'

Защита информации в компьютерных сетях

Понравилась презентация – покажи это...





Слайд 0

Защита информации в компьютерных сетях Презентации к курсу лекций


Слайд 1

Компьютерные атаки


Слайд 2

Компьютерная атака это целенаправленное воздействие на АИС, осуществляемое программными средствами с целью нарушения конфиденциальности, целостности или доступности информации Осуществление компьютерных атак становится возможным благодаря наличию в компьютерной системе уязвимостей


Слайд 3

Примеры уязвимости КС ошибки, допущенные в ходе разработки ПО или протоколов обмена например, отсутствие механизмов защиты информации от несанкционированного доступа ошибки в программном коде, позволяющие тем или иным образом обойти систему защиты (например, ошибки программирования, создающие возможность выполнить атаку на переполнение буфера) ошибки конфигурирования и администрирования (неправильная настройка системы защиты, слишком короткий пароль и т. д.).


Слайд 4

Классификация компьютерных атак По типу используемой уязвимости, то есть с позиции атакуемого По конечной цели злоумышленника, то есть с позиции атакующего вывод компьютерной системы из строя или ее блокирование (отказ в обслуживании, Denial-of-Service, DoS), копирование или подмена интересующей информации, получение полномочий суперпользователя По признакам, позволяющим обнаружить атаку, то есть с позиции наблюдателя наличие в журнале регистрации событий или сетевом трафике определенной информации, подключение к определенной сетевой службе и пр.


Слайд 5

Рост обнаруживаемых вредоносных программ


Слайд 6

Распределение по ОС


Слайд 7

Современные ВП Лидирует ОС Windows, что говорит главным образом о популярности самой ОС у конечных пользователей Технологии распространения с помощью вложений в почтовые сообщения с помощью уязвимостей ОС Windows и ее приложений


Слайд 8

Современные ВП узлы со старыми системами без обновления уязвимых компонентов, уязвимости «живут» 1-2 года; рост числа атак, конечной целью которых является рассылка спама; наличие «фонового шума» (15% трафика), вызванного большим количеством bot-сетей, ориентированных на устаревшие уязвимости; распространение вредоносных программ через веб-страницы; увеличение количества атак, основанных на подборе паролей (bruteforce), направленных на MSSQL, SSH, FTP


Слайд 9

Сетевые атаки сбор информации изучение сетевой топологии, определение типа и версии ОС атакуемого узла, доступных сетевых сервисов выявление уязвимых мест атакуемой системы анализ наличия уязвимостей в ПО и его настройках реализация выбранной атаки отправка сетевых пакетов на определенные сетевые службы SYN Flood, Teardrop, UDP Bomb, подбор паролей


Слайд 10

Исследование сетевой топологии ICMP-сканирование команда ECHO_REQUEST протокола ICMP ответное сообщение ECHO_REPLY TCP-сканирование последовательная установка сетевого соединения по определенному порту с перебором IP-адресов


Слайд 11

ICMP-сканирование


Слайд 12

ICMP-запрос


Слайд 13

ICMP-ответ


Слайд 14

Результат ICMP-сканирования


Слайд 15

TCP-сканирование SYN-флаг


Слайд 16

Искомый узел присутствует Флаги RST и ACK


Слайд 17

Сканирование портов Определение функционирующих сетевых служб TCP-21- ftp TCP- 23- telnet TCP- 25- smtp TCP- 80- http TCP- 110- pop3 TCP- 135- RPC TCP- 139- NetBIOS TCP- 445- RPC, DFS


Слайд 18


Слайд 19


Слайд 20

Сonnect()-сканирование, порт 21


Слайд 21

Ответ - «закрытый порт»


Слайд 22

Сonnect()-сканирование, порт 135


Слайд 23

Ответ - «открытый порт»


Слайд 24

Иные способы сканирования SYN-сканирование, FIN-сканирование, ACK-сканирование, XMAS-сканирование, NULL-сканирование, UDP-сканирование


Слайд 25

Выявление уязвимых мест сканером LanGuard


Слайд 26

Реализации атак


Слайд 27

Реализации атак Анонимное подключение в ОС Windows net?use?\\*.*.*.*\IPC$?""?/user:""


Слайд 28

Общие принципы защиты Обнаружение и запрет: входящих ICMP-запросов исходящих ICMP-ответов установки TCP-соединений извне опасных TCP- и UDP-портов


Слайд 29

Усложненные атаки последовательность опроса узлов 07:11:38.123565 200.0.0.200 > 200.0.0.34: icmp: echo request 07:11:51.456342 200.0.0.200 > 200.0.0.47: icmp: echo request 07:11:04.678432 200.0.0.200 > 200.0.0.3: icmp: echo request 07:12:18.985667 200.0.0.200 > 200.0.0.12: icmp: echo request 07:12:31.024657 200.0.0.200 > 200.0.0.11: icmp: echo request 07:12:44.044567 200.0.0.200 > 200.0.0.9: icmp: echo request 07:12:57.071234 200.0.0.200 > 200.0.0.104: icmp: echo request .... увеличение интервала времени 12:01:38.234455 200.0.0.200 > 200.0.0.67: icmp: echo request 12:03:51.543524 200.0.0.200 > 200.0.0.87: icmp: echo request 12:05:04.655342 200.0.0.200 > 200.0.0.134: icmp: echo request 12:07:18.573256 200.0.0.200 > 200.0.0.23: icmp: echo request 12:09:31.676899 200.0.0.200 > 200.0.0.11: icmp: echo request 12:11:44.896754 200.0.0.200 > 200.0.0.104: icmp: echo request 12:13:57.075356 200.0.0.200 > 200.0.0.2: icmp: echo request


