Защита компьютера от атак через интернет
| Категория реферата: Рефераты по информатике, программированию
| Теги реферата: курсовые, реферат основные
| Добавил(а) на сайт: Компанец.
Предыдущая страница реферата | 1 2 3 4 5 6 7 8 9 | Следующая страница реферата
В данной области существует и российская статистика. И хотя она
неполная и, по мнению многих специалистов, представляет собой лишь верхушку
айсберга, я все же приведу эти цифры. За 2000 год, согласно данным МВД, было зарегистрировано 1375 компьютерных преступлений. По сравнению с 1999
годом эта цифра выросла более чем в 1,6 раза. Данные управления по борьбе с
преступлениями в сфере высоких технологий МВД РФ (Управление «Р»)
показывают, что больше всего преступлений — 584 от общего количества —
относится к неправомерному доступу к компьютерной информации; 258 случаев —
это причинение имущественного ущерба с использованием компьютерных средств;
172 преступления связано с созданием и распространением различных вирусов, а вернее, «вредоносных программ для ЭВМ»; 101 преступление — из серии
«незаконное производство или приобретение с целью сбыта технических средств
для незаконного получения информации», 210 — мошенничество с применением
компьютерных и телекоммуникационных сетей; 44 — нарушение правил
эксплуатации ЭВМ и их сетей.[3]
3. Как защититься от удаленных атак в сети Internet?
Особенность сети Internet на сегодняшний день состоит в том, что 99% процентов информационных ресурсов сети являются общедоступными. Удаленный доступ к этим ресурсам может осуществляться анонимно любым неавторизованным пользователем сети. Примером подобного неавторизованного доступа к общедоступным ресурсам является подключение к WWW- или FTP-серверам, в том случае, если подобный доступ разрешен.
Определившись, к каким ресурсам сети Internet пользователь намерен
осуществлять доступ, необходимо ответить на следующий вопрос: а собирается
ли пользователь разрешать удаленный доступ из сети к своим ресурсам? Если
нет, то тогда имеет смысл использовать в качестве сетевой ОС "чисто
клиентскую" ОС (например, Windows '95 или NT Workstation), которая не
содержит программ-серверов, обеспечивающих удаленный доступ, а, следовательно, удаленный доступ к данной системе в принципе невозможен, так
как он просто программно не предусмотрен (например, ОС Windows '95 или NT, правда с одним но: под данные системы действительно нет серверов FTP,
TELNET, WWW и т. д., но нельзя забывать про встроенную в них возможность
предоставления удаленного доступа к файловой системе, так называемое
разделение (share) ресурсов. А вспомнив по меньшей мере странную позицию
фирмы Microsoft по отношению к обеспечению безопасности своих систем, нужно
серьезно подумать, прежде чем остановить выбор на продуктах данной фирмы.
Последний пример: в Internet появилась программа, предоставляющая
атакующему несанкционированный удаленный доступ к файловой системе ОС
Windows NT 4.0!). Выбор клиентской операционной системы во многом решает
проблемы безопасности для данного пользователя (нельзя получить доступ к
ресурсу, которого просто нет!). Однако в этом случае ухудшается
функциональность системы. Здесь своевременно сформулировать, на наш взгляд, основную аксиому безопасности:
Аксиома безопасности. Принципы доступности, удобства, быстродействия и функциональности вычислительной системы антагонистичны принципам ее безопасности.
Данная аксиома, в принципе, очевидна: чем более доступна, удобна, быстра и многофункциональна ВС, тем она менее безопасна. Примеров можно привести массу. Например, служба DNS: удобно, но опасно.
Вернемся к выбору пользователем клиентской сетевой ОС. Это, кстати, один из весьма здравых шагов, ведущих к сетевой политике изоляционизма.
