Протокол – это набор правил обмена информацией между сетевыми драйверами одного уровня иерархии.
Промышленный стандарт компании Sun Microsystems.
Лицензия: free (открытый), спецификация (описание) может использоваться всеми разработчками защиты без ограничений
Назначение: для безопасной передачи данных в любой крупномасштабной сети с большим количеством пользователей
Режим работы:
Простая пересылка данных
Аутентификация
Пересылки данных с аутентификацией пользователей
Принцип работы: сочетание алгоритмы Диффи-Хелмана шифрования исходного IP-адреса с инкапсуляцией в пересылаемый IP-пакет.
Инкапсуляция – встраивание одного объекта в другой, причем встроенный объект становится скрытым для среды внешней по отношению объектов, которые не входят в объект владения.
/* тут будет картинка со схемой */
Условные обозначения:
A, B – пользователи
ЦРК – центр распределения ключей
SKIP – SKIP-устройства
N, g – открытые параметры алгоритма Диффи-Хелмана
ki, kj – секретные ключи узлов
Ki, Kj –открытые ключи узлов
К числу служб Internet относятся:
SMTP – простой протокол передачи электронной почты;
Sendmail – программа электронной почты;
DNS – служба сетевых имен (является очень уязвимой);
Telnet – служба эмуляции удаленного терминала;
Эмуляция – процесс создания программным способом функционального эквивалента реального устройства
WWW – всемирная паутина;
FTP – протокол передачи файлов FTP;
X Windows – графическая оконная система.
Идеальный межсетевой экран должен выполнять следующие функции:
Блокировка внешних атак, включая сканирование портов, подмену IP-адресов, DoS и DDoS (атак «отказ в обслуживании»), подбор паролей и т.д.
Блокировка утечки информации даже при проникновении вредоносного кода в компьютер посредством блокирования выхода кода в сеть
Модель OSI (модель открытых систем) претендует на статус всеобъемлющего стандарта. Имеет 7 модулей.
Фильтрация трафика — это дискриминация пакетов на проходящие/не проходящие (допустимые/недопустимые) на основе следующих признаков:
IP адрес отправителя
IP адрес получателя
Порт отправителя
Порт получателя
При своих положительных качествах (малая стоимость, гибкость построения правил фильтрации, минимальная задержка прохождения пакетов) фильтрующие маршрутизаторы имеют ряд недостатков:
Внутренняя сеть видна (маршрутизируется) из сети Интернет;
Правила фильтрации трудны в описании и требуют очень хороших знаний технологий TCP и UDP;
При нарушении работоспособности межсетевого экрана с фильтрацией пакетов все компьютеры за ним становятся полностью незащищенным либо недоступными;
Отсутствует аутентификация на пользовательском уровне;
Не защищают от атак типа подмена IP-адреса и не проверяют содержимое пакетов.
Схема защиты информации на основе межсетевых экранов
Можно предположить следующие принципы защиты информации в корпоративных сетях.
Введение N категорий секретности и создание соответственно N выделенных сетевых сегментов пользователей. При этом каждый пользователь внутри сетевого сегмента имеет одинаковый уровень секретности (допущен к информации одного уровня секретности)
Двухпортовый шлюз – межсетевой экран на уровне приложений. Физически это компьютер с постоянным IP-адресом, имеющий два порта для подключения сетей через сетевые интерфейсы. Программное обеспечение его состоит из достаточно сложного фильтра трафика и множества приложений, обеспечивающих информационные сервисы. В принципе на двухпортовом шлюзе можно установить и сервер аутентификации.
Дополнительную защиту создает фильтрующий маршрутизатор. Между маршрутизатором и двухпортовым шлюзом образовалась частичная экранированная подсеть. U FUCKING ASSHOOOOLE.
Недостаток этой схемы — это сравнительно слабая защита коммуникационной подсети предприятия.
По существу, это получится коммутация линий и может собираться не одномоментно, т.е. собирается одна часть канала связи, пропускаются пакеты по нему, потом собирается вторая часть и т.д. Т.е. это сеть по существу сеть с коммутацией пакетов.
