Файл: Исследовательская работа способы и методы защиты информации от сетевых атак ученица 9 В класса Кувшинова Анна Алексеевна.doc
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 04.02.2024
Просмотров: 64
Скачиваний: 0
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
Не будь уязвимостей в компонентах информационных систем, нельзя было бы реализовать многие атаки и, следовательно, традиционные системы защиты вполне эффективно справлялись бы с возможными атаками. Однако программы пишутся людьми, которым свойственно делать ошибки. Вследствие чего и появляются уязвимости, которые используются злоумышленниками для реализации атак. Однако это только полбеды. Если бы все атаки строились по модели «один к одному», то с некоторой натяжкой, но межсетевые экраны и другие защитные системы смогли бы противостоять и им. Но появились скоординированные атаки, против которых традиционные средства уже не так эффективны. И тут на сцене и появляются новые технологии - технологии обнаружения атак. Приведенная систематизация данные об атаках и этапах их реализации дает необходимый базис для понимания технологий обнаружения атак.
Установка антивируса и файрвола
После проведенных сравнительных тестов было выбрано два программных продукта антивирусная программа Eset NOD32 и файрвол Zone Alarm Security Suite. Данные продукты наиболее полно отвечают требованиям защиты конкретной компьютерной системы и по результатам пройденных тестов показали высокую устойчивость к различным атакам. Программные продукты были установлены, настроены и протестированы на совместимость и корректную работу с конкретной компьютерной системой организации системой, так же были изменены настройки системы безопасности.Проверка защиты конкретной компьютерной системы строится на следующих принципах:
1) Проверка работы антивирусного монитора.
Он предназначен для предварительной антивирусной проверки файлов, осуществляемой путем перехвата текущих файловых операций, связанных с вирусной активностью. Монитор антивируса следит за открываемыми страницами и в случае, если на странице будет обнаружен подозрительный сценарий, антивирус выведет сообщение. Протестировать антивирусное программное обеспечение, можно с помощью сервиса использующего тестовый вирус EICAR, который стал стандартом в тестировании антивирусного программного обеспечения. Этот вирус не является вирусом в обычном понимании этого слова. EICAR всего лишь содержит определенную последовательность символов, описание которой антивирусное программное обеспечение должно содержать в своих базах и правильно распознавать в проверяемых объектах. Сам же, EICAR не наносит ни какого вреда, ни данным, ни компьютеру, он ни чего не заражает и не удаляет. В этом смысле, EICAR не является вредоносным программным обеспечением. Антивирусный монитор должен работать постоянно и отслеживать операции чтения–записи файлов. Протестированный данным сервисом антивирус NOD32 сразу после закачки файла предупредил о том, что данный архив содержит зараженный файл.
2) Проверка работы антивируса при посещении страниц с опасным сценарием.
Антивирус должен проверять сценарии, которые находятся на посещаемых сайтах. Используя один из сервисов попробуем открыть страницу, на которой находится сценарий, содержащий последовательность EICAR. Антивирус должен обнаружить эту последовательность и предложить не выполнять опасный сценарий. Если этого не происходит, то компьютер может быть заражен вирусом при посещении специально созданной веб–страницы. NOD32 при открытия данной страницы предупреждает о том что данный сценарий опасен и возможно заражение компьютера.
3) Проверка работы почтового антивируса.
Отправка тестового вируса на бесплатные почтовые серверы (yandex.ru, mail.ru, rambler.ru и т.д.) не имеет смысла: на этих серверах работает антивирус, который удалит тестовое письмо без уведомления получателя. Выбранный сервис сформирует письмо с вложением тестового файла EICAR и отправит его на указанный адрес (который заранее был указан). При проверке данного почтового адреса антивирус обнаружил EICAR в письме и преложил либо удалить вложенный файл, либо удалить всё письмо.
4) Сканирование сканера безопасности.
