Компьютерные сети и способы их защиты

Размещено на http://www.allbest.ru/

Министерство образования и науки РФ

Государственное бюджетное образовательное учреждение

высшего профессионального образования

«Государственный университет управления»

Институт управления финансами и налогового администрирования

Кафедра налоговой политики и налогового менеджмента

Курсовая работа

по дисциплине: «Информационная безопасность»

на тему: «Компьютерные сети и способы их защиты»

Выполнила студентка

очной формы обучения

специальности «Налоги и налогообложение»

5 курса НиН-5-1 группы Мальва Л.Н.

Москва 2013

Содержание

Введение

1. Сущность понятия «компьютерные сети»

1.1 Определение компьютерных сетей

1.2 Классификация компьютерных сетей

2. Способы защиты компьютерных сетей

2.1 Эволюция способов защиты компьютерных сетей

2.2 Противодействие несанкционированному межсетевому доступу

2.3 Способы защиты компьютерных сетей

Заключение

Список использованной литературы

Введение

Современное человеческое общество живет в период, характеризуемый небывалым увеличением информационных потоков. Роль информации в общественной жизни небывало велика. Информация имеет преобразующий, определяющий характер. Рыночные отношения предъявляют повышенные требования к своевременности, достоверности, полноте информации, без которой немыслима эффективная деятельность в области техники, экономики и коммерции. Но существует информация, которая должна быть дополнительно защищена и способы ее защиты должны быть эффективны и надежны. Таким образом, тема, рассматриваемая в данной курсовой работе, актуальна и важна.

Объектом исследования работы являются компьютерные сети и, конкретно, способы их защиты. Основная цель работы - глубинное изучение понятия «компьютерные сети» и выявление способов их защиты.

Для достижения поставленной цели необходимо разрешить ряд задач:

· изучение понятия «компьютерная сеть» и классификации;

· рассмотрение способов защиты компьютерных сетей;

· выявление наиболее популярных способов защиты компьютерных сетей.

Для написания курсовой работы были использованы: учебники для высших учебных заведений по дисциплине «информационная безопасность», новейшие справочники и свежие статьи современных исследователей.

1. Сущность понятия «компьютерные сети»

компьютерный сеть безопасность несанкционированный

1.1 Определение компьютерных сетей

Создание компьютерных сетей вызвано практической потребностью пользователей удаленных друг от друга компьютеров в одной и той же информации. Сети предоставляют пользователям возможность не только быстрого обмена информацией, но и совместной работы на принтерах и других периферийных устройствах, и даже одновременной обработки документов. [2]

Компьютерная сеть (англ. «Computer NetWork», от «net» -- сеть и «work» -- работа) (вычислительная сеть, сеть передачи данных) -- система связи компьютеров или вычислительного оборудования (серверы, маршрутизаторы и другое оборудование); совокупность компьютеров, соединенных с помощью каналов связи и средств коммутации в единую систему для обмена сообщениями и доступа пользователей к программным, техническим, информационным и организационным ресурсам сети. [17], [18]

Передача данных (обмен данными, цифровая передача, цифровая связь) -- физический перенос данных (цифрового битового потока) в виде сигналов от точки к точке или от точки к нескольким точкам средствами электросвязи по каналу связи, как правило, для последующей обработки средствами вычислительной техники. Примерами подобных каналов могут служить медные провода, оптическое волокно, беспроводные каналы связи или запоминающее устройство. Передача данных может быть аналоговой или цифровой (то есть поток двоичных сигналов), а также модулирован посредством аналоговой модуляции, либо посредством цифрового кодирования. Хотя аналоговая связь является передачей постоянно меняющегося цифрового сигнала, цифровая связь является непрерывной передачей сообщений. Сообщения представляют собой либо последовательность импульсов, означающую линейный код (в полосе пропускания), либо ограничивается набором непрерывно меняющейся формы волны, используя метод цифровой модуляции. Такой способ модуляции и соответствующая ему демодуляция осуществляются модемным оборудованием. Передаваемые данные могут быть цифровыми сообщениями, идущими из источника данных, например, из компьютера или от клавиатуры. Это может быть и аналоговый сигнал -- телефонный звонок или видеосигнал, оцифрованный в битовый поток, используя импульсно-кодирующую модуляцию (PCM) или более расширенные схемы кодирования источника (аналого-цифровое преобразование и сжатие данных). Кодирование источника и декодирование осуществляется кодеком или кодирующим оборудованием. [17]

Компьютерную сеть представляют как совокупность узлов (компьютеров и сетевого оборудования) и соединяющих их ветвей (каналов связи). Ветвь сети -- это путь, соединяющий два смежных узла. Различают узлы оконечные, расположенные в конце только одной ветви, промежуточные, расположенные на концах более чем одной ветви, и смежные -- такие узлы соединены, по крайней мере, одним путём, не содержащим никаких других узлов. Компьютеры могут объединяться в сеть разными способами. Для передачи данных могут быть использованы различные физические явления, как правило -- различные виды электрических сигналов, световых сигналов или электромагнитного излучения.

