Файл: Методы и средства защиты информации.pdf

Общая классификация СОВ представлена на рис.2.

Рисунок 2 – Классификация систем обнаружения вторжений

Программные средства охватывают специальные программные комплексы, программы и системы защиты информации в ИС различного назначения и средствах обработки (накопления, сбора, хранения, передачи и обработки) данных.

Криптографические средства – это специальные алгоритмические и математические средства защиты информации, которая передается по сетям и системам связи, хранится и обрабатывается на ПК с применением различных методов шифрования.

В качестве методов криптографической защиты применяются протоколы TLS и SSH, также применяются VPN [17, с.111].

Технология виртуальных частных сетей (Virtual Private Network) — это технология эмуляции соединения «точка-точка» через сеть общего пользования. При этом между хостом пользователя и провайдером организуется так называемый туннель, по которому пакеты ис­ходящей от пользователя информации достигают провайдера [34, с.59].

Виртуальные частные сети применяются для создания безопасных и надежных каналов, связывающих локальные сети и обеспечивающих доступ к ним пользователей, постоянно меняющих свое географическое местоположение. В основе этих сетей лежит использование открытой и общедоступной сети, такой как Internet.

Для защиты от наиболее распространенных компьютерных преступлений используются системы обнаружения вторжений и антивирусные комплексы.

Разработка мер по защите сетевой инфраструктуры предприятия

Характеристика предприятия

Торговый Дом «Раскрас» - молодая активно развивающаяся, но уже легко узнаваемая на калининградском рынке компания. Она является дистрибьютором нескольких заводов, занимающихся производством органических красок и декоративных материалов.  

ТД «Раскрас» представляет в Калининграде такие марки, как Завод Красок «КВИЛ» г. Белгород, Предприятие ВГТ г. Москва, Предприятие Belinka Словения, краски Symphony компании Финкраска г. Москва.

Компания предлагает комплексный подход клиентам: 

• широкий ассортимент ЛКМ (лакокрасочных материалов)
• консультации по вопросам применения ЛКМ и системам нанесения
• автоматическая колеровка красок
• доставка по городу и области
• индивидуальный подход к каждому.

Специально для клиентов в центре города открыт салон Галерея Декора Патибеллита. Салон, где есть практически все для декоративной отделки помещения, предлагает широкий ассортимент покрытий.  

В компании представлены: торговые марки декоративных штукатурок и красок, таких как Боларс tm MascаradE(Москва), Accent, Magnifica (Италия), Paritet (Франция); обои известного итальянской дизайнера Andrea Rossi, фотопанно Divino Decor; архитектурный декор из полиуретана. 

Угрозы сети предприятия

Для выявления угроз была применена Digital Security Office 2006. Это комплексное решение для управления информационной безопасностью компании.

С помощью данной программы были выявлены следующие угрозы.

1. Анализ сетевого трафика (рисунок 3).

Рисунок 3 – Схема реализации угрозы «Анализ сетевого трафика»

Рассмотрим пассивную атаку, которая, как правило, является подготовительным этапом при реализации многих активных сетевых атак. В том случае, если вместо коммутаторов в сети установлены концентраторы, полученные пакеты рассылаются всем компьютерам в сети, а затем компьютеры определяют для них этот пакет или нет.

Если злоумышленник получит доступ к компьютеру, который включен в такую сеть, или получит доступ к сети непосредственно, то вся информация, передаваемая в переделах сегмента сети, вклю­чая пароли, станет доступной ему. Злоумышленник может поставить сетевую карту в режим прослушивания и будет принимать все пакеты независимо от того, ему ли они предназначались.

Несанкционированное прослушивание сети и наблюдение за данными производится при помощи специальной программы — пакетного сниффера, который осуществляет перехват всех сетевых пакетов сегмента, за которым идет наблюдение. Перехваченные таким сниффером данные могут быть использованы злоумышленниками для получения доступа к сервисам системы на правах легального пользователя.

