Информационная безопасность компьютерной сети
Понятие информационной безопасности, её содержание и значение при организации компьютерных сетей. Характеристика систем авторизации и аутентификации доступа пользователей при подключении к сети. Сигнатуры для передачи NCP-пакетов и общий сетевой аудит.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | контрольная работа |
Язык | русский |
Дата добавления | 30.01.2013 |
Размер файла | 83,2 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
2
Контрольная работа
Информационная безопасность компьютерной сети
Содержание
Введение
1. Авторизация доступа к данным сети
2. Аутентификация пользователей при подключении к сети
3. Использование сигнатур для передачи NCP-пакетов
4. Определение эффективных прав пользователей по отношению к каталогам и файлам
5. Сетевой аудит в NetWare 4.x
Заключение
Список используемой литературы
авторизация пользователь безопасность компьютерная сеть
Введение
Сеть должна обеспечивать удобство доступа к своим ресурсам - дисковым томам, разделяемым принтерам, устройствам архивации, модемам и другим устройствам коллективного использования - в сочетании с эффективной системой их защиты от несанкционированного доступа. Эти функции с успехом решены в NetWare, разные поколения имеют свои характерные отличия, но в них прослеживаются и общие принципы защиты ресурсов. В NetWare 4.x также имеется развитая система сетевого аудита - пассивной системы всестороннего и независимого (даже от самого главного администратора!) наблюдения за действиями пользователей.
1. Авторизация доступа к данным сети
В NetWare реализованы три уровня защиты данных (рисунок 1).
Здесь под аутентификацией понимается:
процесс подтверждения подлинности клиента при его подключении к сети,
процесс установления подлинности пакетов, передаваемых между сервером и рабочей станцией.
Рис. 1 Уровни защиты данных в NetWare
Права по отношению к файлу (каталогу) определяют, какие операции пользователь может выполнить с файлом (каталогом). Администратор может для каждого клиента сети определить права по отношению к любому сетевому файлу или каталогу.
Атрибуты определяют некоторые системные свойства файлов (каталогов). Они могут быть назначены администратором для любого сетевого файла или каталога.
Например, чтобы записать данные в файл, клиент должен:
знать свой идентификатор и пароль для подключения к сети,
иметь право записи данных в этот файл,
файл должен иметь атрибут, разрешающий запись данных.
Следует отметить, что атрибуты файла (каталога) имеют более высокий приоритет, чем права пользователей по отношению к этому файлу.
2. Аутентификация пользователей при подключении к сети
Подключение к сети выполняется с помощью утилиты LOGIN.EXE. Эта программа передаёт на сервер идентификатор, введённый пользователем (рисунок 2).
Рис. 2 Аутентификация клиента
По этому идентификатору NetWare выполняет поиск соответствующего объекта пользователя в системной базе данных сетевых ресурсов. Если в базе данных хранится значение пароля для этого клиента, то NetWare посылает на рабочую станцию зашифрованный с помощью пароля открытый ключ (симметричное шифрование). На рабочей станции этот ключ расшифровывается с помощью пароля, введённого пользователем, и используется для получения подписи запроса (пакета) к серверу о продолжении работы. Сервер расшифровывает эту подпись с помощью закрытого ключа (асимметричное шифрование), проверяет её и посылает подтверждение на рабочую станцию. В дальнейшем каждый NCP-пакет снабжается подписью, получаемой в результате кодирования открытом ключом контрольной суммы содержимого пакета и случайного числа Nonce. Это число генерируется для каждого сеанса. Поэтому подписи пакетов не повторяются для разных сеансов, даже если пользователь выполняет те же самые действия.
3. Использование сигнатур для передачи NCP-пакетов
Необходимость применения сигнатуры (подписи) NCP-пакетов связана со скандалом, разыгравшимся в 1992 году. Тогда голландский студент предложил простой способ "взламывания" файлового сервера NetWare. Этот способ основывается на параллельной работе хаккера и пользователя, имеющего требуемые права (рисунок 3).
Рис. 3 Организация несанкционированного доступа к файловому серверу
На рабочей станции хаккера (hacker) функционирует программа, которая перехватывает пакеты, передаваемые по шине сети. При формировании пакета программа хаккера выполняет следующие действия:
переписывает в заголовок формируемого IPX-пакета заголовок перехваченного пакета,
записывает в поле данных требуемую команду.
Далее пакет посылается на файловый сервер. Файловый сервер пересылает адрес станции hacker в поле ImmAddress блока ECB и использует данные заголовка пакета IPX, чтобы определить номер соединения и возможность выполнения команды. Но в заголовке пакета хаккера записан адрес пользователя (адрес Admin), который имеет требуемые права. Поэтому команда хаккера выполняется. При формировании сетевым адаптером заголовка ответного кадра адрес станции, куда непосредственно передаётся кадр, выбирается из поля ImmAddress блока ECB. Т. е. станция hacker воспринимается файловым сервером как маршрутизатор или мост. Напомним, что адрес конечной станции-получателя хранится в заголовке пакета IPX (в данном случае это адрес Admin, хотя для хаккера это не имеет значения). Таким образом, ответ посылается на станцию hacker, где и обрабатывается.
