Реферат: Введение в Интернет и безопасность в нем - текст реферата. Скачать бесплатно.
Банк рефератов, курсовых и дипломных работ. Много и бесплатно. # | Правила оформления работ | Добавить в избранное
 
 
   
Меню Меню Меню Меню Меню
   
Napishem.com Napishem.com Napishem.com

Реферат

Введение в Интернет и безопасность в нем

Банк рефератов / Компьютерные сети

Рубрики  Рубрики реферат банка

закрыть
Категория: Реферат
Язык реферата: Русский
Дата добавления:   
 
Скачать
Архив Zip, 63 kb, скачать бесплатно
Заказать
Узнать стоимость написания уникального реферата

Узнайте стоимость написания уникальной работы

Введение в Интернет и безопасность в нем План Интернет Обзор вну треннего устройства TCP/IP Проблемы , связанные с безопасностью Насколько уязвимы сети организаци в Интернете ? Хотя присоединение к Интернету предоставляет огромные выгоды в виде доступа к колоссальному объему информации , оно не обязательно является хо рошим решением для организаций с низк им уровнем безопасности . Интернет страдает от серьезных проблем с безопасностью , которые , если их игнорировать , могут привести к ужасным последствиям для неподготовленных сетей . Ошибки при проектировании сервисов TCP/I P , сложность конфигурирования хостов , уязвимы е места , появившиеся в ходе написания прог рамм , и ряд других причин в совокупности делают неподготовленные сети открытыми для деятельности злоумышленников и уязвимыми к связанными с этим проблемам . Следующие пун кты кратко описывают Интернет , TCP/IP, а затем рассказывают о некоторы х проблемах безопасности в Интернете и пр ичинах , делающих достаточно серьезными . Интернет Интернет - это всемирная сеть сетей , которая использует для взаимодействия стек протоколов TCP/ IP. Вначале Интернет был создан для улучшения взаимо действия между научными организациями , выполнявши ми работы в интересах правительства США . В течение 80-х годов к Интернету подключилис ь образовательные учреждения , государственные орг анизации , различные а мериканские и и ностранные фирмы . В 90-е годы Интернет переж ивает феноменальный рост , причем увеличение ч исла соединений превышает все темпы , имевшие место ранее . Теперь к Интернету присоедин ены многие миллионы пользователей , причем тол ько половина из них к оммерческие пользователи [Cerf93]. Сейчас Интернет используется ка к основа для Национальной Информационной Инфр аструктуры (NII) США . 1.1.1 Типовые серви сы Существует ряд сервисов , связанных с TCP/IP и Интернетом . Наибол ее распространенным сервисом является элект ронная почта , реализованная на базе протокола SMTP(Простой Протокол Передачи Писем ). Также широко используются TELNET(эмуляция удаленного термина ла ) и FTP(протокол передачи файлов ). Помимо ни х существует ряд сервисов и протоколов дл я удаленной печати, предоставления удаленног о доступа к файлам и дискам , работы с распределенными базами данных и организации других информационных сервисов . Далее привод ится краткий список наиболее распространенных сервисов : · SMTP - Простой протокол передачи почты , исполь зуется для прие ма и передачи электронной почты · TELNET - используется для подключения к у даленным системам , присоединенным к сети , прим еняет базовые возможности по эмуляции термина ла · FTP - Протокол передачи файлов , используется для приема или передачи файлов между системами в сети · DNS - Служба сетевых имен , используется TELNET, FTP и другими сервисами для трансляции имен хостов в IP адреса . · информацион ные сервисы , такие как o gopher - средство поиска и просмотра информации с помощью системы меню , которое мож ет обеспечить дружественный интерфейс к други м информационным сервисам o WAIS - глобальный информационный сервис , исп ользуется для индексирования и поиска в б азах данных файлов o WWW/http - Всемирная Паутина , объединение FTP, gopher, WAIS и других информационных сервисов , использующе е протокол передачи гипертекста (http), и программы Netscape, Microsoft Internet Explorer и Mosaic в качестве клиентских программ . · сервисы на основе RPC - сервисы на основе Уд аленного Вызова Процедур , такие как o NFS - Сетевая файловая система , позволяет си стемам совместно использовать директории и ди ски , при этом удаленная директория или дис к кажутся находящимися на локальной машине o NIS - Сетевые Информационные Сервисы , позво ляют нескольким системам совместн о исполь зовать базы данных , например файл паролей , для централизованного управления ими · Система X Windows - графическая оконная Среда и на бор прикладных библиотек , используемых на рабочих станциях · rlogin, rsh и другие r-сервисы - реализуют концеп цию доверяющих друг другу хостов , позвол яют выполнять команды на других компьютерах , не вводя пароль Хотя сервисы TCP/IP могут в равной степени использоваться как в локальных сетях , так и в глобальных сетях , в локальных сетях , как правило , применяется совмест ное использование файлов и принтеров , а электронная почта и уд аленный терминальный доступ - в обоих случаях . С каждым годом возрастает популярность gopher и www . Оба этих сервиса приводят к возникн овению проблем для разработчиков брандмауэров и будут рас с мотрены в следующи х главах . 1.1.2 Хосты в Ин тернете На многих сист емах , подключенных к Интернету , работает одна из версий ОС Unix. Впервые TCP/IP был реализован в начале 80-х годов в версии Unix, написанн ой в университете в Калифорнии в Беркли , известной как BSD(Berkeley Software Distribution). Многие современные версии Unix позаимствовали тексты сетевых программ из этой версии , поэтому Unix обеспечивает бо лее или менее стандартный набор сервисов TCP/IP. Это привело к тому , что много различных версий Unix а имеют одни и те же уязвимые места , правда , это также при вело к целесообразности широкого применения с тратегий брандмауэров , таких как фильтрация IP. Следует отметить , что исходные тексты BSD UNIX можно легко получить в ряде Интернетовских сер веров , поэто м у как хорошие , так и плохие люди могут изучить тексты про грамм и найти в них потенциальные уязвимы е места и использовать их для проникновен ия . Хотя Unix и является наиболее распространенн ой ОС в Интернете , к нему присоединено много различных типов компьют еров с другими ОС , включая системы с DEC VMS, NeXT, MVS и ОС персональных компьютеров , такие как DOS, Microsoft Windows, Windows'95, Windows NT и Apple. Хотя персональные компьютеры обес печивают только клиентскую часть сервисов , то есть , используя TELNET, можно подключитьс я с персонального компьютера , но не к персональному компьютеру , все возрастающая мощнос ть ПЭВМ начинает также обеспечивать предостав ление тех же сервисов , которые сейчас