В заключение следует отметить недостатки межсетевых экранов:
Большое количество остающихся уязвимых мест в виде «черных входов (люков)» в сети;
Неудовлетворительная защита от атак сотрудников компании
Ограничение в доступе к нужным сервисам, в частности к Telnet и FTP;
Концентрация средств обеспечения безопасности в одном месте;
Ограничение пропускной способности.
Таким образом, можно сделать вывод, что даже самые изощрённые межсетевые экраны не решают всех проблем безопасности сети.
Одни из способов является система UNIX-паролей. В настоящее время она считается устаревшей вследствие возможности перехвата паролей посредством прослеживания трафика.
Суть прокси-технологии – замена в исходящем трафике IP-адреса юзера на IP-адрес прокси сервера
Электронные платежи осуществляются на основе следующих принципов:
Соблюдение конфиденциальности;
Обеспечение неизменяемости информации о покупке;
Обязательность аутентификации;
Доступность средств оплаты для покупателя;
Возможность одобрения транзакции платежной системой и банком или возможность отказа от нее в случае отсутствия средств на счете покупателя (авторизация);
Гарантия риска продавцов посредством согласования величины риска с провайдером платежной системы и другими сторонами, участвующими в торговых цепочках на основании специальных соглашений;
Минимизация платы за транзакцию.
Современные электронные платежи являются электронными версиями существующих традиционных платежей.
Электронные платёжные системы бывают двух видов:
Кредитные;
Дебетовые.
В произведении платежей через Интернет участвуют:
Покупатель, имеющий компьютер с установленным на нем web-браузером
Банк-эмитент, который выпускает кредитные карточки, обслуживает соотвествующий счет покупателя и гарантирует выполнение клиентом финансовых обязательств
Магазины
Банк-эквайеры, обслуживающие магазины
Компонент-посредники
Процессинговый центр
Расчетный банк платежной системы, осуществляющий взаиморасчеты между участниками системы по поручению процессингового центра
Проведение платежей выполняется в несколько этапов:
Формирование корзины покупателя и выбор карточки в качестве средства оплаты
Передача параметров кредитной карточки компонентам-посредникам покупателем (2а) или магазином (2б).
Передача запроса на авторизацию традиционной платежной системе (комплексу финансовых и технологических средств), размещенной в процессинговом центре.
Запрос авторизации к базе данных БДС счетов покупателей, которая ведется процессинговым центром или банком-эмитентом, и возврат результата авторизации процессинговому центру.
Передача результата авторизации компонентом-посредникам.
Возврат результатом авторизации покупателю, он может осуществляться напрямую (6а) или через магазин (6б).
Если платеж правомочен, то процессинговый центр дает добро.
Расчетный банк передает указание произвести платеж банку-эмитенту и банку-эквайеру.
Банк-эмитент пересылает средства банку-эквайеру.
Средства поступают на счет магазина.
Отгрузка и доставка товара покупателю.
Начисление денег на свой счет
Получение чека от магазина и оплата его электронным чеком или деньгами
Банк-эмитент переводит средства на счет получателя
Наличные средства поступают получателю посредством внешнего платежа
Основные проблемы безопасности данных платежей:
Защита персональных данных клиента этого платежа (защита брандмауэром и хранение личных данных в зашифрованном виде)
Защита платежей от разного рода атак
Обеспечение секретности на предприятии
Введение конфиденциальных документов и конфиденциальных хранилищ документов
По сути является разграничением доступа к бумажным и электронным документам
секретные документы хранятся отдельно от документов общего доступа, выдаются только по допуску (и отметкой в журнале)
Установление режима работы и правила распорядка
Мероприятия по защите периметра организации
Защита окон, дверей, въездов (механическими дверями, системами сигнализации и видеонаблюдения)
Технические средства защиты от утечки информации
Средства обнаружения разного рода закладок (непредусмотренная комплектацией оборудование / средство получения информации и ее передача)
1) Визуальный осмотр оборудования
2) Сканеры диапазона радиоволн
Средства предотвращения утечки информации по цепям питания и заземления (защита в этом случае осуществляется специальными установщиками активных помех)
Принципы работы систем сигнализации
Датчики – средства обнаружения несанкционированных действий
Блок обработки сигнала (может быть многоканальным, но чаще всего делается переключаемым) – первичная функция данного устройства это опрос датчиков (ведется с высокой скоростью), вторичной же функцией является приведение аналоговой информации к дискретной форме. Далее сравнивается с некоторым эталоном, который несет информацию о нормальном состоянии системы. И все несоответствующие сигналы отправляются в блок представления сигналов.
