Professional Documents
Culture Documents
конспект
конспект
2
системи пов′язана деяка послідоність символів, що виступає його
ідентифікатором.
Ідентифікація - процедура розпізнавання суб’єкту за його ідентифікатором.
Автентифікація - перевірка справжності суб’єкту з даним ідентифікатором.
Авторизація - процедура надання законному суб’єкту, що успішно пройшов
ідентифікацію і автентифікацію, відповідних повноважень і доступних ресурсів
системи.
Загроза безпеці інформації— загрози викрадення, зміни або знищення
інформації. Загроза – порушення стану захищеності системи.
Вразливість – особливість системи, яка може призвести до реалізації загрози.
Атака системи - пошук вразливостей системи, реалізація загрози безпеці.
Захищена система - система з засобами захисту,що успішно протидіють
реалізації загроз.
Спосіб захисту – порядок і правила застосування певних засобів і принципів
захисту інформації.
Засіб захисту – технічний або програмний засіб, речовина або матеріал,
призначені для захисту інформації.
Класифікація загроз інформаційній безпеці:
1.За природою виникнення
Природні
Штучні
2. За навмисністю виникнення
3
4.За положенням джерела загрози
Поза зоною контролю АС
У межа контрольованої зони АС
Безпосередньо в АС
5. За залежністю від активності АС
Незалежно від активності
Тільки в процесі оброки даних
6.За ступенем впливу на АС
Активні
Пасивні
7. За способом доступу до ресурсів
Стандартний
Нестандартний
8. За місцерозташуванням інформації
Інформація на зовнішніх запам’ятовуючих пристроях
Інформація в оперативній пам’яті
Інформація у лініях зв’язку
Інформація, відображена на терміналі або принтері
Наприклад, для банківських сисем можна виділити наступні навмисні загрози:
несанкціонований доступ осіб, що не є співробітниками банку, до
конфіденційної інформації
ознайомлення банківських працівників з інформацією, до якої вони не
повинні мати доступ
несанкціоноване копіювання програм і даних
викрадення носіїв, що містять конфіденційну інформацію
викрадення роздрукованих банківських документів
навмисне знищення інформації
несанкціонована модифікація банківськими співробітниками
фінансової звітності і баз даних
фальсифікація повідомлень, що передаються по каналах зв′язку
4
відмова від авторства повідомлень, що передаються по каналах зв′язку
відмова від факту прийняття повідомлення
руйнування інформації внаслідок дії вірусів
викрадення обладнання
Несанкціонований доступ - одержання користувачем прав доступу до об′єкта з
порушенням правил доступу у відповідності до прийнятої в організації
політики безпеки.
Основні канали для несанкціонованого доступу:
штатні канали доступу до інформації ( термінали користувачів,
операторів, адміністраторівб засоби відбраження і документування
інформації)
технологічні пульти управління
лінії зв′язку між апаратними засобами
побічне елекромагнітне випромінювання
Основні способи:
Перехоплення паролів
“маскарад” – виконання дій від імені іншого користувача
Незаконне використання привілеїв
Основні види загроз
Розкриття параметрів системи
Порушення конфіденційності
nПорушення цілісності
агроза відмови служб
Напрями реалізації загроз
Безпосереднє звертання до об’єктів доступу
Створення програмних і технічних засобів для звертання до об’єктів
доступу в обхід системи захисту
Модифікація системи захисту
Впровадження в АС програмних і технічних механізмів, що руйнують
структуру і функції АС
5
Проблеми інформаційної безпеки
1. Проблеми безпеки ІР-мереж
7
Відмова в обслуговуванні
Мережна розвідка - збір даних з допомогою загальнодоступних
програм
Віруси
Основними причинами можливості атак є наступні
1.1 Проблеми інформаційної безпеки в провідних мережах
На початковому етапі розвитку мережних технологій збиткі від вірусних і
інших типів комп′ютерних атак були порівняно невеликими, оскільки
залежність світової економіки від інформаційних технологій була низькою. У
теперішній час в умовах значної залежності бізнесу від електронних засобів
доступу і обміну інформацією збитки від найзнезначніших атак, що призводять
8
до втрат машинного часу, становлять мільйони доларів. Інформація, що
обробляється в корпоративних мережах, є особливо вразливою через:
9
"Підслуховування"
Обладнання, що використовується для підслуховування в мережі, може бути не
складніше того, яке використовується для звичайного доступу до мережі. Щоб
перехопити передачу, зловмисник повинен знаходитися поблизу від
передавача. Перехоплення такого типу практично неможливо зареєструвати, і
ще важче їм завадити. Використання антен і підсилювачів дає зловмиснику
можливість знаходитись на значній відстані від цілі в процесі перехоплення.
10
Інший спосіб підслуховування - підключитися до бездротової мережі. Активне
підслуховування у локальній бездротовій мережі зазвичай засноване на
неправильному використанні протокола Address Resolution Protocol (ARP).
Спочатку ця технологія була створена для «прослуховування» мережі. У
дійсності ми маємо справу з атакою типу MITM (man in the middle, «людина
посередині») на рівні зв'язку даних. Вони можуть приймати різні форми і
використовуються для руйнування конфіденційності і цілісності сеансу зв'язку.
Атаки MITM більш складні, ніж більшість інших атак: для їх проведення
потрібно детальна інформація про мережу. Зловмисник звичайно підміняє
ідентифікацію одного з мережних ресурсів. Коли жертва атаки ініціює
з'єднання, шахрай перехоплює його і потім завершує з'єднання з потрібним
ресурсом, а потім пропускає всі з'єднання з цим ресурсом через свою станцію.
При цьому, атакуючий може посилати інформацію, змінювати послану або
підслуховувати всі переговори і потім розшифровувати їх.
Повну паралізацію мережі може викликати атака типу DOS. У всій мережі,
включаючи базові станції і клієнтські термінали, виникає така сильна
інтерференція, що станції не можуть зв'язуватися один з одним . Ця атака
вимикає всі комунікації у визначеному районі. Якщо вона проводиться у
достатньо широкій області, то може вимагати значних потужностей. Атаку
DOS на бездротові мережі важко запобігти або зупинити. Більшість
бездротових мережних технологій використовує неліцензовані частоти - отже,
допустима інтерференція від цілого ряду електронних пристроїв.
11
Глушіння клієнтської станції
12
таким випадкам ненавмисного глушіння, перш ніж купувати дороге бездротове
обладнання, треба ретельно проаналізувати місце його встановлення. Такий
аналіз допоможе впевнитись у тому, що інші пристрої ніяк не завадять
комунікації.
2.Забезпечення безпеки
13
клієнтам. Тому такі організації змушені приділяти особливу увагу гарантіям
безпеки і реалізовувати-вати комплексний захист. Комплексного підходу
дотримуються більшість державних і великих комерційних підприємств та
установ. Цей підхід знайшов своє відображення в різних стандартах.
14
Адміністрація організації повинна усвідомлювати необхідність підтримки
режиму безпеки і виділяти на ці цілі відповідні ресурси. Основою заходів
захисту адміністративно-організаційного рівня є політика безпеки і комплекс
організаційних заходів.
• управління персоналом;
• фізичний захист;
• підтримку працездатності;
• управління доступом;
15
• протоколювання і аудит;
• криптографія;
• екранування;
Потреби користувачів:
17
Класифікація і управління корпоративними інформаційними
ресурсами
Кадровий менеджмент
Фізична безпека
Адміністрування безпеки
Вимоги до безпеки в ході розробки інформаційної системи
Управління бізнес-процесами з точки зору інформаційної безпеки
Внутрішній аудит інформаційної безпеки
Методика перевірки на відповідність даному стандарту
Стандарт BSI
Загальна методика управління інформаційною безпекою
Опис компонентів сучасних ІТ
Опис основних компонентів організації режиму інформаційної безпеки
(організаційний і технічний рівень захисту даних, планування дій у
надзвичайних ситуаціях, підтримка неперервності бізнесу)
Характеристики основних інформаційних активів компанії (апаратне і
програмне забезпечення)
Характеристики комп’ютерних мереж на основі різних мережних
технологій
Характеристики активного і пасивного телекомунікаційного
обладнання провідних постачальників
Каталоги загроз безпеки і заходів контролю
ISO 15408 “загальні критерії безпеки”
Класифікація вимог безпеки ІТ
Регламентуються всі стадії розробки,аналізу і експлуатації ІТ-
продуктів
Діє на міждержавному рівні
Політика безпеки організації
1.Загальні поняття
18
Політика безпеки визначає стратегію управління в галузі інформаційної
безпеки, а також міру уваги і кількість ресурсів, які вважає за доцільне виділити
керівництво. Політика безпеки будується на основі аналізу ризиків, які
визнаються реальними для ІС організації. Коли проведено аналіз ризиків і
визначена стратегія захисту, складається програма, реалізація якої повинна
забезпечити інформаційну безпеку. Під цю програму виділяються ресурси,
призначаються відповідальні, визначається порядок контролю виконання
програми і т. п. Політика безпеки організації повинна мати структуру
короткого, легко зрозумілого документа високорівневої політики,
підтримуваного конкретними документами спеціалізованих політик і процедур
безпеки.
21
• управляти правами доступу користувачів до обслуговуваних об'єктах;
22
• інформувати адміністраторів або керівництво про порушення безпеки та
інших підозрілих ситуаціях;
23
З практичної точки зору політики безпеки можна розділити на три рівні:
верхній, середній і нижній.
24
критично важливих систем, підтримка контактів з іншими організаціями, що
забезпечують або контролюючими режим безпеки.
Політика верхнього рівня повинна чітко визначати сферу свого впливу. У неї
можуть бути включені не тільки всі комп'ютерні системи організації, але й
домашні комп'ютери співробітників, якщо політика регламентує деякі аспекти
їх використання. Можлива і така ситуація, коли в сферу впливу включаються
лише найбільш важливі системи.
