Лекции по «Основам информационной безопасности»

Вид материала

Лекции

Содержание Физический – сигналы по каналам связи. Сетевой – амортизация информации и определение оптимального маршрута передачи. Сеансовый – связь 2-х приложений в сети. Прикладной – функционируют прикладные сервисы системы. На основе этой модели построены все сетевые протоколы и базовый стек протоколов TCP/IP. Более подробно Согласно законодательству РФ существует 2 класса конфиденциальности информации Секретная включает 3 уровня – секретный(С), совершенно секретная(СС), особой важности(ОВ)- гостайна. Целостность – способность информации не подвергаться изменению в результате несанкционированного доступа. Информационная безопасность – совокупность действий злоумышленника, направленных на нарушение конфиденциальности, целостности и Атака – программно-техническое воздействие, направленное на активизацию уязвимости. Сетевые атаки также могут быть классифицированы также в соответствии с уровнями модели OSI. Атаки на основе протокола TCP/IP(IP и ICMP ) Данные могут разбиваться при загруженности канала(фрагментация), а потом собираться(дефрагментация) Flags – признаки пакета данных; для IP-протокола 2 типа Source IP-address(32) Type of Protocol – определяет протокол, на основе которого сформирован пакет данных Padding –заполнитель. IP-адрес хоста (маска) Code – причина изменения. ... Полное содержание

Подобный материал:

• Аннотация, 418.67kb.
• Е. А. Свирский Рассматриваются вопросы работы курсов повышения квалификации по информационной, 67.93kb.
• Система менеджмента информационной безопасности, 205.89kb.
• Теоретические основы информационной безопасности автоматизированных систем, 26.65kb.
• Обеспечение информационной безопасности организации как метод антикризисного управления, 54.18kb.
• Вопросы по информационной безопасности, 268.68kb.
• «Комплексные системы информационной безопасности», 260.23kb.
• Рекомендации по обеспечению информационной безопасности Заключение, 358.69kb.
• Лекция: Основные понятия информационной безопасности, 182.39kb.
• Мурманской области, 98.1kb.

Лекции по «Основам информационной безопасности».


Лекция 1.

В качестве объекта информационной безопасности рассматривается автоматизированная система(АС). АС – совокупность персонала и средств автоматизации его деятельности, реализующий определенную информационную технологию.(компьютер, сеть, АСУ).

Объект защиты – информация.

АС состоит из хостов. Взаимодействие между хостами: сетевое и локальне. Локальное, включает 4 уровня: информации, прикладной, общесистемный, аппаратный. Сетевой включает 7 уровней в соответствии с классификацией OSI: прикладной, уровень представления, сеансовый, транспортный, сетевой, канальный, физический.

Физический – сигналы по каналам связи.

Канальный – преобразование блоков данных в эл. сигналы + контроль целостности информации, к пакету добавляется префикс - hash, вычисляющий сумму(односторонняя функция с большой энтропией).

Сетевой – амортизация информации и определение оптимального маршрута передачи.

Транспортный – обеспечивает гарантированную доставку информационных блоков получателю.

Сеансовый – связь 2-х приложений в сети.

Уровень представления – представление данных, получаемых с прикладного уровня в том формат, который необходим для передачи через сеть.

Прикладной – функционируют прикладные сервисы системы.

При передачи информации от уровня к уровню на каждом уровне добавляется служебный заголовок(содержит информацию, необходимую для выполнения функций на данном уровне).

На основе этой модели построены все сетевые протоколы и базовый стек протоколов TCP/IP.

Информационная безопасность АС – это такое состояние системы, при котором обеспечиваются 3 основные свойства – конфиденциальность , целостность, доступность.

Более подробно:

Конфиденциальность – свойство, которое позволяет не предоставлять права доступа к информации и раскрывать ее неуполномоченным лицам.

Согласно законодательству РФ существует 2 класса конфиденциальности информации:

1. Конфиденциальная – персональные данные (банковская тайна, профессиональная тайна, тайна коммерческих предприятий) – требований по защите как таковых нет, они носят рекомендательный характер…закон о защите персональных данных недавно принят правительством Москвы – касается паспортных данных.
   
2. Секретная включает 3 уровня – секретный(С), совершенно секретная(СС), особой важности(ОВ)- гостайна.
   

Степень конфиденциальности данных определяется ее владельцем.

Целостность – способность информации не подвергаться изменению в результате несанкционированного доступа.

Доступность – свойство быть доступным и использованным по запросу со стороны уполномоченного пользователя.

Информационная безопасность – совокупность действий злоумышленника, направленных на нарушение конфиденциальности, целостности и доступности информации.

Концептуальная модель информационной атаки.

В системе должна быть уязвимость(«слабый» пароль, ошибки, отсутствие средств защиты), наличие которой может быть использована для нанесения атаки.

Атака – программно-техническое воздействие, направленное на активизацию уязвимости.

Существует 2 класса уязвимости АС:

1. технологические - ошибки, вносимые в систему на этапе проектирования и разработки АС.
   
2. эксплуатационные – в процессе неправильной настройки и ошибках в конфигурации АС.
   

Основные стадии проведения информационной атаки:

1. ребалансировки – для получения информации об АС, которая является объектом атаки(открытие портов, с целью определения типа ОС и др.)
   
2. стадия вторжения в АС – активизация уязвимости с целью получения несанкционированного доступа(НСД) и ресурсам системы.
   
3. атакующее воздействие –атаки для несанкционированного доступа к конфиденциальной информации
   

Сетевые атаки также могут быть классифицированы также в соответствии с уровнями модели OSI.

Пример. Атаки на физическом уровне направлены на коммутационное оборудование. Exploit – программная реализация метода активизации некоторых уязвимостей. Генерируется огромное количество кадров данных, отправляемых от имени CAM-кадров вся информация транслируется на все хосты. В рамках коммутаторов создаются VLAN (объединение в логические группы хостов, подключенных к коммутатору).

