Информационная безопасность
Актуальность сетевой безопасности. Использование протоколов TSP/IP для заполнения контента, угрозы и их следствия. Применение брандмауэров, фильтрующих пакеты и их использование. Анализ эффективности использование ОС Linux в анализе и защите контента.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | курсовая работа |
Язык | русский |
Дата добавления | 06.02.2012 |
Размер файла | 46,7 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Наиболее эффективный метод борьбы с IP-спуфингом тот же, что и в случае со сниффингом пакетов: необходимо сделать атаку абсолютно неэффективной. IP-спуфинг может функционировать только при условии, что аутентификация происходит на базе IP-адресов. Поэтому внедрение дополнительных методов аутентификации делает этот вид атак бесполезными. Лучшим видом дополнительной аутентификации является криптографическая. Если она невозможна, хорошие результаты может дать двухфакторная аутентификация с использованием одноразовых паролей.
Прежде всего, парольных атак можно избежать, если не пользоваться паролями в текстовой форме. Одноразовые пароли и/или криптографическая аутентификация могут практически свести на нет угрозу таких атак. К сожалению, не все приложения, хосты и устройства поддерживают указанные выше методы аутентификации.
При использовании обычных паролей, старайтесь придумать такой пароль, который было бы трудно подобрать. Минимальная длина пароля должна быть не менее восьми символов. Пароль должен включать символы верхнего регистра, цифры и специальные символы (#, %, $ и т.д.). Лучшие пароли трудно подобрать и трудно запомнить, что вынуждает пользователей записывать пароли на бумаге. Чтобы избежать этого, пользователи и администраторы могут поставить себе на пользу ряд последних технологических достижений. Так, например, существуют прикладные программы, шифрующие список паролей, который можно хранить в карманном компьютере. В результате пользователю нужно помнить только один сложный пароль, тогда как все остальные пароли будут надежно защищены приложением. С точки зрения администратора, существует несколько методов борьбы с подбором паролей. Один из них заключается в использовании средства L0phtCrack, которое часто применяют хакеры для подбора паролей в среде Windows NT. Это средство быстро покажет вам, легко ли подобрать пароль, выбранный пользователем. Дополнительную информацию можно получить по адресуhttp://www.l0phtcrack.com/
Для защиты от вредоносных программ необходимо:
Ш Исключение несанкционированного доступа к исполняемым файлам;
Ш Тестирование приобретаемых программных средств;
Ш Контроль целостности исполняемых файлов и системных областей;
Ш Создание замкнутой среды исполнения программ.
Внедрение политик
Теперь все, что вам осталось, это внедрить сформулированные ранее политики. Для начала определим несколько переменных, так как благодаря этому снизится вероятность ошибки. Выполним следующие действия.
1. Будем использовать следующие имена:
foolint=209.191.169.1/25 # это интерфейс eth0
foolint=209.191.169.129/25 # это интерфейс eth1
1. Блокируем входящие ping-запросы: ipchains -A input -s echo-request -i ethl -j DENY
1. Теперь разрешаем пропуск трафика из внутренней сети наружу (за исключе нием NNTP)
ipchains -A input -s foolint ! 119 -d 0/0 -i ethO -j ACCEPT
4. Блокируем службы, которые являются общей проблемой безопасности или не используются вами (такие как telnet, ftp, http и imap):
ipchains -A input -p tcp -i ethl -s 0/0 -d foolint 23 -j DENY
ipchains -A input -p tcp -i ethl -s 0/0 -d foolint telnet -j DENY
ipchains -A input -p tcp -i ethl -s 0/0 -d foolint 80 -j DENY
ipchains -A input -p tcp -i ethl -s 0/0 -d foolint imap -j DENY
На этом шаге (шаг 4) интерфейс eth1 можно не указывать, так как если соответствующие данные проникают в систему через интерфейс ethO, такие пакеты удовлетворяют правилу, определенному на шаге 3, и прохождение цепочки input для них на этом завершается.
