Пиши Дома Нужные Работы

Обратная связь

Категории:
Археология
Архитектура
Биология
Ботаника
Бухгалтерский учет
Генетика
География
Государство
Информатика
История
Кулинария
Культура
Литература
Маркетинг
Математика
Машиностроение
Медицина
Менеджмент
Металлургия
Механика
Охрана Труда
Педагогика
Политология
Правоотношение
Промышленность
Психология
Разное
Социология
Статистика
Технологии
Физика
Философия
Финансы
Химия
Экология
Экономика

Недоліки у сфері захищеності служб і протоколів Internet

Ряд служб Internet дуже ефективно використовуються для обробки інформації в КС, зокрема, і в системах ДПС. Однак для них слід зазначити певні «природжені слабкості», що створює проблеми з інформаційної безпеки. Спочатку розглянемо основні причини уразливості Internet.

Як відомо, до служб Internet відносяться:

· простий протокол передачі електронної пошти SMTP (Simple Mail Transfer Protocol);

· програма електронної пошти Sendmail;

· служба мережевих імен DNS;

· служба емуляції видаленого терміналу Telnet;

· всесвітня павутина WWW;

· протокол передачі файлів FTP;

· графічна віконна система X Windows і ін.

Простий протокол передачі електронної пошти SMTP дозволяє здійснювати поштову транспортну службу Internet. Одна з проблем безпеки, пов'язана з цим протоколом, полягає у тому, що користувач не може перевірити адресу відправника в заголовку електронного листу. В результаті хакер здатний направити у внутрішню мережу велику кількість поштових повідомлень, що приведе до перевантаження і блокування роботи поштового серверу.

Популярна в Internet програма електронної пошти Sendmail використовує для роботи деяку мережеву інформацію – IP-адресу відправника. Перехоплюючи повідомлення, що відправляються за допомогою Sendmail, хакер може застосувати цю інформацію для нападів, наприклад для спуфінга (підміни адрес).

Протокол передачі файлів FTP забезпечує передачу текстових і двійкових файлів, тому його часто використовують в Internet для організації сумісного доступу до інформації. Його звичайно розглядають як один з методів роботи з видаленими мережами. На FTP-серверах зберігаються документи, програми, графіки і інші види інформації. До даних цих файлів на FTP-серверах не можна звернутися напряму. Це можна зробити, тільки переписавши їх цілком з FTP-серверу на локальний сервер. Деякі FTP-сервери обмежують доступ користувачів до своїх архівів даних за допомогою пароля, інші ж надають вільний доступ (так званий анонімний FTP-сервер).



Служба мережевих імен DNS є розподіленою базою даних, яка перетворює імена користувачів і хостів в IP-адреси, що вказуються в заголовках пакетів, і навпаки. DNS також зберігає інформацію про структуру мережі компанії, наприклад, про кількість комп'ютерів з IP-адресами в кожному домені.

Одна з проблем DNS полягає у тому, що цю базу даних дуже важко «приховати» від неавторизованих користувачів. В результаті DNS часто використовується хакерами як джерело інформації про імена довірених хостів.

Служба емуляції видаленого терміналу Telnet використовується для підключення до видалених систем, приєднаних до мережі; вона застосовує базові можливості емуляції терміналу. При використовуванні цього сервісу Internet користувачі повинні реєструватися на сервері Telnet, вводячи свої ім'я і пароль. Після автентифікації користувача його робоча станція функціонує в режимі терміналу, підключеного до зовнішнього хосту. З цього терміналу користувач може вводити команди, які забезпечують йому доступ до файлів і запуск програм. Підключившись до серверу Telnet, хакер може конфігурувати його програму так, щоб вона записувала імена і паролі користувачів.

Всесвітня павутина WWW – це система, заснована на мережевих додатках, які дозволяють користувачам проглядати вміст різних серверів в Internet або інтрамережах. Найкорисніша властивість WWW – використовування гіпертекстових документів, в які вбудовані посилання на інші документи і Web-вузли, що дає відвідувачам сайтів можливість легко переходити від одного вузла до іншого. Проте ця ж властивість є і найслабкішим місцем системи WWW, оскільки посилання на Web-вузли, що зберігаються в гіпертекстових документах, містять інформацію про те, як здійснюється доступ до відповідних вузлів. Використовуючи цю інформацію, хакери можуть зруйнувати Web-вузол або дістати доступ до конфіденційної інформації, що зберігається в ньому.

