Основам информационной безопасности

 

802.3. Технология Ethernet.

технология  передачи данных с использованием единой шины в разделенной среде  передачи информации. В процессе взаимодействия компьютеры используют метод множественного доступа с контролем несущей  и обнаружением конфликтов(CSMA/CD – Carrier Sense Multiple Access with Collision Detection).

1 этап – хост убеждается, что  общая шина не занята – отсутствует  несущая(определяется по частоте  сигнала »10 Mhz). После завершения передачи данных – пауза 9 сек., чтобы не монополизировать общую среду.

2 хоста , одновременно передающих  информацию ®коллизия, тогда первый хост передает jam-последовательность, которая усиливает и прекращает передачу информации. После блокировки коллизии – пауза.

Разделенная среда передачи – кадры данных, формируемые отправителем, получаются всеми хостами, подключенными к разделенной среде.

Технология  Ethernet работает на канальном уровне, единица информации – кадр данных. Рассмотрим структуру кадра данных. Любой кадр данных начинается с преамбулы(специальная последовательность из 8 байт, которая идентифицирует начало кадра данных и позволяет компьютеру определить факт  начала получения данных )-10101011. После преамбулы следует 6-байтовый адрес назначения(МАС), где первые 3 байта – производитель сетевой карты, 2-е – порядковый номер сетевой карты. 3–е поле – адрес источника(6 байтов), 4-е поле – тип данных – тип протокола, на основании которого сформированы данные, инкапсулированные в Ethernet-кадр(не зависит от конкретной среды передачи информации).5-е поле – сами данные(максимальная длина –1500 байт ). 6-е поле – поле контрольной суммы, по которой сетевой адаптер проверяет целостность данных.

Основные  типы сетей Ethernet:

10 Base-2 - тонкий коаксиальный кабель

10 Base-5 – толстый коаксиальный кабель

10/100 Base-T – витая пара

1000 Base-F –волоконно-оптический

кабель витой пары patch code:

 прямой – для подключение  компьютеров к коммутаторам и  концентраторам

обратный(crossover) – для подключения 2-х компьютеров друг к другу, а также 2-х коммутаторов.

Витая пара – 4 кабеля – 1-передает данные, 2- принимает, 3,4-свободны.

В концентраторах есть порт uplink(для подключения медленных устройств к высокоскоростной магистрали), обычно это самый левый или самый правый порт. Коммутаторы, которые подключаются к uplink должны иметь crossover, хотя в новых коммутаторах порт может быть перепрограммирован.

 

                                                                                   crossover

 

 

 

 

Token Ring – технология передачи информации, разработанная компанией IBM в 1987(стандарт 802.5), используется в мейнфреймах IBM сейчас.

В Token Ring информация передается в одном направлении со скоростью 4/16 Mbit/s. В Token Ring в отличие от других технологий  Ethernet предусмотрен механизм отказоустойчивости передачи данных. В определенный момент времени одна из станций выполняет роль активного монитора(следит за возникновением коллизий).

В сетях Ethernet всегда циркулирует Token(маркер). В маркер помещается порции данных и отправляются в сеть, маркер проходит последовательно через все хосты, если адрес получателя совпал, то копирует в буфер на обработку, проходит по кольцу до отправителя, подтверждает передачу, после этого он освобождается от данных и заново перенаправляется в сеть. В Token Ring используется параметр: время использования маркера.

Token Ring – технология с разделенной средой передачи данных. Также в сетях Token Ring поддерживается механизм приоритезации данных, в маркере указывается уровень приоритета(0-8) и каждому компьютеру, подключенному в сеть, назначается уровень приоритета. Если уровень приоритета хоста>уровня приоритета маркера, то информация передается.

Структура маркера  и кадра данных Token Ring.

Маркер:

1 поле –  начальный ограничитель(преамбула)

2 поле –  поле управления доступом:

1. подполе приоритета
2. маркера
3. бит монитора(признак получения информации одним из хостов, 0 –данные получены)
4. резервные биты приоритета
5. конечный ограничитель – фиксированное значение, определяющее длину маркера

 

Кадр данных:

1 поле- начальный  ограничитель

2 поле - адрес отправителя

3 поле – адрес получателя

4 поле – данные

5 поле – поле управления  кадром данных

6 поле – контрольная  сумма

7 поле – конечный  ограничитель

Для объединения хостов используется кабель типа «витая пара».

На основе технологии Token Ring была разработана ее модификация FDDE(File Distribution Data Environment) – тоже кольцевая топология, физическая среда – оптика, позволяет одновременно организовывать несколько колец(могут работать одновременно, либо в горячем, либо в холодном резерве), при этом информация передается нескольких направлениях, обладает повышенной отказоустойчивостью.

Протоколы для передачи данных в сетях с коммутацией  пакетов: 3 базовых:

1. X.25
2. Frame Relay
3. ATM

 

1976 – X.25 – невысокая пропускная способность, внедрен в большое количество организаций: банковские, корпоративные, служебные сети(Sprint, RosNet,Сбербанк )

Подключение к сети X.25 осуществляется при помощи терминального оборудования, устанавливаемого на стороне пользователя.

Основные компоненты X.25:

1. центр коммутации пакетов(роль амортизаторов, передача информации)
2. пакетные ассемблеры/дизассемблеры(для подключения простого асинхронного оборудования к сетям X.25)
3. центр управления сетью(управляет центром коммутации пакетов)
4. шлюз(организация взаимодействия 2-х сетей X.25)

Стек протоколов X.25 включает 3 уровня: физический, канальный, пакетный).