Логический и физический способы соединения компьютеров, кабелей и других компонентов, в целом составляющих сеть, называется ее топологией. Топология характеризует свойства сетей, не зависящие от их размеров. При этом не учитывается производительность и принцип работы этих объектов, их типы, длины каналов, хотя при проектировании эти факторы очень важны. [18]

1.2 Классификация компьютерных сетей

Все многообразие компьютерных сетей можно классифицировать по группе признаков:

1) по территориальной распространенности;

2) по ведомственной принадлежности;

3) по скорости передачи информации;

4) по типу среды передачи;

5) по типу функционального взаимодействия;

6) по типу сетевой топологии;

7) по функциональному назначению;

8) по сетевым операционным системам;

9) по необходимости поддержания постоянного соединения.

1) По территориальной распространенности сети могут быть локальными, глобальными, и региональными. Некоторые исследователи по данному признаку классифицируют компьютерные сети иначе:

· PAN (Personal Area Network) -- персональная сеть, предназначенная для взаимодействия различных устройств, принадлежащих одному владельцу;

· ЛВС (LAN, Local Area Network) -- локальные сети, имеющие замкнутую инфраструктуру до выхода на поставщиков услуг. Термин «LAN» может описывать и маленькую офисную сеть, и сеть уровня большого завода, занимающего несколько сотен гектаров. Зарубежные источники дают даже близкую оценку -- около шести миль (10 км) в радиусе. Локальные сети являются сетями закрытого типа, доступ к ним разрешён только ограниченному кругу пользователей, для которых работа в такой сети непосредственно связана с их профессиональной деятельностью;

· CAN (Campus Area Network -- кампусная сеть) -- объединяет локальные сети близко расположенных зданий;

· MAN (Metropolitan Area Network) -- городские сети между учреждениями в пределах одного или нескольких городов, связывающие много локальных вычислительных сетей;

· WAN (Wide Area Network) -- глобальная сеть, покрывающая большие географические регионы, включающие в себя как локальные сети, так и прочие телекоммуникационные сети и устройства. Пример WAN -- сети с коммутацией пакетов (Frame relay), через которую могут «разговаривать» между собой различные компьютерные сети. Глобальные сети являются открытыми и ориентированы на обслуживание любых пользователей.

· «корпоративная сеть» также используется в литературе для обозначения объединения нескольких сетей, каждая из которых может быть построена на различных технических, программных и информационных принципах.

2) По принадлежности различают ведомственные (принадлежат одной организации и располагаются на ее территории) и государственные сети.

3) По скорости передачи информации компьютерные сети делятся на низко- (до 10 Мбит/с), средне- (до 100 Мбит/с) и высокоскоростные (свыше 100 Мбит/с).

4) По типу среды передачи разделяются на сети проводные (телефонный провод, коаксиальный кабель, витая пара, волоконно-оптический кабель) и беспроводные (передачей информации по радиоволнам в определенном частотном диапазоне).

5) По типу функционального взаимодействия информации компьютерные сети делятся на: клиент-сервер (вычислительная или сетевая архитектура, в которой задания или сетевая нагрузка распределены между поставщиками услуг (сервисов), называемыми серверами, и заказчиками услуг, называемыми клиентами) и смешанная сеть.

6) По типу сетевой топологии делятся на:

· шина (представляет собой общий кабель (называемый шина или магистраль), к которому подсоединены все рабочие станции, где на концах кабеля находятся терминаторы, для предотвращения отражения сигнала) (рис. 1)

Рис. 1 Топология типа «Шина»

· кольцо (каждый компьютер соединён линиями связи только с двумя другими: от одного он только получает информацию, а другому только передаёт. На каждой линии связи, как и в случае звезды, работает только один передатчик и один приёмник, что позволяет отказаться от применения внешних терминаторов) (рис. 2)

Рис. 2 Топология типа «Кольцо»

· двойное кольцо (построенная на двух кольцах, где первое кольцо -- основной путь для передачи данных, а второе -- резервный путь, дублирующий основной)

· звезда (все компьютеры сети присоединены к центральному узлу (обычно коммутатор)) (рис. 3)



Рис. 3 Топология типа «Звезда»

· ячеистая (каждая рабочая станция сети соединяется с несколькими другими рабочими станциями этой же сети) (рис. 4)

Рис. 4 Топология типа «Ячеистая»

· решётка (узлы образуют регулярную многомерную решётку, при этом каждое ребро решётки параллельно её оси и соединяет два смежных узла вдоль этой оси)

· дерево (между любой парой узлов сети с такой топологией существует лишь один путь)

· fat tree (связи в утолщенном дереве более широкие (толстые, производительные по пропускной способности) с каждым уровнем по мере приближения к корню дерева) (рис. 6)

Рис. 5 Топология типа «Fat tree»

7) По функциональному назначению сети делятся на:

· сети хранения данных (архитектурное решение для подключения внешних устройств хранения данных, таких как дисковые массивы, ленточные библиотеки, оптические приводы к серверам таким образом, чтобы операционная система распознала подключённые ресурсы как локальные.);

· серверные фермы (ассоциация серверов, соединенных сетью передачи данных и работающих как единое целое);

· сети управления процессом;

· сети SOHO (обычно представлена одним кабинетом или комнатой), домовые сети.

