Автор работы: Пользователь скрыл имя, 08 Апреля 2012 в 09:00, курсовая работа
В качестве объекта защиты я брала офис крупной нефте-газовой корпорации по двум причинам:
во-первых, я имела возможность получить некоторую информацию о нем;
во-вторых, такой объект защиты показался мне очень интересным.
Защита информации на каком-либо объекте это комплекс самых разнообразных мер, которые очень тесно связаны между собой. Каждая из них очень важна, потому что прочность цепи, как известно равна прочности самого слабого ее звена.
Вступление………………………………………………………………………...3
Список используемых терминов и обозначений………………………………..4
Часть І. Теория…………………………………………………………………….6
Основные понятия, термины и определения……………………………..6
Информация и информационные отношения. Субъекты информационных отношений, их безопасность…...6
Определение требований к защищенности информации………...10
Комплексные меры по защите информации……………………………13
Принцип «слабейшего звена»……………………………………...13
Экономическая целесообразность защиты………………………..13
Категоризация информации ……………………………………….14
Комплекс мер защиты………………………………………………15
Часть ІІ. Практика………………………………………………………………..19
Объект……………………………………………………………………...19
Физическая защита. Защита серверной комнаты……………………….21
Организационная защита…………………………………………………24
Реализация политики безопасности………………………………25
Программная защита……………………………………………………...33
Безопасная настройка FreeBSD…………………………………...35
Атрибуты файла и файловой системы…………………………...47
Способы защиты от флуда и DDoS атак…………………………47
Другие средства защиты…………………………………………..51
Вывод……………………………………………………………………………..52
Литература……………………………………………………………………….53
файлы обычно обновляются редко и желательно знать обо всех случаях,
когда это необходимо.
Securelevel
Ядро BSD поддерживает такую функцию, как securelevel. Securelevel - это уровень защиты, который использует ядро.
# man 8 init
Ядро работает с четырьмя другими уровнями безопасности. Любой процесс суперпользователя может увеличить уровень безопасности, но только init может уменьшить его. Уровни безопасности:
-1 Небезопасный режим. Лучше его не использовать.
0 Небезопасный режим. Флаги невозможности изменения и добавления могут быть выключены. Со всеми устройствами можно производить операции записи и чтения
1 Безопасный режим. Диски для монтирования файловых систем, устройства /dev/mem и /dev/kmem могут быть закрыты для записи.
2 Очень безопасный режим. Тоже, что и безопасный режим. Кроме того: диски закрыты от записи (исключая команду mount(2)) вне зависимости от того смонтированы они или нет. Этот уровень предотвращает подделку файловых систем с помощью их демонтирования и выполнение команды newfs(8) в многопользовательском режиме.
Если уровень безопасности первоначально -1, то init оставит это неизменным. В противном случае, init установит уровень 0 для однопользовательского режима и уровень 1 для многопользовательского режима. Если нужен уровень 2 - то его можно устанавить в однопользовательском режиме, например, в сценарии запуска /etc/rc, используя sysctl(8).
Чтобы изменить securelevel:
# sysctl -w kern.securelevel=X где X - 0, 1 или 2.
Файл /boot.config может использоваться, чтобы изменить ядро, используемое при загрузке. Для того, чтобы это было невозможно сделать, следует сделать следующее:
# touch /boot.config
# chflags schg /boot.config
Хорошо также выполнить команду chflags schg для директорий /sbin и /bin. Это сделает более трудным доступ к "черным ходам" в системе (особенно при использовании securelevel).
# chflags schg /bin/*
# chflags schg /sbin/*
Поскольку /sbin может быть перемещен и после этого создан новый /sbin, следует провести туже самую операцию над каталогами:
# chflags schg /bin; chflags schg /sbin
net.inet.tcp.blackhole=2
net.inet.udp.blackhole=1
Это превращает машину в черную дыру при попытке подключиться к портам, которые не слушают. Nmap по настоящему не любит это.
