работа на тему: «Организация безопасных сетей Cisco» (стр. 2 из 9)

• Неправильная конфигурация сетевого оборудования. Неправильная конфигурация оборудования может вызывать серьезные проблемы защиты. Например, непра­вильная структура списков доступа, протоколов маршрутизации или групповых строк SNMP может открывать широкие бреши в системе защиты.

• Незащищенные учетные записи пользователей.Если информация об учетных за­писях пользователей передается по сети открыто, это дает возможность исполь­зовать имена пользователей и пароли злоумышленникам.

• Учетные записи пользователей, использующих слишком простые пароли. Эта ши­роко распространенная проблема возникает в результате выбора пользователя­ми легко угадываемых паролей из ограниченного множества вариантов. Напри­мер, системы NetWare, UNIX и Windows NT могут содержать учетные записи с именем пользователя guest и паролем guest.

• Неправильная настройка служб Internet. Общей проблемой является применение Java и JavaScript в обозревателях Web, что открывает возможности для атак вне­дрения вредоносных аплстов Java. Сетевое оборудование или операционная система компьютера могут допускать использование незащищенных служб TCP/IP, позволяющих удаленный доступ к сети.

1.3.Недостатки политики защиты сети

Документированная и объявленная персоналу политика защиты является существен­ным компонентом защиты сети. Но некоторые проблемы защиты могут быть вызваны не­достатками самой политики защиты, и к таким проблемам можно отнести следующие.

• Отсутствие документированной политики защиты. Не представленную в виде набора документов политику невозможно применять последовательно и принудительно.

•Внутренние политические противоречия. Политические баталии, закулисные вой­ны и скрытые конфликты будут препятствовать проведению согласованной и обязательной политики защиты.

•Отсутствие преемственности. Частая замена персонала, отвечающего за реализа­цию политики защиты, ведет к непостоянству в политике защиты.

•Отсутствие логичного контроля доступа к сетевому оборудованию. Недостаточно строго контролируемые процедуры выбора пароля пользователями открывают несанкционированный доступ к сети.

•Небрежность администрирования, мониторинга и контроля. Неадекватный мони­торинг, аудит и несвоевременное устранение проблем позволяют атаковать сис­тему защиты и незаконно использовать сетевые ресурсы в течение длительного времени, что означает расточительное использование средств компании и мо­жет привести к ответственности перед законом.

•Неосведомленность о возможности атаки. Организация может даже не знать о нарушениях, если в организации не проводится регулярный мониторинг сети или нет системы обнаружения сетевых вторжений вообще.

•Несоответствие программного обеспечения и аппаратных средств принятой поли­тике защиты. Несанкционированные изменения топологии сети или установка непроверенных приложений создают бреши в системе защиты.

•Отсутствие процедур обработки инцидентов защиты и плана восстановления сис­темы. Отсутствие четкого плана обработки инцидентов защиты и восстановления работоспособности сети предприятия в случае сетевой атаки приведет к хаосу, панике и ошибочным действиям.

2.Три основные цели Безопасности Сети

Для большинства сегодняшних корпаративных сетей, электронная коммерция и контакты с клиентами требуют соеденения между внутренней корпоративной сетью и внешним миром. С точки зрения безопасности, следуют два основных заключения о современных корпоротивных сетях:

· Сегодняшние корпоротивные сети большие, соединенные с другими сетями, и используют как стандартизированные протоколы так и частные протоколы.

· Устройства и приложения использующиеся в корпоротивных сетях постоянно развиваются и становятся сложнее.

Так как почти все(если не все) корпоративные сети нуждаются в сетевой безопасности, нужно понимать три основные цели сетевой безопасности:

· Конфеденциальность

· Целостность

· Доступность

Конфеденциальность

Конфеденциальная информация подразумевает сохранение информации секретной. Эта секретность должна достигаться физическим или логическим разграничением доступа к чувствительной информации или шифрование траффика идущего через сеть. Сеть которая предоставляет конфеденциальность должна применять некотороые механизмы защиты, например:

· Использование механизмов безопасности сети(например, брандмауэры, брандмауэры и Списки Контроля Доступа[ACL]) для предотвращения неавторизированного доступа к сетевым ресурсам.

· Использование подходящей авторизации(например, имена пользователей и пароли) для доступа к разным ресурсам сети.

· Шифрование траффика, для того чтобы нарушитель не мог дешифровать прехватываемую им информацию.

