Файл: Исследовательская работа способы и методы защиты информации от сетевых атак ученица 9 В класса Кувшинова Анна Алексеевна.doc

ВУЗ: Не указан

Категория: Не указан

Дисциплина: Не указана

Добавлен: 04.02.2024

Просмотров: 64

Скачиваний: 0

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

Не будь уязвимостей в компонентах информационных систем, нельзя было бы реализовать многие атаки и, следовательно, традиционные системы защиты вполне эффективно справлялись бы с возможными атаками. Однако программы пишутся людьми, которым свойственно делать ошибки. Вследствие чего и появляются уязвимости, которые используются злоумышленниками для реализации атак. Однако это только полбеды. Если бы все атаки строились по модели «один к одному», то с некоторой натяжкой, но межсетевые экраны и другие защитные системы смогли бы противостоять и им. Но появились скоординированные атаки, против которых традиционные средства уже не так эффективны. И тут на сцене и появляются новые технологии - технологии обнаружения атак. Приведенная систематизация данные об атаках и этапах их реализации дает необходимый базис для понимания технологий обнаружения атак.

Установка антивируса и файрвола


После проведенных сравнительных тестов было выбрано два программных продукта антивирусная программа Eset NOD32 и файрвол Zone Alarm Security Suite. Данные продукты наиболее полно отвечают требованиям защиты конкретной компьютерной системы и по результатам пройденных тестов показали высокую устойчивость к различным атакам. Программные продукты были установлены, настроены и протестированы на совместимость и корректную работу с конкретной компьютерной системой организации системой, так же были изменены настройки системы безопасности.Проверка защиты конкретной компьютерной системы строится на следующих принципах:

1) Проверка работы антивирусного монитора.


Он предназначен для предварительной антивирусной проверки файлов, осуществляемой путем перехвата текущих файловых операций, связанных с вирусной активностью. Монитор антивируса следит за открываемыми страницами и в случае, если на странице будет обнаружен подозрительный сценарий, антивирус выведет сообщение. Протестировать антивирусное программное обеспечение, можно с помощью сервиса использующего тестовый вирус EICAR, который стал стандартом в тестировании антивирусного программного обеспечения. Этот вирус не является вирусом в обычном понимании этого слова. EICAR всего лишь содержит определенную последовательность символов, описание которой антивирусное программное обеспечение должно содержать в своих базах и правильно распознавать в проверяемых объектах. Сам же, EICAR не наносит ни какого вреда, ни данным, ни компьютеру, он ни чего не заражает и не удаляет. В этом смысле, EICAR не является вредоносным программным обеспечением. Антивирусный монитор должен работать постоянно и отслеживать операции чтения–записи файлов. Протестированный данным сервисом антивирус NOD32 сразу после закачки файла предупредил о том, что данный архив содержит зараженный файл.

2) Проверка работы антивируса при посещении страниц с опасным сценарием.


Антивирус должен проверять сценарии, которые находятся на посещаемых сайтах. Используя один из сервисов попробуем открыть страницу, на которой находится сценарий, содержащий последовательность EICAR. Антивирус должен обнаружить эту последовательность и предложить не выполнять опасный сценарий. Если этого не происходит, то компьютер может быть заражен вирусом при посещении специально созданной веб–страницы. NOD32 при открытия данной страницы предупреждает о том что данный сценарий опасен и возможно заражение компьютера.

3) Проверка работы почтового антивируса.


Отправка тестового вируса на бесплатные почтовые серверы (yandex.ru, mail.ru, rambler.ru и т.д.) не имеет смысла: на этих серверах работает антивирус, который удалит тестовое письмо без уведомления получателя. Выбранный сервис сформирует письмо с вложением тестового файла EICAR и отправит его на указанный адрес (который заранее был указан). При проверке данного почтового адреса антивирус обнаружил EICAR в письме и преложил либо удалить вложенный файл, либо удалить всё письмо.

4) Сканирование сканера безопасности.


