Проблеми безпеки сучасних корпоративних мереж

Побудова сучасних систем забезпечення безпеки інформаційних корпоративних мереж ґрунтується на комплексному підході,який орієнтований на створення захищеного середовища обробки інформації в корпоративних системах.

Під загрозою безпеці розуміється можлива небезпека здійснення якого-небудь діяння, направленого проти об'єкту захисту (інформаційних ресурсів), що завдає збитку власникові або користувачеві. Реалізація тієї або іншої загрози безпеці може переслідувати наступні цілі:

1. Порушення конфіденційності інформації.

2. Порушення цілісності інформації. Втрата цілісності інформації (повна або часткова компрометація, дезінформація) – загроза близька до її розкриття. 3. Порушення (часткове або повне) працездатності корпоративної мережі -вивід з ладу або некоректна зміна режимів роботи компонентів КС, їх модифікація або підміна

Для усунення таких порушень відносять наступні способи забезпечення інформаційної безпеки: законодавчі (правові); технічні;морально-етичні; організаційні (адміністративні); програмні.

45. Проблеми розробки й впровадження мережних екранів

Типові рішення по застосуванню міжмережевих екранів для захисту інформаційних ресурсів Повнофункціональний захист корпоративної мережі повинен забезпечити: безпечну взаємодію користувачів і інформаційних ресурсів, розташованих в extranet- і intranet-мережах, із зовнішніми мережами, наприклад Internet; технологічно єдиний комплекс заходів захисту для розподілених і сегментованих локальних мереж підрозділів підприємства; ієрархічну систему захисту, що надає адекватні засоби забезпечення безпеки для різних по ступеню закритості сегментів корпоративної мережі. Такий захист можна забезпечити за допомогою технології міжмережевих екранів, або firewall, тобто на основі сертифікованих вітчизняних МЕ і сумісних з ними зарубіжних продуктів, що реалізували технології безпечної взаємодії із зовнішнім середовищем. Такий захист можна забезпечити за допомогою технології міжмережевих екранів, або firewall, тобто на основі сертифікованих вітчизняних МЕ і сумісних з ними зарубіжних продуктів, що реалізували технології безпечної взаємодії із зовнішнім середовищем.

46. Проблеми функціонування мережних екранів в Internet

Дати якесь конкретне означення мережевого екрану доволі важко, оскільки вони дуже відрізняються за функціями та типами використання. Загалом, мережевий екран призначений для заборони чи дозволу користування певними сервісами зовнішньої мережі комп’ютерові чи їх групі, а також навпаки. Точніше зрозуміти призначення мережевих екранів нам допоможе нижче наведений розподіл за функціями та класифікація. Перш за все мережеві екрани поділяються на персональні та міжмережні. Персональний мережевий екран призначений для захисту одного комп’ютера, в той час коли міжмережні використовують для цілої робочої групи чи підмережі. Мережеві екрани бувають програмні, а також апаратні (тільки міжмережні). Апаратні мережеві екрани підключають у вигляді окремого пристрою до мережі. Міжмережевий екран Cisco PIX Firewall також дозволяє уникнути проблеми недостачі адрес при розширенні і зміні IP-мереж. Технологія трансляції мережевих адрес Network Address Translation (NAT) робить можливим використання в приватній мережі як існуючих адрес, так і резервних адресних просторів. PIX також можна налаштувати для загального використання транслюючих і не транслюючих адрес, дозволючи використовувати як адресний простір приватної IP-мережі, так і зареєстровані IP-адреси.

47. Розпізнавальні знаки доступу в комп’ютерних мережах

48. Розширений стандарт шифрування (AES)?

Advanced Encryption Standard (AES) - це симетричний ітеративний оборотний блочний шифр з варійованими розмірами ключа, блоків інформації і числом циклів шифрування. Розмір блоку може бути довільним, кратним 32 бітам, але в стандарті AES зафіксований розмір блоку 128. Довжина ключа в AES дорівнює 128, 192 або 256 біт і назву стандарту відповідно буде - AES-128, AES-192 і AES-256.