25
• область застосування - слід специфікувати, де, коли, як, по відношенню до
кого і чому застосовується дана політика безпеки;
26
тим простіше підтримувати їх виконання програмно-технічними заходами.
Зазвичай найбільш формально задаються права доступу до об'єктів.
Спеціалізовані політики
27
Політика захисту паролів
Спеціалізовані політики, пов’язані з конкретними технічними галузями:
28
Як забезпечити контроль доступу (авторизацію)
Симетричне шифрування
Зазвичай ключ шифрування являє собою файл або масив даних і зберігається на
персональному ключовому носії, наприклад, смарт-карті.
29
Справжність забезпечується тим що без попереднього розшифрування
неможливо здійснити модифікацію змісту і заміну справжнього повідомлення.
Фальшиве повідомлення не може бути правильно зашифроване без знання
секретного ключа.
30
Інші стандарти
AES, ключ 256 біт
BlowFish, RC2, RC4, CAST
ГОСТ 28147-89, ключ 256 біт
Ці алгоритми шифрують повідомлення блоками по 64 бітів. Якщо обсяг
повідомлення перевищує 64 біти (як це зазвичай і буває), необхідно розбити
його на блоки по 64 біти в кожному, а потім якимось чином звести їх воєдино.
Таке об'єднання, як правило, відбувається одним з наступних чотирьох методів:
31
генерування абсолютно необхідний для забезпечення унікальності кожної пари
ключів.
Одностороння хеш-функція
33
Електронний цифровий підпис
Метою електронного цифрового підпису є забезпечення цілісності даних,
аутентифікації відправника, доведеності дії
Кожен партнер має володіти комплементарною парою відкритий - секретний
ключ. Попередньо партнери мають обмінятись публічними (відкритими )
ключами
Властивості ЕЦП:
Унікальний
Не існує окремо від документу
Може бути створений тільки автором (власником секретного ключа
ЕЦП). Тобто, якщо цим ключем володіє тільки автор – доведеність
виконання дії
35
Типова архітектура РКІ:
36
Технології аутентифікації
Біометрична аутентифікація користувача
• відбитки пальців;
• особливості голосу;
37
зберігається системою в електронній формі і використовується для перевірки
ідентичності кожного, хто видає себе за відповідного законного користувача.
Залежно від збігу або розбіжності сукупності пред'явлених ознак із
зареєстрованими в контрольному образі пред'явника він визнається законним
користувачем (при збігу) або незаконним (при розбіжності).
38
У загальному випадку біометрична технологія розпізнавання відбитків пальців
замінює захист доступу за допомогою пароля. Більшість систем
використовують відбиток одного пальця.
• сканер;
40
Системи аутентифікації по обличчю і голосу найбільш доступні через їх
дешевизну, оскільки більшість сучасних комп'ютерів мають відео-та
аудіозасоби. Системи даного класу застосовуються при віддаленій
ідентифікації суб'єкта доступу в телекомунікаційних мережах.
41
Системи аутентифікації по голосу при записі зразка і в процесі подальшої
ідентифікації спираються на такі особливості голосу, як висота, модуляція і
частота звуку. Ці показники визначаються фізичними характеристиками
голосового тракту і унікальні для кожної людини. Розпізнавання голосу
застосовується замість набору номера в певних системах Sprint. Технологія
розпізнавання голосу відрізняється від розпізнавання мови: остання інтерпретує
те, що говорить абонент, а технологія розпізнавання голосу абонента
підтверджує особистість того, хто говорить.
Оскільки голос можна просто записати на плівку або інші носії, деякі
виробники вбудовують в свої продукти операцію запиту відгуку. Ця функція
пропонує користувачеві при вході відповісти на попередньо підготовлений і
регулярно мінливий запит, наприклад такий: «Повторіть числа 0, 1, 3».
42
Сітківка людського ока являє собою унікальний об'єкт для аутентифікації.
Малюнок кровоносних судин очного дна відрізняється навіть у близнюків.
Оскільки ймовірність повторення параметрів райдужної оболонки і сітківки ока
має порядок 10-78, такі системи є найбільш надійними серед всіх біометричних
систем і застосовуються там, де потрібен високий рівень безпеки (наприклад, в
режимних зонах військових та оборонних об'єктів).
Строга аутентифікація
Істотним є факт, що сторона демонструє тільки знання секрету, але сам секрет у
ході аутентифікайійного обміну не розкривається. Це забезпечується за
допомогою відповідей доводить сторони на різні запити перевіряючої сторони.
При цьому результуючий запит залежить тільки від користувацького секрету та
початкового запиту, який зазвичай представляє довільно вибране на початку
протоколу велике число.
• двостороння аутентифікація;
• тристороння аутентифікація.
44
допомогою можна забезпечити унікальність, однозначність і тимчасові гарантії
переданих повідомлень. Різні типи одноразових параметрів можуть вживатися
як окремо, так і доповнювати один одного.
45
Нижче наводяться три приклади протоколів аутентифікації, специфіковані в
ISO / IEC 9798-2. Ці протоколи припускають попередній розподіл поділюваних
секретних ключів.
• двостороння аутентифікація.
46
повідомлення грунтується на тому, що без знання ключа неможливо змінити
мітку часу tA та ідентифікатор В.
47
Своєрідність шифрування за допомогою односторонньої хеш-функції полягає в
тому, що воно по суті є одностороннім, тобто не супроводжується зворотним
перетворенням - розшифруванням на приймальній стороні. Обидві сторони
(відправник і одержувач) використовують одну і ту ж процедуру
одностороннього шифрування.
49
Системи простої аутентифікації на основі багаторазових паролів мають
знижену стійкість, оскільки вибір аутентифікуючої інформації відбувається з
відносно невеликого числа слів. Термін дії багаторазового пароля повинен бути
визначений в політиці безпеки організації. Паролі повинні регулярно
змінюватися, бути важкими для вгадування і не бути присутнім у словнику.
50
• секретний ключ, який представляє собою унікальне 64-бітове число, що
призначається кожному користувачеві і яке зберігається в БД
аутентифікаційного сервера і в апаратному ключі користувача;
Аутентифікація за PIN-кодом
51
Найбільш поширеним методом аутентифікації власника пластикової карти і
смарт-карти є введення секретного числа, яке зазвичай називають PIN-кодом
(Personal Identification Number - персональний ідентифікаційний код) або іноді
CHV (CardHolder Verification). Захист PIN-коду картки є критичним для
безпеки всієї системи. Карти можуть бути втрачені, викрадені або підроблені. У
таких випадках єдиною контрзаходом проти несанкціонованого доступу
залишається секретне значення PIN-коду. Ось чому відкрита форма PIN має
бути відома тільки законному власнику картки. Очевидно, значення PIN
потрібно тримати в секреті протягом усього терміну дії картки.
За метою атаки
За способом впливу на ОС
54
Загрози безпеки ОС можна також класифікувати за такими ознаками, як: спосіб
дій зловмисника, використовувані засоби атаки, об'єкт атаки, спосіб впливу на
об'єкт атаки, стан об'єкта ОС на момент атаки. ОС може піддатися наступним
типовим атакам:
• підбору пароля.
- Тотальний перебір;
55
• крадіжці ключової інформації. Зловмисник може підглянути пароль, що
набирає користувач, або відновити пароль по рухах рук користувача на
клавіатурі. Носій з ключовою інформацією (смарт-карта, Touch Memory і т. д.)
може бути просто викрадений;
56
бомбардування заздалегідь безглуздими запитами–програма постійно
направляє ОС випадково згенеровані запити, що у кінцевому підсумку
призводить до фатальної помилки;
використання відомих помилок у ПЗ чи ОС.
Побудова захищеної ОС
Якщо ОС передбачає захист не від усіх основних класів загроз, а тільки від
деяких, таку ОС називають частково захищеною.
57
підсистеми захисту, створеної на основі комплексного підходу, тісно
взаємодіють один з одним при вирішенні різних завдань, пов'язаних з
організацією захисту інформації, тому конфлікти між її окремими
компонентами практично неможливі. Підсистема захисту, створена на основі
комплексного підходу, може бути влаштована так, що при фатальних збоях у
функціонуванні її ключових елементів вона викликає крах ОС, що не дозволяє
зловмисникові відключати захисні функції системи. При фрагментарному
підході така організація підсистеми захисту неможлива.
Відомо твердження: чим краще захищена ОС, тим важче з нею працювати
користувачам і адміністраторам. Це обумовлено наступними факторами:
60
4. Втілення в життя політики безпеки. Завданням даного етапу є приведення
конфігурації ОС і додаткових пакетів захисту у відповідність з політикою
безпеки, формально визначеної на попередньому етапі.
61
4. Управління політикою безпеки. Політика безпеки повинна постійно
підтримуватися в адекватному стані, тобто повинна гнучко реагувати на зміни
умов функціонування ОС. Управління політикою безпеки здійснюється
адміністраторами системи з використанням відповідних засобів, вбудованих в
ОС.
62
У захищеної ОС будь-який користувач (суб'єкт доступу), перед тим як почати
роботу з системою, повинен пройти ідентифікацію, аутентифікацію і
авторизацію. Суб'єктом доступу (або просто суб'єктом) називають будь-яку
сутність, здатну ініціювати виконання операцій над елементами ОС. Зокрема,
користувачі є суб'єктами доступу.
Для того щоб встановити, що користувач саме той, за кого себе видає, в
інформаційних системах передбачена процедура аутентифікації, завдання якої -
запобігання доступу до системи небажаних осіб.
63
З точки зору забезпечення безпеки ОС процедури ідентифікації і аутентифікації
є досить відповідальними. Дійсно, якщо зловмисник зумів увійти в систему від
імені іншого користувача, він легко отримує доступ до всіх об'єктів ОС, до яких
має доступ цей користувач. Якщо при цьому підсистема аудиту генерує
повідомлення про події, потенційно небезпечних для безпеки ОС, то в журнал
аудиту записується не ім'я зловмисника, а ім'я користувача, від імені якого
зловмисник працює в системі.