Атаки:

1. switch spoofing(подмена) – хост имитирует коммутатор и пытается создать trunk между собой и коммутатором на основе протоколов DTP. Для защиты только один порт может выступать в качестве транкированного, а 2 switchа обмениваются данными в формате SO2.1q, где к данным вместе с заголовком добавляется номер хоста.

2. посылка кадров данных не с 1, а несколькими заголовками типа SO2.1q, где в 1-м указывается номер одного switchа, а во втором другого.

Атаки канального уровня:

1. В соответствии с протоколом ARP(Address Resolution Protocol, преобразует IP-адресMAC-адрес ) 1 хост формирует запрос для проверки IP-адреса другого(запросы бывают 3-х типов unicast(1 адресат–1отправитель),broadcast(широковещательный),multicast(группе адресатов) ), получив ответ хост-1 заносит ответ в свою локальную ARP-таблицу, причем каждая запись имеет определенную врем. задержку(timeout), а т.к. ARP-протокол не предусматривает аутентификации информации, то можно сформировать ложный ответ.
   
2. man-in-the-middle. Защита – указать на коммутаторе порт, к которому подключается компьютер, а также шифрование информации.
   

Лекция 2.

Атаки сетевого уровня модели OSI.

Атаки на основе протокола TCP/IP(IP и ICMP )

Формат блоков данных на основе этих протоколов:

1. формат IP- пакетов. Атака - утечка бит.
   

Version(4) длина заголовка(4) Тип сервиса(8) Total length(16 bits)

Идентификатор(16 bits ) Flags(3bits) Offset(13 bits)


Максимальная длина заголовка и блока данных – 65535 байт

Данные могут разбиваться при загруженности канала(фрагментация), а потом собираться(дефрагментация)

Идентификатор – определяет какой пакет относится к какому блоку данных.

Flags – признаки пакета данных; для IP-протокола 2 типа:

DF(010)-don’t fragment – амортизатор не разбивает

MF(001)-more fragment

…

TTL(8) Type of Protocol(8) Checksum(16)

Source IP-address(32)

Destination IP-address(32)

Options + Padding (32)

Data

TTL(time to live) – время жизни пакета данных, при прохождении через амортизатор умножается на 1, если 0 – удаляется, чтобы пакеты, которые зацикливаются не оставались в сети.

Type of Protocol – определяет протокол, на основе которого сформирован пакет данных

Checksum – содержит хэш-значение, вычисляемое на основе заголовка, за исключением поля TTL(оно меняется), считываемая сумма инвертируется

Padding –заполнитель.

Options – служебный параметр, как правило, не используется, но существует 1 опция – амортизация от источника( Source Routing), когда указывается маршрут прохождения пакета данных(IP-адреса), с точки зрения политики безопасности лучше блокировать пакеты с этой опцией . В классической схеме амортизации определение оптимального маршрута осуществляется амортизатором.

2. Формат ICMP-пакетов(предполагает наличие разных типов сообщений). Мы рассмотрим Redirect Message – предназначено для изменения IP-адреса шлюза, установленного на рабочих станциях пользователя и серверах. Параметры в сети параметры:
   

IP-адрес хоста (маска)

IP-адрес шлюза(пограничный амортизатор)

IP-адрес DNS-сервера

При изменении амортизатора отправляется Redirect Message. Его структура:

Type(8) Code(8) Checksum(16)

Gateway Address(32)

Data

Code – причина изменения.

Redirect

Message




Несанкционированное изменение – причина – отсутствие средств аутентификации отправителя



Для контроля работоспособности узла – ICMP-echo-messages, утилита PING(Package Internet Group) ОС.

Атака отказа класса обслуживания – формируется запрос от имени широковещательного получателя(максимальный адрес –FF:FF:FF:FF, все хосты отвечают – нагрузка + отсутвие механизма аутентификации ).

Примеры.

Ping of Death – IP-пакет, длина которого превышает 64 Кб.

Tear Drop – формирование некоторым образом дефектных пакетов

Для коммутационного оборудования CISCO IP-пакет, где TTL=1, Type of Protocol=79(84).

Сетевые атаки на транспортном уровне.

На транспортном уровне функционируют протоколы TCP и UDP(отдельные пакеты, в отличие от TCP, отдельные пакеты передаются без проверки на правильность передачи, но как можно быстрее ).

Структура заголовка TCP-пакета:

Source Port Number(16) Destination Port Number(16)

Sequence Number(32)




Acknowledgement number(32)

Длина заголовка(4) Reserved(6) Flags(6) Window(16)

Checksum(16) Urgent Pointer(16)

Options

Data




Flags – согласование параметров на этапе соединения

Window – размер окна –количество данных, которые могут быть переданы без подтверждения от адресата.

1

2

2

1
SYN, SN1 SYN, ACK,SN2

11

ACK


1

2

1

2
SYN,ACK,SN1 FIN


ACK


FIN – если один из хостов хочет завершить соединение, то формирует TCP- пакет, в котором установлен флаг FIN.

Атаки:

LAND: № порта отправителя =№ порта получателязацикливание

Защита: фильтры и межсетевые экраны

WinNuke Urgent Pointer: нарушитель формирует пакет, где хранятся данные TCP_00B. Причина: ошибка разработчиков при реализации стека TCP/IP.

Сбор информации по номерам открытых портов. SYN – сканирование, XMAS – сканирование.

Идентификация типа ОС. Причина: разные ОС по-разному реагируют на получаемые пакеты данных(некорректно сформированные). Пример: Nmap-сканер производит аудит типа ОС.

Сетевые атаки прикладного уровня.

Уязвимости – технологические и эксплуатационные.

Технологические – наиболее неизвестные: buffer overflow, полностью нарушает работоспособность(уязвимость – особенности реализации стека в процессорах Intel). Стек – область памяти для временного хранения служебных данных. Работа осуществляется с помощью следующих базовых регистров – SS,SP,BP.


