<<<Читать предыдущую главу На главную страницу Читать следующую главу>>>
Информация - это главная ценность

Правовой аспект
защиты информации.

Нормативно-правовая
база
Лицензирование
Защита
от копирования
Защита доступа
к компьютеру.

Программный аспект
защиты информации.

Анализ антивирусных
систем

Защита
локальных сетей

Защита данных
на дисках
Решение поблемы
 

Защита
локальных сетей.

Если компьютер подключен к Интернету, то в принципе любой пользователь, также подключенный к Интернету, может получить доступ к информационным ресурсам этого компьютера. Если сервер имеет соединение с Интернетом и одновременно служит сервером локальной сети (Интернет - сервером), то возможно несанкционированное проникновение из Интернета в локальную сеть.
Механизмы проникновения из Интернета на локальный компьютер и в локальную сеть могут быть разными:

  1. Загружаемые в браузер Web-страницы могут содержать активные элементы ActiveX или Java - апплеты, способные выполнять деструктивные действия на локальном компьютере;
  2. Некоторые Web-серверы размещают на локальном компьютере текстовые файлы cookie, используя которые можно получить конфиденциальную информацию о пользователе локального компьютера;
  3. С помощью специальных утилит можно получить доступ к дискам и файлам локального компьютера;
  4. Другие.

Для того чтобы этого не происходило, устанавливается программный или аппаратный барьер между Интернетом и Интранетом с помощью брандмауэра (fire-wall - межсетевой экран).
Что же такое Брандмауэр? Все коммутации в Интернете осуществляются посредством обмена пакетами данных. Каждый пакет передается от компьютера-источника к компьютеру - точке назначения. Пакет - единица потока информации в Интернете. Любое соединение между двумя ПК состоит из отдельных пакетов, пересылающихся между этими ПК. По существу, компьютеры "договариваются", что они связаны, и каждый возвращает назад подтверждение о получении данных. Чтобы прибыть по назначению, каждый Интернет-пакет должен содержать адрес точки прибытия - IP конкретного компьютера и номер порта, как бы адрес программы или службы, которой он предназначен. Принимающий компьютер должен знать, кто послал ему очередной пакет, поэтому все пакеты содержат IP-адрес отправителя и номер порта ПК, пославшего этот пакет.
Любой пакет, перемещающийся в Сети, включает полные адреса отправителя и получателя. IP-адрес всегда идентифицирует конкретный одиночный компьютер в Интернете, а порт связан с конкретной службой, ответственной за обра-ботку данного блока информации.
Программный брандмауэр - это "огненная стена", проверяющая IP-адрес и порт каждого пакета данных, проходящего сквозь брандмауэр в любую сторону, а затем разрешающая или запрещающая его прохождение. Брандмауэр все-гда проверяет каждый пакет данных, достигающий вашего ПК, до того как он поступит в распоряжение любой другой запущенной программы.
TCP / IP-порт открыт для прохождения данных только в том случае, если на первый достигший вашего ПК пакет с запросом установки нового соединения ваш компьютер отвечает: "Всегда готов! ". Если пакет этот просто проигнорирован, то порт вашего ПК скрыт в сети (режим невидимки или Stealth-режим), то есть компьютер-отправитель его просто не видит.
И именно потому, что в каждом пакете содержится IP-адрес ПК, его отправившего, брандмауэр в состоянии понять, какие пакеты пропускать, а какие нет. В результате происходит фильтрация пакетов, основанная на комбинациях заданных IP-адресов и портов.
Любой пакет, проходящий между двумя ПК, имеет набор битов, называемых ACK-биты. Эти биты сообщают, что данный пакет подтверждает получение всех предыдущих данных. Но это означает, что только самый первый пакет, инициировавший новое соединение, не будет подтверждать получение предыдущих данных. Другими словами, брандмауэр может легко определить, создается ли новое соединение или продолжается пересылка затребованных вами данных. Пакеты, являющиеся частью установленного соединения, должны прoходить брандмауэр, а новые попытки соединения - отвергаться. Таким образом, исходящие соединения разрешаются, а входящие блокируются.
При изначальной разработке межсетевых экранов особое внимание уделялось следующим принципам:

