Способы и методы защиты информации от сетевых атак

ГАПОУ «Батыревский агропромышленный техникум»

Минобразования ЧР

Исследовательская работа

СПОСОБЫ И МЕТОДЫ ЗАЩИТЫ ИНФОРМАЦИИ
ОТ СЕТЕВЫХ АТАК

Выполнила:
студент группы эсх-18/2
Илехметов Дмитрий Сергеевич

Руководитель работы:
Салмин Андрей Александрович
учитель информатики и ИКТ

С.Батырево 2019 г.

Содержание

Введение 3

Сетевые атаки 5

Определение сетевых атак. 5

Cпособы атак в сети Интернет. 5

Классификация сетевых атак. 6

Проявление атак. 11

Формы организации атак. 13

Способы и методы защиты информации от сетевых атак 16

Варианты реагирования на сетевую атаку. 16

Десять средств защиты. 18

Установка антивируса и файрвола 22

Алгоритм защиты. 25

Заключение 28

Источники 30

Введение

Человек старается охранять от посторонних глаз свою информацию. Каждому пользователю очевидна значимость вопроса защиты информации в компьютерных системах и сетях.

Я выбрал тему «Способы и методы защиты информации от сетевых атак» для своей работы, так как сам подвергся сетевой атаке.

Мишенью Интернет-злоумышленников уже давно перестал быть компьютер. Сегодня их мишень - его пользователь. Потенциальная угроза: разглашение персональных данных, корпоративных секретов, важных, и даже государственных тайн. Преступники, пользуются украденными номерами кредитных карточек и идентификационной информацией. Широко используют вирусы и Интернет-черви, чтобы заманить в ловушку жертву. Хакерские и сетевые атаки становятся все более изощренными и опасными.

Вопрос безопасности и защиты всегда стоял остро перед пользователями компьютерных сетей, но сегодня как никогда растет осознание того, насколько важна безопасность персональных данных и информации в корпоративных инфраструктурах. В настоящее время для каждой корпоративной сети необходимо иметь четкую политику в области безопасности. Эта политика разрабатывается на основе анализа рисков, определения критически важных ресурсов и возможных угроз.

В рамках данной работы рассматриваются различные способы Интернет-атак, меры и средства по защиты от них. Ведь современному злоумышленнику можно не иметь какие- то особенные способности в области компьютерных технологий или навыки программирования. Достаточно набрать в поисковике, что тебе нужно, и получить огромное количество сайтов, описывающих способы и многочисленные коды взлома, чужой интеллектуальной собственности.

Цель работы разработать алгоритм первичных мер защиты информации в компьютерных сетях для безопасной работы и общения с помощью компьютера.

Задачи:

• изучение видов сетевых атак на компьютерные сети,

• исследование способов борьбы с ними,

• сравнение различных средств обеспечения безопасности,

• создание алгоритма защиты компьютера от сетевых атак.

Сетевые атаки Определение сетевых атак.

Что же такое сетевая атака? Сетевая атака — это информационное разрушающее воздействие на распределённую компьютерную систему, осуществляемое программно по каналам связи. повсеместное распространение стека протоколов TCP/IP обнажило и его слабые стороны. В особенности из-за этого удалённым атакам подвержены распределённые системы, поскольку их компоненты обычно используют открытые каналы передачи данных, и нарушитель может проводить пассивное прослушивание передаваемой информации. Трудность выявления проведения удалённой атаки и относительная простота проведения(из-за избыточной функциональности современных систем) выводит этот вид неправомерных действий на первое место по степени опасности и препятствует своевременному реагированию на осуществлённую угрозу, в результате чего у нарушителя увеличиваются шансы успешной реализации атаки.

Способы атак в сети Интернет.

Если раньше злоумышленники, специализирующиеся на взломе компьютерных сетей, использовали специальные программы взлома, тратили много времени, то сейчас всё это открыто для публики. Любой желающий может ознакомиться с уязвимыми местами многих программ. Имеются «руководства» по организации атак, в которых описывается, как написать программы для проникновения в компьютерные сети, специальные скрипты для организации автоматизированных атак, которые позволяют легко организовать очень опасные атаки.

Борьба с подобными сайтами крайне трудна. Мало эффективны меры, предпринимаемые официальными органами, поскольку в силу определенной специфики изучаемого материала, даже кратковременное существование таких источников информации в сети экономически очень выгодно. И пока с ними борятся в одном месте, в другом в это время создаются ещё сотни таких сайтов. В целях безопасности, даже начинающий пользователь должен обладать информацией, чтобы не попасться на удочку мошеннико и отразить сетевую атаку.

Основных понятий, которыми оперирует теория компьютерной безопасности всего три: это угрозы, уязвимости и атаки.