пред оставляются большими компьютерами , только гораздо дешевле . Верси и Unix для ПЭВМ , включ ая Linux, FreeBSD и BSDi, а также другие ОС , такие как Microsoft Windows NT, могут сейчас обеспечить те же самы е сервисы и приложения , которые ранее были только на больших системах . Следствием эт ого является то , что сейчас полный набо р сервисов TCP/IP используется небывалым количеством людей . Хотя это и хорошо в том смысле , что сетевые сервисы стали о бщедоступны , отрицательные последствия заключаются в возникновении огромных возможностей для совершения преступлений у злоумышленников ( а также у неграмотных пользователей , которые в некоторых случаях могут рассматр иваться как вид злоумышленников ) . Обзор внутрен него устройства TCP/IP Этот раздел со держит краткое описание TCP/IP в объеме , достаточно м для последующего обсуждения проблем безоп асности , связанных с Интернетом . [Com91a],[Com91b],[Hunt92] и [Bel89] содержат гораздо более подробное описание ; читатели , которые хотят получить более г лубокое представление , должны обратиться к эт им источникам . Отчасти популярность стека протоколов TCP/ IP объясняется возможностью его реализации на базе большого числа разнообразных канал ов и протоколов канального уровня , таких к ак T1 и Х .25, Ethernet и линии RS-232. Большинство организа ций использует в своих ЛВС Ethernet для объедине ния хостов и клиентск и х систем , а затем присоединяет эти сети с помощь ю T1 к региональной сети . (например , региональной магистральной сети TCP/IP), которая соединяет в свою очередь с сетями других организаций и другими магистральными каналами . Как прав ило , организации имеют од н о соедин ение с Интернетом , но большие организации могут иметь два и более соединений . Скорос ти модемов увеличиваются по мере появления новых коммуникационных стандартов , поэтому верс ии TCP/IP, которые работают в среде коммутируемых телефонных каналов , ста н овятся вс е более популярными . Многие организации и просто отдельные люди используют PPP (Point-to-Point Protocol) и SLIP (Serial Line IP) для подключения своих сетей и рабочих станций к другим сетям , используя телефонны е каналы . Если говорить строго , то T CP/IP - это стек протоколов , включающий TCP, IP, UDP (User Datagram Protocol), ICMP (Internet Control Message Protocol), и ряд других протоколов . Стек протоколов TCP/IP не соответствует модели взаимодействия открытых систем (ВОС ), и его структура показана на рисунке 1.1 1.2 IP Уровень IP получает пакеты , доставлемые нижними уровнями , наприме р драйвером интерфейса с ЛВС , и передает их лежащим выше уровням TCP или UDP. И наоб орот , IP передает пакеты , полученные от уровней TCP и UDP к ниже лежащим уровням . Пакеты IP являются дейтаграмами с негаранти рованной доставкой , потому что IP ничего не делает для обеспечения гарантии доставки паке тов IP по порядку и без ошибок . Пакеты IP содержат адрес хоста , с которого был посла н пакет , называемый ад ресом отправителя , и адрес хоста , который должен получить пакет , называемый адресом получателя . Высокоуровневые сервисы TCP и UDP при приеме пакета предполагают , что адрес отправителя , указанный в пакете , является истинным . Другими словами , адрес IP являе тся основой для аутентификации во многих сервисах ; сервисы предполагают , что пакет был послан от с уществующего хоста , и именно от того хоста , чей адрес указан в пакете . IP имеет опц ию , называемую опция маршрутизации источника , которая может быть использов а на д ля для указания точного прямого и обратно го пути между отправителем и получателем . Этот путь может задействовать для передачи пакета маршрутизаторы или хосты , обычно не использующиеся для передачи пакетов к да нному хосту-получателю . Для некоторых серв и сов TCP и UDP пакет IP c такой опцией кажется пришедшим от последней системы в указанн ом пути , а не от своего истинного отпр авителя . Эта опция появилась в протоколе д ля его тестирования , но [Bel89] отмечает , что ма ршрутизация источника может использоватьс я для обмана систем с целью установл ения соединения с ними тех хостов , которым запрещено с ними соединяться . Поэтому , то , что ряд сервисов доверяют указанному IP-ад ресу отправителя и полагаются на него при аутентификации , очень опасно и может прив ести к пр о никновению в систему . 1.2.2 TCP Если IP-пакеты с одержат инкапсулированные пакеты TCP, программы IP пер едадут их вверх уровню TCP. TCP последовательно нум ерует все пакеты и выполняет исправление ошибок , и реализует таким образом виртуальные соединения межд у хостами . Пакеты TCP сод ержат последовательные номера и подтверждения о приеме пакетов , поэтому пакеты , принятые не в порядке передачи , могут быть пер еупорядочены , а испорченные пакеты повторно п осланы . TCP передает полученную информацию приложения м вер хнего уровня , например клиенту ил и серверу TELNETа . Приложения , в свою очередь , передают информацию обратно уровню TCP, который передает ее ниже уровню IP, после чего он а попадает к драйверам устройств , в физиче скую среду и по ней передается до хос та-полу ч ателя . Сервисы с установлением соединения , такие как TELNET, FTP, rlogin, X Windows и SMTP требуют надежности и поэтому используют TCP. DNS использует TCP только в ряде случаев ( для передачи и приема баз данных доменных имен ), а для передачи информации об отдельных хостах использует UDP . 1.2.3 UDP Как показано н а рисунке 1.1, UDP взаимодействует с прикладными пр ограммами на том же уровне , что и TCP. Тем не менее , он не выполняет функции исп равления ошибок или повторной передачи потеря нных пакетов . Поэтому UDP не используется в сервисах с установлением соединения , которым требуется создание виртуального канала . Он применяется в сервисах типа запрос-ответ , та ких как NFS, где число сообщений в ходе в заимодействия гораздо меньше , чем в TELNET и FTP. В число с е рвисов , использующих UDP, вх одят сервисы на базе RPC, такие как NIS и NFS, NTP( протокол сетевого времени ) и DNS(также DNS исполь зует TCP). Пакеты UDP гораздо проще подделать , чем п акеты TCP, так как нет этапа установления сое динения ( рукопожатия ).[Ches94 ]. Поэтому с использо ванием сервисов на базе UDP сопряжен больший риск . 