Обеспечение информационной безопасности в сети Internet

Введение………………………………………………………………………………………….2
1. Обнаружение атак…………………………………………………………………………...4
1.1. Обнаружение атак на сетевом уровне……………………………………………...6
1.2. Обнаружение атак на системном уровне…………………………………………..6
1.3. Достоинства систем обнаружения атак на сетевом уровне……………………….7
1.4. Достоинства систем обнаружения атак на системном уровне……........................9
1.5. Необходимость в обеих системах обнаружения атак сетевого и системного уровней………………………………………………………………………………....11
1.6. Список требования к системам обнаружения атак следующего поколения………………………………………………………………………………11
2. Атаками весь мир полниться………………………………………………........................12
3. Как защититься от удаленных атак в сети Internet?...........................................................14
3.1. Административные методы защиты от удаленных атак в сети Internet…………………………………………………………………………………..16
3.1.1. Как защититься от анализа сетевого трафика?.................................................16
3.1.2. Как защититься от ложного ARP-сервера?.......................................................16
3.1.3. Как защититься от ложного DNS-сервера?..........................................................17 а) Как администратору сети защититься от ложного DNS-сервера?.................17 б) Как администратору DNS-сервера защититься от ложного DNS-сервера?..17
3.1.4. Как защититься от навязывания ложного маршрута при использовании протокола ICMP?.....................................................................................................18
3.1.5. Как защититься от отказа в обслуживании?.....................................................19
3.1.6. Как защититься от подмены одной из сторон при взаимодействии с использованием базовых протоколов семейства TCP/IP………………………19
3.2. Программно-аппаратный метод защиты от удаленных атак в сети Internet………………………………………………………………………………….20
3.2.1. Методика Firewall как основное программно-аппаратное средство осуществления сетевой политики безопасности в выделенном сегменте IP-сети…………………………………………………………………………………21
1. Многоуровневая фильтрация сетевого трафика…………………………….21
2. Proxy-схема с дополнительной идентификацией и аутентификацией пользователей на Firewall-хосте………………………………………….….21
3. Создание приватных сетей (Private Virtual Network - PVN) с "виртуальными" IP-адресами (NAT - Network Address Translation)……………………………………………………………..……..21
3.2.2 Программные методы защиты, применяемые в сети Internet…………………...23
1. SKIP-технология и криптопротоколы SSL, S-HTTP как основное средство защиты соединения и передаваемых данных в сети Internet …………………………………………………………………………………24
2. Сетевой монитор безопасности IP Alert-1……………………..…………...26
4. Рынок систем безопасности……………………………………………….………………29
4.1. Основные тенденции рынка: статистика и прогнозы……………………………….29
4.2. Структура рынка безопасности……………………………………………………….31
4.3. Лидеры на рынке систем безопасности………………………………………………32
Заключение………………………………………………………………………………….35
Приложение: ”Презентация к проектной работе”

Весь текст будет доступен после покупки

Атака на компьютерную систему - это действие, предпринимаемое злоумышленником, которое заключается в поиске и использовании той или иной уязвимости. Таким образом, атака - это реализация угрозы. Заметим, что такое толкование атаки (с участием человека, имеющего злой умысел), исключает присутствующий в определении угрозы элемент случайности, но, как показывает опыт, часто бывает невозможно различить преднамеренные и случайные действия, и хорошая система защиты должна адекватно реагировать на любое из них.
Далее, исследователи обычно выделяют три основных вида угроз безопасности - это угрозы раскрытия, целостности и отказа в обслуживании.
Угроза раскрытия заключается том, что информация становится известной тому, кому не следовало бы ее знать. В терминах компьютерной безопасности угроза раскрытия имеет место всякий раз, когда получен доступ к некоторой конфиденциальной информации, хранящейся в вычислительной системе или передаваемой от одной системы к другой. Иногда вместо слова "раскрытие" используются термины "кража" или "утечка".
Угроза целостности включает в себя любое умышленное изменение (модификацию или даже удаление) данных, хранящихся в вычислительной системе или передаваемых из одной системы в другую. Обычно считается, что угрозе раскрытия подвержены в большей степени государственные структуры, а угрозе целостности - деловые или коммерческие.
Угроза отказа в обслуживании возникает всякий раз, когда в результате некоторых действий блокируется доступ к некоторому ресурсу вычислительной системы. Реально блокирование может быть постоянным, так чтобы запрашиваемый ресурс никогда не был получен, или оно может вызвать только задержку запрашиваемого ресурса, достаточно долгую для того, чтобы он стал бесполезным. В таких случаях говорят, что ресурс исчерпан.