Угроза безопасности компьютерной системы - это потенциально возможное происшествие, неважно, преднамеренное или нет, которое может оказать нежелательное воздействие на саму систему, а также на информацию, хранящуюся в ней. Иначе говоря, угроза - это нечто плохое, что когда-нибудь может произойти.

Уязвимость компьютерной системы - это некая ее неудачная характеристика, которая делает возможным возникновение угрозы. Другими словами, именно из-за наличия уязвимостей в системе происходят нежелательные события.

Атака на компьютерную систему - это действие, предпринимаемое злоумышленником, которое заключается в поиске и использовании той или иной уязвимости. Таким образом, атака - это реализация угрозы. Заметим, что такое толкование атаки, с участием человека, имеющего злой умысел, исключает присутствующий в определении угрозы элемент случайности, но, как показывает опыт, часто бывает невозможно их различить.

Классификация сетевых атак.

Удаленные атаки можно классифицировать по следующим признакам:

а) По характеру воздействия Пассивное воздействие;

Пассивное воздействие на распределенную компьютерную систему это воздействие, которое не оказывает непосредственного влияния на работу системы, но может нарушать ее политику безопасности. Именно отсутствие непосредственного влияния на работу распределенной компьютерной сети приводит к тому, что пассивное удаленное воздействие практически невозможно обнаружить. Примером пассивного типового удаленного воздействия в компьютерных сетях служит прослушивание канала связи в сети.

Активное воздействие.

Под активным воздействием на распределенную компьютерную сеть будем понимать воздействие, оказывающее непосредственное влияние на работу системы (изменение конфигурации распределённой компьютерной системы), нарушение работоспособности и т. д.) и нарушающее принятую в ней политику безопасности. Практически все типы удаленных атак являются активными воздействиями. Это связано с тем, что в самой природе разрушающего воздействия содержится активное начало. Особенностью активного воздействия в отличие от пассивного является принципиальная возможность его обнаружения (естественно, с большей или меньшей степенью сложности), так как в результате его осуществления в системе происходят определенные изменения. В отличие от активного, при пассивном воздействии не остается никаких следов (от того, что атакующий просмотрит чужое сообщение в системе, в тот же момент ничего не изменится).

б) По цели воздействия Нарушение конфиденциальности информации либо ресурсов системы

Угрозы нарушения конфиденциальности направлены на разглашение конфиденциальной или секретной информации. При реализации этих угроз информация становится известной лицам, которые не должны иметь к ней доступ.

Нарушение целостности информации

Угрозы нарушения целостности информации, хранящейся в компьютерной системе или передаваемой по каналу связи, направлены на её изменение или искажение, приводящее к нарушению её качества или полному уничтожению. Целостность информации может быть нарушена умышленно злоумышленником, а также в результате объективных воздействий со стороны среды, окружающей систему. Эта угроза особенно актуальна для систем передачи информации - компьютерных сетей и систем телекоммуникации.

Нарушение работоспособности (доступности) системы

Угрозы нарушения работоспособности (отказ в обслуживании) направлены на создание таких ситуаций, когда определённые преднамеренные действия либо снижают работоспособность АСОИ, либо блокируют доступ к некоторым её ресурсам. В этом случае не предполагается получение атакующим несанкционированного доступа к информации. Его основная цель - добиться, чтобы операционная система на атакуемом объекте вышла из строя и для всех остальных объектов системы доступ к ресурсам атакованного объекта был бы невозможен. Примером удаленной атаки, целью которой является нарушение работоспособности системы, может служить типовая УА «Отказ в обслуживании».

в) По условию начала осуществления воздействия Атака по запросу от атакуемого объекта

В этом случае атакующий ожидает передачи от потенциальной цели атаки запроса определенного типа, который и будет условием начала осуществления воздействия.

Атака по наступлению ожидаемого события на атакуемом объекте

Атакующий непрерывно наблюдает за состоянием ОС удалённой цели атаки и начинает воздействие при возникновении конкретного события в этой системе. Атакуемый объект сам является инициатором начала атаки.

Безусловная атака

Осуществляется немедленно и безотносительно к состоянию операционной системы и атакуемого объекта. Следовательно, атакующий является инициатором начала атаки в данном случае.

г) По расположению субъекта атаки относительно атакуемого объекта Внутрисегментное Межсегментное

Сегмент сети — объединение хостов на физическом уровне.

С точки зрения удалённой атаки крайне важным является взаимное расположение субъекта и объекта атаки, то есть находятся ли они в разных или в одинаковых сегментах. Во время внутрисегментной атаки, субъект и объект атаки располагаются в одном сегменте. В случае межсегментной атаки субъект и объект атаки находятся в разных сетевых сегментах. Этот классификационный признак дает возможность судить о так называемой «степени удалённости» атаки.