1.2.4 ICMP ICMP (Протокол межсе тевых управляющих сообщений ) находится на том же уровне , что и IP; его назначение - пер едавать информацию , требуемую для управления траффиком IP. В-осно вном , он используется для предоставления информации о путях к хост ам-получателям . Сообщения ICMP redirect информируют хосты о существовании боле коротких маршрутов к другим системам , а сообщения ICMP unreachable указывает на наличие проблем с нахождением п ути к получателю пакета . Кроме того , ICMP может помочь корректно завершить соединение TCP, если путь стал недоступен . PING является ши роко распространенным сервисом на базе ICMP. [Bel89] рассматривает две проблемы с ICMP: старые версии Unix могут разорват ь все соединен ия между хостами , даже если только одно из них столкнулось с проблемами . Кроме того , сообщения о перенаправлении пути ICMP могут быть использованы для обмана маршрутизаторов и хостов с целью заставить их повери ть в то , что хост злоумышленник а является маршрутизатором и пакеты лучш е отправлять через него . Это , в свою оч ередь , может привести к тому , что атакующи й получит доступ к системам , которым не разрешено иметь соединения с машиной атаку ющего или его сетью . 1.2.5 Структура пор тов TCP и UDP Сервисы TCP и UDP ис пользуются с помощью схемы клиент-сервер . Напр имер , процесс сервера TELNET вначале находится в состоянии ожидания запроса установления соедин ения . В какой-нибудь момент времени пользовате ль запускает процесс клиента TELNET, который ини циирует соединение с сервером TELNET. Клиент посылает данные серверу , тот читает их , и посылает обратно клиенту ответ . Клиент ч итает ответ и сообщает о нем пользователю . Поэтому , соединение является двунаправленным и может быть использовано как для чтен ия, так и для записи . Как много одновременных соединений TELNET може т быть установлено между системами ? Соединени е TCP или UDP уникальным образом идентифицируется с помощью четырех полей , присутствующих в к аждом соединении : · IP-адрес источника - адрес сист емы , которая послала пакет · IP-адрес получателя - адрес системы , кото рая принимает пакет · порт от правителя - порт соединения в системе-отправителе · порт по лучателя - порт соединения в системе-получателе Порт - это прог раммное понятие , которое исполь зуется кли ентом или сервером для посылки или приема сообщений ; порт идентифицируется 16-битвым числ ом . Серверные процессы обычно ассоциируются с фиксированным числом , например числом 25 для SMTP или 6000 для X Windows; номер порта является известны м , так к ак он требуется , помимо IP-адреса получателя , при установлении соединения с конкретным хостом и сервисом . Клиентски е процессы , с другой стороны , запрашивают номер порта у операционной системы в нача ле работы ; и номер порта является случайны м , хотя в некот о рых случаях он является следующим в списке свободных но меров портов . Для иллюстрации того , как используются порты для посылки и приема сообщений , р ассмотрим протокол TELNET. Сервер TELNET слушает приходящие сообщения на порту 23, и сам посылает с ообщения на порт 23. Клиент TELNET, на той ж е или другой системе , сначала запрашивает неиспользуемый номер порта у ОС , а затем использует его при посылке и приеме сообщений . Он должен указывать это номер п орта , например 3097, в пакетах , предназначенных для сервера TELNET, чтобы этот сервер пр и ответе на сообщение клиента мог помести ть это номер в посылаемые им TCP-пакеты . Хост клиента по приему сообщения должен п осмотреть номер порта в сообщении и решит ь , какой из клиентов TELNET должен принять это сообщение . Этот п роцесс показан на рисунке 1.2 Рисунок 1.2 Взаимодействие при TELNET Существует достаточно распространенное правило , соглас но которому тольуо привилегированные процессы сервера , то есть те процессы , которые ра ботают с привилегиями суперпользователя UNIX, могут использовать порты с номерами меньше , чем 1024( так называемые привилегированные пор т ы ). Сервера в-основном используют порты с номерами меньше , чем 1024, а клиенты как правило должны запрашивать непривилегированные порты у ОС . Хотя это правило и не является обязательным для исполнения и н е требуется спецификацией протоколов TCP/IP, систем ы на основе BSD соблюдают его . В результате всего этого брандмауэры могут блокировать или фильтровать доступ к службам на основе проверки номеров портов в TCP- и UDP-пакетах и последующего пропускания через себя или удаления пакета на ос нове политики , указ ывающей доступ к ка ким службам разрешен или запрещен . (более детально это описано в главе 2). Не все серверы и клиенты TCP и UDP испо льзуют порты таким простым способом , как TELNET, но в целом , процедура , описанная здесь , п олезна в контексте брандмауэра . Например , многие ОС персональных компьютеров не испо льзуют понятия суперпользователя UNIX, но все-таки используют порты описанным выше способом ( х отя нет стандарта , требующего это ). Проблемы , связ анные с безопасностью Как было устан овлено ранее , Интернет страдает от серье зных проблем с безопасностью . Организации , кот орые игнорируют эти проблемы , подвергают себя значительному риску того , что они будут атакованы злоумышленниками , и что они мог ут стать стартовой площадкой при атаках н а другие сети . Даже те о р ганиз ации , которые заботятся о безопасности , имеют те же самые проблемы из-за появления новых уязвимых мест в сетевом программном обеспечении (ПО ) и отсутствия мер защиты от некоторых злоумышленников . Некоторые из проблем безопасности в И нтернете - результ ат наличия уязвимых мест из-за ошибок при проектировании в службах ( и в протоколах , их реализующих ) , в то время как другие - результат ошибок при конфигурировании хоста или средств управления доступом , которые или плохо установлены и ли настолько сложны , ч то с трудо м поддаются администрированию . Кроме того : рол ь и важность администрирования системы часто упускается при описании должностных обязанно стей сотрудников , что при приводит к тому , что большинство администраторов в лучшем случае нанимаются на непол н ый рабочий день и плохо подготовлены . Это усу губляется быстрым ростом Интернета и характер а использования Интернета ; государственные и коммерческие организации теперь зависят от Ин тернета ( иногда даже больше : чем они думаю т ) при взаимодействии с другими о р ганизациями и исследованиях и поэтому понесут большие потери при атаках на и х хосты . Следующие главы описывают проблемы в Интернете и причины , приводящие к их возникновению . 