Современные информационные технологии / 3. Программное обеспечение
Маріїна О. П., Січко Т.
В.
Вінницький національний
аграрний університет, Україна
Основні підходи до захисту
інтернет мереж від атак типу «відмова в
обслуговуванні»
DOS-атаки на сьогодні привертають чималу увагу, адже до недавнього часу важалися
зовнішніми, а нині реалізовуються і як внутрішні атаки, що вимагає нових
підходів до забезпечення захисту інтернет мереж. Тобто завдання захисту
мереж підприємств від вторгнень є актуальним, вимагає
додаткових досліджень.
Атаки типу DОS (скор. від Denial of Service
– «відмова в обслуговуванні) зловмисник
організовує доставку шкідливої програми на комп’ютер інтернет мережі, програма
отримує контроль над одним із застосувань серверів або робочих станцій і атакує
решту вузлів інтернет мережі, виконуючи масоване відправлення пакетів даних на
вузли мережі, викликаючи їх перевантаження та порушення роботи. Дієвість такого
типу атак можна продемонструвати за допомогою атаки Ping Flooding (підвид DOS-атак), заснованої на організації безперервного потоку
фрагментованих пакетів від атакуючої машини до машини, що атакується в
інтрамережі, при цьому адреса машини-відправника постійно змінюється, що дає
тому, хто атакує, деяку анонімність.
Джерелами проникнення шкідливих
програм у інтернет мережу є: флеш-носії; ноутбуки і КПК (носії інформації, що
тимчасово підключаються); електронна пошта; Web. Виділимо три основні вектори проникнення шкідливих програм в інформаційні системи компаній[3].
Перший вектор. Використання
помилок у налаштуваннях телекомунікаційного устаткування та серверів, розміщених на зовнішньому периметрі захисту і в
доступних іззовні сегментах локальної обчислювальної мережі.
Другий вектор. Проникнення,
засновані на уразливості веб-додатків.
Третій вектор. Використання
порушником уразливості робочих місць кінцевих користувачів у поєднанні з
методами соціальної інженерії. Для захисту
мережі підприємства від вторгнень, на додаток до інструментів лікування та
протидії загрозам, слід упроваджувати технології, які, за допомогою систем
виявлення уразливості комп’ютерних мереж і аналізаторів мережевих атак, можуть
запобігти самому факту зараження або його негативного впливу. Зокрема,
для виявлення подібного розглянутому вище
трафіку, на додаток до міжмережевих екранів (fi rewall), у мережі використовують
системи виявлення вторгнень (СОВ)
(англ. Intrusion Detection System – IDS) – програмний або апаратний
засіб, призначе ний для виявлення фактів
неавторизованого доступу, вторгнення або мережевої атаки в комп’ютерну систему або мережу. IDS не роблять систему абсолютно безпечною[2]. Проте мають практичну користь, допомагаючи досягти декількох
цілей:
– виявити вторгнення або мережеву атаку;
– спрогнозувати можливі майбутні атаки та виявити уразливості для запобігання їх подальшому розвитку.
IDS-системи можуть бути: signature-based (сигнатурного методу), anomaly-based (методу аномалій) та policy-based (методу, заснованого на політиці).
Cигнатурне
визначення. Детектори атак аналізують діяльність системи, використовуючи
для цього подію або безліч подій на
відповідність заздалегідь визначеному зразку – сигнатурі.
Метод
аномалій полягає у визначенні ненормальної (незвичайної) поведінки хосту,
або в мережі. Детектори аномалій припускають, що атаки
відрізняються від «нормальної» (законної) діяльності і, отже, можуть бути
визначені системою.
Метод, заснований на політиці (policy-based), полягає в написанні правил мережевої безпеки в
термінах розподілу доступу, наприклад, які мережі можуть взаємодіяти один з
одним і які протоколи при цьому можуть використовуватися[4]
Система «Комплекс 3А» при спробі
доступу до інформаційних активів за рахунок
функції ідентифікації дає відповідь на питання «Хто ви?» і «Де ви?» – чи є ви авторизованим користувачем мережі. Функція авторизації відповідає за те, до яких ресурсів
конкретний користувач має доступ. Функція адміністрування полягає в наділі
користувача певними ідентифікаційними особливостями в
рамках даної мережі та визначенні обсягу
допустимих для нього дій.
Системи шифрування дозволяють
мінімізувати втрати в разі несанкціонованого
доступу до даних, що зберігаються на жорсткому диску
або іншому носієві, а також перехоплення
інформації при її пересилці за допомогою електронної пошти, або при передачі за мережевими протоколами. Завдання цього засобу
захисту – забезпечення конфіденційності. Основні
вимоги, що пред’являються до систем шифрування – високий рівень криптостійкості
та легальність використання на території країни.
Ефективним засобом
захисту від втрати конфіденційної інформації є фільтрація вмісту вхідної і вихідної електронної пошти. Перевірка
поштових повідомлень і вкладень у них на основі правил, установлених в
організації, дозволяє також компанії уникнути відповідальності за судовими
позовами і захистити їхніх співробітників від спаму. Засоби контентної
фільтрації дозволяють перевіряти файли всіх поширених форматів, зокрема стислі
та графічні. При цьому пропускна спроможність мережі практично не змінюється.
Завдяки технології перевірки цілісності
вмісту жорсткого диска (integrity checking) усі зміни на робочій станції або на сервері можуть бути
відстежені адміністратором мережі або іншим авторизованим користувачем. Це
дозволяє виявляти будь-які дії з файлами (зміну, видалення або ж просто
відкриття) та ідентифікувати активність вірусів, несанкціонований доступ або
крадіжку даних авторизованими користувачами.
Сучасні
антивірусні технології дозволяють виявити
практично всі вже відомі вірусні програми через порівняння коду підозрілого
файла із зразками, що зберігаються в антивірусній базі. Крім того,
роз роблені технології моделювання поведінки дозволяють виявляти новостворені вірусні програми. Захист від вірусів може
здійснюватися на робочій станції, файлові та поштовому сервері, міжмережевому екрані, що працюють під практично будь-якою з поширених
операційних систем (Windows, Unix- і Linux-системи, Novell)
на процесорах різних типів[2].
Фільтри
спаму значно зменшують непродуктивні
трудовитрати, пов’язані з розбором спаму, знижують трафік і завантаження
серверів, поліпшують психологічний фон у колективі та зменшують ризик залучення
співробітників компанії в шахрайські операції.
Отже, у сучасних умовах
тільки наявність розвиненого системного комплексу інформаційної безпеки
забезпечує конкурентоспроможність, а інколи й життєздатність компанії (підприємства,
банку). Завдання забезпечення інформаційної безпеки повинне вирішуватися
системно. Це означає, що різні засоби захисту (апаратні,
програмні, фізичні, організаційні і т. д.) повинні
застосовуватися одночасно і під централізованим управлінням. При цьому компоненти системи повинні «знати» про існування один одного, взаємодіяти та забезпечувати захист як від зовнішніх, так і від внутрішніх загроз.
Література:
1. Безопастность сетей // http://www.intuit.ru/department/security/netsec/3/4. html.
2. Бурняк Б. В. Засоби
систем захисту доступом та моделі класифікація рівнів захисту// Вісник
Інженерної академії України. – К.: 2010.– № 2.– С.268–274.
3. Проблемы
безопасности протоколов TCP/IP // http://athena.vvsu. ru/net/book/security.html.
4. Михайлюта М. Л. Захист
інтрамереж від DОS і DDОS – атак //
Вісник університету банківської справи НБУ. – 2010. - №3(9). – С. 309 – 312.