Анализ и оценка безопасности локальной вычислительной сети

Размещено на http://www.allbest.ru/

Содержание

Введение

1. Анализ потенциальных угроз оперативно-технологической информации в локальной сети

1.1 Основные цели сетевой безопасности

1.2 Возможные угрозы локальной сети

2. Защита локальной сети

2.1 Основные понятия безопасности компьютерных систем

2.2 Пути несанкционированного доступа к информации

2.3 Средства защиты информации

2.4 Способы защиты информации

2.5 Уровень защиты рабочих станций и сетевых серверов

2.6 Идентификация и аутентификация

2.7 Управление доступом

2.8 Программные средства защиты информации

2.9 Защита от атак BadUSB

2.10 Антивирусная защита локальной сети

3. Защита информации в локальных вычислительных сетях ГПОУ «Печорский промышленно-экономический техникум»

3.1 Анализ системы защиты информации в ЛВС

3.2 Программное обеспечение ГПОУ «ППЭТ»

3.2.1 Операционная система ГАОУ «ППЭТ»

3.2.2 Прикладное и специальное программное обеспечение

3.2.3 Защита информации в ЛВС программными средствами

3.3 Компьютерная телекоммуникационная сеть

3.3.1 Структура сети, топология подсети

3.3.2 Управление доступом к информации в локальной сети

Заключение

Библиографический список

Введение

угроза локальный сеть информация

Если в одном помещении, здании или комплексе близлежащих зданий имеется несколько компьютеров, пользователи которых должны совместно решать какие-то задачи, обмениваться данными или использовать общие данные, то эти компьютеры целесообразно объединить в локальную сеть.

Локальная сеть - это группа из нескольких компьютеров, соединенных посредством кабелей (иногда также телефонных линий или радиоканалов), используемых для передачи информации между компьютерами. Для соединения компьютеров в локальную сеть необходимо сетевое оборудование и программное обеспечение.

Назначение всех компьютерных сетей можно выразить двумя словами: совместный доступ (или совместное использование). Прежде всего, имеется в виду совместный доступ к данным. Людям, работающим над одним проектом, приходится постоянно использовать данные, создаваемые коллегами.

Локальная сеть предоставляет возможность совместного использования оборудования. Часто дешевле создать локальную сеть и установить один принтер на все подразделение, чем приобретать по принтеру для каждого рабочего места. Файловый сервер сети позволяет обеспечить совместный доступ к программам.

Оборудование, программы и данные объединяют одним термином: ресурсы. Можно считать, что основное назначение локальной сети - доступ к ресурсам.

У локальной сети есть также и административная функция. Контролировать ход работ над проектами в сети проще, чем иметь дело со множеством автономных компьютеров. Если в учебном классе есть локальная сеть, то она тоже выполняет административную функцию, позволяя контролировать ход занятий учащихся.

Для связи с внешними (периферийными) устройствами компьютер имеет порты, через которые он способен передавать и принимать информацию. Если через эти порты соединить два или несколько компьютеров, то они смогут обмениваться информацией между собой. В этом случае они образуют компьютерную сеть. Простейшие локальные сети используют для обслуживания рабочих групп. Рабочая группа - это группа лиц, работающих над одним проектом (например, над выпуском одного журнала или над разработкой одного самолета) или просто сотрудники одного подразделения.

Целью курсовой работы является анализ и оценка безопасности локальной вычислительной сети (ЛВС) для АОУ РК СПО «Печорский промышленно-экономический техникум».

Предмет исследования: анализ и оценка безопасности локальной вычислительной сети (ЛВС) Государственного профессионального образовательного учреждения «Печорский промышленно-экономический техникум».

Задачи исследования:

· проанализировать методы управления обмена в сети;

· произвести обзор и анализ возможных технологий построения сети;

· дать оценку системе безопасности сети.

Методы исследования:

· анализ литературы;

· интерпретация данных;

· отбор необходимого материала;

· качественное и количественное описание безопасности локальной вычислительной сети (ЛВС)

Исследовательская база: локально-вычислительная сеть Государственного профессионального образовательного учреждения «Печорский промышленно-экономический техникум».

1. Анализ потенциальных угроз оперативно-технологической информации в локальной сети

1.1 Основные цели сетевой безопасности

Крайне важно понять, что безопасность -- это не продукт, который можно купить в магазине и быть уверенным в собственной защищенности. «Безопасность» -- особая комбинация как технических, так и административных мер. Административные меры также включают в себя не только бумаги, рекомендации, инструкции, но и людей. Невозможно считать свою сеть «безопасной», если вы не доверяете людям, работающим с этой сетью.

Идеальная безопасность -- недостижимый миф, который могут реализовать, в лучшем случае, только несколько профессионалов. Есть один фактор, который невозможно преодолеть на пути к идеальной безопасности -- это человек.

Цели сетевой безопасности могут меняться в зависимости от ситуации, но основных целей обычно три: (рис.1)

· Целостность данных.

· Конфиденциальность данных.

· Доступность данных.

Рис 1. Цели сетевой безопасности



Целостность данных

Одна из основных целей сетевой безопасности -- гарантированность того, чтобы данные не были изменены, подменены или уничтожены. Целостность данных должна гарантировать их сохранность как в случае злонамеренных действий, так и случайностей. Обеспечение целостности данных является обычно одной из самых сложных задач сетевой безопасности.

Конфиденциальность данных

Второй главной целью сетевой безопасности является обеспечение конфиденциальности данных. Не все данные можно относить к конфиденциальной информации. Существует достаточно большое количество информации, которая должна быть доступна всем. Но даже в этом случае обеспечение целостности данных, особенно открытых, является основной задачей. К конфиденциальной информации можно отнести следующие данные:

· Личная информация пользователей.

