Возможности сети Internet для построения корпоративных сетей
КОНСПЕКТ ЛЕКЦИЙ
по дисциплине
«Теоретические основы компьютерной безопасности»
Тема лекции №1. Введение в дисциплину. Организация информационного обмена в компьютерных системах (сетях).
Учебные вопросы:
1. Актуальность проблем обеспечения информационной безопасности (ИБ). Структура информационных ресурсов.
2. Глобальные информационные сети. Правовые аспекты информационного обмена в сети Internet.
3. Обеспечение совместимости в компьютерных сетях. Протоколы совместимости.
Вопрос №1.
По мере возрастания ценности информации, развития и усложнения средств её обработки безопасность общества всё в большей степени зависит от безопасности используемых информационных технологий. Факты свидетельствуют о том, что способы злоупотребления информацией, циркулирующей в системах, совершенствуются не менее интенсивно, нежели меры защиты от них.
Объекты компьютерных преступлений (слайды):
- информационные ресурсы;
- персональные компьютеры;
- программное обеспечение;
- телекоммуникационное оборудование;
- линии связи.
Руководство предприятия (цели) |
Объект управления |
Информационная система |
угрозы |
угрозы |
Рис. 1.1. ИС как объект воздействия злоумышленников.
На информационную безопасность РФ значительное влияние оказали происходящие в последние годы преобразования. Возникли новые факторы, которые необходимо учитывать при оценке состояния информационной безопасности и определении ключевых проблем в этой области. Всю совокупность факторов можно разделить на политические, экономические и организационно-технические.
Факторы, обуславливающие решение проблем обеспечения ИБ представлены на слайде.
Цели и задачи изучения данной дисциплины определены в программе ипредполагают ознакомление и закрепление базовых положений по защите информации в процессе её передачи, обработки и хранения на всех этапах функционирования компьютерных систем объектов информатизации; формирование у студентов научного мировоззрения и развитие системного мышления; обучение студентов принципам и методам защиты информации, комплексного проектирования, построения, обслуживания и анализа защищённых автоматизированных систем (АС).
Дисциплина относится к вариативной части профессионального цикла основной образовательной программы подготовки специалистов по специальности 090303 «Информационная безопасность автоматизированных систем».
Информационная безопасность в современных условиях становится важнейшим элементом национальной безопасности государства и рассматривается в качестве одной из приоритетных задач (слайды).
Понятие компьютерной безопасности является видовым по отношению к более широкому (родовому) понятию "информационная безопасность", под которой понимается состояние защищенности информационной сферы (предприятия, организации, общества, государства) от внутренних и внешних угроз.
Методологический анализ родового понятия "информационная безопасность" показывает, что ключевыми является следующие аспекты – информационная сфера (объект), угрозы (внутренние и внешние) и состояние защищенности (предмет объекта).
В этой логике сфера понятия "компьютерная безопасность" (слайды) сужается до объекта, именуемого "компьютерной системой", под которой будем понимать человеко-машинную систему,представляющую совокупность электронно-программируемых технических средств обработки, хранения и представления данных, программного обеспечения (ПО), реализующего информационные технологии осуществления каких-либо функций, и информации (данных).
Состав компьютерной системы:
1. Средства вычислительной техники;
2. Программное обеспечение;
3. Каналы связи;
4. Информация на различных носителях;
5. Персонал и пользователи системы.
В развитии этой логики, под компьютерной безопасностьюпонимается состояние защищенности (безопасность) информации (данных) в компьютерных системах и безотказность (надежность) функционирования компьютерных систем.
В результате составляющими компьютерной безопасностивыступают:
1. Безопасность информации (данных), накапливаемых, обрабатываемых в компьютерной системе (КС);
2. Безопасность (безотказность, надежность) функций КС.