Внутрисегментную атаку осуществить намного проще, чем межсегментную. Отметим так же, что межсегментная удалённая атака представляет куда большую опасность, чем внутрисегментная. Это связано с тем, что в случае межсегментной атаки объект её и непосредственно атакующий могут находиться на расстоянии многих тысяч километров друг от друга, что может существенно воспрепятствовать мерам по отражению атаки.

д) По уровню эталонной модели ISO/OSI, на котором осуществляется воздействие Физический

Самый нижний уровень. Предназначен непосредственно для передачи потока данных.

Канальный

Уровень сетевой модели OSI, который предназначен для обеспечения взаимодействия сетей на физическом уровне и контроля за ошибками, которые могут возникнуть.

Сетевой

3-ий уровень сетевой модели OSI, предназначается для определения пути передачи данных.

Транспортный

4-й уровень сетевой модели OSI предназначен для доставки данных без ошибок, потерь и дублирования в той последовательности, как они были переданы. При этом не важно, какие данные передаются, откуда и куда, то есть он предоставляет сам механизм передачи.

Сеансовый

5-й уровень сетевой модели OSI отвечает за поддержание сеанса связи, позволяя приложениям взаимодействовать между собой длительное время.

Представительный

6-ой уровень сетевой модели OSI. Этот уровень отвечает за преобразование протоколов и кодирование/декодирование данных. Запросы приложений, полученные с уровня приложений, он преобразует в формат для передачи по сети, а полученные из сети данные преобразует в формат, понятный приложениям.

Прикладной

7-ой уровень сетевой модели OSI, обеспечивает взаимодействие сети и пользователя. Уровень разрешает приложениям пользователя иметь доступ к сетевым службам, таким как обработчик запросов к базам данных, доступ к файлам, пересылке электронной почты.

рис. Рост количества атак
По данным координационного центра немедленного реагирования CERT, организованного при университете Карнеги-Меллона.

Проявление атак.

Основная цель практически любой атаки - получить несанкционированный доступ к информации. Существуют две принципиальные возможности доступа к информации: перехват и искажение. Возможность перехвата информации означает получение к ней доступа, но невозможность ее модификации. Следовательно, перехват информации ведет к нарушению ее конфиденциальности. Примером перехвата информации может служить прослушивание канала в сети (п. 3.2.1). В этом случае имеется несанкционированный доступ к информации без возможности ее искажения. Очевидно также, что нарушение конфиденциальности информации является пассивным воздействием.

Возможность искажения информации означает либо полный контроль над информационным потоком между объектами системы, либо возможность передачи сообщений от имени другого объекта. Таким образом, очевидно, что искажение информации ведет к нарушению ее целостности. Данное информационное разрушающее воздействие представляет собой яркий пример активного воздействия. Очевидно, что количество компьютерных преступлений, совершаемых в России, ежегодно увеличивается. Так, согласно статистике Министерства внутренних дел РФ, количество компьютерных преступлений, связанных с несанкционированным доступом к конфиденциальной информации, увеличилось с шестисот инцидентов в 2000 г. до семи тысяч в 2004 г. К основным причинам роста количества атак можно отнести следующие факторы:

• с каждым годом увеличивается количество пользователей общедоступных сетей связи, таких, например, как сеть Интернет. При этом в качестве новых пользователей выступают как отдельные клиентские рабочие станции, так и целые корпоративные сети;

• увеличивается количество уязвимостей, ежедневно обнаруживаемых в существующем общесистемном и прикладном программном обеспечении;

• возрастает число возможных объектов атаки. Если несколько лет назад в качестве основных объектов несанкционированного воздействия рассматривались исключительно серверы стандартных Web-служб, такие как HTTP, SMTP и FTP, то к настоящему моменту разработаны средства атак на маршрутизаторы, коммутаторы, межсетевые экраны и др.;

• упрощаются методы реализации информационных атак. В сети Интернет можно без труда найти программные реализации атак, направленных на активизацию различных уязвимостей. При этом использование этих средств сводится к вводу IP-адреса объекта атаки и нажатию соответствующей управляющей кнопки;

• увеличивается число внутренних атак со стороны пользователей автоматизированных систем. Примерами таких атак является кража конфиденциальной информации или запуск вредоносного программного обеспечения на рабочих станциях пользователей.

Острота проблемы обеспечения информационной безопасности (ИБ) субъектов информационных отношений, защиты их законных интересов при использовании информационных систем и сетей, хранимой, обрабатываемой и передаваемой в них информации постоянно возрастает. Несмотря на интенсивное внедрение вновь создаваемых технологических решений в области информационной безопасности, уровень криминогенности в информационной сфере сетей передачи данных ведущих стран мира постоянно повышается, что приводит к миллиардным финансовым потерям.

