Олифер В.Г., Олифер Н.А. - Компьютерные сети. Принципы, технологии, протоколы (4-ое изд.) - 2010 - обработка (953099), страница 213
Текст из файла (страница 213)
Результатом работы данного блока может быть, например, список! Р-адресов успешно атакованных машин, посланный хакеру в виде файла или сообщения электронной почты. Вирусы :Фйр~М(!!)((й~:;:,~Щф!гй)эййноримй программный фрагмвнх кЬторый может внедряться в другие 'ффйпэь!~ Стремление злоумышленника сделать код вируса как можно более коротким часто ограничивает логику работы вируса очень простыми решениями, которые, однако, иногда приводят к весьма разрушительным последствиям. Так, например, один из реально существовавших вирусов, состоящий всего из 15 (!) байтов, записывал свою копию поверх других файлов в начало каждого сектора диска, в результате система очень быстро терпела крах.
Некоторым утешением в таком и подобных ему случаях является то, что одновременно с крахом компьютера прекращает свое существование и вирус. Вирус может внедрять свои фрагменты в разные типы файлов, в том числе в файлы исполняемых программ (рис. 24.7). При этом возможны самые разные варианты: замещение кода, когда размер инфицированного файла не меняется, вставка вирусного кода целиком в начало или конец исходной программы, замена фрагментов программного кода фраг- 843 Типы н примеры атак ментами вируса с перестановкой замешенных фрагментов и без перестановки и т.д., и т.
п. Более того, код вируса может быть зашифрован, чтобы затруднить его обнаружение антивирусными программами. В отличие от червей вирусы (так же как и троянские программы) не содержат в себе встроенного механизма активного распространения по сети, они способны размножаться своими Силами только в пределах одного компьютера, Как правило, передача копии вируса на другой компьютер происходит с участием пользователя.
Например, пользователь может записать свой файл, зараженный вирусом, на сетевой файловый сервер, откуда тот может быть скопирован всеми пользователями, имеющими доступ к данному серверу. Пользователь может также передать другому пользователю съемный носитель с зараженным файлом или послать такой файл по электронной почте. То есть именно пользователь является главным звеном в цепочке распространения вируса за пределы своего компьютера.
Тяжесть последствий вирусного заражения зависит от того, какие вредоносные действия были запрограммированы в вирусе злоумышленником. Это могут быть мелкие, но раздражающие неудобства (замедление работы компьютера, уменьшение размеров доступной памяти, трата рабочего времени на переустановку приложений) или серьезные нарушения безопасности, такие как утечка конфиденциальных данных, разрушение системного программного обеспечения, частичная или полная потеря работоспособности компьютерной сети. Замещение с изменением размера инфицированною файла Наложение с сохранением размера инфицированного файла Добавление е конец программы Добавление а начало программы Добавление с перестановкой частей кода программы фрагментарное добавление вируса а тело программы рнс.
2ЮЛ. Различные варианты расположения кода енруоа в зараженных файлах Глава 24. Сетевая безопасность Шпионские программы Шпмвиокие программы (аруна»в) — это такой тип вредоносных программ, катормв тайно (как правило, удаленно) устанавливаются злоумышленниками ив компьютеры ничего ие подозревающих пользователей, чтобы отоявливвть и фиксировать всэ их действия. В число таких действий может входить введение имени и пароля во время логического входа в систему, посещение тех или иных веб-сайтов, обмен информацией с внешними и внутренними пользователями сети и пр., и пр.
Собранная информация пересылается злоумышленнику, который применяет ее в преступных целях. Заметим, что в качестве шпионских программ могут использоваться не только созданные специально для этих целей вредоносные программы, но и программы легального назначения. Так, опасным средством шпионажа могут стать легальные системы мониторинга сети', такие, например, как популярные сетевые мониторы Ъ%гезЬаг(г или М!сгозо(Г Хегтчог)г Мошгог. Исходное назначение этих программ состоит в том, чтобы дать администратору сети возможность следить за сетевым трафиком, в частности захватывать пакеты, используя механизм фильтрации, просматривать их содержимое, собирать статистику по загрузке устройств.
В руках же злоумышленника такая программа превращается в мощный инструмент «взлома» сети, который позволяет перехватывать пакеты с паролями и другой секретной информацией. Они также позволяют путем сканирования ТСР- и (ЛЗР-портов определять типы приложений, работающих в сети, что является очень важной информацией для подготовки атаки. ПРИМЕЧАНИЕ Практически все сетевые мониторы построены в архитектуре клиент-сервер.
Клиенты, обычно называемые агентами, захватывают и, если необходимо, фильтруют график, а затем передают его серверной части монитора для дальнейшей обработки. Серверная часть монитора может работать как з локальной сети, так и иа удаленном компьютере, однако клиентские части всегда устанавливаются иа компьютерах в тех сегментах сети, в которых протекает интересующий администратора (или злоумышленника) график. Необходимым условием для работы агентов монитора является установка сетевого адаптера компьютера, иа котором запущен этот агент, в неразборчивый режим приема (см, раздел «МАС-адреса» в главе 12).
Поэтому одним из способов, пресекающих несанкционированный захват и анализ сетевого трафика, является отслеживание всех интерфейсов сети, работающих в неразборчивом режиме приема. Спам Сиам' — это атака, выполненная путем злоупотребления возможностями электронной почты. Учитывая ту важную роль, которую играет электронная почта в работе современных предприятий и организаций, можно понять, почему спам, дезорганизующий работу этой службы, стал рассматриваться в последние годы как одна из существенных угроз безопасности. ' Программные системы, предназначенные для анализа сетевого графика, называют также свифферами (зпйегз от английского зпбф — нюхать), г Сиам получил свое название по имени реально существующих консервов Ярюп, которые стали темой одного из эпизодов популярного английского сериала. В этом эпизоде посетители кафе страдают оттого, что им постоявио навязывают блюда, в которых присутствуют эти консервы.
