Защита локальных и глобальных компьютерных сетей

8.4. Защита информации в глобальных и локальных сетях

Защита информации, передаваемой по каналам удаленного доступа, требует особого подхода. В мостах и маршрутизаторах удаленного доступа применяется сегментация пакетов — их разделение и передача параллельно по двум линиям, — что делает невозможным «перехват» данных при незаконном подключении «хакера» к одной из линий. Используемая при передаче данных процедура сжатия передаваемых пакетов гарантирует невозможность расшифровки «перехваченных» данных.

В настоящее время разработаны специальные устройства контроля доступа к вычислительным сетям по коммутируемым линиям.

Прямое отношение к теме безопасности имеет стратегия создания резервных копий и восстановления баз данных. Обычно эти операции выполняются в нерабочее время в пакетном режиме.

Применительно к средствам защиты от несанкционированного доступа (НСД) определены семь классов защищенности (1-7) средств вычислительной техники (СВТ) и девять классов (1А,1Б,1В,1Г,1Д,2А,2Б,3А,3Б) автоматизированных систем (АС). Для СВТ самым низким является седьмой класс, а для АС — 3Б.

Рассмотрим основные направления защиты в компьютерных сетях.

Угроза удаленного администрирования

Под удаленным администрированием понимается несанкционированное управление удаленным компьютером. Удален­ное администрирование позволяет брать чужой компьютер под свое управление. Это может позволить копировать и модифицировать имеющиеся на нем данные, устанавливать на нем произвольные программы, в том числе и вредоносные, исполь­зовать чужой компьютер для совершения преступных действий в Сети «от его имени».

Для эффективной защиты от удаленного администрирования необходимо пред­ставлять себе методы, которыми оно достигается. Таких методов два. Первый метод — установить на компьютере «жертвы» программу (аналог сервера), с которой зло­умышленник может создать удаленное соединение в то время, когда «жертва» нахо­дится в Сети. Программы, используемые для этого, называются троянскими. По своим признакам они в значительной степени напоминают компьютерные вирусы. Для защиты от них следует ограничить доступ посторонних лиц к сетевым компьютерам. Доступ закры­вается обычными административными способами (физическое ограничение доступа, парольная защита и т. п.).

Читайте также:  Топология сети представляет собой общий кабель к которому подсоединены все рабочие станции

Второй метод удаленного администрирования основан на использовании уязвимостей (ошибок), имеющихся в программном обеспечении компьютерной системы партнера по связи. Программы, используемые для эксплуатации уязвимостей компьютерных систем, называются эксплоитами. Обычно их атакам подвергаются серверы. Для защиты используются специально выделенные компью­теры или программы, выполняющие функцию межсетевых экранов (щитов). Такие средства также называют брандмауэрами (firewall). Такая программа не позволяет про­сматривать извне состав программного обеспечения на сервере и не пропускает несанкционированные данные и команды.

Угроза активного содержимого

Активное содержимое — это активные объекты, встроенные в Web-страницы. В отличие от пассивного содержимого (текстов, рисунков, аудиоклипов и т. п.), активные объекты включают в себя не только дан­ные, но и программный код. Агрессивный программный код, попавший на компью­тер «жертвы», способен вести себя как компьютерный вирус или как агентская программа.

Если предположить, что потребитель ни на какие заманчивые предложения сервера не соглашается, то тогда опасными активными объектами и сценариями для него остаются только апплеты Java, элементы ActiveX, сценарии JavaScript и VBScript. Для защиты необходимо оценить угрозу своему компьютеру и, соответ­ственно, настроить браузер так, чтобы опасность была минимальна. Если никакие ценные данные или конфиденциальные сведения на компьютере не хранятся, защиту можно отключить и просматривать Web-страницы в том виде, как предпо­лагал их разработчик. Если угроза нежелательна, прием Java-апплетов, элементов ActiveX и активных сценариев можно отключить. Компромиссный вариант – в каждом конкретном случае запрашивать разрешение на прием того или иного актив­ного объекта.