· Учетные записи (имена и пароли).

· Данные о кредитных картах.

· Данные о разработках и различные внутренние документы.

· Бухгалтерская информация.

· Доступность данных

Третьей целью безопасности данных является их доступность. Бесполезно говорить о безопасности данных, если пользователь не может работать с ними из-за их недоступности. Вот приблизительный список ресурсов, которые обычно должны быть «доступны» в локальной сети:

· Принтеры.

· Серверы.

· Рабочие станции.

· Данные пользователей.



1.2Возможные угрозы локальной сети

Рассмотрим основные опасности, грозящие локальным сетям. Вообще-то, обычно все неприятности делят на две большие группы: технические и "человеческие".

Технические угрозы:

· Ошибки в программном обеспечении.

· Различные DoS- и DDoS-атаки.

· Компьютерные вирусы, черви, троянские кони.

· Анализаторы протоколов и прослушивающие программы («снифферы»).

· Технические средства съема информации.

Ошибки в программном обеcпечении.

Самое узкое место любой сети. Программное обеспечение серверов, рабочих станций, маршрутизаторов и т. д. написано людьми, следовательно, оно практически всегда содержит ошибки. Чем выше сложность подобного ПО, тем больше вероятность обнаружения в нем ошибок и уязвимостей. Большинство из них не представляет никакой опасности, некоторые же могут привести к трагическим последствиям, таким, как получение злоумышленником контроля над сервером, неработоспособность сервера, несанкционированное использование ресурсов (хранение ненужных данных на сервере, использование в качестве плацдарма для атаки и т.п.). Большинство таких уязвимостей устраняется с помощью пакетов обновлений, регулярно выпускаемых производителем ПО. Своевременная установка таких обновлений является необходимым условием безопасности сети.

DoS- и DDoS-атаки

Denial Of Service (отказ в обслуживании) -- особый тип атак, направленный на выведение сети или сервера из работоспособного состояния. При DoS-атаках могут использоваться ошибки в программном обеспечении или легитимные операции, но в больших масштабах (например, посылка огромного количества электронной почты). Новый тип атак DDoS (Distributed Denial Of Service) отличается от предыдущего наличием огромного количества компьютеров, расположенных в большой географической зоне. Такие атаки просто перегружают канал трафиком и мешают прохождению, а зачастую и полностью блокируют передачу по нему полезной информации. Особенно актуально это для компаний, занимающихся каким-либо online-бизнесом, например, торговлей через Internet.

Компьютерные вирусы, троянские кони

Вирусы -- старая категория опасностей, которая в последнее время в чистом виде практически не встречается. В связи с активным применением сетевых технологий для передачи данных вирусы все более тесно интегрируются с троянскими компонентами и сетевыми червями. В настоящее время компьютерный вирус использует для своего распространения либо электронную почту, либо уязвимости в ПО. А часто и то, и другое. Теперь на первое место вместо деструктивных функций вышли функции удаленного управления, похищения информации и использования зараженной системы в качестве плацдарма для дальнейшего распространения. Все чаще зараженная машина становится активным участником DDoS-атак. Методов борьбы достаточно много, одним из них является все та же своевременная установка обновлений.

Анализаторы протоколов и «снифферы»

В эту группу входят средства перехвата передаваемых по сети данных. Такие средства могут быть как аппаратными, так и программными. Обычно данные передаются по сети в открытом виде, что позволяет злоумышленнику внутри локальной сети перехватить их. Некоторые протоколы работы с сетью (POPS, FTP) не используют шифрование паролей, что позволяет злоумышленнику перехватить их и использовать самому. При передаче данных по глобальным сетям эта проблема встает наиболее остро. По возможности следует ограничить доступ к сети неавторизированным пользователям и случайным людям.

Технические средства съема информации

Сюда можно отнести такие средства, как клавиатурные жучки, различные мини-камеры, звукозаписывающие устройства и т.д. Данная группа используется в повседневной жизни намного реже вышеперечисленных, так как, кроме наличия спецтехники, требует доступа к сети и ее составляющим.

Человеческий фактор:

· Уволенные или недовольные сотрудники.

· Промышленный шпионаж.

· Халатность.

· Низкая квалификация.

Уволенные и недовольные сотрудники

Данная группа людей наиболее опасна, так как многие из работающих сотрудников могут иметь разрешенный доступ к конфиденциальной информации. Особенную группу составляют системные администраторы, зачаcтую недовольные своим материальным положением или несогласные с увольнением, они оставляют «черные ходы» для последующей возможности злонамеренного использования ресурсов, похищения конфиденциальной информации и т. д.

Промышленный шпионаж

Это самая сложная категория. Если ваши данные интересны кому-либо, то этот кто-то найдет способы достать их. Взлом хорошо защищенной сети -- не самый простой вариант. Очень может статься, что уборщица «тетя Глаша», моющая под столом и ругающаяся на непонятный ящик с проводами, может оказаться хакером весьма высокого класса.

Халатность

Самая обширная категория злоупотреблений: начиная с не установленных вовремя обновлений, неизмененных настроек «по умолчанию» и заканчивая несанкционированными модемами для выхода в Internet, -- в результате чего злоумышленники получают открытый доступ в хорошо защищенную сеть.

Низкая квалификация

Часто низкая квалификация не позволяет пользователю понять, с чем он имеет дело; из-за этого даже хорошие программы защиты становятся настоящей морокой системного администратора, и он вынужден надеяться только на защиту периметра. Большинство пользователей не понимают реальной угрозы от запуска исполняемых файлов и скриптов и считают, что исполняемые файлы -только файлы с расширением «ехе». Низкая квалификация не позволяет также определить, какая информация является действительно конфиденциальной, а какую можно разглашать. В крупных компаниях часто можно позвонить пользователю и, представившись администратором, узнать у него учетные данные для входа в сеть. Выход только один -обучение пользователей, создание соответствующих документов и повышение квалификации.



