Система обеспечения защищенности локальной сети отдела воинской части
Дипломная работа - Компьютеры, программирование
Другие дипломы по предмету Компьютеры, программирование
?влены средства идентификации службы RAS. Служба требует от пользователя создания цифровых подписей для каждого пересылаемого пакета. Благодаря этому можно избежать атак наблюдения. Кроме того, с помощью цифровых подписей сервер всегда сможет обнаружить нарушение целостности данных пакета.
локальный сеть угроза безопасность программа
5)Установлены средства шифрования службы RAS. Таким образом, сервер RAS пересылает удаленному пользователю одноразовый ключ (после удачной регистрации в системе). При этом одноразовый ключ зашифровывается службой RAS с помощью симметричного ключа, а сервер RAS генерирует новый одноразовый ключ при каждой регистрации удаленного клиента. Благодаря этому хакер не может повторно использовать чей-либо перехваченный ключ.
Одной из наиболее сложных проблем, связанных с шифрованием RAS в Windows NT 4.0 является тот факт, что сервер передает одноразовый ключ открытым текстом. Благодаря этому хакер может взломать ключ и воспользоваться им в течение одного сеанса.
)Подключены функции обратного дозвона (-dial-back). Сервер RAS проверяет имя и пароль удаленного пользователя, а затем разъединяет связь (вешает трубку) После этого сервер набирает заранее запрограммированный номер пользователя и соединяется с ним повторно. Благодаря этому можно зафиксировать телефон и месторасположение пользователя.
Для пользователей, которым нельзя дозвониться создана специальная учетная запись, не использующая функцию обратного дозвона.
7)Наложены ограничения по времени на использование службы удаленного доступа.
ж)Защита от следующих атак.
1)Защита от прослушивания сетевого трафика: использование на предприятии сетевых коммутаторов в каждом контуре позволяет создавать выделенный канал передачи данных между рабочими станциями на концах соединения. Таким образом, исключается возможность прослушивания программными средствами внутреннего сетевого трафика. Исключение составляют широковещательные пакеты, такие как ARP-запрос и Nbname-запрос. Для исключения широковещательных Nbname-запросов на предприятии рекомендуется устанавливать службу WINS.
Прослушивание внешнего сетевого трафика предприятия является труднореализуемым, так как злоумышленнику необходимо в этом случае знать маршрут сетевых пакетов. Если злоумышленнику известен маршрут, то он также должен иметь доступ к используемому каналу передачи данных. Таким образом, вероятность прослушивания программными средствами внешнего сетевого трафика является малой. Если данная атака все же окажется реализованной, то для предотвращения нарушения конфиденциальности информации, ее следует шифровать.
Проведение данной атаки аппаратными средствами предотвращается организационными мерами политики безопасности предприятия и провайдера услуг Internet.
2)Защита от подмены доверенного объекта распределенной вычислительной системы: используемый на предприятии МЭ Check Point FireWall-1 обеспечивает защиту от IP spoofing атаки. Для включения механизма защиты от данной атаки во время определения сетевого объекта брандмауэра в управляющей консоли Policy Editor для каждого сетевого интерфейса брандмауэра необходимо определить диапазон допустимых адресов. В ходе функционирования после приема пакета сетевым интерфейсом МЭ проверяет, с какого адреса пришел данный пакет. В случае, если этот адрес не входит в диапазон допустимых для данного интерфейса адресов, пакет отфильтровывается. Таким образом исключается возможность проведения данной атаки из Internet, а также между сегментами.
3)Защита от атаки типа отказ в обслуживании : использованный на предприятии МЭ Check Point FireWall-1 обеспечивает защиту от атак типа Отказ в обслуживании. Для включения механизма защиты от данной атаки в управляющей консоли Policy Editor необходимо выбрать пункт главного меню Policy/Properties.. и на закладке SYNDefender установить переключатель в положение SYN Gateway..
Параметр Maximum Sessions определяет максимальное количество возможных одновременно открытых соединений. При достижении данного количества попытки установить другие соединения будут отфильтровываться межсетевым экраном. Кроме того, для всех сетевых соединений, проходящих через брандмауэр, в параметре Timeout устанавливается время отклика рабочих станций. Если за данный период времени от какой-либо из рабочих станций в соединении не поступают пакеты, МЭ разрывает соединение, посылая рабочим станциям предприятия пакет с признаком конца соединения от лица удаленной рабочей станции. Таким образом, МЭ отражает сетевые атаки, заполняющие полосу пропускания канала связи анонимными пакетами и переполняющие очередь запросов.
Используемая в Check Point FireWall-1 технология Statefull Inspection предоставляет возможность анализа сетевого пакета на всех уровнях модели OSI для стека протокола TCP/IP (с сетевого уровня до уровня приложений) [11]. Во время анализа брандмауэр выявляет некорректно сформированные пакеты и отфильтровывает их, обеспечивая защиту от третьей разновидности типовой атаки Отказ в обслуживании.
4)Защита от внедрения в распределенную вычислительную систему ложного объекта: в схеме предприятия доступ к ресурсам Internet, требующим удаленного поиска, разрешен только с рабочего места вызова. При этом информация, которая циркулирует в этих соединениях, не является критичной с точки зрения нарушения целостности и конфиденциальности. Используемый на предприятии МЭ позволяет обнаруживать шторм ложных DNS-отве