Захист інформації в Internet

Брандмауер – це програмний або апаратно-програмний комплекс, що дозволяє розділити мережу на дві чи більше частин і реалізувати набір правил, що будуть визначати умови проходження пакетів з однієї частини в іншу.

Як правило, межу проводять між локальною мережею підприємства та інтернет, хоча її можна провести й усередині локальної мережі. Інша назва брандмауера – фаєрвол (firewall) або шлюз безпеки (security gateway).

Брандмауер пропускає через себе весь трафік, аналізуючи всі пакети, що проходять через нього. Для кожного пакета він приймає рішення – пропускати його чи відкинути. Рішення приймаються на основі набору певних правил, що мають суттєвий вплив на ефективність брандмауерів. Чим складніший набір правил, тим більше часу потрібно на їх перевірку. Тому затримки при обробці даних ростуть прямо пропорційно підвищенню ефективності системи безпеки.

Як правило, брандмауери функціонують на UNIX платформі, рідше на Windows NT. Багато брандмауерів підтримують різні мережеві технології: Ethernet та її модифікації, Token Ring, FDDI, lOOVG-AnyLan та інші.

Звичайно, в операційну систему, під керуванням якої працює брандмауер, вносяться зміни з метою підвищення захисту самого брандмауера. Ці зміни торкаються як ядра ОС, так і відповідних файлів конфігурації. На брандмауері не дозволяється мати рахунків користувачів (а отже, і потенційних дір), тільки рахунок адміністратора.

Багато брандмауерів мають систему перевірки цілісності своїх програмних кодів. Для цього вони використовують контрольні суми програмних кодів, які повинні бути захищені від модифікації. При старті програми відбувається перевірка цілісності з використанням захищених контрольних сум.

Деякі брандмауери дозволяють організовувати віртуальні корпоративні мережі (Virtual Private Network – VPN), тобто об’єднати кілька локальних мереж, приєднаних до інтернет, в одну віртуальну мережу. VPN дозволяють організувати прозоре для користувачів з’єднання віддалених локальних мереж, зберігаючи таємність і цілісність переданої інформації за допомогою шифрування. Під час передачі через інтернет шифруються не тільки дані користувача, але і мережева інформація – мережеві адреси, номери портів і т.п.

Розрізняють три типи брандмауерів:

– фільтри пакетів (packet filter);

– лінійні шлюзи (circuit-level gateways);

– шлюзи прикладного рівня (application-level gateways);

Вразливості стеку протоколів TCP/IP

Стек протоколів TCP/IP, що є основою інтернету, – це сукупність відкритих протоколів, що за самим визначенням відкритості не може бути безпечним. Специфікації протоколів добре відомі і їх слабкі місця можуть бути використані для організації незаконного доступу до закритих мережевих ресурсів. Нижче наведено кілька вузьких з точки зору безпеки властивостей стеку протоколів TCP/IP.

Використання на мережевому рівні протоколу, не орієнтованого на з’єднання. Протокол IP, що використовується на мережевому рівні, не передбачає встановлення логічного з’єднання між абонентами. В зв’язку з цим між відправником і отримувачем не існує визначеного фіксованого маршруту, а значить, не може бути використана „наскрізна" система захисту.

Передача пароля в явному вигляді. У багатьох додатках ТСР/ІР, таких, як telnet, FTP, Post Office Protocol (POP), пароль передається по локальній мережі і мережі інтернет незашифрованим, що створює потенційну можливість його перехоплення.

Переповнення буфера. Деякі додатки, наприклад, sendmail (Unix), finger (повернення інформації про вилученого користувача чи хост), протокол HTTP не стежать за обсягом даних користувача, що записуються у виділений ним буфер. У деякій ситуації можна послати додатку більше даних, ніж буфер здатний помістити. Якщо надлишкові дані є кодом, то він записується в робочу область пам’яті, надаючи зловмиснику можливість одержати контроль над хостом. Ця форма атаки послужила основою для мережевого вірусу типу „хробак" (worm), що блокував інтернет на кілька днів у листопаді 1988 p.

Використання фальшивої адреси. Кожен пакет IP містить у своєму заголовку поля, де записані адреса відправника (Source Address – SA) і адреса передбачуваного одержувача (Destination Address – DA).