2. Защита локальной сети

2.1 Основные понятия безопасности компьютерных систем

Под безопасностью информации понимается состояние защищенности информации, обрабатываемой средствами вычислительной техники или автоматизированной системы, от внутренних или внешних угроз.

Под целостностью понимается как способность средств вычислительной техники или автоматизированной системы обеспечивать неизменность вида и качества информации в условиях случайного искажения или угрозы разрушения. Согласно руководящему документу Гостехкомиссии России “Защита от несанкционированного доступа к информации. Термины и определения” угрозы безопасности и целостности состоят в потенциально возможных воздействиях на вычислительную систему, которые прямо или косвенно могут нанести ущерб безопасности и целостности информации, обрабатываемой системой.

Ущерб целостности информации состоит в ее изменении, приводящем к нарушению ее вида или качества.

Ущерб безопасности подразумевает нарушение состояния защищенности содержащейся в вычислительной системе информации путем осуществления несанкционированного доступа к объектам вычислительной системы.

Несанкционированный доступ определяется как доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых вычислительными системами. Можно ввести более простое определение несанкционированному доступу: несанкционированный доступ заключается в получении пользователем или программой доступа к объекту, разрешение на который в соответствии с принятой в системе политикой безопасности отсутствует.

Реализация угрозы называется атакой. Человек, стремящийся реализовать угрозу, называется нарушителем, или злоумышленником.

Существует множество классификаций видов угроз по принципам и характеру их воздействия на систему, по используемым средствам, по целям атаки и т.д. Рассмотрим общую классификацию угроз безопасности вычислительных систем по средствам воздействия на них. (Рис.2)

Рис.2. Общая классификация угроз безопасности вычислительных систем по средствам воздействия на них.

1. Вмешательство человека в работу вычислительной системы. К этому классу относятся организационные средства нарушения безопасности вычислительных систем (кража носителей информации, несанкционированный доступ к устройствам хранения и обработки информации, порча оборудования) и осуществление нарушителем несанкционированного доступа к программным компонентам вычислительной системы (все способы несанкционированного проникновения в вычислительные системы, а также способы получения пользователем-нарушителем незаконных прав доступа к компонентам вычислительной системы). Меры, противостоящие таким угрозам, носят организационный характер (охрана, режим доступа к устройствам вычислительной системы), также включают в себя совершенствование систем разграничения доступа и системы обнаружения попыток атак (попыток подбора паролей).

2. Аппаратно-техническое вмешательство в работу вычислительной системы. Это нарушения безопасности и целостности информации в вычислительной системе с помощью технических средств, например, получение информации по электромагнитному излучению устройств вычислительной системы, электромагнитные воздействия на каналы передачи информации и другие методы. Защита от таких угроз, кроме организационных мер, предусматривает соответствующие аппаратные (экранирование излучений аппаратуры, защита каналов передачи информации от прослушивания) и программные меры (шифрация сообщений в каналах связи).

3. Разрушающее воздействие на программные компоненты вычислительной системы с помощью программных средств.

Рис.3. Типы разрушающих программных средств.

Такие средства называются разрушающими программными средствами. (Рис.3).

К ним относятся компьютерные вирусы, троянские кони (или «закладки»), средства проникновения в удаленные системы с использованием локальных и глобальных сетей. Средства борьбы с подобными атаками состоят из программно и аппаратно реализованных систем защиты.

2.2 Пути несанкционированного доступа к информации

Архитектура локальной вычислительной сети и технология ее функционирования позволяет злоумышленнику находить или специально создавать лазейки для скрытого доступа к информации, причем многообразие и разнообразие даже известных фактов злоумышленных действий дает достаточные основания предполагать, что таких лазеек существует или может быть создано много.

Несанкционированный доступ к информации, находящейся в ЛВС бывает:

· косвенным - без физического доступа к элементам ЛВС;

· прямым - с физическим доступом к элементам ЛВС.

В настоящее время существуют следующие пути несанкционированного получения информации (каналы утечки информации):

· применение подслушивающих устройств;

· дистанционное фотографирование;

· перехват электромагнитных излучений;

· хищение носителей информации и производственных отходов;

· считывание данных в массивах других пользователей;

· копирование носителей информации;

· несанкционированное использование терминалов;

· маскировка под зарегистрированного пользователя с помощью хищения паролей и других реквизитов разграничения доступа;

· использование программных ловушек;

· получение защищаемых данных с помощью серии разрешенных запросов;

· использование недостатков языков программирования и операционных систем;

· преднамеренное включение в библиотеки программ специальных блоков типа “троянских коней”;

· незаконное подключение к аппаратуре или линиям связи вычислительной системы;

· злоумышленный вывод из строя механизмов защиты.

2.3 Средства защиты информации

Для решения проблемы защиты информации основными средствами, используемыми для создания механизмов защиты принято считать:

1. Технические средства - реализуются в виде электрических, электромеханических, электронных устройств. Технические средства подразделяются на:

· аппаратные - устройства, встраиваемые непосредственно в аппаратуру, или устройства, которые сопрягаются с аппаратурой ЛВС по стандартному интерфейсу (схемы контроля информации по четности, схемы защиты полей памяти по ключу, специальные регистры);

· физические - реализуются в виде автономных устройств и систем (электронно-механическое оборудование охранной сигнализации и наблюдения. Замки на дверях, решетки на окнах).

