Администрирование
- •Системы сбора статистики и предупреждения об атаке
- •Заключение
- •Библиографический список
- •394026 Воронеж, Московский просп., 14
Пакетные фильтры
Брандмауэры с пакетными фильтрами принимают решение о том, пропускать пакет или отбросить, просматривая IP-адреса, флаги или номера TCP портов в заголовке этого пакета. IP-адрес и номер порта – это информация сетевого и транспортного уровней соответственно, но пакетные фильтры используют и информацию прикладного уровня, т.к. все стандартные сервисы в TCP/IP ассоциируются с определенным номером порта.
Сервера прикладного уровня
Брандмауэры с серверами прикладного уровня используют сервера конкретных сервисов (proxy server) – TELNET, FTP и т.д., запускаемые на брандмауэре и пропускающие через себя весь трафик, относящийся к данному сервису. Таким образом, между клиентом и сервером образуются два соединения: от клиента до брандмауэра и от брандмауэра до места назначения.
Полный набор поддерживаемых серверов различается для каждого конкретного брандмауэра, однако чаще всего встречаются сервера для следующих сервисов:
терминалы (Telnet, Rlogin);
передача файлов (Ftp);
электронная почта (SMTP, POP3);
WWW (HTTP);
Gopher;
Wais;
X Window System (X11);
сетевая печать (LP);
удаленное выполнение задач (Rsh);
Finger;
новости Usenet (NNTP);
Whois;
RealAudio.
Использование серверов прикладного уровня позволяет решить важную задачу – скрыть от внешних пользователей структуру локальной сети, включая информацию в заголовках почтовых пакетов или службы доменных имен (DNS). Другим положительным качеством является возможность аутентификации на пользовательском уровне (подтверждения, действительно ли пользователь является тем, за кого он себя выдает).
При описании правил доступа используются такие параметры, как
название сервиса;
имя пользователя;
допустимый временной диапазон использования сервиса;
компьютеры, с которых можно пользоваться сервисом;
схемы аутентификации.
Сервера прикладного уровня позволяют обеспечить наиболее высокий уровень защиты, т.к. взаимодействие с внешним миров реализуется через небольшое число прикладных программ, полностью контролирующих весь входящий и выходящий трафик.
Сервера уровня соединения
Сервер уровня соединения представляет собой транслятор TCP соединения. Пользователь образует соединение с определенным портом на брандмауэре, после чего последний производит соединение с местом назначения по другую сторону от брандмауэра. Во время сеанса этот транслятор копирует байты в обоих направлениях, действуя как провод.
Как правило, пункт назначения задается заранее, в то время как источников может быть много (соединение типа один-много). Используя различные порты, можно создавать различные конфигурации.
Такой тип сервера позволяет создавать транслятор для любого определенного пользователем сервиса, базирующегося на TCP, осуществлять контроль доступа к этому сервису, сбор статистики по его использованию.
Сравнительные характеристики пакетных фильтров и серверов прикладного уровня
Ниже приведены основные достоинства и недостатки пакетных фильтров и серверов прикладного уровня относительно друг друга.
Достоинства пакетных фильтров:
относительно невысокая стоимость;
гибкость в определении правил фильтрации;
небольшая задержка при прохождении пакетов.
Недостатки пакетных фильтров:
локальная сеть видна (маршрутизируется) из интернет;
правила фильтрации пакетов трудны в описании, требуются очень хорошие знания технологий TCP и UDP;
при нарушении работоспособности брандмауэра все компьютеры за ним становятся полностью незащищенными либо недоступными;
аутентификацию с использованием IP-адреса можно обмануть использованием IP-спуфинга (атакующая система выдает себя за другую, используя ее IP-адрес);
отсутствует аутентификация на пользовательском уровне.
Достоинства серверов прикладного уровня:
локальная сеть невидима из INTERNET;
при нарушении работоспособности брандмауэра пакеты перестают проходить через брандмауэр, тем самым не возникает угрозы для защищаемых им машин;
защита на уровне приложений позволяет осуществлять большое количество дополнительных проверок, снижая тем самым вероятность взлома с использованием дыр в программном обеспечении;
аутентификация на пользовательском уровне может быть реализована система немедленного предупреждения о попытке взлома.
Недостатки серверов прикладного уровня:
более высокая, чем для пакетных фильтров стоимость;
невозможность использования протоколов RPC и UDP;
производительность ниже, чем для пакетных фильтров.
Ряд брандмауэров позволяет также организовывать виртуальные корпоративные сети (Virtual Private Network), т.е. объединить несколько локальных сетей, включенных в интернет в одну виртуальную сеть. VPN позволяют организовать прозрачное для пользователей соединение локальных сетей, сохраняя секретность и целостность передаваемой информации с помощью шифрования. При этом при передаче по интернет шифруются не только данные пользователя, но и сетевая информация – сетевые адреса, номера портов и т.д.