Тестовая машина была просканирована сканером уязвимостей Retina до, и после установки файрвола. Результаты сканирования показаны в таблице ниже.
Название | До установки файрвола | После установки файрвола | Режим невидимости |
Ответ на ping | да | да | нет |
Время ответа | да | да | нет |
Имя домена/рабочей группы | да | нет | нет |
Трассировка маршрута | да | да | нет |
Время жизни пакета | да | да | нет |
Определение версии ОС | да | нет | нет |
Определение даты и времени | да | нет | нет |
Определение MAC–адреса | да | нет | нет |
Открытый порт 135 | да | нет | нет |
Открытый порт 139 | да | нет | нет |
Открытый порт 445 | да | нет | нет |
Доступ к административным общим ресурсам | да | нет | нет |
Результаты сканирования демонстрируют, что установка файрвола закрывает доступ к открытым портам и отключает доступ к административным общим ресурсам. Включение режима невидимости скрывает компьютер в сети, и он перестает откликаться на ping (утилита для проверки соединений в сетях на основе TCP/IP).
5) Проверка функционирования защиты файрвола при серьёзных сетевых нагрузках
Файрвол — приложение, исполняющее роль межсетевого экрана для отдельного компьютера (обычно персонального), запущенное на этом же самом компьютере.
Файрвол (межсетевой экран или сетевой экран) — комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.
В ходе тестирования файрвола была выполнена атака по основным протоколам. Данный тест призван показать поведение файрвола при серьезных нагрузках, которых можно достичь только в локальной сети. По умолчанию, после установки файрвола, включен режим блокировки атакующего хоста на 1 час. Эта функция работает, и при первой же тестовой атаке файрвол запретил все входящие подключения с машины, на которой работала утилита, с помощью которой производилась атака. Чтобы получить корректные результаты теста, время блокировки атакующего хоста было установлено на 0, но сохранено включенным обнаружение атаки. В ходе тестирования файрвол определял тип атаки, о чем информировал в главном окне программы. При атаке на машину под защитой Zone Alarm Security Suite загрузка процессора оставалась на приемлемом уровне, а объем использованной программой памяти практически не менялся. Самая тяжелая атака по протоколу TCP при отключенном режиме невидимости вызвала загрузку процессора в районе 70%, но эта загрузка не была постоянной, а изменялась от 3% до 69%. Во время этой атаки некоторое замедление скорости работы компьютера было ощутимо, но работу можно было продолжать.
Алгоритм защиты.
Настройка параметров безопасности системы.
Для более эффективной защиты требуется завести различные группы пользователей с разными правами. Администратор - с полным набором прав и Операторы, члены группы не могут изменять группы «Администратор» и «Операторы», не могут являться владельцами файлов, не могут выполнять архивирование и восстановление каталогов, не могут загружать и выгружать драйверы устройств или управлять журналами безопасности и аудита.
Для аварийного восстановления системы необходим диск аварийного восстановления. Создание диска аварийного восстановления производится с помощью команды ntbackup.
Установка антивирусной программы и файрвола.
Одно и самое главное правило - это разумный выбор и установка антивирусной программы и файрвола.
Политика паролей
Для того чтобы пользователь использовал лишь предложенную политику паролей необходимо в разделе Локальные параметры безопасности в подразделе Политика паролей установить:
-
Максимальный срок действия пароля 30 дней (по умолчанию 42) -
Минимальная длина паролей - 8 символов (по умолчанию 0) -
Минимальный срок действия пароля 0 дней (по умолчанию 0) -
Пароли должны отвечать требованиям сложности - Включить (по умолчанию Отключено) -
Требование неповторяемости паролей 6 (по умолчанию 0) -
Хранить пароли всех пользователей в домене, используя обратимое шифрование (Отключено по умолчанию).
