Наиболее часто реализуемые угрозы (атаки)

В связи с повсеместным развитием Интернета наиболее часто атаки производятся с использованием уязвимостей протоколов сетевого взаимодействия. Рассмотрим 7 наиболее распространенных атак.

1. Анализ сетевого трафика

Данный вид атаки направлен в первую очередь на получение пароля и идентификатора пользователя путем "прослушивания сети". Реализуется это с помощью sniffer – специальная программа-анализатор, которая перехватывает все пакеты, идущие по сети. И если протокол, например, FTP или TELNET, передает аутентификационную информацию в открытом виде, то злоумышленник легко получает доступ к учетной записи пользователя.

Наиболее часто реализуемые угрозы (атаки) - student2.ru


Рисунок 3. Схема реализации угрозы “Анализ сетевого трафика”

2. Сканирование сети

Суть данной атаки состоит в сборе информации о топологии сети, об открытых портах, используемых протоколах и т.п. Как правило, реализация данной угрозы предшествует дальнейшим действиям злоумышленника с использованием полученных в результате сканирования данных.

3. Угроза выявления пароля

Целью атаки является преодоление парольной защиты и получении НСД к чужой информации. Методов для кражи пароля очень много: простой перебор всех возможных значений пароля, перебор с помощью специальных программ (атака словаря), перехват пароля с помощью программы-анализатора сетевого трафика.

4. Подмена доверенного объекта сети и передача по каналам связи сообщений от его имени с присвоением его прав доступа. Доверенный объект – это элемент сети, легально подключенный к серверу.

Такая угроза эффективно реализуется в системах, где применяются нестойкие алгоритмы идентификации и аутентификации хостов, пользователей и т.д.

Могут быть выделены две разновидности процесса реализации указанной угрозы: с установлением и без установления виртуального соединения.

Процесс реализации с установлением виртуального соединения состоит в присвоении прав доверенного субъекта взаимодействия, что позволяет нарушителю вести сеанс работы с объектом сети от именидоверенного субъекта. Реализация угрозы данного типа требует преодоления системы идентификации и аутентификации сообщений (например, атака rsh-службы UNIX-хоста).

Процесс реализации угрозы без установления виртуального соединения может иметь место в сетях, осуществляющих идентификацию передаваемых сообщений только по сетевому адресу отправителя. Сущность заключается в передаче служебных сообщений от имени сетевых управляющих устройств (например, от имени маршрутизаторов) об изменении маршрутно-адресных данных.

В результате реализации угрозы нарушитель получает права доступа, установленные его пользователем для доверенного абонента, к техническому средству ИСПД– цели угроз.

5. Навязывание ложного маршрута сети

Данная атака стала возможной из-за недостатков протоколов маршрутизации (RIP, OSPF, LSP) и управления сетью (ICMP, SNMP), таких как слабая аутентификация маршрутизаторов. Суть атаки состоит в том, что злоумышленник, используя уязвимости протоколов, вносит несанкционированные изменения в маршрутно-адресные таблицы.

6. Внедрение ложного объекта сети

Когда изначально объекты сети не знают информацию друг о друге, то для построения адресных таблиц и последующего взаимодействия, используется механизм запрос (как правило, широковещательный) - ответ с искомой информацией. При этом если нарушитель перехватил такой запрос, то он может выдать ложный ответ, изменить таблицу маршрутизации всей сети, и выдать себя залегального субъекта сети. В дальнейшем все пакеты, направленные к легальному субъекту, будут проходить через злоумышленника.

7. Отказ в обслуживании

Этот тип атак является одним из самых распространенных в настоящее время. Целью такой атаки является отказ в обслуживании, то есть нарушение доступности информации для законных субъектов информационного обмена.