1.3.1 Инциденты с безопасностью в Интернете В доказательство того , что описанные выше угрозы реа льны , три группы инцидентов имели место в течение нескольких месяцев друг после др уга . Сначала , началось широкое обсуждение обна руженных уязвимых мест в программе UNIX sendmail( это транспортная почтовая программа на большинстве хостов с Un i x. Это очень большая и сложная программа , и в ней уже несколько раз были найдены уязвимые места , которые позволяют злоумышленнику получить дост уп в системы , в которых запущена sendmail). Органи зациям , которые не имели исправленных версий программы , пришло с ь срочно исправ лять эти ошибки в своих программах sendmail до того , как злоумышленники используют эти у язвимые места для атаки на их сети . Те м не менее , из-за сложности программы sendmail и сетевого ПО в целом три последующие версии sendmail также содержа л и ряд уязв имых мест [CIAC94a]. Программа sendmail широко использовалась , поэтому организациям без брандмауэров , для того чтобы ограничить доступ к этой прогр амме , пришлось быстро регировать на возникавш ие проблемы и обнаруживаемые уязвимые места . Во-вторых , обнаружилось , что популярная версия свободно распространяемого FTP-сервера сод ержала троянского коня , позволявшего получить привилегированный доступ к серверу . Организациям , использовавшим этот FTP-сервер , не обязательно зараженную версию , также пришлос ь быстро реагировать на эту ситуацию [CIAC94c]. Многи е организации полагаются на хорошее качество свободного ПО , доступного в Интернете , ос обенно на ПО в области безопасности с дополнительными возможностями по протоколированию , управлению доступом и проверк е целостности , которое не входит в состав ОС , поставляемой ее производителем . Хотя это ПО часто очень высокого качества , организ ации могут оказаться в тяжелом положении , если в ПО будут найдены уязвимые места или с ним возникнут другие проблемы , и должны б у дут полагаться только на его авторов .( Справедливости ради , стоит отметить , что даже ПО , сделанное производ ителем ОС , может страдать от таких же проблем и его исправление может оказаться более продолжительным ). Третья проблема имела самые серьезные послед ствия : [CERT94] и [CIAC94b] сообщили , что злоумы шленники проникли в тысячи систем во всем Интернете , включая шлюзы между большими с етями и установили анализаторы пакетов для перехвата в сетевом траффике имен пользова телей и статических паролей , вводимых п о льзователями для подключения к с етевым системам . Злоумышленники также использовал и другие известные технологии для проникновен ия в системы , а также перехваченные ими пароли . Одним из выводов , которые можно поэтому сделать является то , что статические или п овторно используемые пароли не должны использоваться для управления до ступом . Фактически , пользователь , подключающийся к сетевой системе через Интернет , может неу мышленно подвергнуть эту систему риску быть атакованной злоумышленниками , которые могли перех в атить сетевой траффик , идущий к этой удаленной системе . Следующие разделы более детально описываю т проблемы с безопасностью в Интернете . [Garf92], [Cur92],[ Bel89], [Ches94] и [Farm93] являются книгами , где вы найдет е более детальную информацию . 1.3.2 Сл абая аутентификация Группы улаживания инцидентов считают , что большинство инцидент ов произошло из-за использования слабых , стати ческих паролей . Пароли в Интернете могут б ыть "взломаны " рядом способов , но двумя сам ыми распространенными являются взлом зашифр ованной формы пароля и наблюдение за каналами передачи данных с целью перехва та пакетов с паролями . ОС Unix обычно хранит пароли в зашифрованной форме в файле , который может быть прочитан любым пользова телем . Этот файл паролей может быть получе н простым к о пированием его или одним из других способов , используемых злоу мышленниками . Как только файл получен , злоумыш ленник может запустить легко-доступные программы взлома паролей для этого файла . Если пароли слабые , то есть меьше , чем 8 символов , являются словам и , и т.д ., то они могут быть взломаны и использованы дл я получения доступа к системе . Друная проблема с аутентификацией возника ет из-за того , что некоторые службы TCP и UDP могут аутентифицировать только отдельный хост , но не пользователя . Например , сервер NFS(UDP) не может дать доступ отдельному пользовате лю на хосте , он может дать его всему хосту . Администратор сервера может доверять отдельному пользователю на хосте и дать ему доступ , но администратор не может з апретить доступ других пользователей на это м хосте и поэтому автоматически должен предоставить его всем пользователям и ли не давать его вообще . 1.3.3 Легкость набл юдения за передаваемыми данными Следует отметить , что когда пользователь установил сеанса с удаленным хостом , используя TELNET или FTP, то пароль пользователя передается по Интернету в незашифрованном виде . Поэтому другим сп особом проникновения в системы является наблю дение за соединением с целью перехвата IP-п акетов , содержащих имя и пароль , и последу ющее использование их для нормального входа в систему . Если перехваченный па роль является паролем администратора , то зада ча получения привилегированного доступа становит ся гораздо легче . Как уже ранее отмечалось , сотни и даже тысячи систем в Интерне те были скомпрометированы в результате перех в ата имен и паролей . Электронная почта , а также содержимое сеансов TELNET и FTP, может перехватываться и использо ваться для получения информации об организаци и и ее взаимодействии с другими организац иями в ходе повседневной деятельности . Больши нство пользо вателей не шифруют почту , так как многие полагают , что электронная п очта безопасна и с ее помощью можно п ередавать критическую информацию . Система X Windows, становящаяся все более популяр ной , также уязвима перехвату данных . X позволяет открывать нескольк о окон на рабочей станции для работы с графическими и мультимедийными приложениями ( например , WWW-браузером Netscape). Злоумышленники могут иногда открывать окна на других системах и перехватывать текст , набираемый на клавиатуре , который может содержать п а роли и критическую ин формацию . 1.3.4 Легкость маск ировки под других Как уже отмеча лось в части 1.2.1 , предполагается , что IP-адрес хоста правильный , и службы TCP и UDP поэтому могут доверять ему . Проб лема заключается в том , что используя маршрути зацию IP-источника , хост атакующего может замас кироваться под доверенного хоста или клиента . Коротко говоря , маршрутизация IP-источника - это опция , с помощью которой можно явно у казать маршрут к назначению и путь , по которому пакет будет возвращаться к отправителю . Это путь может включать испо льзование других маршрутизаторов или хостов , которые в обычных условиях не используются при передаче пакетов к назначению . Рассмотр им следующий пример того , как это може т быть использовано для маскировки системы атакующего под доверенный клиент какого-то сервера : 1. Атакующий меняет IP-адрес своего хоста на тот , который имеет доверенный клиент . 