Защита сетевого трафика и компонентов сети. Идентификация и аутентификация с помощью биометрических данных

Система анализа защищенности: выявление и устранение уязвимостей программно-аппаратного обеспеч: сетевых сервисов, ОС, прикладного ПО, СУБД, маршр-ов, МЭ, проверка наличия последних модулей обновления и т.п. При выявлении уязвим система предоставляет админу отчеты, содержащие подробное описание каждой обнаруженной уязвим, данные об их располож в узлах корпорат сети и рекомендации по их коррекции / устранению. В состав системы анализа защищенности входят сканеры безопасности, предназнач для проведения заданного множества проверок в соответ с параметрами, определенными администратором безопасности; сервер хранения результатов работы системы; консоль администратора для централизов управления системой.

Основной принцип работы системы обнаружения и предотвращения вторжений заключается в выявлении и блокировании сетевых атак в корпоративной сети на основе анализа пакетов данных, циркулирующих в этой сети, и в последующем выявлении аномалий сетевого трафика сети. Система позволяет выявлять и блокировать атаки со стороны внешних и внутренних нарушителей. Для обнаружения вторжений система использует метод, основанный на выявлении сигнатур известных атак, а также метод, базирующийся на анализе поведения сети.

МЭ (Firewall) служит для защиты ЛС от НСД извне, от хакерских атак, попыток взлома или кражи инф, обеспеч безопасный доступ польз в сеть Интернет, защищает удаленное подключение к внутренним ресурсам. Гибкая система правил МЭ позволяет запрещать или разрешать соединения по многочисленным параметрам: адресам, сетям, протоколам, портам.

Антивирусная защита. Вирусы размножаются, заражая сайты и компьютеры их посетителей.

Защита сетевого трафика

Защищённые каналы передачи. Передаваемая инф модиф-ся так, чтобы её невозможно б изменить (аутентификация) или просмотреть (криптография) на пути её следования.

Виртуальные частные сети (VPN). Сетям VPN доступна не только способность имитации частной сети; они дают пользователю возможность иметь собственное адресное пространство (напр, частные IP-адреса, такие как адреса сети 10.0.0.0) и обеспечивать качество обслуживания, близкое к качеству выделенного канала. VPN на основе шифрования - совокупность защищенных каналов, созданных предприятием в открытой публичной сети для объединения своих филиалов. В VPN техника защищенных каналов связывает не двух пользователей, а произвольное количество клиентских сетей.

Технологии VPN включают шифрование, аутентификацию (взаимодействующие системы (польз) на обоих концах VPN были уверены в идентичности друг друга).

IPsec - набор протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу IP. IPSec м применяться в транспортном (применяется для защиты соединения «точка – точка», например, между двумя компьютерами, принадлежащими одной ЛС) или туннельном режиме (для объединения двух удаленных офисов и для предоставления доступа компьютера к удаленному офису). При работе в транспортном режиме IPSec оставляет IP-заголовок неизменным (за исключением номера протокола) и инкапсулирует данные после него. В туннельном - IPSec добавляет новый IP-заголовок к пакету и инкапсулирует прежний IP-заголовок и данные после него.

Биометрия - совокупность автоматизированных методов идентификации / аутентификации людей на основе их физиологических и поведенческих характеристик.

Физиологические характ-ки: особенности отпечатков пальцев, сетчатки и роговицы глаз, геометрия руки и лица и т.п. Поведенческие: динамика подписи (ручной), стиль работы с клавиатурой. На стыке физиологии и поведения находятся анализ особенностей голоса и распознавание речи.

В общем виде работа с биометрическими данными организована так: 1. Создается и поддерживается БД характеристик потенциальных польз. 2. В дальнейшем для идентиф (и одновременно аутент) пользователя процесс снятия и обработки повторяется, после чего производится поиск в БД шаблонов.

Обычно биометрию применяют вместе с другими аутентификаторами, такими, напр, как интеллектуальные карты. Иногда биометрическая аутент явл лишь первым рубежом защиты и служит для активизации интелл карт, хранящих криптографические секреты; в таком случае биометрический шаблон хранится на той же карте.

