Научная литература
booksshare.net -> Добавить материал -> Информатика -> Петров А.А. -> "Компьютерная безопасность. Криптографические методы защиты" -> 95

Компьютерная безопасность. Криптографические методы защиты - Петров А.А.

Петров А.А. Компьютерная безопасность. Криптографические методы защиты — M.: ДМК, 2000. — 448 c.
ISBN 5-89818-064-8
Скачать (прямая ссылка): comp_safety.pdf
Предыдущая << 1 .. 89 90 91 92 93 94 < 95 > 96 97 98 99 100 101 .. 181 >> Следующая

3.3.7. Общие вопросы безопасности в ЛВС
Безопасность ЛВС по сравнению с безопасностью межсетевого взаимодействия отличается тем, что в случае локальных вычислительных сетей на первое по значимости место выходят нарушения зарегистрированных пользователей ОС, поскольку в основном каналы передачи данных в ЛВС находятся на контролируемой территории, защита от несанкционированного подключения к которым реализуется административными методами.
Среди основных угроз, наиболее опасных для ЛВС, следует отметить следующие:
• анализ сетевого трафика с целью получения доступа к конфиденциальной информации, например к передаваемым в открытом виде по сети пользовательским паролям;
• нарушение целостности передаваемой информации. При этом может модифицироваться как пользовательская, так и служебная информация, например подмена идентификатора группы, к которой принадлежит пользователь;
• получение несанкционированного доступа к информационным ресурсам, например с использованием подмены одной из сторон обмена данными с целью получения доступа к файл-серверу от имени другого пользователя;
• попытка совершения ряда действий от имени зарегистрированного пользователя в системе, например злоумышленник, скомпрометировав пароль администратора, может начать общаться с ЛВС от его имени.
Защита в локальных сетях
233
Причинами возникновения данных угроз в общем случае могут оказаться:
• наличие уязвимостей в базовых версиях сетевых протоколов. Так, при использовании стека протоколов TCP/IP нарушитель может внедрить в ЛВС ложный ARP-сервер (см. пример, приведенный далее);
• уязвимости специализированных защитных механизмов. Например, причиной возникновения подмены стороны информационного обмена может служить уязвимость процедур аутентификации клиентов при доступе к серверу;
• некорректное назначение уровня доступа;
• использование в качестве каналов передачи данных общедоступной среды, например применение топологии построения ЛВС с общей шиной. В данном случае злоумышленник может использовать ПО (например, Network Monitor или LanAnalyzer), позволяющее просматривать все передаваемые в сети пакеты;
• некорректное администрирование ОС, например задание не до конца продуманных разрешений на удаленное редактирование системного реестра (в ОС Windows NT);
• ошибки в реализации ОС;
• ошибки персонала.
Обеспечение защиты в соответствии с заданной политикой безопасности в ЛВС является комплексной задачей и осуществляется при помощи:
• корректного администрирования сетевых настроек ОС (в том числе и настроек, отвечающих в данной ОС за сетевую безопасность, которые являются штатными средствами большинства современных ОС);
• дополнительных защитных механизмов: шифрования, ЭЦП, аутентификации сторон и др.;
• организационных методов защиты и контроля за их неукоснительным соблюдением, например с использованием системы аудита.
Говоря о дополнительных защитных механизмах, следует отметить, что надежная защита в ЛВС возможна только при использовании средств обеспечения конфиденциальности и достоверности передаваемого по сети трафика, например при использовании ПК «Игла-П». В случае применения криптографических средств защиты информации в ЛВС проблем с распределением ключевой информации будет возникать гораздо меньше, нежели при межсетевом взаимодействии, поскольку число пользователей в ЛВС ограничено и появляется возможность применить эффективные
234 Компьютерная безопасность и практическое применение криптографии
организационные методы распределения ключевой информации. Например, при использовании в ЛВС средств криптографической защиты можно создать центр распределения ключей, в функции которого входила бы генерация ключевых дискет и рассылка их конечным пользователям, что позволит отказаться от открытого распределения ключевой информации.
Необходимо отметить, что действенным методом поддержания надежного функционирования системы безопасности в ЛВС является использование системы аудита. Действенность аудита в данном случае заключается не только в своевременном реагировании администратора безопасности на нарушения выбранной политики безопасности в ЛВС, но и в возможности привлекать зарегистрированных пользователей к ответственности за совершенные проступки.
Определенную пользу может оказать применение особых топологий построения ЛВС, минимизирующих возможность применения нарушителем средств, которые позволяют прослушивать среду передачи данных. Это прослушивание обычно выполняется с целью получения доступа к сетевым пакетам. В подобном случае применение сетевой топологии типа «звезда» не позволит нарушителю получить доступ со своей рабочей станции к сетевым пакетам, ему не предназначенным. Правда, злоумышленник может осуществить несанкционированное подключение к одному из каналов, однако подобные посягательства должны предотвращаться либо организационными методами, либо шифрованием трафика, что сделает попытки нарушителя бессмысленными.
Кроме того, для исключения возможности неавторизоваииого входа в компьютерную сеть в последнее время используется комбинированный подход - пароль совместно с аутентификацией пользователя по персональному носителю «идентификационной информации». В качестве носителя может использоваться пластиковая карта, смарт-карта, ключевые дискеты или различные устройства для идентификации личности по биометрической информации (например, по радужной оболочке глаза или по специальному программному обеспечению). С помощью этих мер можно значительно повысить степень защиты от несанкционированного доступа. В этом случае для доступа к компьютеру пользователь должен вставить смарт-карту в устройство чтения и ввести свой персональный код. Программное обеспечение позволяет установить несколько уровней безопасности, которые управляются системным администратором. Этот подход значительно надежнее применения паролей, поскольку, если пароль скомпрометирован, пользователь об этом может не знать; если же пропала ключевая дискета, необходимые меры можно принять немедленно.
Предыдущая << 1 .. 89 90 91 92 93 94 < 95 > 96 97 98 99 100 101 .. 181 >> Следующая



http://qawebmart.ru
Есть, чем поделиться? Отправьте
материал
нам
Авторские права © 2009 BooksShare.
Все права защищены.
Rambler's Top100

c1c0fc952cf0704ad12d6af2ad3bf47e03017fed