- •Тема 1. Основные понятия дисциплины. Классификация объектов защиты информации (зи), угроза, уязвимость, риски.
- •Защита информации в интрасетях.
- •Атаки на интрасети.
- •Этапы реализации атак.
- •Основные методы распознавания атак и их признаки.
- •Тема 2. Классификация типичных атак. Сценарий и уровни атак.
- •Тема 3. Сканирование сетей цели и предназначения. Защита от сканирования. Сниферы.
- •Система обнаружения атак. Анализ журнала безопасности (аудита) компьютерных систем.
- •Тема 4. Мэ, их классификация. Классы защищенности мэ. Схемы подключения мэ. Шлюзы сетевого и прикладного уровней.
- •Схемы расстановки мэ и реализуемые при этом функции по защите.
- •Классы защищенности мэ.
- •Тема 5. Виртуальные частные сети (vpn). Способы построения vpn. Обзор протоколов, используемых при создании vpn.
- •Протоколы сетевой безопасности.
- •Протокол аутентификации.
- •Тема 6. Система обнаружения атак. Основы построения соа. Системы соа на уровне узла и сети. Архитектура соа.
- •Архитектура соа.
- •Архитектура сенсоров.
- •Архитектура детекторов.
- •Тема 7. Централизованный контроль удаленного доступа.
- •Использование ras для уд.
- •Тема 8. Определение требований к системе защиты (сз).
- •Тема 9. Нормативная база анализа защищенности. Стандарты iso 15408, iso 17799, nist. Подходы cobit, octave.
- •Тема 10. Понятие аудита безопасности. Концепция аудита безопасности ис россии. Требования к аудиторам. Стандартизация в области аудита безопасности ис.
- •Права, обязанности и ответственность аудитора.
- •Аттестация объектов информатизации по требованиям иб.
- •Методы проведения аттестационных испытаний ои по требованиям иб.
- •Тема 11. Руководящие документы гостехкомисии россии.
- •Рд «свт. Мэ. Защита от нсд. Показатели защищенности от нсд» 97г.
Протокол аутентификации.
CHAP – аутентификация пользователя при подключении по PPP-соединениям. Генерирует случайное число и шифрует его на клиентскую машину в качестве пароля пользователя, затем передает зашифрованный блок на сервер.
Radius – протокол проверки аутентичности пользователя функционирующий между граничными сетевыми устройствами и сервером аутентификации, хранящим базу данных паролей. В качестве дополнительной функции в протоколе есть возможность собирать данные статистики работы пользователей.
TACACS – протокол проверки аутентичности пользователя с возможностью авторизации каждой его команды, выполненной терминальной сессией. Функционирует между компьютером, в котором открыта эта сессия и сервером аутентификации, хранящим базу данных паролей и список разрешений и запретов для каждого пользователя на выполнение той или иной терминальной сессии.
Socks – универсальный протокол для прокси-серверов, выполняющих функции обычного прокси-сервера с возможностью аутентификации пользователя и открытия от его имени прокси-соединений на любой тип серверов.
SSL – протокол, реализующий прозрачную для приложений прослойку между интерфейсом и более высокими уровнями модели OSI. Обеспечивает конфиденциальность и целостность сетевого трафика.
IPSec – тоже самое, что SSL, только на сетевом уровне.
Протоколы управления криптографическими ключами:
TSAKMP – протокол управления ключами
OAKCLY – в алгоритме Диффи-Хелмана
В системах, основанных на протоколах TACACS и Radius администратор может управлять базой данных идентификаторов и паролей пользователей, предоставлять им привилегии доступа и нести учет обращений к системным ресурсам в рамках данных протоколов. Сервер аутентификации может иметь как собственную базу данных, так и использовать службу каталогов. Сервер аутентификации обычно использует роль посредника во взаимодействии между серверами удаленного доступа и центральной базой данных системы защиты.
Централизованный контроль удаленного доступа к ресурсам сети выполняется с помощью специализированных протоколов (TACACS и Radius). Эти протоколы объединяют серверы удаленного доступа и серверы аутентификации в единую подсистему, и соединяет их с центральной базой данных. Сервер аутентификации в данном случае создает единую точку наблюдения и проверки всех удаленных пользователей и контролирует доступ к ресурсам с заданными правилами.
ЛЕКЦИЯ №7.