Слайд 30

Усложненные атаки


Слайд 31

Обнаружение атак Системы обнаружения атак, СОА (intrusion detection systems, IDS)


Слайд 32

Система обнаружения атак программный или программно-аппаратный комплекс, предназначенный для выявления и, по возможности, предупреждения, действий, угрожающих безопасности информационной системы СОА, СОКА, СОПКА Система обнаружения вторжений IDS, NIDS


Слайд 33

Классификация СОА по методу обнаружения: системы сигнатурного анализа системы обнаружения аномалий; по способу обработки данных: системы реального времени системы отложенной обработки; по типу анализируемых данных: узловые (host-based) сетевые (network-based); по конфигурации: компактные распределенные системы


Слайд 34

СОА Snort по методу обнаружения: система сигнатурного анализа по способу обработки данных: система реального времени по типу анализируемых данных: сетевая (network-based); по конфигурации: компактная


Слайд 35

СОА Snort Сигнатуры атак описываются при помощи правил (rules) Набор правил требует обновления Доступно зарегистрированным пользователям


Слайд 36

ЗАЩИТА СЕТЕЙ С ИСПОЛЬЗОВАНИЕМ МЕЖСЕТЕВЫХ ЭКРАНОВ


Слайд 37

Стандартные требования К Web-серверам организации должен быть разрешен доступ из Интернет В организацию должна приходить почта Из внутренней сети должен быть разрешен доступ к внешним Web- и FTP-серверам Необходимо разрешить отправлять исходящую почту


Слайд 38

Стандартная задача Между Интернетом и внутренней сетью не должно быть прямого трафика


Слайд 39

Межсетевой экран (МЭ) Система межсетевой защиты, позволяющая разделить общую сеть на две части и более и реализовать набор правил, определяющих условия прохождения пакетов с данными через границу из одной части общей сети в другую Firewall, брандмауэр


Слайд 40

Межсетевой экран (МЭ) Локальное или функционально-распределенное аппаратно-программное (программное) средство, реализующее контроль за информацией, поступающей в АС и/или выходящей из АС


Слайд 41

Политика сетевой безопасности Политика доступа к сетевым ресурсам Политика реализации МЭ


Слайд 42

Политика сетевой безопасности Политика доступа к сетевым ресурсам запретить доступ из Интернет во внутреннюю сеть, но разрешить доступ из внутренней сети в Интернет разрешить ограниченный доступ во внутреннюю сеть из Интернет


Слайд 43

Политика сетевой безопасности Политика реализации МЭ запрещать все, что не разрешено разрешать все, что не запрещено


Слайд 44

Основные компоненты МЭ Фильтрующие маршрутизаторы Шлюзы сетевого уровня Шлюзы прикладного уровня


Слайд 45

Фильтрующий маршрутизатор Фильтрация входящих и исходящих пакетов на основе информации, содержащейся в TCP- и IP- заголовках пакетов


Слайд 46

Схема инкапсуляции данных в стеке протоколов TCP/IP Прикладной уровень (SMTP, Telnet, FTP) Транспортный уровень (TCP, UDP, ICMP) Уровень Интернет (IP) Уровень сетевого доступа (Ethernet, FDDI,ATM)


Слайд 47

Схема информационного обмена


Слайд 48

Критерии фильтрации пакетов IP-адрес отправителя IP-адрес получателя тип протокола (TCP, UDP, ICMP) порт отправителя (TCP, UDP) порт получателя (TCP, UDP) тип сообщения (ICMP)


Слайд 49

Задача 1 Обеспечить обмен электронной почтой между внутренним и внешним SMTP серверами протоколTCP, порт:25


Слайд 50

Правила внутреннего и внешнего соединения узлов Правила A, B - чтобы на наш сервер приходили письма Правила C, D - чтобы наш сервер мог отправлять письма Правило E - запрещает иные пакеты


Слайд 51

Правила A,B,C,D,E Троянцы!!!


Слайд 52

Улучшенные правила Правило Направление Тип Источник А вход TCP внешн B выход TCP внутр C выход TCP внутр D вход TCP внешн E любое любой любой


Слайд 53

Улучшенные правила A,B,C,D,E Троянцы!!!


Слайд 54

Задача 2 Защищаемая организация имеет сеть 123.45.0.0/16 Запретить из Интернет доступ в сеть 123.45.0.0/16 Но разрешить доступ в подсеть 123.45.6.0/24 данной сети из сети 135.79.0.0/16 При этом специально запретить в защищаемую сеть доступ из подсети 135.79.6.0/24, за исключением доступа к подсети 123.45.6.0/24


Слайд 55

Пояснение - маска подсети Адрес в сети: 123.45.6.0 01111011.00101101.00000110.00000000 255.255.255.255 11111111.11111111.11111111.11111111 /16 255.255.0.0 /24 255.255.255.0


Слайд 56

Правила фильтрации пакетов, поступающих извне


Слайд 57

Примеры пакетов


Слайд 58

Пример при удалении правила B Пакет Адрес источника Адрес назначения Требуемое действие Действие AC 1 135.79.6.1 123.45.1.1 отказ Отказ (С) 2 135.79.6.1 123.45.6.1 разрешение Разрешение (A) 3 135.79.1.1 123.45.6.1 разрешение Разрешение (A) 4 135.79.1.1 123.45.1.1 отказ Отказ (С)