Данная сетевая политика безопасности заключается в осуществлении как можно
более полной изоляции своей вычислительной системы от внешнего мира. Также
одним из шагов к обеспечению данной политики является, например, использование систем Firewall, позволяющих создать выделенный защищенный
сегмент (например, приватную сеть), отделенный от глобальной сети. Конечно, ничто не мешает довести эту политику сетевого изоляционизма до абсурда -
просто выдернуть сетевой кабель (полная изоляция от внешнего мира!). Не
забывайте, это тоже "решение" всех проблем с удаленными атаками и сетевой
безопасностью (в связи c полным отсутствием оных).
Итак, пусть пользователь сети Internet решил использовать для доступа
в сеть только клиентскую сетевую ОС и осуществлять с помощью нее только
неавторизованный доступ. Проблемы с безопасностью решены? Ничуть! Все было
бы хорошо, если бы ни было так плохо. Для атаки "Отказ в обслуживании"
абсолютно не имеет значения ни вид доступа, применяемый пользователем, ни
тип сетевой ОС (хотя клиентская ОС с точки зрения защиты от атаки несколько
предпочтительнее). Эта атака, используя фундаментальные пробелы в
безопасности протоколов и инфраструктуры сети Internet, поражает сетевую ОС
на хосте пользователя с одной единственной целью - нарушить его
работоспособность. ля атаки, связанной с навязыванием ложного маршрута при
помощи протокола ICMP, целью которой является отказ в обслуживании, ОС
Windows '95 или Windows NT - наиболее лакомая цель. Пользователю в таком
случае остается надеяться на то, что его скромный хост не представляет
никакого интереса для атакующего, который может нарушить его
работоспособность разве что из желания просто напакостить.
3.1. Административные методы защиты от удаленных атак в сети Internet
Самым правильным шагом в этом направлении будет приглашение
специалиста по информационной безопасности, который вместе с вами
постарается решить весь комплекс задач по обеспечению требуемого
необходимого уровня безопасности для вашей распределенной ВС. Это довольно
сложная комплексная задача, для решения которой необходимо определить, что
(список контролируемых объектов и ресурсов РВС), от чего (анализ возможных
угроз данной РВС) и как (выработка требований, определение политики
безопасности и выработка административных и программно-аппаратных мер по
обеспечению на практике разработанной политики безопасности) защищать.
Пожалуй, наиболее простыми и дешевыми являются именно административные методы защиты от информационно-разрушающих воздействий.
3.1.1. Как защититься от анализа сетевого трафика?
Существует атака, позволяющая кракеру при помощи программного прослушивания канала передачи сообщений в сети перехватывать любую информацию, которой обмениваются удаленные пользователи, если по каналу передаются только нешифрованные сообщения. Также можно показать, что базовые прикладные протоколы удаленного доступа TELNET и FTP не предусматривают элементарную криптозащиту передаваемых по сети даже идентификаторов (имен) и аутентификаторов (паролей) пользователей. Поэтому администраторам сетей, очевидно, можно порекомендовать не допускать использование этих базовых протоколов для предоставления удаленного авторизованного доступа к ресурсам своих систем и считать анализ сетевого трафика той постоянно присутствующей угрозой, которую невозможно устранить, но можно сделать ее осуществление по сути бессмысленным, применяя стойкие криптоалгоритмы защиты IP-потока.
3.1.2. Как защититься от ложного ARP-сервера?
В том случае, если у сетевой ОС отсутствует информация о соответствии
IP- и Ethernet-адресов хостов внутри одного сегмента IP-сети, данный
протокол позволяет посылать широковещательный ARP-запрос на поиск
необходимого Ethernet-адреса, на который атакующий может прислать ложный
ответ, и, в дальнейшем, весь трафик на канальном уровне окажется
перехваченным атакующим и пройдет через ложный ARP-сервер. Очевидно, что
для ликвидации данной атаки необходимо устранить причину, по которой
возможно ее осуществление. Основная причина успеха данной удаленной атаки -
отсутствие необходимой информации у ОС каждого хоста о соответствующих IP-
и Ethernet-адресах всех остальных хостов внутри данного сегмента сети.
