Сетевая безопасность. Базовые технологии безопасности. Технологии аутентификации

Федеральное агентство по образованию РФ

Федеральное государственное  образовательное учреждение

Высшего профессионального  образования

«ЮЖНЫЙ ФЕДЕРАЛЬНЫЙ УНИВЕРСИТЕТ»

 

Экономический факультет

Кафедра прикладной информатике  в экономике

 

 

КУРСОВАЯ РАБОТА

на тему: «Сетевая безопасность. Базовые технологии безопасности. Технологии аутентификации»

 

 

                                                                                                             Студентки 2 курса              

                                                                                                             специальности 080801

«Прикладная информатика

                                                                                                              (в экономике) »

                                                                                                              Ефимова В. Е.

 

                                                                                                             Научный руководитель:

                                                                                                             Пищик Л. А.

 

 

 

 

 

 

Ростов-на-Дону 2011

 

ВВЕДЕНИЕ_______________________________________________________3

1.Технические средства  сетевой безопасности__________________________5

2. Виртуальные локальные сети VLAN, Интранет______________________10

3. Система Firewall________________________________________________14

3.1 Эволюция угроз___________________________________________14

3.2 Защита от инсайдеров______________________________________15

3.3 IDS (Intrusion Detection System)______________________________17

3.4 Распознавание атак по аномальному поведению________________18

3.5 Методы противодействия вторжениям________________________20

3.6 Firewall___________________________________________________25

3.7 VLAN и VPN______________________________________________27

3.8 Распознавание авторов  злонамеренных почтовых сообщений_____31

4. Аутентификация в Интернет______________________________________33

4.1 Отсутствие аутентификации_________________________________33

4.2 Аутентификационные механизмы,  уязвимые для пассивных атак__33

4.3 Аутентификационные механизмы, уязвимые для активных атак___34

4.4 Аутентификационные механизмы, не уязвимые для пассивных атак_____________________________________________________________34

4.5 Криптография____________________________________________36

4.6 Аутентификация пользователя на ЭВМ________________________39

4.7 Аутентификация сетевых услуг______________________________39

ЗАКЛЮЧЕНИЕ__________________________________________________42

ЛИТЕРАТУРА___________________________________________________43

 

ВВЕДЕНИЕ

Актуальность темы. Концентрация информации в компьютерах, сетях  аналогична концентрации наличных денег в банках, что приводит к необходимости усиливать контроль защиты информации. Сегодня нетехнический специалист среднего уровня может выполнять работу, которую раньше делал высококвалифицированный программист. Служащий имеет в своем распоряжении огромное количество точной и оперативной информации. Но использование компьютеров и автоматизированных технологий приводит к появлению ряда проблем для руководства организацией. Компьютеры, объединенные в сети, могут предоставлять доступ к колоссальному количеству самых разнообразных данных.  Юридические и экономические вопросы, частная тайна, национальная безопасность — все эти вопросы требуют усиленного внутреннего контроля в коммерческих и правительственных организациях. Решения подобных вопросов привели к появлению и развитию такой дисциплины как безопасность информации. Специалисты в области безопасности информации отвечают за разработку, реализацию и эксплуатацию системы обеспечения информационной безопасности, направленной на поддержание целостности, пригодности и конфиденциальности накопленной и используемой в организации информации. В его функции входит обеспечение физической (технические средства, линии связи и удаленные компьютеры) и логической (данные, прикладные программы, операционная система) защиты информационных ресурсов.

Сложность создания системы  для защиты информации основывается на том, что данные могут быть похищены из компьютера и одновременно оставаться на месте; это связано с тем, что ценность некоторых данных заключается в обладании ими, а не в уничтожении или изменении.

Проблема защиты компьютерных сетей от несанкционированного доступа приобрела особую важность и  остроту. Развитие коммуникационных технологий позволяет строить сети распределенной архитектуры, которые объединяют большое количество сегментов, значительно удаленных друг от друга. Это приводит к увеличению числа узлов в сетях, разбросанных по всему миру, и количества различных линий связи между ними, что, в свою очередь, приводит к повышению риска несанкционированного подключения к сети для доступа к важной информации. Особенно болезненной такая перспектива может оказаться для банковских или государственных структур, обладающих секретной информацией коммерческого или любого другого характера. В результате, становится необходимым обеспечивать специальные средства идентификации пользователей в сети, обеспечивающие доступ к информации лишь в случае полной уверенности в наличии у пользователя прав доступа к ней.