Содержательный анализ самого понятия "информация" (сведения, сообщения, данные) независимо от формы их представления), особенностей процессов и технологий ее сбора, обработки, хранения, представления и выдачи показывает, что безотносительно к функционально-содержательной стороне работы с информацией (данными) понятие "безопасность информации" включает три составляющих:
- обеспечение конфиденциальности;
- обеспечение целостности;
- обеспечение доступности.
В практической деятельности ИБ рассматривается как единство трех основополагающих свойств защищаемой информации (слайд):
конфиденциальность – когда доступ открыт только легальным пользователям;
целостность – обеспечивающая защиту информации, которая может быть изменена только законными пользователями и внутреннюю непротиворечивость;
доступность – гарантирующая беспрепятственный доступ к защищаемой информации для законных пользователей.
На основе анализа теоретических и практических аспектов обеспечения компьютерной безопасности можно выделить ряд общих принципов (слайд)создания и эксплуатации защищённых компьютерных систем (в которых обеспечивается безопасность информации):
· разумной достаточности;
· целенаправленности;
· системности;
· комплексности;
· непрерывности;
· управляемости;
· сочетания унификации и оригинальности.
Организационно-технологический и человеко-машинный характер природы КС определяют обширный набор методов и механизмов обеспечения информационной безопасности (слайд).
В первую очередь, можно выделить ряд методов и механизмов, непосредственно обеспечивающих конфиденциальность, целостность и доступность данных, такие как разграничение доступа к данным, контроль и управление информационной структурой данных, контроль и обеспечение ограничений целостности данных, механизмы криптографического скрытия данных (шифрования), механизмы ЭЦП, обеспечивающие целостность данных в процессах их передачи и хранения, а также механизмы контроля и удаления остаточной информации на носителях данных после завершения их обработки и в освобождаемых областях оперативной памяти.
Также важнейшее значение для обеспечения компьютерной безопасности имеют методы и механизмы общесистемного характера, которые можно разделить на общеархитектурные и инфраструктурные с точки зрения программно-технической структуры современных КС.
Основополагающими среди общеархитектурных являются механизмы идентификации и аутентификации, обеспечивающие исходный и обязательный рубеж безопасности в КС, методы и механизмы управления памятью, изоляции процессов и управления транзакциями в клиент-серверных системах.
Не менее важное значение имеют методы и механизмы инфраструктурного характера, в особенности для обеспечения информационной безопасности в распределенных КС – контроль и управление программно-технической конфигурацией КС, управление сеансами работы пользователей, управление доступом пользователей с рабочих станций КС, управление (контроль) сетевыми соединениямив КС, управление инфраструктурой сертификатов криптоключей,обеспечивающих механизмы шифрования данных и электронно-цифровой подписи.
Обязательными для обеспечения информационной безопасности КС, находящими отражение в стандартах защищённости, имеют методы и механизмы обеспечивающего (профилактирующего) характера, среди которых, в первую очередь следует отметить методы протоколирования и аудита событий, методы и механизмы резервирования и архивирования, журнализации процессов изменения данных.
Анализ определений и понятий “информация» и «информационный ресурс», приведенный в различных источниках, показывает, что в настоящее время отсутствует их единое общепринятое определение.
В Федеральном Законе от 27 июля 2006 года № 149-ФЗ информация определяется как сведения (сообщения, данные) независимо от формы их представления. В соответствии с этим законом, вся информация делится на общедоступную и ограниченного доступа.
Структура информационных ресурсов представлена наслайде.
Анализ научно-технической литературы в области ИБ, в том числе законодательных актов РФ, а также отечественных и зарубежных стандартов, показывает, что в области терминологии не существует пока полного единства трактовок одних и тех же понятий. Изучение материала дисциплины требует обеспечения однозначного толкования терминов и определений, относящихся к защите информации.
В связи с этим необходимо отметить, что основополагающими источниками в данной области являются Федеральные законы РФ, Указы Президента и Постановления правительства РФ, Государственные (национальные) стандарты информационной безопасности. Устанавливаются термины и определения понятий в области защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации, которые обязательны для применения во всех видах документации. Для каждого понятия установлен один термин. Применение синонимов термина не допускается. Для отдельных терминов даны (в скобках) краткие формы, которые разрешается применять в случаях, исключающих возможность их различного толкования.
