Основам информационной безопасности

Лекции по «Основам информационной безопасности».

 

Лекция 1.

В качестве объекта информационной безопасности  рассматривается автоматизированная система(АС). АС – совокупность персонала  и средств автоматизации его  деятельности, реализующий определенную информационную технологию.(компьютер, сеть, АСУ).

Объект защиты – информация.

АС состоит из хостов. Взаимодействие между хостами: сетевое  и локальне. Локальное, включает 4 уровня: информации, прикладной, общесистемный, аппаратный. Сетевой включает 7 уровней  в соответствии с классификацией OSI: прикладной, уровень представления, сеансовый, транспортный, сетевой, канальный, физический.

Физический – сигналы  по каналам связи.

Канальный – преобразование блоков данных в эл. сигналы + контроль целостности информации, к пакету добавляется префикс - hash, вычисляющий сумму(односторонняя функция с большой энтропией).

Сетевой – амортизация  информации и определение оптимального маршрута передачи.

Транспортный – обеспечивает гарантированную доставку информационных блоков получателю.

Сеансовый – связь 2-х  приложений в сети.

Уровень представления  – представление данных, получаемых с прикладного уровня в том  формат, который необходим для  передачи через сеть.

Прикладной – функционируют  прикладные сервисы системы.

При передачи информации от уровня к уровню на каждом уровне добавляется служебный заголовок(содержит информацию, необходимую для выполнения функций на данном уровне).

 На основе этой  модели построены все сетевые  протоколы и базовый стек протоколов  TCP/IP.

Информационная безопасность АС – это такое состояние системы, при котором обеспечиваются  3 основные свойства – конфиденциальность , целостность, доступность.

Более подробно:

Конфиденциальность –  свойство, которое позволяет не предоставлять  права доступа к информации и  раскрывать ее неуполномоченным лицам.

Согласно законодательству РФ существует 2 класса конфиденциальности информации:

1. Конфиденциальная – персональные данные (банковская тайна, профессиональная тайна, тайна коммерческих предприятий) – требований по защите как таковых нет, они носят рекомендательный характер…закон о защите персональных данных недавно принят правительством Москвы – касается паспортных данных.
2. Секретная включает 3 уровня – секретный(С), совершенно секретная(СС), особой важности(ОВ)- гостайна.

 

Степень конфиденциальности данных определяется ее владельцем.

Целостность – способность информации не подвергаться изменению в результате несанкционированного доступа.

Доступность – свойство быть доступным и использованным по запросу со стороны уполномоченного пользователя.

Информационная  безопасность – совокупность действий злоумышленника, направленных на нарушение  конфиденциальности, целостности и  доступности информации.

Концептуальная  модель информационной атаки.

В системе должна быть уязвимость(«слабый» пароль, ошибки, отсутствие средств защиты), наличие которой может быть использована для нанесения атаки.

Атака – программно-техническое  воздействие, направленное на активизацию  уязвимости.

Существует 2 класса уязвимости АС:

1. технологические  - ошибки, вносимые в систему на этапе проектирования и разработки АС.
2. эксплуатационные – в процессе неправильной настройки и ошибках в конфигурации АС.

 

Основные стадии проведения информационной атаки:

1. ребалансировки – для получения информации об АС, которая является объектом атаки(открытие портов, с целью определения типа ОС и др.)
2. стадия вторжения в АС – активизация уязвимости с целью получения несанкционированного доступа(НСД) и ресурсам системы.
3. атакующее воздействие –атаки для несанкционированного доступа к конфиденциальной информации

Сетевые атаки  также могут быть классифицированы также в соответствии с уровнями модели OSI.

Пример. Атаки  на физическом уровне направлены на коммутационное оборудование. Exploit – программная реализация метода активизации некоторых уязвимостей. Генерируется огромное количество кадров данных, отправляемых от имени CAM-кадров® вся информация транслируется на все хосты. В рамках коммутаторов создаются VLAN (объединение в логические группы хостов, подключенных к коммутатору).

Атаки:

1. switch spoofing(подмена) – хост имитирует коммутатор и пытается создать trunk между собой и коммутатором на основе протоколов DTP. Для защиты только один порт может выступать в качестве транкированного, а 2 switchа обмениваются данными в формате SO2.1q, где к данным вместе с заголовком добавляется номер хоста.

2. посылка кадров данных  не с 1, а несколькими заголовками  типа SO2.1q, где в 1-м указывается номер одного switchа, а во втором другого.

Атаки канального уровня:

1. В соответствии с протоколом ARP(Address Resolution Protocol, преобразует IP-адрес®MAC-адрес ) 1 хост формирует запрос для проверки IP-адреса другого(запросы бывают 3-х типов unicast(1 адресат–1отправитель),broadcast(широковещательный),multicast(группе адресатов) ), получив ответ хост-1 заносит ответ в свою локальную ARP-таблицу, причем каждая запись имеет определенную врем. задержку(timeout), а т.к. ARP-протокол не предусматривает аутентификации информации, то можно сформировать ложный ответ.
2. man-in-the-middle. Защита – указать на коммутаторе порт, к которому подключается компьютер, а также шифрование информации.

 

Лекция 2.

Атаки сетевого уровня модели OSI.

Атаки на основе протокола TCP/IP(IP  и ICMP )

Формат блоков данных на основе этих протоколов:

1. формат IP- пакетов. Атака - утечка бит.