Слайд 59

Задача 3 Защищаемая организация имеет сеть 123.4.0.0/16 Входящие соединения TELNET разрешаются только с хостом 123.4.5.6 Входящие соединения SMTP разрешаются только с хостами 123.4.5.7 и 123.4.5.8 Входящий обмен по NNTP разрешается только от сервера новостей 129.6.48.254 и только с хостом 123.4.5.9 Входящий протокол NTP (сетевого времени) - разрешается для всех


Слайд 60

Правила фильтрации


Слайд 61

Установка TCP соединения (3-way handshake)


Слайд 62

Пример настройки правил фильтрации входящих пакетов


Слайд 63


Слайд 64


Слайд 65


Слайд 66


Слайд 67


Слайд 68


Слайд 69

Пример настройки правил фильтрации исходящих пакетов


Слайд 70

Фильтрующие маршрутизаторы невысокая стоимость гибкость в определении правил фильтрации небольшая задержка при прохождении пакетов внутренняя сеть видна (маршрутизируется) правила фильтрации трудны в описании и требуют хороших знаний технологии TCP и UDP невозможность полного тестирования правил фильтрации, нет защиты от непротестированных атак при выключении МЭ все компьютеры становятся незащищенными либо недоступными возможна подмена IP-адреса атакующего отсутствует аутентификация на пользовательском уровне


Слайд 71

Дополнительные возможности фильтрующих маршрутизаторов NAT - для подключения локальной сети c частными адресами к Интернет при использовании одного IP-адреса Port Mapping - возможность переадресации сетевых служб на внутренние адреса несмотря на использование NAT


Слайд 72

NAT замена IP-адресов внутренней сети на адрес внешнего интерфейса


Слайд 73

Port Mapping Переадресация запросов некоторых портов на внутренние серверы SMTP -25 POP3 -110 FTP - 21 МЭ 206.86.181.25 FTP, Web, SMTP, POP3,Telnet - клиенты 192.168.1.2 WWW -80 192.168.1.3 Telnet -23 192.168.1.4 порт 25 - 192.168.1.2 порт 110 - 192.168.1.2


Слайд 74

Шлюз прикладного уровня


Слайд 75

Реализация шлюза прикладного уровня


Слайд 76

Укрепленный компьютер установка защищенной версии ОС удаление ненужных сетевых служб удаление ненужных приложений защита ресурсов и контроль доступа настройка регистрации и аудита


Слайд 77

Основные схемы сетевой защиты на базе МЭ МЭ - фильтрующий маршрутизатор МЭ на основе двупортового шлюза МЭ на основе экранированного шлюза МЭ - экранированная подсеть


Слайд 78

МЭ -фильтрующий маршрутизатор


Слайд 79

Двупортовый шлюз Двудомный хост - компьютер с двумя сетевыми интерфейсами


Слайд 80

Экранированный шлюз


Слайд 81

Экранированная подсеть


Слайд 82

Политика сетевой безопасности Доступ из Интернет в корпоративную сеть: во внутреннюю приватную сеть доступ извне запрещен к МЭ извне доступ запрещен В ДМЗ доступ разрешен ТОЛЬКО к следующим портам на объектах (в остальных случаях доступ запрещен): Web-сервер. анонимный доступ всем разрешен только к 80 порту. разрешен авторизованный FTP-доступ на 21 порт и 20 порт (возможно с предварительной идентификацией / аутентификацией на МЭ) администратору Web-сервера только из сегмента административного управления (с приватного IP-адреса администратора). из приватной сети, только из сегмента административного управления (с IP-адреса администратора) возможен удаленный терминальный доступ по протоколу rsh на Web-сервер Mail-сервер (SMTP и POP3) разрешен доступ только из приватной корпоративной сети к сервису POP3 - 110 порт разрешен доступ к SMTP сервису - 25 порт только из приватной сети   Доступ из корпоративной сети в Интернет разрешен без ограничений


Слайд 83

Виртуальные частные сети Virtual Private Network (VPN) – это технология, объединяющая доверенные сети, узлы и пользователей через открытые сети, к которым нет доверия


Слайд 84

Схема VPN


Слайд 85

Задачи, решаемые VPN Защита (конфиденциальность, целостность, подлинность) передаваемой по сетям информации Защита внутренних сегментов сети от НСД извне Идентификация и аутентификация пользователей


Слайд 86

Требования к VPN Масштабируемость Интегрируемость Легальность используемых алгоритмов Пропускная способность сети Стойкость криптоалгоритмов Унифицируемость Общая совокупная стоимость


Слайд 87

Туннелирование в VPN Данные IP-заголовок Шифруются на пакетном ключе и подписываются ЭЦП Данные IP-заголовок Пакетный ключ ЭЦП пакета Пакетный ключ шифруется на ключе связи, формируется новый IP-пакет (IP-адреса устройств защиты) Данные IP-заголовок Пакетный ключ ЭЦП пакета IP-заголовок Аутентифицирующий заголовок


Слайд 88

Уровни защищенных каналов


Слайд 89

Защита данных на канальном уровне


Слайд 90

Защита данных на канальном уровне Прозрачность для приложений и служб прикладного уровня Независимость от транспортного и сетевого уровня (IP, IPX, NetBEUI) Протоколы PPTP (Point-to-Point Tunneling Protocol)-MS L2F (Layer-2 Forwarding) – Cisco Systems L2TP (Layer-2 Tunneling Protocol) – объединенный


Слайд 91

PPTP Сначала производится инкапсуляция данных с помощью протокола PPP, затем протокол PPTP выполняет шифрование данных и собственную инкапсуляцию Р


Слайд 92

Установка соединения


Слайд 93

TCP-соединение, порт 110 Source IP 195.12.90.175 Dest IP 194.226.237.16 Source Port 1134 Dest Port 110