Активность в области биометрии очень велика. Но к биометрии следует относиться весьма осторожно. Необх учитывать, что она подвержена тем же угрозам, что и др методы аутент. 1 - биометрический шаблон сравнивается не с рез-ом первоначальной обработки характеристик польз, а с тем, что пришло к месту сравнения. А, как известно, за время пути... много чего может произойти. 2 - биометрические методы не более надежны, чем база данных шаблонов. 3 - следует учитывать разницу между применением биометрии на контролируемой территории, под бдительным оком охраны, и в "полевых" условиях, когда, например к устройству сканирования роговицы могут поднести муляж и т.п. 4 - биометрические данные человека меняются, так что база шаблонов нуждается в сопровождении, что создает определенные проблемы и для пользователей, и для администраторов.

Но главная опасность состоит в том, что любая "пробоина" для биометрии оказывается фатальной. Пароли, при всей их ненадежности, в крайнем случае можно сменить. Утерянную аутентиф-ную карту можно аннулировать и завести новую. Палец же, глаз или голос сменить нельзя. Если биометрические данные окажутся скомпрометированы, придется как минимум производить существенную модернизацию всей системы.

26. Протоколы ARP/RARP.

ARP (протокол определения адреса) - протокол канального уровня, решает проблему преобразования IP-адреса в МАС-адрес.

Пусть одна ЭВМ отправляет сообщение другой. Прикладной программе IP-адрес места назначения обычно известен. Для определения Ethernet-адреса просматр-ся ARP-таблица. Если для требуемого IP-адреса в ней присутствует МАС-адрес, то формируется и посылается соответствующий пакет. Если нет, то: 1. Всем машинам в сети посылается пакет с ARP-запросом (с широковещательным МАС-адресом). 2. Исходящий IP-пакет ставится в очередь.

Каждая машина, принявшая ARP-запрос, в своем ARP-модуле сравнивает собственный IP-адрес с IP-адресом в запросе. Если IP-адрес совпал, то прямо по МАС-адресу отправителя запроса посылается ответ, содержащий как IP-адрес ответившей машины, так и ее МАС-адрес. После получения ответа на свой ARP-запрос машина имеет требуемую инф о соответствии IP и МАС-адресов, формирует соответ элемент ARP-таблицы и отправляет IP-пакет, ранее поставленный в очередь. Если в сети нет машины с искомым IP-адресом, то пр IP б уничтожать IP-пакеты, предназначенные для отправки по этому адресу.

Пример упрощенной ARP-таблицы:

Во многих реализациях в случае, если IP-адрес не принадлежит локальной сети, внешний порт сети (gateway) или маршр-р откликается, выдавая свой физич адрес (режим прокси-ARP). Функционально, ARP делится на две части. Одна определяет физич адрес при посылке пакета, др отвечает на запросы др машин. ARP-табл имеют динамич характер: каждая запись в ней «живет» определенное t после чего удаляется. ARP-пакеты вкладываются непосредственно в ethernet-кадры.

ARP запросы м решать и другие задачи. Так при загрузке сетевого обеспечения ЭВМ такой запрос м выяснить, не присвоен ли идентичный IP-адрес какому-то еще объекту в сети. При смене физического интерфейса такой запрос может инициировать смену записи в ARP-таблице.

В рамках протокола ARP возможны самообращенные запросы. Это бывает нужно, когда осущ-ся стартовая конфигурация сет интерфейса. В таком запросе IP-адреса отправителя и получателя совпадают. Самообращ запрос позволяет ЭВМ решить 2 проблемы: 1. определить, нет ли в сети объекта, имеющего тот же IР-адрес. 2. в случае смены сет карты произв-ся корректировка записи в АRP-табл ЭВМ, кот содержали старый МАС-адрес инициатора.

RARP Когда загружается система с локальным диском, она обычно получает свой IP адрес из конфигурационного файла, который считывается с диска. Однако для систем, не имеющих диска, таких как X терминалы или бездисковые рабочие станции, требуются другой способ определения собственного IP адреса.

