12_Безопасность_2016 (1130342), страница 5

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 5)

Смелянский Р.Л.09.05.2016103Протокол Диффи-Хеллманаустановления общего секретного ключаn,g – простые числаВведение в компьютерные сетипроф. Смелянский Р.Л.09.05.2016104Установка общего ключа• Как А и В могут установить общий секретныйключ?o Протокол обмена ключом Диффи-Хеллманаo Например, n=47, g=3, x=8, y=10, то А шлет Всообщение (47,3,28), поскольку 38mod47 = 28. Вшлет А (17). А вычисляет 178mod47 = 4, Bвычисляет 2810mod47 = 4. Ключ установлен – 4!o Атака - чужой в середине.Введение в компьютерные сетипроф. Смелянский Р.Л.09.05.2016105Атака чужой в серединеВведение в компьютерные сетипроф.

Смелянский Р.Л.09.05.2016106Проверка подлинности через центрраздачи ключейВведение в компьютерные сетипроф. Смелянский Р.Л.09.05.2016107Через центр раздачи ключей• Ат ака подменойo Против такой атаки есть несколько решений:• временные мет ки.• разовые мет ки.• Протокол Нидхема-Шредера.o Опасность если злоумышленник раздобудет всетаки старый ключ сессии, то он сможетподменить сообщение 3 старым и убедить В, чтоэто А!• Протокол Отвей и Риис.Введение в компьютерные сетипроф.

Смелянский Р.Л.09.05.2016108Взаимная аутентификация наоснове открытых ключейВведение в компьютерные сетипроф. Смелянский Р.Л.09.05.2016113Электронная подпись• Проблема электронного аналога для ручнойподписи весьма сложна. Нужна система, котораяпозволяла одной стороне посылать “подписанный”документ другой стороне так, чтобыo Получатель мог удостовериться в подлинностиотправителя;o Отправитель позднее не мог отречься отдокумента;o Получатель не мог подделать документ.Введение в компьютерные сетипроф. Смелянский Р.Л.09.05.2016114Электронная подпись посредствомСДВведение в компьютерные сетипроф. Смелянский Р.Л.09.05.2016115Подпись на основе открытогоключа• Все должны доверять СД, который может читатьсообщения.• Схема электронной подписи на основе открытыхключей.o DX - закрытый ключ, EX – открытый ключ;o Предполагаем• E(D(P))=P дополнительно к D(E(P))=P (Этимсвойством обладает RSA);o Схема работает до тех пор, пока сторона А либоумышленно не рассекретила свой ключ, либо неизменила его в одностороннем порядке.o Судебный случаи.Введение в компьютерные сетипроф.

Смелянский Р.Л.09.05.2016116Электронная подпись на основеоткрытого ключаВведение в компьютерные сетипроф. Смелянский Р.Л.09.05.2016117Обнаружение и предотвращениекомпьютерных атак(http://atlas.arbor.net/worldmap/index)Введение в компьютерные сетипроф. Смелянский Р.Л.09.05.2016119Обнаружение атак Обнаружение сетевыхатак и защита от них Три основных классаатак Сканирование(разведка) Несанкционированныйдоступ Отказ в обслуживанииВведение в компьютерные сетипроф. Смелянский Р.Л.09.05.2016120Системы обнаружения атакСистема обнаружения атак – это системы идентификации.

Котораяявляется комбинацией аппаратуры и программного обеспечения,которая идетифицирует вредоносную активность в сетиПримеры систем обнаружения атак в реальнойжизни: Автомобильная сигнализация Датчики возгорания Домашняя сигнализация Системы видеонаблюденияВведение в компьютерные сетипроф. Смелянский Р.Л.09.05.2016121Зачем нужны IDS? Безопасность – это часто дорого и неудобно: Стоимость разработки и сопровождения Ограничения на пользователей и функциональность Разработчики пытаются предложить некоторые«разумные» уровни безопасности Ошибки в ПО всё равно есть, и успешные атаки неизбежны Обнаружение позволяет: Находить и исправлять наиболее критическиеуязвимости По возможности обеспечивать наказуемостьнарушителей По возможности ограничивать ущерб от атакиВведение в компьютерные сетипроф. Смелянский Р.Л.09.05.2016122Методы обнаружения атак (1) Обнаружение аномалий Мониторинг сетевого трафика и сравнение снекоторым профилем нормальной работысети Утилизация канала, типы протоколов, номерапортов, сочетания взаимодействующих узлов Оповещение администратора, если текущийтрафик существенно отличается от нормы Пример: плагин Spade для СОА Snort, BroIDS Как правило, такие методы склонны кложным срабатываниямВведение в компьютерные сетипроф.

Смелянский Р.Л.09.05.2016123Методы обнаружения атак (2) Сигнатурные методы Также известны как обнаружениезлоупотреблений Мониторинг сетевого трафика, и сравнениесодержимого (или атрибутов) с базой описанийранее известных реализаций атак Реализуется аналогично большинству антивирусныхсканеров Примеры: Snort, Suricata Менее склонны к ложным срабатываниям Не могут обнаруживать даже вариантыреализации известных атак, которых нет вбазе описанийВведение в компьютерные сетипроф. Смелянский Р.Л.09.05.2016124Сигнатурное обнаружение атак Сигнатуры Набор шаблонов, описывающих типичныедля известных реализаций атак особенностидействий и их атрибутов Типы сигнатур Атомарные — срабатывают на содержимоеодного пакетаПример: поиск строки “/etc/passwd “ в трафике Составные — срабатывают напоследовательности из нескольких пакетовВведение в компьютерные сетипроф.