Национальный стандарт Российской ФедерацииГОСТ Р 50922-2006 «Защита информации. Основные термины и определения.»устанавливает основные термины с соответствующими определениями, применяемые при проведении работ по стандартизации в области защиты информации.
Вопрос №2.
Основное отличие компьютерных сетей от отдельных компьютеров состоит в наличии обмена информацией между сетевыми узлами, связанными между собой каналами передачи данных.
Интеграция автономных компьютеров в сети позволяет повысить эффективность функционирования системы в целом за счет, во-первых, возможности обмена информацией между компьютерами сети и, во-вторых, использования на каждом отдельном компьютере общих сетевых ресурсов (информации, внешней памяти, приложений, внешних устройств).
Использование глобальных связей для объединения локальных сетей (филиалов предприятий и фирм) и компьютеров удаленных пользователей с центральной локальной сетью позволяет создавать корпоративные сети.
В настоящее время интенсивно развиваются беспроводные компьютерные сети, как, например – беспроводная локальная сеть WLAN (Wireless Local Area Network).
Функционирование и развитие сетевых ИС возможно при строгом соблюдении принципов стандартизации аппаратного и программного обеспечения.
Возникновение Internet явилось следствием стандартизации стека коммуникационных протоколов TCP/IP.
Internet – совокупность соединенных между собой компьютерных сетей, использующих единые согласованные правила обмена данными между компьютерами.
Развитие глобальной сети Internet способствовало использованию менее дорогостоящей и более доступной структуры обмена информацией.
Корпоративные сети при использовании возможностей Internet стали широко внедрять – Intranet, при котором способ доставки и обработки информации, переносятся в корпоративную сеть.
В отношении безопасности протоколов TCP/IP, безопасности передачи данных в сети Internet в целом, пользователи должны учитывать, что в отсутствии специальных мер, все данные передаются протоколами TCP/IP в открытом виде. Это означает, что любой узел (и соответственно его оператор), находящийся на пути следования данных от отправителя к получателю, может скопировать себе все передаваемые данные и использовать их в дальнейшем в своих целях. В равной мере данные могут быть искажены или уничтожены.
Вопрос №3.
Организационная структура стека протоколов TCP/IP(слайд 8).
Стек TCP/IP разрабатывался до появления модели OSI. Структура протоколов TCP/IP приведена на слайде. Стек протоколов TCP/IP имеет 4 уровня:
- прикладной (application);
- транспортный (transport);
- уровень межсетевого взаимодействия (internet);
- уровень сетевых интерфейсов (network).
Соответствие уровней стека TCP/IP уровням модели OSI условно.
Прикладной уровень (application) включает множество протоколов и сервисов. К ним относятся: протоколы копирования файлов FTP; протокол эмуляции терминала Telnet; почтовый протокол SMPT, используемый в электронной почте сети Internet; гипертекстовые сервисы доступа к удалённой информации WWW и другие.
Протокол пересылки файлов FTP (File Transfer Protocol) реализует удалённый доступ к файлу. Для обеспечения надёжной передачи, FTP в качестве транспорта использует протокол с установлением соединений TCP. Кроме пересылки файлов, протокол FTP предлагает возможность интерактивной работы с удалённой машиной – распечатать содержимое её каталогов; выполняет аутентификацию пользователей. Для получения доступа к файлу пользователи, в соответствии с этим протоколом, должны сообщить имя и пароль. Для доступа к публичным каталогам FTP-архивов Internet не требуется парольной аутентификации, и её можно обойти, используя предопределённое имя пользователя Anonymous.
