Безопасность в Internet и intranet 1. Основы безопасности 2. Шифрование 3. Протоколы и продукты 4. Виртуальные частные сети

Internet по своей природе – незащищенная технология Глобальные связи являются менее защищенными, чем локальные Общедоступные территориальные сети менее защищены, чем сети для корпоративных клиентов

Подавляющее большинство атак не только не блокируется но и не обнаруживается Было атаковано 8932 системы DoD (100%) Успешно прошло 7860 атак (88%) В 390 случаях атаки были обнаружены (5%) Сообщили об атаках 19 администраторов (0.24%)

Величина ущерба от атак (в миллионах долларов США) Тип атаки Вирусы (85%) 7,95,329,2 Злоупотребления собственных сотрудников (79%) 54,311,228,0 Отказ в обслуживании (27%) 2,83,38,2 Кража информации внешн.(20%) 33,642,566,7 Телекоммуникационные мошенничества (11%) 17,30,84,0 Финансовые мошенничества (11%) 11,242,556,0 Всего:

Основы безопасности

Общие принципы защиты Использование комплексного подхода к обеспечению безопасности Законодательные средства Морально-этические средства Организационные (или процедурные) меры Административные меры Психологическая подготовка Физические средства защиты Технические средства защиты (системы контроля доступа, аудита, шифрования, цифровой подписи, антивирусной защиты, фильтрующие маршрутизаторы, межсетевые экраны) Принцип многоуровневой защиты. Соблюдение баланса надежности защиты всех уровней Предоставление каждому сотруднику минимально достаточного уровня привилегий по доступу к данным Принцип единого входа Принцип сохранения безопасности при отказе состояния максимальной защиты Компромисс между возможными рисками и возможными затратами

Маршрутизатор Межсетевой экран Безопасная зона Демилитаризованная зона Web-сервер Традиционная схема защиты

Требования конфиденциальности, доступности и целостности могут быть предъявлены к устройствам Незаконное потребление ресурсов - нарушение безопасности системы

Компьютерная безопасность Сетевая безопасность

Контроль доступа – программные и аппаратные средства аутентификации и авторизации, анализ входящего и выходящего трафика: Защита трафика –шифрование, взаимная аутентификация сторон Модули ОС и приложений, межсетевые экраны (firewall), централизованные программные системы (Kerberos, Tacacs) Протоколы защищенных каналов (PPTP, IPSec, SSL), VPN, Firewall Автоматизированный контроль безопасности Системы обнаружения вторжений (SATAN, SAFEsuite ISS

Базовые функции защиты

Специфика безопасности IP-cетей

Ложный ARP-ответ IP1, MAC1 IP2, MAC2 IP3, MAC3 IP4, MAC4 IP5, MAC5 Запрос IP2, MAC? Ответ IP2, MAC1

Перенаправление маршрута средствами ICMP R1 R3 R2 H1 H2 Default R1 Таблица маршрутизации хоста H1 ICMP-сообщение о перенаправлении маршрута к хосту H2 TypeCodeChSum Адрес марш-ра R2 Заголовок пакета, отброшенного на маршрутизаторе R1

Перенаправление маршрута средствами ICMP R1 R3 R2 H1 H2 Default R1 Таблица маршрутизации хоста H1 H2 R2

Навязывание ложного маршрута R1 R3 R2 H1 H2 Default R1 Таблица маршрутизации хоста H1 Ложное ICMP-сообщение о маршруте к хосту H2 TypeCodeChSum Адрес хоста HA Заголовок пакета, отброшенного на маршрутизаторе R1 HA

Корпоративный сервер Корпоративный клиент DNS - сервер Атакующий хост DNS-запрос ? Ложный DNS-ответ Перенаправленный поток

SYN ACK, SYN Time out Установление TCP-сессии ACK, SYN ACK ACK, SYN Time out ACK, SYN Time out ACK, SYN Time out SYN