Для об'єкта доступу може бути визначений власник - суб'єкт, якому належить
даний об'єкт і який несе відповідальність за конфіденційність інформації , що
міститься в об'єкті, а також за цілісність і доступність об'єкта.
65
Суб'єкта доступу називають суперкористувачем, якщо він має можливість
ігнорувати правила розмежування доступу до об'єктів.
При створенні об'єкта його власником призначається суб'єкт, який створив цей
об'єкт. Надалі суб'єкт, що володіє необхідними правами, може призначити
об'єкту нового власника. При цьому суб'єкт, що змінює власника об'єкта, може
призначити новим власником об'єкта тільки себе. Таке обмеження вводиться
67
для того, щоб власник об'єкта не міг віддати «володіння» об'єктом іншому
суб'єкту і тим самим зняти з себе відповідальність за некоректні дії з об'єктом.
Домен безпеки (protection domain) визначає набір об'єктів і типів операцій, які
можуть проводитися над кожним об'єктом ОЗ.
Оскільки реальна матриця доступу дуже велика (типовий обсяг для сучасної
ОС становить кілька десятків мегабайт), матрицю доступу ніколи не зберігають
в системі в явному вигляді. У загальному випадку ця матриця буде
розрідженою, тобто більшість її комірок будуть порожніми. Матрицю доступу
можна розкласти по стовпцях, в результаті чого виходять списки прав доступу
ACL (access control list). У результаті розкладання матриці по рядках виходять
мандати можливостей (capability list, або capability tickets).
Список прав доступу ACL. Кожна колонка в матриці може бути реалізована як
список доступу для одного об'єкта. Очевидно, що порожні комірки можуть не
враховуватися. У результаті для кожного об'єкта маємо список упорядкованих
68
пар <domain, rights-set>, який визначає всі домени з непорожніми наборами
прав для даного об'єкта.
Елементами списку прав доступу ACL можуть бути процеси, користувачі або
групи користувачів. При реалізації широко застосовується надання доступу за
замовчуванням для користувачів, права яких не вказані. Наприклад, в ОС Unix
всі суб'єкти-користувачі розділені на три групи (власник, група та інші), і для
членів кожної групи контролюються операції читання, запису і виконання
(rwx). У підсумку маємо ACL - 9-бітний код, який є атрибутом різноманітних
об'єктів Unix.
Разом з тим, захищеність ОС, підсистема захисту якої реалізує тільки вибіркове
розмежування доступу, в деяких випадках може виявитися недостатньою.
Зокрема, в США заборонено зберігати інформацію, що містить державну
таємницю, в комп'ютерних системах, що підтримують тільки вибіркове
розмежування доступу.
69
Розширенням моделі вибіркового розмежування доступу є ізольоване(або
замкнене) програмне середовище.
70
4. Існує принаймні один привілейований користувач (адміністратор), що має
можливість видалити будь-який об'єкт.
6. Кожен суб'єкт доступу має рівень допуску. Чим вище числове значення рівня
допуску, тим більший допуск має суб'єкт. Нульове значення рівня допуску
означає, що суб'єкт не має допуску. Зазвичай ненульове значення допуску
призначається лише суб'єктам-користувачам і не призначається суб'єктам, від
імені яких виконуються системні процеси.
71
9. Доступ суб'єкта до об'єкта повинен бути заборонений незалежно від стану
матриці доступу, якщо:
72
При читанні секретного файлу процес повинен враховувати зміст такого файлу
в секретну область пам'яті, використовуючи для цього функції ОС, що
гарантують неможливість витоку інформації. Для роботи з секретною областю
пам'яті процес також повинен використовувати спеціальні функції. Оскільки
витік інформації з секретних областей пам'яті в пам'ять процесу неможлива,
зчитування процесом секретної інформації в секретні області пам'яті не
відбивається на рівні конфіденційності процесу. Якщо ж процес зчитує
секретну інформацію в область пам'яті, що не описану як об'єкт повноважного
розмежування доступу, підвищується рівень конфіденційності процесу.
Аудит
73
небезпеку для ОС. Користувачі системи, що володіють правом читання
журналу аудиту, називаються аудиторами.
До числа подій, які можуть становити небезпеку для ОС, зазвичай відносять
такі:
74
Якщо фіксувати в журналі аудиту всі події, обсяг реєстраційної інформації буде
рости занадто швидко, що ускладнить її ефективний аналіз. Необхідно
передбачити вибіркове протоколювання як щодо користувачів, так і щодо
подій.
Вимоги до аудиту
1. Додавати записи до журналу аудиту може тільки ОС. Якщо надати це право
якомусь фізичній користувачеві, цей користувач отримає можливість
компрометувати інших користувачів, додаючи до журналу аудиту відповідні
записи.
75
Політика аудиту - це сукупність правил, що визначають, які події повинні
реєструватися в журналі аудиту. Для забезпечення надійного захисту ОС в
журналі аудиту повинні обов'язково реєструватися наступні події:
За рівнем функціонування
За використовуваною технологією:
За виконанням:
• апаратно-програмний;
• програмний.
За схемою підключення:
77
Фільтрація інформаційних потоків полягає в їх вибірковому пропущенні через
екран, можливо, з виконанням деяких перетворень. Фільтрація здійснюється на
основі набору попередньо завантажених в МЕ правил, відповідних прийнятій
політиці безпеки. Тому МЕ зручно представляти як послідовність фільтрів, що
обробляють інформаційний потік.
• не пропустити дані;
78
Відповідно правила фільтрації визначають перелік умов, за якими
здійснюється:
79
інформацією між комп'ютерами внутрішньої і зовнішньої мережі здійснюється
через програмного посередника, який може виконувати фільтрацію потоку
повідомлень, а також здійснювати інші захисні функції.
80
Програми-посередники можуть виконувати розмежування доступу до ресурсів
внутрішньої чи зовнішньої мережі, використовуючи результати ідентифікації і
аутентифікації користувачів при їх зверненні до МЕ.
Додаткові можливості МЕ
83
Зручно і надійно також застосування цифрових сертифікатів, що видаються
довіреними органами, наприклад центром розподілу ключів. Більшість
програм-посередників розробляються таким чином, щоб користувач
аутентифікувався тільки на початку сеансу роботи з МЕ. Після цього від нього
не потрібна додаткова аутентифікація протягом часу, що визначається
адміністратором.
84
Дана функція реалізується по відношенню до всіх пакетів, що проходять з
внутрішньої мережі в зовнішню. Для цих пакетів виконується автоматичне
перетворення IP-адрес комп'ютерів-відправників в одну «надійну» IP-адресу.
86
проведенні досліджень та аналізі ризику для формулювання вимог до
мережного обладнання і програмам.
• екрануючий маршрутизатор;
87
Використовувані в мережах протоколи (TCP / IP, SPX / IPX) не точно
відповідають еталонній моделі OSI, тому екрани перерахованих типів при
виконанні своїх функцій можуть охоплювати і сусідні рівні еталонної моделі.
Наприклад, прикладний екран може здійснювати автоматичне зашифровування
повідомлень при їх передачі в зовнішню мережу, а також автоматичне
розшифрування криптографічно закритих прийнятих даних. У цьому випадку
такий екран функціонує не тільки на прикладному рівні моделі OSI, а й на рівні
представлень.
Прикладний шлюз
88
• ідентифікація та аутентифікація користувачів при спробі встановлення
з'єднань через МЕ;
Варіанти виконання МЕ
90
практиці далеко не завжди в організації знаходиться вільний комп'ютер, що
задовольняє досить високі вимоги до системних ресурсів. Тому одночасно з
придбанням ПЗ набувається і комп'ютер для його установки. Потім
відбувається процес установки на комп'ютер операційної системи (ОС) і її
настроювання, що також вимагає часу і оплати роботи установників. І тільки
після цього встановлюється і налаштовується ПЗ системи виявлення атак.
Неважко помітити, що використання звичайного персонального комп'ютера
далеко не так просто, як здається на перший погляд.
91
При підключенні корпоративної або локальної мережі до глобальних мереж
необхідні:
93
бути використані на шкоду безпеки, що особливо характерно для закритого і
складного ПЗ, в якому можуть бути різні помилки і некоректність. Принцип 1,
по суті, є визнанням факту, що незнання може заподіяти шкоду. Слід зазначити,
що правила доступу, сформульовані відповідно до цього принципу, можуть
доставляти користувачам певні незручності.
95
Часто виникає потреба мати у складі корпоративної мережі декілька сегментів з
різними рівнями захищеності:
Цей спосіб має високу захищеність закритої частині локальної мережі, але
забезпечує знижену безпеку відкритих серверів, розташованих до МЕ.
96
Якщо ж до безпеки відкритих серверів пред'являються підвищені вимоги, тоді
необхідно використовувати схему з роздільним захистом закритої і відкритої
підмереж.
Проблеми безпеки МЕ
100
інформацією, то між цими двома вузлами необхідно побудувати віртуальний
захищений тунель для забезпечення конфіденційності та цілісності інформації,
що передається через відкриті мережі; доступ до цього віртуальному тунелю
повинен бути надзвичайно утруднений всім можливим активним і пасивним
зовнішнім спостерігачам.
101
• захист інформації в процесі її передачі по відкритих каналах зв'язку.
102
Тунель VPN являє собою з'єднання, проведене через відкриту мережу, по якому
передаються криптографічно захищені пакети повідомлень віртуальної мережі.
Захист інформації в процесі її передачі по тунелю VPN базується:
106
використаний транспортний протокол IPX, що переносить дані в локальних
мережах філій одного підприємства. Найбільш поширеним варіантом несучого
протоколу є протокол IP мережі Інтернет. В якості протоколів тунелювання
можуть бути використані протоколи канального рівня РРТР і L2TP, а також
протокол мережевого рівня IPSec. Завдяки тунелюванню стає можливим
приховування інфраструктури Internet від VPN-додатків.
