Файл: Контрольная работа по дисциплине Программноаппаратные средства обеспечения информационной безопасности.docx
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 09.11.2023
Просмотров: 23
Скачиваний: 1
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
Федеральное государственное бюджетное образовательное учреждение высшего образования
«Сибирский государственный университет телекоммуникаций и информатики»
СибГУТИ
Кафедра Безопасность и управление
в телекоммуникациях
Контрольная работа
по дисциплине «Программно-аппаратные средства обеспечения информационной безопасности»
Выполнил:
Усов Дмитрий Дмитриевич
Хабаровск, 2022 г.
«Исследование возможности применения средств защиты на предприятии»
Вариант 15.
Веб-сервер - это основная единица локальной сети. Приобретая и устанавливая серверы баз данных, компании должны помнить об их безопасности. Для обеспечения информационной безопасности необходимо внедрить систему контрмер, включающую аппаратные и программные средства. Эти меры включают в себя брандмауэры, программное обеспечение для защиты от шифрования и программы генерации ключей.
Общие принципы
Защита веб-сервера основана на предотвращении несанкционированного доступа. Это может быть достигнуто несколькими способами. Основным принципом является обеспечение того, чтобы только авторизованные пользователи могли использовать сервер и хранящуюся на нем информацию. Пользователи должны быть идентифицированы по имени пользователя и паролю или с помощью технических средств (токен), и только после этого им разрешается доступ к данным.
Если сетевые администраторы предпочитают использовать традиционные пароли, им следует обратить внимание на программу Fail2ban. Эта программа ограничивает количество попыток ввода пароля, а затем блокирует доступ к указанному IP-адресу.
Еще один необходимый шаг - системный аудит сервера специалистом по информационным технологиям. Во время аудита ИТ-специалист оценивает конфигурацию сервера и дает рекомендации по усилению безопасности.
Технологии VPN и частных сетей обеспечивают защиту от перехвата входящего и исходящего трафика. Эти программные продукты отправляют и получают зашифрованные данные по защищенным маршрутам. По мере развития сетевой инфраструктуры VPN заменяются собственными центрами сертификации, которые генерируют сертификаты для идентификации пользователей и шифрования трафика на основе принципов PKI и SSL/TLS.
Угрозы.
Прежде чем строить модель безопасности сервера, необходимо понять, какая модель угроз актуальна для вашей компании.
К наиболее опасным угрозам относятся:
-
DDoS-атаки на серверы;
Перехват трафика;
проникновение хакеров в операционную систему и изменение параметров файлов, определяющих работу программ и приложений.
С каждым из этих типов угроз можно бороться по-разному. Определить, какие угрозы наиболее опасны для вашего бизнеса, можно с помощью аудита.
-
Аудит.
Аудит - это один из основных шагов, которые необходимо предпринять сетевым администраторам, чтобы разработать подходящую модель защиты веб-сервера для своей компании.
Аудит позволяет им
обнаружить слабые и уязвимые места в системах безопасности;
проверить наличие незадекларированных функций в программном обеспечении; и найти в текущей конфигурации безопасности приложения и утилиты, которые запускаются автоматически при включении сервера и обеспечивают отдельные функции безопасности;
обнаружение и отключение элементов, мешающих работе системы
определение используемых портов и протоколов и помощь в настройке брандмауэра;
предоставление рекомендаций по улучшению мер безопасности.
Любой процесс, запущенный с сервера, является потенциальной целью для атаки.
При анализе процесса необходимо ответить на следующие вопросы:
-
разрешено ли процессу запускаться автоматически без команды администратора; -
должен ли процесс быть привязан к одному или нескольким IP-адресам; и -
должен ли процесс быть запущен правильно и обнаруживает ли его брандмауэр; -
обнаруживается ли несанкционированный или нежелательный трафик; -
как настроена система или отчетность о неисправностях и событиях информационной безопасности, обнаруженных в отдельных службах.
Аудит должен быть началом любого процесса настройки сервера. Первичный аудит может быть проведен системным администратором путем выполнения команды netstat. Этот инструмент анализирует, какие процессы связаны с каждым интерфейсом.
Следующим шагом является аудит файлов. Этот анализ сравнивает текущее состояние файла с эталонным или начальным состоянием. Обнаруженные несоответствия указывают на то, что кто-то вмешался в работу или настройки файла.
Для такого аудита требуется система обнаружения вторжений (IDS), которая может быть установлена как отдельный инструмент на сервере или предлагаться в виде облачного продукта. Регулярный аудит файлов помогает определить, был ли доступ к системе со стороны неавторизованных третьих лиц, которые использовали ресурсы в своих целях в течение длительного периода времени. Целостность файлов гарантирует, что серверная среда не повреждена и процессы не испорчены.
Простые методы аудита с использованием программного обеспечения парсера доступны любому администратору. Однако если требуется комплексное решение, стоит пригласить эксперта, который разбирается в современных угрозах сетевой безопасности.
От этого эксперта следует потребовать:
-
Знание исходной конфигурации критических файлов и способность сравнивать текущее состояние с исходным; -
Способность анализировать изменения, внесенные в ресурсы администраторами, и учитывать их влияние на текущее состояние системы; -
Понимание того, как защитить данные от злоумышленников.
Процесс аудита и его периодичность должны быть прописаны в политике безопасности компании. Это потребует дополнительных усилий, времени и затрат, но всегда окупится.
Защита от DDoS-атак
Защититься от полномасштабной DDoS-атаки в рамках стандартной системы безопасности сервера довольно сложно. Тысячи одновременных запросов от ботнета к серверу могут полностью блокировать канал передачи данных и сделать невозможным ответ сервера на административные действия. Тем не менее, DDoS-атаки могут иметь значительные последствия. Например, в 2012 году хакеры вывели из строя сайт Центральной избирательной комиссии Грузии. Это не позволило ей опубликовать информацию в преддверии парламентских выборов и способствовало ухудшению политической ситуации в стране.