Каждая система в сети имеет уникальный аппаратный адрес, кот назначается производителем сет интерфейса (сетевой платы). Принцип работы RARP заключается в том, что бездисковая система может считать свой уникальный аппаратный адрес с интерфейсной платы и послать RARP-запрос (широковещательный), где потребует кого-нибудь откликнуться и сообщить IP адрес (с помощью RARP-отклика).

Управление доступом. Основные понятия.

Средства упр доступом позволяют специфицировать и контролировать действия, кот субъекты (пользователи и процессы) м выполнять над объектами (инф и др комп ресурсами). Речь идет о логич упр доступом, которое, в отличие от физич, реализуется прогр средствами. Логич упр доступом -осн механизм многопользовательских систем, призванный обеспечить конфид-сть и целостность объектов, их доступность (путем запрещения обслуживания неавторизованных пользователей).

Отношение "субъекты-объекты" м представить в виде матрицы доступа, в строках которой перечислены субъекты, в столбцах – объекты, а в клетках, расположенных на пересечении строк и столбцов, записаны дополнительные условия (например, время и место действия) и разрешенные виды доступа.

Для ОС к объектам относятся файлы, устройства и процессы. Применительно к файлам и устройствам обычно рассматриваются права на чтение, запись, выполнение (для программных файлов), иногда на удаление и добавление. Отдельным правом м б возможность передачи полномочий доступа другим субъектам (право владения). Процессы можно создавать и уничтожать. Для систем управления реляционными БД объект – это БД, таблица, представление, хранимая процедура. К таблицам применимы операции поиска, добавления, модификации и удаления данных.

Главная проблема в том, что ко многим объектам можно получить доступ с помощью разных сервисов (возможно, при этом придется преодолеть некот техн трудности). Так, до реляционных таблиц м добраться не только средствами СУБД, но и путем непосред чтения файлов или дисковых разделов, поддерживаемых ОС (разобравшись предварительно в структуре хранения объектов БД). В результате при задании матрицы доступа нужно принимать во внимание не только принцип распределения привилегий для каждого сервиса, но и существующие связи между сервисами (приходится заботиться о согласованности разных частей матрицы). Аналогичная трудность возникает при экспорте/импорте данных, когда инф о правах доступа, как правило, теряется (поскольку на новом сервисе она не имеет смысла) ® обмен данными между различными сервисами представляет особую опасность с точки зрения управления доступом, а при проектировании и реализации разнородной конфигурации необх позаботиться о согласованном распределении прав доступа субъектов к объектам и о минимизации числа способов экспорта/импорта данных.

При принятии решения о предоставлении доступа обычно анализируется следующая инф:

- id субъекта (пользователя, сетевой адрес комп и т.п.). id являются основой произвольного (или дискреционного) управления доступом;

- атрибуты субъекта (метка безопасности, группа польз и т.п.). Метки безопасности (конфиденциальности) – основа принудительного (мандатного) управления доступом.

Матрицу доступа, ввиду ее разреженности (большинство клеток – пустые), неразумно хранить в виде двухмерного массива. Обычно ее хранят по столбцам: для каждого объекта поддерживается список "допущенных" субъектов вместе с их правами. Элементами списков м б имена групп и шаблоны субъектов, что служит большим подспорьем администратору. Некот проблемы возникают только при удалении субъекта, когда приходится удалять его имя из всех списков доступа; впрочем, эта операция производится не часто.

Списки доступа. С их помощью легко выполнить требование о гранулярности прав с точностью до пользователя. Посредством списков несложно добавить права или явным образом запретить доступ (напр, чтобы наказать нескольких членов группы пользов). Безусловно, списки являются лучшим средством произвольного управления доступом.

