На сайті 11893 реферати!

Усе доступно безкоштовно, тому ми не платимо винагороди за додавання.
Авторські права на реферати належать їх авторам.

Криптопротокол S-HTTP

Реферати > Комп'ютерні науки > Криптопротокол S-HTTP

Поділ мережі на підмережі дозволяє підвищити як безпеку, так і продуктивність. Як вже було вказано, чим менше можливостей по обміну інформацією між робочими станціями в мережі, тим вища її безпека. Підвищення продуктивності досягається тим, що робочі станції одержують менше широкомовного трафіка: це, з одного боку, зменшує кількість службового (широкомовного) трафіка в порті, а з іншого боку - розвантажує CPU робочих станцій, оскільки їм тепер доводиться аналізувати менше трафіка. Поділ на підмережі виконується розбивкою локальної мережі на віртуальні. Майже всі сучасні комутатори підтримують тегировані VLAN стандарту 802.1q, що дозволяє вільно використовувати в одній мережі устаткування різних виробників.

Якщо в мережі користувачі часто "переїжджають" з місця на місце, можна встановити динамічні VLAN: у цьому випадку до VLAN прив'язують не певні порти комутатора, а Мас-адреси пристроїв, що підключають. Таблиця відповідності MAC - LAN зберігається на виділеному сервері, на якому легко можна модифікувати дану базу. Динамічні VLAN - зручний інструмент, однак з погляду безпеки вони залишають бажати кращого: поміняти Мас-адресу на мережній карті - завдання не занадто складне (досить знати Мас-адресу із потрібної VLAN і мати доступ до будь-якої мережної розетки в мережі, щоб одержати доступ у цю VLAN).

Після розбивки мережі на окремі VLAN (наприклад, кожен відділ - у своєї VLAN), постає питання про безпеку усередині кожної з них. Технологія Private VLAN (PVLAN), що дозволяє обмежувати трафік між портами усередині однієї VLAN, підтримує три типи портів:

Promiscuous - працює з усіма портами усередині PVLAN-групи;

Isolated - може обмінюватися інформацією тільки з Promiscuous портами;

Community - може обмінюватися даними з Community й Promiscuous портами.

Завдяки застосуванню PVLAN вдається в значній мірі захистити робочі станції, але при цьому не завжди можливо відключити весь трафік у напрямку певного порту. На додаток до PVLAN або окремо варто використати списки доступу. Сучасні, відносно недорогі комутатори 2-го рівня моделі OSI дозволяють фільтрувати трафік по VLAN-мітках, MAC- і IP-адресам, TCP/UDP портам, DSCP полям, причому використання цих фільтрів ніяк не позначається на продуктивності комутаторів. Настроїти такі списки доступу нескладно, оскільки 99% робочих станцій використовує стандартний набір мережних програм: досить проробити стандартний список доступу й установити його на всі користувальницькі порти. Таким чином, робочі станції будуть захищені від можливого злому через невикористовувані порти, а у випадку зараження вірусом одного комп'ютера далі нього він не зможе поширитися.

Для запобігання включення в мережну розетку несанкціонованого устаткування існує протокол 802.1х, суть роботи якого полягає в наступному: перш ніж порту буде дозволено передавати трафік, виконується аутентифікація, і тільки у випадку її успішного проходження користувачі одержують дозвіл увійти в мережу. Основна проблема полягає в тому, що не всі операційні системи підтримують даний протокол.

Взаємодія між VLAN (обмін трафіком між відділами компанії) здійснюється через комутатори 3-го рівня, основне завдання яких (з погляду безпеки) - максимально обмежувати взаємодію між відділами, дозволяючи переходити з однієї VLAN в іншу тільки дійсно легітимному трафіку, що досягається прописуванням добре продуманого набору списків доступу для кожної VLAN.

Поряд з викладеним для забезпечення безпеки серверного сегмента доцільно забезпечити фільтрацію трафіка аж до 7-го рівня, тобто контролювати кількість установлюваних сесій, аналізувати й фільтрувати/модифікувати запити SQL, SNMP, HTTP. Бажано також документувати всі спроби сканування й злому серверів, включаючи ті, які не увінчалися успіхом. Для рішення цього завдання використовуються апаратні рішення Firewall і систем запобігання вторгнення, оскільки програмні комплекси навряд чи впораються зі стомегабітними або гігабітними швидкостями, властивим локальним мережам.