8) По сетевым операционным системам сети бывают на основе Windows, на основе UNIX, на основе NetWare, на основе Cisco.

9) По необходимости поддержания постоянного соединения сети разделяют на:

· пакетная сеть, например Фидонет и UUCP;

· онлайновая сеть, например Интернет и GSM. [17], [18]

2. Способы защиты компьютерных сетей

2.1 Эволюция способов защиты компьютерных сетей

Имеется достаточно много способов несанкционированного доступа к информации, в том числе:

* просмотр;

* копирование и подмена данных;

* ввод ложных программ и сообщений в результате подключения к каналам связи;

* чтение остатков информации на ее носителях;

* прием сигналов электромагнитного излучения и волнового характера;

* использование специальных программ.

Для борьбы со всеми этими способами несанкционированного доступа необходимо разрабатывать, создавать и внедрять многоступенчатую непрерывную и управляемую архитектуру безопасности информации. Защищать следует не только информацию конфиденциального содержания. На объект защиты обычно действует некоторая совокупность дестабилизирующих факторов. При этом вид и уровень воздействия одних факторов могут не зависеть от вида и уровня других.

Еще 25-30 лет назад задача защиты информации могла быть эффективно решена с помощью организационных мер (выполнения режимных мероприятий, использования средств охраны и сигнализации) и отдельных программно-аппаратных средств разграничения доступа и шифрования. Этому способствовала концентрация информационных ресурсов и средств для их обработки на автономно функционирующих вычислительных центрах. Появление персональных ЭВМ, локальных и глобальных компьютерных сетей, спутниковых каналов связи, эффективных средств технической разведки и получения конфиденциальной информации существенно обострило проблему защиты информации.

Проблема защиты информации путем ее преобразования, исключающего ее прочтение посторонним лицом, волновала человеческий ум с давних времен. Одним из первых способов защиты информации является ее шифрование или криптографическое закрытие. Более того, первоначально письменность сама по себе была криптографической системой, так как в древних обществах ею владели только избранные. Постепенно сформировалось такое научное направление как криптология, изучающая и разрабатывающая научно-методологические основы, способы, методы и средства криптографического преобразования информации.

Можно выделить 3 период развития защиты информации. Первый период - это эра донаучной криптологии. Началом второго периода можно считать 1949 год, когда появилась работа К.Шеннона «Теория связи в секретных системах», в которой проведено фундаментальное научное исследование шифров и важнейших вопросов их стойкости. Благодаря этому криптология оформилась как прикладная математическая дисциплина. Начало третьему периоду было положено появлением в 1976 году работы У. Диффи, М. Хельмана «Новые направления криптографии», где показано, что секретная связь возможна без предварительной передачи секретного ключа. Так началось и продолжается до настоящего времени бурное развитие наряду с обычной классической криптографией и криптография с открытым ключом. [4]

2.2 Противодействие несанкционированному межсетевому доступу

При подключении любой закрытой компьютерной сети к открытым сетям, например, к сети Internet, высокую актуальность приобретают угрозы несанкционированного вторжения в закрытую сеть из открытой, а также угрозы несанкционированного доступа из закрытой сети к ресурсам открытой. Подобный вид угроз характерен также для случая, когда объединяются отдельные сети, ориентированные на обработку конфиденциальной информации совершенно разного уровня секретности или разных категорий. При ограничении доступа этих сетей друг к другу возникают угрозы нарушения установленных ограничений.

Таким образом, если в качестве внешней сети используется открытая либо любая другая потенциально враждебная сеть, то появляются угрозы нарушения установленных правил межсетевого взаимодействия, а именно:

? угрозы неправомерного вторжения во внутреннюю сеть из внешней;

? угрозы несанкционированного доступа во внешнюю сеть из внутренней. Неправомерное вторжение во внутреннюю сеть из внешней может выполняться как с целью несанкционированного использования ресурсов внутренней сети, например, хищения информации, так и с целью нарушения ее работоспособности. Без соответствующих средств защиты вероятность успешной реализации данных угроз является достаточно высокой. Это связано с "врожденными" недостатками наиболее широко используемого для межсетевого взаимодействия набора протоколов ТСР/IP. Ведь данный стек протоколов изначально был разработан для глобальной сети Internet, которая создавалась как открытая система для свободного обмена информацией.

В более ранних версиях, а также в текущей версии протокола IP (вереи IPv4) не предусматривались какие-либо функции защиты от несанкционированных действий.