Итак, требуются динамические методы, позволяющие оперативно обнаруживать и предотвращать нарушения безопасности. Одной из технологий, позволяющей обнаруживать нарушения, которые не могут быть идентифицированы при помощи традиционных моделей контроля доступа, является технология обнаружения атак.

По существу, процесс обнаружения атак является процессом оценки подозрительных действий, которые происходят в корпоративной сети. Иначе говоря, обнаружение атак — это процесс идентификации и реагирования на подозрительную деятельность, направленную на компьютерные или сетевые ресурсы.

Формы организации атак.

1. Удаленное проникновение в компьютер: программы, которые получают неавторизованный доступ к другому компьютеру через Интернет (или локальную сеть)

2. Локальное проникновение в компьютер: программы, которые получают неавторизованный доступ к компьютеру, на котором они работают.

3. Удаленное блокирование компьютера: программы, которые через Интернет (или сеть) блокируют работу всего удаленного компьютера или отдельной программы на нем (для восстановления работоспособности чаще всего компьютер надо перезагрузить)

4. Локальное блокирование компьютера: программы, которые блокируют работу компьютера, на котором они работают

5. Сетевые сканеры: программы, которые осуществляют сбор информации о сети, чтобы определить, какие из компьютеров и программ, работающих на них, потенциально уязвимы к атакам.

6. Сканеры уязвимых мест программ: программы, проверяют большие группы компьютеров в Интернете в поисках компьютеров, уязвимых к тому или иному конкретному виду атаки.

7. Вскрыватели паролей: программы, которые обнаруживают легко угадываемые пароли в зашифрованных файлах паролей. Сейчас компьютеры могут угадывать пароли так быстро, что казалось бы и сложные пароли могут быть угаданы.

8. Сетевые анализаторы (снифферы): программы, которые слушают сетевой трафик. Часто в них имеются возможности автоматического выделения имен пользователей, паролей и номеров кредитных карт из трафика.

Можно принять меры для защиты своего компьтера от воздействия посторонних нежелательных вмешательств, но конечно же невозможно обезопасить себя на 100 %. Важно понять, что сетевая безопасность - это эволюционный процесс. Нет ни одного продукта, способного предоставить вам или корпорации полную безопасность. Надежная защита сети достигается сочетанием продуктов и услуг, а также грамотной политикой безопасности и ее соблюдением всеми сотрудниками. Можно заметить, что правильная политика безопасности даже без выделенных средств защиты дает лучшие результаты, чем средства защиты без политики безопасности. Базовыми элементами политики в области безопасности и защиты являются идентификация, целостность и активная проверка. Идентификация призвана предотвратить угрозу обезличивания и несанкционированного доступа к ресурсам и данным. Целостность обеспечивает защиту от подслушивания и манипулирования данными, поддерживая конфиденциальность и неизменность передаваемой информации. И, наконец, активная проверка (аудит) означает проверку правильности реализации элементов политики безопасности и помогает обнаруживать несанкционированное проникновение в сеть. Поскольку в сферу внимания информационной безопасности все чаще попадают более серьезные вещи, чем обычные вирусы, специалисты по компьютерной защите ввели термин malware — «злонамеренное программное обеспечение», которым обозначают любой код, наносящий вред компьютеру или его обладателю. Для сопротивления посягателям на частную информацию пользователя необходима глубокая и хорошо продуманная система обороны, состоящая из нескольких барьеров между злонамеренным ПО и системой. Ниже я кратко опишу 10 различных средств защиты, реализация которых поможет защитить вашу сеть.

Способы и методы защиты информации от сетевых атак Варианты реагирования на сетевую атаку.

Мало обнаружить атаку, - необходимо на нее соответствующим образом отреагировать. Именно варианты реагирования во многом определяют эффективность системы обнаружения атак. На сегодняшний день предлагаются следующие варианты реагирования:

• Уведомление на консоль (включая резервную) системы обнаружения атак или на консоль интегрированной системы (например, межсетевого экрана).

• Звуковое оповещение об атаке.

• Генерация управляющих последовательностей SNMP для систем сетевого управления.

• Генерация сообщения об атаке по электронной почте.

• Дополнительные уведомления на пейджер или факс. Очень интересная, хотя и редко применяемая возможность. Оповещение об обнаружении несанкционированной деятельности посылается не администратору, а злоумышленнику. По мнению сторонников данного варианта реагирования, нарушитель, узнав, что его обнаружили, вынужден прекратить свои действия.

• Обязательная регистрация обнаруживаемых событий. В качестве журнала регистрации могут выступать:

• текстовый файл,

• системный журнал (например, в системе Cisco Secure Integrated Software),

• текстовый файл специального формата (например, в системе Snort),

• локальная база данных MS Access,

• SQL-база данных (например, в системе RealSecure).