Тунелі VPN можуть створюватися для різних типів кінцевих користувачів - або
це локальна мережа LAN (local area network) зі шлюзом безпеки, або окремі
комп'ютери віддалених і мобільних користувачів. Для створення віртуальної
приватної мережі великого підприємства потрібні VPN-шлюзи, VPN-сервери і
VPN-клієнти. VPN-шлюзи доцільно використовувати для захисту локальних
мереж підприємства, VPN-сервери і VPN-клієнти використовують для
організації захищених з'єднань віддалених і мобільних користувачів з
корпоративною мережею через Інтернет.
107
одним. Багато компаній використовують даний вид VPN в якості заміни або
доповнення до наявних з'єднань глобальної мережі.
109
Ініціатор тунелю інкапсулює вихідний пакет в новий пакет, що містить новий
заголовок з інформацією про відправника та одержувача. Інкапсульовані
пакети можуть належати до протоколу будь-якого типу, включаючи пакети
немаршрутизованих протоколів, наприклад NetBEUI. Всі передані по тунелю
пакети є пакетами IP. Маршрут між ініціатором і термінатором тунелю
визначає звичайна мережа IP, яка може бути мережею, відмінною від Інтернету.
110
Засоби забезпечення безпеки VPN
111
Авторизація передбачає надання абонентам, що довели свою легальність
(автентичність), різних видів обслуговування, зокрема різних способів
шифрування їх трафіку. Авторизація та управління доступом часто
реалізуються одними і тими ж засобами.
113
призначена для виявлення, фіксації та припинення неавторизованої мережевої
активності як від зовнішніх, так і від внутрішніх джерел.
114
Термін «канал» підкреслює той факт, що захист даних забезпечується між
двома вузлами мережі (хостами або шлюзами) уздовж деякого віртуального
шляху, прокладеного в мережі з комутацією пакетів.
115
З протоколом IPSec пов'язаний протокол IKE (Internet Key Exchange), що
вирішує завдання безпечного управління та обміну криптографічними
ключами між віддаленими пристроями. Протокол IKE автоматизує обмін
ключами і встановлює захищене з'єднання, тоді як IPSec кодує і «підписує»
пакети. Крім того, IKE дозволяє змінювати ключ для вже встановленого
з'єднання, що підвищує конфіденційність переданої інформації.
VPN сеансового рівня. Деякі VPN використовують інший підхід під назвою
«посередники каналів» (circuit proxy). Цей метод функціонує над транспортним
рівнем і ретранслює трафік із захищеної мережі в загальнодоступну мережу
Internet для кожного сокета окремо. (Сокет IP ідентифікується комбінацією
TCP-з'єднання і конкретного порту або заданим портом UDP. Стек TCP / IP не
має п'ятого - сеансового - рівня, однак орієнтовані на сокети операції часто
називають операціями сеансового рівня.)
116
Внутрішньокорпоративні мережі VPN призначені для забезпечення
захищеного взаємодії між підрозділами всередині підприємства або між групою
підприємств, об'єднаних корпоративними мережами зв'язку, включаючи
виділені лінії.
• маршрутизаторів;
• міжмережевих екранів;
• програмних рішень;
118
віддаленого доступу до ресурсів корпоративної мережі через відкриту мережу,
наприклад через Інтернет.
119
На фізичному і канальному рівнях протоколи РРТР і L2TP ідентичні, але на
цьому їх схожість закінчується і починаються відмінності.
Протокол РРТР
120
Приймаючий вузол мережі витягує з пакетів IP кадри РРР, а потім витягує з
кадру РРР вихідний пакет IP, IPX або NetBEUI і відправляє його по локальній
мережі конкретного адресата. Багатопротокольність інкапсулюючих протоколів
канального рівня, до яких належить протокол РРТР, є їх важливою перевагою
перед протоколами захищеного каналу більш високих рівнів. Наприклад, якщо
в корпоративній мережі використовуються IPX або NetBEUI, застосування
протоколів IPSec або SSL просто неможливо, оскільки вони орієнтовані тільки
на один протокол мережевого рівня IP.
122
Функції сервера віддаленого доступу може виконувати граничний
маршрутизатор локальної мережі. На комп'ютері віддаленого користувача
повинні бути встановлені клієнтська частина сервісу RAS і драйвер РРТР, які
входять до складу Windows, а на сервері віддаленого доступу локальної мережі
- сервер RAS і драйвер РРТР, що входять до складу Windows Server. Протокол
РРТР визначає кілька службових повідомлень, якими обмінюються взаємодіючі
сторони. Службові повідомлення передаються по протоколу TCP. Після
успішної аутентифікації починається процес захищеного інформаційного
обміну. Внутрішні сервери локальної мережі можуть не підтримувати протокол
РРТР, оскільки граничний маршрутизатор витягує кадри РРР з пакетів IP і
посилає їх по локальній мережі в необхідному форматі - IP, IPX або NetBIOS.
Протокол L2TP
Проте в даний час він фактично поглинений протоколом L2TP, тому далі
будуть розглядатися основні можливості і властивості протоколу L2TP.
123
Протокол L2TP (Layer-2 Tunneling Protocol) розроблений в організації IETF
(Internet Engineering Task Force) за підтримки компаній Microsoft і
CiscoSystems. Протокол L2TP розроблявся як протокол захищеного
тунелювання РРР-трафіку через мережі загального призначення з довільним
середовищем. Робота над цим протоколом велася на основі протоколів РРТР і
L2F, і в результаті він увібрав в себе кращі якості вихідних протоколів.
На відміну від РРТР, протокол L2TP не прив'язаний до протоколу IP, тому він
може бути використаний в мережах з комутацією пакетів, наприклад в мережах
ATM (Asynchronous Transfer Mode) або в мережах з ретрансляцією кадрів
(frame relay). Крім того, до протоколу L2TP додана важлива функція управління
потоками даних, а також ряд відсутніх у специфікації протоколу РРТР функцій
захисту, зокрема, включена можливість роботи з протоколами АН і ESP стека
протоколів IPSec.
Хоча протокол РРТР забезпечує достатню ступінь безпеки, але все ж протокол
L2TP (поверх IPSec) надійніше. Протокол L2TP (поверх IPSec) забезпечує
аутентифікацію на рівнях «користувач» і «комп'ютер», а також виконує
аутентифікацію і шифрування даних.
125
Формування захищеного віртуального каналу в протоколі L2TP здійснюється в
три етапи:
• аутентифікація користувача;
Однак при всіх своїх перевагах протокол L2TP не зміг подолати ряд недоліків
тунельної передачі даних на канальному рівні:
126
• специфікація L2TP забезпечує стандартне шифрування тільки в IP-мережах за
допомогою протоколу IPSec.
127
захищати трафік як поточної версії протоколу IPv4, вживаної сьогодні в
Internet, так і трафік нової версії IPv6, яка поступово впроваджується в Internet.
128
Для того щоб забезпечити аутентифікацію, конфіденційність і цілісність
переданих даних стек протоколів IPSec побудований на базі стандартизованих
криптографічних технологій:
Основний протокол IPSec. Цей компонент реалізує протоколи ESP і АН. Він
обробляє заголовки, взаємодіє з БД SPD і SAD для визначення політики
безпеки, застосовуваної до пакету.
131
• протокол узгодження параметрів віртуального каналу та управління ключами
IKE (Internet Key Exchange), що визначає спосіб ініціалізації захищеного
каналу, включаючи узгодження використовуваних алгоритмів криптозахисту, а
також процедури обміну та управління секретними ключами в рамках
захищеного з'єднання;
132
алгоритми аутентифікації і шифрування, які використовуються в протоколах
АН та ESP.
Нижній рівень архітектури IPSec утворює так званий домен інтерпретації DOI
(Domain of Interpretation). Необхідність застосування домену інтерпретації DOI
обумовлена наступними причинами. Протоколи АН і ESP мають модульну
структуру, допускаючи застосування користувачами за їх узгодженим вибором
різних криптографічних алгоритмів шифрування і аутентифікації. Тому
необхідний модуль, який міг би забезпечити спільну роботу всіх протоколів і
алгоритмів. Саме такі функції покладено на домен інтерпретації DOI. Домен
інтерпретації DOI в якості БД зберігає відомості про використовувані в IPSec
протоколи і алгоритми, їх параметри, протокольні ідентифікатори і інше. По
суті, він виконує роль фундаменту в архітектурі IPSec. Для того щоб
використовувати алгоритми, відповідні національним стандартам в якості
алгоритмів аутентифікації і шифрування в протоколах АН і ESP, необхідно
зареєструвати ці алгоритми в домені інтерпретації DOI.
133
безпечної передачі даних протоколи АН і ESP включають в оброблювані ними
пакети додаткову службову інформацію, оформляючи її у вигляді заголовків.
Протокол АН
134
Протокол АН захищає весь IP-пакет за винятком деяких полів в IP-заголовку,
таких як час життя (TTL) і тип служби (Type of Service), які можуть
змінюватися в процесі передачі пакету в мережі. Зауважимо, що протокол АН
забезпечує захист від змін IP-адресу в заголовку пакета. Протокол
аутентифікації АН створює своєрідний конверт, що забезпечує аутентифікацію
джерела даних, їх цілісність і захист від нав'язування повторних повідомлень.
135
У транспортному режимі заголовок вихідного IP-пакета стає зовнішнім
заголовком, за ним іде заголовок АН, а потім всі дані захищеного пакета (тобто
пакет протоколу верхнього рівня). Протокол АН захищає весь отриманий таким
чином пакет, включаючи заголовок IP і власне сам заголовок АН. Таким чином,
будь-яка зміна даних в пакеті або заголовків буде виявлена. Слід також
зауважити, що в цьому режимі дані пакета відсилаються відкритими, тобто дані
пакета захищені від змін, але не захищені від перегляду. Зокрема, не вдається
приховати IP-адреси джерела і призначення від можливого перегляду
сторонніми особами, оскільки ці поля завжди присутні в незашифрованому
вигляді і відповідають дійсним адресами хостів.