Подпись NCP-пакета (специальное поле в этом пакете) делает невозможным параллельную работу хаккера и пользователя. Подпись (сигнатура) пакета - это шифр, для формирования которого используется контрольная сумма содержимого пакета и случайное число Nonce. Шифр создаётся с помощью открытого ключа. Важно отметить, что сигнатура изменяется в каждом пакете. Спрогнозировать последовательность подписей практически невозможно.
4. Определение эффективных прав пользователей по отношению к каталогам и файлам
Права и фильтры (маски) наследуемых прав назначаются администратором сети с помощью утилит NetWare. Но назначение прав для каждого пользователя по отношению ко всем требуемым файлам и каталогам - это утомительная задача. В NetWare предлагается механизм наследования прав. Прежде всего введём некоторые определения.
Опекун (Trustees) - это пользователь (или группа пользователей, или другой объект), которому администратор с помощью утилиты (например, FILER) явно назначает права по отношению к какому-либо файлу или каталогу. Такие права называются опекунскими назначениями.
Фильтр наследуемых прав (IRF - Inherited Right Filter) - это свойство файла (каталога), определяющее, какие права данный файл (каталог) может унаследовать от родительского каталога. Фильтр назначается администратором с помощью утилиты (например, FILER).
Наследуемые права - права, передаваемые (распространяемые) от родительского каталога.
Эффективные права - права, которыми пользователь реально обладает по отношению к файлу или каталогу.
На рисунке 4 представлена схема формирования операционной системой NetWare эффективных прав пользователя к файлу или каталогу. Здесь предполагается, что пользователь является участником групп 1 и 2.
Рис. 4 Схема определения операционной системой NetWare эффективных прав пользователя по отношению к файлу или каталогу
5. Сетевой аудит в NetWare 4.x
Аудит в NetWare 4.x позволяет отслеживать действия пользователей по работе с деревом Каталогов NDS, а также события файлов, каталогов, очередей, серверов и пользователей.
Аудит NDS устанавливает наблюдение за событиями дерева Каталогов, относящимися к данному контейнеру (возможно наблюдение 27 классов событий), выполняемыми определенным списком пользователей разных контейнеров.
Установка аудита относится только к указанному контейнеру и не распространяется на дочерние контейнеры, для которых при необходимости аудит включается явно.
Аудит событий файлов и каталогов позволяет отслеживать открытие, закрытие, создание, удаление, восстановление, чтение, запись, перемещение и модификацию. Возможен сбор информации о событиях, вызванных любыми пользователями (Global Events), о событиях, связанных с определенным файлом и определенным пользователем (User and File events) и о событиях, связанных с действиями любых пользователей над данным файлом или выбранных пользователей над любыми файлами (User or File Events).
События очередей печати включают создание, удаление и изменение очередей, создание и обслуживание заданий печати.
События сервера включают изменение даты и времени, остановку и загрузку сервера, монтирование и размонтирование томов и некоторые другие.
Пользовательские события включают вход и выход из сети, изменение учетной информации.
При просмотре или создании файлов отчетов для сокращения объема выводимой информации могут применяться фильтры пользователей и событий.
Аудит объектов назначается администратором, и после передачи паролей аудиторам (можно и нескольким) управляется ими. Все действия по системе аудита выполняются только с помощью утилиты AUDITCON.EXE.
Для обеспечения возможности одновременной работы нескольких аудиторов в опциях AUDITCON необходимо установить Allow Concurrent Auditor Logins.
Аудиторы могут отключать аудит объектов, но для возможности его включения они должны обладать правом SUPERVISOR по отношению к данному объекту.
Система аудита сугубо пассивная, она не ограничивает действий пользователей, а только наблюдает за ними.
Заключение
Безопасность хранения данных, - конфиденциальность и предотвращение несанкционированного изменения или уничтожения - обеспечивается несколькими путями. О надежности защиты имеет смысл говорить лишь в предположении, что неконтролируемый физический доступ потенциальных нарушителей к файл-серверу исключен. В противном случае искушенный нарушитель может получить доступ ко всем файлам сервера, хотя для непрерывно работающих в сети клиентов это событие не останется незамеченным.