Угроза перехвата или подмены данных на путях транспортировки

С проникно­вением Интернета в экономику очень остро встает угроза перехвата или подмены данных на путях транспортировки. Одновременно с потребностью в защите данных возникает потребность в удостоверении (иденти­фикации) партнеров по связи и подтверждении (аутентификации) целостности данных. Методы защиты – криптографические методы.

Читайте также:  Направление компьютерные сети что это

Кроме того, через Интернет передаются файлы программ. Подмена этих файлов на путях транспортировки может привести к тому, что вместо ожидаемой программы клиент получит ее аналог с «расширенными» свойствами.

Методы защиты – антивирусные программы, организационные мероприятия.

Угроза вмешательства в личную жизнь

В основе этой угрозы лежат коммерческие интересы рекламных организаций. В жела­нии увеличить свои доходы от рекламы множество компаний организуют Web-узлы не столько для того, чтобы предоставлять клиентам сетевые услуги, сколько для того, чтобы собирать о них персональные сведения. Эти сведения обобщаются, классифицируются и поставляются рекламным и маркетинговым службам. Про­цесс сбора персональной информации автоматизирован, не требует практически никаких затрат и позволяет без ведома клиентов исследовать их предпочтения, вкусы, привязанности.

При посещении почти любых Web-страниц нам на глаза попадаются рекламные объявления (их называют баннерами). При их приеме браузер устанавливает связь с их владельцем (с рекламной системой) и незаметно для пользователя регистрируется в этой системе. Мы можем не обращать внимания на эту рекламу и никогда ею не пользоваться, но, переходя от одной Web-страницы к другой, мы создаем свой пси­хологический портрет (он называется профилем). По характеру посещаемых Web-узлов и Web-страниц удаленная служба способна определить пол, возраст, уро­вень образования, род занятий, круг интересов, уровень благосостояния и даже характер заболеваний лица, которое никогда к ней не обращалось. Достаточно хотя бы один раз зарегистрироваться где-то под своим именем и фамилией, и ранее собранные абстрактные сведения приобретают вполне конкретный характер — так обра­зуются негласные персональные базы данных на участников работы в Сети.

Сопоставляя данные по разным людям или по одним и тем же людям, но получен­ные в разное время, следящие системы получают профили не только на отдельных лиц, но и на коллективы: семьи, рабочие группы, предприятия. Полученные дан­ные могут использоваться как легально, так и нелегально.

Читайте также:  Работа корпоративной компьютерной сети

Наиболее простым и очевидным источ­ником для сбора сведений об активности клиентов Интернета являются маркеры cookie. Они используются для регистрации браузера пользователя на сервере.

Маркеры могут быть временными и постоянными. Временный маркер хранится в оперативной памяти до тех пор, пока браузер работает. По окончании его работы все временные маркеры, полученные от серверов, уничтожаются.

Постоянные маркеры обрабатываются иначе. Когда браузер завершает работу, все постоянные маркеры, накопившиеся в оперативной памяти, переносятся на жест­кий диск в виде файлов cookie. Так происходит маркировка жесткого диска, а можно сказать, что не только его, а вообще компьютера клиента. При последующих выхо­дах в Интернет в момент запуска браузера происходит считывание накопившихся маркеров cookie в оперативную память, откуда браузер предъявляет их серверам, которые их поставили.

Физической угрозы маркеры cookie компьютеру не представляют — это файлы дан­ных, которые не являются программным кодом и потому безвредны в смысле несанк­ционированных действий. Но они представляют угрозу в смысле вмешательства в личную жизнь. Большинство браузеров имеют специальные средства настройки защиты от cookie.

Кроме маркеров cookie источни­ком для сбора сведений о клиентах Сети является информация, легально постав­ляемая браузером. Во время связи по протоколу HTTP браузер сообщает свое назва­ние, номер версии, тип операционной системы компьютера клиента и URLадрес Web-страницы, которую клиент посещал в последний раз.

Кроме этого, у серверов есть приемы, позволяющие в некоторых случаях получить адрес электронной почты клиента, хотя эти приемы используют только негласно и потому правовой режим их сомнителен.

Еще одним источником персональной информации являются так называемые актив­ные сценарии JavaScript (Java-скрипты).

Источник

Оцените статью
Adblock
detector