Сучасні інформаційні технології/Інформаційна безпека

                                                                  Дубчак О.В., Сіньков В.О.

                                      Національний авіаційний університет, Київ

ПРОБЛЕМИ ЗАБЕЗПЕЧЕННЯ БЕЗПЕКИ МЕРЕЖ ПЕРЕДАЧІ ДАНИХ ТА ШЛЯХИ ЇХ ВИРІШЕННЯ

Вступ В умовах стрімкого розвитку інформаційних технологій зростає кількість мереж передачі даних (МПД), що складаються із безлічі різнотипного апаратного та програмного забезпечення і протоколів, які є інтегрованими та взаємопов’язаними. Відповідно зростає і уразливість МПД відносно дій зловмисників, які посягають на заволодіння конфіденційною інформацією і використовують з цією метою  різноманітні програмні засоби та атаки.

Актуальність Проектування МПД вимагає прискіпливої уваги у питанні безпеки власне мереж, їхніх ресурсів та інформації, що циркулює мережами. Убезпечення від несанкціонованого доступу, випадкового або навмисного втручання в роботу мережі або спроб руйнування її компонентів набуває зростаючого значення.

Постановка завдання Для уникнення можливих проблем і уразливостей під час захисту МПД, слід досконало усвідомлювати принципи її роботи та процеси передачі інформації, а також  знати можливі атаки на неї.

Метою роботи є розгляд можливих загроз інформації в МПД згідно рівнів еталонної моделі взаємодії, визначення недоліків у архітектурі сучасних каналів передачі даних, а також вироблення рекомендацій щодо шляхів вирішення можливих проблем.

Для вирішення завдання критично важливим питанням є ясне розуміння архітектури сучасних МПД. Стандартною моделлю для мережевих протоколів є модель OSI (OpenSystemInterconnect) [1] яка має 7 рівнів, а також набір (стек) протоколів TCP/IP (TransmissionControlProtocol/InternetProtocol) [2].

Основною особливістю будь-якої МПД є те, що всі дані, які циркулюють нею, передаються у вигляді пакетів обміну та мають пройти крізь усі рівні моделі OSI, на кожному з яких функціонує певний протокол, що має свої функції, особливості та, звісно, уразливості. А оскільки стек протоколів TCP/IP не містить вбудованих механізмів забезпечення конфіденційності інформаційних ресурсів і засобів запобігання втручання у мережу, нагальною стає необхідність використання додаткових програмних та апаратних засобів.

З точки зору рівнів OSI наявні деякі конкретні уразливості мереж та можливі види атак:

-     найбільша частка уразливостей припадає на рівень програми (рівні 5-7), розташований в безпосередній близькості до самого користувача. Яскравими прикладами цього є такі протоколи як Telnet і FTP, які пересилають паролі у відкритому вигляді, і будь-хто, «прослуховуючи» мережевий трафік, може отримати користувальницьке реєстраційне ім’я та пароль, а отже і неправомірний доступ;

-     на рівні транспорту (4 рівень) виконуються атаки за допомогою SYN flood або підміни одного з учасників ТСР-з’єднання (ТСР-hijacking). Сканування портів також є поширеною технікою, що використовується зловмисниками для виявлення вразливих систем;

-     підміна IP-адреси — звичайна атака для рівня мережі (3 рівень);

-     часте прослуховування трафіку, перехоплення повідомлень, підміна MAC-адреси — атаки, що здійснюються на канальному рівні (2 рівень);

-     атаки типу відмова в обслуговування DoS (DenialofService) можуть бути виконані з використанням різних механізмів на декількох рівнях [3]. 

Відповідно до наведених видів атак слід організовувати комплексний підхід щодо уникнення уразливостей і використовувати наступні заходи:

-     впровадження міжмережевих екранів, що здійснюють контроль і фільтрацію мережевих пакетів, які проходять через нього, відповідно до заданих правил;

-     використання віртуальних приватних мереж VPN (VirtualPrivateNetwork) для організації безпечної взаємодії через публічні мережі; 

-     застосування технологій шифрування для забезпечення конфіденційності та цілісності інформаційних ресурсів;

-     реалізація механізму ідентифікації, який включає в себе аутентифікацію, авторизацію і облік, що дозволяє переконатися у повноважності користувачів на отримання доступу до необхідних їм мережевих ресурсів, в той час як недійсним користувачам доступ буде заборонений;

-     використання системи виявлення вторгнень - IDS (IntrusionDetectionSystem) та системи запобігання вторгнень - IPS (IntrusionPreventionSystem), що забезпечують додатковий рівень безпеки мережі шляхом аналізу даних у пакетах для виявлення більш завуальованих атак.

Висновок Слід зазначити, що наведені технології, шляхи та методи є базовими і надзвичайно важливими для інфраструктури мережевої безпеки, але не є достатніми. Убезпечення МПД завжди потребує  комплексного підходу, необхідними складовими якого також є обмеження фізичного доступу до мережевого обладнання, політика безпеки організації, упередження можливих навмисних чи випадкових деструктивних дій з боку персоналу та співробітників, оскільки  внутрішні зловживання часто залишаються непоміченими і від них найважче захищатися. Також необхідно враховувати, що атаки, які використовують існуючі уразливості мережевих протоколів, можливо, й не є небезпечними, але вони створюють  сприятливе підґрунтя для проведення більш серйозних нападів.

Список використаної літератури:

1.     Комп'ютерні мережі: [навчальний посібник] / А. Г. Микитишин, М. М. Митник, П. Д. Стухляк, В. В. Пасічник. — Львів: «Магнолія 2006», 2013. — 256 с.

2.     Буров Є. В. Комп'ютерні мережі: підручник / Євген Вікторович Буров. — Львів: «Магнолія 2006», 2010. — 262 с.

3.     Шаньгин В.Ф. Информационная безопасность компьютерных сетей и систем Учебное пособие. —М.: ИД "Форум": Инфра-М, 2008. — 416 с.