Блок представления сигналов
Блок оповещения о нарушении
/* если я не поленюсь, то тут будет схема */
Информация передаваемая сигналами, у которых хотя бы один параметр зависит от передаваемой информации называется аналоговой информацией.
Аналоговые датчики разбиваются на оптические, электромагнитные, пьезоэлектрические, ультразвуковые, термоэлектрические, емкостные (антенные).
Дискретная информация представляется импульсами, параметры которых никак не связаны с информацией и важен сам факт наличия или отсутствия импульсов, а также его место в комбинации импульсов.
Дискретные датчики разбиваются на контактные (механические и герконовые) , бесконтактные.
Существуют следующие пути защиты от несанкционированного доступа:
Запуск программ от имени администратора
HACK-ключи, оформленные в виде флешек
Создание контрольной дискеты, выполняющей роль HACK-ключа у которой портится часть дискового пространства.
Активация программного средства дистанционно.
Серия КРИПТОН
Программно-технические комплексы
Устройства криптографической защиты данных
Устройства ограничения доступа к компьютеру
Шифраторы дисков
Средства разделения доступа
Программные средства
Электронные устройства
В её состав входят средства защиты информации от несанкционированного доступа и сопроцессоры безопасности Аккорд-СБ.
В число средств защиты информации от несанкционированного доступа входят: аппаратный модуль доверенной загрузки Аккорд АМД3, средства защиты Аккорд-NT и Аккорд-1,95, комплекс защиты от несанкционированного доступа Шипка и автоматизированное рабочее место администратора системы безопасности.
Пути проникновения
Физическое вторжение – в системный блок ПК
Системное вторжение -
Удалённое вторжение – вторжение через сеть Интернет
Системы обнаружения атак на сетевом уровне
контролируют пакеты в сетевом окружении и обнаруживают попытки злоумышленника проникнуть внутрь защищенной системы (или реализовать атаку типа «отказ в обслуживании»)
Системы контроля целостности
проверяют системные файлы для того, чтобы определить, когда злоумышленник внес в них изменения. Наиболее известной на таких системах является «Trioware»
Мониторы регистрационных файлов (Log File monitors, LFM)
Контролируют регистрационные файлы, создаваемые сетевым сервисом.
Причины проникновения нарушителей внутрь системы
Ошибки ПО
Переполнение буфера
Неожиданные комбинации
Необрабатываемые входные данные
Состязание процессов
Конфигурация системы
2.1) Конфигурирование по умолчанию
2.2) Ленивые администраторы
2.3) Создание дыры
2.4) Доверенные связи
Взлом и получение пароля
3.1) Слабые пароли
3.2) Атака по словарю
3.3) Подбор пароля
3.4) Перехват открытого и зашифрованного текста
3.5) Повторное использование
3.6) Кража файлов с паролями
3.7) Наблюдение и социальная инженерия
Перехват защищенного трафика
Существует 2 типовых сценария –
Сценарий разведка: Внешняя разведка -> Внутренняя разведка -> Exploit -> Скрытие следов -> Получение прибыли
Сценарий с поиском слабости: Поиск конкретной слабости -> Exploit -> Скрытие следов -> Получение прибыли
Способы атаки:
CGI-скрипты являются незащищенными «по умолчанию». Сильно подвержены атакам.
Атаки на WEB-сервер.
Атаки на WEB-браузер. Слабостями являются: URL-поля, заголовки HTTP, HTML-теги
SMTP атаки. Атаки на почтовые протоколы
Доступ
Неудачные попытки регистрации, неудачные попытки доступа к файлам, взлом паролей, злоупотребление административными привилегиями.
Применение протокола IMAP вместо протокола SMTP
Атаки на DNS