Програмні засоби захисту інформації

Убудовані засоби захисту інформації в мережних ОС доступні, але не завжди, як уже відзначалося, можуть цілком вирішити виникаючі на практиці проблеми. Наприклад, мережні ОС NetWare 3.x, 4.x дозволяють здійснити надійний «ешелонований» захист даних від апаратних збоїв і ушкоджень. Система SFT (System Fault Tolerance - система стійкості до відмовлень) фірми Novell передбачає три основних рівні.

SFT Level I. Перший рівень передбачає, зокрема, створення додаткових копій FAT і Directory Entries Tables, негайну верифікацію кожного знову записаного на файловий сервер блоку даних, а також резервування на кожнім твердому диску близько 2% від обсягу диска. При виявленні збою дані перенаправляються в зарезервовану область диску, а збійний блок позначається як «поганий» і надалі не використовується.

SFT Level II містить додаткові можливості створення «дзеркальних» дисків, а також дублювання дискових контролерів, джерел живлення і інтерфейсних кабелів.

SFT Level III дозволяє використовувати в локальній мережі дубльовані сервери, один із яких є «головним», а другий утримує копію всієї інформації і вступає в роботу у випадку виходу «головного» сервера з ладу.

Система контролю й обмеження прав доступу в мережах NetWare (захист від несанкціонованого доступу) також містить кілька рівнів:

·

- 86 - - 87 -

рівень початкового доступу (включає ім'я і пароль користувача, систему облікових обмежень типу явного дозволу або заборони роботи, припустимого часу роботи в мережі, місця на твердому диску, займаного особистими файлами даного користувача, і т.д.);

· рівень прав користувачів («персональні» обмеження на виконання окремих операцій і/або обмеження на роботу даного користувача як члена визначеного підрозділу, в окремих частинах файлової системи мережі);

· рівень атрибутів каталогів і файлів (обмеження на виконання окремих операцій типу видалення, редагування або створення, що йдуть з боку файлової системи і всіх користувачів, що намагаються працювати з даними каталогами або файлами);

· рівень консолі файлу-сервера (блокування клавіатури файлу-сервера на час відсутності мережного адміністратора до введення їм спеціального пароля).

Однак покладатися на цю частину системи захисту інформації в ОС NetWare можна не завжди. Свідченням тому є численні інструкції в Internet і готові доступні програми, що дозволяють зламати ті або інші елементи захисту від несанкціонованого доступу. Те ж зауваження справедливе стосовно інших потужних мережних ОС з убудованими засобами захисту інформації (Windows NT, UNIX).

Справа в тому, що захист інформації - це тільки частина з численних задач, розв'язуваних мережними ОС. «Випинання» однієї з функцій на шкоду іншим (при зрозумілих розумних обмеженнях на обсяг, займаний даною ОС на твердому диску) не може бути магістральним напрямком розвитку таких програмних продуктів загального призначення, яким є мережні ОС.

У той же час у зв'язку з гостротою проблеми захисту інформації спостерігається тенденція інтеграції (убудовування) окремих засобів, що добре зарекомендували себе, і стандартних засобів у мережні ОС або розробка власних «фірмових» аналогів відомих програм захисту інформації. Так, у мережній ОС NetWare 4.1 передбачена можливість кодування даних за принципом «відкритого ключа» (алгоритм RSA) з формуванням електронного підпису для переданих по мережі пакетів.

Спеціалізовані програмні засоби захисту інформації від несанкціонованого доступу мають у цілому кращі можливості і характеристики, ніж убудовані засоби мережних ОС. Крім програм шифрування, існує багато інших доступних зовнішніх засобів захисту інформації. З найчастіше згадуваних слід зазначити наступні дві системи, що дозволяють обмежити інформаційні потоки.

Firewalls - брандмауери (дослівно firewall — вогненна стіна). Між локальною і глобальною мережами створюються спеціальні проміжні сервери, що інспектують і фільтрують весь минаючий через них трафік мережно-го/транспортного рівнів. Це дозволяє різко знизити погрозу несанкціонованого доступу ззовні в корпоративні мережі, але не усуває цю небезпеку зовсім. Більш захищений різновид методу - це спосіб маскараду (masquerading), коли весь вихідний з локальної мережі трафік посилається від імені firewall-сервера, роблячи локальну мережу практично невидимою.

Proxy-servers (proxy - доручення, довірена особа). Весь трафік мережного/транспортного рівнів між локальною і глобальною мережами забороняється цілком — попросту відсутня маршрутизація як така, а звертання з локальної мережі в глобальну відбуваються через спеціальні сервери-посередники. Очевидно, що при цьому методі звертання з глобальної мережі в локальну стають неможливими в принципі. Очевидно також, що цей метод не дає достатнього захисту проти атак на більш високих рівнях - наприклад, на рівні додатка (віруси, код Java і JavaScript).