5. Принимаем данные DNS (только через foolint), ssh и большинство портов с но мерами выше 1024 (для обеих сетей), а также SMTP и РОР-3:
ipchains -A input -p all -s О/О -d foolint domain -j ACCEPT
ipchains -A input -p tcp -s 0/0 -d fooall 22 -j ACCEPT
ipchains -A input -p tcp -s 0/0 -d fooall 1024:5999 -j ACCEPT
ipchains -A input -p tcp -s 0/0 -d fooall 6010 -j ACCEPT
ipchains -A input -p tcp -s 0/0 -d fooall 25 -j ACCEPT
ipchains -A input -p tcp -s 0/0 -d fooall pop-3 -j ACCEPT
1. Принимаем пакеты узла localhost: ipchains -A input -i lo -j ACCEPT
2. Блокируем все остальное: ipchains -P input DENY
8. Обеспечиваем передачу пакетов в обоих направлениях -- правила цепочки input осуществляют остальную фильтрацию:
ipchains -P forward ACCEPT
9. Оптимизируем прохождение трафика:
1) минимальная задержка для трафика Web, telnet и ssh:
ipchains -A output -p tcp -d 0/0 80 -t 0x01 0x10 ipchains -A output -p tcp -d 0/0 telnet -t 0x01 0x10 ipchains -A output -p tcp -d 0/0 22 -t 0x01 0x10
1. максимальный объем передаваемых данных для ftp-data: ipchains -A output -p tcp -d 0/0 ftp-data -t 0x01 0x08
2. максимальная надежность для smtp: ipchains -A output -p tcp -d 0/0 smtp -t 0x01 0x04
3. минимальные затраты рор-3:
ipchains -A output -p tcp -d 0/0 pop-3 -t 0x01 0x10
В завершение следует добавить правило (если пакет прошел все тесты, его следует принять):
ipchains -P output ACCEPT
Следует, однако, позаботиться еще об одном. Необходимо предотвратить подделку IP-адресов (IP-spoofing), когда кто-то из внешних пользователей делает вид, что он находится во внутренней сети. Никто не должен подключаться к внешнему интерфейсу и при этом заявлять, что он находится внутри сети (или является узлом localhost). Следующие правила позволяют документировать сведения о подобных попытках в журнале и отклонять (REJECT) их:
ipchains -I input 1 -i eth1 -s foolint -l -j REJECT
ipchains -I input 1 -i eth1 -s 127.0.0.1 -l -j REJECT
ПРИМЕЧАНИЕ
Чтобы предотвратить подделку IP-адресов, можно воспользоваться файлом /proc/sys/net/ipv4/conf/ */rp_filter. Достаточно добавить в этот файл единицу («1»). Однако при этом нарушится корректное функционирование модуля FreeS/WAN. Таким образом, для этой цели лучше использовать правила ipchains.
Тестирование политик
Чтобы протестировать сформированный набор правил, проще всего придумать несколько тестовых случаев и использовать параметр -С программы ipchains. Среди тестовых данных нужно поместить как данные, которые не должны проникать во внутреннюю сеть, так и данные, которые должны туда попасть. Для получения дополнительной диагностической информации во время тестирования следует использовать ключ -v. Так вы сможете узнать, прошел ли пакет через брандмауэр или нет. Помните, что совместно с параметром -С помимо имени цепочки следует использовать ключ -s с указанием адреса и порта, ключ -d с указанием адреса и порта, ключ -р и ключ -i.
Иногда для некоторых правил полезно бывает включить документирование в журнале сведений о тестировании пакетов.
Эту возможность следует использовать осторожно, в противном случае за короткое время будут созданы чрезвычайно длинные журналы. Как правило, удобно включать документирование только для одного правила за один раз.
Наблюдение
Не забывайте время от времени проглядывать содержимое журналов, в особенности если вы добавили в брандмауэр правила, специально предназначенные для обнаружения атак. На случай, если кому-то все-таки удалось несанкционированно преодолеть вашу защиту, вы должны использовать для документирования доверенный внутренний сетевой узел.
Применение таких механизмов защиты, как tcpd, tripwire и courtney, впрочем, как и многих других, не даст никаких результатов, если вы не будете присматривать за ними. В первую очередь атакующий будет пытаться нейтрализовать именно эти механизмы. В случае атаки брандмауэр позволяет вам выиграть дополнительное время. Однако время работает на атакующего, то есть против вас. Атаку лучше всего блокировать тогда, когда проникновение за барьер защиты еще не произошло, то есть тогда, когда атакующий еще только пытается обнаружить в вашей системе защиты слабые места. Не выполнив поиска слабых мест, атакующий не сможет проникнуть в систему, поэтому прежде чем произойдет взлом системы, вы получите предупреждение об этом. Заметите ли вы его? Это зависит от вашей бдительности.
