Информационная безопасность компьютерных сетей

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Реферат

Информационная безопасность компьютерных сетей

Введение

сеть пользователь сигнатура компьютерный

Сеть должна обеспечивать удобство доступа к своим ресурсам - дисковым томам, разделяемым принтерам, устройствам архивации, модемам и другим устройствам коллективного использования - в сочетании с эффективной системой их защиты от несанкционированного доступа. Эти функции с успехом решены в NetWare, разные поколения имеют свои характерные отличия, но в них прослеживаются и общие принципы защиты ресурсов. В NetWare 4.x также имеется развитая система сетевого аудита - пассивной системы всестороннего и независимого (даже от самого главного администратора!) наблюдения за действиями пользователей.

1. Общие принципы построения вычислительных сетей

Протекающие в ЭВМ любого класса информационные процессы локализованы рамками входящих в ее состав устройств. При этом обмен данными реализуется посредством системной шины и различного рода кабелей, обеспечивающих подключение внешних устройств. Современные информационные технологии предполагают широкое использование компьютерных сетей, в которых процессы обмена данными между компьютерами приобретают основополагающее значение.

Компьютерная сеть - это система, состоящая из двух и более разнесенных в пространстве компьютеров, объединенных каналами связи, и обеспечивающая распределенную обработку данных. Компьютерные сети представляют собой распределенные системы, позволяющие объединить информационные ресурсы входящих в их состав компьютеров.

Общепринятой классификацией компьютерных сетей является их разделение на локальные (LAN - Local Area Network), глобальные (WAN - World Area Network) и корпоративные сети.

Простейшая сеть образуется соединением двух рядом расположенных компьютеров через последовательные (СОМ) или параллельные (LPT) порты с помощью специальных кабелей. Такое соединение часто применяют при подключении ноутбука к другому компьютеру с целью передачи данных. В последние годы в практику входит использование инфракрасных портов для соединения компьютеров в пределах прямой видимости (без применения кабелей).

Локальная вычислительная сеть (ЛВС) представляет собой распределенную на небольшой территории вычислительную систему, не требующую специальных устройств (за исключением сетевых карт и в более сложных конфигурациях - концентраторов) для передачи данных. В связи с ослаблением сигналов в соединяющих компьютеры электрических кабелях Протяженность всей системы не должна превышать нескольких километров, что ограничивает ее распространение рядом близко расположенных зданий.

Глобальная компьютерная сеть (ГКС) связывает информационные ресурсы компьютеров, находящихся на любом удалении, что предполагает использование различных специализированных устройств и каналов связи для высокоскоростной и надежной передачи данных. Общедоступные глобальные сети ориентированы на обслуживание любых пользователей.

Корпоративная компьютерная сеть (ККС) создается для обеспечения деятельности различного рода корпоративных структур (например, банков со своими филиалами), имеющих территориально удаленные подразделения. В общем случае корпоративная сеть является объединением ряда сетей, в каждой из которых могут быть использованы различные технические решения. По функциональному назначению корпоративная сеть ближе к локальным сетям, по особенностям используемых для передачи данных технических решений и характеру размещения информационных ресурсов - к глобальным сетям. В отличие от глобальных сетей как локальные, так и корпоративные сети являются, как правило, сетями закрытого типа, политика доступа в которые определяется их владельцами (как правило, для свободного доступа открыты небольшие

системный подход, предполагающий подчинение всех принимаемых решений общей цели создания компьютерной системы. При этом выбор архитектуры сети, организация каналов передачи данных, характер территориального размещения баз данных, особенности доступа пользователей к ресурсам сети, функциональные возможности аппаратного и программного обеспечения должны соответствовать назначению сети, и в пределе оптимизировать принятые при ее проектировании критерии качества

поддержка различных способов доступа пользователей к ресурсам сети, соответствующих реализованным в ней сервисам (функциям), характеру и использованию конкретных ресурсов и др. При необходимости в сети должен быть обеспечен режим удаленного доступа, реализована возможность одновременного использования сетевого ресурса несколькими пользователями или процессами;

* обеспечение безопасности информации, включающее в себя сохранение ее целостности, конфиденциальности и доступность информации для пользователей при наличии у них требуемых уровней полномочий.

Любая компьютерная сеть в самом общем виде может быть представлена в виде двух взаимодействующих составляющих: коммутационной системы и совокупности абонентов (включая их оборудование: рабочие станции, серверы и др.). Основным назначением коммутационной системы является формирование транспортной среды, обеспечивающей связь абонентов друг с другом. Абоненты сети потенциально могут как предоставлять сетевые услуги, так и потреблять их. Изменение масштабов компьютерной сети приводит к изменению сложности ее обеих составляющих.