Угрозы несанкционированного доступа во внешнюю сеть из внутренней сети актуальны в случае ограничения разрешенного доступа во внешнюю сеть правилами, установленными в организации. Такое ограничение, что особенно характерно для взаимодействия с открытыми сетями, может понадобиться в следующих случаях:

? для предотвращения утечки конфиденциальных данных;

? при запрете доступа, например, в учебных заведениях, к информации нецензурной и нежелательной направленности;

? в случае запрета служебного доступа к развлекательным компьютерным ресурсам в рабочее время.

Бороться с рассмотренными угрозами безопасности межсетевого взаимодействия средствами универсальных операционных систем (ОС) не представляется возможным. Универсальная операционная система -- это слишком большой и сложный комплекс программ, который, с одной стороны, может содержать внутренние ошибки и недоработки, а с другой -- не всегда обеспечивает защиту от ошибок администраторов и пользователей.

Современная технология программирования не позволяет сделать столь большие программы безопасными. Для операционных систем характерны как явные ошибки разработки, так и существенные недостатки, связанные с недоработкой концептуальных и ряда детальных требований к системе безопасности. Кроме того, администратор, имеющий дело со сложной системой, далеко не всегда в состоянии эффективно ее настроить и сконфигурировать. Наконец, в универсальной многопользовательской системе бреши в безопасности постоянно создаются самими пользователями, например, тривиальные и редко изменяемые пароли.

Следует учитывать также неоднородность современных компьютерных сетей. Сеть любой организации в общем случае представляет собой неоднородный набор из различных компьютеров, управляемых различными операционными системами и связанных между собой с помощью сетевого оборудования. Компьютеры одного типа и с одной ОС могут, в соответствии с их назначением, иметь совершенно разные конфигурации. В таких условиях проблематично осуществить надежную защиту от внешне сетевого враждебного окружения каждого компьютера в отдельности.

Поэтому проблема защиты от несанкционированных действий при взаимодействии с внешними сетями успешно может быть решена только с помощью специализированных программно-аппаратных комплексов, обеспечивающих целостную защиту компьютерной сети от враждебной внешней среды. Такие комплексы называют межсетевыми экранами, брандмауэрами или системами FireWall. Межсетевой экран устанавливается на стыке между внутренней и внешней сетями и функции противодействия несанкционированному межсетевому доступу берет на себя.

Функции межсетевого экранирования

Для противодействия несанкционированному межсетевому доступу брандмауэр должен располагаться между защищаемой сетью организации, являющейся внутренней, и потенциально враждебной внешней сетью. При этом все взаимодействия между этими сетями должны осуществляться только через межсетевой экран. Организационно экран входит в состав защищаемой сети.

Межсетевой экран должен учитывать протоколы информационного обмена, положенные в основу функционирования внутренней и внешней сетей. Если эти протоколы отличаются, то брандмауэр должен поддерживать многопротокольный режим работы, обеспечивая протокольное преобразование отличающихся по реализации уровней модели OSI для объединяемых сетей. Чаще всего возникает необходимость в совместной поддержке стеков протоколов SPX/IPX и ТСР/IP.

Брандмауэр не является симметричным. Для него отдельно задаются правила, ограничивающие доступ из внутренней сети во внешнюю сеть и наоборот. В общем случае работа межсетевого экрана основана на динамическом выполнении двух групп функций:

? фильтрации проходящих через него информационных потоков;

? посредничества при реализации межсетевых взаимодействий.

В зависимости от типа экрана эти функции могут выполняться с различной полнотой. Простые межсетевые экраны ориентированы на выполнение только одной из данных функций. Комплексные экраны обеспечивают совместное выполнение указанных функций защиты. Собственная защищенность брандмауэра достигается с помощью тех же средств, что и защищенность универсальных систем.

Чтобы эффективно обеспечивать безопасность сети, комплексный брандмауэр обязан управлять всем потоком, проходящим через него, и отслеживать свое состояние. Для принятия управляющих решений по используемым сервисам межсетевой экран должен получать, запоминать, выбирать и обрабатывать информацию, полученную от всех коммуникационных уровней и от других приложений. Недостаточно просто проверять пакеты по отдельности. Информация о состоянии соединения, полученная из инспекции соединений в прошлом и других приложений, -- главный фактор в принятии управляющего решения при попытке установления нового соединения. Для принятия решения могут учитываться как состояние соединения (полученное из прошлого потока данных), так и состояние приложения (полученное из других приложений). Полнота и правильность управления требуют, чтобы комплексный брандмауэр имел возможность анализа и использования следующих элементов:

? Информации о соединениях -- информации от всех семи уровней в пакете.

? Истории соединений -- информации, полученной от предыдущих соединений. Например, исходящая команда PORT ceccии FTP должна быть сохранена для того, чтобы в дальнейшем можно было проверить входящее соединение FTP data.