КОНТРОЛЬНІ ЗАПИТАННЯ

1. В чому полягають складності захисту інформації в мережах?
2. Що розуміють під криптографією?
3. Які алгоритми шифрування відносять до класичних?
4. Чим визначаються показники стійкості до дешифрування інформації?
5. На чому засновано гамування інформації?
6. Назвіть дві групи стандартних методів шифрування.
7. Які характеристика має стандарт шифрування DES?
8. Як організований алгоритм шифрування PGP?
9. Для чого використовуються технології LDAP?
10. Які рівні захисту забезпечує система SFT?
11. В яких випадках використовують алгоритм RSA та чим він характерний?
12. Що таке Firewall та яких типів він буває?
13. Що розуміють під Proxy-сервером?

- 88 - - 89 -

Самостійна робота №13

ТЕМА: Сервіси, протоколи та адресація ресурсів Internet

Сервіси (служби) Інтернет

Під час пересилання інфор­мації у мережі один комп'ютер робить запит (комп'ютер-клієнт), а інший - надає відповідь (комп'ютер-сервер). Такі комп'ютери відрізняються між собою, зокрема, встановленим програмним забезпеченням. Програми, які здійснюють запит, називають клієнтами, а які опрацьовують запит і надають від­повідь - серверами. Між цими програмами має бути однознач­на відповідність, вони повинні розуміти одна одну. Пара програм - для клієнта та сервера - утворюють службуІнтернет.

Існують універсальні та спеціалізовані служби Інтернет. Спеціалізовані служби доступні вузькому колу користувачів і спеціалістів. Універсальні служби може використовувати кож­ний. Основне програмне забезпечення для роботи з універ­сальними службами входить до комплекту операційних сис­тем. До основних служб належать:

• WWW або WEB-служба;

• електронна пошта (e-mail);

• служба новин UseNet ;

• служба пересилання файлів між комп'ютерами FTP;

• служба Gopher;

• служба Telnet;

• служба WAP.

Служба WWW (World Wide Web або WEB-служба) вва­жається найбільш популярною. Це система відображення та обміну інформацією. Вона надає доступ майже до всіх видів ресурсів мережі. В основі WWW лежить концепція опрацю­вання гіпертексту, яку ми розглядатимемо пізніше.

Електронна пошта (e-mail) дає змогу користувачам обмінюватись листами-повідомленнями. Одночасно з тексто­вими повідомленнями можна передавати файли в різних форматах: графіку, звук тощо.

Службу UseNet називають службою новин або телекон­ференцією. Принципи роботи служби новин схожі до роботи електронної пошти, однак у UseNet повідомлення направляються не конкретній людині, а так, щоб їх міг отримати кож­ний, хто виконає підписку на ті чи інші новини.

Служба FTP призначена для пересилання файлів між комп'ютерами. Ця служба дає змогу швидко та якісно пере­силати файли великих розмірів, зокрема, програми, звукові та відеофайли та ін.

Служба Gopher дає змогу шукати, отримувати та відоб­ражати потрібну інформацію у текстовому форматі. Це давня служба і сьогодні вона майже не розвивається.

Службу Telnet використовують для віддаленого доступу до ресурсів інших комп'ютерів.

Останнім часом популярними стали нові служби Інтер-нет: інтерактивний чат, аудіо- і відеоконференції, де користу­вачі можуть спілкуватися в режимі реального часу тощо.

Протоколи Інтернет

Сукупність правил взаємодії клієнта та серверу, називають протоколом. Звичайному ко­ристувачеві не обов'язково знати його зміст, але варто орієнтуватись, який протокол використовує та чи інша служба. Розглянемо основні протоколи мережі Інтернет.

На початку 70-х років розроблено спеціальний протокол міжмережної взаємодії, який назвали протоколом TCP/IP {Transfer Control Protocol/Internet Protocol).

TCP {Transfer Control Protocol) - протокол управління пересиланням даних. Він визначає правила розбиття інформації на пакети певного розміру та формату, їх доставки до адресата певними маршрутами й об'єднання пакетів в єдине ціле.

IP {Internet Protocol) - протокол міжмережної взаємодії. Він дає можливість коректно пересилати інформацію між комп'ютерами, які мають різну архітектуру та різні операцій­ні системи.

HTTP {HyperText Transfer Protocol) - протокол служби WWW. Це протокол пересилання і відображення гіпертексту, тобто web-сторінок. Він дає змогу за допомогою спеціальних програм - броузерів - отримувати і переглядати web-сторінки.

Протоколи електронної пошти: SMTP, РОРЗ та IМАР.

SMTP {Simple Mail Transfer Protocol) - простий прото­кол пересилання повідомлень. Він дає змогу пересилати пош­тові повідомлення від комп'ютера користувача на сервер.

РОРЗ та IМАР дають змогу користувачеві забирати або

читати повідомлення з поштового серверу. РОРЗ {Post Office Protocol) - протокол поштового відділення, IМАР {Internet Mail Access Protocol) - протокол доступу до електронної пош­ти, їхні принципи роботи мало чим відрізняються, і зазвичай немає різниці, який протокол використовувати.

FTP {File Transfer Protocol) - протокол пересилання файлів. Він дає змогу пересилати файли будь-яких форматів із FTP-серверу на комп'ютер користувача або навпаки.

З розвитком мобільного зв'язку значно зросла роль елект­ронних повідомлень. Протокол WAP надає доступ до сервісів Інтернет користувачам мобільних телефонів, пейджерів, елект­ронних органайзерів, що використовують різні стандарти зв'язку.

- 90 - - 91 -