Перенаправление портов
Перенаправление портов (port forwarding) -- это перенаправление соединения с одного узла на другой узел. С задачей перенаправления портов хорошо справляются брандмауэры proxy. Например, если вы подсоединяетесь с узла foo к узлу bar через порт 80 и при помощи программного механизма этот порт перенаправляется в порт 80 на узле baz, узел foo будет думать, что он подключился к узлу bar через порт 80, в то время как на самом деле он взаимодействует с узлом baz через порт 80. В то же время узел baz будет полагать, что к нему напрямую подключается узел foo. Эта схема может работать в обоих направлениях, поддерживая исходящие соединения внутренних клиентов и входящие соединения внешних клиентов, однако при этом вы получаете возможность контролировать потоки данных.
Программа ipchains не позволяет выполнять перенаправление портов. Одним из целевых действий этой программы является REDIRECT (перенаправление), однако это целевое действие предназначено только для локальных перенаправлений и не позволяет перенаправлять данные на другой сетевой узел. Если вы используете ipchains и желаете организовать перенаправление портов, вы должны использовать модуль ipportfw и программу ipmasqadm. Программа ipmasqadm является полезной оболочкой программы ipportfw. Перенаправление внешних входящих соединений может потребоваться, в особенности если во внутренней (доверенной) сети используется технология маскировки IP (IP masquerading).
ССЫЛКА
Более подробная информация об этом содержится в главе 18 «Защита Samba -- маскировка IP и перенаправление портов».
После того как вы настроили набор правил так, как вы этого желаете, и после того, как вы убедились в том, что брандмауэр работает так, как это планировалось изначально, вы можете воспользоваться одной из двух утилит: ipchains-save и ipchains-restore. Название каждой из этих утилит хорошо отражает их основное предназначение: первая сохраняет размещенный в оперативной памяти набор правил в файле на жестком диске, вторая -- считывает набор данных из файла в оператив- ную память. Запустив ipchains-save, вы увидите на экране используемые в данный момент цепочки правил. Если содержимое и конфигурация этих цепочек вас устраивают, вы можете запустить утилиту вновь и перенаправить ее вывод в файл. Этот файл в дальнейшем можно использовать для восстановления правил в памяти. Процедуру сохранения правил в файле удобно использовать каждый раз перед тем, как вы внесете в набор правил какие-либо модификации. Благодаря этому в случае необходимости вы сможете восстановить набор правил в его прежнем виде. Кроме того, вы можете скопировать созданный таким образом файл для того, чтобы в дальнейшем добавить в него новые правила, изменить или удалить некоторые из существующих.
Системы обнаружения вторжения
Системы обнаружения вторжения (Intrusion Detection System, IDS) - это работающие процессы или устройства, анализирующие активность в сети или системе на предмет неавторизованных и злонамеренных действий.
Наиболее распространенными IDS являются так называемые локальные и сетевые системы IDS.
Локальные IDS устанавливаются в каждую систему и занимаются контролем целостности системы изнутри. Такие IDS проверяют различные журналы и сравнивают их с внутренней базой данных стандартных сигнатур известных атак. Популярными локальными IDS являются программные пакеты:
Tripwire http://www.tripwire.org/
SWATCH http://sourceforge.net/projects/swatch/
LIDS http://www.lids.org/
Сетевые IDS сканируют сетевые пакеты на маршрутизаторе или выделенном узле, проводят аудит пакетов и регистрируют в специальном журналевсе подозрительные пакеты. Популярными сетевыми IDS являются программные пакеты:
Fasttech.ru: Безопасность Linux 109
Snort http://www.snort.org/
PortSentry http://sourceforge.net/projects/sentrytools/files/
Антируткит
Программа chkrootkit предназначена для поиска враждебного кода (rootkit) и иных подозрительных событий в системе.
Скачать chkrootkit можно по адресу http://www.chkrootkit.org/.