Могут быть выделены несколько разновидностей таких угроз:

  • скрытый отказ в обслуживании, вызванный привлечением части ресурсов ИСПД на обработку пакетов, передаваемых злоумышленником со снижением пропускной способности каналов связи, производительности сетевых устройств, нарушением требований ко времени обработки запросов. Примерами реализации угроз подобного рода могут служить: направленный шторм эхо-запросовпопротоколу ICMP (Ping flooding), шторм запросов на установление TCP-соединений (SYN-flooding), шторм запросов к FTP-серверу;
  • явный отказ в обслуживании, вызванный исчерпанием ресурсов ИСПДн при обработке пакетов, передаваемых злоумышленником (занятие всей полосы пропускания каналов связи, переполнение очередей запросов на обслуживание), при котором легальные запросы не могут быть переданы через сеть из-за недоступности среды передачи либо получают отказ в обслуживании ввиду переполнения очередей запросов, дискового пространства памяти и т.д. Примерами угроз данного типа могут служить шторм широковещательных ICMP-эхо-запросов (Smurf), направленный шторм (SYN-flooding), шторм сообщений почтовому серверу (Spam);
  • явный отказ в обслуживании, вызванный нарушением логической связности между техническими средствами ИСПДн при передаче нарушителем управляющих сообщений от имени сетевых устройств, приводящих к изменению маршрутно-адресных данных (например, ICMP RedirectHost, DNS-flooding) или идентификационной и аутентификационной информации;
  • явный отказ в обслуживании, вызванный передачей злоумышленником пакетов с нестандартными атрибутами (угрозы типа "Land", "TearDrop", "Bonk", "Nuke", "UDP-bomb") или имеющих длину, превышающую максимально допустимый размер (угроза типа "PingDeath"), что может привести к сбою сетевых устройств, участвующих в обработке запросов, при условии наличия ошибок в программах, реализующих протоколы сетевого обмена.

Результатом реализации данной угрозы может стать нарушение работоспособности соответствующей службы предоставления удаленного доступа к ПД в ИСПД, передача с одного адреса такого количества запросов на подключение к техническому средству в составе ИСПД, какое максимально может "вместить" трафик (направленный "шторм запросов"), что влечет за собой переполнение очереди запросов и отказ одной из сетевых служб или полную остановку компьютера из-за невозможности системы заниматься ничем другим, кроме обработки запросов.

Задание № 3

Используя конспект занятия, литературу и другие источники информации, составить алгоритм:

1. обеспечения физической безопасности;

2. распределения прав доступа к файлам и папкам;

3. назначения логина и пароля;

4. резервного копирования данных;

5. защиты беспроводного доступа (Wi-Fi);

6. обновления файлов сигнатур;

7. защиты удаленного доступа;

8. межсетевого экранирования;

9. принципа действия прокси-сервера;

10. защиты корпоративной почты.

Порядок выполнения.

1. дать определение заданной системы;

2. перечислить требования к системе;

3. составить алгоритм работы данной системы ЗИ.

ЗАДАНИЯ НА КОНТРОЛЬНУЮ РАБОТУ ПО МДК 02.02

Задание № 1

Составить перечень защищаемой информации для заданной организации. При выполнении можно опираться на методический материал для выполнения задания 2 по МДК 02.01.

Порядок выполнения:

1. указать организацию;

2. составить перечень защищаемой информации для данной организации.

Варианты объектов (организаций) для выполнения заданий № 1, 2.

1. больница;

2. банк;

3. аэропорт;

4. гипермаркет;

5. университет;

6. автомобильная мастерская;

7. аутсорсинговая компания по бухгалтерскому учету;

8. издательская компания;

9. аптека;

10. охранное агентство.

Задание № 2

Разработать документ «Политика безопасности» для заданной организации.

Порядок выполнения.

При выполнении задания кратко описать основные элементы защиты информации (ЗИ), необходимые для ЗИ в данной организации.

Методический материал и пример выполнения задания № 2

Политика безопасности — это набор правил, руководств и контрольных перечней. Инженеры по сетям и руководители организации совместно разрабатывают правила и руководства для безопасности компьютерного оборудования. В политику безопасности входят следующие элементы:

Заявление о допустимом использовании компьютеров организации.

Списки сотрудников, которым разрешено использовать компьютерное оборудование.

Списки устройств, установка которых в сети разрешена, а также условия установки. Примеры оборудования, которое может использоваться для атак сети — модемы и беспроводные точки доступа.

Требования, необходимые для обеспечения конфиденциальности данных в сети.

Процесс получения сотрудниками доступа к оборудованию и данным. Этот процесс может требовать от сотрудника подписания соглашения, связанного с правилами компании. В нем также перечислены последствия несоблюдения правил.