Простейшая система безопасности сервера требует наличия брандмауэра, модуля ядра ipset, хранящего большой список IP-адресов, и некоторых скриптов, которые внутренние программисты могут написать сами. Эти скрипты должны предотвращать попытки внешних неавторизованных пользователей установить более определенного количества одновременных соединений. Список запрещенных адресов включает в себя все идентифицированные адреса. Если запрос отправлен с другого адреса, он будет добавлен в список блокировки путем анализа трафика и того же запроса.
SSH-ключи.
Пары ключей SSH используются для идентификации пользователей. Ключи создаются криптографическими средствами и решают проблему идентификации доверенных пользователей лучше, чем логины и пароли. Еще до аутентификации система создает два ключа - закрытый ключ и открытый ключ. Закрытый ключ передается администратору, а открытый ключ распространяется с сервера SSH неограниченному числу лиц.
Открытый ключ помещается в созданный для этой цели каталог на сервере. Когда пользователь подключается к серверу, система SSH должна ответить на запрос о подключении, в результате чего доступ к веб-серверу будет разрешен только авторизованным пользователям.
Вызов генерируется с использованием открытого ключа. Это зашифрованное сгенерированное сообщение, которое отправляется пользователю с расчетом на то, что он ответит. Ответ шифруется с помощью закрытого ключа.
Открытый ключ используется только для шифрования, но не для расшифровки. Пользователь не может контролировать или каким-либо образом влиять на запрос и ответ. Владение закрытым ключом позволяет получить доступ к серверу в любое время, пока хранится именно эта пара ключей.
Преимущество технологии SSH перед паролями заключается в том, что она исключает любой доступ к серверу путем перебора паролей. Современные вычислительные технологии могут угадать комбинацию за десятую долю секунды, и зачастую даже сложные пароли не могут защитить сервер от хакеров; в SSH расшифровать алгоритм шифрования, используемый для создания ключа, крайне сложно и долго, что исключает этот риск, и этот метод может быть применен только в исключительных случаях. Для расшифровки гораздо большего объема данных, чем пароль, потребуется много времени. Хотя технически возможно подобрать правильную комбинацию, на практике такая ситуация исключена.
Настройка пар ключей SSH не представляет сложности и может использоваться системными администраторами без дополнительного обучения. Эти ключи будут работать на любой операционной системе, совместимой с распространенными системами Linux и Unix с открытым исходным кодом.
Процесс генерации и настройки ключей включает в себя несколько шагов:
-
Введите текстовую команду из командной строки. -
В ответ система запрашивает каталог, в котором хранится файл, и пароль. -
Поместите открытый ключ в выбранный вами каталог на сервере. -
После завершения этого процесса система защиты доступа начинает работать.
Сетевые брандмауэры.
Брандмауэры, межсетевые экраны и сетевые брандмауэры - это программные продукты, которые устраняют риск несанкционированного доступа к серверу.
В задачи брандмауэра входит:
-
Блокирование доступа к открытым портам, кроме специально обозначенных; -
фильтрация сетевого трафика в соответствии с изначально заданными параметрами.
Брандмауэры вмешиваются в HTTP и SQL запросы, предоставляя доступ только тем запросам, которые соответствуют выбранной политике безопасности. В стандартном случае на сервере не нужно устанавливать и настраивать дополнительные компоненты брандмауэра; они уже встроены в браузер в виде простого приложения или доступны на платной основе.
К таким компонентам относятся:
-
Открытые брандмауэры, размещенные в Интернете. Любой желающий может подключиться анонимно, иногда без регистрации. Эти службы могут фильтровать рекламу и определять порядок подключения пользователей к веб-сайтам; -
Закрытые службы: также размещаются в Интернете, но доступны только зарегистрированным пользователям. Например, панель управления сайтом или базой данных, размещенная на сервере; -
Внутренние службы: работают только в пределах одного сервера, без внешнего влияния, для контроля трафика интрасети.
Брандмауэры можно использовать для минимизации риска внешнего доступа к серверу. Открытые компоненты менее функциональны и предлагают только рекламные функции, такие как контроль трафика и блокировка рекламы. Закрытый компонент может быть настроен по различным параметрам. Неиспользуемые порты могут быть заблокированы большинством версий брандмауэра, как платных, так и бесплатных.
Брандмауэр является важной частью любой системы сетевой безопасности, независимо от того, какие дополнительные ресурсы использует администратор для защиты веб-сервера.
Его настройка занимает несколько минут и обычно происходит по двум сценариям:
При вводе сервера в эксплуатацию.
Когда вы изменяете конфигурацию сервера или его служб.
VPN и частные сети
Современные технологии VPN и частных сетей устанавливают удаленное и безопасное соединение между сервером и другими устройствами. Подключение к серверу может быть настроено так же, как и использование защищенной локальной сети.
Частные сети всегда гарантируют более высокий уровень безопасности, чем публичные сети. Владелец сети имеет возможность устанавливать соединения, в которых более высокий уровень безопасности обеспечивается более сложным программным обеспечением. О существовании сети знают только администраторы и пользователи, и к ней не могут получить доступ внешние хакеры. Трафик, связанный с программным обеспечением и приложениями, также может быть направлен через VPN-туннели, что также может значительно повысить уровень безопасности. Если отдельные процессы по соображениям безопасности не могут быть доступны внутренним пользователям, они также могут передаваться внутри компании по защищенному маршруту. Информация защищена от неавторизованных пользователей, которые не имеют доступа к виртуальной сети.