Деякі додатки приймають пакети тільки від заздалегідь визначених хостів, перевіряючи адресу відправника. На жаль, більшість додатків ТСР/ІР дозволяють помістити в поле Source Address будь-яку адресу. Звичайно, для зв’язку з використанням стеку протоколів TCP/IP недостатньо тільки замінити адресу відправника. Зловмисник повинний також установити віртуальний канал з одержувачем, оскільки двом хостам необхідно погодити деякі параметри майбутнього обміну, наприклад синхронізувати один з одним початкові номери і черг (Initial Sequence Number – ISN). Проте завдяки особливостям реалізації протоколу TCP значення ISN може бути передбачено. Комбінуючи підміну IP-адреси джерела з передбачуваним ISN, зловмисник може одержати несанкціонований доступ до сервера.

Підміну адреси в полі Destination Address зловмисник може використати для перехоплення потоку даних „фальшивим" отримувачем.

Використання коротких фрагментів. Протокол IP розбиває довге повідомлення на фрагменти. Багато маршрутизаторів і фільтри аналізують коректність тільки першого з них, не розглядаючи наступні. Тому якщо перший фрагмент прийнятий, то й інші також приймаються, якщо перший буде відкинутий, то відкинуться і всі наступні, тобто відкинеться все повідомлення. Отже, якщо зловмиснику вдасться послати коротку дейтаграмму під виглядом фрагмента якогось повідомлення, то вона буде прийнята як частина деякого довгого повідомлення.

Вище наведено далеко не повний перелік потенційних „дір" стеку протоколів TCP/IP. Є й інші відомі його вразливі місця, які або можуть бути виправлені, або уже виправлені.

З Internet можна чекати різноманітних атак. Існують різні способи нападів, один з них – прослуховування. Прослуховування передбачає відслідковування інформації, якою обмінюються партнери. За замовчуванням комунікації в Internet є незахищеними. Звертаючись, наприклад, до поштового сервера, ви повідомляєте йому своє реєстраційне ім’я і пароль, які можуть бути перехоплені зловмисниками і використані ними.

Крім прослуховування комунікаційних каналів, можливе перехоплення інформації на основі аналізу електромагнітного випромінювання від пристроїв. Існує обладнання, що дозволяє скопіювати зображення на моніторі персонального комп’ютера, який знаходиться на відстані декількох сотень метрів.

Серед загроз, що існують в Internet, можна виділити такі:

– втрата цілісності даних за рахунок навмисного їх доповнення, зміни або знищення;

– порушення конфіденційності;

– DoS-напади (Denial of Servise), які приводять до того, що система відмовляє в обслуговуванні.

Найчастіше DoS-напади здійснюються не як пряма атака на сервіс, що планується вивести з ладу, а на інший, більш уразливий сервіс системи. При цьому ресурси системи відволікаються від надання послуг, надавання яких заплановано зірвати. Законні користувачі не можуть скористатися ресурсами, які повинні бути для них доступними.

Схема захисту від DoS-нападів передбачає блокування трафіку незаконних запитів. Наприклад, Web-сервер повинен ігнорувати запити, що надходять на всі порти крім порту 80, з яким працює протокол HTTP.

Наведений аналіз підтверджує необхідність захисту і постійного контролю границь будь-якої ІР-мережі.

Захищені мережеві і транспортні протоколи

Безпека прикладних програм, систем і мереж може бути досягнута за рахунок використання на різних рівнях архітектури захищених протоколів, які надають набір сервісів для автентифікації та шифрування. В стеку протоколів TCP/IP на мережевому рівні для захисту використовується протокол IPSec (Internet Protocol Security), на транспортному рівні протокол SSL (Secure Sockets Layer), остання версія якого відома як TLS.

Література до теоретичного курсу

1. Батюк А.Є. та ін. Інформаційні системи в менеджменті: Навч. посібник / Батюк А.Є., Двуліт З.П., Обельовська К.М., Огородник І.М., Фабрі Л.П. – Львів: Національний університет „Львівська політехніка”, „Інтелект-Захід”, 2004. – 520 с.

2. Вовчак І.С. Інформаційні системи та комп’ютерні технології в менеджменті. Навч. посібник. – Тернопіль: Карт-Бланш, 2001. – 354 с.