136
дозволяє виявити будь-які зміни в пакеті. Як і в транспортному режимі, сам
пакет не захищений від перегляду.
Незалежно від режиму роботи, протокол АН надає заходи захисту від атак,
спрямованих на порушення цілісності та автентичності пакетів повідомлень. За
допомогою цього протоколу аутентифікується кожен пакет, що робить
програми, що намагаються перехопити управління сеансом, неефективними.
Протокол АН забезпечує аутентифікацію не тільки вмісту, але і заголовків IP-
пакетів. Проте слід мати на увазі, що аутентифікація за протоколом АН не
допускає маніпулювання основними полями IP-заголовка під час проходження
пакета. З цієї причини даний протокол не можна застосовувати в середовищі, де
використовується механізм трансляції мережевих адрес NAT (Network Address
Translation), оскільки для його роботи необхідно маніпулювання IP-
заголовками.
Протокол ESP
137
від підробки, відтворення і випадкового спотворення, а також забезпечує
конфіденційність даних.
138
даною угодою. Одержувач перевіряє це поле з метою упевнитися, що пакети з
таким номером прийнято ще не було. Якщо ж такий пакет вже був, він не
приймається;
139
того, щоб не занадто знижувалася корисна пропускна здатність каналу зв'язку
через великий обсяг надлишкових даних.
140
Таким чином, адресна інформація (IP-адреси обох сторін) видно при
пересиланні пакету по мережі, і несанкціонована зміна цих IP-адрес може
залишитись непоміченою.
141
і того ж ключа. Для протоколу ESP також визначено перелік обов'язкових
алгоритмів шифрування - DES, MD5 і SHA-1.
У транспортному режимі:
У тунельному режимі:
Протокол ESP може застосовуватися окремо або разом з протоколом АН. При
спільному використанні протоколи АН і ESP можуть комбінуватися різними
способами. Якщо використовується транспортний режим, то аналогічно тому,
як у рамках ESP аутентифікація йде слідом за шифруванням, протокол АН
повинен застосовуватися після протоколу ESP. У тунельному режимі
протоколи АН і ESP застосовуються до різних вкладених пакетів і, крім того,
допускається багаторазова вкладеність тунелів з різними початковими і / або
кінцевими точками.
142
користувачами за їх узгодженим вибором різних криптографічних алгоритмів
аутентифікації і шифрування. Для шифрування даних в IPSec (протокол ESP)
може бути застосований практично будь –який симетричний алгоритм
шифрування, який використовує секретні ключі.
143
На даний момент для протоколів АН і ESP зареєстровано 2 алгоритму
аутентифікації - HMAC-MD5 і НМАС-SHA1. Алгоритм НМАС (Keyed-Hashing
for Message Authentication Code) визначається стандартом RFC 2104. Функції
MD5 (Message Digest version 5, стандарт RFC 1321) і SHA1 (Secure Hash
Algorithm version 1, стандарт FIPS 180-1) є функціямі хешування. Алгоритми
HMAC-MD5 і HMAC-SHA1 є алгоритмами аутентифікації з спільним
секретним ключем. Секретний ключ має довжину 128 біт у випадкуMD5 і 160
біт у випадку SHA1.
144
Алгоритм НМАС реалізує симетричну схему аутентифікації, використовуючи
параметр перевірки цілісності пакета ICV (Integrity Check Value). По суті, він
являє собою цифровий підпис, що поміщається в поле аутентификации і
дозволяє відправникові підписати результат попереднього хешування
змістовної частини пакета ESP.
145
йому треба розкривати, а разом з необхідністю підбору ключів, це ще більш
зменшує його шанси своєчасно розшифрувати дані користувача.
IPSec може працювати спільно з протоколами L2TP або L2F, які виконують
тільки тунелювання, але не забезпечують шифрування і аутентифікацію даних.
Ці протоколи створюють через Internet тунель для пакетів будь-яких
протоколів, упаковуючи їх у пакети IP. Коли трафік за допомогою L2F або
L2TP виявляється упакованим в пакети IP, то далі для його захисту можна
використовувати IPSec. В результаті комбінування IPSec з протоколами
тунелювання типу L2F/L2TP дозволяє вирішити завдання захисту даних для
протоколів, відмінних від IP.
Роль такої інфраструктури в IPSec виконує група протоколів IKE (Internet Key
Exchange). Це назва прийшла в 1998 р. на зміну більш ранньому - ISAKMP /
Oakley, що безпосередньо вказувало на походження засобів керування ключами
в складі IPSec.
146
процесів аутентифікації. Протокол Oakley, описаний в RFC 2412, заснований на
алгоритмі Діффі - Хеллмана і служить для організації безпосереднього обміну
ключами.
147
Для виконання аутентифікації сторін у IKE застосовуються два основних
способи.
148
сеансу обміну; частоту зміни ключів і ряд інших параметрів . Важливим
параметром SA є так званий криптографічний матеріал, тобто секретні ключі,
що використовуються в роботі протоколів АН і ESP. Сервіси безпеки,
пропоновані IPSec, використовують для формування криптографічних ключів
колективні секрети.
149
обміну ключами та узгодження решти параметрів IPSec-тунеля при створенні
SA, проте самі протоколи аутентифікації сторін та обміну ключами в ньому
детально не визначені. Тому при розробці протоколу IKE загальні правила і
процедури протоколу ISAKMP доповнені процедурами аутентифікації і обміну
ключами, взятими з протоколів Oakley і SKEME. Оскільки протокол IKE
використовує для управління асоціаціями алгоритми та формати протоколу
ISAKMP, назви цих протоколів іноді використовують як синоніми.
150
При встановленні SA дві сторони приймають ряд угод, що регламентують
процес передачі потоку даних між ними. Угоди представляються у вигляді
набору параметрів. Для SA такими параметрами є, зокрема, тип і режим роботи
протоколу захисту (АН або ESP), методи шифрування, секретні ключі, значення
поточного номера пакета в асоціації та інша інформація.
1) хост-хост;
2) шлюз-шлюз;
151
3) хост-шлюз.
154
віртуальних мереж на сеансовому рівні з'являється можливість
криптографічного захисту інформаційного обміну, включаючи аутентифікацію,
а також реалізації ряду функцій посередництва між взаємодіючими сторонами.
155
завіреними цифровим підписом спеціальних сертифікаційних центрів.
Протокол SSL підтримує сертифікати, відповідні загальноприйнятому
стандарту Х.509, а також стандарти інфраструктури відкритих ключів PKI
(Public Key Infrastructure), за допомогою якої організовується видача та
перевірка достовірності сертифікатів.
156
Протокол SSL передбачає наступні етапи взаємодії клієнта і сервера при
формуванні та підтримці захищається з'єднання:
• встановлення SSL-сесії;
• захищена взаємодія.
• аутентифікація сторін;
157
Процедура встановлення SSL-сесії, звана також процедурою рукостискання,
відпрацьовується перед безпосереднім захистом інформаційного обміну і
виконується за протоколом початкового привітання (Handshake Protocol), що
входить до складу протоколу SSL.
• повну анонімність.
158
стандартом Інтернету. Відмінності між протоколами SSL 3.0 і TLS 1.0 не надто
істотні. Протокол SSL став промисловим протоколом.
Протокол SOCKS
159
• розмежування доступу до ресурсів внутрішньої мережі;
160
Протокол SOCKS дозволяє реалізувати безпечне управління цими системами на
основі уніфікованої стратегії. Слід зазначити, що на основі протоколу SOCKS
можуть створюватися захищені тунелі для кожної програми і сеансу окремо.
161
• за підтримки будь-яких запропонованих методів аутентифікації SOCKS-
сервер у відповідності з обраним методом аутентифікує користувача, від імені
якого виступає SOCKS-клієнт; в разі безуспішною аутентифікації SOCKS-
сервер розриває з'єднання;
162
Протокол SOCKS здійснює вбудовану підтримку Internet Explorer компанії
Microsoft.
165
• неспростовності, що означає, що користувачі не можуть пізніше відмовитися
від виконаної транзакції (зазвичай реалізується за допомогою цифрового
підпису та інфраструктури відкритих ключів)
Тільки рішення, яке виконує всі ці чотири функції, може створити довірене
середовище, здатне по-справжньому забезпечити реалізацію електронного
бізнесу.
166
Всі запити на доступ до ресурсів проходять через один або більше списків
контролю доступу ACL (Access Control List). ACL є набором правил доступу,
які задають для набору ресурсів, щозахищаються. Ресурси з низьким ризиком
матимуть менш суворі правила доступу, в той час як висококритичні ресурси
повинні мати більш суворі правила доступу. ACL, по суті, визначають політику
безпеки.
167
Централізовані системи управління доступом випускаються рядом компаній,
зокрема Secure Computing, RSA Security Inc., Baltimore та інші.
168
В якості таких агентів виступають агенти віддаленого доступу, агенти VPN-
доступу, агенти серверів RADIUS, Novel,RAS, Citrix та інші. При спробі
користувача підключитися до внутрішньої мережі, агенти системи
перехоплюють запит користувача на вхід в мережу.
169
програмний аутентифікатор. Якщо користувач успішно проходить всі кроки
підтвердження своєї достовірності, він отримує доступ до ресурсу мережі.
170
При побудові систем управління доступом важливе значення мають:
171
канал телефонного зв'язку. Основні переваги віддаленого доступу до
корпоративної мережі через Internet:
172
Протокол РРР підтримує наступні важливі функції:
173
При віддаленому взаємодії важлива аутентифікація не тільки користувачів, але
і обладнання, оскільки підміна користувача або маршрутизатора призводить до
одних і тих же наслідків - дані з корпоративної мережі передаються не тим
особам, яким вони призначені.