Слайд 94

Протокол POP3


Слайд 95


Слайд 96

DNS-запрос, порт 53


Слайд 97

HTTP-ответ, порт 80


Слайд 98

Отсутствие шифрования данных


Слайд 99

Аутентификация пользователей PPTP Extensible Authentication Protocol (EAP), Microsoft Challenge Handshake Authentication Protocol (MSCHAP) версии 1 и 2, Challenge Handshake Authentication Protocol (CHAP), Shiva Password Authentication Protocol (SPAP) Password Authentication Protocol (PAP) Наилучший - MSCHAP версии 2 - взаимная аутентификация клиента и сервера


Слайд 100

Варианты аутентификации Microsoft PPTP Текстовый пароль: Клиент передает серверу пароль в открытом виде Хэшированный пароль: Клиент передает серверу хэш пароля Вызов/Отклик: Аутентификация сервера и клиента с использованием протокола MS-CHAP (вызов/отклик)


Слайд 101

Аутентификация MSCHAP Клиент запрашивает вызов сетевого имени. Сервер возвращает восьмибитовый случайный вызов. Клиент вычисляет хэш-функцию Lan Manager, добавляет пять нулей для создания 21-байтовой строки и делит строку на три семибайтовых ключа. Каждый ключ используется для шифрации вызова, что приводит к появлению 24-разрядного шифрованного значения. Оно возвращается серверу как отклик. Клиент выполняет то же самое с хэш-функцией Windows NT. Сервер ищет значение хэш-функции в своей базе данных, шифрует запрос с помощью хэш-функции и сравнивает его с полученными шифрованными значениями. Если они совпадают, аутентификация заканчивается.


Слайд 102

Шифрование в PPTP Версия шифрования DES компании RSA Data Security, получившей название "шифрование двухточечной связи Microsoft" (Microsoft Point-to-Point Encryption - MPPE). Существование секретного ключа, известного обоим участникам соединения Используется поточный шифр RC4 с 40- либо 128-разрядным ключом


Слайд 103

Формирование ключа RC4 40-битовый Генерация определяющего 64-битового ключа из хэш-функции Lan Manager пароля пользователя (известного пользователю и серверу) с помощью SHA. Установка старших 24 бит ключа в значение 0xD1269E 128-битовый Объединение хэша Windows NT и 64-битового случайного значения, выданного сервером при работе по протоколу MS-CHAP. Данное число посылается клиенту по протоколу обмена, потому оно известно и клиенту, и серверу. Генерация определяющего 128-битового ключа из результатов предыдущего этапа с помощью SHA.


Слайд 104

Уровни защищенных каналов


Слайд 105

Защита на сетевом уровне


Слайд 106

Защита на сетевом уровне Протокол SKIP (Simple Key management for Internet Protocol – простое управление ключами для IP-протокола) Разработчик – Sun Microsystems, 1994 Аппаратная независимость Прозрачность для приложений Независимость от системы шифрования


Слайд 107

Система открытых ключей Диффи-Хеллмана


Слайд 108

Система открытых ключей Диффи-Хеллмана Каждый пользователь системы защиты информации имеет секретный ключ Кс, известный только ему, и открытый ключ Ко. Открытый ключ Ко вычисляется из секретного ключа следующим образом: Ko = gKc mod n, где g и n - некоторые заранее выбранные достаточно длинные простые целые числа.


Слайд 109

Протокол SKIP Узел I, адресующий свой трафик к узлу J, на основе логики открытых ключей вычисляет разделяемый секрет Kij. Kij = (Koj)Kci mod n = (gKcj)Kci mod n = gKci*Kcj mod n Ключ Kij является долговременным разделяемым секретом для любой пары абонентов I и J и не может быть вычислен третьей стороной. Отправитель и получатель пакета могут вычислить разделяемый секрет на основании собственного секретного ключа и открытого ключа партнера: Kij = (Koj)Kci mod n = (Koi)Kcj mod n = Kji


Слайд 110

Схема создания SKIP пакета


Слайд 111

Преимущества дополнительная защита разделяемого секрета, так как он используется для шифрования малой части трафика и не даёт вероятному противнику материал для статистического криптоанализа в виде большого количества информации, зашифрованного им; в случае компрометации пакетного ключа ущерб составит лишь небольшая группа пакетов, зашифрованных им.


Слайд 112

Дополнительные меры защиты разделяемого секрета Включение параметра (n), используемого для вычисления ключа Kijn Для получения Kp применяется результат хэш-функции (MD5) из Kij и n. n – время в часах, отсчитанное от 00 час 00 мин 01.01.95 Если n различается более чем на 1 час, то пакет отбрасывается


Слайд 113

SKIP counter


Слайд 114

Конфиденциальность и аутентификация Если применяется режим только аутентификации или только шифрования, заголовки AH и ESP, могут изыматься из пакета. IP - заголовок протокола IP SKIP - заголовок протокола SKIP AH - аутентификационный заголовок ESP - заголовок, включающий данные об инкапсулированном протоколе Inner protocol - пакет инкапсулируемого протокола.


Слайд 115

Проблемы организации способа хранения секретных ключей Kc и кэширования разделяемых секретов Kij способа генерации и хранения (в течение относительно короткого времени жизни) пакетных ключей Kp сертификации открытых ключей.


Слайд 116

Атака man-in-the-middle Атакующая сторона находится внутри сети, где обмениваются информацией пользователи i и j. Цель атаки - предложить от своего имени пользователю i "поддельный" открытый ключ Koj, а пользователю j -соответственно, ключ Koi. После этого третья сторона может принимать весь шифрованный трафик от одного абонента, расшифровывать, читать, шифровать под другим ключом и передавать другому.