SP


Данные


SS




PUSH void test(int a, int b, int c)

{char p1[6], char p2[9]}

POP void main(){test( 1,2,3)}








Способы кодирования информации:

2B1Q – за 1 такт передает 2 бита информации

2B1Q

00

01

10

11

наличие 4-х уровней сигнала

метод избыточного кодирования – передача дополнительной информации, чтобы уменьшить число подряд идущих 0 и 1 .

FastEthenet.

Сетевые технологии входят в рамки проекта 802.X(IEEE)

1. стандарт 802.1 – механизмы межсетевого взаимодействия (InternetWorking)
   
2. 802.2 – методы доступа к физической среде передачи информации(LLC)
   
3. 802.3 – технология Ethernet
   
4. 802.4 – Token Bus
   
5. 802.5 – Token Ring
   
6. 802.6 – MAN(Metropolitan Area Network)
   
7. 802.10 – Информационная безопасность сети
   
8. 802.11 – беспроводные сети связи (WAN)
   

802.3. Технология Ethernet.

технология передачи данных с использованием единой шины в разделенной среде передачи информации. В процессе взаимодействия компьютеры используют метод множественного доступа с контролем несущей и обнаружением конфликтов(CSMA/CD – Carrier Sense Multiple Access with Collision Detection).

1 этап – хост убеждается, что общая шина не занята – отсутствует несущая(определяется по частоте сигнала 10 Mhz). После завершения передачи данных – пауза 9 сек., чтобы не монополизировать общую среду.

2 хоста , одновременно передающих информацию коллизия, тогда первый хост передает jam-последовательность, которая усиливает и прекращает передачу информации. После блокировки коллизии – пауза.

Разделенная среда передачи – кадры данных, формируемые отправителем, получаются всеми хостами, подключенными к разделенной среде.

Технология Ethernet работает на канальном уровне, единица информации – кадр данных. Рассмотрим структуру кадра данных. Любой кадр данных начинается с преамбулы(специальная последовательность из 8 байт, которая идентифицирует начало кадра данных и позволяет компьютеру определить факт начала получения данных )-10101011. После преамбулы следует 6-байтовый адрес назначения(МАС), где первые 3 байта – производитель сетевой карты, 2-е – порядковый номер сетевой карты. 3–е поле – адрес источника(6 байтов), 4-е поле – тип данных – тип протокола, на основании которого сформированы данные, инкапсулированные в Ethernet-кадр(не зависит от конкретной среды передачи информации).5-е поле – сами данные(максимальная длина –1500 байт ). 6-е поле – поле контрольной суммы, по которой сетевой адаптер проверяет целостность данных.

Основные типы сетей Ethernet:

10 Base-2 - тонкий коаксиальный кабель

10 Base-5 – толстый коаксиальный кабель

10/100 Base-T – витая пара

1000 Base-F –волоконно-оптический

кабель витой пары patch code:

прямой – для подключение компьютеров к коммутаторам и концентраторам

обратный(crossover) – для подключения 2-х компьютеров друг к другу, а также 2-х коммутаторов.

Витая пара – 4 кабеля – 1-передает данные, 2- принимает, 3,4-свободны.

В концентраторах есть порт uplink(для подключения медленных устройств к высокоскоростной магистрали), обычно это самый левый или самый правый порт. Коммутаторы, которые подключаются к uplink должны иметь crossover, хотя в новых коммутаторах порт может быть перепрограммирован.



Switch



crossover


hub

Switch










Token Ring – технология передачи информации, разработанная компанией IBM в 1987(стандарт 802.5), используется в мейнфреймах IBM сейчас.

В Token Ring информация передается в одном направлении со скоростью 4/16 Mbit/s. В Token Ring в отличие от других технологий Ethernet предусмотрен механизм отказоустойчивости передачи данных. В определенный момент времени одна из станций выполняет роль активного монитора(следит за возникновением коллизий).

В сетях Ethernet всегда циркулирует Token(маркер). В маркер помещается порции данных и отправляются в сеть, маркер проходит последовательно через все хосты, если адрес получателя совпал, то копирует в буфер на обработку, проходит по кольцу до отправителя, подтверждает передачу, после этого он освобождается от данных и заново перенаправляется в сеть. В Token Ring используется параметр: время использования маркера.

Token Ring – технология с разделенной средой передачи данных. Также в сетях Token Ring поддерживается механизм приоритезации данных, в маркере указывается уровень приоритета(0-8) и каждому компьютеру, подключенному в сеть, назначается уровень приоритета. Если уровень приоритета хоста>уровня приоритета маркера, то информация передается.

Структура маркера и кадра данных Token Ring.

Маркер:

1 поле – начальный ограничитель(преамбула)

2 поле – поле управления доступом:

1. подполе приоритета
   
2. маркера
   
3. бит монитора(признак получения информации одним из хостов, 0 –данные получены)
   
4. резервные биты приоритета
   
5. конечный ограничитель – фиксированное значение, определяющее длину маркера
   

Кадр данных:

1 поле- начальный ограничитель

2 поле - адрес отправителя

3 поле – адрес получателя

4 поле – данные

5 поле – поле управления кадром данных

6 поле – контрольная сумма

7 поле – конечный ограничитель

Для объединения хостов используется кабель типа «витая пара».

На основе технологии Token Ring была разработана ее модификация FDDE(File Distribution Data Environment) – тоже кольцевая топология, физическая среда – оптика, позволяет одновременно организовывать несколько колец(могут работать одновременно, либо в горячем, либо в холодном резерве), при этом информация передается нескольких направлениях, обладает повышенной отказоустойчивостью.

Протоколы для передачи данных в сетях с коммутацией пакетов: 3 базовых:

1. X.25
   
2. Frame Relay
   
3. ATM
   

1976 – X.25 – невысокая пропускная способность, внедрен в большое количество организаций: банковские, корпоративные, служебные сети(Sprint, RosNet,Сбербанк )

Подключение к сети X.25 осуществляется при помощи терминального оборудования, устанавливаемого на стороне пользователя.

