Система обнаружения вторжения в сеть предприятия

Содержание

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Введение.

Проблема обеспечения  безопасности того или иного предприятия  является крайне многоплановой задачей. С необходимостью решения этой задачи в настоящее время сталкивается все большее число руководителей. В первую очередь, необходимо, исходя из конкретных условий деятельности предприятия, из общего понятия обеспечение безопасности выделить конкретные аспекты. В числе таких аспектов после личной безопасности одно из первых мест занимает защита от вторжения в компьютерную сеть.

Интернет, служившая когда-то исключительно исследовательским  и учебным группам, чьи интересы простирались вплоть до доступа к  суперкомпьютерам, становится все более  популярной в деловом мире.

Компании соблазняют быстрота, дешевая глобальная связь, удобство для проведения совместных работ, доступные программы, уникальная база данных сети Интернет. Они рассматривают  глобальную сеть как дополнение к  своим собственным локальной сетям.

Интернет - глобальная компьютерная сеть, охватывающая весь мир. Сегодня Интернет имеет около 15 миллионов абонентов в более чем 150 странах мира. Ежемесячно размер сети увеличивается на 7-10%. Интернет образует как бы ядро, обеспечивающее связь различных информационных сетей, принадлежащих различным учреждениям во всем мире, одна с другой.

Если ранее сеть использовалась исключительно в качестве среды  передачи файлов и сообщений электронной  почты, то сегодня решаются более  сложные задачи распределенного доступа к ресурсам. Не так давно были созданы оболочки, поддерживающие функции сетевого поиска и доступа к распределенным информационным ресурсам, электронным архивам. Новые границы киберпространства открывают широкие возможности для новшеств, деловой активности и извлечения прибыли. Но есть у интерактивного мира и другая сторона - снижение степени безопасности корпораций. Сеть Интернет породила нелегальный рынок, где сбывается информация, составляющая коммерческую тайну корпораций. По оценкам правоохранительных органов, интерактивные преступники ежегодно крадут информацию более чем на 10 млрд. долл. Однако закон до сих пор проигрывает в сражении с ними. Киберворы пользуются преимуществами, которые дает им система защиты Интернет, включая свободно распространяемые алгоритмы шифрования с открытым ключом и анонимные узлы ретрансляции электронной почты. Эти средства служат укрытием для торговцев похищенной информацией во всем мире. Степень риска для корпораций повышается независимо от того, работают они по Интернету, или нет. Угрозу представляет не только возможность проникновения в корпоративную сеть через брандмауэр, но и само становление интерактивного рынка корпоративных данных, которые могут быть украдены и собственными сотрудниками компании.

Нелегальная деятельность по сети изменила лицо корпоративной службы безопасности. Раньше мог исчезнуть один ящик секретных сведений. Теперь же нетрудно скопировать и отправить по электронной почте эквивалент сотен таких ящиков. Все, что для этого требуется, - один хакер. В тот же вечер все сообщество хакеров будет в курсе дела. В число нелегально продаваемой и покупаемой информации входят номера талонов на телефонные переговоры, выдаваемых компаниями междугородной связи, коды подключения к службам сотовой связи, номера кредитных карточек, "вынюхивающие" алгоритмы взлома защиты и пиратские копии программного обеспечения. В некоторых случаях покупателями этой информации являются криминальные структуры, такие как продавцы пиратского ПО, которые покупают украденные номера талонов, чтобы бесплатно звонить по международному телефону. Что еще опаснее, на этом рынке распространяются коммерческие секреты организаций, в частности планы исследований и разработок компаний, занимающихся высокими технологиями. Хотя наибольшим атакам подвергаются сегодня телефонные службы и компании, выдающие кредитные карточки, повышение интенсивности интерактивной коммерции между крупными корпорациями может существенно увеличить риск электронных краж для всей промышленности. По мере выхода коммерции на информационную магистраль мы все становимся мишенями. Риску подвергаются программные агенты и другие объекты.