Тестовая машина была просканирована сканером уязвимостей Retina до, и после установки файрвола. Результаты сканирования показаны в таблице ниже.


Название

До установки файрвола

После установки файрвола

Режим невидимости

Ответ на ping

да

да

нет

Время ответа

да

да

нет

Имя домена/рабочей группы

да

нет

нет

Трассировка маршрута

да

да

нет

Время жизни пакета

да

да

нет

Определение версии ОС

да

нет

нет

Определение даты и времени

да

нет

нет

Определение MAC–адреса

да

нет

нет

Открытый порт 135

да

нет

нет

Открытый порт 139

да

нет

нет

Открытый порт 445

да

нет

нет

Доступ к административным общим ресурсам

да

нет

нет


Результаты сканирования демонстрируют, что установка файрвола закрывает доступ к открытым портам и отключает доступ к административным общим ресурсам. Включение режима невидимости скрывает компьютер в сети, и он перестает откликаться на ping (утилита для проверки соединений в сетях на основе TCP/IP).

5) Проверка функционирования защиты файрвола при серьёзных сетевых нагрузках


Файрволприложение, исполняющее роль межсетевого экрана для отдельного компьютера (обычно персонального), запущенное на этом же самом компьютере.

Файрвол (межсетевой экран или сетевой экран) — комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.

В ходе тестирования файрвола была выполнена атака по основным протоколам. Данный тест призван показать поведение файрвола при серьезных нагрузках, которых можно достичь только в локальной сети. По умолчанию, после установки файрвола, включен режим блокировки атакующего хоста на 1 час. Эта функция работает, и при первой же тестовой атаке файрвол запретил все входящие подключения с машины, на которой работала утилита, с помощью которой производилась атака. Чтобы получить корректные результаты теста, время блокировки атакующего хоста было установлено на 0, но сохранено включенным обнаружение атаки. В ходе тестирования файрвол определял тип атаки, о чем информировал в главном окне программы. При атаке на машину под защитой Zone Alarm Security Suite загрузка процессора оставалась на приемлемом уровне, а объем использованной программой памяти практически не менялся. Самая тяжелая атака по протоколу TCP при отключенном режиме невидимости вызвала загрузку процессора в районе 70%, но эта загрузка не была постоянной, а изменялась от 3% до 69%. Во время этой атаки некоторое замедление скорости работы компьютера было ощутимо, но работу можно было продолжать.

Алгоритм защиты.

Настройка параметров безопасности системы.


Для более эффективной защиты требуется завести различные группы пользователей с разными правами. Администратор - с полным набором прав и Операторы, члены группы не могут изменять группы «Администратор» и «Операторы», не могут являться владельцами файлов, не могут выполнять архивирование и восстановление каталогов, не могут загружать и выгружать драйверы устройств или управлять журналами безопасности и аудита.

Для аварийного восстановления системы необходим диск аварийного восстановления. Создание диска аварийного восстановления производится с помощью команды ntbackup.

Установка антивирусной программы и файрвола.


Одно и самое главное правило - это разумный выбор и установка антивирусной программы и файрвола.

Политика паролей


Для того чтобы пользователь использовал лишь предложенную политику паролей необходимо в разделе Локальные параметры безопасности в подразделе Политика паролей установить:

  • Максимальный срок действия пароля 30 дней (по умолчанию 42)

  • Минимальная длина паролей - 8 символов (по умолчанию 0)

  • Минимальный срок действия пароля 0 дней (по умолчанию 0)

  • Пароли должны отвечать требованиям сложности - Включить (по умолчанию Отключено)

  • Требование неповторяемости паролей 6 (по умолчанию 0)

  • Хранить пароли всех пользователей в домене, используя обратимое шифрование (Отключено по умолчанию).