2. Атакующий создает маршру т для маршрутизации источника к этому сер веру , в к отором явно указывает путь , по которому должны передаваться IP-пакеты к серверу и от сервера к хосту атакующ его , и использует адрес доверенного клиента как последний промежуточный адрес в пути к серверу . 3. Атакующий посылает клиен тский запрос к серверу , используя опцию маршрутизации источника . 4. Сервер принимает клиентс кий запрос , как если бы он пришел от доверенного клиента , и возвращает ответ дов еренному клиенту . 5. Доверенный клиент , исполь зуя опцию маршрутизации источника , переправляет пакет к хост у атакующего . Многие хосты Unix принимают пакеты с маршрутизацией источника и будут передавать их по пути , указанному в пакете . Многие маршрутизаторы также при нимают пакеты с маршрутизацией источника , в то время как некоторые маршрутизаторы могу т быть ско нфигурированы таким образом , что будут блокировать такие пакеты . Еще более простым способом маскировки под клиента является ожидание того момента времени , когда клиентская система будет в ыключена , и последующая маскировка под нее . Во многих организациях с отрудники испо льзуют персональные ЭВМ с сетевой математикой TCP/IP для подключения к хостам с Unixом и используюют машины с Unix как серверы ЛВС . ПЭВМ часто используют NFS для получения доступа к директориям и файлам на сервере (NFS и спользует только IP-ад р еса для ауте нтификации клиентов ). Атакующий может сконфигуриро вать по окончании работы свой ПЭВМ таким образом , что он будет иметь то же самое имя и IP-адрес , что и другая маш ина , а затем инициировать соединение с Unixов ским хостом , как если бы он был дов е ренным клиентом . Это очень просто сделать и именно так поступают атакующие- сотрудники организации . Электронную почту в Интернете особенно легко подделать , и ей вообще нельзя дов ерять , если в ней не применяются расширени я , такие как электронная подпись пис ьм а [NIST94a]. Например , давайте рассмотрим взаимодействие между хостами Интернета при обмене почто й . Взаимодействие происходит с помощью просто го протокола , использующего текстовые команды . Злоумышленник может легко ввести эти команды вручную , используя T E LNET для установл ения сеанса с портом SMTP( простой протокол п ередачи почты ). Принимающий хост доверяет тому , что заявляет о себе хост-отправитель , поэ тому можно легко указать ложный источник письма , введя адрес электронной почты как адрес отправителя , ко т оырй будет о тличаться от истинного адреса . В результате , любой пользователь , не имеющий никаких прив илегий , может фальсифицировать электронное письмо . В других сервисах , таких как DNS, также можно замаскироваться под другую машину , но сделать это нескольк о сложнее , чем для электронной почты . Для этих сервисов до сих пор существуют угрозы , и их надо учитывать тому , кто собирается пользоват ься ими . 1.3.5 Недостатки сл ужб ЛВС и взаимное доверие хостов друг к другу Хосты тяжело п оддерживать в безопасном состо янии и это занимает много времени . Для упрощения управления хостами и большего использования п реимуществ ЛВС , некоторые организации используют такие сервисы , как NIS(Network Information Service) и NFS(Network File system). Эти с ервисы могут сильно уменьши т ь вре мя на конфигурирование хостов , позволяя управ лять рядом баз данных , таких как файлы паролей , с помощью удаленного доступа к ним и обеспечивая возможность совместного использования файлов и данных . К сожалению , эти сервисы небезопасны по своей природе и могут использоваться для получе ния доступа грамотными злоумышленниками . Если скомпрометирован центральный сервер , то другие системы , доверяющие центральной системе , также могут быть легко скомпрометированы . Некоторые сервисы , такие как rlogin, позволяют хостам "доверять " друг другу для удо бства работы пользователей и облегчения совме стного использования систем и устройств . Если в систему было совершено проникновение и ли ее обманули с помощью маскарада , и этой системе другие системы , то для злоумы шленник а не составит труда получить доступ к другим системам . Например , польз ователь , зарегистрированный на нескольких машинах , может избавиться от необходимости вводить пароль , сконфигурировав себя на этих машина х так , что они будут доверять подключению с основн о й системы пользователя . Когда пользователь использует rlogin для подключе ния к хосту , то машина , к которой подкл ючаются , не будет спрашивать пароль , а под ключение будет просто разрешено . Хотя это и не так уж плохо , так как пароль пользователя не передаетс я и не сможет быть перехвачен , это имеет тот нед остаток , что если злоумышленник проникнет на основную машину под именем пользователя , то злоумышленник легко сможет воспользоваться rlogin для проникновения в счета пользователя н а других системах . По этой пр и чине использование взаимного доверия хостов д руг к другу не рекомендуется [Bel89][Ches94]. 1.3.6 Сложность кон фигурирования и мер защиты Системы управления доступом в хостах часто сложны в нас тройке и тяжело проверить , правильно ли он и работают . В результа те неправильно с конфигурированные меры защиты могут привести к проникновению злоумышленников . Несколько крупны х производителей Unix все еще продают свои си стемы с системой управления доступом , сконфиг урированной так , что пользователям предоставлен максима л ьный ( то есть наименее безопасный ) доступ , который может привести к неавторизованному доступу , если не будет пр оизведена переконфигурация . Ряд инцидентов с безопасностью произошел в Интернете отчасти из-за того , что зл оумышленники обнаружили уязвимые мес та ( п озднее их обнаружили пользователи , группы ком пьютерной безопасности и сами производители ) . Так как большая часть современных вариантов Unix позаимствовала свой сетевой код из верс ии BSD, и так как исходный код этой верси и широко доступен , злоумышлен н ики смогли изучить его на предмет ошибок и условий , при которых их можно использовать для получения доступа к системам . Отчасти ошибки существуют из-за сложности программ и невозможности проверить их во всех с редах , в которых они должны работать . Иног да о ш ибки легко обнаруживаются и исправляются , но бывает и так , что над о , как минимум , переписать все приложение , что является последним средством ( программа sendmail тому пример ). 