2.Программные средства - программы, специально предназначенные для выполнения функций, связанных с защитой информации.

В ходе развития концепции защиты информации специалисты пришли к выводу, что использование какого-либо одного из выше указанных способов защиты, не обеспечивает надежного сохранения информации. Необходим комплексный подход к использованию и развитию всех средств и способов защиты информации.

2.4 Способы защиты информации

Способы защиты информации представлены на рисунке 4. Способы защиты информации в ЛВС включают в себя следующие элементы:

1. Препятствие - физически преграждает злоумышленнику путь к защищаемой информации (на территорию и в помещения с аппаратурой, носителям информации).

2. Управление доступом - способ защиты информации регулированием использования всех ресурсов системы (технических, программных средств, элементов данных).

Управление доступом включает следующие функции защиты:

*идентификацию пользователей, персонала и ресурсов системы, причем под идентификацией понимается присвоение каждому названному выше объекту персонального имени, кода, пароля и опознание субъекта или объекта по предъявленному им идентификатору;

*проверку полномочий, заключающуюся в проверке соответствия дня недели, времени суток, а также запрашиваемых ресурсов и процедур установленному регламенту;

*разрешение и создание условий работы в пределах установленного регламента;

*регистрацию обращений к защищаемым ресурсам;

*реагирование (задержка работ, отказ, отключение, сигнализация) при попытках несанкционированных действий.

3. Маскировка - способ защиты информации в ЛВС путем ее криптографического преобразования. При передаче информации по линиям связи большой протяженности криптографическое закрытие является единственным способом надежной ее защиты.

Рис. 4. Способы защиты информации.

4. Регламентация - заключается в разработке и реализации в процессе функционирования ЛВС комплексов мероприятий, создающих такие условия автоматизированной обработки и хранения в ЛВС защищаемой информации, при которых возможности несанкционированного доступа к ней сводились бы к минимуму. Для эффективной защиты необходимо строго регламентировать структурное построение ЛВС (архитектура зданий, оборудование помещений, размещение аппаратуры), организацию и обеспечение работы всего персонала, занятого обработкой информации.

5. Принуждение - пользователи и персонал ЛВС вынуждены соблюдать правила обработки и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.

Рассмотренные способы защиты информации реализуются применением различных средств защиты, причем различают технические, программные, организационные, законодательные и морально-этические средства.

Организационными средствами защиты называются организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации ЛВС для обеспечения защиты информации. Организационные мероприятия охватывают все структурные элементы ЛВС на всех этапах: строительство помещений, проектирование системы, монтаж и наладка оборудования, испытания и проверки, эксплуатация.

К законодательным средствам защиты относятся законодательные акты страны, которыми регламентируются правила использования и обработки информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил.

К морально-этическим средствам защиты относятся всевозможные нормы, которые сложились традиционно или складываются по мере распространения вычислительных средств в данной стране или обществе. Эти нормы большей частью не являются обязательными, как законодательные меры, однако несоблюдение их ведет обычно к потере авторитета, престижа человека или группы лиц.

Рассмотренные выше средства защиты подразделяются на:

1. формальные - выполняющие защитные функции строго по заранее предусмотренной процедуре и без непосредственного участия человека.

2. неформальные - такие средства, которые либо определяются целенаправленной деятельностью людей, либо регламентируют эту деятельность.

2.5 Уровень защиты рабочих станций и сетевых серверов

Уровень защиты рабочих станций и сетевых серверов - самый обширный. Он охватывает все компьютеры локальной сети и служит самым последним оплотом на пути проникновения вредоносных программ. Даже если где-то в системе антивирусной защиты случился прокол и одна машина все же оказалась заражена, установленные на остальных компьютерах антивирусные программы должны предотвратить дальнейшее распространение эпидемии по сети. На этом уровне используются антивирусные комплексы для защиты рабочих станций и сетевых серверов.

Защита рабочих станций и сетевых серверов ответственна в первую очередь за чистоту файловой системы каждого из компьютеров сети. Следовательно, она в обязательном порядке должна содержать постоянную проверку как механизм предотвращения заражения системы вирусами, проверку по требованию - процедуру для тщательной ревизии рассматриваемой машины и нейтрализации проникших на нее вредоносных программ, и модуль для поддержания вирусных сигнатур в актуальном состоянии. Дополнительно, для рабочих станций накладывается требование к наличию процедур проверки почтовых сообщений.

Рассматриваемые здесь рабочие станции в разрезе антивирусной защиты отличаются от домашних компьютеров в первую очередь политикой антивирусной безопасности, принятой в организации, которой принадлежит сеть, и обязательной для соблюдения всеми пользователями. Обычной практикой служит введение отдельной должности системного администратора, который обязан следить за состоянием компьютерной техники. При этом остальные пользователи часто не имеют прав на доступ к ряду критических для функционирования сети программ, пусть даже установленных на их компьютере. Программное обеспечение, ответственное за антивирусную безопасность, относится именно к таким.

Наличие десятков, сотен, а иногда и тысяч компьютеров, объединенных в одну локальную сеть требует немалых затрат для администрирования каждого из них. Для того чтобы это было по силам сделать сравнительно малочисленной группе администраторов, применяются различные специальные программы и утилиты для централизованного удаленного управления. С их помощью администратор может не вставая из-за своего компьютера одновременно управлять и настраивать программы на удаленных компьютерах и подчиненных ему других элементах сети.

Следовательно, к антивирусному комплексу для защиты рабочих станций и сетевых серверов предъявляется дополнительное требование - наличие в его составе программного средства для удаленного централизованного управления локальными приложениями.