Циклове перетворення шифру однорідне і складається з трьох типів шарів. Під однорідністю перетворення розуміється те, що кожен біт стану обробляється аналогічним чином. Вибір конструктивних параметрів шарів здійснений відповідно до визначеної стратегією (Wide Trail Strategy):
1) нелінійний шар реалізує паралельне застосування s-боксів з оптимальними (в гіршому випадку) нелінійними властивостями;

2) шар лінійного перемішування забезпечує гарні перемішують властивості алгоритму (дифузію) вже після декількох циклів шифрування;

3) шар додавання ключа реалізує підмішування ключа до проміжного стану за допомогою Х0R-підсумовування.

Загальна ідея алгоритму – перетворення вихідного повідомлення шифротексту за допомогою послідовного застосування до масиву State ряду трансформацій:

subBytes (заміна байтів) – побайтова нелінійна підстановка в state-блоках з використанням фіксованої таблиці замін (S-box) розмірністю 8х256;

shiftRows (зсув рядків) – циклічний зсуврядків масиву state вліво на різну кількість байт;

mixcolumns (перемішування стовпців) – множення стовпців стану, що розглядаються як многочлени над GF(2⁸);

xorRoundKey чи addRoundKey (складання з раундовим ключем) – порозрядне XOR вмісту state з поточним.

49. Системи виявлення атак на комп’ютерну мережу

Повинні вирішувати наступні задачі:

– розпізнавання відомих атак та попередження про них;

– зниження навантаження на персонал, що відповідає за безпеку, від поточних операцій по контролю за користувачами;

– контроль всіх дій суб’єктів корпоративної мережі (користувачів,програм, процесів).

– контроль вузлів мережі з невстановленими оновленнями, або вузлів із застарілим програмним забезпеченням;

– блокування та контроль доступу до певних вузлів Internet.

Хоча системам виявлення атак далеко до міжмережевих екранів та систем контролю доступу до різних URL, вони можуть виконувати частковий контроль та блокувати доступ деяких користувачів корпоративної мережі до окремих ресурсів Internet. Крім того, системи виявлення атак можуть контролювати доступ співробітників до серверів на основі ключових слів.

– контроль електронної пошти.

Всі існуючі засоби виявлення атак класифікуються на:

1. Host-based – які виявляють атаки, спрямовані на конкретний вузол мережі;

2. Network-based – які виявляють атаки, спрямовані на всю мережу, або її сегмент.

Системи виявлення атак першого типу, як правило, збирають та аналізують інформацію з журналів реєстрації операційної системи та різних додатків. Системи виявлення атак другого типу збирають інформацію з мережевого трафіку.У обох випадках застосовуються наступні технології виявлення атак:

– технологія виявлення аномальної (нетипової) поведінки;

– технологія виявлення зловмисної поведінки.

50. Схеми підключення мережевих екранів

1. Схема єдиного захисту локальної мережі.

Брандмауер цілком екранує локальну мережу від потенційно ворожої зовнішньої мережі. Для маршрутизатора і брандмауера є тільки один шлях, яким іде весь трафік. Відкриті сервери, що входять в локальну мережу, також будуть захищені міжмережевим екраном. Проте об'єднання серверів, доступних з зовнішньої мережі, разом з іншими ресурсами, що захищаються в локальній мережі істотно знижує безпеку міжмережевих взаємодій. Тому дану схему підключення брандмауера можна використовувати лише за відсутності в локальної мережі відкритих серверів або коли наявні відкриті сервери робляться доступними із зовнішньої мережі тільки для обмеженого числа користувачів, яким можна довіряти.

2. Схема з захищеною закритою і не захищеною відкритими підмережами.

При наявності в складі локальної мережі загальнодоступних відкритих серверів їх доцільно винести як відкриту підмережу до брандмауера. Даний спосіб має більш високу захищеність в закритій частині локальної мережі,але забезпечує знижену безпека відкритих серверів, розташованих до брандмауера. Деякі брандмауери дозволяють розмістити ці сервери на собі.

3. Схема з роздільними закритою і відкритою підмережами

У випадку ж, коли до безпеки відкритих серверів ставлять підвищені вимоги, то необхідно використовувати схему з роздільним захистом закритої і відкритої підмереж. Така схема може бути побудована на основі одного брандмауера з трьома мережевими інтерфейсами або на основі двох брандмауерів з двома мережевими інтерфейсами. В обох випадках доступ до відкритої та закритої підмережах локальної мережі можливий тільки через міжмережевий екран. При цьому доступ до відкритої мережі не дозволяє здійснити доступ до закритої підмережі.