Сбор информации до и после взлома
Утилита dd создает побитовый образ файлов и разделов. Рассчитав контрольные суммы для каждого образа и проверив их на совпадение, можно сравнить образ раздела или файла перед взломом с образом из взломанной системы.
[root@linuxbox ~]# dd if=/bin/ls of=ls.dd | md5sum ls.dd > sum.txt
Команда file полезна для определения, изменился ли набор статических библиотек, используемых программой, что может указывать на то, что программа модифицирована злоумышленником.
[root@linuxbox ~]# file /bin/ls
Команда stat выводит информацию о состоянии файла, включая время последнего доступа, разрешения, значения битов UID и GID и т.д. Это может использоваться для определения последнего использования или модификации во взломанной системе.
[root@linuxbox ~]# stat /bin/ls
Команда md5sum используется для вычисления контрольной суммы файла. Вы можете создать список контрольных сумм для популярных файлов, которые обычно могут изменяться при взломе системы. В случае модификации файла контрольная сумма также изменится.
[root@linuxbox ~]# md5sum /bin/ls >> sums.txt
После сбора необходимой информации операционную систему лучше переустановить заново. Это даст гарантию, что система очищена от разного рода троянских программ, черных ходов и т.д.
Размещено на Allbest.ru
Подобные документы
Стеки протоколов общемировой сетевой базе. Формат кадра сообщения NetBIOS. Использование в сети стеков коммуникационных протоколов: IPX/SPX, TCP/IP, OSI и DECnet. Дистанционное управление освещением. Особенности использования коммуникационных протоколов.
презентация [3,1 M], добавлен 21.02.2015Функции выполнения отраслевых порталов и ключевые соображения планирования структуры и контента сайтов. Отраслевые порталы в Интернет-маркетинге. Создание документов на сайте SharePoint Online. Организация поиска контента и доступа пользователей к нему.
курсовая работа [44,0 K], добавлен 23.02.2015Конфигурирование системы Joomla. Формирование и размещение контента. Разработка дизайна и интерфейса, сервисов сайта. Новостной блок и поисковая система, проверка баланса и форум. Угрозы для сайта и способы защиты, его информационная безопасность.
дипломная работа [3,8 M], добавлен 27.01.2014Понятие и сущность информационной безопасности, существующие угрозы для школьников в интернете. Этапы разработки системы информационной безопасности и ее организация в школе, структура и компоненты, а также анализ и оценка практической эффективности.
дипломная работа [1,0 M], добавлен 27.10.2017Модели конвертирования образовательного контента. Основные объекты разрабатываемой автоматизированной системы. Диаграмма деятельностей для прецедента "Извлечение структуры документа". Структурная модель системы конвертирования контента, модель интерфейса.
реферат [3,6 M], добавлен 30.03.2011Необходимые стандарты и форматы. Извлечение графики для верстки. Современные стандарты верстки. Разработка 3D-моделей и основных ракурсов. Интеграция системы статистики. Выбор методики и показателей экономической эффективности мультимедийного контента.
курсовая работа [1,4 M], добавлен 15.05.2014Обзор образовательных ресурсов для реализации дистанционного обучения. Разработка рабочей программы курса видеолекций "Основы программирования на языке C+". Подбор контента, аппаратных средств. Проведение чат-занятий, использование сетевой технологии.
дипломная работа [155,0 K], добавлен 28.06.2014Разработка совокупности мер по защите информационной среды общества и человека. Преднамеренные и случайные информационные угрозы. Каналы, по которым можно осуществить хищение, изменение и уничтожение данных. Соблюдение режима информационной безопасности.
презентация [439,9 K], добавлен 18.01.2015Состав операционных систем. Наиболее частое применение утилит Linux: GNU Screen, IPTraf, ELinks, Iotop, Cmus. Сворачивание в фон программ, которые сами этого не умеют. Различные типы сетевых интерфейсов. Использование swap-раздела, консольный медиаплеер.
презентация [532,1 K], добавлен 09.10.2013Обзор устройств защиты, теоретические основы и основные этапы проектирования локальных сетей. Подбор топологии и технологии компьютерной сети, оборудования, поддерживающего технологию, планирование сетевой адресации. Конфигурация сервера безопасности.
дипломная работа [499,4 K], добавлен 14.10.2010