Одним из важнейших факторов, определяющим возможности телекоммуникационных систем и компьютерных сетей в целом, являются технические характеристики каналов связи.

Канал связи (передачи данных) состоит из линии связи и используемой на обеих сторонах линии аппаратуры передачи данных.

Линия связи представляет собой физическую среду, через которую с помощью сигналов осуществляется передача данных. Для передачи большого трафика на значительные расстояния широкое применение находят спутниковые, радиорелейные, кабельные и оптоволоконные каналы связи.

Для оценивания свойств каналов связи и коммуникационной сети используют ряд характеристик:

· скорость передачи данных по каналу связи (измеряется в бит/с);

· пропускную способность канала связи (измеряется количеством передаваемых символов за секунду);

· достоверность передачи данных (измеряется количеством ошибок на один переданный знак);

· надежность (измеряется средним временем безотказной работы в часах).

В зависимости от вида используемых линий связи каналы подразделяются на проводные и беспроводные. К беспроводным каналам относят: спутниковые, инфракрасные, радиорелейные и другие каналы связи. В проводных каналах используются телефонные линии, различного рода кабели для передачи электрических и оптических сигналов.

Появление спутниковых сетей связи (первый спутник связи запущен в 1958 году) сравнимо по значимости с изобретением телефона. В настоящее время спутники связи выводятся на геостационарные орбиты, при этом они постоянно находятся над определенными участками поверхности Земли. К преимуществам спутниковой связи относятся: большая пропускная способность, обеспечение связи между узлами (станциями), расположенными на большом расстоянии друг от друга; независимость оплаты трафика от расстояния (стоимость определяется временем работы или объемом трафика). В то же время при использовании спутниковой связи необходимо предпринимать меры повышенной информационной безопасности, исключающие возможность перехвата передаваемых сообщений, имеет место задержка сигнала при приеме из-за больших расстояний, возможно временное ухудшение качества связи из-за воздействия атмосферных явлений.

2. Авторизация доступа к данным сети

Необходимо, прежде всего, обеспечить надежную защиту данных. В NetWare, например, реализованы три уровня защиты данных, обусловленных соответствующей аутентификацией.

Здесь под аутентификацией понимается:

процесс подтверждения подлинности клиента при его подключении к сети,

процесс установления подлинности пакетов, передаваемых между сервером и рабочей станцией.

Права по отношению к файлу (каталогу) определяют, какие операции пользователь может выполнить с файлом (каталогом). Администратор может для каждого клиента сети определить права по отношению к любому сетевому файлу или каталогу.

Атрибуты определяют некоторые системные свойства файлов (каталогов). Они могут быть назначены администратором для любого сетевого файла или каталога.

Например, чтобы записать данные в файл, клиент должен:

знать свой идентификатор и пароль для подключения к сети,

иметь право записи данных в этот файл,

файл должен иметь атрибут, разрешающий запись данных.

Следует отметить, что атрибуты файла (каталога) имеют более высокий приоритет, чем права пользователей по отношению к этому файлу.

3. Аутентификация пользователей при подключении к сети

Подключение к сети выполняется с помощью утилиты LOGIN.EXE. Эта программа передаёт на сервер идентификатор, введённый пользователем.

По этому идентификатору NetWare выполняет поиск соответствующего объекта пользователя в системной базе данных сетевых ресурсов. Если в базе данных хранится значение пароля для этого клиента, то NetWare посылает на рабочую станцию зашифрованный с помощью пароля открытый ключ (симметричное шифрование). На рабочей станции этот ключ расшифровывается с помощью пароля, введённого пользователем, и используется для получения подписи запроса (пакета) к серверу о продолжении работы. Сервер расшифровывает эту подпись с помощью закрытого ключа (асимметричное шифрование), проверяет её и посылает подтверждение на рабочую станцию. В дальнейшем каждый NCP-пакет снабжается подписью, получаемой в результате кодирования открытом ключом контрольной суммы содержимого пакета и случайного числа Nonce. Это число генерируется для каждого сеанса. Поэтому подписи пакетов не повторяются для разных сеансов, даже если пользователь выполняет те же самые действия.

4. Использование сигнатур для передачи NCP-пакетов

Необходимость применения сигнатуры (подписи) NCP-пакетов связана со скандалом, разыгравшимся в 1992 году. Тогда голландский студент предложил простой способ «взламывания» файлового сервера NetWare. Этот способ основывается на параллельной работе хаккера и пользователя, имеющего требуемые права.