Весь текст будет доступен после покупки

1. Обнаружение атак

Исторически так сложилось, что технологии, по которым строятся системы обнаружения атак, принято условно делить на две категории: обнаружение аномального поведения (anomaly detection) и обнаружение злоупотреблений (misuse detection). Однако в практической деятельности применяется другая классификация, учитывающая принципы практической реализации таких систем: обнаружение атак на уровне сети (network-based) и на уровне хоста (host-based). Первые системы анализируют сетевой трафик, в то время как вторые — регистрационные журналы операционной системы или приложения. Каждый из классов имеет свои достоинства и недостатки, но об этом чуть позже. Необходимо заметить, что лишь некоторые системы обнаружения атак могут быть однозначно отнесены к одному из названных классов. Как правило, они включают в себя возможности нескольких категорий. Тем не менее эта классификация отражает ключевые возможности, отличающие одну систему обнаружения атак от другой.
В настоящий момент технология обнаружения аномалий не получила широкого распространения, и ни в одной коммерчески распространяемой системе она не используется. Связано это с тем, что данная технология красиво выглядит в теории, но очень трудно реализуется на практике. Сейчас, однако, наметился постепенный возврат к ней (особенно в России), и можно надеяться, что в скором времени пользователи смогут увидеть первые коммерческие системы обнаружения атак, работающие по этой технологии.
Другой подход к обнаружению атак — обнаружение злоупотреблений, которое заключается в описании атаки в виде шаблона (pattern) или сигнатуры (signature) и поиска данного шаблона в контролируемом пространстве (сетевом трафике или журнале регистрации). Антивирусные системы являются ярким примером системы обнаружения атак, работающей по этой технологии.
Как уже было отмечено выше, существует два класса систем, обнаруживающих атаки на сетевом и операционном уровне. Принципиальное преимущество сетевых (network-based) систем обнаружения атак состоит в том, что они идентифицируют нападения прежде, чем те достигнут атакуемого узла. Эти системы более просты для развертывания в крупных сетях, потому что не требуют установки на различные платформы, используемые в организации. В России наибольшее распространение получили операционные системы MS-DOS, Windows 95, NetWare и Windows NT. Различные диалекты UNIX у нас пока не столь широко распространены, как на Западе. Кроме того, системы обнаружения атак на уровне сети практически не снижают производительности сети.
Системы обнаружения атак на уровне хоста создаются для работы под управлением конкретной операционной системы, что накладывает на них определенные ограничения. Например, мне не известна ни одна система этого класса, функционирующая под управлением MS-DOS или Windows for Workgroups (а ведь эти операционные системы еще достаточно распространены в России). Используя знание того, как должна «вести» себя операционная система, средства, построенные с учетом этого подхода, иногда могут обнаружить вторжения, пропускаемые сетевыми средствами обнаружения атак. Однако зачастую это достигается дорогой ценой, потому что постоянная регистрация, необходимая для выполнения подобного рода обнаружения, существенно снижает производительность защищаемого хоста. Такие системы сильно загружают процессор и требуют больших объемов дискового пространства для хранения журналов регистрации и, в принципе, не применимы для высококритичных систем, работающих в режиме реального времени (например, система «Операционный день банка» или система диспетчерского управления). Однако, несмотря ни на что, оба эти подхода могут быть применены для защиты вашей организации. Если вы хотите защитить один или несколько узлов, то системы обнаружения атак на уровне хоста могут стать неплохим выбором. Но если вы хотите защитить большую часть сетевых узлов организации, то системы обнаружения атак на уровне сети, вероятно, будут наилучшим выбором, поскольку увеличение количества узлов в сети никак не скажется на уровне защищенности, достигаемом при помощи системы обнаружения атак. Она сможет без дополнительной настройки защищать дополнительные узлы, в то время как в случае применения системы, функционирующей на уровне хостов, понадобится ее установка и настройка на каждый защищаемый хост. Идеальным решением стала бы система обнаружения атак, объединяющая в себе оба эти подхода. Существующие сегодня на рынке коммерческие системы обнаружения атак (Intrusion Detection Systems, IDS) используют для распознавания и отражения атак либо сетевой, либо системный подход. В любом случае эти продукты ищут сигнатуры атак, специфические шаблоны, которые обычно указывают на враждебные или подозрительные действия. В случае поиска этих шаблонов в сетевом трафике, IDS работает на сетевом уровне. Если IDS ищет сигнатуры атак в журналах регистрации операционной системы или приложения, то это системный уровень. Каждый подход имеет свои достоинства и недостатки, но они оба дополняют друг друга. Наиболее эффективной является система обнаружения атак, которая использует в своей работе обе технологии. В данном материале обсуждаются различия в методах обнаружения атак на сетевом и системном уровнях с целью демонстрации их слабых и сильных сторон. Также описываются варианты применения каждого из способов для наиболее эффективного обнаружения атак.

1.1. Обнаружение атак на сетевом уровне
Системы обнаружения атак сетевого уровня используют в качестве источника данных для анализа необработанные (raw) сетевые пакеты. Как правило, IDS сетевого уровня используют сетевой адаптер, функционирующий в режиме "прослушивания " (promiscuous), и анализируют трафик в реальном масштабе времени по мере его прохождения через сегмент сети. Модуль распознавания атак использует четыре широко известных метода для распознавания сигнатуры атаки:
o Соответствие трафика шаблону (сигнатуре), выражению или байткоду, характеризующих об атаке или подозрительном действии;
o Контроль частоты событий или превышение пороговой величины;
o Корреляция нескольких событий с низким приоритетом;
o Обнаружение статистических аномалий.
Как только атака обнаружена, модуль реагирования предоставляет широкий набор вариантов уведомления, выдачи сигнала тревоги и реализации контрмер в ответ на атаку. Эти варианты изменяются от системы к системе, но, как правило, включают в себя: уведомление администратора через консоль или по электронной почте, завершение соединения с атакующим узлом и/или запись сессии для последующего анализа и сбора доказательств.

Весь текст будет доступен после покупки

? С. Симонович и др. Базовый курс информатики. Москва, “АТС-пресс”, 2001 г.
? В.П. Леонтьев. Новейшая энциклопедия персонального компьютера 2001. – М.:ОЛМА-ПРЕСС, 2001.
? Галатенко В.А. Основы информационной безопасности: Курс лекций. — М.: ИНТУИТ.РУ «Интернет-Университет Информационных технологий», 2003. – 280 с. (электронная версия учебника расположена по адресу http://www.intuit.ru/ )
? Казанцев С.Я., Згадзай О.Э. и др. Правовое обеспечение информационной безопасности: Учеб. Пособия. для студ. высш. Учеб. заведений — М.: Издательский центр «Академия», 2005. – 2400 с.

Весь текст будет доступен после покупки