В политике безопасности должно описываться решение проблем безопасности в компании. Локальные политики безопасности в различных организациях могут различаться, однако есть вопросы, которые должны задать все организации:

1. Какие ресурсы требуют защиты?

2. Каковы возможные угрозы?

3. Каковы действия в случае нарушения безопасности?

4. Какое обучение будут проходить конечные пользователи?

Для обеспечения эффективности политика безопасности должна применяться и соблюдаться всеми сотрудниками.

Ценность физического оборудования часто гораздо меньше ценности данных, которые на нем содержатся. Получение конфиденциальных данных компании конкурентами или преступниками может повлечь за собой большие издержки. Такая утрата может привести к потере доверия к компании и увольнению компьютерных инженеров, ответственных за обеспечение безопасности. Для защиты данных могут быть применены несколько способов обеспечения безопасности.

Организация должна стремиться обеспечить наилучшую и наиболее доступную защиту от утери данных и повреждения программного обеспечения и оборудования. Инженеры по сетям и руководство организации должны совместно разработать политику безопасности, обеспечивающую защиту данных и оборудования ото всех угроз безопасности. При разработке политики руководители должны подсчитать стоимость потери данных относительно затрат на обеспечение безопасности и определить допустимые компромиссы. Политика безопасности включает в себя исчерпывающее заявление о требуемом уровне безопасности и о том, как он будет достигнут.

При создании политики безопасности задайте следующие вопросы, чтобы определить факторы безопасности:

Где находится компьютер: дома или на предприятии? - Домашние компьютеры уязвимы для беспроводных вторжений. Для рабочих компьютеров существует высокая опасность сетевых вторжений, поскольку предприятия более привлекательны для хакеров, а также поскольку зарегистрированные пользователи могут нарушать правила доступа.

Используется ли постоянное подключение к Интернету? - Чем дольше компьютер подключен к Интернету, тем больше вероятность атак. На компьютере с доступом к Интернету должны быть установлены межсетевой экран и антивирусное ПО.

Является ли компьютер портативным? - Физическая безопасность — проблема портативных компьютеров. Существуют такие средства защиты портативных компьютеров, как кабельные замки, биометрия и методы отслеживания.

При создании политики безопасности необходимо учитывать несколько ключевых областей:

- процесс обработки инцидентов сетевой безопасности;

- процесс аудита существующей безопасности сети;

- общая структура безопасности для реализации безопасности сети;

- разрешенные способы поведения;

- запрещенные способы поведения;

- объекты для регистрации и способ хранения журналов: средство просмотра событий, файлы системного журнала или файлы журнала безопасности;

- сетевой доступ к ресурсам через разрешения учетной записи;

- технологии проверки подлинности для доступа к данным: имена пользователей, пароли, биометрические данные и смарт-карты

Политика безопасности также должна предоставлять подробную информацию о следующих вопросах в чрезвычайных ситуациях.

- Предпринимаемые действия после нарушения безопасности.

- Контактное лицо при возникновении чрезвычайных ситуаций.

- Информация для предоставления заказчикам, поставщикам и средствам массовой информации.

- Дополнительные местоположения для использования при эвакуации.

- Действия после ликвидации чрезвычайной ситуации, включая приоритет восстанавливаемых служб.

Область действия политики и последствия ее несоблюдения должны быть четко описаны. Политики безопасности должны регулярно проверяться и при необходимости обновляться. Сохраняйте историю изменений для отслеживания изменений политики. Обеспечение безопасности — это обязанность всех сотрудников компании. Все сотрудники, включая тех, кто не пользуется компьютерами, должны пройти обучение, чтобы ознакомиться с политикой безопасности, а также уведомляться об ее обновлениях.

В политике безопасности также необходимо определить доступ сотрудников к данным. Политика должна запрещать общий доступ к конфиденциальным данным, при этом позволяя сотрудникам выполнять свои рабочие задачи. Данные могут быть классифицированы от общедоступных до совершенно секретных с несколькими различными уровнями между ними. Общедоступная информация может просматриваться всеми пользователями и не имеет ограничений безопасности. Общедоступная информация не может использоваться для причинения ущерба компании или отдельным лицам. Совершенно секретная информация должна быть наиболее защищенной, поскольку раскрытие данных может принести большой вред правительству, компании или отдельным лицам.

