Функции безопасности в компьютерных сетях

Лекция 24 Обеспечение безопасности информации в лвс

В вычислительных сетях сосредотачивается информация, исключитель­ное право на пользование которой принадлежит определенным лицам или группам лиц, действующим в соответствии с должностными обязанностями. Такая информация должна быть защищена от всех видов постороннего вме­шательства: чтения лицами, не имеющими права доступа к информации, и преднамеренного изменения информации. К тому же в вычислительных се­тях должны приниматься меры по защите вычислительных ресурсов и средств связи от их несанкционированного использования, то есть должен быть исключен доступ к сети лиц, не имеющих на это права. Физическая за­щита системы и данных может осуществляться только в отношении рабочих компьютеров и узлов связи и оказывается невозможной для средств передачи, имеющих большую протяженность. По этой причине должны использоваться средства, исключающие несанкционированный доступ к данным и обеспечивающие их секретность.

Исследования практики функционирования систем обработки данных и вычислительных сетей показали, что существует много возможных направ­лений утечки информации и путей несанкционированного доступа в систе­мах и сетях. В их числе:

• чтение остаточной информации в памяти системы после выполнения санкционированных запросов;
• копирование носителей информации и файлов информации с преодо-­ лением мер защиты;
• маскировка под зарегистрированного пользователя;
• маскировка под запрос системы;
• использование программных ловушек;
• использование недостатков операционной системы;
• незаконное подключение к аппаратуре и линиям связи;
• злоумышленный вывод из строя механизмов защиты;
• внедрение и использование компьютерных вирусов и др.

• ограничение доступа в помещения, в которых происходит подготов­ка и обработка информации;
• допуск к обработке и передаче конфиденциальной информации только проверенных должностных лиц;
• хранение магнитных носителей и регистрационных журналов в за­крытых для доступа посторонних лиц сейфах;
• исключение просмотра посторонними лицами содержания обрабаты­ваемых материалов на дисплее, принтере, в распечатках и т.д.;
• использование криптографических кодов при передаче по каналам связи ценной информации;
• уничтожение красящих лент от принтеров, бумаги и иных материа­лов, содержащих фрагменты ценной информации.

• осуществление питания оборудования, обрабатывающего ценную информацию от независимого источника питания или через специальные се­тевые фильтры;
• установка на дверях помещений кодовых замков;
• использование для отображения информации при вводе/выводе жид­кокристаллических или плазменных дисплеев, а для получения твердых ко­пий — струйных или термопринтеров, поскольку дисплей с ЭЛТ дает такое высокочастотное излучение, что его изображение с экрана можно принимать на расстоянии нескольких сотен метров;
• уничтожение информации, хранящейся в ПЗУ и на магнитных дис­ках, при списании или отправке их в ремонт;
• установка клавиатуры и принтеров на мягкие прокладки с целью снижения возможности снятия информации акустическим способом;
• охрана территорий и помещений с помощью экранирования машин­ных залов металлическими листами, установки систем наблюдения и органи­зации контрольно-пропускных систем.

• контроля доступа к различным уровням памяти компьютеров;
• блокировки данных и ввода ключей;
• выделения контрольных битов для записей с целью идентификации.

• контроль безопасности, в том числе контроль регистрации вхожде­ния в систему, фиксацию в системном журнале, контроль действий пользова­теля;
• реакцию (в том числе звуковую) на нарушение системы защиты кон­троля доступа к ресурсам сети;
• контроль мандатов доступа;
• формальный контроль защищенности операционных систем (базовой общесистемной и сетевой);
• контроль алгоритмов защиты;
• проверку и подтверждение правильности функционирования техни­ческого и программного обеспечения.

• некоторые программы перестают работать или работают не корректно;
• на экран выводятся посторонние сообщения, символы, рисунки и т.д.;
• работа компьютера существенно замедляется;
• некоторые файлы или файловая система полностью оказываются ис-­ порченными и т.д.

• подтверждение подлинности того, что объект, который предлагает се­- бя в качестве отправителя информации в сети, действительно им является;
• целостность информации, выявляя искажения, вставки, повторы и уничтожение данных, передаваемых в сетях, а также последующее восста-­ новление данных;
• секретность всех данных, передаваемых по каналам вычислительной системы;
• нейтрализацию попыток несанкционированного использования вы­ числительных ресурсов. При этом контроль доступа может быть либо изби­- рательным, то есть распространяться только на некоторые виды доступа к ресурсам, например, на обновление информации в базе данных, либо пол-­ ным;

• нейтрализацию угрозы отказа от информации со стороны ее отправи-­ теля и/или получателя;
• получателя информации доказательствами, которые исключают по­ пытки отправителя отрицать факты передачи указанной информации или ее содержания.