Таким образом, самым простым решением будет создание сетевым
администратором статической ARP-таблицы в виде файла (в ОС UNIX обычно
/etc/ethers), куда необходимо внести соответствую-щую информацию об
адресах. Данный файл устанавливается на каждый хост внутри сегмента, и, следовательно, у сетевой ОС отпадает необходимость в использовании
удаленного ARP-поиска.
3.1.3. Как защититься от ложного DNS-сервера?
Использование в сети Internet службы DNS в ее нынешнем виде может
позволить кракеру получить глобальный контроль над соединениями путем
навязывания ложного маршрута через хост кракера - ложный DNS-сервер.
Осуществление этой удаленной атаки, основанной на потенциальных уязвимостях
службы DNS, может привести к катастрофическим последствиям для огромного
числа пользователей Internet и стать причиной массового нарушения
информационной безопасности данной глобальной сети. В следующих двух
пунктах предлагаются возможные административные методы по предотвращению
или затруднению данной удаленной атаки для администраторов и пользователей
сети и для администраторов DNS-серверов.
а) Как администратору сети защититься от ложного DNS-сервера?
Если отвечать на этот вопрос коротко, то никак. Ни административно, ни программно нельзя защититься от атаки на существующую версию службы DNS.
Оптимальным с точки зрения безопасности решением будет вообще отказаться от
использования службы DNS в вашем защищенном сегменте! Конечно, совсем
отказаться от использования имен при обращении к хостам для пользователей
будет очень не удобно. Поэтому можно предложить следующее компромиссное
решение: использовать имена, но отказаться от механизма удаленного DNS-
поиска. Вы правильно догадались, что это возвращение к схеме, использовавшейся до появления службы DNS с выделенными DNS-серверами. Тогда
на каждой машине в сети существовал hosts файл, в котором находилась
информация о соответствующих именах и IP-адресах всех хостов в сети.
Очевидно, что на сегодняшний день администратору можно внести в подобный
файл информацию о лишь наиболее часто посещаемых пользователями данного
сегмента серверах сети. Поэтому использование на практике данного решения
чрезвычайно затруднено и, видимо, нереально (что, например, делать с
броузерами, которые используют URL с именами?).
Для затруднения осуществления данной удаленной атаки можно предложить администраторам использовать для службы DNS вместо протокола UDP, который устанавливается по умолчанию, протокол TCP (хотя из документации далеко не очевидно, как его сменить). Это существенно затруднит для атакующего передачу на хост ложного DNS-ответа без приема DNS-запроса.
Общий неутешительный вывод таков: в сети Internet при использовании существующей версии службы DNS не существует приемлемого решения для защиты от ложного DNS-сервера (и не откажешься, как в случае с ARP, и использовать опасно)!
б) Как администратору DNS-сервера защититься от ложного DNS-сервера?
Если отвечать на этот вопрос коротко, то, опять же, никак.
Единственным способом затруднить осуществление данной удаленной атаки, это
использовать для общения с хостами и с другими DNS-серверами только
протокол TCP, а не UDP. Тем не менее, это только затруднит выполнение атаки
- не забывайте как про возможный перехват DNS-запроса, так и про
возможность математического предсказания начального значения TCP-
идентификатора ISN.
В заключение можно порекомендовать для всей сети Internet поскорее перейти либо к новой более защищенной версии службы DNS, либо принять единый стандарт на защищенный протокол. Сделать этот переход, несмотря на все колоссальные расходы, просто необходимо, иначе сеть Internet может быть просто поставлена на колени перед всевозрастающими успешными попытками нарушения ее безопасности при помощи данной службы!
3.1.4. Как защититься от навязывания ложного маршрута при использовании протокола ICMP?
Рекомендуем скачать другие рефераты по теме: решебник по математике 6 виленкин, отечественная история шпаргалки.
Категории:
Предыдущая страница реферата | 1 2 3 4 5 6 7 8 9 | Следующая страница реферата