Протокол РРР має вбудовані засоби, які можуть бути використані для
організації аутентифікації при віддаленому взаємодії. У стандарті RFC 1334
визначені два протоколи аутентифікації:
174
Іноді компанії створюють власні протоколи аутентифікації віддаленого
доступу, що працюють разом з протоколом РРР. Ці фірмові протоколи зазвичай
є модифікаціями протоколів РАР і CHAP.
Протокол РАР
175
Слід особливо відзначити, що протокол аутентифікації РАР, згідно з яким
ідентифікатори і паролі передаються по лінії зв'язку в незашифрованому
вигляді, доцільно застосовувати тільки спільно з протоколом, орієнтованим на
аутентифікацію за одноразовими паролями, наприклад спільно з протоколом S /
Key. В іншому випадку пароль, переданий по каналу зв'язку, може бути
перехоплений зловмисником і використаний повторно з метою маскування під
санкціонованого віддаленого користувача.
Протокол CHAP
176
протоколу CHAP, а також необхідного алгоритму хешування. Якщо віддалений
комп'ютер підтримує запропонований алгоритм хешування, то він повинен
відповісти пакетом LCP про згоду із запропонованими параметрами. В іншому
випадку виконується обмін пакетами LCP для узгодження алгоритму
хешування.
• Виклик (Challenge);
• Відгук (Response);
• Підтвердження (Success);
• Відмова (Failure).
177
Отримавши пакет Відгук сервер віддаленого доступу порівнює вміст
результату з отриманого пакета з результатом, обчисленим самостійно. Якщо ці
результати збігаються, то аутентифікація вважається успішною і сервер висилає
віддаленого комп'ютера пакет Підтвердження.
Протокол S / Key
178
Перехоплення одноразового пароля, переданого по мережі в процесі
аутентифікації, не надає зловмисникові можливості повторно використовувати
цей пароль, оскільки під час наступної перевірки автентичності необхідно
пред'являти вже інший пароль. Тому схема аутентифікації на основі
одноразових паролів, зокрема S / Key, дозволяє передавати по мережі
одноразовий пароль у відкритому вигляді і, таким чином, компенсує основний
недолік протоколу аутентифікації РАР.
179
випадкового числа. Таким чином, відповідно до протоколу S / Key за кожним
користувачем закріплюється ідентифікатор і секретний постійний пароль.
180
авторизацію, в результаті чого отримує або не отримує дозвіл на виконання
запитаної операції.
181
серверам віддаленого доступу,що стандартно реалізують протоколи РАР і
CHAP, витягти відкритий еталонний пароль для перевірки відповіді.
182
Розглянемо особливості централізованого контролю віддаленого доступу на
прикладі протоколу TACACS.
183
Клієнтами сервера TACACS є сервери віддаленого доступу, приймаючі запити
на доступ до ресурсів мережі від віддалених користувачів. У кожен такий
сервер вбудовано ПЗ, що реалізує стандартний протокол, за яким вони
взаємодіють з сервером TACACS. Цей протокол також називається TACACS.
184
Сервер TACACS на підставі наявних у нього даних перевіряє пароль і повертає
відповідь у вигляді пакету REPLY, де повідомляє про успіх чи неуспіх
аутентифікації. Відповідно до протоколу TACACS пароль передається між
сервером віддаленого доступу і сервером аутентифікації у відкритому вигляді.
Тому протокол TACACS необхідно застосовувати спільно з протоколом
аутентифікації по одноразових паролях, наприклад з протоколом S / Key.
185
стандартами, проте протокол RADIUS став більш популярний серед виробників
систем централізованого контролю віддаленого доступу. Це пов'язано з тим, що
засноване на ньому серверне ПЗ розповсюджується безкоштовно. Крім того,
протокол RADIUS менш складний у реалізації.
Прості засоби SSO включають кеш паролів Windows і кеш паролів, вбудований
в продукти, подібні Internet Explorer та інші пакети.
187
NOS-based SSO-сервіси дають можливість користувачеві входити в такі
мережеві ОС, як Windows, NetWare або Solaris, і таким чином отримувати
доступ до багатьох або до всіх програм, що працюють на базі NOS.
Продукти SSO рівня підприємства, такі як IBM's Global Sign-On і інші зазвичай
застосовують комбіновані підходи до sign-on, засновані на використанні
клієнтів і proxy, технології і стандарти кратної аутентифікації, включаючи
введення ID користувача і пароля.
188
1. Користувач пред'являє серверу аутентифікації пароль, використовуючи
спеціальне клієнтське ПЗ на своєму персональному комп'ютері.
Автоматизація процедури входу дозволяє отримати просту схему SSO, але при
цьому ще більше децентралізується адміністрування безпекою. Ряд
постачальників пропонує додаткові засоби централізованого адміністрування
безпеки. Ці засоби використовують агентів в цільових системах і забезпечують
засноване на ролях (role-based) централізоване адміністрування облікових
записів користувачів і інформації про їх повноваження. У деяких випадках ці
засоби адміністрування повністю відокремлені від схеми SSO; в інших -
інтегровані з SSO.
189
SSO-продукти рівня підприємства проектуються для великих компаній з
гетерогенною розподіленим комп'ютерним середовищем, що складається з
багатьох систем і додатків.
190
Осередок GSO містить, принаймні, сервер GSO і одну робочу станцію
користувача, звану також клієнтом GSO. У комірці GSO може бути більше
одного сервера GSO і безліч клієнтів.
191
полягає в тому, що тепер користувачеві не потрібно запам'ятовувати ці
ідентифікатори ID і паролі, оскільки турботу про них бере на себе GSO.
Протокол Kerberos
192
Kerberos забезпечує аутентифікацію у відкритих мережах, тобто при роботі
Kerberos мається на увазі, що зловмисники можуть проводити наступні дії:
193
Система Kerberos має структуру типу клієнт-сервер і складається з клієнтських
частин, встановлених на всіх робочих станціях користувачів і серверах мережі,
і сервера Kerberos, розташованого на якому-небудь (не обов'язково виділеному)
комп'ютері. Клієнтами можуть бути користувачі, а також незалежні програми,
що виконують такі дії, як завантаження файлів, відправка повідомлень, доступ
до БД, доступ до принтерів, отримання привілеїв у адміністратора тощо
Kerberos також створює сеансові ключі (session key), які видаються клієнту і
серверу (або двом клієнтам) і нікому більше. Сеансовий ключ використовується
для шифрування повідомлень, якими обмінюються дві сторони, і знищується
після закінчення сеансу.
195
В основу формування сертифікатів відкритих ключів покладено принципи
строгої аутентифікації, рекомендовані стандартом Х.509 , що базуються на
властивостях криптосистем з відкритим ключем.
• унікальний код;
197
• сертифікучий ЕЦП двох попередніх складових, обчислену на секретному
ключі СА.
• кожен користувач, який має доступ до відкритого ключа СА, може витягти
відкритий ключ, включений у сертифікат;
• жодна сторона, крім СА, не може змінити сертифікат так, щоб це не було
виявлено (сертифікати не можна підробити).
198
У PKI розрізняють чотири типи сертифікатів.
199
В ієрархічній моделі СА розташовані в ієрархічному підпорядкуванні
довіреному (кореневому) СА, що надає сертифікати іншим СА.
200
У моделі крос-сертифікації незалежні СА, що не знаходяться на одній гілці
ієрархії, взаємно сертифікують один одного в мережі СА. Крос-сертифікація є
предметом двосторонньої угоди між СА. Слід зазначити, що модель крос-
сертифікації є окремим випадком мережевої архітектури системи управління
сертифікатами.
201
• складність алгоритму пошуку і побудови ланцюжків сертифікатів для всіх
взаємодіючих сторін;
202
здійснюватися тільки за умови повної підтримки міжнародних стандартів, яким
задовольняє більшість сучасних PKI-систем (наприклад, Baltimore, Entrust,
Verisign).
203
Користувач - власник якого-небудь сертифікату (такий користувач підлягає
реєстрації) або будь-який користувач, запитувач сертифікату, що зберігається в
каталозі сертифікатів.
204
Бездротові мережі починають використовуватися практично в усьому світі. Це
обумовлено їх зручністю, гнучкістю і порівняно невисокою вартістю.
Бездротові технології повинні задовольняти ряду вимог до якості, швидкості,
радіусу прийому і захищеності, причому захищеність часто є найважливішим
фактором.
206
Блочне шифрування працює з блоками заздалегідь визначеної довжини, що не
змінюється в процесі шифрування. Вихідне повідомлення фрагментируется на
блоки, і функція ХOR обчислюється над ключовою послідовністю і кожним
блоком. Розмір блоку фіксований, а останній фрагмент вихідного повідомлення
доповнюється порожніми символами до довжини нормального блоку .
Наприклад, при блочному шифруванні з 16-байтовий блоками вихідне
повідомлення довжиною в 38 байтів фрагментується на два блоки довжиною по
16 байтів і 1 блок довжиною 6 байтів, який потім доповнюється 10 байтами
порожніх символів до довжини нормального блоку.
207
Для усунення зазначеної проблеми використовують:
209
Пасивні мережеві атаки
210
радіоканалу. Більш того, значення ICV (Integrity Check Value), передбачене
стандартом для контролю цілісності повідомлень, обчислюється за допомогою
функції CRC32 (32-bit Cyclical Redundancy Check, контроль за допомогою
циклічного 32-бітного надлишкового коду), яка піддається атакам з
маніпуляцією бітами. Таким чином, за відсутності механізмів контролю
цілісності повідомлень бездротові локальні мережі є вразливими до активних
атак: повторного використання вектора ініціалізації (IV Replay) і маніпуляції
бітами (Bit-Flipping).
211
1. Хакер створює кадр на один байт довше, ніж довжина вже відомої ключової
послідовності. Пакети ICMP (Internet Control Message Protocol, протокол
керуючих повідомлень мережі Інтернет), посилають командою ping, ідеальні
для цих цілей, бо точка радіодоступу змушена на них відповідати.
212
самий час значна частина службових полів всередині кадру залишається
незмінними.