Тема 6. Система обнаружения атак. Основы построения соа. Системы соа на уровне узла и сети. Архитектура соа.
СОА строится на трех основных подходах, используемых при обнаружении атак.
статистический анализ – находит применение, как правило, при обнаружении аномального поведения, т.е. малейшее отклонение от среднего значения профиля нормального поведения дает сигнал администратору о том, что зафиксирована атака. Средние частоты и величины переменных вычисляются для каждого типа профиля индивидуально (например, количество входов в систему, количество отказов в доступе, дата, время). О возможных атаках сообщается только тогда, когда эти значения выпадают из нормального диапазона.
экспертный анализ – представляет собой систему, в контексте которой решается задача обнаружения атак путем принятия решения о принадлежности того или иного события к классу атак на основании имеющихся правил. Эти правила основаны на опыте специалистов и хранятся в базе знаний. В большинстве случаев правила опираются на сигнатуры. Сигнатуры – это шаблон, сопоставленный известной атаке или неправомерным действиям системы. Анализ сигнатуры представляет собой контроль соответствия настроек системы и активности того или иного субъекта системы, а также сетевого трафика.
Достоинства: простота реализации, отсутствие ложных тревог, высокая скорость.
Недостатки: неспособность к обнаружению новых атак, система зависит от квалификации специалистов пополняющих базу знаний.
Под атакой принято называть реализацию угрозы через некую уязвимость. Сканеры ищут наличие уязвимостей, но не защищают узел, поэтому целесообразно внедрение СОА.
Классификация СОА:
по этапам осуществления атаки
а) система анализа защищенности (соответствует первому пункту реализации атаки)
б) обманные системы (соответствует второму пункту реализации атаки)
в) система анализа журналов регистрации
г) система контроля целостности (в) и г) соответствуют третьему пункту реализации атаки)
по принципу реализации
а) на уровне узла
- на уровне ОС
- на уровне ПО
- на уровне СУБД
б) на уровне сети
а) ОС. Средства, основанные на мониторинге регистрационных журналов ОС, заполняемых в процессе работы пользователя на контролируемом узле. В качестве критериев оценки наличие НСД используется: время работы пользователя, количество и тип создаваемых файлов, названия объектов, к которым осуществляется доступ, характер регистрации в системе, вход и выход из нее, запуск определенных приложений, изменение политики безопасности, смена пароля, создание нового пользователя и т.д. Одно из перечисленных событий, записываемое в журнал регистрации сравнивается с базой сигнатуры при помощи специальных алгоритмов, которые могут варьироваться в зависимости от архитектуры СОА. Подозрительные события классифицируются, и о них уведомляется администратор.
ПО и СУБД. Основаны на анализе записи журналов регистрации конкретного ПО или СУБД. Достоинства: простота реализации, поддержка практически любого ПО. Недостатки: большие затраты времени при настройке, т.к. каждое из приложений имеет уникальный формат журнала регистрации. В остальном мало, чем отличается от уровня ОС.
б) Основан на контроле всех входящих и исходящих сетевых соединений, при котором производится анализ каждой записи, пополнявшей журнал регистраций в соответствии со своей базой сигнатур, делается вывод о том была ли совершена атака или нет.
Достоинства: данные поступают без специальных механизмов аудита; не оказывается влияния на существующие источники данных; могут контролировать и обнаруживать сетевые атаки типа «отказ в обслуживании»; возможность контролирования большого числа узлов; низкая стоимость эксплуатации; создает трудность при заметании следов; обнаружение подозрительных событий; независимость от используемых средств на других уровнях.
Недостатки: неэффективно работают в коммутируемых сетях; зависят от конкретных сетевых протоколов; современные подходы к мониторингу на сетевом уровне не могут работать на высоких скоростях; атаки, реализуемые на более высоких уровнях (ПО и ОС) остаются за пределами рассмотрения.
интегрированный подход – совмещает в себе предыдущие два. Отслеживает атаки не только на прикладном уровне, но и сетевые атаки.
Достоинства: высокая сетевая скорость, т.е. просматривается весь трафик только для одного узла, а не для всей сети; расшифровка пакетов осуществляется прежде, чем они достигнут прикладного уровня; коммутируемые сети не накладывают ограничений.
ЛЕКЦИЯ №8.