Слайд 117

Зашита от атаки Распределением открытых ключей должна заниматься заслуживающая доверия сторона и ключи должны сертифицироваться (сопровождаться электронной подписью этой доверительной стороны). Нотариус (Certificate Authority – СА) подписывает не только открытый ключ, но и целый ряд фактической информации, а также информацию о дате выдаче и дате окончания действия его подписи. Центр Сертификации (ЦС) Получившийся документ (файл) называется сертификатом открытого ключа


Слайд 118

Сертификат Цифровой документ, подтверждающий соответствие между открытым ключом и информацией, идентифицирующей владельца ключа. Он содержит определенную, цифровым образом подписанную информацию о владельце ключа, сведения об открытом ключе, его назначении и области применения, название доверенного центра и т.д. Наиболее распространен формат сертификата, установленный Международным Телекоммуникационным Союзом (ITU Rec. X.509)


Слайд 119

X.509 Стандарт X.509 ITU-T - определение формата электронного сертификата и списков отозванных сертификатов (СОС) имя Издателя сертификата; имя Владельца сертификата; открытый ключ Издателя; срок действия открытого (секретного) ключа Издателя и Владельца; дополнения, используемые при верификации цепочек (basicConstraints, nameConstraints); СОС для каждого Издателя (даже если он не содержит отзываемых сертификатов).


Слайд 120

Электронный сертификат X.509


Слайд 121

X.509


Слайд 122

X.509


Слайд 123


Слайд 124

PKI (public key infrastructure) Инфраструктура Открытых Ключей (ИОК) PKI – инфраструктура управления открытыми ключами, состоит из сети нотариусов Участники взаимодействия должны: Располагать неподдельной копией сертификата СА Автоматически проверять любой сертификат партнера, используя открытый сертификат СА


Слайд 125

Двухслойная иерархия СА подписывают свои сертификаты у центрального СА подписывают сертификаты рядовых пользователей своими закрытыми ключами точно так же, как это делал центральный СА Иерархический слой СА


Слайд 126

Проверка сертификата удаленного абонента Получив сертификат СА, он проверяет его сертификатом центрального СА В случае успешной проверки он начинает доверять этому СА и проверяет с помощью его сертификата сертификат удаленного пользователя Пользователь, получив сертификат партнера, выясняет, что его подписал незнакомый ему СА Он просит партнера предоставить ему сертификат этого СА


Слайд 127

Защита от внешних и внутренних атак не могут обнаружить вирусы и атаки типа "отказ в обслуживании" не могут фильтровать данные по различным признакам защита лишь части трафика, например, направленного в удаленный филиал. Остальной трафик (например, к публичным Web-серверам) проходит через VPN-устройство без обработки нет защиты от действий пользователей, имеющих санкционированный доступ в корпоративную сеть


Слайд 128

Защита на сетевом уровне Протокол IPSec Аутентификация (протокол IKE - Internet Key Exchange) Защита целостности (Заголовок аутентификации AH - Authentication Header) Шифрование (ESP - Encapsulating Security Payload)


Слайд 129

Архитектура IPSec


Слайд 130

Аутентифицирующий заголовок (AH) Защита от атак, связанных с несанкционированным изменением содержимого пакета Специальное применение алгоритма MD5: в процессе формирования AH последовательно вычисляется хэш-функция от объединения самого пакета и некоторого предварительно согласованного ключа затем от объединения полученного результата и преобразованного ключа.


Слайд 131

Заголовок ESP Обеспечение конфиденциальности данных Формат ESP может претерпевать значительные изменения в зависимости от используемых криптографических алгоритмов Любой симметричный алгоритм шифрования


Слайд 132

IKE IKE – протокол обмена ключами Первоначальный этап установки соединения Способ инициализации защищенного канала Процедуры обмена секретными ключами Методы шифрования


Слайд 133

Способы аутентификации IKE «Запрос-ответ» с использованием хэш-функции с общим секретным ключом Сертификаты открытых ключей Керберос


Слайд 134


Слайд 135


Слайд 136


Слайд 137

Производительность Задержки при установлении защищенного соединения Смена ключа – редкое дело Задержки связанные с шифрованием Время зашифрования существенно меньше времени отправки пакетов Задержки, связанные с добавлением нового заголовка Добавляется до 60% трафика


Слайд 138

Производительность


Слайд 139

Варианты решений VPN на базе сетевых операционных систем (ОС); VPN на базе маршрутизаторов; VPN на базе межсетевых экранов (МЭ); VPN на базе специализированного программного обеспечения


Слайд 140

VPN на базе сетевых ОС Штатные средства ОС Windows NT/2000/XP (протоколы РРTP и IPSec) Недостаток - ошибки и слабые места существующих версий ОС


Слайд 141

VPN на базе маршрутизаторов Маршрутизаторы Cisco Systems Совокупность виртуальных защищенных туннелей типа “точка-точка” от одного мартшутизатора к другому Алгоритм DES Требует значительных вычислительных ресурсов на мартшутизаторе


Слайд 142

VPN на базе МЭ Программные продукты компании CheckPoint Software Technologies – CheckPoint Firewall-1 /VPN-1 протокол IPSec, алгоритмы DES, CAST, IDEA, FWZ ФПСУ-IP компании “Амикон”, DataGuard компании “Сигнал-Ком”, комплекс МЭ ЗАСТАВА с модулем построения VPN SKIP


Слайд 143

VPN на базе МЭ Объединение функций МЭ и VPN шлюза в одной точке под контролем единой системы управления и аудита Недостаток - высокая стоимость в пересчете на одно рабочее место корпоративной сети и достаточно высокие требования к производительности МЭ