1.3.7 Безопасность на уровне хостов не масштабируется. Безопасность на уровне х остов плохо шкалируется : по мере того , как возрастает число хостов в сети , возможности по обеспечению гарантий безопасности на высоком уровне для каждого хоста уменьшаются . Учитывая то , что админ истрирование даже одной системы для поддержан ия безопасности в ней может оказат ься сложным , управление большим числом таких систем может легко привести к ошибкам и упущениям . Важно также помнить , что за частую важность работы системных администраторов не понимается и эта работа выполняется кое-как . В результате неко т орые системы могут оказаться менее безопасными , че м другие , и именно эти системы станут слабым звеном , которое в конечном счете пр иведет к появлению уязвимого места в сист еме безопасности . Если обнаруживается уязвимость в сетевом ПО , сети , которая не защи щена бран дмауэром , нужно срочно исправить ошибку на всех системах , где она обнаружена . Как у же говорилось в пункте 1.3.2 , некоторые уязвимые места позволяют получить легкий доступ с права ми суперпользователя Unix. Организация , имеющая много Unix-хостов , будет особенно уязвима к а такам злоумышленников в такой ситуации . Задел ывание уязвимых мест на многих системах з а короткий промежуток времени просто невозмож но , и если используются различные версии О С , может оказать с я вообще невозмож ным . Такие сети будут просто-таки напрашиватьс я на атаки злоумышленников . Насколько уяз вимы сети организаци в Интернете ? Как уже отмеча лось в предыдущих разделах , ряд служб TCP и UDP плохо обеспечивают безопасность в современн ой среде в И нтернете . При миллионах пользователей , подключенных к Интернету , и п ри том , что правительства и промышленность зависят от Интернета , недостатки в этих службах , а также легкодоступность исходного кода и средств для автоматизации проникнов ения в системы мог у т сделать сети уязвимыми к проникновениям в них . Тем не менее , настоящий риск при использовани и Интернета трудно оценить , и непросто ска зать , насколько уязвима сеть к атакам злоу мышленников . Такой статистики не ведется . Координационный Центр по групп расс ледования происшествий с компьютерной без опасностью (CERT/CC) ведет некоторую статистику о чи сле инцидентов , которые они расследовали посл е его создания в 1988 году . Числа в этой статистике увеличиваются скачкообразно каждый год , но следует помнить , что и ч исло машин в Интернете также растет . В некоторых случаях CERT считает несколько про никновений одного и того жн типа одним происшествием , поэтому одно происшествие может состоять из нескольких сотен проникновений в ряд систем . Трудно сказать , насколько про п орциональны число инцидентов и число проникновений . Эта проблема также о сложняется тем , что чем больше людей знают о существовании групп по расследованию и нцидентов , тем больше вероятность того , что они сообщат о происшествии , поэтому на самом деле непоня т но , то ли пр оисходит все больше происшествий , то ли со общается о все большем их проценте . NIST считает , что Интернет , хотя и являе тся очень полезной и важной сетью , в т о же самое время очень уязвим к атака м . Сети , которые соединены с Интернетом , по двергаю тся некоторому риску того , что их системы будут атакованы или подвергнуты некоторому воздействию со стороны злоумышленни ков , и что риск этого значителен . Следующи е факторы могут повлиять на уровень риска : · число систем в сети · какие службы использ уются в сети · каким образом сеть соединена с Интернетом · профиль сети , или насколько известно о ее существовании · насколько готова орг анизация к улаживанию инцидентов с компьютерн ой безопасностью Чем больше сис тем в сети , тем труднее контролировать их бе зопасность . Аналогично , если сеть с оединена с Интернетом в нескольких местах , то она будет более уязвима чем сеть с одним шлюзом . В то же самое время , то , насколько готова к атаке организация , или то , насколько она зависит от Инте рнета , может увеличить ил и уменьшить риск . Сеть , имеющая привлекательный для з лоумышленников профиль , может подвергнуться больш ему числу атак с целью получения информац ии , хранящейся в ней . Хотя , стоит сказать , что "молчаливые " мало посещаемые сети также привлекательны для злоумыш л енников , так как им легче будет скрыть свою активность . NIST заявляет , что сети , которые используют рекомендованные процедуры и меры защиты для повышения компьютерной безопасности , будут подвергаться значительно меньшему риску атак . Брандмауэры в сочетани и с одноразовыми паролями , которые устойчивы к их перехват у , могут увеличить общий уровень безопасности сети и сделать использование Интернета д остаточно безопасным . Следующие главы содержат более детальное описание брандмауэров и то го , как они могут испо л ьзованы для защиты от многих угроз и уязвимых мест , описанных в этой главе . Почему именно брандмауэры ? Оснвоной причиной использования брандмауэров является тот факт , что без брандмауэра системы подсети подв ергаются опасности использования уязвимых мест с лужб , таких NFS и NIS, или сканирования и атак со стороны хостов в Интернете . В среде без брандмауэра сетевая безопасность целиком зависит от безопасности хостов и все хосты должны в этом случае взаим одействовать для достижения одинаково высокого уровня б е зопасности . Чем больше подсеть , тем труднее поддерживать все хосты на одном уровне безопасности . Ошибки и упущения в безопасности стали распространенным и , проникновения происходят не в результате хитроумных атак , а из-за простых ошибок в конфигурировании и угадываемых паро лей . Подход с использованием брандмауэра имеет многочисленные преимущества для сетей и помогает повысить безопасность хостов . Следующие разделы кратко описывают выгоды использовани я брандмауэра . 2.2.1 Защита от уязвимых мест в службах Бр андмауэр может значительно повысить сетевую безопасност ь и уменьшить риски для хостов в подс ети путем фильтрации небезопасных по своей природе служб . В результате подсеть будет подвергаться гораздо меньшему числу опасностей , так как только через брандмауэ р смогут пройти только безопасные проток олы . Например , брандмауэр может запретить , чтоб ы такие уязвимые службы , как NFS, не использо вались за пределами этой подсети . Это позв оляет защититься от использования этих служб посторонними атакующими , но продолжат ь использовать их внутри сети , не подвергаясь особой опасности . Поэтому можно будет спо койно использовать такие удобные службы , как NFS и NIS, специально разработанные для уменьшения затрат на администрирование в локальной сети . Брандмауэры также могут об еспечить защиту от атак с использованием маршрутиза ции , таких как маршрутизация источника и п опыток изменить маршруты передачи данных с помощью команд перенаправления ICMP. Брандмауэр мо жет заблокировать все пакеты с маршрутизацией источника и перенаправл е ня ICMP, а затем информировать администраторов об инциден тах . 