Надо только учитывать, что объемы регистрируемой информации требуют, как правило, SQL-базу - MS SQL или Oracle.

• Трассировка событий (event trace), т.е. запись их в той последовательности и с той скоростью, с которыми их реализовывал злоумышленник. Затем администратор в любое заданное время может прокрутить (replay или playback) необходимую последовательность событий с заданной скоростью (в реальном режиме времени, с ускорением или замедлением), чтобы проанализировать деятельность злоумышленника. Это позволит понять его квалификацию, используемые средства атаки и т.д.

• Прерывание действий атакующего, т.е. завершение соединения. Это можно сделать, как:

• перехват соединения (session hijacking) и посылка пакета с установленным флагом RST обоим участникам сетевого соединения от имени каждого из них (в системе обнаружения атак, функционирующей на уровне сети);

• блокировка учетной записи пользователя, осуществляющего атаку (в системе обнаружения атак на уровне узла). Такая блокировка может быть осуществлена либо на заданный промежуток времени, либо до тех пор, пока учетная запись не будет разблокирована администратором. В зависимости от привилегий, с которыми запущена система обнаружения атак, блокировка может действовать как в пределах самого компьютера, на который направлена атака, так и в пределах всего домена сети.

• Реконфигурация сетевого оборудования или межсетевых экранов. В случае обнаружения атаки на маршрутизатор или межсетевой экран посылается команда на изменение списка контроля доступа. Впоследствии все попытки соединения с атакующего узла будут отвергаться. Как и блокировка учетной записи злоумышленника, изменение списка контроля доступа может быть осуществлено или на заданный интервал времени или до того момента, как изменение будет отменено администратором реконфигурируемого сетевого оборудования.

• Блокирование сетевого трафика так, как это реализовано в межсетевых экранах. Этот вариант позволяет ограничить трафик, а также адресатов, которые могут получить доступ к ресурсам защищаемого компьютера, позволяя выполнять функции доступные в персональных межсетевых экранах.

Десять средств защиты.

1. Оперативная установка исправлений для программ (Patching). Компании часто выпускают исправления программ, чтобы ликвидировать неблагоприятные последствия ошибок в них. Если не внести исправления в программы, впоследствии атакующий может воспользоваться этими ошибками и проникнуть в ваш компьютер. Системные администраторы должны защищать самые важные свои системы, оперативно устанавливая исправления для программ на них. Тем не менее, установить исправления для программ на всех хостах в сети трудно, так как исправления могут появляться достаточно часто. В этом случае надо обязательно вносить исправления в программы на самых важных хостах, а кроме этого установить на них другие средства защиты, описанные ниже. Обычно исправления должны получаться только от производителей программ.

2. Обнаружение вирусов. Хорошие антивирусные программы - незаменимое средство для повышения безопасности в любой сети. Они наблюдают за работой компьютеров и выявляют на них вредоносные программы. Единственной проблемой, возникающей из-за них, является то, что для максимальной эффективности они должны быть установлены на всех компьютерах в сети. На установку антивирусных программ на всех компьютерах и регулярное обновление антивирусных баз в них может уходить достаточно много времени - но иначе это средство не будет эффективным. Пользователей следует учить, как им самим делать эти обновления, но при этом нельзя полностью полагаться на них. Помимо обычной антивирусной программе на каждом компьютере рекомендуется, чтобы организации сканировали приложения к электронным письмам на почтовом сервере. Таким образом можно обнаружить большинство вирусов до того, как они достигнут машин пользователей.

3. Межсетевые экраны. Межсетевые экраны (firewalls) - это самое важное средство защиты сети организации. Они контролируют сетевой трафик, входящий в сеть и выходящий из нее. Межсетевой экран может блокировать передачу в сеть какого-либо вида трафика или выполнять те или иные проверки другого вида трафика. Хорошо сконфигурированный межсетевой экран в состоянии остановить большинство известных компьютерных атак.

4. Вскрыватели паролей (Password Crackers). Хакеры часто используют малоизвестные уязвимые места в компьютерах для того, чтобы украсть файлы с зашифрованными паролями. Затем они используют специальные программы для вскрытия паролей, которые могут обнаружить слабые пароли в этих зашифрованных файлах. Как только слабый пароль обнаружен, атакующий может войти в компьютер, как обычный пользователь и использовать разнообразные приемы для получения полного доступа к вашему компьютеру и вашей сети. Хотя это средство используются злоумышленниками, оно будет также полезно и системным администраторам. Они должны периодически запускать эти программы на свои зашифрованные файлы паролей, чтобы своевременно обнаружить слабые пароли.

