Олифер В.Г., Олифер Н.А. - Компьютерные сети. Принципы, технологии, протоколы (4-ое изд.) - 2010 - обработка (953099), страница 209
Текст из файла (страница 209)
ответов: 1. Известно, что единственным идентификатором получателя электронной почты, в том числе в схеме с выделенным почтовым сервером, является символьный адрес вида пашечРПоша~п.сов. Каким образом письмо находит путь к почтовому серверу, обслуживающему данного получателя? 2. Заполните таблицу, описывающую свойства почтовых протоколов 1МАР РОРЗ и 5МТР ГЛАВА 24 Сетевая безопасность Обеспечение безопасности названо первой иэ пяти главных проблем Интернета в программе, ствий новой международной инициативы построения Интернета будущего (Рц(цге!п(егпет Ое: г((ЧОР Инициатива г((ЧО направлена на разработку принципов организации того Интернета, кото будет служить нам через 15 лет, поэтому участники этой инициативы стараются взглянуть на Инте( свежим взглядом и, возможно, найти новые подходы к его организации.
Сегодня же Интернет представляет собой эффективную, но вместе с тем и непредсказуемую ср полную разнообразных угроз н опасностей. большая группа угроз связана с несовершенством протоколов, в частности протоколов стека Т (Р Известно, что зти протоколы разрабатывались в то время, когда проблема обеспечения инф мационной безопасности еще не стояла на повестке дня.
Сообщество пользователей Интерн представляло собой ограниченный круг заинтересованных в эффективной работе Сети специа стов, и уж, конечно, никто не покушался на ее работоспособность. Создаваемые в такой «тепл ной» атмосфере протоколы не содержали механизмов, позволяющих противостоять воэможн (тогда только теоретически) атакам злоумышленников. Например, хотя в протоколах РТР и (е( и предусмотрена аутентификация, клиент передает пароль серверу по сети в неэашифрованн виде, а значит, злоумышленник может перехватить его и получить доступ к РТР-архиву. Сейчас м~ гие из потенциально опасных механизмов, встроенных в протоколы, уже исправлены, и некотос проблемы, обсуждаемые в этой главе, не являются актуальными, а носят, скорее, историчесг н учебный характер. Многообразие угроз порождает многообразие методов защиты. В этой главе мы будем обсухцв эсе основные технологии обеспечения информационной безопасности: аутентификацию и ав ризацню, шифрование и антивирусные средства, сетевые экраны и прокси-серверы, эащищенн каналы и виртуальные частные сети.
Основные понятия информационной безопасности Основные понятия информационной безопасности Определение безопасной системы Под информационной безопасностью понимается состояние защищенности информационной системы, включая собственно информацию и поддерживающую ее инфраструктуру Информационная система находится в состоянии защищенности, если обеспечены ее конфиденциальность, доступность и целостность.
Конфиденциальность (сопбг!епг!а!!гу) — это гарантия того, что секретные данные будут доступны только тем пользователям, которым этот доступ разрешен; такие пользователи называются легальными, или авторизованными. Достувшость (ача!1аЬ!1!гу) — это гарантия того, что авторизованные пользователи всегда получат доступ к данным.
Целостность (!пгеййгу) — зто гарантия сохранности данными правильных значений, которая обеспечивается запретом неавторизованным пользователям каким-либо образом изменять, модифицировать, разрушать или создавать данные. Требования безопасности могут меняться в зависимости от назначения информационной системы, характера используемых данных и типа возможных угроз. Трудно представить систему, для которой были бы не важны свойства целостности и доступности, но свойство конфиденциальности не всегда является обязательным. Например, если вы публикуете информацию в Интернете на веб-сервере и вашей целью является сделать ее доступной для самого широкого круга людей, конфиденциальность не требуется.
Однако требования целостности и доступности остаются актуальными. Действительно, если вы не предпримете специальных мер по обеспечению целостности системы, злоумышленник может изменить данные на вашем сервере и нанести этим ущерб вашему предприятию. Преступник может, например, внести изменения в помещенный на веб-сервере прайс-лист, что негативно отразится на конкурентоспособности вашего предприятия, или испортить коды свободно распространяемого вашей фирмой программного продукта, что, безусловно, скажется на ее деловой репутации.