213
8. Приймаюча сторона деінкапсулює вміст кадру і обробляє пакет
мережного рівня.
9. Оскільки маніпуляція бітами відбувалася на канальному рівні,
контрольна сума пакета мережного рівня виявляється невірною.
10. Стек протоколу мережного рівня на приймаючій стороні генерує
передбачуване повідомлення про помилку.
11. Хакер спостерігає за бездротовою локальною мережею в очікуванні
зашифрованого кадру з повідомленням про помилку.
12. Хакер захоплює кадр, що містить зашифроване повідомлення про
помилку і обчислює ключову послідовність, як це було описано раніше
для атаки з повторним використанням вектора ініціалізації.
Вектор ICV знаходиться в шифрованій частині кадру. За допомогою наступної
процедури хакер маніпулює бітами шифрованого вектора ICV і таким чином
забезпечує коректність самого вектора для нового, модифікованого кадру, як це
видно на рисунку
Протокол ТКІР
216
Перші 32 розряду IV (в даному випадку - перші 32 нуля) перемішуються з
WEP-ключем (наприклад, мають 128-розрядне значення) і MAC-адресою
передавача (мають 48-розрядне значення) для отримання значення ключа 1 - ї
фази (80 - розрядне значення).
218
Стандарт IEEE 802.11 мережі з традиційною безпекою
219
4. Точка радіодоступу посилає підтвердження аутентифікації
(Authentication Reply).
5. У разі успішної аутентифікації абонент посилає точці радіодоступу
кадр асоціації (Association Request).
6. Точка радіодоступу посилає у відповідь кадр підтвердження асоціації
(Association Response).
Абонент може тепер здійснювати обмін користувацьким трафіком з точкою
радіодоступу та дротовою мережею.
Відкрита аутентифікація
220
Відкрита аутентифікація, по суті, не є алгоритмом аутентифікації в звичному
розумінні. Точка радіодоступу задовольнить будь-який запит відкритої
аутентифікації. На перший погляд, використання цього алгоритму може здатися
безглуздим, однак слід враховувати, що розроблені в 1997 році методи
аутентифікації IEEE 802.11 орієнтовані на швидке логічне підключення до
бездротової локальної мережі.
221
Аутентифікація із спільним ключем
222
нешифровані Challenge Text, так і той же Challenge Text, але вже в
зашифрованому вигляді. Шифрування WEP проводиться шляхом виконання
побітової операції XOR над текстом повідомлення і ключовою послідовністю, в
результаті чого виходить зашифроване повідомлення (Cipher-Text). Важливо
розуміти, що виконання побітової операції XOR над зашифрованим
повідомленням і ключовою послідовністю дає в результаті текст вихідного
повідомлення. Таким чином, спостерігач може легко обчислити сегмент
ключової послідовності шляхом аналізу кадрів у процесі аутентифікації
абонента.
Аутентифікація за МАС-адресою
Специфікація WPA
224
забезпеченні, тобто мережу, повністю відповідна RSN, стане несумісною з
існуючим обладнанням WEP. На даний час підтрмується як обладнання RSN,
так і WEP (насправді WPA / TKIP було рішенням, спрямованим на збереження
інвестицій в обладнання), але надалі пристрої WEP будуть відмирати.
802.11i є придатним для різних мережних реалізацій і може задіювати TKIP, але
за замовчуванням RSN використовує AES (Advanced Encryption Standard) і
CCMP (Counter Mode CBC MAC Protocol) і, таким чином, є більш потужним
розширюваним рішенням.
802.11i є придатним для різних мережних реалізацій і може задіювати TKIP, але
за замовчуванням RSN використовує AES (Advanced Encryption Standard) і
CCMP (Counter Mode CBC MAC Protocol) і, таким чином, є більш потужним
розширюваним рішенням.
RSN визначає ієрархію ключів з обмеженим терміном дії, схожу з TKIP. У AES
/ CCMP, щоб вмістити всі ключі, потрібно 512 біт - менше, ніж у TKIP. В обох
випадках майстер-ключі використовуються не прямо, а для виведення інших
ключів. Адміністратор повинен забезпечити єдиний майстер-ключ.
225
Повідомлення складаються з 128-бітного блоку даних, зашифрованого
секретним ключем такої ж довжини (128 біт). Хоча процес шифрування
складний, адміністратор не повинен вникати в нюанси обчислень. Кінцевим
результатом є шифр, який набагато складніше, ніж WPA. 802.11 i (WPA2) - це
поки що найбільш стійке, розширюване і безпечне рішення, призначене в
першу чергу для великих підприємств.
226
IEEE 802.1x надає абонентові бездротової локальної мережі лише засоби
передачі атрибутів серверу аутентифікації і допускає використання різних
методів і алгоритмів аутентифікації. Завданням сервера аутентифікації є
підтримка необхідних політиці мережевої безпеки методів аутентифікації.
228
Після завершення аутентифікації сервер відправляє повідомлення RADIUS-
ACCEPT (прийняти) або RADIUS-REJECT (відхилити) аутентифікатору. При
отриманні повідомлення RADIUS-ACCEPT аутентіфікатор переводить порт
клієнта в стан "авторизований", і починається передача всього трафіку
абонента.
Генерація ключів
229
Завдяки цьому гарантується, що клієнт і точка доступу "збудують" MAC-адреси
однаковимчином
230
Парний майстер-ключ (PMK) і парний перехідний ключ (PTK) є одноадресними
за своєю природою. Вони тільки шифрують і дешифрують одноадресні кадри, і
призначені для єдиного користувача. Широкомовні кадри потребують окремої
ієрархії ключів, оскільки використання з цією метою одноадресних ключів
призведе до різкого зростання трафіка мережі.
231
Груповий майстер-ключ, текстовий рядок, MAC-адреса точки доступу і GNonce
(значення, яке береться з лічильника ключа точки доступу) об'єднуються і
обробляються за допомогою PRF, в результаті чого виходить 256-розрядний
груповий перехідний ключ (Group Transient Key, GTK) . GTK ділиться на 128-
розрядний ключ шифрування широкомовних / багатоадресних кадрів, 64-
розрядний ключ передачі MIC (transmit MIC key) і 64-розрядний ключ прийому
MIC (MIC receive key).
232
відповідного обладнання і програмного забезпечення для бездротової мережі
стає нетривіальним завданням.
234
аналогічні паразитуванню біологічного вірусу в живій природі. З тих пір
гострота проблеми вірусів багаторазово зросла - до кінця XX ст. в світі
налічувалося понад 14300 модифікацій вірусів.
• за середовищем існування;
• за операційною системою(ОС);
• за деструктивним можливостям.
• файлові;
• завантажувальні;
• макровіруси;
• мережеві.
236
черв'яки (поширюються по Internet), LAN-черв'яки (поширюються по локальній
мережі), IRC-черв'яки Internet Relay Chat (поширюються через чати). Існують
також змішані типи, які поєднують в собі відразу декілька технологій.
237
вразливим з боку антивірусного ПЗ, оскільки він не активний і не може
контролювати роботу ОС з метою самозахисту.
Деякі віруси на цій стадії використовують механізми захисту свого коду від
виявлення. Найбільш поширеним способом захисту є шифрування більшої
частини тіла вірусу. Його використання разом з механізмами мутації коду (про
це йдеться нижче) унеможливлює виділення сигнатур - стійких
характеристичних фрагментів коду вірусів.
2) пошук жертви;
239
При використанні стелс-алгоритмів віруси можуть повністю або частково
сховати себе в системі. Найбільш поширений стелс-алгоритм здійснює
перехоплення системних запитів з метою контролю дій ОС. Віруси, які
використовують стелс-алгоритми, називаються стелс-вірусами.
240
Резидентними можна вважати макровіруси, оскільки для більшості з них
виконуються основні вимоги - постійна присутність в пам'яті комп'ютера на
увесь час роботи зараженого редактора і перехоплення функцій,
використовуваних при роботі з документами. При цьому роль ОС бере на себе
редактор, а поняття «перезавантаження операційної системи» трактується як
вихід з редактора.
2. Пошук жертви. За способом пошуку жертви віруси можна розділити два два
класи.
241
За способом інфікування жертви віруси можна розділити на два класи.
242
Особливості зараження макровірусами. Процес зараження зводиться до
збереження вірусного макрокода у вибраному документі-жертві. Для деяких
систем обробки інформації це зробити не просто, оскільки формат файлів
документів може не передбачати можливість збереження макропрограми. Як
приклад наведемо Microsoft Word. Збереження макрокода для цієї системи
можливе тільки в файлах шаблонів (що мають за замовчуванням розширення.
DOT). Тому для свого збереження вірус повинен контролювати обробку
команди Save as з меню File, яка викликається щоразу, коли відбувається перше
збереження документа на диск. Цей контроль необхідний, щоб у момент
збереження змінити тип файлу-документа (що має за замовчуванням
розширення. DOC) на тип файлу-шаблона. У цьому випадку на диску
виявляться і макрокод вірусу, і вміст документа.
243
Небезпечні віруси - це віруси, які можуть привести до серйозних збоїв у роботі
комп'ютера. Наслідком збою може стати руйнування програм і даних.
245
результаті обміну зараженими файлами офісних документів, такими як файли
Microsoft Word, Excel, Access.
Електронна пошта
246
Якщо користувач спробує відкрити такий файл, буде запущена шкідлива
програма.
Троянські Web-сайти
Користувачі можуть «отримати» вірус або троянську програму під час простого
серфінгу сайтів Інтернету, відвідавши троянський Web-сайт. Помилки в
браузерах користувачів часто призводять до того, що активні компоненти
троянських Web-сайтів (елементи управління ActiveX або аплети Java)
впроваджують на комп'ютери користувачів шкідливі програми. Тут
використовується той же самий механізм, що і при отриманні повідомлень
електронної пошти у форматі HTML. Але зараження відбувається непомітно:
активні компоненти Web-сторінок можуть зовні ніяк себе не проявляти.