2.6 Идентификация и аутентификация

Идентификацию и аутентификацию можно считать основой программно-технических средств безопасности, поскольку остальные сервисы рассчитаны на обслуживание именованных субъектов. Идентификация и аутентификация - это первая линия обороны, "проходная" информационного пространства организации.

Идентификация позволяет субъекту - пользователю или процессу, действующему от имени определенного пользователя, назвать себя, сообщив свое имя. Посредством аутентификации вторая сторона убеждается, что субъект действительно тот, за кого себя выдает. В качестве синонима слова "аутентификация" иногда используют сочетание "проверка подлинности". Субъект может подтвердить свою подлинность, если предъявит, по крайней мере, одну из следующих сущностей:

· нечто, что он знает: пароль, личный идентификационный номер, криптографический ключ и т.п.;

· нечто, чем он владеет: личную карточку или иное устройство аналогичного назначения;

· нечто, что является частью его самого: голос, отпечатки пальцев и т.п., то есть свои биометрические характеристики.

Надежная идентификация и аутентификация затруднена по ряду принципиальных причин.

Во-первых, компьютерная система основывается на информации в том виде, в каком она была получена; строго говоря, источник информации остается неизвестным. Например, злоумышленник мог воспроизвести ранее перехваченные данные. Следовательно, необходимо принять меры для безопасного ввода и передачи идентификационной и аутентификационной информации; в сетевой среде это сопряжено с особыми трудностями.

Во-вторых, почти все аутентификационные сущности можно узнать, украсть или подделать.

В-третьих, имеется противоречие между надежностью аутентификации с одной стороны, и удобствами пользователя и системного администратора с другой. Так, из соображений безопасности необходимо с определенной частотой просить пользователя повторно вводить аутентификационную информацию (ведь на его место мог сесть другой человек), а это повышает вероятность подглядывания за вводом.

В-четвертых, чем надежнее средство защиты, тем оно дороже.

Необходимо искать компромисс между надежностью, доступностью по цене и удобством использования и администрирования средств идентификации и аутентификации. Обычно компромисс достигается за счет комбинирования двух первых из перечисленных базовых механизмов проверки подлинности.

Наиболее распространенным средством аутентификации являются пароли. Система сравнивает введенный и ранее заданный для данного пользователя пароль; в случае совпадения подлинность пользователя считается доказанной. Другое средство, постепенно набирающее популярность и обеспечивающее наибольшую эффективность, - секретные криптографические ключи пользователей.

Главное достоинство парольной аутентификации - простота и привычность. Пароли давно встроены в операционные системы и иные сервисы. При правильном использовании пароли могут обеспечить приемлемый для многих организаций уровень безопасности. Тем не менее по совокупности характеристик их следует признать самым слабым средством проверки подлинности. Надежность паролей основывается на способности помнить их и хранить в тайне. Ввод пароля можно подсмотреть. Пароль можно угадать методом подбора. Если файл паролей зашифрован, но доступен на чтение, его можно перекачать к себе на компьютер и попытаться подобрать пароль, запрограммировав полный перебор.

Пароли уязвимы по отношению к электронному перехвату - это наиболее принципиальный недостаток, который нельзя компенсировать улучшением администрирования или обучением пользователей. Практически единственный выход - использование криптографии для шифрования паролей перед передачей по линиям связи или вообще их не передавать.

Тем не менее следующие меры позволяют значительно повысить надежность парольной защиты:

· наложение технических ограничений (пароль должен быть не слишком коротким, он должен содержать буквы, цифры, знаки пунктуации и т.п.);

· управление сроком действия паролей, их периодическая смена;

· ограничение доступа к файлу паролей;

· ограничение числа неудачных попыток входа в систему, что затруднит применение метода подбора;

· обучение и воспитание пользователей;

· использование программных генераторов паролей, которые, основываясь на несложных правилах, могут порождать только благозвучные и, следовательно, запоминающиеся пароли.

Устройства контроля биометрических характеристик сложны и недешевы, поэтому пока они применяются только в специфических организациях с высокими требованиями к безопасности.

Очень важной и трудной задачей является администрирование службы идентификации и аутентификации. Необходимо постоянно поддерживать конфиденциальность, целостность и доступность соответствующей информации, что особенно непросто в сетевой разнородной среде. Целесообразно, наряду с автоматизацией, применить максимально возможную централизацию информации. Достичь этого можно применяя выделенные серверы проверки подлинности или средства централизованного администрирования. Некоторые операционные системы предлагают сетевые сервисы, которые могут служить основой централизации административных данных.

Централизация облегчает работу не только системным администраторам, но и пользователям, поскольку позволяет реализовать важную концепцию единого входа. Единожды пройдя проверку подлинности, пользователь получает доступ ко всем ресурсам сети в пределах своих полномочий.

2.7 Управление доступом

Средства управления доступом позволяют специфицировать и контролировать действия, которые субъекты - пользователи и процессы могут выполнять над объектами - информацией и другими компьютерными ресурсами. Речь идет о логическом управлении доступом, который реализуется программными средствами. Логическое управление доступом - это основной механизм многопользовательских систем, призванный обеспечить конфиденциальность и целостность объектов и, до некоторой степени, их доступность путем запрещения обслуживания неавторизованных пользователей. Задача логического управления доступом состоит в том, чтобы для каждой пары (субъект - объект) определить множество допустимых операций, зависящее от некоторых дополнительных условий, и контролировать выполнение установленного порядка.

Контроль прав доступа производится разными компонентами программной среды - ядром операционной системы, дополнительными средствами безопасности, системой управления базами данных, посредническим программным обеспечением и т.д.