845 Методы обеспечение информационной безопасности Спам отнимаег время и ресурсы на просмотр и удаление бесполезных сообщений, при этом ошибочно могут быть удалены письма с критически важной информацией, особенно велика вероятность этого при автоматической фильтрации писем. Посторонняя почта, которая нередко составляет 70 % получаемых сообщений, не только снижает эффективность работы предприятия, но и зачастую служит средством внедрения вредоносных программ. Кроме того, спам часто является элементом различных мошеннических схем, жертвами которых могут стать как отдельные сотрудники, так и предприятие в целом.
Спамеры, то есть лица, рассылающие снам, используют для своих целей разнообразные и иногда весьма сложные методы и средства. Так, например, для пополнения баз данных адресов имн может выполняться автоматическое сканирование страниц Интернета, а для организации массовой рассылки они могут прибегать к распределенным атакам, когда зомбированные с помощью червей компьютеры бомбардируют снамом огромное число пользователей сети. Методы обеспечения информационной безопасности пап~ ивпртшенэвл ив дости- ' .йзгеетуфзности) информаЗчянив последствий любмк может леитьсл нанесение инфрасеруктуре. Классификация методов защиты Сегодня существует большой арсенал методов обеспечения информационной безопасности, к которым мъь прежде всего, отнесем технические средства заидаиы, такие как системы шифрования, аутентификации, авторизации, аудита, антивирусной защиты, межсетевые экраны и др.
Именно им в основном посвящена данная глава этого учебника. Однако помимо технических средств, не меньшее, а иногда и большее влияние на безопасность системы оказывают средства, построенные на качественно другой основе. К таким «не техническим» мерам зашиты относятся соответствующие сфера законодательства, морально-этичеснив нормы, яро сввтитвльнал работа и административные меры. Например, именно ужесточением наказаний за преступления в области нарушения информационной безопасности эксперты объясняют резкое снижение за последние два года количества вирусных атак.
Примером эффективных административных мер может служить запрет сотрудникам пользоваться в пределах предприятия собственными ноутбуками; такой запрет сокращает случаи утечки конфиденциальной информации и заражения корпоративных данных новыми вирусами. Важную роль играют также физические средства заир«ты, к которым относят замки, как меры наблюдения, охранные системы. Данные, записанные на съемный носитель, помещенный в сейф в хорошо охраняемом помещении, очевидно, более защищены, чем данные, хранящиеся на диске работающего в сети компьютера, защищенного самым совершенным сетевым экраном'. ' См.
далее раздел «Сетевые экраны». Глава 24. Сетевая безопасность Универсальным средством противодействия атакам, имеющим целью нарушение целостности данных, а в некоторых случаях и их доступности, является резервное копирование. Резервное копирование — это набор автоматизированных процедур создания и поддержания копий данных, которые могут быть использованы для восстановления исходных данных в случае их потери или искажения.
Резервные копии записывают на сменные носители большой емкости, например магнитные ленты, которые для повышения отказоустойчивости размещают в местах, территориально разнесенных с местонахождением исходных данных. Понятно, что при этом возрастает вероятность их потери или кражи. Чтобы смягчить возможные последствия этих угроз, копируемые данные записываются на сменные носители в зашифрованном виде. Для эффективного поддержания информационной безопасности необходим системный подход. Это означает, что различные средства защиты (технические, юридические, административные, физические и т.
д.) должны применяться совместно и под централизованным управлением. Политика безопасности Организация служб безопасности сети требует пцательной проработки политики информационной безопасности, которая включает несколько базовых принципов. Одним из таких принципов является предоставление каждому сотруднику предприятия того минимального уровня привилегий на доступ к данным, который необходим ему для выполнения его должностных обязанностей. Следующий принцип — использование многоуровневого подхода к обеспечению безопасности.
Система защиты с многократным резервированием средств безопасности увеличивает вероятность сохранности данных. Так, например, физические средства защиты (закрытые помещения, блокировочные ключи), ограничивающие непосредственный контакт пользователя только приписанным ему компьютером, дополняют и усиливают эффективность централизованной системы авторизации пользователей. Принцип единого контрольно-пропускного пункпш заключается в том, что весь входящий во внутреннюю сеть и выходящий во внешнюю сеть график проходит через единственный узел сети, например через сетевой экран.
Только это позволяет в достаточной степени контролировать трафик. В противном случае, когда в сети имеется множество пользовательских станций, имеющих независимый выход во внешнюю сеть, очень трудно скоординировать правила, ограничивающие права пользователей внутренней сети на доступ к серверам внешней сети и обратно — права внешних клиентов на доступ к ресурсам внутренней сети. Используя многоуровневую систему защиты, важно обеспечивать баланс надежности защиты всех уровней. Если в сети все сообщения шифруются, но ключи легкодоступны, то эффект от шифрования нулевой. Если внешний график сети, подключенной к Интернету, проходит через мощный сетевой экран, но пользователи имеют возможность связываться с узлами Интернета по коммутируемым линиям через локально установленные модемы, то деньги (как правило, немалые), потраченные на сетевой экран, можно считать выброшенными на ветер.
Следующим универсальным принципом является использование только таких средств, которые при отказе переходят в состояние максимальной защиты. Это касается самых различных средств безопасности. Если в сети имеется устройство, которое анализирует весь входной график и отбрасывает кадры с определенным, заранее заданным обратным адресом, то при отказе оно должно полностью блокировать вход в сеть.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