Описаними рішеннями не вичерпується набір способів захисту мережі. Кожна мережа вимагає індивідуального підходу в забезпеченні безпеки.

Класифікація комп’ютерних атак

Форми організації атак досить різноманітні, але в цілому всі вони належать до однієї з наступних категорій:

віддалене проникнення в комп‘ютер: програми, які отримують неавторизований доступ до іншого комп’ютера через Інтернет (або локальну мережу);

локальне проникнення в комп’ютер: програми, які отримують неавторизований доступ до комп’ютера, на якому працюють;

віддалена блокування комп’ютера: програми, які через Інтернет (чи мережу) блокують роботу всього віддаленого комп’ютера чи окремої програми на ньому;

локальне блокування комп’ютера: програми, які блокують роботу комп’ютера, на якому працюють;

сканери мережі : програми, які здійснюють збір інформації про мережу, щоб визначити, які з комп’ютерів і програм, що на них працюють, потенційно є вразливими до атак;

сканери вразливих місць програм: програми, що перевіряють великі групи комп'ютерів в Інтернеті у пошуках комп’ютерів, що є вразливими до того чи іншого виду атак;

вскривачі паролів: програми, які легко знаходять паролі, що вгадуються, у зашифрованих файлах паролів;

аналізатори мережі (sniffers): програми, які слухають трафік мережі. Часто в них знаходяться можливості автоматичного виділення імен користувачів, паролів та номерів кредитних карт з трафіка;

модифікація даних, що передаються чи підміна інформації;

підміна довіреного об’єкта розподіленої ОС (робота від його імені) чи хибний об’єкт розподіленої ОС (РОС).

Соціальна інженерія – несанкціонований доступ до інформації інший, ніж взлом програмного забезпечення. Мета: обхитрити людей для отримання паролів до системи чи іншої інформації, яка допоможе порушити безпеку системи.

Атаки, що використовують помилки реалізації служб мережі

Крім перерахованих атак існують і різноманітні атаки направлені проти конкретних платформ. Наприклад:

Атака Land – формується IP-пакет, в якому адреса відправника співпадає з адресою користувача. Цій вразливості піддаються всі версії ОС сімейства Windows до Windows NT 4.0 Service Pack 4 включно. При поступленні таких запитів доступ до системи стає неможливим.

Атаки teardrop і bonk – засновані на помилках розроблювачів ОС в модулі, що відповідає за збір фрагментованих IP-пакетів. При цьому відбувається копіювання блока негативної довжини, бо після збору фрагментів в пакеті залишаються “дирки” – порожні, не заповнені даними місця, що також можуть призвести до збою ядра ОС. Обидві ці вразливості були присутні в ОС Windows95/NT до Service Pack 4 включно і в ранніх версіях ОС Linux (2.0.0).

WinNuke – атака Windows-систем передаванням пакетів TCP/IP з прапорцем Out Of Band (OOB) на відкритий (зазвичай 139-й) TCP-порт. На сьогоднішній день ця атака застаріла. Ранні версії Windows95/NT зависали.

Існують і різні інші атаки, що характерні лише для певних ОС.

Атака через WWW

За останні декілька років з бурхливим розвитком World Wide Web сильно збільшилось і число атак черех Web. Загалом всі типи атак через Web можна розділити на дві великі групи:

атака на клієнта;

атака на сервер.

У своєму розвитку браузери відійшли дуже далеко від початкових версій, що були призначені лише для перегляду гіпертекста. Функціональність браузерів постійно збільшувалась, зараз це вже повноцінний компонент ОС. Паралельно з цим виникають і численні проблеми з безпекою використовуваних технологій, таких як модулі, що підключаютьсяб (plug-ins), елементи ActiveX, додатки Java, засоби підготовки сценаріїв JavaScript, VBScript, PerlScript, Dynamic HTML.

Перейти на сторінку номер: 1  2  3  4  5  6 Версія для друкуВерсія для друку   Завантажити рефератЗавантажити реферат