При принятии решения о предоставлении доступа обычно анализируется следующая информация:

· Идентификатор субъекта (идентификатор пользователя, сетевой адрес компьютера). Подобные идентификаторы являются основой добровольного управления доступом.

· Атрибуты субъекта (метка безопасности, группа пользователя). Метки безопасности - основа принудительного управления доступом.

· Место действия (системная консоль, надежный узел сети).

· Время действия (большинство действий целесообразно разрешать только в рабочее время).

· Внутренние ограничения сервиса (число пользователей согласно лицензии на программный продукт).

Удобной надстройкой над средствами логического управления доступом является ограничивающий интерфейс, когда пользователя лишают самой возможности попытаться совершить несанкционированные действия, включив в число видимых ему объектов только те, к которым он имеет доступ.

2.8 Программные средства защиты информации

Встроенные средства защиты информации в сетевых ОС доступны, но не всегда, как уже отмечалось, могут полностью решить возникающие на практике проблемы. Например, сетевые ОС NetWare 3.x, 4.x позволяют осуществить надежную «эшелонированную» защиту данных от аппаратных сбоев и повреждений. Система SFT (System Fault Tolerance - система устойчивости к отказам) фирмы Novell предусматривает три основных уровня.

· SFT Level I. Первый уровень предусматривает, в частности, создание дополнительных копий FAT и Directory Entries Tables, немедленную верификацию каждого в'новь записанного на файловый сервер блока данных, а также резервирование на каждом жестком диске около 2% от объема диска. При обнаружении сбоя данные перенаправляются в зарезервированную область диска, а сбойный блок помечается как «плохой» и в дальнейшем не используется.

· SFT Level II содержит дополнительно возможности создания «зеркальных» дисков, а также дублирования дисковых контроллеров, источников питания и интерфейсных кабелей.

· SFT Level III позволяет использовать в локальной сети дублированные серверы, один из которых является «главным», а второй, содержащий копию всей информации, вступает в работу в случае выхода «главного» сервера из строя.

· Система контроля и ограничения прав доступа в сетях NetWare (защита от несанкционированного доступа) также содержит несколько уровней.

· Уровень начального доступа (включает имя и пароль пользователя, систему учетных ограничений типа явного разрешения или запрещения работы, допустимого времени работы в сети, места на жестком диске, занимаемого личными файлами данного пользователя, и т.д.).

· Уровень прав пользователей («персональные» ограничения на выполнение отдельных операций и/или ограничения на работу данного пользователя как члена определенного подразделения, в отдельных частях файловой системы сети).

· Уровень атрибутов каталогов и файлов (ограничения на выполнение отдельных операций типа удаления, редактирования или создания, идущие со стороны файловой системы и касающиеся всех пользователей, пытающихся работать с данными каталогами или файлами).

· Уровень консоли файл-сервера (блокирование клавиатуры файл-сервера на время отсутствия сетевого администратора до ввода им специального пароля).

Однако полагаться на эту часть системы защиты информации в ОС NetWare можно не всегда. Свидетельством тому являются многочисленные инструкции в Internet и готовые доступные программы, позволяющие взломать те или иные элементы защиты от несанкционированного доступа. То же замечание справедливо по отношению к другим мощным сетевым ОС со встроенными средствами защиты информации (Windows NT, UNIX).

Дело в том, что защита информации - это только часть из многочисленных задач, решаемых сетевыми ОС. «Выпячивание» одной из функций в ущерб другим (при понятных разумных ограничениях на объем, занимаемый данной ОС на жестком диске) не может быть магистральным направлением развития таких программных продуктов общего назначения, которыми являются сетевые ОС.

В то же время в связи с остротой проблемы защиты информации наблюдается тенденция интеграции (встраивания) отдельных, хорошо зарекомендовавших себя и ставших стандартными средств в сетевые ОС или разработка собственных «фирменных» аналогов известным программам защиты информации. Так, в сетевой ОС NetWare 4.1 предусмотрена возможность кодирования данных по принципу «открытого ключа» (алгоритм RSA) с формированием электронной подписи для передаваемых по сети пакетов.

Специализированные программные средства защиты информации от несанкционированного доступа обладают в целом лучшими возможностями и характеристиками, чем встроенные средства сетевых ОС. Кроме программ шифрования, существует много других доступных внешних средств защиты информации. Из наиболее часто упоминаемых следует отметить следующие две системы, позволяющие ограничить информационные потоки.

Firewalls - брандмауэры (дословно firewall -- огненная стена). Между локальной и глобальной сетями создаются специальные промежуточные сервера, которые инспектируют и фильтруют весь проходящий через них трафик сетевого/ транспортного уровней. Это позволяет резко снизить угрозу несанкционированного доступа извне в корпоративные сети, но не устраняет эту опасность совсем. Более защищенная разновидность метода - это способ маскарада (masquerading), когда весь исходящий из локальной сети трафик посылается от имени firewall-сервера, делая локальную сеть практически невидимой.

Proxy-servers (proxy - доверенность, доверенное лицо). Весь трафик сетевого/транспортного уровней между локальной и глобальной сетями запрещается полностью -- попросту отсутствует маршрутизация как таковая, а обращения из локальной сети в глобальную происходят через специальные серверы-посредники. Очевидно, что при этом методе обращения из глобальной сети в локальную становятся невозможными в принципе. Очевидно также, что этот метод не дает достаточной защиты против атак на более высоких уровнях - например, на уровне приложения (вирусы, код Java и JavaScript).

2.9 Защита от атак BadUSB

BadUSB -- класс хакерских атак, основанный на уязвимости USB устройств. Благодаря отсутствию защиты от перепрошивки в некоторых USB-устройствах, злоумышленник может видоизменить или полностью заменить оригинальную прошивку и заставить устройство имитировать любое другое устройство. BadUSB предназначен для доставки и исполнения вредоносного кода.