Распространение электронной  коммерции приводит к созданию все  новых интерактивных каналов  связи, и нет гарантии, что любой  из промежуточных каналов не окажется уязвимым местом с точки зрения защиты. Конечно, в краже коммерческих секретов нет ничего нового. Но Интернет и другие интерактивные службы открывают торговцам информацией новые возможности для поиска и обмена данными. Вследствие всего вышесказанного тему данной работы следует считать актуальной.

Целью данной работы является исследование системы обнаружения вторжения в сеть предприятия.

Задачи:

- перечислить услуги, предоставляемые сетью Интернет;

- изучить  виды

- рассмотреть информационную безопасность предприятия, подробно остановившись на описании межсетевых экранов (firewalls) и Систем Обнаружения Вторжения.

- описать  виды возможных атак;

- сделать  выводы по изученному материалу.

  

1. Услуги, предоставляемые сетью

Все услуги, предоставляемые сетью Интернет, можно условно поделить на две категории: обмен информацией между абонентами сети и использование баз данных сети. К числу услуг связи между абонентами принадлежат:

Telnet - удаленный доступ, который дает возможность абоненту работать на любой ЭВМ сети Интернет как на своей собственной - запускать программы, менять режим работы и т.д.

FTP (File Transfer Protocol) - протокол передачи файлов. Дает возможность абоненту обмениваться двоичными и текстовыми файлами с любым компьютером сети. Установив связь с удаленным компьютером, пользователь может скопировать файл с удаленного компьютера на свой или скопировать файл со своего компьютера на удаленный.

NFS (Network File System) - распределенная  файловая система. Эта система дает возможность абоненту пользоваться файловой системой удаленного компьютера, как своей собственной.

Электронная почта - самая  распространенная услуга сети Интернет. В настоящее время свой адрес по электронной почте имеют приблизительно 20 миллионов человек. Посылка письма по электронной почте обходится значительно дешевле посылки обычного письма. Кроме того, сообщение, посланное по электронной почте дойдет до адресата за несколько часов, в то время как обычное письмо может добираться до адресата несколько дней, а то и недель. Электронная почта - это обмен почтовыми сообщениями с любым абонентом сети Интернет. Существует возможность отправки как текстовых, так и двоичных файлов. На размер почтового сообщения в сети Интернет накладывается следующее ограничение - размер почтового сообщения не должен превышать 64 килобайт.

Новости - получение сетевых  новостей и электронных досок  объявлений сети и возможность помещения  информации на доски объявлений сети. Электронные доски объявлений сети Интернет формируются по тематике. Пользователь может по своему выбору подписаться на любые группы новостей.

Whois - адресная книга сети Интернет . По запросу абонент может получить информацию о принадлежности удаленного компьютера, о пользователях.

Finger - получение информации  о пользователях удаленного компьютера.

Кроме вышеперечисленных услуг, сеть Интернет предоставляет также следующие специфические услуги.

Webster - сетевая версия  толкового словаря английского  языка.

Факс-сервис - дает возможность  пользователю отправлять сообщения по факсимильной связи, пользуясь факс-сервером сети.

Электронный переводчик - производит перевод присланного  на него текста с одного языка на другой. Обращение к электронным  переводчикам происходит посредством  электронной почты.

Шлюзы - дают возможность  абоненту отправлять сообщения в сети, не работающие с протоколами TCP\IP (Fido, Goldnet, AT50).

К системам автоматизированного  поиска информации в сети Интернет принадлежат следующие системы.

Gopher - наиболее широко  распространенное средство поиска информации в сети Интернет, позволяющее находить информацию по ключевым словам и фразам. Работа с системой Gopher напоминает просмотр оглавления, при этом пользователю предлагается пройти сквозь ряд вложенных меню и выбрать нужную тему. В Интернет в настоящее время свыше 2000 Gopher-систем, часть из которых является узкоспециализированной, а часть содержит более разностороннюю информацию.

Gopher позволяет получить  информацию без указания имен  и адресов авторов, благодаря  чему пользователь не тратит  много времени и нервов. Он просто сообщит системе Gopher, что именно ему нужно, и система находит соответствующие данные. Gopher-серверов свыше двух тысяч, поэтому с их помощью не всегда просто найти требуемую информацию. В случае возникших затруднений можно воспользоваться службой VERONICA. VERONICA осуществляет поиск более чем в 500 системах Gopher, освобождая пользователя от необходимости просматривать их вручную.