Цель  работы: рассмотреть проблемы обеспечения безопасности в сетях, на основе имеющихся технологий.

Объектом  работы: являются базовые технологии обеспечения безопасности информации в сетях.

Информационно-эмпирическая база сформирована на основе официальных данных представленных в открытой печати, а также результаты исследований, посвященных различным вопросам обеспечения информационной безопасности в сетях. 

 

 

 

 

 

 

 

 

1.Технические  средства сетевой безопасности

Основу стабильности сети составляют надежность ЭВМ и сетевого оборудования, а также устойчивость каналов связи. Каналы связи, в особенности проводные каналы, являются наиболее устаревшими. Прежде необходимо обеспечить правильная конфигурация узла, разумное распределение ответственности и качество сетевого питания (стабильность напряжения и частоты, амплитуда помех). Для решения последней проблемы используют специальные фильтры, мотор-генераторы и UPS (Uninterruptable Power Supply). Выбор того или иного решения зависит, главным образом, от конкретных условий, но для серверов использование UPS крайне желательно (для сохранности дисковой системы). При снижении напряжения сети переменного тока ниже определенного уровня, UPS (около 208v) отключает потребителя от сети и осуществляет питание ЭВМ от ~220v, получаемого от аккумулятора самого UPS. Учитывая нестабильность напряжения сети в России, можно считать полезным применение активных стабилизаторов на входе UPS.

При выборе UPS нужно учесть суммарную потребляемую мощность оборудования, подключаемого к источнику питания, и время, в течение которого UPS способен работать без напряжения в сети. При этом главная задача UPS заключается в обеспечение завершения операций обмена с диском до того, как произойдет полное обесточивание сервера, или когда будет произведено переключение на резервный канал питания. Это возможно при использование специального интерфейса и соответствующего программного обеспечения, работающего согласно протокола SNMP (см. рис. 1.1).

Рис. 1.1  Схема подключения UPS.

При исчезновении первичного напряжения ~220V спустя некоторое время UPS выдает сигнал shutdown вычислительной машине. Современный UPS может контролировать не только напряжение питание, но температуру окружающей среды, своевременно осуществляя спасение жизненно важных файлов до наступления чрезмерного перегрева системы. При этом значение напряжения питания и температуры можно считывать с использованием протокола SNMP. Некоторые продвинутые системы автономного питания допускают подключение агентов SNMP непосредственно к локальной сети, что открывает дополнительные возможности дистанционного управления и мониторинга.

Указанный интерфейс обеспечит  блокировку начала новых операций обмена или выполнит shutdown, если напряжение в сети упало ниже допустимого уровня. К UPS не следует подключать дисплеи (эти приборы не столь критичны к питанию, как диски и оперативная память) и принтеры (лазерные принтеры запрещено подключать к UPS из-за мощных печек, входящих в состав этих приборов). Сетевые фильтры являются желательными компонентами при работе с любыми ЭВМ, так как сеть в России сильно засорена высокочастотными помехами.

Создавая сеть, следует  сразу закладывать некоторые  элементы, которые обеспечивают безопасность. В связи с этим, прокладку сетевых кабелей желательно производить в металлических коробах или трубах, что сделает подключение к ним более затруднительным. Повторители и концентраторы нужно размещать в запираемых шкафах. Некоторые концентраторы контролируют MAC-адреса пакетов. Такое оборудование позволяет блокировать порт, если обнаруживаются пакеты с неизвестным MAC-адресом, а также выявлять случаи подключения одного и того же MAC-адреса к разным портам. Определенную угрозу сетевой безопасности может представлять возможность присвоение хакером “чужого” MAC-адреса своей сетевой карте. Современные концентраторы запрещают подключенному к порту узлу передавать кадры с MAC-адресом, не совпадающим с определенным администратором для данного порта. Это обеспечивает дополнительную надежность канального уровня.