Протокол Telnet обеспечивает передачу потока байтов между процессами, а также между процессом и терминалом. Наиболее часто этот протокол используется для эмуляции терминала удалённого компьютера. При использовании сервиса Telnet пользователю предоставляется возможность управлять удалённым компьютером так же, как и локальному пользователю. Такой вид доступа требует хорошей защиты. Серверы Telnet всегда используют, как минимум, аутентификацию по паролю, а иногда и более мощные средства защиты, например систему Kerberos.
Протокол SNMP (Simple Network Management Protocol) используется для организации сетевого управления Изначально этот протокол использовался для удалённого контроля и управления маршрутизаторами Internet. С ростом популярности его стали применять для управления разным коммуникационным оборудованием – концентраторами, мостами, сетевыми адаптерами. В стандарте SNMP определена спецификация информационной базы данных управления сетью, известная как база данных MIB (Management Information Base). Она определяет те элементы данных и допустимые операции над ними, которые управляемое устройство должно сохранять.
На транспортном уровне (transport) стека TCP/IP, называемом основным уровнем, функционируют протоколы TCP и UDP.
Протокол управления передачей TCP (Transport Control Protocol) решает задачу обеспечения надёжной информационной связи между двумя конечными узлами и носит название «с установлением соединения». Это означает, что два узла, связывающиеся с его помощью, «договариваются» об обмене потоком данных и принимают на себя некоторые соглашения об управлении этим потоком. Согласно этому протоколу, отправляемые данные нарезаются на небольшие стандартные пакеты, после чего каждый пакет маркируется таким образом, чтобы в нём были данные для правильной сборки документа на компьютере получателя.
Протокол дейтаграмм пользователя UDP (User Datagram Protocol) обеспечивает передачу прикладных пакетов дейтаграммным способом, т.е. каждый блок передаваемой информации (пакет) обрабатывается и распространяется от узла к узлу как независимая единица информации – дейтаграмма. Протокол UDP здесь выполняет функции связующего звена между сетевым протоколом и многочисленными прикладными процессами. Протокол UDP умеет различать приложения и доставляет информацию от одного приложения к другому.
Уровень межсетевого взаимодействия (Internet) осуществляет концепцию коммутации пакетов без установления соединений. Основным протоколом этого уровня является адресный протокол IP. Этот протокол проектировался как протокол передачи пакетов в составных сетях, состоящих из большого числа локальных сетей, объединённых всесторонними связями.
Протокол IP означает, что у каждого пользователя Internet должен быть свой уникальный адрес (IP-адрес). Без этого точная доставка TCP-пакетов в нужное рабочее место будет невозможна. Адрес выражается 4-мя байтами, например 165.52.48.26. Структура IP-адреса организована так, что каждый компьютер, через который проходит какой-либо пакет TCP-пакет, может по этим четырём числам определить, кому из ближайших «соседей» надо отправить пакет, чтобы он оказался «ближе» получателю. В результате конечного числа перебросок TCP-пакет достигает адресата. При этом, оценивается не географическая «близость», а условия связи и пропускная способность линии. Два компьютера, находящиеся на значительном удалении, но связанные высокопроизводительной линией космической связи, считаются более близкими друг другу, чем два компьютера, расположенные сравнительно недалеко один от другого. Решением задачи, что «ближе», а что «дальше» занимаются специальные средства, называемые маршрутизаторами. Роль маршрутизатора в сети может выполнять как специализированный компьютер, так и специализированная программа, работающая на узловом сервере сети.
К уровню межсетевого взаимодействия относятся и протоколы, связанные с составлением и модификацией таблиц маршрутизации протоколы сбора маршрутной информации RIP (Routing Internet Protocol) и OSPF (Open Shortest Path First), а также протокол межсетевых управляющих сообщений ICMP (Internet Control Message Protocol). Последний протокол предназначен для обмена информацией об ошибках между маршрутизаторами сети и узлом – источником пакета.