USB устройства несут в себе микроконтроллер, отвечающий за общение с хостом по интерфейсу USB. В процессе инициализации микроконтроллер сообщает хосту, наряду с другой служебной информацией, классы, к которым принадлежит устройство. Хост загружает нужный драйвер и работает с устройством исходя из его класса и этих данных. Одно физическое устройство может реализовывать несколько классов и для хоста являться несколькими отдельными устройствами: веб-камеры реализуют одновременно класс видео и класс аудио устройств.

BadUSB пользуется тем фактом, что производители не защищают свои устройства от перепрошивки, а хосты не проверяют USB устройства на подлинность. Благодаря этому злоумышленник может подменить прошивку микроконтроллера и выдать одно устройство за другое. Также, так как все коммуникации ведутся через этот микроконтроллер, злоумышленник может перехватывать и подменять любые данные и команды между устройством и хостом[3]. Возможно и автоматическое заражение устройств: устройство заражает хост, запуская на нём вредоносное ПО, затем хост автоматически заражает все подключенные к нему USB устройства.

Каждый контроллер уникален, и для каждого необходимо разрабатывать зараженную прошивку или патч отдельно. Невозможно написать универсальное программное обеспечение и использовать его на любом микроконтроллере. Процедура прошивки различается от одного контроллера к другому. Все это значительно уменьшает вероятность эпидемии BadUSB, однако не защищает от целенаправленной атаки.

Уязвимости подвержены все устройства с незащищенными USB контроллерами на борту: флеш-накопители, вебкамеры, мышки, клавиатуры, андроид-устройства. BadUSB не требует особого программного обеспечения на компьютере жертвы и работает под любыми операционными системами, поддерживающими USB-HID устройства.

Необходимость трудоемкого реверс-инжиниринга каждого USB-устройства ограничивает этот класс атак заказными атаками на конкретные устройства в рамках черных пиар-технологий либо атаками против конкретной жертвы, пользующейся определенными устройствами.

Некоторые виды атак:

Имитация клавиатуры.

Устройство представляется компьютеру жертвы клавиатурой, а по истечении некоторого времени начинает отправлять последовательности нажатий клавиш. В результате злоумышленник может выполнить на компьютере жертвы любые действия, доступные авторизованному пользователю с помощью одной только клавиатуры. К примеру, злоумышленник может загрузить из интернета и запустить вредоносное ПО.

Существенным минусом данного вида атак является отсутствие доступа к информации на экране и, как следствие, отсутствие обратной связи на любые действия со стороны зараженного устройства. Например, злоумышленник не может определить как текущую раскладку клавиатуры, так и произведен ли вход в систему.

Имитация сетевой карты.

Устройство представляется компьютеру жертвы сетевой картой и, таким образом, может перехватывать или перенаправлять сетевой трафик. В частности, отвечая на DHCP запрос адресом DNS сервера злоумышленника и не предоставляя шлюза по умолчанию, злоумышленник может перенаправить трафик жертвы: компьютер жертвы будет производить разрешение адреса через DNS сервер злоумышленника, но, в отсутствие шлюза по умолчанию, будет использовать другой, настоящий сетевой интерфейс.

Boot Injection.

Устройство с достаточным местом для хранения вредоносного кода, например, флеш-накопитель, может определить момент включения компьютера и в момент определения BIOS'ом выдать на загрузку вирус для заражения операционной системы. Это становится возможным благодаря тому, что по поведению хоста при общении с USB микроконтроллером возможно определить ОС хоста, в частности Windows, Linux, MacOSX, а также BIOS.

Выход из виртуального окружения.

Атака использует возможность повторной инициализации устройства. Выполняясь в виртуальной машине, вирус заражает любое подключенное по USB устройство. Зараженная прошивка выполняет переинициализацию и представляется двумя независимыми устройствами: неким новым и тем, которое уже было подключено к виртуальной машине. Новое устройство будет автоматически подключено к хостовой ОС, а старое -- обратно в виртуальную машину. Таким образом, может быть произведен выход за пределы виртуального окружения, то есть осуществлен переход от клиентской до хостовой ОС.

Противодействие.

В рамках доклада «BadUSB -- On Accessories that Turn Evil» было предложено несколько способов защиты от BadUSB, однако, по словам исследователей, полноценная интеграция защиты займет продолжительное время.

Одним из возможных способов противостояния является подпись прошивки производителем оборудования и соответствующая проверка на стороне хоста перед использованием устройства, что не предусмотрено текущей спецификацией USB. Другим решением проблемы может стать блокировка возможности перепрошивки устройств самим производителем.

Марк Шаттлворт, основатель Canonical Ltd., также высказывался по вопросу безопасности USB устройств и как решение проблемы предлагал полностью открыть исходный код прошивок.

Несмотря на то, что ряд средств комплексной антивирусной защиты, такие как ESET Endpoint Antivirus, Kaspersky Endpoint Security, компонент «Родительский контроль» у Dr.Web AV-Desk, позволяют ограничивать доступ к сменным носителям и разрешать активацию согласно «белому списку», в случае с Bad USB, таких мер недостаточно. Пользователь сам может разрешить подключение опасного устройства, ошибочно посчитав его безопасным.

Защитные решения Dr.Web с 11-й версии защищают от BadUSB-уязвимости для устройств, имитирующих клавиатуру.

2.10 Антивирусная защита локальной сети

Способ оптимизации работы антивирусной программы - это создание различных её версий для компьютеров, служащих разным целям.