Основные компоненты X.25:

1. центр коммутации пакетов(роль амортизаторов, передача информации)
   
2. пакетные ассемблеры/дизассемблеры(для подключения простого асинхронного оборудования к сетям X.25)
   
3. центр управления сетью(управляет центром коммутации пакетов)
   
4. шлюз(организация взаимодействия 2-х сетей X.25)
   

Стек протоколов X.25 включает 3 уровня: физический, канальный, пакетный).

Пакетный уровень - используется протокол PLP-Packet Layer Protocol – предназначен для решения задач:

1. организация виртуального соединения(PVC - Permanent Virtual Circuit(постоянное) , SVC –Switch Virtual Circuit(коммутируемое) )
   
2. LCI (Logic Circuit Identifier) – коммутация пакетов в сети, содержат специальный адрес, который меньше IP адресата. MPLS(Multiprotocol Lable Switching)-амортизация в IP-сетях на основе меток(закрытый корпоративный протокол CISCO)
   
3. контроль целостности и последовательности передачи информации(канальный уровень – протокол LAPB(Link-Access Protocol Balanced – сбалансированный протокол доступа к звену связи)-формирует последовательность кадров данных, контроль целостности, и правильности, физический уровень – RS-232,X.21, V.35)
   

Лекция 3.

int main (int arg c, char *arg v)

{char a1[4]=”abc”;

char a2[8]=”defghi”;

strcpy(a2,”0123456789”);

printf(“%s\n”,a1);

return 0;

}


Структура стека до выполнения операции strcpy




d e f g

h i g \0




a b c \0


переносим значения




0 1 2 3

4 5 6 5

8 9 \0 \0




В итоге Instruction Pointer переходит на то, место, где происходит передача управления.

Уязвимость класса SQL Injection

связано с несанкционированным изменением SQL-запроса, что приводит к нарушению работы СУБД. SQL-запросы формируются на основе входных данных пользователя, если в процедуре нет проверки корректности работы, то пользователь может нарушить работу СУБД.

1) SQLQuery=”SELECT Username From Users WHERE Username=’&strUsername&’ AND Password=’&strPassword&’ ” ;

StrCheck=GetQueryResult(SQLQuery);

If strCheck=” ” then boolAuth=False else boolAuth=True

EndIf.

Можно обойти процедуру аутентификации, если strUsername=strPassword=’OR””


Если первая строка таблицы=boolAuth=True

2) Также при вводе данных используется оператор UNION

UNION SELECT FirstName FROM Employees WHERE City=”’&strCity&”’;

Уязвимость с целью несанкционированного изменения данных

SELECT Smth From Smth INTO <имя таблицы> - результаты выборки добавляются в другую таблицу.

Уязвимость типа Format String

связана с тем, что в программе не проверяется значение формата строки, он записывается в отдельную переменную и таким образом получается доступ к стеку программы

printf(<формат строки>,<переменная>)

актуальна для Web-приложений, содержащих эту функцию

Delay of Sevice(DoS), Distributed Delay of Service(DDoS)

Нарушение работы программы путем формирования большого количества запросов

Пример атаки – SYNFlooding – объекту атаки отправляется большое количество TCP-сегментов с установленным флагом SYN, при получении такого пакета хост резервирует большое количество ОПнарушение работоспособности

Как избежать: фильтрация данных на уровне провайдера

2 документа, определяющие правила фильтрации: RFC 1918 и 2827(для снижения последствий)

Создание ложных DNS-серверов.

DNS-сервера служат для трансляции символьных имен в IP-адрес, сервер хранит информацию об определенной зоне DNS-имени.

Иерархическая структура DNS-имени

Корневой домен




ru us com net



mati rnt




it service домен 1 уровня

Для определения IP-адреса формируется запрос DNS-серверам, где указывается IP-адрес, ответ – по IP- адресу отправителя. Корневой каталог – локальная база – если нет, то обращаются к корневому домену. Особенность DNS – не предусмотрено механизмов аутентификации субъектов соединения(можно давать ложный ответ от ложного сетевого объекта) .

Базовые механизмы защиты от сетевых атак:

1. Система обнаружения вторжений(Intrusion Detection System)
   

I. датчики – устанавливаются в сегментах АС и выполняют функцию сбора информации о сетевом трафике, циркулирующем в заданном сегменте

3 основных способа подключения датчиков:

1. к специальным SPAN(Switch Package Analyzer)-портам коммутатора – перенаправляет на себя информацию, передаваемую на другие порты
   
2. подключение к концентраторам
   
3. в разрыв канала связи
   

II. модуль анализа данных


III. модуль реагирования

IV. модуль управления СОА

2 группы методов выявления атак:

1. поведенческие(пример - выявление атак на основе частотных отклонений)
   
2. сигнатурные(описывают атаку в виде специального выражения, задаваемого специальным языком или шаблоном)
   

В современных СОА одновременно применяются как сигнатурные, так и поведенческие методы.

Модель реагирования СОА может выполнять активные(выполнение операций, позволяющих заблокировать атаку – реконфигурация межсетевого экрана(фильтры), принудительное закрытие TCP-сессии) и пассивные(оповещение администратора путем отображения сообщения на консоли или оповещением по почте) функции. Требование – наличие аутентификации администратора безопасности.

Хвостовые датчики:

1. внешние(собственный механизм сбора информации)
   
2. интегрированные(базируются на механизмах, которые присутствуют в ОС хоста, где они установлены)
   

Коммерчески реализованные – RealSecure, NetPower.

Лекция 4.

Системы класса IDS.

Рассмотри 2 типа датчиков:

1. сетевые(устанавливаются в определенном сегменте сети)
   
2. хостовые(установлены на конкретном сервере)
   

Сравним их функции:

1. возможность обработки данных, передаваемых по крипто-защищенным каналам связи(протоколы IPSec, Ipv6, SSL/TLS )
   

сетевые датчики не имеют возможности обрабатывать крипто- защищенные данные, они перехватывают данные на канальном уровне, хостовые могут, это достигается за счет того, что хостовой датчик может функционировать на уровне приложения, т.е. информация перехватывается на прикладном уровне(ISAPI-фильтр – функционирует на уровне сервера)

2. обработка сетевого трафика, передаваемого по высокоскоростным каналам связи(1 Gbit). Сетевые датчики не могут(часть пакетов отбрасывается, очередь, переполнение), хостовые могут(установлены на конкретном сервере.)
   