? Состояния уровня приложения -- информации о состоянии, полученной из других приложений. Например, аутентифицированному до настоящего момента пользователю можно предоставить доступ через брандмауэр только для авторизованных видов сервиса.

? Агрегирующих элементов -- вычислений разнообразных выражений, основанных на всех вышеперечисленных факторах.

Устройство, подобное межсетевому экрану, может использоваться и для защиты отдельного компьютера. В этом случае экран, уже не являющийся межсетевым, устанавливается на защищаемый компьютер. Такой экран, называемый персональным брандмауэром или системой персонального экранирования, контролирует весь исходящий и входящий трафик независимо от всех прочих, системных защитных средств. При экранировании отдельного компьютера, поддерживается доступность сетевых сервисов, но уменьшается или вообще ликвидируется нагрузка, индуцированная внешней активностью. В результате снижается уязвимость внутренних сервисов защищаемого таким образом компьютера, поскольку первоначально сторонний злоумышленник должен преодолеть экран, где защитные средства с конфигурированы особенно тщательно и жестко.

Фильтрация трафика

Фильтрация информационных потоков состоит в их выборочном пропускании через экран, возможно, с выполнением некоторых преобразований и извещением отправителя о том, что его данным в пропуске отказано.

Фильтрация осуществляется на основе набора правил, предварительно загруженных в экран и являющихся выражением сетевых аспектов принятой политики безопасности. Поэтому межсетевой экран удобно представлять как последовательность фильтров, обрабатывающих информационный поток. Каждый из фильтров предназначен для интерпретации отдельных правил фильтрации путем выполнения следующих стадий:

1. Анализа информации по заданным в интерпретируемых правилах критериям, например, по адресам получателя и отправителя или по типу приложения, для которого эта информация предназначена.

2. Принятия на основе интерпретируемых правил одного из следующих решений:

* не пропустить данные;

* обработать данные от имени получателя и возвратить результат отправителю;

* передать данные на следующий фильтр для продолжения анализа;

* пропустить данные, игнорируя следующие фильтры.

Правила фильтрации могут задавать и дополнительные действия, которые относятся к функциям посредничества, например, преобразование данных, регистрация событий и др. Соответственно правила фильтрации определяют перечень условий, по которым с использованием указанных критериев анализа осуществляются:

? разрешение или запрещение дальнейшей передачи данных;

? выполнение дополнительных защитных функций.

В качестве критериев анализа информационного потока могут использоваться следующие параметры:

? служебные поля пакетов сообщений, содержащие сетевые адреса, идентификаторы, адреса интерфейсов, номера портов и другие значимые данные;

? непосредственное содержимое пакетов сообщений, проверяемое, например, на наличие компьютерных вирусов;

? внешние характеристики потока информации, например, временные, частотные характеристики, объем данных и т. д.

Используемые критерии анализа зависят от уровней модели OSI, на которых осуществляется фильтрация. В общем случае, чем выше уровень модели OSI, на котором брандмауэр фильтрует пакеты, тем выше и обеспечиваемый им уровень защиты.

Выполнение функций посредничества

Функции посредничества межсетевой экран выполняет с помощью специальных программ, называемых экранирующими агентами или просто программами-посредниками. Данные программы являются резидентными и запрещают непосредственную передачу пакетов сообщений между внешней и внутренней сетью.

При необходимости доступа из внутренней сети во внешнюю сеть или наоборот вначале должно быть установлено логическое соединение с программой-посредником, функционирующей на компьютере экрана. Программа-посредник проверяет допустимость запрошенного межсетевого взаимодействия и при его разрешении сама устанавливает отдельное соединение с требуемым компьютером. Далее обмен информацией между компьютерами внутренней и внешней сети осуществляется через программного посредника, который может выполнять фильтрацию потока сообщений, а также осуществлять другие защитные функции.

Следует уяснить, что функции фильтрации межсетевой экран может выполнять без применения программ-посредников, обеспечивая прозрачное взаимодействие между внутренней и внешней сетью. Вместе с тем программные посредники могут и не осуществлять фильтрацию потока сообщений.

В общем случае экранирующие агенты, блокируя прозрачную передачу потока сообщений, могут выполнять следующие функции:

? идентификацию и аутентификацию пользователей;

? проверку подлинности передаваемых данных;

? разграничение доступа к ресурсам внутренней сети;

? разграничение доступа к ресурсам внешней сети;

? фильтрацию и преобразование потока сообщений, например, динамический поиск вирусов и прозрачное шифрование информации;

? трансляцию внутренних сетевых адресов для исходящих пакетов сообщений;

? регистрацию событий, реагирование на задаваемые события, а также анализ зарегистрированной информации и генерацию отчетов;

? кэширование данных, запрашиваемых из внешней сети. Для высокой степени безопасности необходима идентификация и аутентификация пользователей не только при их доступе из внешней сети во внутреннюю, но и наоборот. Пароль не должен передаваться в открытом виде через общедоступные коммуникации. Это предотвратит получение несанкционированного доступа путем перехвата сетевых пакетов, что возможно, например, в случае стандартных сервисов типа Telnet. Оптимальным способом аутентификации является использование одноразовых паролей. Удобно и надежно также применение цифровых сертификатов, выдаваемых доверительными органами, например центром распределения ключей. Большинство программ-посредников разрабатываются таким образом, чтобы пользователь аутентифицировался только в начале сеанса работы с межсетевым экраном. После этого от него не требуется дополнительная аутентификация в течение времени, определяемого администратором.