Большинство ОС и СУБД реализуют произвольное упр доступом. +: гибкость. Для каждой пары "субъект-объект" м независимо задавать права доступа (особенно легко, если исп-ся списки упр доступом). -: рассредоточенность упр доступом ведет к тому, что доверенными д б многие пользователи, а не только системные операторы или администраторы. Из-за некомпетентности сотрудника, владеющего секретной инф, эту инф могут узнать и все остальные польз ® произвольность управления д б дополнена жестким контролем за реализацией избранной политики безопасности. -: права доступа существуют отдельно от данных. Ничто не мешает польз, имеющему доступ к секретной инф, записать ее в доступный всем файл или заменить полезную утилиту ее "троянским" аналогом. Подобная "разделенность" прав и данных существенно осложняет проведение несколькими системами согласованной политики безопасности и, главное, делает практически невозможным эффективный контроль согласованности.

Возвращаясь к вопросу представления матрицы доступа, укажем, что для этого можно использовать также функциональный способ, когда матрицу не хранят в явном виде, а каждый раз вычисляют содержимое соответствующих клеток. Например, при принудительном управлении доступом применяется сравнение меток безопасности субъекта и объекта.

Удобной надстройкой над средствами логич управления доступом является ограничивающий интерфейс, когда пользователя лишают самой возможности попытаться совершить несанкцион действия, включив в число видимых ему объектов только те, к которым он имеет доступ. Подобный подход обычно реализуют в рамках системы меню (пользователю показывают лишь допустимые варианты выбора) или посредством ограничивающих оболочек.

Протокол RIP.

Маршрутизация - процесс определения маршрута следования информации в сетях связи. RIP - протокол маршрутизации предназначен для сравнительно небольших и относительно однородных сетей. Маршрут харак-ся вектором расстояния до места назначения. Предполагается, что каждый маршр-р является отправной точкой нескольких маршрутов до сетей, с которыми он связан. Описания этих маршрутов хранится в спец маршрутной таблице. Таблица маршр-ции RIP содержит по записи на каждую обслуживаемую машину (на каждый маршрут). Запись д включать в себя: - IP-адрес места назначения. - Метрика маршрута (1 - 15; число шагов до места назначения). - IP-адрес ближайшего маршр-ра по пути к месту назначения. - Таймеры маршрута.

Периодически (раз в 30 сек) каждый маршр-р посылает широковещательно копию своей маршрутной табл всем соседям-маршрутизаторам, с кот связан непосредственно. Маршрутизатор-получатель просматривает таблицу. Если в таблице присутствует новый путь или сообщение о более коротком маршруте, произошли ∆ длин пути, эти ∆ фиксируются получателем в своей маршрутной таблице. Протокол RIP д б способен обрабатывать 3 типа ошибок: циклические маршруты;для подавления нестабильностей RIP д исп малое значение мах возможного числа шагов (не более 16); медленное распространение маршрутной инф по сети создает проблемы при динамичном ∆ маршрутной ситуации (система не поспевает за ∆). Малое предельное значение метрики улучшает сходимость, но не устраняет проблему.

Несоответствие маршрутной таблицы реальной ситуации типично не только для RIP, но характерно для всех протоколов, базирующихся на векторе расстояния, где информационные сообщ актуализации несут в себе только пары кодов: адрес места назначение и расстояние до него.

+: простота (маршр-р общается только с соседями, периодически обмениваясь с ними копиями своих таблиц маршрутизации). Получив инф о возможных маршрутах от всех соседних узлов, маршрутизатор выбирает путь с наименьшей стоимостью и вносит его в свою таблицу.

Маршрут по умол имеет адрес 0.0.0.0. Каждому маршруту ставится в соответ таймер тайм-аута и "сборщика мусора". Тайм-аут-таймер сбрасывается каждый раз, когда маршрут иниц-ется / корректируется. Если со t последней коррекции прошло 3 минуты или получено сообщ о том, что вектор расстояния = 16, маршрут считается закрытым. Но запись о нем не стирается, пока не истечет время "уборки мусора" (2 мин).

Недостатки RIP:

- RIP не работает с адресами субсетей. Если нормальный 16-бит идентификатор ЭВМ класса B не равен 0, RIP не может определить является ли не нулевая часть cубсетевым ID, или полным IP-адресом.

- RIP требует много времени для восстановления связи после сбоя в маршрутизаторе (минуты). В процессе установления режима возможны циклы.

- Число шагов важный, но не единственный параметр маршрута, да и 15 шагов не предел для современных сетей.