Часто антивирусные программы отличаются лишь наличием тех или иных специфических модулей и различием в интерфейсе, в то время как непосредственно антивирусная проверка осуществляется одной и той же антивирусной программой, называемой антивирусным ядром.

Антивирусный комплекс - набор антивирусных программ, предназначенных для решения практических проблем по обеспечению антивирусной безопасности компьютерных систем.

В антивирусный комплекс также в обязательном порядке входят средства обновления антивирусных баз.

На практике антивирусной защите не уделяется должного внимания. Даже разработчики комплексных систем информационной безопасности часто ограничиваются рекомендациями по выбору антивирусного пакета, а также оказывают помощь в его настройке.

Опасность заражения вычислительных сетей реальна для любого предприятия, но реальное развитие вирусная эпидемия может получить в локальных сетях крупных хозяйственно-производственных комплексов с территориально-разветвлённой инфраструктурой.

Практическая реализация антивирусной защиты информации на серверах и ПК корпоративной сети осуществляется с использованием ряда программно-технических методов, являющихся стандартными, но имеющих свою специфику, определяемую особенностями корпоративной сети.

К ним относятся:

· использование антивирусных пакетов;

· архивирование информации;

· резервирование информации;

· ведение базы данных о вирусах и их характеристиках;

Рассмотрим эти методы более подробно.

Главным методом антивирусной защиты является установка антивирусных пакетов.

Выбор антивирусного ПО является одной из важнейших задач антивирусной защиты, от правильности решения которой в дальнейшем будут зависеть антивирусная безопасность системы, а также затраты на ее поддержание.

Используемые антивирусные средства должны удовлетворять следующим общим требованиям:

· система должны быть совместима с операционными системами серверов и ПК;

· система антивирусной защиты не должна нарушать логику работы остальных используемых приложений;

· наличие полного набора антивирусных функций, необходимых для обеспечения антивирусного контроля и обезвреживания всех известных вирусов;

· частота обновления антивирусного ПО и гарантии поставщиков (разработчиков) в отношении его своевременности.

В отличие от других подсистем информационной безопасности в рассматриваемой области отсутствуют четко сформулированные показатели защищенности и соответствующие критерии сравнения различных антивирусных средств.

Как правило антивирусные комплексы сравниваются по следующим показателям:

· обнаружение,

· лечение,

· блокирование,

· восстановление,

· регистрация,

· обеспечение целостности,

· обновление базы данных компьютерных вирусов,

· защита антивирусных средств от доступа паролем,

· средства управления,

· гарантии проектирования,

· документация.

Локальная сеть, как правило, содержит компьютеры двух типов -

1) рабочие станции, за которыми непосредственно сидят люди,

2) сетевые серверы, используемые для служебных целей.

В соответствии с характером выполняемых функций сервера делятся на:

Сетевые, которые обеспечивают централизованное хранилище информации: файловые сервера, сервера приложений и другие.

Почтовые, на которых работает программа, служащая для передачи электронных сообщений от одного компьютера к другому.

Шлюзы, отвечающие за передачу информации из одной сети в другую.

Например, шлюз необходим для соединения локальной сети с Интернет.

Соответственно, выделяют четыре вида антивирусных комплексов для защиты:

· рабочих станций,

· файловых серверов,

· почтовых систем

· шлюзов.

Рабочие станции - это компьютеры локальной сети, за которыми непосредственно работают пользователи.

Главной задачей комплекса для защиты рабочих станций является обеспечение безопасной работы на рассматриваемом компьютере - для этого необходима проверка в режиме реального времени, проверка по требованию и проверка локальной электронной почты.

Сетевые сервера- это компьютеры, специально выделенные для хранения или обработки информации. Они обычно не используются для непосредственной работы за ними и поэтому в отличие от рабочих станций проверка электронной почты на наличие вирусов тут не нужна.Антивирусный комплекс для файловых серверов должен производить проверку в режиме реального времени и проверку по требованию.

Антивирусный комплекс для защиты почтовых систем предназначен для проверки всех проходящих электронных писем на наличие в них вирусов. То есть проверять другие файлы, размещенные на этом компьютере, он не обязан (для этого существует комплекс для защиты сетевых серверов). Поэтому к нему предъявляются требования по наличию собственно программы для проверки всей принимаемой и отправляемой почтовой корреспонденции в режиме реального времени, и дополнительно механизма проверки по требованию почтовых баз данных.

Аналогично в соответствии со своим назначением, антивирусный комплекс для шлюза осуществляет только проверку проходящих через шлюз данных.

Поскольку все вышеперечисленные комплексы используют сигнатурный анализ, то в обязательном порядке в них должно входить средство для поддержания антивирусных баз в актуальном состоянии, то есть механизм их обновления.

Дополнительно часто оказывается полезным модуль для удаленного централизованного управления, который позволяет системному администратору со своего рабочего места настраивать параметры работы антивируса, запускать проверку по требованию и обновление антивирусных баз.

Несмотря на наличие антивирусного программного обеспечения (ПО) угроза вирусных атак по-прежнему присутствует.

Это происходит по нескольким причинам:

· Установлено разрозненное антивирусное ПО, нет единой системы центрального управления и сбора информации о вирусных атаках

· Отсутствует техническая поддержка поставленного ПО, библиотека сигнатур (образов вирусов) устарела и антивирусное ПО не выявляет новые вирусы

· Отсутствует программы действий в экстремальных ситуациях, ликвидация последствий вирусной атаки происходит медленно и некачественно, утерянные данные не восстанавливаются

· Отсутствует связь с производителем антивирусного ПО при возникновении новых вирусов.

Рис.5. Общая структура антивирусной защиты локальной сети.

Существует несколько методов антивирусной защиты информационных систем (рис.5).

...