Version(4)      длина заголовка(4)     Тип сервиса(8)              Total length(16 bits)

            Идентификатор(16 bits )                           Flags(3bits)       Offset(13 bits)         

 

Максимальная длина  заголовка и блока данных – 65535 байт

Данные могут разбиваться  при загруженности канала(фрагментация), а потом собираться(дефрагментация)

Идентификатор – определяет какой пакет относится к какому блоку данных.

Flags – признаки пакета данных; для IP-протокола 2 типа:

 DF(010)-don’t fragment – амортизатор не разбивает

MF(001)-more fragment

…

TTL(8)                                  Type of Protocol(8)                    Checksum(16)

Source IP-address(32)

Destination IP-address(32)

Options + Padding (32)

Data

TTL(time to live) – время жизни пакета данных, при прохождении через амортизатор умножается на 1, если 0 – удаляется, чтобы пакеты, которые зацикливаются не оставались в сети.

Type of Protocol – определяет протокол, на основе которого сформирован пакет данных

Checksum – содержит хэш-значение, вычисляемое на основе заголовка, за исключением поля TTL(оно меняется), считываемая сумма инвертируется

Padding –заполнитель. 

Options – служебный параметр, как правило, не используется, но существует 1 опция – амортизация от источника( Source  Routing), когда указывается маршрут прохождения пакета данных(IP-адреса), с точки зрения политики безопасности лучше блокировать пакеты с этой опцией . В классической схеме амортизации определение оптимального маршрута осуществляется амортизатором.

2. Формат ICMP-пакетов(предполагает наличие разных типов сообщений). Мы рассмотрим Redirect Message – предназначено для изменения IP-адреса шлюза, установленного на рабочих станциях пользователя и серверах. Параметры в сети параметры:

IP-адрес хоста (маска)

IP-адрес шлюза(пограничный амортизатор)

IP-адрес DNS-сервера

При изменении амортизатора отправляется Redirect Message. Его структура:

      Type(8)                             Code(8)                                    Checksum(16)

Gateway Address(32)

Data

Code – причина изменения.

 

 

 

 

 

 

 

 

 

 

 

 

Для контроля работоспособности  узла – ICMP-echo-messages, утилита PING(Package Internet Group) ОС.

Атака отказа класса обслуживания – формируется  запрос от имени широковещательного получателя(максимальный адрес –FF:FF:FF:FF, все хосты отвечают – нагрузка + отсутвие механизма аутентификации ).

Примеры.

Ping of Death – IP-пакет, длина которого превышает 64 Кб.

Tear Drop – формирование некоторым образом дефектных пакетов

Для коммутационного  оборудования CISCO IP-пакет, где TTL=1, Type of Protocol=79(84).

Сетевые атаки на транспортном  уровне.

На транспортном уровне функционируют протоколы TCP и UDP(отдельные пакеты, в отличие от TCP, отдельные пакеты передаются без проверки на правильность передачи, но как можно быстрее ).

Структура заголовка TCP-пакета:

       Source Port Number(16)                         Destination Port Number(16)

Sequence Number(32)

Acknowledgement number(32)

Длина заголовка(4)                  Reserved(6)                    Flags(6)         Window(16)

                        Checksum(16)                                      Urgent Pointer(16)         

Options

Data

Flags – согласование параметров на этапе соединения

Window – размер окна –количество данных, которые могут быть переданы без подтверждения от адресата.

 

        SYN, SN1                        SYN, ACK,SN2

11                                                                     

                                                                          ACK      

 

       SYN,ACK,SN1                                                FIN           

 

            ACK

 

FIN – если один из хостов хочет завершить соединение, то формирует TCP- пакет, в котором установлен флаг FIN.

Атаки:

      LAND: № порта отправителя =№ порта получателя®зацикливание

Защита: фильтры и межсетевые экраны

     WinNuke Urgent Pointer: нарушитель формирует пакет, где хранятся данные TCP_00B. Причина: ошибка разработчиков при реализации стека TCP/IP.

    Сбор информации  по номерам открытых портов. SYN – сканирование, XMAS – сканирование.

     Идентификация  типа ОС. Причина: разные ОС  по-разному реагируют на получаемые  пакеты данных(некорректно сформированные). Пример: Nmap-сканер производит аудит типа ОС.

Сетевые атаки  прикладного уровня.

Уязвимости – технологические и эксплуатационные.

Технологические – наиболее неизвестные: buffer overflow, полностью нарушает работоспособность(уязвимость – особенности реализации стека в процессорах Intel). Стек – область памяти для временного хранения служебных данных. Работа осуществляется с помощью следующих базовых регистров – SS,SP,BP.

                                                  PUSH              void test(int a, int b, int c)

                                                                          {char p1[6], char p2[9]}          

                                                  POP                void main(){test( 1,2,3)}     

 

 

 

 

Способы кодирования  информации:

2B1Q – за 1 такт передает 2 бита информации

2B1Q

00

01

10

11

наличие 4-х уровней сигнала

метод избыточного  кодирования – передача дополнительной информации, чтобы уменьшить число  подряд идущих 0 и 1 .

 FastEthenet.

Сетевые технологии входят в рамки проекта 802.X(IEEE)

1. стандарт 802.1 – механизмы межсетевого взаимодействия (InternetWorking)
2. 802.2 – методы доступа к физической среде передачи информации(LLC)
3. 802.3 – технология Ethernet
4. 802.4 – Token Bus
5. 802.5 – Token Ring
6. 802.6 – MAN(Metropolitan Area Network)
7. 802.10 – Информационная безопасность сети
8. 802.11 – беспроводные сети связи (WAN)