На рабочей станции хаккера (hacker) функционирует программа, которая перехватывает пакеты, передаваемые по шине сети. При формировании пакета программа хаккера выполняет следующие действия:

переписывает в заголовок формируемого IPX-пакета заголовок перехваченного пакета,

записывает в поле данных требуемую команду.

Далее пакет посылается на файловый сервер. Файловый сервер пересылает адрес станции hacker в поле ImmAddress блока ECB и использует данные заголовка пакета IPX, чтобы определить номер соединения и возможность выполнения команды. Но в заголовке пакета хаккера записан адрес пользователя (адрес Admin), который имеет требуемые права. Поэтому команда хаккера выполняется. При формировании сетевым адаптером заголовка ответного кадра адрес станции, куда непосредственно передаётся кадр, выбирается из поля ImmAddress блока ECB. Т. е. станция hacker воспринимается файловым сервером как маршрутизатор или мост. Напомним, что адрес конечной станции-получателя хранится в заголовке пакета IPX (в данном случае это адрес Admin, хотя для хаккера это не имеет значения). Таким образом, ответ посылается на станцию hacker, где и обрабатывается.

Подпись NCP-пакета (специальное поле в этом пакете) делает невозможным параллельную работу хаккера и пользователя. Подпись (сигнатура) пакета - это шифр, для формирования которого используется контрольная сумма содержимого пакета и случайное число Nonce. Шифр создаётся с помощью открытого ключа. Важно отметить, что сигнатура изменяется в каждом пакете. Спрогнозировать последовательность подписей практически невозможно.

5. Определение эффективных прав пользователей по отношению к каталогам и файлам

Права и фильтры (маски) наследуемых прав назначаются администратором сети с помощью утилит NetWare. Но назначение прав для каждого пользователя по отношению ко всем требуемым файлам и каталогам - это утомительная задача. В NetWare предлагается механизм наследования прав. Прежде всего введём некоторые определения.

Опекун (Trustees) - это пользователь (или группа пользователей, или другой объект), которому администратор с помощью утилиты (например, FILER) явно назначает права по отношению к какому-либо файлу или каталогу. Такие права называются опекунскими назначениями.

Фильтр наследуемых прав (IRF - Inherited Right Filter) - это свойство файла (каталога), определяющее, какие права данный файл (каталог) может унаследовать от родительского каталога. Фильтр назначается администратором с помощью утилиты (например, FILER).

Наследуемые права - права, передаваемые (распространяемые) от родительского каталога.

Эффективные права - права, которыми пользователь реально обладает по отношению к файлу или каталогу.

Аудит событий файлов и каталогов позволяет отслеживать открытие, закрытие, создание, удаление, восстановление, чтение, запись, перемещение и модификацию. Возможен сбор информации о событиях, вызванных любыми пользователями (Global Events), о событиях, связанных с определенным файлом и определенным пользователем (User and File events) и о событиях, связанных с действиями любых пользователей над данным файлом или выбранных пользователей над любыми файлами (User or File Events).

События очередей печати включают создание, удаление и изменение очередей, создание и обслуживание заданий печати.

События сервера включают изменение даты и времени, остановку и загрузку сервера, монтирование и размонтирование томов и некоторые другие.

Пользовательские события включают вход и выход из сети, изменение учетной информации.

При просмотре или создании файлов отчетов для сокращения объема выводимой информации могут применяться фильтры пользователей и событий.

Заключение

Безопасность хранения данных, - конфиденциальность и предотвращение несанкционированного изменения или уничтожения - обеспечивается несколькими путями. О надежности защиты имеет смысл говорить лишь в предположении, что неконтролируемый физический доступ потенциальных нарушителей к файл-серверу исключен. В противном случае искушенный нарушитель может получить доступ ко всем файлам сервера, хотя для непрерывно работающих в сети клиентов это событие не останется незамеченным.

Список используемой литературы

1. Пшенецкий С.П. Теория информационной безопасности и методология защиты информации./ Методические указания по выполнению практических работ. - АМСИТ, 2009.

2. С.П. Расторгуев. Основы информационной безопасности: Учебное пособие для вузов. - М.: Издательский центр «Академия», 2007. - 192 с.

3. Е.Б. Белов, В.П. Лось, Р.В. Мещариков, А.А. Шелупанов. Основы информационной безопасности: Учебное пособие для вузов. - М.: Горячая линия - Телеком, 2006. - 544 с.

4. Семененко В.А. Информационная безопасность: Учебное пособие. 2-е изд., стереот. - М.: МГИУ, 2006. - 277 с.

Размещено на Allbest.ru