Целостность

Целостность информации это уверенность, что информация не была изменена в ходе транзакции. Также, решения предоставляющие целостность информации могут выполнять аутентификацию для того, чтобы удостоверится, что информация пришла из правильного источника.

Примеры угроз целостности включают:

· Изменение внешнего вида веб-сайта.

· Проникновение и внесение изменение в транзакцию электронной коммерции.

· Изменение финансовых записей, которые хранятся в электронном виде.

Доступность

Доступность информации это значит возможность получить доступ к информации.Например, если сервер недоступен всего пять минут в год, он будет иметь доступность 99.999 процентов (это «пять девяток» доступности).

Вот пара примеров как нарушитель может попытаться подорвать доступность сети:

· Он может послать специальным образом измененную информацию сетевому устройству, в результате возникнет необрабатываемая ошибка.

· Он может наводнить сеть огромным количеством траффика или запросов. Это заставит системные ресурсы обрабатывать эти запросы, и мешает обрабатывать лигитимные запросы.Эти атаки называются Атаки на Блокировку Сервиса(DoS attacks).

3.Типы атак

В зависимости от цели атаки, всевозможные атаки разделяют на три вида:

· Атаки на конфеденциальность

· Атаки на целостность

· Атаки на доступность

3.1.Атаки на конфеденциальность

С помощью атак на конфеденциальность нарушитель пытается просмотреть конфеденциальную информацию такую как персональные записи, логины, пароли, номера кредитных карточек, адреса электронной почты и т.д. Так как во время этих атак нарушитель часто предпочитает просто скопировать нужную инфоормацию, а не нарушать работу системы, атаки на конфеденциальность часто бывают незамечены. Даже если программные средства аудита засекли работу с файлами, никто не заподозрит проблемы.

Рис.3.1.

На рис. 3.1. Database Server и Web Server компании А имеют доверительные отношения. Database Server содержит конфеденциальную информацию о покупателях, такую как номера кредитных карт, имена и т.д. Поэтому Компания А решила защитить Database Server (например пропатчили известные уязвимости операционной системы) лучше чем Web Server. Однако используя доверительные отношения между Database Server и Web Server нарушитель получает конфеденциальную информацию о покупателях, например, номера кредитных карт, затем осуществляет покупку в Компании В.

Процедура такая:

1. Нарушитель используя уязвимости веб-сервера компании А получает полный контроль над этим сервером.

2. Нарушитель используя доверительные отношения между Database Server и Web Server получает информацию о номерах кредитных карт с Database Server`a.

3. Нарушитель, используя украденную кредитную карту совершает покупку в компании В.

Некоторые методы используемы нарушителями для атак на конфеденциальность:

· Packet capture. Утилита для просмотра пакетов (такая как Wireshark) может ловить пакеты которые видит сетевая карта компьютера. Некоторые протоколы, например, HTTP и Telnet, посылают пакеты с открытым, незашифрованным текстом. Поэтому нарушитель может просматривать эти пакеты и получает возможность доступа к некоторым конфеденциальным данным.

· Ping sweep and port scan. Атаки на конфеденциальность могут начинаться со сканирования ресурсов сети, для определения цели атаки. Ping sweep может быть использован для пинга серии IP адресов. Сообщения echo-reply говорят нарушителю что ресурс с данным адресом достижим. Как только все IP адреса ресурсов сети будут определены, нарушитель может начать сканировать TCP и UDP порты для того, чтобы определить какие приложения доступны на каждом из хостов с заданным IP адресом.Также сканирование портов помогает нарушителю узнать какая операционная система запущена на каждом хосте.

· Dumpster diving. Так как многие компании не уничтожают должным образом конфеденциальную информацию, нарушитель может “покопаться в мусорной корзине” с надеждой найти информацию способную скомпрометировать компанию.

· Electromagnetic interference (EMI) interception. Так как информация часто передается по проводам (например, неэкранированная витая пара), нарушитель может перехватить электромагнитное излучение от этих проводов, тем самым перехватывая информацию.

· Wiretapping. Если у нарушителя имеется доступ к коммутирующему центру он может подключить сетевой концентратор к нужному проводу и получать копии пакетов.

· Social engineering. Нарушители часто используют социальную технику для получения конфеденциальной информации. Например, нарушитель может представиться как член Информационного Отдела и спросить у работника его логин и пароль для “проверки соеденения”.