Уровень сетевого интерфейса (Network) соответствует физическому и канальному уровням модели OSI. Этот уровень в протоколах TCP/IP не регламентируется, но поддерживает все популярные стандарты физического и канального уровня: для локальных сетей это Ethernet, Token Ring, FDDI, Fast Ethernet, для глобальных сетей – протоколы соединений «точка-точка» SLIP и PPP, протоколы территориальных сетей с коммутацией пакетов X.25, frame relay. Разработана спецификация, определяющая использование технологии ATM в качестве транспорта канального уровня.
Разделённые на уровни протоколы стека TCP/IP спроектированы таким образом, что конкретный уровень хоста назначения получает именно тот объект, который был отправлен эквивалентным уровнем хоста источника. Каждый уровень стека одного хоста образует логическое соединение с одноимённым уровнем стека другого хоста. При реализации физического соединения уровень передаёт свои данные интерфейсу уровня, расположенного выше или ниже в том же хосте (слайд 9). Вертикальные стрелки указывают физическое соединение в пределах одного хоста, а горизонтальные показывают логическое соединение между одноимёнными уровнями в различных хостах.
Приложение передает транспортному уровню сообщение (message), которое имеет соответствующее данному приложению размер и семантику. Транспортный уровень разделяет это сообщение (если оно достаточно велико) на пакеты (packets), которые передаются уровню межсетевого взаимодействия (протоколу IP). Протокол IP формирует свои IP-пакеты (дейтаграммы) и затем упаковывает их в формат, приемлемый для данной физической среды передачи информации. Эти аппаратно-зависимые пакеты называются кадрами (frame).
При передаче от прикладного уровня к транспортному, а затем уровню межсетевого взаимодействия и далее через уровень сетевого интерфейса в сеть, каждый протокол выполняет соответствующую обработку и инкапсулирует результат этой обработки, присоединяя спереди свой заголовок (слайд 10).
В системе, принимающей данный поток информации, эти заголовки последовательно удаляются по мере обработки данных и передачи их вверх по стеку. Это обеспечивает необходимую гибкость в обработке передаваемых данных, поскольку верхним уровням не требуется касаться технологии, используемой в нижних уровнях. Например, если шифруются данные на уровне IP, уровень TCP и прикладной уровень остаются неизменными.
Контрольные вопросы
- Почему проблемы обеспечения информационной безопасности приобрели особую актуальность?
- Перечислите основные объекты компьютерных преступлений.
- Назовите возможные каналы утечки информации.
- Что собой представляет компьютерная система?
- Назовите составляющие компьютерной безопасности.
- Перечислите общие принципы создания и эксплуатации защищенных компьютерных систем (в которых обеспечивается безопасность информации).
- В каких основных нормативных правовых документах изложены ключевые положения по защите информации?
Атаки на уровне приложений
Могут проводиться несколькими способами. Самый распространенный из них состоит в использовании известных слабостей серверного ПО (FTP, HTTP,web-сервера).
Главная проблема с атаками на уровне приложений состоит в том, что они часто пользуются портами, которым разрешен проход через межсетевой экран. Сведения об атаках на уровне приложений широко публикуются, чтобы дать возможность администраторам исправить проблему с помощью коррекционных модулей (патчей). К сожалению, многие хакеры также имеют доступ к этим сведениям.
Полностью исключить атаки на уровне приложений невозможно. В Интернете хакерами постоянно публикуются сведения об уязвимых местах прикладных программ.
Для снижения уязвимости от атак этого типа, необходимо хорошее системное администрирование, в частности:
- проводить анализ log-файлов ОС и сетевые log-файлы с помощью специальных аналитических приложений;
- отслеживать данные CERT(служба реагирования на компьютерные инциденты) о слабых местах прикладных программ;
- пользоваться самыми свежими версиями ОС и приложений и самыми последними коррекционными модулями (патчами);
- использовать системы распознавания атак IDS (Intrusion Detection Systems).
Сетевая разведка
Это сбор информации о сети с помощью общедоступных данных и приложений. При подготовке атаки против какой-нибудь сети хакер, как правило, пытается получить о ней как можно больше информации.