2.2.2 Управляемый д оступ к систем сети Брандмауэр также предоставляет возможности по управлению дост упом к хостам сети . Например , некоторые хо сты могут быть сделаны достижимыми из вне шних сетей , в то время как доступ к другим системам извне будет запрещен . Сеть может запретить доступ к своим хост ам извне , за исключением особых случаев , т аких как почтовые сервера или информационные сервера . Эти свойства брандмауэров требуются при политике управл ения доступом , построенно й по принципу : не предоставлять доступ к хостам или службам , к которым доступ не требуется . Другими словами , зачем давать доступ к хостам и службам , которые могу т использоваться атакующими , когда на самом деле он не нужен или не т р ебуется ? Если , например , пользователю не нужно , чтобы кто-то в сети мог получить доступ к его рабочей станции , то бран дмауэр как раз и может реализовать этот вид политики . 2.2.3 Концентрированная безопасность Брандмауэр может на самом деле оказаться недор огим для организации из-за того , что большинство или все изменения в программах и доп олнительные программы по безопасности будут у становлены на системе брандмауэра , а не ра спределены по большому числу хостов . В час тности , системы одноразовых паролей и дру г ие дополнительные программы усиленно й аутентификации могут быть установлены тольк о на брандмауэре , а не на каждой систе ме , которой нужно обращаться к Интернету . Другие подходы к сетевой безопасности , такие как Kerberos[NIST94c] требуют модификации програм м на каждой системе в сети . Поэтом у , хотя Kerberos и другие технологии также должн ы рассматриваться из-за их преимуществ и м огут оказаться наиболее подходящими , чем бран дмауэры в определенных ситуациях , все-таки бра ндмауэры проще в реализации , так как спе ц иальные программы требуются только на брандмауэре . 2.2.4 Повышенная ко нфиденциальность Конфиденциальность очень важна для некоторых организаций , так как то , что обычно считается безобидной информацией , может на самом деле содержат ь полезные подсказки для атакующего . Исп ользуя брандмауэр , некоторые сети могут забло кировать такие службы , как finger и доменную сл ужбу имен . finger дает информацию о пользователях , такую как время последнего сеанса , читал ась ли почта , и другие данные . Но finger мож ет дать атаку ю щему информацию о том , как часто используется система , работаю т ли сейчас в этой системе пользователи , и может ли быть система атакована , не привлекая при этом внимания . Брандмауэры также могут быть использованы для блокирования информации DNS о системах сети , поэтому имена и IP-адреса хостов в сети не станут известны хостам в Интернете . Некоторые организации уже убедились в том , что блокируя эту информацию , они скрывают ту информацию , которая была бы полезна для атакующего . 2.2.5 Протоколирование и стати стика использования сети и попыток проникновения Если все досту п к Интернету и из Интернета осуществляет ся через брандмауэр , то брандмауэр может п ротоколировать доступ и предоставить статистику об использовании сети . При правильно наст роенной системе сигна лов о подозрительных событиях (alarm), брандмауэр может дать детальную информацию о том , были ли брандмауэр или сеть атакованы или зондированы . Важно собирать статистику использования с ети и доказательства зондирования по ряду причин . Прежде всего нужно з нать на верняка , что брандмауэр устойчив к зондирован ию и атакам , и определить , адекватны ли меры защиты брандмауэра . Кроме того , статист ика использования сети важна в качестве и сходных данных при проведении исследований дл я формулирования требований к сет е вому оборудованию и программам и анал изе риска . 2.2.6 Претворение в жизнь политики И наконец , само е важное - брандмауэр предоставляет средства р еализации и претворения в жизнь политики сетевого доступа . Фактически , брандмауэр обеспечив ает управление досту пом для пользователей и служб . Поэтому , политика сетевого досту па может быть реализована с помощью бранд мауэра , в то время как без него , такая политика зависит целиком от доброй воли пользователей . Организация может зависеть от своих пользователей , но не д олж на зависеть от доброй воли всех пользоват елей Интернета . Список литературы [Avol94] Frederick Avolio and Marcus Ranum. A Network Perimeter With Secure Internet Access. In Internet Society Symposium on Network and Distributed System Security, pages 109- 119. Internet Society, February 2-4 1994. [Bel89] Steven M. Bellovin. Security Problems in the TCP/IP Protocol Suite. Computer Communications Review, 9(2):32-48, April 1989. [Cerf93] Vinton Cerf. A National Information Infrastructure. Connexions, June 19 93. [CERT94] Computer Emergency Response Team/Coordination Center. CA-94:01, Ongoing Network Monitoring Attacks. Available from FIRST.ORG, pub/alerts/cert9401.txt, February 1994. [Chap92] D. Brent Chapman. Network (In)Security Through IP Packet Filtering . In USENIX Security Symposium III Proceedings, pages 63-76. USENIX Association, September 14-16 1992. [Ches94] William R. Cheswick and Steven M. Bellovin. Firewalls and Internet Security. Addison-Wesley, Reading, MA, 1994. [CIAC94a] Computer Incident Ad visory Capability. Number e-07, unix sendmail vulnerabilities update. Available from FIRST.ORG, file pub/alerts/e-07.txt, January 1994. [CIAC94b] Computer Incident Advisory Capability. Number e-09, network monitoring attacks. Available from FIRST.ORG, pub /alerts/e-09.txt, February 1994. [CIAC94c] Computer Incident Advisory Capability. Number e-14, wuarchive ftpd trojan horse. Available from FIRST.ORG, pub/alerts/e-14.txt, February 1994. [Com91a] Douglas E. Comer. Internetworking with TCP/IP: Principles, Protocols, and Architecture. Prentice-Hall, Englewood Cliffs, NJ, 1991. [Com91b] Douglas E. Comer and David L. Stevens. Internetworking with TCP/IP:Design, Implementation, and Internals. Prentice-Hall, Englewood Cliffs, NJ, 1991. [Cur92] David Curry. UNI X System Security: A Guide for Users and System Administrators. Addison-Wesley, Reading, MA, 1992. [Farm93] Dan Farmer and Wietse Venema. Improving the security ofyour site by breaking into it. Available from FTP.WIN.TUE.NL, file /pub/security/admin-guide-to-cracking.101.Z, 1993. [Ford94] Warwick Ford. Computer Communications Security. Prentice-Hall, E nglewood Cliffs, NJ, 1994. [Garf92] Simpson Garfinkel and Gene Spafford. Practical UNIX Security. O'Reilly and Associates, Inc., Sebastopol, CA, 1992. [Haf91] Katie Hafner and John Markoff. Cyberpunk: Outlaws and Hackers on the Computer Frontier. Simon a nd Schuster, New York, 1991. [Hunt92] Craig Hunt. TCP/IP Network Administration. O'Reilly and Associates, Inc., Sebastopol, CA, 1992.
1Архитектура и строительство
2Астрономия, авиация, космонавтика
 