3. Гавриш Григорій. Витоку.net // Контракти. – 2006. - №14. – С.52-53.

4. Годин В.В., Корнеев И.К. Информационное обеспечение управленческой деятельности: Учебник. – М.: Мастерство; Высшая школа, 2001. – 240 с.

5. Гордієнко І.В. Інформаційні системи і технології в менеджменті: Навчально-методичний посібник для самостійного вивчення дисципліни. – 2-ге вид., перероб. і доп. – К.: КНЕУ, 2003. – 259 с.

6. Горфинкель В.Я., Торопцов В.С., Швандар В.А. Коммуникации и корпоративное управление: Учебное пособие. – М.: ЮНИТИ-ДАНА, 2005. – 127 с.

7. Гужва В.М., Постєвой А.Г. Інформаційні системи в міжнародному бізнесі: Навч. посібник. Вид. 2-ге, доп. і перероб. – К.: КНЕУ, 2002. – 458 с.

8. Доповідь Світового економічного форуму „Глобальні інформаційні технології – 2005” // Контракти. – 2006. - №14. – С.5.

9. Доповідь Світового економічного форуму „Глобальні інформаційні технології – 2005” // Контракти. – 2006. - №14. – С.5.

10. Дубчак Л.В. Інформаційні системи та технології на підприємствах: Навч. посібник / Нац. акад. держ. податкової служби України. – Ірпінь, 2006. – 83 с.

11. Журавлева О.Б., Крук Б.И., Соломина Е.Г. Управление Интернет-обучением в высшей школе. 2-е издание. М.: Горячая Линия – Телеком, 2007. – 224 с.

12. Закон України "Про захист інформації в інформаційно-телекомунікаційних системах" від 05.07.1994 № 80/94-ВР зі змінами і доповненнями N 2594-IV (2594-15) від 31.05.2005, ВВР, 2005, N 26, ст.347.

13. Закон України "Про інформацію" від 02.10.1992 № 2657-XII зі змінами і доповненнями N 2707-IV (2707-15) від 23.06.2005, ВВР, 2005, N 33, ст.429.

14. Закон України "Про науково-технічну інформацію" від 25.06.1993 № 3322-XII зі змінами і доповненнями N 1294-IV (1294-15) від 20.11.2003, ВВР, 2004, N 13, ст.181.

15. Закон України "Про телекомунікації" вiд 18.11.2003 № 1280-IV зі змінами і доповненнями N 580-V (580-16) від 11.01.2007.

16. Закон України „Про Концепцію Національної програми інформатизації” 4 лютого 1998 року N 75/98-ВР із змінами і доповненнями N 3421-IV (3421-15) від 09.02.2006 р., ВВР, 2006, N 22, ст.199.

17. Закон України „Про Національну програму інформатизації” від 4 лютого 1998 року N 74/98-ВР із змінами і доповненнями N 2684-III (2684-14) від 13.09.2001 р., ВВР, 2002, N 1, ст.3.

18. Закон України „Про Основні засади розвитку інформаційного суспільства в Україні на 2007-2015 роки” від 9.01.2007 р. N 537-V.

19. Згадзай О.Э., Казанцев С.Я., Оболенский Р.М.Правовое обеспечение информационной безопасности. 2-е изд. – М.: ACADEMIA, 2007. – 240 с.

20. Ивасенко А.Г. Информационные технологии в экономике и управлении: учебное пособие / А.Г. Ивасенко, А.Ю. Гридасов, В.А. Павленко. – 2-е изд., стер. – М.: КНОРУС, 2007. – 160 с.

21. Інформаційні системи в менеджменті: Навчальний посібник / Глівенко С.В., Лапін Є.В., Павленко О.О. та ін. – Суми: ВТД «Університетська книга», 2005. – 407 с.

22. Інформаційні системи і технології в економіці: Посібник для студентів вищих навч. закл. / За ред. Пономаренка В.С. – К.: Видавничий центр “Академія”, 2002. – 544 с.

23. Калянов Г.Н. Теория и практика реорганизации бизнес-процессов. – М.Синтег, 2000. – 212 с.