Проводится в форме запросов Domen Name Services (Доменная служба сервисов), эхо-тестирования (ping sweep) и сканирования портов. Запросы DNS, помогают выяснить владельца домена и присвоенные ему адреса. Эхо-тестирование адресов, раскрытых с помощью DNS, позволяет увидеть, какие хосты в данной среде работают. Получив список хостов, использует средства сканирования портов, чтобы составить полный список услуг, поддерживаемых этими хостами. В результате появляется доступ к информации, которую можно использовать для взлома.
Злоупотребление доверием
Данный тип действий представляет собой злонамеренное использование отношений доверия, существующих в сети. Примером этого служит ситуация в периферийной части корпоративной сети. В этом сегменте обычно располагаются серверы DNS, SMTP,иHTTP. Поскольку все они принадлежат одному и тому же сегменту, взлом одного из них приводит к взлому и всех остальных, так как эти серверы доверяют другим системам своей сети.
Риск злоупотребления доверием можно снизить за счет более жесткого контроля уровней доверия в пределах своей сети. Системы, расположенные с внешней стороны межсетевого экрана, никогда не должны пользоваться абсолютным доверием со стороны систем, защищенных межсетевым экраном.
Отношения доверия должны ограничиваться определенными протоколами и аутентифицироваться не только по IP-адресам, но и по другим параметрам.
Парольные атаки
Целью парольных атак является завладение паролем и логином законного пользователя. Данный вид атак проводится с использованием следующих методов:
- подмена IP-адреса (IP-спуфинг);
- подслушивание (сниффинг);
- простой перебор.
IP-спуфинг и сниффинг позволяют завладеть паролем и логином пользователя, когда они передаются открытым текстом по незащищенному каналу.
Метод подбора пароля и логина с использованием многочисленных попыток доступа называется атакой полного перебора (brute force attack). Данный вид атаки использует программу, которая пытается получить доступ к ресурсу общего пользования (к серверу). Если удается подобрать пароль, то доступ к сетевым ресурсам осуществляется на правах обычного пользователя.
Парольные атаки можно предотвратить, если не пользоваться паролями в текстовой форме. А использование одноразовых паролей и криптографической аутентификации обеспечит надежную защиту от таких атак. Необходимо учитывать, что не все приложения, хосты и устройства поддерживают указанные методы аутентификации.
При использовании обычных паролей следует придумать такой пароль, который было бы трудно подобрать. Минимальная его длина должна быть не менее 8 символов. Пароль должен включать символы верхнего регистра, цифры и специальные символы (#,$,&,%).
Угадывание ключа
Криптографический ключ представляет собой код или число, предназначенное для расшифровки необходимой информации. Для определения значения ключа может быть использована специальная программа, реализующая метод полного перебора. Ключ, к которому получает доступ атакующий, называют скомпромитированным. Атакующий использует скомпромитированный ключ для получения доступа к защищенным передаваемым данным без ведома отправителя и получателя. Ключ дает возможность расшифровать и изменять данные.
Анализ наиболее распространенных угроз, которым подвержены современные проводные корпоративные компьютерные системы (сети), показывает, что источники угроз могут изменяться от неавторизованных вторжений злоумышленников до компьютерных вирусов, при этом весьма существенной угрозой безопасности являются человеческие ошибки. Необходимо учитывать, что источники угроз безопасности могут находиться как внутри КИС – внутренние источники, так и вне ее – внешние источники. Такое деление вполне оправдано, поскольку для одной и той же угрозы методы противодействия для внешних и внутренних источников различны. Знание возможных угроз, а также уязвимых мест КИС необходимо для выбора наиболее эффективных средств обеспечения безопасности.
Самыми частыми и опасными (с точки зрения размера ущерба) являются непреднамеренные ошибки пользователей, операторов и системных администраторов, обслуживающих КИС. Иногда такие ошибки приводят к прямому ущербу (неправильно введенные данные, ошибки в программе, вызвавшие остановку или разрушение системы), а иногда создают слабые места, которыми могут воспользоваться злоумышленники (ошибки администрирования).