5. Шифрование. Атакующие часто проникают в сети с помощью прослушивания сетевого трафика в наиболее важных местах и выделения из него имен пользователей и их паролей. Поэтому соединения с удаленными машинами, защищаемые с помощью пароля, должны быть зашифрованы. Это особенно важно в тех случаях, если соединение осуществляется по Интернет или с важным сервером. Имеется ряд коммерческих и бесплатных программ для шифрования трафика TCP/IP (наиболее известен SSH).

6. Сканеры уязвимых мест. Это программы, которые сканируют сеть в поисках компьютеров, уязвимых к определенным видам атак. Сканеры имеют большую базу данных уязвимых мест, которую они используют при проверке того или иного компьютера на наличие у него уязвимых мест. Имеются как коммерческие, так и бесплатные сканеры.

7. Грамотное конфигурирование компьютеров в отношении безопасности. Компьютеры с заново установленными операционными системами часто уязвимы к атакам. Причина этого заключается в том, что при начальной установке операционной системы обычно разрешаются все сетевые средства и часто разрешаются небезопасным образом. Это позволяет атакующем использовать много способов для организации атаки на машину. Все ненужные сетевые средства должны быть отключены.

8. Боевые диалеры (war dialer). Пользователи часто обходят средства защиты сети организации, разрешая своим компьютерам принимать входящие телефонные звонки. Пользователь перед уходом с работы включает модем и соответствующим образом настраивает программы на компьютере, после чего он может позвонить по модему из дома и использовать корпоративную сеть. Атакующие могут использовать программы-боевые диалеры для обзвона большого числа телефонных номеров в поисках компьютеров, обрабатывающих входящие звонки. Так как пользователи обычно конфигурируют свои компьютеры сами, они часто оказываются плохо защищенными и дают атакующему еще одну возможность для организации атаки на сеть. Системные администраторы должны регулярно использовать боевые диалеры для проверки телефонных номеров своих пользователей и обнаружения сконфигурированных подобным образом компьютеров. Имеются как коммерческие, так и свободно распространяемые боевые диалеры.

9. Рекомендации по безопасности (security advisories). Рекомендации по безопасности - это предупреждения, публикуемые группами по борьбе с компьютерными преступлениями и производителями программ о недавно обнаруженных уязвимых местах. Рекомендации обычно описывают самые серьезные угрозы, возникающие из-за этих уязвимых мест и поэтому являются занимающими мало времени на чтение, но очень полезными. Они описывают в целом угрозу и дают довольно конкретные советы о том, что нужно сделать для устранения данного узявимого места.

10. Средства обнаружения атак (Intrusion Detection). Системы обнаружения атак оперативно обнаруживают компьютерные атаки. Они могут быть установлены за межсетевым экраном, чтобы обнаруживать атаки, организуемые изнутри сети. Или они могут быть установлены перед межсетевым экраном, чтобы обнаруживать атаки на межсетевой экран.

Не будь уязвимостей в компонентах информационных систем, нельзя было бы реализовать многие атаки и, следовательно, традиционные системы защиты вполне эффективно справлялись бы с возможными атаками. Однако программы пишутся людьми, которым свойственно делать ошибки. Вследствие чего и появляются уязвимости, которые используются злоумышленниками для реализации атак. Однако это только полбеды. Если бы все атаки строились по модели «один к одному», то с некоторой натяжкой, но межсетевые экраны и другие защитные системы смогли бы противостоять и им. Но появились скоординированные атаки, против которых традиционные средства уже не так эффективны. И тут на сцене и появляются новые технологии - технологии обнаружения атак. Приведенная систематизация данные об атаках и этапах их реализации дает необходимый базис для понимания технологий обнаружения атак.

Установка антивируса и файрвола

После проведенных сравнительных тестов было выбрано два программных продукта антивирусная программа Eset NOD32 и файрвол Zone Alarm Security Suite. Данные продукты наиболее полно отвечают требованиям защиты конкретной компьютерной системы и по результатам пройденных тестов показали высокую устойчивость к различным атакам. Программные продукты были установлены, настроены и протестированы на совместимость и корректную работу с конкретной компьютерной системой организации системой, так же были изменены настройки системы безопасности.Проверка защиты конкретной компьютерной системы строится на следующих принципах:

1) Проверка работы антивирусного монитора.