Слайд 144

VPN на базе СПО криптографический комплекс "Шифратор IP-пакетов" (ШИП) производства МО ПНИЭИ отдельное программно-аппаратное устройство (криптошлюз), которое осуществляет шифрование всего исходящего из локальной сети трафика на базе реализации протокола SKIP


Слайд 145

VPN на базе СПО Линейка программных продуктов "Застава" версии 2.5 протокол SKIP1 отсутствие встроенных криптоалгоритмов


Слайд 146

VPN на базе СПО Программный комплекс ViPNet компании «Инфотекс» Physical & Data Link Layers FTP IP (Internet Protocol) TCP UDP Application Layer Transport Layer Network Layer SMTP IP Telephony Драйвер IP-LIR программного комплекса ViPNet резидентно размеща-ется между уровнем IP и физическим сете-вым уровнем, что обеспечивает максимум защиты сетевых ресурсов и передаваемой информации, а также активное сопротивление попыткам разрушить жизнедеятельность сети. ViPNet Isolation Layer S S L Secure Sockets Layer (IP-LIR driver)


Слайд 147


Слайд 148

Уровни защищенных каналов


Слайд 149

Защита на транспортном уровне


Слайд 150

Защита на транспортном уровне Протокол SSL (Secure Socket Layer) Netscape Communications, версия 3.0 Протокол TLS (Transport Layer Secur) 1999г., версия 1.0 Независимость от прикладного уровня, чаще всего для HTTP (режим HTTPS)


Слайд 151

Протокол SSL Аутентификация сервера (клиента редко) Путем обмена цифровыми сертификатами при установлении сессии Шифрование данных Симметричный сеансовый ключ Обмен симметричными сеансовыми ключами при установлении соединения Сеансовые ключи шифруются при передаче с помощью открытых ключей Целостность данных К сообщению добавляется хеш-код


Слайд 152

Этапы установки SSL-соединения Установка стандартного TCP-соединения, порт 443


Слайд 153


Слайд 154

Этапы установки SSL-соединения Установка стандартного TCP-соединения, порт 443 Сообщение Client-Hello Версия SSL Challenge_Data – случайная последовательность


Слайд 155


Слайд 156

Этапы установки SSL-соединения Установка стандартного TCP-соединения, порт 443 Сообщение Client-Hello Сообщение Server-Hello Версия SSL Идентификатор соединения Connection_id Список базовых шифров (протоколов) Сертификат сервера (подписанный открытый ключ)


Слайд 157


Слайд 158

Этапы установки SSL-соединения Установка стандартного TCP-соединения, порт 443 Сообщение Client-Hello Сообщение Server-Hello Сообщение Client_Master_Key Передача симметричного ключа, зашифрованного открытым ключом сервера Только сервер может расшифровать симметричный ключ


Слайд 159


Слайд 160

Этапы установки SSL-соединения Установка стандартного TCP-соединения, порт 443 Сообщение Client-Hello Сообщение Server-Hello Сообщение Client_Master_Key Сообщение Server-Verify Challenge_Data, зашифрованная симметричным ключом


Слайд 161

Этапы установки SSL-соединения Установка стандартного TCP-соединения, порт 443 Сообщение Client-Hello Сообщение Server-Hello Сообщение Client_Master_Key Сообщение Server-Verify Сообщение Client-Finished Идентификатор соединения Connection_id, зашифрованный клиентом


Слайд 162

Этапы установки SSL-соединения Установка стандартного TCP-соединения, порт 443 Сообщение Client-Hello Сообщение Server-Hello Сообщение Client_Master_Key Сообщение Server-Verify Сообщение Client-Finished Соединение установлено, сервер проверен


Слайд 163


Слайд 164

Уровни защищенных каналов


Слайд 165

Защита на прикладном уровне


Слайд 166

Защита на прикладном уровне S-HTTP – Secure HTTP Не требует сертификата открытого ключа Режим операции – шифрование или подписывание Криптографические алгоритмы Сертификаты Аутентификация


Слайд 167

Инкапсуляция HTTP Сообщение S-HTTP состоит из: Строки запроса (с указанием версии протокола) Запрос: Secure * Secure-HTTP/1.1 Ответ: Secure-HTTP/1.1 200 ОК Заголовки RFC-822 Инкапсулированное содержание


Слайд 168

ЗАЩИТА СЕТЕВОГО ТРАФИКА С ИСПОЛЬЗОВАНИЕМ ПРОТОКОЛА IPSec В WINDOWS 2000-XP


Слайд 169

Возможности IPSec Аутентификация (протокол IKE - Internet Key Exchange) Защита целостности (Заголовок аутентификации AH - Authentication Header) Шифрование (ESP - Encapsulating Security Payload)


Слайд 170

Режимы действия IPSec Транспортный режим Туннельный режим


Слайд 171

Режимы действия IPSec Транспортный режим Защита соединения между клиентом и сервером Туннельный режим


Слайд 172

Режимы действия IPSec Транспортный режим Туннельный режим Защищенное соединение между двумя защищенными шлюзами (МЭ). Пропускается IP-трафик в «IP- туннеле». Сами клиент и сервер могут не использовать IPSec Создание VPN - Виртуальной частной сети


Слайд 173

Настройка IPSec


Слайд 174

Шаблоны IPSec (политики) Безопасность сервера (требовать безопасность) - нешифрованный трафик не допускается Клиент (Только ответ) - возможен нешифрованный трафик, если сервер его не требует Сервер (запрос безопасности) - возможен нешифрованный трафик, если клиент не поддерживает шифрование