3Безопасность жизнедеятельности
4Биология
 
5Военная кафедра, гражданская оборона
 
6География, экономическая география
7Геология и геодезия
8Государственное регулирование и налоги
 
9Естествознание
 
10Журналистика
 
11Законодательство и право
12Адвокатура
13Административное право
14Арбитражное процессуальное право
15Банковское право
16Государство и право
17Гражданское право и процесс
18Жилищное право
19Законодательство зарубежных стран
20Земельное право
21Конституционное право
22Конституционное право зарубежных стран
23Международное право
24Муниципальное право
25Налоговое право
26Римское право
27Семейное право
28Таможенное право
29Трудовое право
30Уголовное право и процесс
31Финансовое право
32Хозяйственное право
33Экологическое право
34Юриспруденция
 
35Иностранные языки
36Информатика, информационные технологии
37Базы данных
38Компьютерные сети
39Программирование
40Искусство и культура
41Краеведение
42Культурология
43Музыка
44История
45Биографии
46Историческая личность
47Литература
 
48Маркетинг и реклама
49Математика
50Медицина и здоровье
51Менеджмент
52Антикризисное управление
53Делопроизводство и документооборот
54Логистика
 
55Педагогика
56Политология
57Правоохранительные органы
58Криминалистика и криминология
59Прочее
60Психология
61Юридическая психология
 
62Радиоэлектроника
63Религия
 
64Сельское хозяйство и землепользование
65Социология
66Страхование
 
67Технологии
68Материаловедение
69Машиностроение
70Металлургия
71Транспорт
72Туризм
 
73Физика
74Физкультура и спорт
75Философия
 
76Химия
 
77Экология, охрана природы
78Экономика и финансы
79Анализ хозяйственной деятельности
80Банковское дело и кредитование
81Биржевое дело
82Бухгалтерский учет и аудит
83История экономических учений
84Международные отношения
85Предпринимательство, бизнес, микроэкономика
86Финансы
87Ценные бумаги и фондовый рынок
88Экономика предприятия
89Экономико-математическое моделирование
90Экономическая теория

 Анекдоты - это почти как рефераты, только короткие и смешные Следующий
Скорей бы лето! Так хочется уже в расстёгнутом пуховике походить!
Anekdot.ru

Узнайте стоимость курсовой, диплома, реферата на заказ.

Обратите внимание, реферат по компьютерным сетям "Введение в Интернет и безопасность в нем", также как и все другие рефераты, курсовые, дипломные и другие работы вы можете скачать бесплатно.

Смотрите также:


Банк рефератов - РефератБанк.ру
© РефератБанк, 2002 - 2016
Рейтинг@Mail.ru