Запрошення відвідати троянський сайт користувач може отримати в
звичайному електронному листі.
Локальні мережі
248
• профілактичні заходи, що дозволяють зменшити ймовірність зараження
вірусами.
Загальні засоби захисту інформації корисні не тільки для захисту від вірусів.
Вони використовуються також як страховка від фізичного псування дисків,
неправильно працюючих програм або помилкових дій користувача. Існують два
основні різновиди цих засобів:
249
• зміна розмірів файлів;
Антивірусні програми
• евристичний аналіз;
• антивірусний моніторинг;
250
масок відомих вірусів. Антивірусні сканери здатні знайти тільки вже відомі
віруси, для яких визначена маска.
Якщо вірус не містить постійної маски або довжина цієї маски недостатньо
велика, то використовуються інші методи. Застосування простих сканерів не
захищає комп'ютер від проникнення нових вірусів. Для шифрованих і
поліморфних вірусів, здатних повністю змінювати свій код при зараженні нової
програми або завантажувального сектора, неможливо виділити маску, тому
антивірусні сканери їх не виявляють.
Метод виявлення змін. При реалізації цього методу антивірусні програми, звані
ревізорами диска, запам'ятовують попередньо характеристики всіх областей
диска, які можуть піддатися нападу, а потім періодично перевіряють їх.
Заражаючи комп'ютер, вірус змінює вміст жорсткого диска: наприклад, дописує
свій код у файл програми або документа, змінює завантажувальний сектор,
створює файл-супутник. При співставленні значень характеристик областей
диска антивірусна програма може виявити зміни, зроблені як відомим, так і
невідомим вірусом.
• програми-фаги (сканери);
• програми-ревізори (CRC-сканери);
• програми-блокувальники;
• програми-імунізатори.
252
Програми-фаги (сканери) використовують для виявлення вірусів метод
порівняння з еталоном, метод евристичного аналізу і деякі інші методи.
Програми-фаги здійснюють пошук характерної для конкретного вірусу маски
шляхом сканування в оперативній пам'яті й у файлах і при виявленні видають
відповідне повідомлення. Програми-фаги не тільки знаходять заражені
вірусами файли, але і «лікують» їх, тобто видаляють з файлу тіло програми-
вірусу, повертаючи файли в початковий стан. На початку роботи програми-
фаги сканують оперативну пам'ять, виявляють віруси і знищують їх і тільки
потім переходять до «лікування» файлів.
253
Програми-ревізори (CRC-сканери) використовують для пошуку вірусів метод
виявлення змін. Принцип роботи CRC-сканерів заснований на підрахунку CRC-
сум (кодів циклічного контролю) для присутніх на диску файлів / системних
секторів. Ці CRC-суми, а також деяка інша інформація (довжини файлів, дати їх
останньої модифікації тощо) потім зберігаються в БД антивіруса. При
подальшому запуску CRC-сканери звіряють дані, що містяться в БД, з реально
підрахованими значеннями. Якщо інформація про файл, записана в БД, не
збігається з реальними значеннями, то CRC-сканери сигналізують про те, що
файл був змінений або заражений вірусом. Як правило, порівняння станів
проводять відразу після завантаження ОС.
Імунізатори другого типу захищає систему від зараження вірусом певного виду.
Він модифікує програму або диск таким чином, щоб це не відбивалося на їх
роботі, вірус при цьому сприймає їх зараженими і тому не впроваджується.
Такий тип імунізації не може бути універсальним, оскільки не можна
імунізувати файли від всіх відомих вірусів. Однак в якості напівзаходу подібні
імунізатори можуть цілком надійно захистити комп'ютер від нового невідомого
вірусу аж до того моменту, коли він буде визначатися антивірусними
сканерами.
255
• якість виявлення вірусів всіх поширених типів, сканування всередині файлів-
документів/таблиць (MS Word, Excel, Office), упакованих та файлів, що
архівуються; можливість лікування заражених об'єктів;
256
Своєчасне виявлення заражених вірусами файлів і дисків, повне знищення
виявлених вірусів на кожному комп'ютері дозволяють уникнути поширення
вірусної епідемії на інші комп'ютери. Абсолютно надійних програм, що
гарантують виявлення і знищення будь-якого вірусу, не існує. Важливим
методом боротьби з комп'ютерними вірусами є своєчасна профілактика. Щоб
істотно зменшити ймовірність зараження вірусом і забезпечити надійне
зберігання інформації на дисках, необхідно виконувати наступні заходи
профілактики:
• антивірус Dr.Web;
• антивірус AVG
258
4. Рівень мережі, що відповідає за взаємодію вузлів ІС. Прикладом елементів
ІС, що працюють на цьому рівні, можна назвати стеки протоколів TCP / IP, IPS
/ SPX і SMB / NetBIOS.
259
процесі здійснення. Більш ефективним було б випередження атак, тобто
запобігання самих передумов реалізації вторгнення. Комплексна система
забезпечення інформаційної безпеки повинна ефективно працювати на всіх
трьох етапах здійснення атаки.
260
• технології управління ризиками (risk management). Оцінка ризику полягає у
виявленні та ранжуванні вразливостей (за ступенем серйозності шкоди
потенційних впливів), підсистем мережі (за ступенем критичності), загроз
(виходячи з вірогідності їх реалізації). Оскільки конфігурація мережі постійно
змінюється, то й процес оцінки ризику повинен проводитися постійно. З оцінки
ризиків має починатися побудова системи захисту КІС.
• слабкі паролі;
261
журналів реєстрації ОС і додатків або мережевого трафіку в реальному часі.
Компоненти виявлення атак, розміщені на вузлах або сегментах мережі,
оцінюють різні події і дії, в тому числі і дії, що використовують відомі
уразливості.
262
Модель адаптивної безпеки мережі дозволяє також зменшити зловживання в
мережі, підвищити обізнаність користувачів, адміністраторів і керівництва
компанії про події безпеки в мережі. Слід зазначити, що ця модель не відкидає
вже використовувані механізми захисту (розмежування доступу,
аутентифікація Вона розширює їх функціональність за рахунок нових
технологій.
265
В даний час відомо більше десятка різних засобів, що автоматизують пошук
вразливостей мережевих протоколів і сервісів. Серед комерційних систем
аналізу захищеності можна назвати Internet Scanner компанії Internet Security
Systems, Inc., NetSonar компанії Cisco, CyberCop Scannerкомпаніі Network
Associates і ряд інших.
266
• права користувачів на доступ до критичних системних файлів;
267
Ефективність системи виявлення атак залежить від застосовуваних методів
аналізу отриманої інформації. У перших системах виявлення атак, розроблених
на початку 1980-х рр.., використовувалися статистичні методи виявлення атак.
В даний час до статистичного аналізу додався ряд нових методик, починаючи з
експертних систем і нечіткої логіки і закінчуючи використанням нейронних
мереж.
269
Використання нейронних мереж є одним із способів подолання зазначених
проблем експертних систем. На відміну від експертних систем, які можуть дати
користувачеві певну відповідь про відповідність розглянутих характеристик
закладеним у БД правилами, нейронна мережа проводить аналіз інформації та
надає можливість оцінити, чи узгоджуються дані з характеристиками, які вона
навчена розпізнавати. У той час як ступінь відповідності нейромережевого
подання може досягати 100%, достовірність вибору повністю залежить від
якості системи в аналізі прикладів поставленого завдання.
Кожен з описаних методів має ряд переваг і недоліків, тому зараз практично
важко зустріти систему, що реалізовує тільки один з описаних методів. Як
правило, ці методи використовуються в сукупності.
• за способом реагування;
270
• за способом виявлення атаки;
271
• пропуск атаки, яка не підпадає під визначення аномальної поведінки. Цей
випадок більш небезпечний, ніж помилкове віднесення аномального поведінки
до класу атак.
272
реальному або близькому до реального часу і використанні відповідних
алгоритмів виявлення.
Кожен з цих типів систем виявлення атак (на рівні мережі, на рівні хоста і на
рівні додатку) має свої переваги і недоліки. Гібридні IDS, що представляють
собою комбінацію різних типів систем, як правило, включають в себе
можливості декількох категорій.
273
Підсистема виявлення атак - основний модуль системи виявлення атак. Вона
здійснює аналіз інформації, одержуваної від модуля стеження. За результатами
цього аналізу дана підсистема може ідентифікувати атаки, приймати рішення
щодо варіантів реагування, зберігати відомості про атаку в сховище даних.
274
Системи виявлення атак будуються на основі двох архітектур: «автономний
агент» і «агент-менеджер». У першому випадку на кожен вузол або сегмент
мережі встановлюються агенти системи, які не можуть обмінюватися
інформацією між собою, а також не можуть управлятися централізовано з
єдиної консолі. Цих недоліків позбавлена архітектура «агент-менеджер». У
цьому випадку в розподіленої системі виявлення атак dIDS (distributed IDS), що
складається з багатьох IDS, розташованих у різних ділянках великої мережі,
сервери збору даних і центральний аналізуючий сервер здійснюють
централізований збір і аналіз реєстрованих даних. Управління модулями dIDS
здійснюється з центральної консолі управління. Для великих організацій, в яких
філії рознесені по різних територіях і навіть містам, використання такої
архітектури має принципове значення.
• IP-адресою атакуючого;
• портом одержувача;
• номером агента;
• дату, час;
• протоколом;
• типом атаки.
Методи реагування
• повідомлення;
• збереження;
• активне реагування.
276
Повідомлення. Найпростішим і широко поширеним методом повідомлення є
відправлення адміністратору безпеки повідомлень про атаку на консоль
системи виявлення атак. Така консоль може бути встановлена не у кожного
співробітника, що відповідає в організації за безпеку, крім того, цих
співробітників можуть цікавити не всі події безпеки, тому необхідно
застосування інших механізмів повідомлення. Цими механізмами можуть бути
виліт повідомлень по електронній пошті, SMS, факсом або телефоном.
278