Анализ реализации сервисов безопасности в локальной вычислительной сети предприятия (МУ «ЦБ Джубгского городского поселения Туапсинского района»
Наименование и общая характеристика сети (структура, характеристика применяемых СВТ и коммуникационного оборудования, тип ОС и применяемые программные средства, обеспечивающие выполнение функциональных задач) |
|||||
№ п.п. |
Сервисы безопасности, реализуемые в сети |
Задачи, решаемые сервисом |
Применяемые средства защиты |
Основные характеристики средства защиты |
|
Идентификация и аутентификация |
Установление пользователя и проверка доступа |
Встроенные средства ОС windows 7 |
Определение пользователя в системе |
||
Управление доступом |
Ограничение доступа пользователей в зависимости от уровня прав |
Active directory ОС windows 7 |
Обеспечивает защиту информации от вмешательства посторонних лиц |
||
Протоколирование и аудит |
Слежение за событиями, анализ накопленной информации |
Журнал событий windows 7 |
Отчет о всех произошедших действиях |
||
Криптографическая защита |
Шифрование данных |
CryptoPo CSP 3.6 |
Защита данных с помощью электронных цифровых подписей |
||
Контроль целостности |
Обеспечение целостности системы и данных |
Kaspersky Business Space Security |
Защита от вирусов и несанкционированных действий |
||
Экранирование |
Защита от несанкционированного внешнего воздействия |
Встроенный firewall маршрутизаторовПО Kaspersky Business Space Security |
Совокупность программных и аппаратных средств позволяет получить достаточную надежность системы безопасности от внешних воздействий |
||
Анализ защищенности |
Анализ угроз безопасности и существующих «дыр» в системе безопасности |
ПО SYSTEM SECURITY SCANNER |
Большое число проводимых проверок. Централизованное управление |
||
Туннелирование |
Создание защищенных соединения между сетями |
СКЗИ Континент-АП |
Шифрование данных, проверка подлинности с помощью электронных цифровых подписей |
||
Управление безопасностью |
Совокупность функций управления направленных на обеспечение безопасности |
Групповые политики безопасности windows. ПО ПО Kaspersky Business Space Security |
Централизованное управление функциями обеспечения безопасности |
Список используемой литературы
1. Пшенецкий С.П. Теория информационной безопасности и методология защиты информации./ Методические указания по выполнению практических работ. -АМСИТ, 2009.
2. С.П.Расторгуев. Основы информационной безопасности: Учебное пособие для вузов. - М.: Издательский центр «Академия», 2007. - 192с.
3. Е.Б.Белов, В.П.Лось, Р.В.Мещариков, А.А.Шелупанов. Основы информационной безопасности: Учебное пособие для вузов. - М.: Горячая линия - Телеком, 2006. - 544с.
4. Семененко В.А. Информационная безопасность: Учебное пособие. 2-е изд., стереот. - М.: МГИУ, 2006. - 277с.
5. Сеть интернет
Размещено на Allbest.ru
Подобные документы
Проблемы информационной безопасности современных компьютерных сетей организации. Методы защиты сети, применение межсетевых экранов, теоретические вопросы их построения, архитектура, классификация, типы окружений. Уровень защищенности межсетевых экранов.
дипломная работа [298,7 K], добавлен 04.11.2009Назначение и классификация компьютерных сетей. Обобщенная структура компьютерной сети и характеристика процесса передачи данных. Управление взаимодействием устройств в сети. Типовые топологии и методы доступа локальных сетей. Работа в локальной сети.
реферат [1,8 M], добавлен 03.02.2009Топологии компьютерных сетей. Методы доступа к каналам связи. Среды передачи данных. Структурная модель и уровни OSI. Протоколы IP и TCP, принципы маршрутизации пакетов. Характеристика системы DNS. Создание и расчет компьютерной сети для предприятия.
курсовая работа [2,3 M], добавлен 15.10.2010Применение сетевых технологий в управленческой деятельности. Понятие компьютерной сети. Концепция открытых информационных систем. Преимущества объединения компьютерных сетей. Локальные вычислительные сети. Глобальные сети. Международная сеть INTERNET.
курсовая работа [38,1 K], добавлен 16.04.2012Классификация компьютерных сетей. Назначение компьютерной сети. Основные виды вычислительных сетей. Локальная и глобальная вычислительные сети. Способы построения сетей. Одноранговые сети. Проводные и беспроводные каналы. Протоколы передачи данных.
курсовая работа [36,0 K], добавлен 18.10.2008Эволюция систем безопасности сетей. Межсетевые экраны как один из основных способов защиты сетей, реализация механизмов контроля доступа из внешней сети к внутренней путем фильтрации всего входящего и исходящего трафика. Управление безопасностью сетей.
курсовая работа [37,5 K], добавлен 07.12.2012Беспроводная технология передачи информации. Развитие беспроводных локальных сетей. Стандарт безопасности WEP. Процедура WEP-шифрования. Взлом беспроводной сети. Режим скрытого идентификатора сети. Типы и протоколы аутентификации. Взлом беспроводной сети.
реферат [51,8 K], добавлен 17.12.2010Понятие системы информационной безопасности, ее цели состав. Классификация нарушителей; угрозы, особенности и примеры их реализации. Средства защиты информации: шифрование, авторизации, идентификации и аутентификации пользователей; антивирусные программы.
презентация [947,4 K], добавлен 19.09.2016Топология компьютерных сетей. Методы доступа к несущей в компьютерных сетях. Среды передачи данных, их характеристики. Структурная модель OSI, её уровни. Протокол IP, принципы маршрутизации пакетов. Физическая топология сети. Определение класса подсети.
контрольная работа [101,8 K], добавлен 14.01.2011Определение структуры и свойств незащищенной сети, анализ угроз безопасности данной системы. Описания противодействия сетевой разведке на уровне приложений, снижения угрозы сниффинга пакетов. Разработка защиты при подключении локальной сети к Интернет.
курсовая работа [1,3 M], добавлен 23.06.2011