Он предназначен для предварительной антивирусной проверки файлов, осуществляемой путем перехвата текущих файловых операций, связанных с вирусной активностью. Монитор антивируса следит за открываемыми страницами и в случае, если на странице будет обнаружен подозрительный сценарий, антивирус выведет сообщение. Протестировать антивирусное программное обеспечение, можно с помощью сервиса использующего тестовый вирус EICAR, который стал стандартом в тестировании антивирусного программного обеспечения. Этот вирус не является вирусом в обычном понимании этого слова. EICAR всего лишь содержит определенную последовательность символов, описание которой антивирусное программное обеспечение должно содержать в своих базах и правильно распознавать в проверяемых объектах. Сам же, EICAR не наносит ни какого вреда, ни данным, ни компьютеру, он ни чего не заражает и не удаляет. В этом смысле, EICAR не является вредоносным программным обеспечением. Антивирусный монитор должен работать постоянно и отслеживать операции чтения–записи файлов. Протестированный данным сервисом антивирус NOD32 сразу после закачки файла предупредил о том, что данный архив содержит зараженный файл.

2) Проверка работы антивируса при посещении страниц с опасным сценарием.

Антивирус должен проверять сценарии, которые находятся на посещаемых сайтах. Используя один из сервисов попробуем открыть страницу, на которой находится сценарий, содержащий последовательность EICAR. Антивирус должен обнаружить эту последовательность и предложить не выполнять опасный сценарий. Если этого не происходит, то компьютер может быть заражен вирусом при посещении специально созданной веб–страницы. NOD32 при открытия данной страницы предупреждает о том что данный сценарий опасен и возможно заражение компьютера.

3) Проверка работы почтового антивируса.

Отправка тестового вируса на бесплатные почтовые серверы (yandex.ru, mail.ru, rambler.ru и т.д.) не имеет смысла: на этих серверах работает антивирус, который удалит тестовое письмо без уведомления получателя. Выбранный сервис сформирует письмо с вложением тестового файла EICAR и отправит его на указанный адрес (который заранее был указан). При проверке данного почтового адреса антивирус обнаружил EICAR в письме и преложил либо удалить вложенный файл, либо удалить всё письмо.

4) Сканирование сканера безопасности.

Тестовая машина была просканирована сканером уязвимостей Retina до, и после установки файрвола. Результаты сканирования показаны в таблице ниже.

Название	До установки файрвола	После установки файрвола	Режим невидимости
Ответ на ping	да	да	нет
Время ответа	да	да	нет
Имя домена/рабочей группы	да	нет	нет
Трассировка маршрута	да	да	нет
Время жизни пакета	да	да	нет
Определение версии ОС	да	нет	нет
Определение даты и времени	да	нет	нет
Определение MAC–адреса	да	нет	нет
Открытый порт 135	да	нет	нет
Открытый порт 139	да	нет	нет
Открытый порт 445	да	нет	нет
Доступ к административным общим ресурсам	да	нет	нет

Результаты сканирования демонстрируют, что установка файрвола закрывает доступ к открытым портам и отключает доступ к административным общим ресурсам. Включение режима невидимости скрывает компьютер в сети, и он перестает откликаться на ping (утилита для проверки соединений в сетях на основе TCP/IP).

5) Проверка функционирования защиты файрвола при серьёзных сетевых нагрузках

Файрвол — приложение, исполняющее роль межсетевого экрана для отдельного компьютера (обычно персонального), запущенное на этом же самом компьютере.

Файрвол (межсетевой экран или сетевой экран) — комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.

В ходе тестирования файрвола была выполнена атака по основным протоколам. Данный тест призван показать поведение файрвола при серьезных нагрузках, которых можно достичь только в локальной сети. По умолчанию, после установки файрвола, включен режим блокировки атакующего хоста на 1 час. Эта функция работает, и при первой же тестовой атаке файрвол запретил все входящие подключения с машины, на которой работала утилита, с помощью которой производилась атака. Чтобы получить корректные результаты теста, время блокировки атакующего хоста было установлено на 0, но сохранено включенным обнаружение атаки. В ходе тестирования файрвол определял тип атаки, о чем информировал в главном окне программы. При атаке на машину под защитой Zone Alarm Security Suite загрузка процессора оставалась на приемлемом уровне, а объем использованной программой памяти практически не менялся. Самая тяжелая атака по протоколу TCP при отключенном режиме невидимости вызвала загрузку процессора в районе 70%, но эта загрузка не была постоянной, а изменялась от 3% до 69%. Во время этой атаки некоторое замедление скорости работы компьютера было ощутимо, но работу можно было продолжать.

Алгоритм защиты. Настройка параметров безопасности системы.

Для более эффективной защиты требуется завести различные группы пользователей с разными правами. Администратор - с полным набором прав и Операторы, члены группы не могут изменять группы «Администратор» и «Операторы», не могут являться владельцами файлов, не могут выполнять архивирование и восстановление каталогов, не могут загружать и выгружать драйверы устройств или управлять журналами безопасности и аудита.

Для аварийного восстановления системы необходим диск аварийного восстановления. Создание диска аварийного восстановления производится с помощью команды ntbackup.

Установка антивирусной программы и файрвола.

Одно и самое главное правило - это разумный выбор и установка антивирусной программы и файрвола.