Политика блокировки учетной записи


  • Блокировка учетной записи 30 минут (по умолчанию)

  • Пороговое значение блокировки - 3 попытки входа (по умолчанию - 0)

  • Сброс счетчика блокировки через 30 минут (по умолчанию)

Политика аудита


По умолчанию журнал аудита не включен. Для отслеживания происходящих событий рекомендуются следующие настройки:

  • Аудит входа в систему - успех (отслеживать попытки входа)

  • Аудит доступа к службе каталогов - отказ

  • Аудит изменения политики - успех, отказ

  • Аудит использования привилегий - включить (по умолчанию нет аудита)

  • Аудит отслеживания процессов - включить (по умолчанию нет аудита)

  • Аудит системных событий - включить (по умолчанию нет аудита)

  • Аудит событий входа в систему - успех

  • Аудит управления учетными записями - успех, отказ

При этом журнал аудита рекомендуется просматривать не реже 1 раза в неделю.

Параметры безопасности


Рекомендуется изменить следующие параметры:

  • Напоминать пользователям об истечении срока действия пароля - 14 дней (по умолчанию).

  • Не отображать последнего имени пользователя в диалоге входа - включен (по умолчанию - отключен).

  • Отключить CTRL+ALT+DEL запрос на вход в систему - отключен (по умолчанию не установлен).

  • Очистка страничного файла виртуальной памяти - включить (по умолчанию - отключен).

Заключение


С течением времени вопросы защиты информации, распознавания различных атак становятся все актуальнее. Средства атакующих и способы атак делаются все разнообразней и опаснее, а вслед за ними разрабатываются новые и более надежные средства защиты. И угнаться за ними, конечно, становится все сложнее и сложнее.


По моему мнению, не стоит игнорировать советы и уж тем более забывать об таких элементарных вещах как, например, обновление антивирусных программ через Интернет. В своей работе я описала только некоторые, из большого множества существующих, способы атак и средства защиты. Дала их определение, сущность, виды и классификации.

Итак мы выяснили, что необходимо устанавливать все обновления используемого сетевого ПО своевременно и обновлять антивирусные базы, как минимум, один раз в сутки. Такой жесткий контроль поможет обезопасить ваш компьютер от атак разного характера.

Мнения специалистов в области обеспечения защиты и выявления атак свидетельствуют, что комплексная концепция защиты от сетевых атак предполагает обязательное проведение следующих мероприятий:

  • Разработка политики безопасности по осуществлению контроля сетевого доступа.

  • Анализ рисков и уязвимостей, использование положительного опыта и существующих решений по обеспечению безопасности.

  • Проектирование системы защиты, определение требований, предъявляемых к используемым средствам и механизмам защиты.

  • Ранжирование выбранных контрмер по степени важности и реализация наиболее приоритетных.

  • Периодическое тестирование эффективности реализованных контрмер.

Я надеюсь, что вы воспользуетесь моими советами, анализами и исследованиями, а также материалами, изложенными в работе, и сумеете защитить свои информационные ресурсы от любых посягательств и проблем!

Источники


  1. Анин Б.Ю. Защита компьютерной информации. - СПб.: БХВ-Санкт-Петербург, 2000. - 384 с.

  2. Атака на Internet./ Медведовский И.Д., Семьянов П.В. и др. - М.: ДМК, 1999.

  3. http://bugtraq.ru/library/books/attack1/chapter3/c31.html

  4. http://images.yandex.ru/yandsearch?ed=1&text=%D0%BA%D0%BB%D0%B0%D1%81%D1%81%D0%B8%D1%84%D0%B8%D0%BA%D0%B0%D1%86%D0%B8%D1%8F%20%D0%B2%D0%B8%D1%80%D1%83%D1%81%D0%BE%D0%B2&p=0&img_url=www.bestreferat.ru%2Fimages%2Fref%2F79%2F187979.png&rpt=simage

  5. http://protect.htmlweb.ru/attack.htm

  6. http://pchelpforum.ru/f26/t16/

  7. http://ru.wikipedia.org/wiki/Удалённые_сетевые_атаки

  8. http://www.3dnews.ru/software/antivirus_review_2009/index4.htm