Программы-посредники могут осуществлять проверку подлинности получаемых и передаваемых данных. Это актуально не только для аутентификации электронных сообщений, но и мигрирующих программ (Java, ActiveX Controls), по отношению к которым может быть выполнен подлог. Проверка подлинности сообщений и программ заключается в контроле их цифровых подписей. Для этого также могут применяться цифровые сертификаты.

Идентификация и аутентификация пользователей при обращении к межсетевому экрану позволяет разграничить их доступ к ресурсам внутренней или внешней сети. Способы разграничения к ресурсам внутренней сети ничем не отличаются от способов разграничения, поддерживаемых на уровне операционной системы. При разграничении доступа к ресурсам внешней сети чаще всего используется один из следующих подходов:

? разрешение доступа только по заданным адресам во внешней сети;

? фильтрация запросов на основе обновляемых списков недопустимых адресов и блокировка поиска информационных ресурсов по нежелательным ключевым словам;

? накопление и обновление администратором санкционированных информационных ресурсов внешней сети в дисковой памяти брандмауэра и полный запрет доступа во внешнюю сеть.

Фильтрация и преобразование потока сообщений выполняется посредником на основе заданного набора правил. Здесь следует различать два вида программ посредников:

? экранирующие агенты, ориентированные на анализ потока сообщений для определенных видов сервиса, например, FTP, HTTP, Telnet;

? универсальные экранирующие агенты, обрабатывающие весь поток сообщений, например, агенты, ориентированные на поиск и обезвреживание компьютерных вирусов или прозрачное шифрование данных.

Программный посредник анализирует поступающие к нему пакеты данных, и если какой-либо объект не соответствует заданным критериям, то посредник либо блокирует его дальнейшее продвижение, либо выполняет соответствующие преобразования, например, обезвреживание обнаруженных компьютерных вирусов. При анализе содержимого пакетов важно, чтобы экранирующий агент мог автоматически распаковывать проходящие файловые архивы.

Брандмауэры с посредниками позволяют также организовывать защищенные виртуальные сети (Virtual Private Network -- VPN), например, безопасно объединить несколько локальных сетей, подключенных к Internet, в одну виртуальную сеть. VPN обеспечивают прозрачное для пользователей соединение локальных сетей, сохраняя секретность и целостность передаваемой информации путем ее динамического шифрования. При передаче по Internet возможно шифрование не только данных пользователей, но и служебной информации -- конечных сетевых адресов, номеров портов и т. д. Программы-посредники могут выполнять и такую важную функцию, как трансляцию внутренних сетевых адресов. Данная функция реализуется по отношению ко всем пакетам, следующим из внутренней сети во внешнюю. Для этих пакетов посредник выполняет автоматическое преобразование IP-адресов компьютеров-отправителей в один "надежный" IP-адрес, ассоциируемый с брандмауэром, из которого передаются все исходящие пакеты. В результате все исходящие из внутренней сети пакеты оказываются отправленными межсетевым экраном, что исключает прямой контакт между авторизованной внутренней сетью и являющейся потенциально опасной внешней сетью. IP-адрес брандмауэра становится единственным активным IP-адресом, который попадает во внешнюю сеть.

При таком подходе топология внутренней сети скрыта от внешних пользователей, что усложняет задачу несанкционированного доступа. Кроме повышения безопасности трансляция адресов позволяет иметь внутри сети собственную систему адресации, не согласованную с адресацией во внешней сети, например, в сети Internet. Это эффективно решает проблему расширения адресного пространства внутренней сети и дефицита адресов внешней сети.

Важными функциями программ-посредников являются регистрация событий, реагирование на задаваемые события, а также анализ зарегистрированной информации и составление отчетов. В качестве обязательной реакции на обнаружение попыток выполнения несанкционированных действий должно быть определено уведомление администратора, т. е. выдача предупредительных сигналов. Любой брандмауэр, который не способен посылать, предупредительные сигналы при обнаружении нападения, не является эффективным средством межсетевой защиты.

Многие межсетевые экраны содержат мощную систему регистрации, сбора и анализа статистики. Учет может вестись по адресам клиента и сервера, идентификаторам пользователей, времени сеансов, времени соединений, количеству переданных/принятых данных, действиям администратора и пользователей. Системы учета позволяют произвести анализ статистики и предоставляют администраторам подробные отчеты. За счет использования специальных протоколов посредники могут выполнить удаленное оповещение об определенных событиях в режиме реального времени.