3. возможность защиты межсетевого экрана и коммутационного оборудования IS. Сетевые датчики могут путем установки их в том сегменте, где присутствует защищаемое оборудование(амортизаторы и коммутаторы).
   

в
СД
неш.

сеть

4. влияние на производительность IS. Сетевые датчики не влияют(пассивные режим работы, к ним поставляется копия трафика), хостовые датчики устанавливаются на конкретные сервера и отнимают часть вычислительных ресурсов в процессе работы.
   
5. источники исходных данных. Сетевые датчики – пакеты, хостовые – содержание журналов аудита на хостах, где они установлены + данные в сети(Unix – журналы SYSLOG, Windows – Application,System, Security)
   
6. работа датчиков в сегментах систем, состоящих из большого числа хостов. Сетевые и хостовые датчики оптимально использовать одновременно
   

Основные методы сбора информации датчиками:

/В UNIX штатные средства - при помощи библиотек libpcap –дают возможность работы с низкоуровневыми адаптерами , в Windows для сбора информации и обнаружения вторжений реализована WinPcap /

-непосредственно от источника(перехват события, анализ)

-опосредованно через промежуточный программный компонент(реагирование средствами ОС)

Прямой метод наиболее оптимальный.

Методы обнаружения атак:

1. Компания Ethernet использует свои механизмы для сбора информации о системе
   
2. Intruder компании Alert
   

Хостовые датчики – топологии: интегрированы на уровне ядра ОС или приложения, сетевые – отдельные программы, взаимодействующие с операционным или прикладным окружением.

Наиболее распространены внешние, т.к. интегрированные требуют модификации текста ОС(можно только в UNIX-есть доступ к текстам).

Преимущества интегрированных датчиков:

1. меньший размер используемого кода – используют ресурсы существующих приложений
   
2. меньший объем ОП
   
3. доступ к большему объему данных, необходимых для обнаружения атак
   

Комбинированное использование целесообразно.

Пример контекстного поиска:

Задан шаблон SET */etc/ passwd HTTP10.

Атака LAND. N-code NFR.

If (ip.src==ip.dest)

{system time, ip.src to land_record;}

Метод анализа состояния.

В рамках метода определяется множество состояний, в которых может находится IS и каждая сигнатура атаки представляет собой последовательность таких состояний, наличие которых представляет собой определение атаки.

1. Сети Петрия

2. метод выявления, базирующийся на экспертных системах(каждая сигнатура описывается на специальном языке с высоким уровнем абстракции, анализатор включает 2 компьютера-база знаний и база правил)

3. методы, основанные на биологических моделях(базируются на моделировании нейронных сетей, генетических алгоритмов, иммунных систем /Лаборатория Гарадецкого, Питер, финансирует ВВС США/)
   
4. основной и наиболее распространенный – поведенческий метод выявления атак – статистические метод.
   

Примеры статической модели:

1. штатный процесс функционирования системы описывается в терминах статических параметров, если превышается пороговое значение- атака
   
2. модель среднего значения и среднеквадратичного значения – для каждого статического параметра определяется доверительный интервал на основе математического ожидания и дисперсии, выход за рамки – признак атаки
   
3. многовариационная модель – основана на предыдущих 2-х, но учитывает корреляцию между большим количеством статических показателей
   
4. методы, базирующиеся на экспертных системах
   

С точки зрения теории на разных логических уровнях функционирования системы оптимально применять разные методы. Практически 90% существующих систем используют сигнатурный метод.

Способы реагирования системы на выявленные атаки: пассивный и активный.

Базовый метод пассивного реагирования – оповещение администратора о выявленной атаке.

Типы: вывод сообщения на консоль, посылка почтовых сообщений, посылка SNMPTrap-сообщений(сообщения, свидетельствующие о нештатной ситуации). Сообщение о выявлении атаки формируется в соответствии со стандартом IDMET, разработанном компанией IETF: сообщение должно включать в себя следующую информацию –дата и время выявления атаки, общее описание атаки с возможными ссылками на внешние источники информации, символизирующие о уязвимости. Существует 2 основных классификатора: CVE(Common Vulnerability Explosion),CERT(Computer Emergence Response Team).

Уровень приоритета выявленной атаки: низкий, средний, высокий.

Рекомендации по устранению уязвимости:

1. блокирование TCP-соединения, по которому выявлена атака
   
2. реконфигурация межсетевого экрана(блокировка опасных пакетов)
   
3. блокировка учетной записи пользователя, от имени которого проводится атака
   
4. запуск внешней программы
   

До последнего времени СОА носили пассивный характер.

2001 г. Gartner Research опубликовала отчет, где описывалась гибель пассивных методов ОА. Вышла IPS –система обнаружения и предотвращения атак,


Критерии фильтрации TCP-трафика, позволяющие выявлять и обнаруживать атаки:

1. IP-адрес отправителя и получателя HTTP-трафика
   
2. номера TCP-портов Web-сервера
   
3. методы формирования HTTP-запросов
   
4. информационные ресурсы Web-сервера
   
5. параметры HTTP-запросов(ограничения на имена параметров и их значения содержатся в теле HTTP-запросов)
   

На системном уровне – блокировка приложений, нарушающих заданные положения безопасность(Комплекс «Урядник», StaffView, NetIQ).

Методы тестирования СОА(основаны на определении количества ошибок 1-го и 2-го рода, которые возникают в процессе работы системы):

1 род – блокировка системы обнаружения атак или ложное срабатывание системы

2 род – СОА не выявляет атаки на систему

Лекция 5.

Межсетевые экраны.

- средства контроля за информацией, поступающей(выходящей) из ИС и обеспечение защиты ИС посредством фильтрации информации, т.е. ее анализа по совокупности критериев и принятие решений о ее распространении в/из ИС.