Не менее важным в данном примере является и обеспечение доступности данных. Затратив немалые средства на создание и поддержание сервера в Интернете, предприятие вправе рассчитывать на отдачу: увеличение числа клиентов, количества продаж и т. д. Однако существует вероятность того, что злоумышленник предпримет атаку, в результате которой помещенные на сервер данные станут недоступными для тех, кому они предназначались. Примером таких злонамеренных действий может служить «бомбардировка» сервера пакетами, каждый из которых в соответствии с логикой работы соответствующего протокола вызывает тайм-аут сервера, что, в конечном счете, делает его недоступным для всех остальных запросов.
Понятия конфиденциальности, доступности и целостности могут быть определены не только по отношению к информации, но и к другим ресурсам вычислительной сети, таким как внешние устройства или приложения. Так, свойство конфиденциальности по отношению, например, к устройству печати можно интерпретировать так, что доступ к устройству имеют те и только те пользователи, которым этот доступ разрешен, причем они могут выполнять только те операции с устройством, которые для них определены. Глава 24, Сетевая безопасное взо Свойство доступности устройства означает его готовность к работе всякий раз, когда в этс возникает необходимость.
А свойство целостности может быть определено как свойст» неизменности параметров данного устройства. Легальность использования сетевых устройств важна не только постольку-поскольку о» влияет на безопасность данных. Устройства могут предоставлять различные услуги (ра печатка текстов, отправка факсов, доступ в Интернет, электронная почта н т.
п.), незако ное потребление которых, наносящее материальный ущерб предприятию, также являет» нарушением безопасности системы. Угроза, атака, риск угроза — мобое двйотвю, «н»ор9удну»~,б)ду»'щю»йф$4й»ну4(«»»й(з~М(ен)~-ш»Фо»шшционнов безойеоноЩ~уиятумь»).';„"г, Угрозы могут исходить как от легальных пользователей сети, так и от внешних злоумы» леиников. В последние два года в статистике нарушений безопасности зафиксиров резкий сдвиг от внешних к внутренним угрозам. Примерно 2/3 от'общего числа вс» наиболее серьезных инцидентов, связанных с безопасностью, составляют нарушения» стороны легальных пользователей сетей: сотрудников и клиентов предприятий, студента имеющих доступ к сети учебного заведения и др.
Вместе с тем внутренние атаки обыч» наносят меньший ущерб, чем внешние. Угрозы со стороны легальных пользователей делятся на: 'ь» умышленные; 0 неумышленные. К умышленным угрозам относятся, например, мониторинг системы с целью получен» персональных данных других сотрудников (идентификаторов, паролей) или конфигурац» онных параметров оборудования. Это может быть также злонамеренное получение досту» к конфиденциальным данным, хранящимся на серверах и рабочих станциях сети вродноп предприятия с целью их похищения, искажения или уничтожения; прямое «вредител ство» вЂ” вывод из строя сетевого программного обеспечения и оборудования. Кроме тог к умышленным угрозам относится нарушение персоналом правил, регламентирующ» работу пользователей в сети предприятия: посещение запрещенных веб-сайтов, вынос: пределы предприятия сьемных носителей, небрежное хранение паролей и другие подобнь нарушения режима. Однако не меньший материальный ущерб предприятию может бьп нанесен в результате йегумышленнь»х нарушений персонала — ошибок, приводящих к п» вреждению сетевых устройств, данных, программного обеспечения.
Угрозы внешних злоумышленников, называемых также хакерами, по определению являют( умышленными и обычно квалифицируются как преступления. Среди внешних нарушит лей безопасности встречаются люди, занимающиеся этой деятельностью профессионалы 831 Типы и примеры атак или просто из хулиганских побуждений. Целью, которой руководствуются внешние зло умышленники, всегда является нанесение вреда предприятию. Зто может быть, например получение конфиденциальных данных, которые могут быть использованы для снятия дене с банковских счетов, или установление контроля над программно-аппаратными средствам~ сети для последующего их использования в атаках на сети других предприятий.
Как правило, атака предваряется сбором ииформации о системе (шарр!пй), которая по могает не только эффективно спланировать атаку, но и скрыть все следы проникновени~ в систему. К полезной для хакера информации относятся типы операционных систем и при ложений развернутых в сети, 11'-адреса, номера портов клиентских частей приложений имена и пароли пользователей. Часть информации такого рода может быть получена путе» простого общения с персоналом (это называют социалъным инжинирингом), а часть— с помощью тех или иных программ. Например, определить 1Р-адреса можно с помощьв утилиты р!па задавая в качестве цели адреса из некоторого множества возможных адресов Если при очередном запуске программы р!пя пришел ответ, значит, произошло совпадени~ заданного адреса с адресом узла в атакуемой сети.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