Смелянский Р.Л.09.05.2016125Примеры сигнатур Snortalert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:”ICMPPING NMAP”; dsize: 0; itype: 8;) Алерт для пакета ICMP с пустым телом, ICMP type 8, адресисточника – во внешней сети. Такие пакеты используется в NMAP ping.alert tcp $EXTERNAL_NET any -> $HOME_NET 139(msg: “DOSSMBdie attack”:; flags: A+;content:”|57724c6568004577a|”;) Алерт если TCP сегмент содержит |57724c6568004577a| инаправлен на порт 139 (netbios) некоторого внутреннего узла. Это часть атаки переполнения на Server Message Block Service.Введение в компьютерные сетипроф.

Смелянский Р.Л.09.05.2016126Типы систем обнаружения атак Узловые СОА Программные наблюдатели (Агенты)установлены на узлах Выполняют анализ журналов приложений,контроль целостности файлов, контрольполитик безопасности, обнаружение руткитов Примеры: Cisco Security Agent (CSA) , OSSEC, TripwireВведение в компьютерные сетипроф. Смелянский Р.Л.09.05.2016127Узловые системы обнаружения атакКорпоративнаясетьАгентАгентМСЭАгентАгентАгентАгентАгентWebсерверВведение в компьютерные сетипроф. Смелянский Р.Л.НедовереннаясетьАгентDNSсервер09.05.2016128Типы систем обнаружения атак Сетевые СОА Функционируют на уровне сегмента сети Один сенсор СОА может мониторить много узлов Сетевые сенсоры обычно бывают двух видов ПАК: состоит из специализированной аппаратуры иПО.

Аппаратура представлена специализированнымисетевыми интерфейсами, сбалансированными попроизводительности процессорами, памятью идисками.Примеры: Sourcefire 3D Sensors, Cisco IPS Программа: программное обеспечение сенсораможет быть установлено на произвольную аппаратуру(COTS – Commodity Off The Shelf).Примеры: Snort, Bro, SuricataВведение в компьютерные сетипроф. Смелянский Р.Л.09.05.2016129Сетевые системы обнаружения атакКорпоративнаясетьСенсорСенсорСистемауправленияВведение в компьютерные сетипроф. Смелянский Р.Л.МСЭНедовереннаясетьDNSWebсервер сервер09.05.2016130Ложные срабатывания и необнаружениеОшибки СОА: False positive: нормальный трафик вызываетсрабатывание СОА Пример: алерт при неправильном вводепароля; легитимные пользователи тожеошибаются False negative: атака не обнаруживаетсяВведение в компьютерные сетипроф. Смелянский Р.Л.09.05.2016131Вопрос эффективности СОА Точность: низкий уровень false positive и false negative Производительность: скорость обработки трафика илижурнальных записей В некоторых случаях нельзя установить СОАна входе в сеть, т.к.

канал слишком быстрый Вместо этого устанавливают несколько СОАвнутри Устойчивость: собственная устойчивость к атакам иошибкам Должна работать на выделенном узле сусиленной защитой Своевременность: время между атакой (её началом) иобнаружениемВведениев компьютерные сетипроф. Смелянский Р.Л.09.05.2016132Виртуальные частные сети• Объединение выделенных (и возможно географическиудалённых) каналов связи в логически единую сеть• Весь трафик шифруется, при этом подключениепрозрачно для всех протоколов• Подключаемые узлы проходят аутентификацию• Типы VPNo Пользовательские – подключение удалённыхпользователейo Узловые – подключение удалённых подсетей(филиалов)• Компоненты VPN:o Серверo Алгоритмы шифрования и аутентификацииo Протокол VPN (IPSec, OpenVPN и т.д.)Введение в компьютерные сетипроф.

Смелянский Р.Л.09.05.2016133Анализ трафика – задача реальноговремени1GigE: минимальный пакет 64 байта, 672 нс на обработку (худшийслучай)Введение в компьютерные сетипроф. Смелянский Р.Л.09.05.2016134Проблемы информационной безопасности••••(заключение)Конфиденциальность- несанкционированный доступ кинформации/ресурсам;- несанкционированное изменениеинформации/состояния ресурсов;Идентификация подлинностиo пользователя - имея с кем-то дело через сеть, выдолжны быть уверены, что это тот, за кого он себявыдает.o документаНадежность управленияo несанкционированное использование ресурсов;o отказ от обслуживания.Контроль доступаВведение в компьютерные сетипроф. Смелянский Р.Л.09.05.2016135Проблемы информационной безопасности(заключение)• Модели угроз конфиденциальности, целостности,доступности• Политики безопасности, как система ограниченийснижающая или исключающая реализацию угрозбезопасности• Шифрование, мониторы безопасности доступаВведение в компьютерные сетипроф.

Смелянский Р.Л.09.05.2016136.

Характеристики

Список файлов лекций