  1. Минимализм. Простое лучше сложного. Разработка велась четко по принципу "сверху вниз". В результате был получен минимальный по объему, а наиболее эффективный по производительности программный интерфейс, легко позволяющий реализовать proxy для протокола, не входящего в базовый комплект. Облегчает последующие тестирования. Крайне важно - такой подход сильно уменьшает вероятность скрытых ошибок.
  2. Запрещено все, что не разрешено. Принцип, защищающий межсетевой экран от ошибок администратора. Неправильная директива интерпретируется как глобальное запрещение данного сервиса. Кроме того, таким образом, введено умолчание - запрещено. Введение любого нового сервиса обязательно влечет за собой его увязывание с политикой безопасности.
  3. На межсетевых экранах не должно быть пользователей. Единственный пользователь, имеющий возможность только локальной работы - администратор.
  4. Записывать в журнал все, что возможно. Избыточность статистической информации о работе межсетевых экранов крайне полезна, не только с точки зрения безопасности, а и с точки зрения оценки производительности и т.д.
  5. Работа межсетевых экранов легко контролируется. Наличие единой базы пользователей и эффективного интерфейса для работы с ней легко позволяют осуществлять контроль пользователей, их блокировку, изменение атрибутов и т. д.
  6. Простая и логичная конфигурация. Основной конфигурационный файл межсетевых экранов имеет текстовый формат, его логическая структура довольно очевидна и не составляет препятствия для системного администратора.

Наиболее актуальной проблемой для конечного пользователя остаются вирусы, черви и троянские программы. По статистике антивирусных компаний более 95% всех вредоносных программ, распространяющихся в глобальной сети, яв-ляются Сетевые черви, и 99% из них составляют почтовые черви.
В связи с тем, что почтовые черви распространяются по электронной почте - практически все межсетевые экраны оказываются неэффективны. Откуда Брандмауэру знать: это пользователь отправляет письмо, или червь себя рассылает. Некоторыми администраторами почтовых серверов применяются кардинальные меры по борьбе с вирусами: почтовый сервер не пропускает файлы, имеющие запускные расширения (EXE, COM, PIF, BAT, CMD, SCR и т.п.). Но, по-моему, это не выход. Так, сетевой червь I-Worm. Lentin отправляет свои копии в ZIP - архиве и тогда сервер пропускает "злоумышленника".
Кроме того, чаще всего пользователи сами находят проблемы на свою голову: открывают файлы, приходящие по электронной почте не весть, откуда (в которых нередко за двойными расширениями прячутся тела червей), посещают сомнительные WEB-сайты, закачивают и запускают разнообразные "ускорители Интернета" или новые хранители экрана. Таким образом, сами себе находят "плохих друзей".
Некоторые межсетевые экраны имеют возможность запоминания информации о приложении в момент создания правила для его доступа к ресурсам сети. При каждом повторном доступе приложения к сети производится проверка соответствия этой информации. Таким образом, в случае изменения приложения или используемых им модулей Firewall выдаст предупреждение: "Приложение: было модифицировано. Разрешить ему установить соединение?". Такая возможность может оказаться очень полезной для конечного пользователя и при правильном использовании должна препятствовать доступу "троянизированных" приложений к ресурсам сети.
Все эти факторы расширяют возможности межсетевых экранов до следующих:

  1. защита от Dos атак;
  2. ограничение возможностей удалённого доступа к системным ресурсам компьютера;
  3. разграничение доступа приложений к ресурсам сети;
  4. детектирование почтовых и сетевых червей, создающих для распространения собственное соединение с удалённым ресурсом;
  5. детектирование троянских программ, создающих собственное соединение для передачи данных;
  6. детектирование Backdoor - программ (приложений для удалённого доступа, использующих прямое соединение);
  7. блокирование доступа "троянизированных" приложений к ресурсам сети.

   
Хостинг от uCoz