Активные разработки в  последнее время ведутся в  области систем идентификации, базирующихся на распознавания отпечатков пальцев, ладони, подписи, голоса или радужки глаз. Для этих целей используются новейшие достижения в области быстрых Фурье-преобразований, нейронных сетей и пр. В качестве вводных устройств используются оптические сканеры, а также резистивные экраны. Для ввода подписи служат специальные планшеты , а также изощренные методы сравнения и установления идентичности. К числу таких устройств относятся также генераторы разовых ключей доступа и карты доступа. В последнее время в этот ряд встали и мобильные телефоны, позволяющие идентифицировать владельца (здесь имеются в виду многопараметрические системы аутентификации).

Так как современные системы  шифрования предполагают использование  довольно трудоемких вычислений, которые  значительно замедляют процесс, разрабатываются специальные микросхемы. Такие системы могут использоваться, например, в VPN. При этом ключи могут быть как встроенными, так и внешними. В некоторых особо важных случаях применяется криптографическая защита всего диска FDE (Full Disc Encription) на самой машине.

Так как абсолютная надежность недостижима, одним из средств сохранения информации является дублирование носителей (напр. дисков), копирование и сохранение копий в надежном месте. Конечно, ленты типа Exabyte емкостью 2.5-10Гбайт (2000 год) еще достаточно широко используются, высокая стоимость таких накопителей ограничивает их применимость (да и скорость записи на них оставляет желать лучшего). Альтернативой им могут стать накопители с перезаписываемыми DVD, где стоимость устройства несколько ниже. Также становится все более распространенным дублирование информации на независимом жестком диске. Это может произойти при широком внедрении компактных жестких дисков емкостью 1 Тбайт и более (появились в 2009 году).

В то же время, мало периодически выполнять резервное копирование носителей, хранящих существенную информацию. Важно разумно организовать сохранность этих копий. Даже если они хранятся в суперсейфе в том же помещении, что и сервер ваша система резервного копирования уязвима в случае пожара или залива помещения водой. По этой причине резервные копии желательно хранить в другом здании. Другой важной стороной работы с резервными копиями является свод правил доступа к ним и методов использования. Важно, чтобы резервные копии с конфиденциальными данными не могли попасть в чужие руки. Для конфиденциальной информации должен действовать строгий запрет резервного копирования на носитель рабочей станции при знакомстве с документом. Это с неизбежностью приведет к неконтролируемому распространению конфиденциальных данных. Одним из путей повышения безопасности является криптографическая защита данных.

Повысить уровень безопасности может географическая привязка машин, содержащих конфиденциальную информацию (GPS).

Объем копируемых данных растет каждый год.  Объемы резервных копий в крупных вычислительных центрах порой превышают петабайт. Но в любых центрах многие файлы хранятся в разных машинах, а иногда и на одной машине можно обнаружить несколько копий одного и того же файла. Система резервного копирования, исключающая дублирование, может существенно поднять эффективность системы копирования. Распознавание файлов осуществляется с помощью контрольных сумм (MD5 - 128 бит и SHA-1 - 160 бит). Разные программные продукты используют различные алгоритмы распознавания файлов. Дедубликация материала позволяет сэкономить объем на носители в 14-18 раз. При этом удается сократить и время копирования до двух раз.

Одним из направлений резервного копирования является SaaS (Software as a Service). В этой схеме резервное копирование производится удаленно, а все файлы шифруются с помощью ключа владельца, так что их несанкционированное прочтение не возможно. Этот метод формирования backup становится новым направлением ИТ-бизнеса, который позволяет более экономно использовать ресурсы как клиента, так и фирмы, которая предоставляет услуги.

В последнее время широкое  распространение получают панели касания, способные распознавать людей по отпечатку пальца или ладони. Сходные  устройства используются для непосредственного  ввода подписи клиента (устройство типа планшет, иногда совмещаемое с  дисплеем) и сверки ее с имеющимся  образцом.

К аппаратным средствам безопасности можно отнести внедрение NX-бит (флагов - не исполнять), в процессорах, которые  после загрузки ОС препятствуют модификации текста программы. Этот прием делает менее вероятной атаку типа переполнения буфера.