WAIS - еще более мощное  средство получения информации, чем Gopher, поскольку оно осуществляет  поиск ключевых слов во всех текстах документов. Запросы посылаются в WAIS на упрощенном английском языке. Это значительно легче, чем формулировать их на языке алгебры логики, и это делает WAIS более привлекательной для пользователей-непрофессионалов.

При работе с WAIS пользователям не нужно тратить много времени, чтобы найти необходимые им материалы.

В сети Интернет существует более 200 WAIS - библиотек. Но поскольку информация представляется преимущественно сотрудниками академических организаций на добровольных началах, большая часть материалов относится к области исследований и компьютерных наук.

WWW - система для работы  с гипертекстом. Потенциально она  является наиболее мощным средством  поиска. Гипертекст соединяет различные  документы на основе заранее  заданного набора слов. Например, когда в тексте встречается новое слово или понятие, система, работающая с гипертекстом, дает возможность перейти к другому документу, в котором это слово или понятие рассматривается более подробно.

WWW часто используется  в качестве интерфейса к базам данных WAIS, но отсутствие гипертекстовых связей ограничивает возможности WWW до простого просмотра, как у Gopher.

Пользователь со своей  стороны может задействовать  возможность WWW работать с гипертекстом для связи между своими данными  и данными WAIS и WWW таким образом, чтобы собственные записи пользователя как бы интегрировались в информацию для общего доступа. На самом деле этого, конечно, не происходит, но воспринимается именно так.

WWW - это относительно  новая система. Установлены несколько демонстрационных серверов, в том числе Vatican Exibit в библиотеке Конгресса США и мультфильм о погоде "Витки спутника" в Мичиганском государственном университете. В качестве демонстрационных также работают серверы into.funet.fi (Финляндия); into.cern.ch. (Швейцария) и eies2.njit.edu (США).

Практически все услуги сети построены на принципе клиент-сервер. Сервером в сети Интернет называется компьютер способный предоставлять клиентам (по мере прихода от них запросов) некоторые сетевые услуги. Взаимодействие клиент-сервер строится обычно следующим образом. По приходу запросов от клиентов сервер запускает различные программы предоставления сетевых услуг. По мере выполнения запущенных программ сервер отвечает на запросы клиентов.

Все программное обеспечение  сети также можно поделить на клиентское и серверное. При этом программное обеспечение сервера занимается предоставлением сетевых услуг, а клиентское программное обеспечение обеспечивает передачу запросов серверу и получение ответов от него.

2. Информационная безопасность.

Информационная безопасность должна рассматриваться как составная часть общей безопасности предприятия - причем как важная и неотъемлемая ее часть. Разработка концепции информационной безопасности должна обязательно проходить при участии управления безопасности предприятия. В этой концепции следует предусматривать не только меры, связанные с информационными технологиями (криптозащиту, программные средства администрирования прав пользователей, их идентификации и аутентификации, “брандмауэры” для защиты входов—выходов сети и т. п.), но и меры административного и технического характера, включая жесткие процедуры контроля физического доступа к автоматизированной системе предприятия.

 Необходимо участие  сотрудников управления безопасности  на этапе выбора—приобретения—разработки автоматизированной системы предприятия. Это участие не должно сводиться к проверке фирмы-поставщика. Управление безопасности должно контролировать наличие надлежащих средств разграничения доступа к информации в приобретаемой системе.

Здесь представляется целесообразным рассмотреть Системы обнаружения  вторжения.

 

2.1 Межсетевые экраны (firewalls).

Одним из наиболее распространенных механизмов защиты от интернетовских бандитов - “хакеров” является применение межсетевых экранов - брэндмауэров (firewalls).

Стоит отметить, что вследствие непрофессионализма администраторов  и недостатков некоторых типов  брэндмауэров порядка 30% взломов совершается  после установки защитных систем.