Политика паролей

Для того чтобы пользователь использовал лишь предложенную политику паролей необходимо в разделе Локальные параметры безопасности в подразделе Политика паролей установить:

• Максимальный срок действия пароля 30 дней (по умолчанию 42)

• Минимальная длина паролей - 8 символов (по умолчанию 0)

• Минимальный срок действия пароля 0 дней (по умолчанию 0)

• Пароли должны отвечать требованиям сложности - Включить (по умолчанию Отключено)

• Требование неповторяемости паролей 6 (по умолчанию 0)

• Хранить пароли всех пользователей в домене, используя обратимое шифрование (Отключено по умолчанию).

Политика блокировки учетной записи

• Блокировка учетной записи 30 минут (по умолчанию)

• Пороговое значение блокировки - 3 попытки входа (по умолчанию - 0)

• Сброс счетчика блокировки через 30 минут (по умолчанию)

Политика аудита

По умолчанию журнал аудита не включен. Для отслеживания происходящих событий рекомендуются следующие настройки:

• Аудит входа в систему - успех (отслеживать попытки входа)

• Аудит доступа к службе каталогов - отказ

• Аудит изменения политики - успех, отказ

• Аудит использования привилегий - включить (по умолчанию нет аудита)

• Аудит отслеживания процессов - включить (по умолчанию нет аудита)

• Аудит системных событий - включить (по умолчанию нет аудита)

• Аудит событий входа в систему - успех

• Аудит управления учетными записями - успех, отказ

При этом журнал аудита рекомендуется просматривать не реже 1 раза в неделю.

Параметры безопасности

Рекомендуется изменить следующие параметры:

• Напоминать пользователям об истечении срока действия пароля - 14 дней (по умолчанию).

• Не отображать последнего имени пользователя в диалоге входа - включен (по умолчанию - отключен).

• Отключить CTRL+ALT+DEL запрос на вход в систему - отключен (по умолчанию не установлен).

• Очистка страничного файла виртуальной памяти - включить (по умолчанию - отключен).

Заключение

С течением времени вопросы защиты информации, распознавания различных атак становятся все актуальнее. Средства атакующих и способы атак делаются все разнообразней и опаснее, а вслед за ними разрабатываются новые и более надежные средства защиты. И угнаться за ними, конечно, становится все сложнее и сложнее.

По моему мнению, не стоит игнорировать советы и уж тем более забывать об таких элементарных вещах как, например, обновление антивирусных программ через Интернет. В своей работе я описала только некоторые, из большого множества существующих, способы атак и средства защиты. Дала их определение, сущность, виды и классификации.

Итак мы выяснили, что необходимо устанавливать все обновления используемого сетевого ПО своевременно и обновлять антивирусные базы, как минимум, один раз в сутки. Такой жесткий контроль поможет обезопасить ваш компьютер от атак разного характера.

Мнения специалистов в области обеспечения защиты и выявления атак свидетельствуют, что комплексная концепция защиты от сетевых атак предполагает обязательное проведение следующих мероприятий:

• Разработка политики безопасности по осуществлению контроля сетевого доступа.

• Анализ рисков и уязвимостей, использование положительного опыта и существующих решений по обеспечению безопасности.

• Проектирование системы защиты, определение требований, предъявляемых к используемым средствам и механизмам защиты.

• Ранжирование выбранных контрмер по степени важности и реализация наиболее приоритетных.

• Периодическое тестирование эффективности реализованных контрмер.

Я надеюсь, что вы воспользуетесь моими советами, анализами и исследованиями, а также материалами, изложенными в работе, и сумеете защитить свои информационные ресурсы от любых посягательств и проблем!

Источники

1. Анин Б.Ю. Защита компьютерной информации. - СПб.: БХВ-Санкт-Петербург, 2000. - 384 с.

2. Атака на Internet./ Медведовский И.Д., Семьянов П.В. и др. - М.: ДМК, 1999.

3. http://bugtraq.ru/library/books/attack1/chapter3/c31.html

4. http://images.yandex.ru/yandsearch?ed=1&text=%D0%BA%D0%BB%D0%B0%D1%81%D1%81%D0%B8%D1%84%D0%B8%D0%BA%D0%B0%D1%86%D0%B8%D1%8F%20%D0%B2%D0%B8%D1%80%D1%83%D1%81%D0%BE%D0%B2&p=0&img_url=www.bestreferat.ru%2Fimages%2Fref%2F79%2F187979.png&rpt=simage

5. http://protect.htmlweb.ru/attack.htm

6. http://pchelpforum.ru/f26/t16/

7. http://ru.wikipedia.org/wiki/Удалённые_сетевые_атаки

8. http://www.3dnews.ru/software/antivirus_review_2009/index4.htm

31