Источник

7. Функции обеспечения безопасности и ограничения доступа к сети

На сегодняшний день, для любого системного администратора одной из самых острых проблем остается обеспечение безопасности компьютерной сети. Казалось бы, такие задачи призваны решать межсетевые экраны, однако подчас первый удар принимают на себя именно коммутаторы. Хотя это и не основная их задача, тем не менее, на данный момент коммутаторы обладают широким функционалом для успешного решения подобного рода задач. Речь идет не только о защите сетей от атак извне, но и о всевозможных атаках внутри сети, таких как подмена DHCP-сервера, атаки типа DoS, ARP Spoofing, неавторизованный доступ и т.д. В некоторых случаях коммутаторы не способны полностью защитить сеть от подобного рода атак, но способны значительно ослабить угрозы их возникновения.

D-Link предлагает комплексный подход к решению вопросов обеспечения безопасности End-to-End Security (E2ES), который включает в себя следующие решения:

• Endpoint Security (Защита конечного пользователя) –обеспечивает защиту внутренней сети от внутренних атак.
• Gateway Security (Защита средствами межсетевых экранов) – обеспечивает защиту внутренней сети от внешних атак.
• Joint Security (Объединенная безопасность) – связующее звено между Endpoint и Gateway Security, объединяющее использование межсетевых экранов и коммутаторов для защиты сети.

Решение Endpoint Security включает следующие функции, обеспечивающие аутентификацию и авторизацию пользователей, контроль над трафиком, узлами и их адресацией в сети.

1. Функции аутентификации пользователей:
   • аутентификация IEEE 802.1x;
   • MAC-based Access Control (MAC);
   • WEB-based Access Control (WAC).
2. Функции авторизации:

1. Функции контроля над трафиком:
   • Traffic Segmentation;
   • Access Control List (ACL).
2. Функции контроля над подключением/адресацией узлов в сети:
   • Port Security;
   • IP-MAC- Port Binding (IMPB).
3. Функции ослабления атак в сети:
   • Access Control List (ACL);
   • IP-MAC- Port Binding (IMPB);
   • Broadcast Storm Control;
   • ARP Spoofing Prevention;
   • LoopBack Detection (LBD).

Решение Joint Security включает в себя функции:

Помимо основных функций безопасности, в коммутаторах D-Link реализованы дополнительные решения, позволяющие обнаруживать аномальные потоки кадров в сети Ethernet и уменьшать загрузку ЦПУ в результате множественных широковещательных запросов, вызванных атаками типа ARP Flood:

Аутентификация – процедура проверки подлинности субъекта, на основе предоставленных им данных.

Авторизация — предоставление определенных прав лицу на выполнение некоторых действий.

Как правило, за аутентификацией следует авторизация.

7.1.1 Профили доступа и правила acl

Списки управления доступом состоят из профилей доступа (Access Profile) и правил (Rule). Профили доступа определяют типы критериев фильтрации, которые должны проверяться в пакете (MAC-адрес, IP-адрес, номер порта, VLAN и т.д.), а в правилах непосредственно указываются значения их параметров. Каждый профиль может состоять из множества правил. Когда коммутатор получает пакет, он проверяет его поля на совпадение с типами критериев фильтрации и их параметрами, заданными в профилях и правилах. Последовательность, в которой коммутатор проверяет пакет на совпадение с параметрами фильтрации, определяется порядковым номером профиля (Profile ID) и порядковым номером правила (Rule ID). Профили доступа и правила внутри них работают последовательно, в порядке возрастания их номеров. Т.е. пакет проверяется на соответствие условиям фильтрации, начиная с первого профиля и первого правила в нем. Так пакет сначала будет проверяться на соответствие условиям, определенным в правиле 1 профиля 1. Если параметры пакета не подходят под условия проверки, то далее пакет будет проверяться на совпадение с условиями, определенными в правиле 2 профиля 1 и т.д. Если ни одно из правил текущего профиля не совпало с параметрами пакета, то коммутатор продолжит проверку на совпадение параметров пакета с условиями правила 1 следующего профиля. При первом совпадении параметров пакета с правилом, к пакету будет применено одно из действий, определенных в правиле: «Запретить», «Разрешить» или «Изменить содержимое поля пакета» (приоритет 802.1р / DSCP). Дальше пакет проверяться не будет. Если ни одно из правил не подходит, применяется политика по умолчанию, разрешающая прохождение всего трафика.

Типы профилей доступа

В коммутаторах D-Link существует три типа профилей доступа: Ethernet, IP и Packet Content Filtering (фильтрация по содержимому пакета).

Профиль Ethernet (Ethernet Profile) позволят фильтровать пакет по следующим типам критериев:

Профиль IP (IP Profile) поддерживает следующие типы критериев фильтрации:

• протокол (ICMP, IGMP, TCP, UDP);

Профиль фильтрации по содержимому пакета (Packet Content Filtering Profile) используется для идентификации пакетов, путем побайтного исследования их заголовков Ethernet.

Источник