24. Ковалев Г.Д. Инновационные коммуникации: Учеб. пособие для вузов. – М.: ЮНИТИ-ДАНА, 2000.

25. Козырев А.А. Информационные технологии в экономике и управлении: Учебник. – 2-е изд. – СПб.: Изд-во Михайлова В.А., 2001. – 360 с.

26. Конахович Г.Ф. Защита информации в телекоммуникационных системах. – М.: МК-Прес, 2005. – 288 с.

27. Корнеев И.К., Ксандопуло Г.Н., Машурцев В.А. Информационные технологии. Учебник. – М.: Проспект, 2007. – 224 с.

28. Кричевский М.Л. Интеллектуальные методы в менеджменте. – СПб.: Питер, 2005. – 304 с.: ил.

29. Кузьмін О.Є., Георгіаді Н.Г. Формування і використання інформаційної системи управління економічним розвитком підприємства: Монографія. – Львів: Видавництво Національного університету "Львівська політехніка", 2006. – 368 с.

30. Лазарєва С.Ф. Економіка та організація інформаційного бізнесу: Навч. посібник. – К.: КНЕУ, 2002. – 667 с.

31. Ліпкан В.А., Максименко Ю.Є., Желіховський В.М. Інформаційна безпека України в умовах євро інтеграції: Навчальний посібник. – К.: КНТ, 2006. – 280 с.

32. Лысенко Ю.Г. Экономика и кибернетика предприятия: Современные инструменты управления: Монография. – Донецк: ООО "Юго-Восток, Лтд", 2006. – 356 с.

33. Маслов В.П. Інформаційні системи і технології в економіці: Навчальний посібник. – Київ: "Слово", 2003. – 264 с.

34. Матвієнко О.В. Основи інформаційного менеджменту: Навчальний посібник. – К.: Центр навчальної літератури, 2004. – 128 с.

35. Михеева Е.В., Титова О.И. Информационные технологии в профессиональной деятельности экономиста и бухгалтера. 2-е издание. – М.: ACADEMIA, 2007. – 208 с.

36. Новак В.О., Макаренко Л.Г., Луцький М.Г. Інформаційне забезпечення менеджменту: Навч. посіб. – К.: Кондор, 2006. – 462 с.

37. Пономаренко В.С., Журавльова І.В. Інформаційні технології в економіці: Навч. посібник / ХДЕУ. – Х., 2000. – 139 с.

38. Пономаренко В.С., Журавльова І.В., Туманов В.В. Основи захисту інформації: Навч. посібник. – Х.: ХДЕУ, 2003. – 175 с.

39. Пушкар М.С., Пушкар Р.М. Контролінг – інформаційна підсистема страте­гічного менеджменту: Монографія. – Тернопіль: Карт-Бланш, 2004. – 370 с.

40. Свердлов Ілля. Базар даних // Контракти. – 2006. - №14. – С.50-51.

41. Ситник В.Ф. Системи підтримки прийняття рішень: Навч. посіб. – К.: КНЕУ, 2004. – 614 с.

42. Скрипкин К. Экономическая эффективность ИС. – М.: ДМК-Пресс, 2002. – 256 с.

43. Твердохліб М.Г. Інформаційне забезпечення менеджменту: Навч. посібник. – Вид. 2-ге, доп. та перероб. – К.: КНЕУ, 2002. – 224 с.

44. Турчин С. Автоматизация управления предприятием… из «коробки» // Компьютерное обозрение. – 2001. - № 7. – С.16-23.

45. Черемных С.В. и др. Структурный анализ систем: IDEF-технологии / С.В.Черемных, И.О.Семенов, В.С.Ручкин. – М.: Финансы и статистика, 2003. – 208 с. – (Прикладные информационные технологии).

46. Шеннон К. Работы по теории информации и кибернетике. Сборник статей. Пер. с англ. – М.: Изд-во иностранной литературы, 1963. – 829 с.

47. Шепель В.М. Коммуникационный менеджмент. Учебное пособие. М.: ГАРДАРИКА, 2004. – 352 с.

НАВЧАЛЬНЕ ВИДАННЯ

Босак Андрій Остапович

Дата добавления: 2014-01-04; Просмотров: 1052; Нарушение авторских прав?; Мы поможем в написании вашей работы!