2. Сканирование сети.

Сущность процесса реализации угрозы заключается в передаче запросов сетевым службам хостов ИСПДн и анализе ответов от них. Цель – выявление используемых протоколов, доступных портов сетевых служб, законов формирования идентификаторов соединений, определение активных сетевых сервисов, подбор идентификаторов и паролей пользователей.

Для реализации данного действия злоумышленнику необходим компьютер, подключенный к сети и заранее приготовленное программное обеспечение для осуществления сбора информации. Некоторые программы данного типа обладают функциями автоматического определения IP-адреса компьютера, на котором они запущены (в рассматриваемом случае используется программный продукт именно такого типа). Затем происходит настройка параметров для сканирования. Это может быть осуществлено как вручную, так и автоматически. Далее осуществляется последовательный опрос, путем посылки ICMP-эхо-запросов, хостов в указанном диапазоне IP-адресов в многопоточном режиме.

Путем посылки недопустимых (нестандартных) ICMP- или TCP-пакетов нарушитель может идентифицировать тип ОС. Стандарты обычно устанавливают, каким образом компьютеры должны реагировать на легальные пакеты, поэтому машины имеют тенденцию быть единообразными в своей реакции на допустимые входные данные. Однако стандарты упускают (обычно намеренно) реакцию на недопустимые входные данные. Таким образом, уникальные ре­акции каждой ОС на недопустимые входные данные формируют сигнатуру, которую злоумышленник может использовать для того, чтобы понять под каким управлением функционирует выбранный компьютер.

Если хост определен как активный, то осуществляется определение наличия функционирующего сервиса, в рассматриваемом случае наличие запущенного telnet- или ftp-сервиса. Стандартными портами для этих сервисов являются 21 порт для ftp и 23 порт для telnet.

Результатом данной атаки будет определение из множества компьютеров, подключенных к сети, уязвимых для последующего проникновения.

3. Угроза выявления пароля.

Цель реализации угрозы состоит в получении НСД путем преодоления парольной защиты. Злоумышленник может реализовывать угрозу с помощью целого ряда методов, таких как простой перебор, перебор с использованием специальных словарей, установка вредоносной программы для перехвата пароля, подмена доверенного объекта сети (IP-spoofing) и перехват пакетов (sniffing). В основном для реализации угрозы используются специальные программы, которые пытаются получить доступ к хосту путем последовательного подбора паролей. В случае успеха, злоумышленник может создать для себя «проход» для будущего доступа, который будет действовать, даже если на хосте изменить пароль доступа.

Непосредственный доступ в ОС компьютера с подбором паролей разделяется на три этапа:

• хищение файлов SAM и SYSTEM с необходимого злоумышленнику компьютера,
• подбор паролей на компьютере злоумышленника,
• осуществление входа в ОС компьютера, используя подобранные пароли.

Рассмотрим первый этап доступа, то есть хищение файлов SAM и SYSTEM с необходимого злоумышленнику компьютера. Для прохождения этого этапа злоумышленнику необходимо наличие загрузочного сменного носителя с альтернативной операционной системой. Для жестких дисков системы FAT32 такой операционной системой служит MS DOS, для жестких дисков системы NTFS – NTFS DOS.

Рассмотрим второй этап непосредственного доступа в ОС компьютера, подбором паролей – подбор паролей на компьютере злоумышленника. В данном случае рассматриваются пароли, состоящие из четырех символов английского алфавита (A—Z). Для прохождения данного этапа злоумышленнику необходимо:

• наличие программы для подбора паролей установленной на его компьютере (такой программой может служить, например программа Sam Inside или LCP04);
• носитель с похищенными файлами SAM и SYSTEM, полученная в результате прохождения первого этапа.