Критерии фильтрации различных уровней стека TCP/IP:

Сетевой уровень – IP-адреса, тип протокола.

E
МЭ

ЛВС
xternal Internal






DMZ
демилитаризованная зона

содержит информацию, которая

должна быть доступна внутренним и

внешним пользователям

буферная зона

Межсетевой экран настраивается таким образом, что нельзя отправить запрос из сегмента DMZ в корпоративную ЛВС.

Транспортный уровень –номера портов. Средства разграничения доступа.


Выделяют 2 основных класса межсетевых экранов:

1. пакетные фильтры(на основе параметров сетевого и транспортного уровня, рассматривает каждый пакет в отдельности)
   
2. StateFall Firewall – МЭ с контролем функции состояния(позволяет выполнить дефрагментацию дейтаграмм и сборку TCP-сегментов и после и затем применяет кр. фильтр к целому пакету )
   
3. фильтрация пакетов данных на прикладном уровне (команды и параметры отфильтровываются с помощью метода get)
   

Кр. фильтр задается с помощью 2-х типов политики безопасности:

1. что явно не запрещено –разрешено
   
2. все, что явно не разрешено – запрещено
   

В ряде случаев межсетевой экран выполняет функции прокси-сервера.

Функция проксирования позволяет выполнять

1. кэширование информации(все запросы и ответы фиксируются в определенные промежутки времени и затем анализируются прокси)
   
2. проксирование – сокрытие внутренней топологии ИС(во вне передается IP-адрес прокси-сервера)
   
3. защиту ресурсов, доступ к которым осуществляется через прокси-сервер
   

Основные игроки на рынке:

МЭ Cisco/C-pix – программно-аппаратное решение, часть функций фильтрации реализованы с помощью аппаратных микросхембольшая производительность

CheckPoint – программный комплекс, более широкие возможности

Российские – «Континент», «Застава», «Координата», «Цитадель»(WPN-каналы информационного трафика, межсетевое экранирование)

Документы РФ по МЭ: 5 классов в зависимости от степени секретности информации(5-й – наименьшая важность).

МЭ, выполняющие функции прокси-сервера, могут быть использованы для аутентификации пользователя. Современные межсетевые экраны позволяют передавать информацию по каналам связи со скоростью до Гб. МЭ – краеугольный камень защиты. СОА дополняет свойства МЭ по более детальной защите на прикладном уровне. Функция МЭ – трансляция межсетевых адресов – 2-х типов: статический(каждый реальный IP-адрес транслируется в определенный виртуальный IP-адрес ), динамический(множество IP-адресов транслируется в один виртуальный адрес, цель – сокращение внутренней топологии сети подменой номеров портов отправителя).

Все современные МЭ могут управляться не только локально, но и удаленно, для этого существует специальный протокол, обеспечивающий не только фильтрацию, но и шифрование информации(протоколы CCL, CCH). Информация, проходящая через МЭ, записывается в журнал аудита. Современные МЭ поддерживают функцию кластеризации(2 экрана, при блокировке одного /Failoverlay/ включается другой, причем 2 экрана имеют 1 виртуальный адрес ).

Средства анализа защищенности.

- средства, предназначенные для выявления уязвимости в ПО АС.

Выявление уязвимости может осуществляться следующими способами:

1. анализ исходных текстов программы(выделяются блоки опасных сегментов – уязвимостей)
   
2. анализ исполнительности программы(анализ уязвимости исполняемого кода – запуск в контрольной среде – на входе большое количество данных )
   
3. проверка настроек программы(настройки аппаратного обеспечения системы)
   
4. имитация атак на систему и анализ результата(реализуется с помощью сканеров безопасности, формируется последовательность пакетов данных с целью имитации атаки)
   

В настоящее время из зарубежных систем наиболее распространены(SS-System Scanner , IS-Information Scanner ).

Средства криптографической защиты.

применяются как на уровне сети (конфиденциальность и целостность данных, работают на уровне протоколов – определяют установку параметров –алгоритмы, ключи), так и на уровне хостов(защита данных на определенном носителе).

Криптографические алгоритмы могут функционировать на разных уровнях стека(прикладной – SSL,TSL, сетевой – стандартом де-факто является IP-Server – контроль целостности и аудит, канальный уровень – LRTP/Cisco/,PITP/Microsoft/).

Средства, функционирующие на уровне сети принято называть VPN(Virtual Private Network)-шлюзы – набор хостов, взаимодействующих между собой по защищенному каналу связи, поверх транспортной сети.

VPN-шлюзы строятся на основе:

1. МЭ
   
2. отдельных программно-аппаратных комплексов
   
3. аппаратных плат(высокоскоростные каналы)
   
4. на основе интегрированных функций ОС
   

Информация, передаваемая по VPN-каналам, может транслироваться 2 способами:

1. туннельный - защищаемый пакет целиком инкапсулируется в новый пакет и при этом целиком шифруется. Шифрование осуществляется при помощи 2-х способов:

1. асимметричный(шифрование на основе одного ключа – стандарт AES/Advanced Encryption Standard/, ГОСТ 28.14789(256-битный ключ)-медленный для Гб-протоколов )
   
2. симметричный(наличие 2-х ключей – открытого и закрытого(public, private)), причем 1) одному открытому ключу соответствует только один закрытый, 2) доступ к открытому ключу не позволяет вычислить значение закрытого, 3) открытый ключ может свободно распространяться по каналам связи, закрытый хранится в секрете
   

S1  S2, S2(открытый ключ) S2, S1 (информация на основе открытого ключа)S2, S2 расшифровывает информацию на основе закрытого ключа. Дополнительный механизм, защищающий обмен открытыми ключами PKI(открытый ключ хранится в виде цифрового сертификата –содержит информацию о ключе и владельце ключа, подписывается удостовер. центром/3-я сторона, которой доверяют все участники электронно-цифрового обмена/).

Как правило используются одновременно асимметричные и симметричные способы шифрования.

2. транспортный – заголовок защищаемого пакета не меняется, а просто шифруется его содержание.


Лекция 6.