51. Фільтруючі маршрутизатори та їх застосування для забезпечення безпеки

Фільтруючий маршрутизатор являє собою маршрутизатор або працюючу на сервері програму, сконфігуровані таким чином, щоб фільтрувати вхідне та вихідні пакети. Фільтрація пакетів здійснюється на основі інформації, що міститься в TCP-і IP-заголовках пакетів.Фільтруючі маршрутизатори зазвичай може фільтрувати IP-пакет на основі групи наступних полів заголовка пакету:

- IP-адресу відправника (адреса системи, яка послала пакет);

- IP-адресу одержувача (адреса системи, яка приймає пакет);

- порт відправника (Порт з'єднання в системі відправника);

- порт одержувача (Порт з'єднання в системі одержувача);

Порт - це програмне поняття, яке використовується клієнтом або сервером для посилки або прийому повідомлень; порт ідентифікується 16 - бітовим числом.В даний час не всі фільтруючі маршрутизатори фільтрують пакети по TCP/UDP - порт відправника, однак багато виробників маршрутизаторів почали забезпечувати таку можливість. Деякі маршрутизатори перевіряють, з якого мережевого інтерфейсу маршрутизатора прийшов пакет, і потім використовують цю інформацію як додатковий критерій фільтрації.Фільтрація може бути реалізована різним чином для блокування з'єднань з певними хост - комп'ютерами або портами. Наприклад, можна блокувати з'єднання, що надходять від конкретних адрес тих хост-комп'ютерів і мереж. які вважаються ворожими або ненадійними.Додавання фільтрації по портах TCP і UDP до фільтрації по IP-адресами забезпечує більшу гнучкість.

52. Функції й компоненти мережі VPN. Механізми туннелирования й інкапсуляції.

Захищеною віртуальною мережею VPN називають об'єднання локальних мереж і окремих комп'ютерів через відкрите зовнішнє середовище передачі інформації в єдину віртуальну корпоративну мережу, що забезпечує безпеку циркулюючих даних.

Забезпечення безпеки інформаційної взаємодії локальних мереж і окремих комп'ютерів через відкриті мережі, зокрема через Internet, можливе при ефективному рішенні задач захисту:

· інформації в процесі її передачі по відкритих каналах зв'язку;

· підключених до відкритих каналів зв'язку локальних мереж і окремих комп'ютерів від несанкціонованих дій з боку зовнішнього середовища.

Захист інформації в процесі передачі по відкритих каналах зв'язку заснований на виконанні наступних основних функцій:

· автентифікації взаємодіючих сторін;

· криптографічному закритті (шифруванні) даних, що передаються;

· перевірці достовірності і цілісності доставленої інформації.

Туннелювання широко використовується для безпечної передачі даних через відкриті мережі. Між кожною парою «відправник-одержувач даних» встановлюється своєрідний тунель – безпечне логічне з'єднання, що дозволяє інкапсулювати дані одного протоколу в пакети іншого. Особливість тунелювання полягає у тому, що ця технологія дозволяє зашифрувати початковий пакет повністю, разом із заголовком, а не тільки його поле даних.

Тунелювання може також запобігти можливому конфлікту адрес між двома локальними мережами. При створенні локальної мережі, не пов'язаної з Internet, компанія може використовувати будь-які IP-адреси для своїх мережевих пристроїв і комп'ютерів. При об'єднанні раніше ізольованих мереж ці адреси можуть почати конфліктувати один з одним і з адресами, які вже використовуються в Internet.

Інкапсуляція пакетів вирішує подібну проблему, дозволяючи приховати первинні адреси і додати нові, унікальні в просторі IP-адрес Internet, – потім вони використовуються для пересилки даних по мережах, що розділяються. Сюди ж входить задача настройки IP-адреси і інших параметрів для мобільних користувачів, що підключаються до локальної мережі.

53. Шифрування даних з допомогою мережі Фейстеля?

Дата добавления: 2015-05-26; Просмотров: 1988; Нарушение авторских прав?; Мы поможем в написании вашей работы!