Злоумышленник устанавливает носитель в компьютера, открывает программу подбора паролей, загружает из файлов SAM и SYSTEM информацию о пользователях и соответствующих им хэш-функциях паролей. Программа подбирает пароли, сравнивая хэш-функции перебираемых наборов символов с исходными хэш-функ­циями, загруженными из файла SAM. Найдя соответствие, программа информирует о том, что пароль подобран, и благодаря информации, хранящейся в файле System, сопоставляет подобранный пароль с именем учетной записи пользователя.

4. Подмена доверенного объекта сети и передача по каналам связи сообщений от его имени с присвоением его прав доступа.

Для реализации данной атаки злоумышленник должен иметь возможность формировать пакеты с произвольными обратными IP-адре­сами. Злоумышленник отправляет в сеть пакеты с ложным обратным адресом. С помощью этой атаки он может переключать на свой компьютер соединения, установленные между другими компьютерами. При этом права доступа становятся равными правам того пользователя, чье соединение с сервером было переключено на компьютер хакера.

Каждый пакет имеет в заголовке два поля-счетчика для иденти­фикации сообщения. Данные числа увеличиваются при обмене данными и позволяют контролировать корректность передачи. Злоумыш­ленник может предсказать, какое значение будет иметь счетчик в высланном сервером пакете. Это возможно сделать на основе знаний о конкретной реализации TCP/IP [13, с.140]. Таким образом, послав один пакет серверу, злоумышленник получит ответ и сможет (возможно, с нескольких попыток и с поправкой на скорость соединения) предсказать значение счетчиков для следующего соединения. Если реализация TCP/IP использует специальный алгоритм для определения этих значений, то он может быть выяснен с помощью посылки нескольких десятков пакетов серверу и анализа его ответов.

Предположим, что система A доверяет системе B, так, что пользователь системы B может авторизоваться, не вводя пароля. Злоумыш­ленник расположен на системе C. Система A выступает в роли сервера, системы B и C — в роли клиентов. Первая задача злоумышленника — ввести систему B в состояние, когда она не сможет отвечать на сетевые запросы. Это может быть сделано несколькими способами, в простейшем случае нужно просто дождаться перезагрузки системы B. Далее злоумышленник может притвориться системой B, для того, что бы получить доступ к системе A (хотя бы кратковременный). Злоумышленник пытается подобрать значение счетчика, высылая корректные запросы на установление соединения. Затем он иници­ирует соединение от имени B, используя подобранное значение счетчика. Если оно оказывается подходящим, соединение считается установленным. Теперь злоумышленник может выслать очередной фаль­шивый IP-пакет, который уже будет содержать данные. И в случае, если B является доверенным хостом для A, сервер будет выполнять команды злоумышленника без всякой аутентификации [10, с.69].

Этапы реализации данной атаки и типы пересылаемых пакетов приведены на рис.4.

Рисунок 4 – Этапы реализации подмены доверенного объекта (IP-spoofing).

Такая угроза эффективно реализуется в системах, где применяются нестойкие алгоритмы идентификации и аутентификации хостов, пользователей и т.д. Под доверенным объектом понимается объект сети (компьютер, межсетевой экран, маршрутизатор и т.п.), легально подключенный к серверу.

Подмена доверенного объекта сети. Перехват TCP-сессии (IP-hijacking)

Для проведения данной атаки хакер должен иметь доступ к машине, находящейся на пути сетевого потока и обладать достаточными правами на ней для генерации и перехвата IP-пакетов. При передаче данных постоянно используются два 32-битных поля-счетчика (оба поля находятся в IP-заголовке). Исходя из их значения, сервер и клиент проверяют корректность передачи пакетов. Сущест­вует возможность ввести соединение в десинхронизированное состояние, когда присылаемые сервером значения счетчиков не будут совпадать с ожидаемым значением клиента, и наоборот. В данном случае злоумышленник, прослушивая линию, может взять на себя функции посредника, генерируя корректные пакеты отдельно для клиента и сервера и перехватывая их ответы. Метод позволяет полностью обойти такие системы защиты, как, например, одноразовые пароли, поскольку злоумышленник начинает работу уже после того, как произойдет авторизация пользователя.