Разграничение доступа к информационным ресурсам.

Механизмы разграничения доступа предполагают выполнение 3-х задач:

1. регистрация пользователя в системе – каждому пользователю присваивается параметры аутентификации и/или идентификации
   
2. идентификация – попытка пользователя получить доступ к определенным информационным ресурсам
   
3. аутентификация – проверяет параметры аутентификации пользователя(пароли, симметрический ключ, биометрический параметр)
   
4. авторизация – конкретные права доступа у системе
   

Примеры механизма аутентификации – 1) аутентификация на основе сетевых адресов(в качестве идентификатора и аутентификатора выступает IP-адрес, в настройках указываются адреса хостов, которые могут получить доступ к ресурсам/Windows Web-Server, File-Server/ , слабый и простой метод, IP-адреса подменяются, нельзя обеспечить 2-стороннюю аутентификацию, на практике не используется); 2) аутентификация пользователя на основе паролей; 3) система сравнивает хэш пароля со значением в локальной базе данных(SAM)

Процедура удаленной аутентификации(PAP/password authentication protocol/):

1. пользователь отсылает запрос серверу
   
2. сервер отправляет пользователю случайно сгенерированное число(challenge)
   
3. пользователь отсылает серверу число, зашифрованное на основе хэша пароля
   
4. сервер сравнивает
   
5. CHAP/MS-CHAP, NTLM/- аутентификация, после аутентификации, данные передаются в открытом виде(недостаток, от имени пользователя могут перехвачены нарушителем, неустойчивость к атакам, направленным на подбор пароля)
   

Геометрический аутентификатор основан на использовании параметров аутентификации, неотделимых от человека(отпечатки пальцев, сетчатка глаза, радужная оболочка, очертания лица, голос/наибольшая погрешность/).

Аутентификация по клавиатурному почерку.

Аутентификация на основе симметричных ключей. Пример – Kerberos Domain Controller (разработан в Массачусетском Технологическом Университете в 80 гг. в рамках проекта «Афины») – предусматривается, что в сети есть один сервер(KDC), на котором хранятся все ключи пользователя. Пользователь заходит в систему, вводит логин и пароль, после чего программа посылает сообщение:

Имя пользователя, Имя KDC TimeStam

открытый вид шифруется на основе хэша пароля пользователя


проверяется время, отсылается сеансовый ключ:

Сеансовый ключ Срок действия ключа Имя пользователя

шифруется на основе хэша пароля пользователя на основе закрытого ключа

ответ:

TimeStam Сервер, к которому обращался пользователь TGT


Сеансовый ключ Срок действия ключа Имя пользователя Ключ Срок

для связи с сервером действия ключа


после этого пользователь напрямую обращается к ресурсу.

Сеансовый ключ(имя пользователя, ресурс).

Аутентификация на основе инфрастуктуры открытых ключей(PKI-инфрастуктура). Открытый ключ содержит цифровой сертификат. Основные поля сертификата:

1. версия (определяет версию стандарта Х.509, которая использовалась для формирования сертификата)
   
2. алгоритм подписи(указывается аутентификатор алгоритма, на основе которого была сформирована подпись)
   
3. издатель – имя удостоверяющего центра, подписавшего сертификат
   
4. срок действия сертификата
   
5. субъект – имя субъекта, которому принадлежит открытый ключ сертификата
   
6. открытый ключ
   
7. связь открытого ключа с цифровым сертификатом(3 поля:1. область применения ключа, 2. политика сертификации/числовой идентификатор цифровой политики/, 3. точка распространения списка отозванных сертификатов)
   

Основные этапы жизненного цикла сертификата:

1. издание сертификата
   
2. публикация сертификата
   
3. отзыв
   
4. уничтожение
   

клиент отсылает серверу сообщениеclient-error: текущая версия протокола, отметка о времени, список алгоритмов шифрования/протокол SSL /, сервер может направить клиенты сообщение Certificate Request, после этого осуществляется обмен симметричными ключами(шифруются на основе открытого ключа клиента и сервера, для усиления безопасности используется механизм двухфакторной аутентификации: вводится пин-код для доступа к Smart-карте, где хранится USB-ключ, зашифрованный на основе хэша пароля) между клиентом и сервером,


Аутентификация на основе одноразовых паролей:

Пользователю выдается генератор паролей и выделяется защитный сектретный ключ, при новой аутентификации пароль вычисляется путем хэширования секретного ключа, а также значения времени и значения счетчика.

Лекция 7.

Нормативно-правовые аспекты защиты информации.

ФАПСИ(Старовойтов) 90 гг. , сейчас перешло в ФСБ(центр ЦСБ).

Стандарты, документы для

а ) лицензий

б) подготовки документов для сертификации

аттестация только для АСУ


SWIFT(международная сеть по банковскому взаимодействию) - базируется на криптографической защите


ГТК

МЭ – с начала 90-х, подчинены президенту

РД(ГТК) – руководящие документы – пакет требований для сертификации, аттестации объекта.

В настоящее время можно выделить следующие документы:

1. по защите от несанкционированного доступа(скопирован с американского стандарта TCSEC или «Оранжевая книга», разработанном в 81 г. МО США – описывает защиту отдельных компьютеров ), согласно этому документы все АСУ делятся на 3 класса:
   

3. однопользовательские АС
   

2. многопользовательские АС, где все пользователи имеют одинаковые права доступа
   

1. многопользовательские АС, в которых пользователи имеют различные права доступа
   

Каждый из 3-х типов разделяется на 5 подклассов(1г, 1д – системы, в которых обрабатывается конфиденциальная информация, с увеличением «буквы» увеличивается состав требований, 1в – секретная, 1 б – СС, 1а - ОВ).

Требования к аудиту – требования к составу информации, которая регистрируется в процессе функционирования системы(журнал аудита).

2. требования к криптографической защите данных – защита информации от сокрытия
   
3. требования к разграничению доступа(мандат на основе мето-кофиденциальности)
   

Требования к контролю целостности информации(Колондайлов gosteh.com.ru)

РД, определяющий требования к отсутствию не декларированных возможностей.