С помощью специальных посредников поддерживается также кэширование данных, запрашиваемых из внешней сети. При доступе пользователей внутренней сети к информационным ресурсам внешней сети вся информация накапливается на пространстве жесткого диска брандмауэра, называемого в этом случае рrоху-сервером. Поэтому если при очередном запросе нужная информация окажется на proxy-сервере, то посредник предоставляет ее без обращения к внешней сети, что существенно ускоряет доступ. Администратору следует позаботиться только о периодическом обновлении содержимого рrоху-сервера.

Функция кэширования успешно может использоваться для ограничения доступа к информационным ресурсам внешней сети. В этом случае все санкционированные информационные ресурсы внешней сети накапливаются и обновляются администратором на proxy-сервере. Пользователям внутренней сети разрешается доступ только к информационным ресурсам proxy-сервера, а непосредственный доступ к ресурсам внешней сети запрещается.

Экранирующие агенты намного надежнее обычных фильтров и обеспечивают большую степень защиты. Однако они снижают производительность обмена данными между внутренней и внешней сетями и не обладают той степенью прозрачности для приложений и конечных пользователей, которая характерна для простых фильтров. [19]

2.3 Способы защиты компьютерных сетей

Самые популярные и массово распространенные способы просты (именно в этом и успех популярности). Но из-за простоты данные виды защиты являются слабыми и часто не эффективными.

Для предотвращения несанкционированного доступа к данным, хранящимся на компьютере, используются пароли. Компьютер разрешает доступ к своим ресурсам только тем пользователям, которые зарегистрированы и ввели правильный пароль. Каждому конкретному пользователю может быть разрешен доступ только к определенным информационным ресурсам. При этом может производиться регистрация всех попыток несанкционированного доступа.

Защита пользовательских настроек имеется в операционной системе Windows (при загрузке системы пользователь должен ввести свой пароль), однако такая защита легко преодолима, так как пользователь может отказаться от введения пароля. Вход по паролю может быть установлен в программе BIOS Setup, компьютер не начнет загрузку операционной системы, если не введен правильный пароль. Преодолеть такую защиту нелегко, более того, возникнут серьезные проблемы доступа к данным, если пользователь забудет этот пароль.

В настоящее время для защиты от несанкционированного доступа к информации все более часто используются биометрические системы авторизации и идентификации пользователей. Используемые в этих системах характеристики являются неотъемлемыми качествами личности человека и поэтому не могут быть утерянными и подделанными. К биометрическим системам защиты информации относятся системы распознавания речи, системы идентификации по отпечаткам пальцев, а также системы идентификации по радужной оболочке глаза.

Существует и яро муссируется сегодня проблема компьютерного пиратства и способы защиты от пиратских программ. Компьютерные пираты, нелегально тиражируя программное обеспечение, обесценивают труд программистов, делают разработку программ экономически невыгодным бизнесом. Кроме того, компьютерные пираты нередко предлагают пользователям недоработанные программы, программы с ошибками или их демоверсии. Для того чтобы программное обеспечение компьютера могло функционировать, оно должно быть установлено (инсталлировано). Программное обеспечение распространяется фирмами-производителями в форме дистрибутивов на CD-ROM. Каждый дистрибутив имеет свой серийный номер, что препятствует незаконному копированию и установке программ. Для предотвращения нелегального копирования программ и данных, хранящихся на CD-ROM, может использоваться специальная защита. На CD-ROM может быть размещен закодированный программный ключ, который теряется при копировании и без которого программа не может быть установлена.

Защита от нелегального использования программ может быть реализована с помощью аппаратного ключа, который присоединяется обычно к параллельному порту компьютера. Защищаемая программа обращается к параллельному порту и запрашивает секретный код; если аппаратный ключ к компьютеру не присоединен, то защищаемая программа определяет ситуацию нарушения защиты и прекращает свое выполнение.

Каждый диск, папка и файл локального компьютера, а также компьютера, подключенного к локальной сети, может быть защищен от несанкционированного доступа. Для них могут быть установлены определенные права доступа (полный, только чтение, по паролю), причем права могут быть различными для различных пользователей. Для обеспечения большей надежности хранения данных на жестких дисках используются RAID-массивы (Redantsnt Arrays of Independent Disks - избыточный массив независимых дисков). Несколько жестких дисков подключаются к специальному RAID-контроллеру, который рассматривает их как единый логический носитель информации. При записи информации она дублируется и сохраняется на нескольких дисках одновременно, поэтому при выходе из строя одного из дисков данные не теряются.

Если компьютер подключен к Интернету, то в принципе любой пользователь, также подключенный к Интернету может получить доступ к информационным ресурсам этого компьютера. Если сервер имеет соединение с Интернетом и одновременно служит сервером локальной сети (Интернет-сервером), то возможно несанкционированное проникновение из Интернета в локальную сеть.