Основной из самых популярных атак остается SYN флуд, при которой очередь сокета атакуемого хоста переполняется некорректными попытками соединений. Для защиты от таких атак некоторые из UNIX поддерживают отдельные очереди для входящих запросов на соединение. Одна очередь для полуоткрытых сокетов (SYN получен, SYN|ACK послан), другая очередь для полностью открытых сокетов, ждущих вызова accept() от программы. Эти две очереди должны быть увеличены, чтобы атаки малой и средней интенсивности почти не влияли на стабильность и доступность сервера.
kern.ipc.somaxconn=1024
Атакующий может использовать IP redirect для изменения таблицы марщрутизации на удаленном хосте. В хорошо разработанной сети редиректы на конечные станции не должны требоваться. Оба - отправка и принятие редиректов должны быть отключены.
net.inet.icmp.drop_redirect=1
net.inet.icmp.log_redirect=1
net.inet.ip.redirect=0
net.inet6.ip6.redirect=0
На размер буфера приема и передачи TCP напрямую влияет параметр размера TCP окна. Увеличенный размер окна позволит более эффективно передавать данные, особенно при интенсивной передаче, такой как FTP и HTTP. Значение по умолчанию не является оптимальным и должно быть увеличено до 32768 байт. Это значение не должно быть более 64Кб, если вы не знаете об ограничениях RFC1323 и RFC2018, и если нет поддержки с обеих сторон.
FreeBSD:
sysctl -w net.inet.tcp.sendspace=32768
sysctl -w net.inet.tcp.recvspace=32768
Очистка ARP:
Существует возможность, что атакующий создаст нехватку ресурсов или уменьшение производительности заполнив кэш маршрутизации IP с помощью неправильных записей в ARP таблице. Этот параметр рекомендуется выставить в 20 минут по умолчанию.
FreeBSD:
sysctl -w net.link.ether.inet.max_age=
Маршрутизация отправителя:
С помощью маршрутизации отправителя атакующий может попытаться достигнуть внутренние IP адреса, включая адреса RFC1918. Важно отключить принятие пакетов маршрутизации отправителя для предотвращения незаметных проб вашей внутренней сети.
FreeBSD:
sysctl -w net.inet.ip.sourceroute=0
sysctl -w net.inet.ip.accept_
Установка TIME_WAIT
На загруженном web сервере многие сокеты могут задерживаться в состоянии TIME_WAIT. Это вызвано неправильно написанными клиентскими программами, которые неправильно закрывают сокеты. Это так же может быть использовано для DDoS атак. Нет рекомендаций по настройке.
Ответ на широковещательный ECHO.
Эти атаки работают с помощью отправки сообщения ICMP 8 0 (запрос ECHO) на широковещательный адрес с фальшивого адреса. Некоторые стеки IP ответят по умолчанию на такие сообщения. Это должно быть отключено. Более того, если хост является фаерволом или раутером, то он не должен пропускать проямые широковещательные запрсы.
FreeBSD:
sysctl -w net.inet.icmp.bmcastecho=0
Другие пробы с помощью широковещания:
Существуют 2 вида проб. Запрос маски адреса может быть использован для определения размера блока сети и установки диапазона для дальнейших проб. Широковещательный запрос временного штампа (timestamp) - еще одно средство выявления хостов и определения их операционных систем (fingerprinting)
FreeBSD:
sysctl -w net.inet.icmp.maskrepl=0
В настоящее время информционная безопасность – одна из актуальных проблем, стоящих не только перед коммерческими предприятиями, но и почти перед каждым человеком, который живущим в современном обществе. В наше время повсеместной автоматизации, доступ злумышленников к некоторым АС может привести поистине к катастрофическим последствиям. Поэтму защите надо уделять очень большое внимание.
К сожалению абсолютной защиты не существует. Обход тех или иных средств защиты вопрос только времени, денег и желания. Поэтому при разработке защиты необходимо учитывать ценность защищаемого объекта. Нельзя также останавливаться на достигнутом. Практически совершенная защита сегодня завтра может превратиться лишь в небольшую помеху на пути злоумышленников.
Я разработала систему безаопасности для одного из оффисов компании «British Petrolium». Действуя в соотвеветствии с принципом слабого звена я постаралась охватить все аспекты безопасности, но в связи с очень большим объемом работы, мне пришлось бы писасть книгу, если бы я охватила дествитительно все то что стоит вниманимя.
В процессе работы над курсовой работой я познакомилась с замечательной операционной системой FreeBSD, корая предоствляет очень широкие возможности по защите информации. Думаю, это одна из лучших ОС, к которой легко получить доступ всилу ее бесплатности.
2