Политика блокировки учетной записи
-
Блокировка учетной записи 30 минут (по умолчанию) -
Пороговое значение блокировки - 3 попытки входа (по умолчанию - 0) -
Сброс счетчика блокировки через 30 минут (по умолчанию)
Политика аудита
По умолчанию журнал аудита не включен. Для отслеживания происходящих событий рекомендуются следующие настройки:
-
Аудит входа в систему - успех (отслеживать попытки входа) -
Аудит доступа к службе каталогов - отказ -
Аудит изменения политики - успех, отказ -
Аудит использования привилегий - включить (по умолчанию нет аудита) -
Аудит отслеживания процессов - включить (по умолчанию нет аудита) -
Аудит системных событий - включить (по умолчанию нет аудита) -
Аудит событий входа в систему - успех -
Аудит управления учетными записями - успех, отказ
При этом журнал аудита рекомендуется просматривать не реже 1 раза в неделю.
Параметры безопасности
Рекомендуется изменить следующие параметры:
-
Напоминать пользователям об истечении срока действия пароля - 14 дней (по умолчанию). -
Не отображать последнего имени пользователя в диалоге входа - включен (по умолчанию - отключен). -
Отключить CTRL+ALT+DEL запрос на вход в систему - отключен (по умолчанию не установлен). -
Очистка страничного файла виртуальной памяти - включить (по умолчанию - отключен).
Заключение
С течением времени вопросы защиты информации, распознавания различных атак становятся все актуальнее. Средства атакующих и способы атак делаются все разнообразней и опаснее, а вслед за ними разрабатываются новые и более надежные средства защиты. И угнаться за ними, конечно, становится все сложнее и сложнее.
По моему мнению, не стоит игнорировать советы и уж тем более забывать об таких элементарных вещах как, например, обновление антивирусных программ через Интернет. В своей работе я описала только некоторые, из большого множества существующих, способы атак и средства защиты. Дала их определение, сущность, виды и классификации.
Итак мы выяснили, что необходимо устанавливать все обновления используемого сетевого ПО своевременно и обновлять антивирусные базы, как минимум, один раз в сутки. Такой жесткий контроль поможет обезопасить ваш компьютер от атак разного характера.
Мнения специалистов в области обеспечения защиты и выявления атак свидетельствуют, что комплексная концепция защиты от сетевых атак предполагает обязательное проведение следующих мероприятий:
-
Разработка политики безопасности по осуществлению контроля сетевого доступа. -
Анализ рисков и уязвимостей, использование положительного опыта и существующих решений по обеспечению безопасности. -
Проектирование системы защиты, определение требований, предъявляемых к используемым средствам и механизмам защиты. -
Ранжирование выбранных контрмер по степени важности и реализация наиболее приоритетных. -
Периодическое тестирование эффективности реализованных контрмер.
Я надеюсь, что вы воспользуетесь моими советами, анализами и исследованиями, а также материалами, изложенными в работе, и сумеете защитить свои информационные ресурсы от любых посягательств и проблем!
Источники
-
Анин Б.Ю. Защита компьютерной информации. - СПб.: БХВ-Санкт-Петербург, 2000. - 384 с. -
Атака на Internet./ Медведовский И.Д., Семьянов П.В. и др. - М.: ДМК, 1999. -
http://bugtraq.ru/library/books/attack1/chapter3/c31.html -
http://images.yandex.ru/yandsearch?ed=1&text=%D0%BA%D0%BB%D0%B0%D1%81%D1%81%D0%B8%D1%84%D0%B8%D0%BA%D0%B0%D1%86%D0%B8%D1%8F%20%D0%B2%D0%B8%D1%80%D1%83%D1%81%D0%BE%D0%B2&p=0&img_url=www.bestreferat.ru%2Fimages%2Fref%2F79%2F187979.png&rpt=simage -
http://protect.htmlweb.ru/attack.htm -
http://pchelpforum.ru/f26/t16/ -
http://ru.wikipedia.org/wiki/Удалённые_сетевые_атаки -
http://www.3dnews.ru/software/antivirus_review_2009/index4.htm