Механизмы проникновения из Интернета на локальный компьютер и в локальную сеть могут быть разными:

· загружаемые в браузер Web-страницы могут содержать активные элементы ActiveX или Java-апплеты, способные выполнять деструктивные действия на локальном компьютере;

· некоторые Web-серверы размещают на локальном компьютере текстовые файлы cookie, используя которые можно получить конфиденциальную информацию о пользователе локального компьютера;

· с помощью специальных утилит можно получить доступ к дискам и файлам локального компьютера.

Для того чтобы этого не происходило, устанавливается программный или аппаратный барьер между Интернетом и Интранетом с помощью брандмауэра (firewall - межсетевой экран). Брандмауэр отслеживает передачу данных между сетями, осуществляет контроль текущих соединений, выявляет подозрительные действия и тем самым предотвращает несанкционированный доступ из Интернета в локальную сеть. [1],[9], [13], [14]

Заключение

Защита информации, находящейся на компьютерах, передающей по компьютерным сетям, сегодня - одна из важнейших задач, стоящих перед программистами, IT-работниками частных и государственных предприятий, а также простых пользователей компьютеров.

По данной курсовой работе можно сделать ряд выводов:

1) Компьютерная сеть - совокупность компьютеров, соединенных с помощью каналов связи и средств коммутации в единую систему для обмена сообщениями и доступа пользователей к программным, техническим, информационным и организационным ресурсам сети.

2) Все многообразие компьютерных сетей можно классифицировать по группе признаков: по территориальной распространенности, по ведомственной принадлежности, по скорости передачи информации, по типу среды передачи, по типу функционального взаимодействия и др.

3) При подключении любой закрытой компьютерной сети к открытым сетям, например, к сети Internet, высокую актуальность приобретают угрозы несанкционированного вторжения в закрытую сеть из открытой.

4) Проблема защиты от несанкционированных действий при взаимодействии с внешними сетями может быть решена только с помощью специализированных программно-аппаратных комплексов. Такие комплексы называют межсетевыми экранами, брандмауэрами или системами FireWall.

5) Наиболее популярные и простые способы защиты на сегодня - установление паролей, биометрических систем авторизации и идентификации пользователей, программных и аппаратных ключей, программного или аппаратного барьер между Интернетом и Интранетом, определение права доступа, RAID-массивы.

Данную курсовую работу можно использовать в качестве мини-справочника по вопросам дефиниции и классификации компьютерных сетей, и способов их защиты.

Список использованной литературы

1) Н. Угринович, Л. Босова, Н. Михайлова - Практикум по информатике и информационным технологиям - изд. Бином. Лаборатория знаний, 2009.

2) Олифер В.Г., Олифер Н.А. - Компьютерные сети. Принципы, технологии, протоколы - изд. Питер, 4-е издание, 2010.

3) Ватаманюк А.И. - Создание, обслуживание и администрирование сетей на 100% - изд. Питер, 2010.

4) Е. Сухарев - Информационная безопасность. Методы шифрования - изд. Радиотехника, 2011.

5) М. А. Борисов, О. А. Романов - Основы организационно-правовой защиты информации - изд. Либроком, 2013.

6) М. А. Борисов, И. В. Заводцев, И. В. Чижов - Основы программно-аппаратной защиты информации - изд. Либроком, 2013.

7) О. Ф. Бойкова - Персональные данные. Обработка, использование и защита - изд. Пашков дом, 2012.

8) А. А. Малюк, С. В. Пазизин, Н. С. Погожин - Введение в защиту информации в автоматизированных системах - изд. Горячая Линия - Телеком, 2011.

9) А. Лебедев - Защита компьютера от вирусов, хакеров и сбоев. Понятный самоучитель - изд. Питер, 2013.

10) В. Леонов - Бесплатные антивирусы для защиты вашего компьютера (+ DVD-ROM) - изд. Эксмо, 2012.

11) В. В. Платонов - Программно-аппаратные средства защиты информации - изд. Академия, 2013.

12) П. Ташков - Защита компьютера на 100%. Сбои, ошибки и вирусы - изд. Питер, 2011.

13) А. Жадаев - Антивирусная защита ПК. От "чайника" к пользователю - изд. БХВ-Петербург, 2010.

14) А. Жадаев - Как защитить компьютер на 100%- изд. Питер, 2012.

15) М. Ховард, Д. Лебланк, Дж. Вьега (переводчик: Е. Матвеев) - 24 смертных греха компьютерной безопасности (24 Deadly Sins of Software Security: Programming Flaws and How to Fix Them) - изд. Питер, 2010.

16) Parmy Olson - We are Anonymous: Inside the Hacker World of LulzSec, Anonymous, and the Global Cyber Insurgency - изд. Little, Brown and Company, 2012.

Размещено на Allbest.ru