По данным Национального института стандартов и технологий США (NIST), 55% случаев нарушения безопасности ИС – следствие непреднамеренных ошибок. Работа в глобальной ИС делает этот фактор достаточно актуальным, причем источником ущерба могут быть как действия пользователей организации, так и пользователей глобальной сети, что особенно опасно.
На слайде приведена круговая диаграмма, иллюстрирующая статистические данные по источникам нарушений безопасности в КИС.
На втором месте по размерам ущерба располагаются кражи и подлоги. В большинстве расследованных случаях виновниками оказывались штатные сотрудники организаций, хорошо знакомые с режимом работы и защитными мерами. Наличие мощного информационного канала связи с глобальными сетями при отсутствии должного контроля за его работой может дополнительно способствовать такой деятельности.
Обиженные сотрудники, даже бывшие, знакомы с порядками в организации и способны вредить весьма эффективно. Поэтому при увольнении сотрудника его права доступа к информационным ресурсам должны аннулироваться.
Преднамеренные попытки получения НСД через внешние коммуникации занимают около 10% всех возможных нарушений. Почти каждый Интернет-сервер по нескольку раз в день подвергается попыткам проникновения. Тесты Агентства защиты информационных систем (США) показали, что 88% компьютеров имеют слабые места с точки зрения ИБ, которые могут активно использоваться для получения НСД. Случаи удаленного доступа к информационным структурам рассматриваются отдельно.
До построения политики безопасности необходимо оценить риски, которым подвержена компьютерная среда организации и предпринять соответствующие шаги.
Очевидно, что затраты организации на контроль и предотвращение угроз безопасности не должны превышать ожидаемых потерь.
II. Принцип действия беспроводной сети приводит к возникновению большого числа уязвимостей для атак и проникновений (слайд).
Оборудование беспроводных локальных сетей WLAN включает точки беспроводного доступа и рабочие станции для каждого абонента.
Точки доступа AP (Access Point) выполняют роль концентраторов, обеспечивающих связь между абонентами и между собой, а также функцию мостов, осуществляющих связь с кабельной локальной сетью и с Интернет. Каждая точка доступа может обслуживать несколько абонентов. Несколько близкорасположенных точек доступа образуют зону доступа Wi-Fi, в пределах которой все абоненты, снабжённые беспроводными адаптерами, получают доступ к сети. Такие зоны доступа создаются в местах массового скопления людей: в аэропортах, библиотеках, магазинах, бизнес-центрах и т.д.
У точки доступа есть идентификатор набора сервисов SSID (Service Set Identifier). SSID – это 32-битная строка, используемая в качестве имени беспроводной сети, с которой связаны все узлы. SSID необходим для подключения рабочей станции к сети. Для связи рабочей станции с точкой доступа обе системы должны иметь один и тот же SSID. Если рабочая станция не имеет нужного SSID, то она не сможет связаться с точкой доступа и соединиться с сетью.
Главное отличие между проводными и беспроводными сетями – наличие неконтролируемой зоны между конечными точками беспроводной сети. Это создает возможность для проведения атак.
При использовании беспроводного доступа к локальной сети угрозы безопасности существенно возрастают.
Возможными уязвимостями и угрозами беспроводных сетей являются:
Вещание радиомаяка. Точка доступа включает с определённой частотой широковещательный радиомаяк, чтобы оповещать окрестные беспроводные узлы о своём присутствии. Эти широковещательные сигналы содержат основную информацию о точке беспроводного доступа, включая SSID, и приглашают беспроводные узлы зарегистрироваться в данной области. Любая рабочая станция, находящаяся в режиме ожидания, может получить SSID и добавить себя в соответствующую сеть.