Слайд 175

Политики и правила Только одна политика может быть назначена Политика состоит из нескольких правил Правило определяет, какое действие предпринять, если будет найдено соответствие списку фильтров


Слайд 176

Правила безопасности


Слайд 177

Правила безопасности Список фильтров Действие Тип подключения Параметры туннеля Метод проверки подлинности


Слайд 178

Список фильтров


Слайд 179

Список фильтров


Слайд 180

Действие Если найдено соответствие какому-либо фильтру из списка, принимается действие


Слайд 181

Действие Разрешить Блокировать Выбрать метод безопасности


Слайд 182

Метод безопасности


Слайд 183

Тип подключения


Слайд 184

Параметры туннеля


Слайд 185

Методы проверки подлинности Использование разделяемых ключей Ограниченное число станций Подписывание открытыми/закрытыми ключами при помощи сертификатов Ключи генерируются сервером Протокол Kerberos V5 Домен Windows 2000, клиенты - Windows 2000


Слайд 186

Политика IPSec Разрешенные типы сетевого взаимодействия Требуется ли IPSec для соединения тип аутентификации для установки сессии тип шифрования и/или целостности данных Пример: соединение с SQL-сервером должно аутентифицироваться при помощи сертификатов X.509 и должно быть зашифровано с помощью 3-DES


Слайд 187

Проверка соединения IPSec - IP Security Monitor (ipsecmon.exe)


Слайд 188

Пример Разработать политику для Web-сервера, на котором разрешен трафик на портах TCP/80 и TCP/443 из любой точки


Слайд 189

1. Создать действия


Слайд 190

2. Создать списки фильтров


Слайд 191

3. Создать новую политику


Слайд 192

4. Добавить правила и действия


Слайд 193

5. Назначить политику


Слайд 194

Применение технологии терминального доступа для организации защищенной компьютерной системы


Слайд 195

Клиент терминала


Слайд 196

Преимущества Вычислительная нагрузка переносится на сервер Рабочие станции – любые ПК, с любой версией Windows Уменьшение нагрузки на сеть Повышенная безопасность Упрощение администрирования


Слайд 197

Повышенная безопасность Отсутствие возможности частичного или полного копирования информации на рабочие станции Нет необходимости защищать рабочие станции Отсутствует на сервере служба NetBIOS Единственный дисковод – на сервере Единственный принтер – на сервере Отсутствие вредоносных программ Встроенные средства шифрования трафика


Слайд 198

Настройки, запрещающие копирование


Слайд 199


Слайд 200


Слайд 201

Безопасность MSTS Безопасность ОС Windows Server 2003; Безопасность серверной части MSTS; Безопасность протокола терминального доступа — RDP; Безопасность клиента терминального доступа.


Слайд 202

ОС Windows Server 2003 Возможность сетевого доступа к информации, обрабатываемой на сервере Возможность расширения полномочий при осуществлении локального доступа


Слайд 203

ОС Windows Server 2003 Запрет возможности сетевого доступа к информации, обрабатываемой на сервере Запрет сетевых служб, применение МЭ Только TCP 3389 Запрет ICMP «Брандмауэр Windows»


Слайд 204


Слайд 205


Слайд 206

ОС Windows Server 2003 Запрет возможности расширения полномочий при осуществлении локального доступа Включение пользователей в группу «Remote Desktop Users» Запрет доступа для Administrators


Слайд 207

Безопасность протокола терминального доступа RDP


Слайд 208

Защита в сети


Слайд 209

Безопасность клиента терминального доступа Загрузка клиента MSTS из ОС рабочей станции с HDD Загрузка клиента MSTS с бездисковых станций


Слайд 210

Аудит безопасности компьютерных систем


Слайд 211

Литература Петренко С.А., Петренко А.А. Аудит безопасности Intranet. - М.:ДМК Пресс, 2002. - 416 с. ГОСТ Р ИСО/МЭК 15408-1-2002 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий ГОСТ Р ИСО/МЭК 17799-2005. Информационная технология. Практические правила управления информационной безопасностью


Слайд 212

Аудит безопасности Системный процесс получения объективных качественных и количественных оценок о текущем состоянии информационной безопасности (ИБ) организации в соответствии с определенными критериями и показателями безопасности на всех основных уровнях обеспечения безопасности


Слайд 213

Основные уровни обеспечения безопасности нормативно-методологический организационно-управленческий технологический технический


Слайд 214

Цель аудита безопасности Объективная оценка уровня защищенности объекта Выработка практических рекомендаций по управлению и обеспечению информационной безопасности организации, адекватных поставленным целям и задачам развития бизнеса


Слайд 215

Стандарты оценки и управления ИБ международные стандарты ISO 15408-99, ISO 17799-2000 национальные стандарты BS 7799, BSI иные стандарты COBIT, SAC, COSO и др. Государственный стандарт РФ ГОСТ Р ИСО/МЭК 15408-1-2002 ГОСТ Р ИСО/МЭК 17799-2005


Слайд 216

Практические подходы к аудиту ИБ анализ требований к системе ИБ: проверка соблюдения на практике некоторых общих требований обеспечения ИБ инструментальные проверки состояния ИБ организации анализ информационных рисков организации


Слайд 217

Выбор показателей эффективности системы ИБ Два способа: определение минимального набора необходимых для защиты информации функций, соответствующих конкретному классу защищенности (РД ГТК РФ) определение профиля защиты, учитывающего особенности решения задач защиты информации на предприятии (ISO 15408, ISO 17799)


Слайд 218


Слайд 219

Интегрированный подход организационно-правовой аспект, учет технических каналов утечки, анализ систем управления доступом пользователей к СВТ, программно-аппаратная составляющая и т.д.