Требования к МЭ – определяют функциональные требования, по которым сертифицированы экраны.

В 99г. в США принят стандарт ISO15408(Common Criteria), переведен и принят в качестве ГОСТа в России(RISO 458.2) , стандарт разделен на 3 части:

1. критерии оценки безопасности ИТ – вводная часть – понятия, термины, подходы
   
2. функциональные требования безопасности – приведены классы требований к функциям средств защиты
   
3. требования доверия к безопасности – дополнительный пакет требований соответствия средств защиты принятым стандартам.
   

Сертификация:

1. профиль защиты – утверждается ГТК, 3 части
   
2. задание по безопасности – конкретный вариант профиля защиты(требования к классу продуктов)
   
3. сертификат
   

Структура профиля защиты:

1. введение в профили защиты
   
2. описание объекта оценок
   
3. среда безопасности объекта оценки:
   

1. угрозы ИТ, защита от которых должна быть реализована средствами объекта оценки
   
2. политика безопасности организации, в которой планируется использование объекта оценки
   

4.цели безопасности – задачи, которые должны быть решены объектом оценки

5. требования безопасности ИТ
   
   1. функциональные
      
   2. требования доверия к безопасности
      
6. обоснование
   

Функциональные требования разделены на классы:

/Класс:

Имя класса

Представление

Функциональное семейство

Семейство:

Имя

Компоненты(пакеты требований)

/

1. аудит безопасности: расположение, запись, хранение и анализ информации, связан с действиями, относящимися к безопасности семейства:
   
   1. автоматическая реакция Аудита Безопасности
      
   2. генерация данных АБ
      
   3. анализ АБ
      
   4. просмотр АБ
      
   5. хранение данных АБ(формат : открытый/зактрытый)
      

2. связь – класс: учет идентичности сторон, участвующих в информационном обмене; семейство: 1)неотказуемость отправителя данных(серевер хранит хэш и подпись отправителя), 2) неотказуемость получателя,
   
3. криптографическая поддержка – семейства: а) управление криптографическими ключами, б) криптографические операции
   
4. защита данных пользователя – семейство: а) политика управления доступом(указаны требования к модели, в соответствии с которой будет осуществлено ограничение доступа), б) аутентификация данных(электронная подпись), в) экспорт данных за пределы объекты оценки,г) передача данных в пределах объекта оценки, д) защита остаточной информации(остается на диске после удаления), е)откат – требования к предоставлению возможности пользователям отменить ранее выполненные операции
   
5. идентификация и аутентификация – семейства: а) идентификация пользователя(логин, пароль), б) аутентификация (ключи), в) отказы аутентификации: требования к ограничению количества неправильных попыток ввода пароля
   
6. управление безопасностью – семейства: а) роль управления безопасностью, б) управление атрибутами безопасности: служебная информация, при помощи которой определяется функционирование системы безопасности, в)приватность – требования к возможности анонимной работы пользователя с использованием псевдонима
   
7. защита данных объекта оценки – содержит требования к защите служебной информации объекта оценки
   
8. использование ресурсов –требования к доступности объекта оценки – объем памяти, вычислительная мощность
   
9. доступ к объекту оценки – требования у управлению сеансом работы пользователя
   
10. доверенный маршрут/канал связи – обеспечение свойства неотказуемости
    

3 часть стандарта - требования у доверию безопасности, классы:

1. оценка профиля защиты(правила)
   
2. оценка задания по безопасности
   
3. поставка и эксплуатация
   
4. требования к документации на продукт, установке, запуске объекта оценки
   
5. разработка – требования к процессу разработки объекта оценки
   
6. руководство – требования к составу руководства администратора и пользователя
   
7. тестирование
   
8. оценка уязвимости
   

Лекция 8.

Средства аудита.

1. вопрос аудита почтовых сообщений
   
2. аудит доступа у интернет-ресурсам
   

Аудит почтовых сообщений.

Сервера аудита почтовых сообщений:

1) пассивные

2)активные(заблокировать, удалить, поместить в корзину –менее надежен, если упадет…)



Сервер аудита

почт.с.

SNTP/

POP3- сервер






Профессор Гарадецкий – стегано-анализ

Reseach the water marking – для фильмов, средства защиты:


Dozor, jet , МЭ, средства криптографической защиты

3 типа аудита:

1. penetration testing – тест на вторжение
   
2. base-line security - базовый аудит –проверка соответствия текущего уровня безопасности стандартам
   
3. аудит, основанный на анализе риска ИБ
   
4. полноценный анализ риска ИБ:
   
   1. определение границ аудита
      
   2. процедура инвентаризации
      
   3. путем анализа информации и интервьюирования
      
   4. заказчик определяет уровень ущерба, который может быть нанесен в случае нарушения конфиденциальности, целостности или доступности ресурсов
      
   5. риск=вероятность реализации угрозы Р=В(вероятность)*У(ущерб: количественный, качественный), обычно составляется матрица риска
      

Нормативно-правовая база:

Перечень международных стандартов: ISO-17799 –2002г., разработан на основе британского стандарта BS7799(представлен в 99г.), состоит из 12 частей(первые две- вводные).

IT Code Of Practice For Information Security and Management:

1. политика информационной безопасности
   
2. организационная безопасность –требования к распределению полномочий среди лиц, отвечающих за обеспечение безопасности
   
3. классификация ресурсов(открытая, конфиденциальная, чувствительная)
   
4. ИБ персонала(правильный набор кадров)
   
5. физическая безопасность(помещения, системы, видео-наблюдение…)
   
6. управление коммуникациями и операциями
   
7. контроль доступа
   
8. разработка и сопровождение системы
   
9. требования к непрерывному ведению бизнеса
   
10. требования к соответствующему международному и национальному законодательству
    

Еще один стандарт – COBOT, разработан ISACA – проверка соответствия целям ведения бизнеса и информационной структуры, которая его поддерживает.

ITIL – британский стандарт, очень популярен в мире.