Серед основних причини уразливості мережі Internet можна відзначити наступні:

· мережа Internet розроблялася як відкрита і децентралізована мережа з початковою відсутністю ПБ. При цьому основні зусилля були направлені на досягнення зручності обміну інформацією в Internet. Крім того, багато мереж спроектовано без механізмів контролю доступу з боку Internet;

· для Internet характерні велика протяжність ліній зв'язку і уразливість основних служб. Сервісні програми базового набору протоколів TCP/IP мережі Internet не гарантують безпеки;

· модель «клієнт-сервер», на якій заснована робота в Internet, не позбавлена певних слабкостей і лазівок в продуктах окремих виробників. Дана модель об'єднує різноманітне програмне і апаратне забезпечення, в якому можуть бути “діри” для проникнення зловмисників;

· при створенні Web-сторінок ряд компаній використовує власний дизайн, який може не відповідати вимогам забезпечення певного класу безпеки для Web-вузла компанії і пов'язаної з ним локальної або корпоративної мережі;

· інформація про існуючі і використовувані засоби захисту доступна користувачам. Крім того, можливий витік технологій безпеки високого рівня з секретних джерел при розкритті представлених в мережі Web-вузлів і мереж організацій, що займаються розробкою цих технологій;

· існує можливість спостереження за каналами передачі даних, оскільки значна частина інформації передається через Internet у відкритій незахищеній формі. Зокрема, електронна пошта, паролі і вкладені в листи файли можуть бути легко перехоплені зловмисником за допомогою доступних програм;

· засоби управління доступом часто складно конфігурувати, настроювати і контролювати. Це приводить до неправильної конфігурації засобів захисту і, як наслідок, до несанкціонованого доступу;

· істотну роль виконує і людський чинник. Окремі користувачі, не визначені високими моральними принципами, можуть за відповідну платню надати зловмисникам доступ в мережу своєї фірми. Є користувачі-дилетанти, які, не володіючи необхідними знаннями, вважають, що засоби захисту їм взагалі не потрібні, або неправильно конфігурують ці засоби;

· для обслуговування роботи в Internet використовується велике число сервісів, інформаційних служб і мережевих протоколів. Знання правильності і тонкості використовування хоча б більшості цих сервісів, служб і протоколів одній людині в особі адміністратора мережі практично недоступно;

· фахівці із захисту інформації в Internet готуються поки в недостатньому об'ємі; часто в ролі адміністраторів мережі працюють люди, що не мають глибокої професійної підготовки;

· для роботи в Internet характерна лише уявна анонімність. Існує потенційна можливість обійти засоби виявлення відправника тієї або іншої інформації або відвідувача того або іншого Web-вузла за допомогою використовування віртуальних IP-адрес і проміжних вузлів електронної пошти,

Виникає природне питання: скільки потенційно вразливих місць в принципі може бути у мереж, підключених до Internet? Фахівці компанії Internet Security Systems вважають, що в будь-якій мережі, заснованій на протоколі TCP/IP, існує близько 135 потенційних каналів для НСД.

Перші засоби захисту даних, які передаються, з'явилися практично відразу після того, як уразливість IP-мереж дала про себе знати з практики. Характерними прикладами розробок в цій області можуть служити PGP/Web-of-Trust для шифрування повідомлень електронної пошти, SSL для захисту Web-трафіку, SSH (Secure SHell) для захисту сеансів Telnet і процедур передачі файлів.

Загальним недоліком подібних широко поширених рішень є їх «прихильність» до певного типу додатків, а значить, нездатність задовольнити тим різноманітним вимогам до систем мережевого захисту, які пред'являють крупні корпорації або Internet-провайдери.

Найрадикальніший спосіб подолати вказане обмеження зводиться до того, щоб будувати систему захисту не для окремих класів додатків (хай і дуже популярних), а для мережі в цілому. Стосовно IP-мереж це означає, що системи захисту повинні діяти на мережевому рівнімоделі OSI.

Перевага такого вибору полягає в тому очевидному факті, що в IP-мережах саме даний рівень відрізняється найбільшою гомогенністю: незалежно від вищерозміщених протоколів, фізичного середовища передачі і технології канального рівня транспортування даних по мережі не може бути здійснено в обхід протоколу IP. Тому реалізація захисту мережі на третьому рівні автоматично гарантує як мінімум такий же ступінь захисту всіх мережевих додатків. При цьому не потрібна яка-небудь модифікація останніх. Для користувачів процедури захисту виявляться такими ж прозорими, як і сам протокол IP.

 

Контрольні запитання

1. Які підходи існують щодо вирішення проблеми забезпечення безпеки інформації в корпоративних мережах?

2. В чому полягає фрагментарний підхід щодо забезпечення безпеки в корпоративних мережах?

3. В чому полягає комплексний підхід щодо забезпечення безпеки в корпоративних мережах?

4. Наведіть основні служби Internet/

5. Які основні причини уразливості мережі Internet?

 




 
ТОП 5 статей:
Экономическая сущность инвестиций - Экономическая сущность инвестиций – долгосрочные вложения экономических ресурсов сроком более 1 года для получения прибыли путем...
Тема: Федеральный закон от 26.07.2006 N 135-ФЗ - На основании изучения ФЗ № 135, дайте максимально короткое определение следующих понятий с указанием статей и пунктов закона...
Сущность, функции и виды управления в телекоммуникациях - Цели достигаются с помощью различных принципов, функций и методов социально-экономического менеджмента...
Схема построения базисных индексов - Индекс (лат. INDEX – указатель, показатель) - относительная величина, показывающая, во сколько раз уровень изучаемого явления...
Тема 11. Международное космическое право - Правовой режим космического пространства и небесных тел. Принципы деятельности государств по исследованию...



©2015- 2024 pdnr.ru Все права принадлежат авторам размещенных материалов.