Задание № 3

Выявить проблемы ЗИ на предприятии или в организации, на котором работаете.

Порядок выполнения.

1. Перечислите лиц, отвечающих за каждую из частей сетевого оборудования, используемых на предприятии (например, маршрутизаторов, коммутаторов и беспроводных точек доступа).

2. Перечислите лиц, отвечающих за компьютеры, используемые в вашем классе.

3. Укажите людей, отвечающих за выдачу разрешений на использование ресурсов сети.

4. К каким веб-сайтам в Интернете вам разрешен доступ?

5. К каким типам веб-сайтов доступ в классе не разрешен?

6. Перечислите действия, которые могут привести к повреждению сети или компьютеров, подключенных к сети, вредоносными программами.

7. Следует ли разрешать кому либо, помимо сетевого администратора, подключать к сети модемы или точки беспроводного доступа? Объясните, почему да или нет.

Примечание.

При выполнении задания фамилию и инициалы указывать вымышленные, а должность реальную. Достаточно описания пяти проблем.

Список литературы

Основные источники:

1. Гришина Н. В. Организация комплексной системы защиты информации. – М.: Гелиос АРВ, 2015. – 256 с. ил.

2. Емельянова Н.З.Защита информации в персональном компьютере: Учебное пособие - 2-е изд. - ("Высшее образование") (ГРИФ) /Емельянова Н.З., Партыка Т.Л., Попов И.И. – М.: Форум, НИЦ ИНФРА-М, 2015. – 368 с.

3. Олифер В.Г., Олифер Н.А. Компьютерные сети. Принципы. Технологии, протоколы: Учебник для вузов. 5-е изд. – СПб.: Питер, 2016. – 942 с.: ил.

4. Шаньгин В.Ф. Защита информации в компьютерных системах и сетях./В.Ф. Шаньгин, Москва: ДМК Пресс, 2015. – 592 с.: ил.

Дополнительные источники:

1. Зайцев А.П., Голубятников И.В., Мещеряков Р.В., Шелупанов А.А. Программно-аппаратные средства обеспечения информационной безопасности: Уч. Пос.. Изд. 3-е испр. и доп. – М.: Машиностроение – 1, 2013. – 260 с.

2. Коханович Г.Ф., Климчук В.П., Паук С.М., Потапов В.Г. Защита информации в телекоммуникационных системах. – К.: «МК-Пресс», 2013. – 288 с., ил.

3. Ярочкин В.И. Информационная безопасность: Учебник для студентов вузов. – М.: Академический Проект; Гаудеамус, 4-е изд. – 2013. – 544 с. (Gaudeamus).

Нормативно-техническая литература:

1. Рекомендация МСЭ-Т Y.110 "Принципы и архитектура глобальной информационной инфраструктуры" (ITU-TRec.Y.110 "GlobalInformationInfrastructureprinciplesandframeworkarchitecture") 1998, June.

2. Рекомендация МСЭ-Т Y.120 "Методологические подходы к глобальной информационной инфраструктуре" (ITU-TRec.Y.120 "GlobalInformationInfrastructurescenariomethodology"). 1998, June.

3. Рекомендация МСЭ-Т Y.1541 ((02/2006). Требования к сетевым показателям качества для служб, основанных на протоколе IP.

4. ГОСТ Р 51898-2002 Аспекты безопасности. Правила включения в стандарты

5. ГОСТ Р ИСО/МЭК 17799-2005 Информационная технология. Практические правила управления информационной безопасностью

6. Гражданский кодекс Российской Федерации (ГК РФ)

7. Трудовой кодекс Российской Федерации (ТК РФ)

8. Кодекс об административных правонарушениях (КоАП РФ)

Электронные ресурсы

1. Информационно-справочная система «Кодекс-Техэксперт» раздел «Связь»

2. Информационно-справочная система «Консультант Плюс»

Электронные учебники:

1.http://cbez.ru/

2.http://www.lghost.ru/lib/security/kurs5/

3.http://www.xakep.ru/

4. http://habrahabr.ru

Наши рекомендации