Пакетный уровень - используется протокол PLP-Packet Layer Protocol – предназначен для решения задач:

1. организация виртуального соединения(PVC - Permanent Virtual Circuit(постоянное) , SVC –Switch Virtual Circuit(коммутируемое) )
2. LCI (Logic Circuit Identifier) – коммутация пакетов в сети, содержат специальный адрес, который меньше IP адресата. MPLS(Multiprotocol Lable Switching)-амортизация в IP-сетях на основе меток(закрытый корпоративный протокол CISCO)
3. контроль целостности и последовательности передачи информации(канальный уровень – протокол LAPB(Link-Access Protocol Balanced – сбалансированный протокол доступа к звену связи)-формирует последовательность кадров данных, контроль целостности, и правильности, физический уровень – RS-232,X.21, V.35)

Лекция 3.

int main (int arg c, char *arg v)

{char a1[4]=”abc”;

char a2[8]=”defghi”;

strcpy(a2,”0123456789”);

printf(“%s\n”,a1);

return 0;

}

 

Структура стека до выполнения операции strcpy

   d     e        f        g

   h      i        g      \0   

    a    b        c      \0

 

переносим значения

   0     1        2      3

  4      5        6      5 

  8       9      \0     \0

В итоге Instruction Pointer переходит на то, место, где происходит передача управления.

Уязвимость  класса SQL Injection

связано с  несанкционированным изменением SQL-запроса, что приводит к нарушению работы СУБД. SQL-запросы формируются на основе входных данных пользователя, если в процедуре нет проверки корректности работы, то пользователь может нарушить работу СУБД.

1) SQLQuery=”SELECT Username From Users WHERE Username=’&strUsername&’ AND Password=’&strPassword&’  ” ;

StrCheck=GetQueryResult(SQLQuery);

If strCheck=” ” then boolAuth=False else boolAuth=True

EndIf.

Можно обойти процедуру  аутентификации, если strUsername=strPassword=’OR””

 

Если первая строка таблицы=boolAuth=True

2)  Также при вводе  данных используется оператор  UNION

      UNION SELECT FirstName FROM Employees WHERE City=”’&strCity&”’;

    Уязвимость с целью несанкционированного изменения данных

    SELECT Smth From Smth INTO <имя таблицы> - результаты выборки                             добавляются в другую таблицу.

Уязвимость типа Format String

связана с тем, что в  программе не проверяется значение формата строки, он записывается в отдельную переменную и таким образом получается доступ к стеку программы

printf(<формат строки>,<переменная>)

актуальна для Web-приложений, содержащих эту функцию

Delay of Sevice(DoS), Distributed Delay of Service(DDoS)

Нарушение работы программы путем  формирования большого количества запросов

Пример атаки  – SYNFlooding – объекту атаки отправляется большое количество TCP-сегментов с установленным флагом SYN, при получении такого пакета хост резервирует большое количество ОП®нарушение работоспособности

Как избежать: фильтрация данных на уровне провайдера

2 документа, определяющие  правила фильтрации:  RFC 1918 и 2827(для снижения последствий)

Создание ложных DNS-серверов.

DNS-сервера служат для трансляции символьных имен в IP-адрес, сервер хранит информацию об определенной зоне DNS-имени.

Иерархическая структура  DNS-имени

                                                             Корневой домен

                                                       ru       us     com        net

                                            

                                                mati     rnt  

                                                 it                 service     домен 1 уровня        

      Для определения  IP-адреса формируется запрос DNS-серверам, где указывается IP-адрес, ответ – по  IP- адресу отправителя. Корневой каталог – локальная база – если нет, то обращаются  к корневому домену. Особенность DNS – не предусмотрено механизмов аутентификации субъектов соединения(можно давать ложный ответ от ложного сетевого объекта)     .

Базовые механизмы  защиты от сетевых атак:

1. Система обнаружения вторжений(Intrusion Detection System)

      I. датчики – устанавливаются в сегментах АС и выполняют функцию сбора            информации о сетевом трафике, циркулирующем в заданном сегменте

3 основных  способа подключения датчиков:

1. к специальным SPAN(Switch Package Analyzer)-портам коммутатора – перенаправляет на себя информацию, передаваемую на другие порты
2. подключение к концентраторам
3. в разрыв канала связи

II. модуль анализа данных

 

III. модуль реагирования

IV. модуль управления СОА

2 группы методов  выявления атак:

1. поведенческие(пример - выявление атак на основе частотных отклонений)
2. сигнатурные(описывают атаку в виде специального выражения, задаваемого специальным языком или шаблоном)

 

В современных  СОА одновременно применяются как  сигнатурные, так и поведенческие  методы.

Модель реагирования СОА может выполнять активные(выполнение операций, позволяющих заблокировать  атаку – реконфигурация межсетевого экрана(фильтры), принудительное закрытие TCP-сессии) и пассивные(оповещение администратора путем отображения сообщения на консоли или оповещением по почте) функции. Требование – наличие аутентификации администратора безопасности.

Хвостовые датчики:

1. внешние(собственный механизм сбора информации)
2. интегрированные(базируются на механизмах, которые присутствуют в ОС хоста, где они установлены)

Коммерчески реализованные – RealSecure, NetPower.

Лекция 4.

Системы класса IDS.

Рассмотри 2 типа датчиков:

1. сетевые(устанавливаются в определенном сегменте сети)
2. хостовые(установлены на конкретном сервере)

 

Сравним их функции:

1. возможность обработки данных, передаваемых по крипто-защищенным каналам связи(протоколы IPSec, Ipv6, SSL/TLS )

 сетевые датчики не имеют возможности обрабатывать крипто-                    защищенные данные, они перехватывают данные на канальном уровне, хостовые могут, это достигается за счет того, что хостовой датчик может функционировать на уровне приложения, т.е. информация перехватывается на прикладном уровне(ISAPI-фильтр – функционирует на уровне сервера)