Многие модели позволяют отключать содержащую SSID часть этого вещания, чтобы несколько затруднить беспроводное подслушивание, но SSID, между тем, посылается при подключении, поэтому всё равно существует небольшое окно уязвимости.
Обнаружение WLAN. Для обнаружения беспроводных сетей WLAN используется утилита NetStumber совместно со спутниковым навигатором системы GPS. Эта утилита идентифицирует SSID сети WLAN и определяет наличие системы шифрования WEP (Wired Equivalent Privacy). Применение внешней антенны на портативном компьютере даёт возможность обнаруживать сеть WLAN во время обхода нужного района или поездки по городу. Надёжным методом обнаружения WLAN является обследование офисного здания с переносным компьютером в руках.
Подслушивание. Осуществляется для сбора информации о сети, которую предполагается атаковать впоследствии. Злоумышленник может использовать добытые данные для получения доступа к сетевым ресурсам. Оборудование, используемое для подслушивания в сети, может быть аналогично тому, что используется для обычного доступа к этой сети. По своей природе беспроводные сети позволяют соединять компьютеры с физической сетью, находящиеся на расстоянии от неё. Возможно подключение к беспроводной сети, располагающейся в здании из машины, находящейся на стоянке вблизи этого здания. Атаку посредством пассивного прослушивания обнаружить практически невозможно.
Ложные точки доступа в сеть. Опытный злоумышленник может организовать ложную точку доступа с имитацией сетевых ресурсов. Абоненты, ничего не подозревая, обращаются к этой ложной точке доступа и сообщают ей свои реквизиты (аутентификационную информацию). Этот тип атак иногда применяют в сочетании с прямым «глушением» истинной точки доступа в сеть.
Отказ в обслуживании. Атака типа DoS может вызвать полную парализацию сети. Её цель состоит в создании помехи при доступе пользователя к сетевым ресурсам. Беспроводные системы особенно восприимчивы к таким атакам. Физический уровень в беспроводной сети – абстрактное пространство вокруг точки доступа. Злоумышленник может включить устройство, заполняющее весь спектр рабочих частот помехами и нелегальным трафиком. Сам факт проведения DoS-атаки на физическом уровне в беспроводной сети практически недоказуем.
Атаки типа «человек-в-середине». Атаки этого типа выполняются в беспроводной сети гораздо проще. Этот вид атак используется для разрушения конфиденциальности и целостности сеанса связи. Злоумышленник обычно подменяет идентификацию одного из сетевых ресурсов, используя возможность прослушивания и нелегального захвата потока данных с целью изменения его содержимого, необходимого для спуфинга IP-адресов, изменения MAC-адреса для имитирования другого хоста.
Анонимный доступ в Интернет. Незащищённые беспроводные ЛВС обеспечивают хакерам наилучший анонимный доступ для атак через Интернет, не оставляя, при этом, хакерами никаких следов. Организация с незащищённой ЛВС становится источником атакующего трафика, нацеленного на другую компьютерную систему.
Контрольные вопросы
1. Назовите основные цели нарушителей, осуществляющих угрозы (атаки) на ИС.
2. Что подразумевает угроза безопасности информации?
3. Перечислите основные направления реализации угроз.
4. Назовите основные факторы, воздействующие на защищаемую информацию.
5. С чем связаны проблемы обеспечения информационной безопасности в проводных компьютерных сетях?
6. Что такое «сетевая разведка»?
7. Какие угрозы и уязвимости существуют в беспроводных сетях?
Архитектура управления ССБ
Для обеспечения безопасности информационных ресурсов предприятия средства защиты информации обычно размещаются непосредственно в корпоративной сети. Доступ к корпоративным ресурсам контролируют МЭ. Обеспечение конфиденциальной передачи данных через открытые глобальные сети осуществляют шлюзы виртуальных частных сетей (VPN). Для создания надежной эшелонированной защиты в настоящее время применяются: система обнаружения вторжений (IDS), средства контроля доступа по содержанию информации, антивирусные системы и др.
Большинство КИС построены на основе программных