Слайд 220

Инструментальные проверки (ИП) Проверка на соответствие заявленным целям и задачам политики безопасности нижнего технического уровня обеспечения ИБ


Слайд 221

Три этапа проведения ИП: Анализ структуры АИС Внутренний аудит Внешний аудит


Слайд 222

Этап 1. Анализ структуры АИС


Слайд 223

Анализ структуры АИС Анализ и инвентаризация информационных ресурсов: перечень сведений, составляющих коммерческую или служебную тайну; информационные потоки, структура и состав АИС; категорирование ресурсов, подлежащих защите


Слайд 224

Инвентаризация сетевых ресурсов IP-адреса сетевых узлов и подсетей; открытые TCP- и UDP-порты на обнаруженных узлах; версии ОС и сетевых сервисов, работающих на обнаруженных сетевых узлах


Слайд 225

Сканер nmap


Слайд 226

Утилита netstat -aon


Слайд 227


Слайд 228

Карта сети (программа NetCrunch)


Слайд 229

Этап 2. Внутренний аудит


Слайд 230

Внутренний аудит АИС Средства защиты ПК возможность отключения программно-аппаратных систем защиты при физическом доступе к выключенным станциям; использование и надежность встроенных средств парольной защиты BIOS Состояние антивирусной защиты наличие в АИС вредоносных программ, возможность их внедрения через машинные носители, сеть Интернет


Слайд 231

Внутренний аудит АИС Настройки операционных систем наличие требуемых настроек безопасности, специфичных для различных ОС Парольная защита в ОС получение файлов с зашифрованными паролями и их последующего дешифрования; подключение с пустыми паролями, подбор паролей, в том числе, по сети


Слайд 232

Внутренний аудит АИС Система разграничения доступа пользователей АИС к её ресурсам формирование матрицы доступа; анализ дублирования и избыточности в предоставлении прав доступа; определение наиболее осведомленных пользователей и уровней защищенности конкретных ресурсов; оптимальность формирования рабочих групп


Слайд 233

Внутренний аудит АИС Сетевая инфраструктура возможность подключения к сетевому оборудованию для получения конфиденциальной информации путем перехвата и анализа сетевого трафика; настройки сетевых протоколов и служб Аудит событий безопасности настройка и реализация политики аудита


Слайд 234

Внутренний аудит АИС Прикладное программное обеспечение надежность элементов защиты используемых АРМ; возможные каналы утечки информации; анализ версий используемого программного обеспечения на наличие уязвимых мест


Слайд 235

Внутренний аудит АИС Системы защиты информации надежность и функциональность используемых СЗИ; наличие уязвимых мест в защите; настройка СЗИ


Слайд 236

Этап 3. Внешний аудит


Слайд 237

Средства активного аудита Выявление уязвимостей в ПО сетевых узлов с применением сканеров безопасности Internet Scanner, System Security Scanner компания Internet Security Systems NetRecon компании Symantec Enterprise Security Manager компании Symantec Cisco Secrure Scanner (NetSonar) Nessus LanGuard Security Scanner XSpider


Слайд 238

Средства активного аудита определение уязвимых мест в средствах защиты моделирование известных методов, используемых для несанкционированного проникновения в КС база данных, информация о вариантах взлома сети результат - отчет о найденных уязвимостях и перечень мер защиты


Слайд 239

Средства активного аудита Недостатки: необходимы, но недостаточны для качественного исследования состояния ИБ только технический уровень, нет оценки общего уровня ИБ.


Слайд 240

Использование сканера безопасности Nessus


Слайд 241

Результаты сканирования


Слайд 242


Слайд 243

Внешний аудит АИС Получение данных о внутренней структуре АИС наличие на Web-узлах информации конфиденциального характера; выявление настроек DNS-сервера и почтового сервера, позволяющих получить информацию о внутренней структуре АИС


Слайд 244

Внешний аудит АИС Выявление компьютеров, подключенных к сети и достижимых из Интернет сканирование портов по протоколам ICMP, TCP, UDP; определение доступности информации об используемом в АИС программном обеспечении и его версиях; выявление активных сетевых служб; определение типа и версии ОС, сетевых приложений и служб


Слайд 245

Внешний аудит АИС Получение информации об учетных записях, зарегистрированных в АИС применение утилит, специфичных для конкретной ОС Подключение к доступным сетевым ресурсам определение наличия доступных сетевых ресурсов и возможности подключения к ним


Слайд 246

Внешний аудит АИС Атаки на межсетевые экраны определение типа МЭ и ОС путем сканирования портов; использование известных уязвимостей в программном обеспечении МЭ; выявление неверной конфигурации МЭ


Слайд 247

Внешний аудит АИС Атаки на сетевые приложения анализ защищенности Web-серверов, тестирование стойкости систем удаленного управления, анализ возможности проникновения через имеющиеся модемные соединения Атаки типа «Отказ в обслуживании» выявление версий ОС и сетевых приложений, подверженных таким атакам


Слайд 248

Результат тестирования - экспертное заключение (Акт проверки защищенности АИС от НСД) реальное состояние защищенности АИС от внутренних и внешних угроз, перечень найденных изъянов в настройках систем безопасности рекомендации по повышению степени защищенности АИС


Слайд 249

Анализ информационных рисков организации определение, что именно подлежит защите построение перечня угроз анализ способов защиты определение вероятности угроз оценка ущерба в случае реализации атак


Слайд 250


×

HTML:





Ссылка: