Відмінності між версіями «Основи безпеки інформації в комп'ютерних мереж»

Рядок 4: Рядок 4:
 
Мережна атака (Network Attacks) або віддалена атака (Remote Attacks)  - атака на розподілену обчислювальну систему, що здійснюють програмні засоби каналами зв'язку. Така атака може бути здійснена на протоколи і мережні служби, а також на операційні системи та прикладні програми вузлів мережі.<br>
 
Мережна атака (Network Attacks) або віддалена атака (Remote Attacks)  - атака на розподілену обчислювальну систему, що здійснюють програмні засоби каналами зв'язку. Така атака може бути здійснена на протоколи і мережні служби, а також на операційні системи та прикладні програми вузлів мережі.<br>
 
Розподіл ресурсів та інформації у просторі робить можливими  мережні атаки.<br>
 
Розподіл ресурсів та інформації у просторі робить можливими  мережні атаки.<br>
Базовими документами у сфері захисту розподілених систем стали технічно узгоджені документи ISO/IEC 7498-2 [129] і Рекомендації ССІТТ (The International Telegraph and Telephone Consultative Committee) X.800 «Архітектура безпеки взаємодії відкритих систем для застосувань ССІТТ» [130]. Розглянемо більш докладно останній документ.<br>
+
Базовими документами у сфері захисту розподілених систем стали технічно узгоджені документи ISO/IEC 7498-2 і Рекомендації ССІТТ (The International Telegraph and Telephone Consultative Committee) X.800 «Архітектура безпеки взаємодії відкритих систем для застосувань ССІТТ». Розглянемо більш докладно останній документ.<br>
  
 
==  Типові вразливості розподілених систем ==
 
==  Типові вразливості розподілених систем ==
Рядок 18: Рядок 18:
 
* упровадження в розподілену систему фальшивого об'єкта шляхом використання недоліків алгоритмів віддаленого пошуку;
 
* упровадження в розподілену систему фальшивого об'єкта шляхом використання недоліків алгоритмів віддаленого пошуку;
 
* відмова в обслуговуванні.
 
* відмова в обслуговуванні.
 +
 +
==  Сервіси безпеки ==
 +
У рекомендаціях Х.800 увагу закцентовано на таких функціях (сервісах) безпеки:
 +
* автентифікація;
 +
* керування доступом;
 +
* конфіденційність даних;
 +
* цілісність даних;
 +
* унеможливлення відмови від авторства.
 +
 +
 +
=== Автентифікація ===
 +
Цей сервіс забезпечує автентифікацію сторін, що спілкуються (Communicating peer Entity), і автентифікацію джерела даних.<br>
 +
Автентифікацію сторін здійснюють у момент встановлення з'єднання та іноді під час передавання даних з метою підтвердження автентичності сутностей з'єднання. Завдяки використанню цього сервісу можна бути впевненим, що суб'єкт не влаштує «маскарад» і не використає повторно попередній несанкціонований сеанс зв'язку. Застосовують різні схеми автентифікації, які забезпечують різний ступінь захисту.<br>
 +
''' Автентифікація джерела даних ''' — це підтвердження автентичності джерела блоку даних. Сервіс, який реалізують засобами певного рівня моделі OSI та надають для сутностей вищого рівня, підтверджує автентичність сутності цього ж таки рівня. Слід зауважити, що сервіс не забезпечує захист від повторення або пошкодження даних.
 +
=== Керування доступом ===
 +
Цей сервіс забезпечує захист від несанкціонованого використання ресурсів, доступних через взаємодію відкритих систем. Керування доступом може застосовуватися до різних типів доступу до ресурсу (наприклад, використання комунікаційного ресурсу, читання, записування або видалення інформаційного ресурсу, виконання ресурсу оброблення).
 +
=== Конфіденційність даних ===
 +
Цей сервіс забезпечує захист даних від їх несанкціонованого розкриття. Розрізняють кілька сервісів конфіденційності даних:
 +
* конфіденційність даних під час обміну зі встановленням з'єднання — цей сервіс захищає всю інформацію користувачів, окрім даних щодо запиту на встановлення з'єднання (це залежатиме від рівня моделі OSI);
 +
* конфіденційність даних під час обміну без встановлення з'єднання — цей сервіс захищає всю інформацію користувачів;
 +
* конфіденційність окремих полів даних — цей сервіс забезпечує захист інформації в окремих обраних полях даних у сеансі зі встановленням з'єднання або без нього;
 +
* конфіденційність трафіку — цей сервіс забезпечує захист інформації, яку отримують під час здійснення аналізу трафіку.
 +
 +
=== Цілісність даних ===
 +
Цей сервіс спрямований на протидію активним загрозам. Розрізняють такі сервіси цілісності даних:
 +
* цілісність даних під час обміну зі встановленням з'єднання з відновленням — цей сервіс забезпечує цілісність усіх даних користувача шляхом виявлення будь-якої модифікації даних (додавання, видалення та повторення) і здійснює спробу відновити дані;
 +
* цілісність даних під час обміну зі встановленням з'єднання без відновлення — так само, як і попередній сервіс, забезпечує цілісність усіх даних, але без спроби їхнього відновлення;
 +
* цілісність окремих полів даних під час обміну зі встановленням з'єднання — цей сервіс забезпечує цілісність окремих обраних полів даних у сеансі зі встановленням з'єднання і визначає, чи не було ці поля модифіковано (додано, видалено та повторено);
 +
* цілісність даних під час обміну без встановлення з'єднання — цей сервіс на відміну від попередніх у разі його реалізації на певному рівні моделі OSI забезпечує цілісність даних за запитом сутності вищого рівня; сервіс забезпечує цілісність окремого блоку даних, що передається без встановлення з'єднання, і може визначати, чи було блок даних модифіковано, крім того він може виявляти дані, що повторюються;
 +
* цілісність окремих полів даних під час обміну без встановлення з'єднання — цей сервіс забезпечує цілісність окремих обраних полів в окремому блоці даних, що передається без встановлення з'єднання, і визначає, чи було модифіковано обрані поля.
 +
 +
=== Унеможливлений відмови від авторства ===
 +
Сервіс забезпечує такі можливості (кожну окремо або обидві разом):
 +
* унеможливлення відмови від авторства з підтвердженням справжності джерела даних — цей сервіс захищає одержувача даних від будь-якої спроби відправника відмовитися від факту відправлення ним даних чи справжності їхнього вмісту;
 +
* унеможливлення відмови від авторства з підтвердженням про отримання — цей сервіс сповіщає відправнику даних про їх отримання, що не дає одержувачу відмовитися від факту отримання даних або викривити їх.

Версія за 13:32, 19 квітня 2011

{{{img}}}
Імя Богдан
Прізвище Сікач
По-батькові Ярославович
Факультет ФІС
Група СН-41
Залікова книжка ПК-07-026


Репозиторія
Презентація доповіді на тему Основи безпеки інформації в комп'ютерних мереж
є розміщеною в Репозиторії.


Мережна атака (Network Attacks) або віддалена атака (Remote Attacks) - атака на розподілену обчислювальну систему, що здійснюють програмні засоби каналами зв'язку. Така атака може бути здійснена на протоколи і мережні служби, а також на операційні системи та прикладні програми вузлів мережі.
Розподіл ресурсів та інформації у просторі робить можливими мережні атаки.
Базовими документами у сфері захисту розподілених систем стали технічно узгоджені документи ISO/IEC 7498-2 і Рекомендації ССІТТ (The International Telegraph and Telephone Consultative Committee) X.800 «Архітектура безпеки взаємодії відкритих систем для застосувань ССІТТ». Розглянемо більш докладно останній документ.

Типові вразливості розподілених систем

У документі «Інструкція із захисту базового рівня інформаційних технологій» (ІТ Baseline Protection Manual) як типові атаки, що можуть бути застосовані для нападу на розподілені системи та які слід моделювати під час випробувань стійкості до них систем, названо такі:

  • угадування паролів, або атаки за словником;
  • реєстрація та маніпуляції з мережним трафіком;
  • імпорт фальшивих пакетів даних;
  • експлуатація відомих уразливостей програмного забезпечення (мови макросів, помилки в ОС, служби віддаленого доступу тощо).

З-поміж типових віддалених атак виокремлюють такі:

  • аналіз мережного трафіку;
  • підміна довіреного об'єкта в розподіленій системі;
  • упровадження в розподілену систему фальшивого об'єкта через нав'язування фальшивого маршруту;
  • упровадження в розподілену систему фальшивого об'єкта шляхом використання недоліків алгоритмів віддаленого пошуку;
  • відмова в обслуговуванні.

Сервіси безпеки

У рекомендаціях Х.800 увагу закцентовано на таких функціях (сервісах) безпеки:

  • автентифікація;
  • керування доступом;
  • конфіденційність даних;
  • цілісність даних;
  • унеможливлення відмови від авторства.


Автентифікація

Цей сервіс забезпечує автентифікацію сторін, що спілкуються (Communicating peer Entity), і автентифікацію джерела даних.
Автентифікацію сторін здійснюють у момент встановлення з'єднання та іноді під час передавання даних з метою підтвердження автентичності сутностей з'єднання. Завдяки використанню цього сервісу можна бути впевненим, що суб'єкт не влаштує «маскарад» і не використає повторно попередній несанкціонований сеанс зв'язку. Застосовують різні схеми автентифікації, які забезпечують різний ступінь захисту.
Автентифікація джерела даних — це підтвердження автентичності джерела блоку даних. Сервіс, який реалізують засобами певного рівня моделі OSI та надають для сутностей вищого рівня, підтверджує автентичність сутності цього ж таки рівня. Слід зауважити, що сервіс не забезпечує захист від повторення або пошкодження даних.

Керування доступом

Цей сервіс забезпечує захист від несанкціонованого використання ресурсів, доступних через взаємодію відкритих систем. Керування доступом може застосовуватися до різних типів доступу до ресурсу (наприклад, використання комунікаційного ресурсу, читання, записування або видалення інформаційного ресурсу, виконання ресурсу оброблення).

Конфіденційність даних

Цей сервіс забезпечує захист даних від їх несанкціонованого розкриття. Розрізняють кілька сервісів конфіденційності даних:

  • конфіденційність даних під час обміну зі встановленням з'єднання — цей сервіс захищає всю інформацію користувачів, окрім даних щодо запиту на встановлення з'єднання (це залежатиме від рівня моделі OSI);
  • конфіденційність даних під час обміну без встановлення з'єднання — цей сервіс захищає всю інформацію користувачів;
  • конфіденційність окремих полів даних — цей сервіс забезпечує захист інформації в окремих обраних полях даних у сеансі зі встановленням з'єднання або без нього;
  • конфіденційність трафіку — цей сервіс забезпечує захист інформації, яку отримують під час здійснення аналізу трафіку.

Цілісність даних

Цей сервіс спрямований на протидію активним загрозам. Розрізняють такі сервіси цілісності даних:

  • цілісність даних під час обміну зі встановленням з'єднання з відновленням — цей сервіс забезпечує цілісність усіх даних користувача шляхом виявлення будь-якої модифікації даних (додавання, видалення та повторення) і здійснює спробу відновити дані;
  • цілісність даних під час обміну зі встановленням з'єднання без відновлення — так само, як і попередній сервіс, забезпечує цілісність усіх даних, але без спроби їхнього відновлення;
  • цілісність окремих полів даних під час обміну зі встановленням з'єднання — цей сервіс забезпечує цілісність окремих обраних полів даних у сеансі зі встановленням з'єднання і визначає, чи не було ці поля модифіковано (додано, видалено та повторено);
  • цілісність даних під час обміну без встановлення з'єднання — цей сервіс на відміну від попередніх у разі його реалізації на певному рівні моделі OSI забезпечує цілісність даних за запитом сутності вищого рівня; сервіс забезпечує цілісність окремого блоку даних, що передається без встановлення з'єднання, і може визначати, чи було блок даних модифіковано, крім того він може виявляти дані, що повторюються;
  • цілісність окремих полів даних під час обміну без встановлення з'єднання — цей сервіс забезпечує цілісність окремих обраних полів в окремому блоці даних, що передається без встановлення з'єднання, і визначає, чи було модифіковано обрані поля.

Унеможливлений відмови від авторства

Сервіс забезпечує такі можливості (кожну окремо або обидві разом):

  • унеможливлення відмови від авторства з підтвердженням справжності джерела даних — цей сервіс захищає одержувача даних від будь-якої спроби відправника відмовитися від факту відправлення ним даних чи справжності їхнього вмісту;
  • унеможливлення відмови від авторства з підтвердженням про отримання — цей сервіс сповіщає відправнику даних про їх отримання, що не дає одержувачу відмовитися від факту отримання даних або викривити їх.