Шабуылдарды табу жолдары



Мазмұны
КІРІСПЕ
1. ЕСЕПТІК-ТЕОРЕТИКАЛЫҚ БӨЛІМ
1.1 ЖЕЖ-дегі қауіпсіздікке нұқсан келтіру
1.1.1 Басып ену, шабуыл түсінігі.....................................................
1.1.1.1 Шабуылдар моделі............................................................
1.1.1.2 Шабуылдарды жүзеге асыру этаптары
1.1.1.3 Шабуылдардың нәтижелері
1.1.2 Желі ерекшеліктері
1.1.3 Корпоративті ақпараттық жүйелер қауіпсіздігіне қауіптерді талдау
1.2 ЖЕЖ-дегі ҚАУІПСІЗДІК ЖҮЙЕЛЕРІ
1.2.1 Корпоративті желінің жалпы құрылымы
1.2.2 Корпоративті желінің ақпараттық қауіпсіздігіне нұқсан келтіру
1.2.2.1 Ақпараттық қауіпсіздікке нұқсан келтіру көздері
1.2.2.2 Корпоративті желінің ақпараттық қауіпсіздігіне нұқсан келтіру моделі
1.2.3 Басып енуді басқару жүйелерінің құрылымы
1.2.3.1 Шабуылдарды табу технологиялары
1.2.3.2 Шабуылдарды табу жолдары
2. Практикалық (ТӘЖІРИБЕЛІК) БӨЛІМ
2.1 Қауіпсіздікті қамтамасыз етудің шешімі ретінде шифрлауды қолдану
2.1.1 Rijndael шифрлау алгоритмі
2.1.2 VB.NET-те шифратор/дешифратор қолданбасы
2.1.3 Қолданбаны талдау және тестілеу
2.2 Қауіпсіздікті қамтамасыз етуде Cisco-ның шешімдері
2.2.1 Желіаралық экрандар
2.2.2 Cisco ұсынатын қолданбалар
ҚОРЫТЫНДЫ
ПАЙДАЛАНЫЛҒАН ӘДЕБИЕТТЕР ТІЗІМІ
ҚОСЫМШАЛАР
Кіріспе
Үкімет, жеке компаниялар және барлық адамдардың ақпараттық қызметтерден тәуелділігінің
Көптеген ұйымдар жергілікті есептеуіш желі құралдарын ақпарат алмасу және
Мәліметтерді қорғайтын қауіпсіздік қызметтері, сонымен қатар оларды өңдейтін және
Электронды пошта, көптеген ЖЕЖ қамтамасыз ететін маңызды қолданбалардың бірі
Жергілікті есептеуіш желіні құрған кезде көптеген факторларға назар аударған
Күн сайын мыңдаған хакерлер арнайы шабуылдар арқылы желілерге қатынау
Болуы мүмкін қауіптер:
Аппараттық жауап бермеулер
Вирустар
Сыртқы сәулелендіру
Визуалды не дистанционды бақылау не суретке түсіру
Ақпараттық қорғау құралдарын істен шығару
Диверсиялар
Сәулелендіру
Бұрмалау
Ұрлау
Логикалық бомбалар
Кездейсоқ факторларды қасақана шақыру
Опреаторлардың қателіктері немесе ұқыпсыздығы
Қате маршрутизация
Нақты емес не ескірген ақпарат
Бағдарламалау қателіктері
Қайта жүктелу
Пиратство
Тыңдағыш құралдар
Құпия жолдар мен кірістер
Қолдануға жол бермеу
Физикалық факторлар әсерінен ақпаратты бұзу
Желілік анализаторлар
Тұрақты тоқ көзінің бомауы
Суперзапинг
Троян аттары
Шабуылдар:
1.Сниффинг
2. IP-спуфинг
3. Denial of Service - DoS
4. Парольдік шабуылдар («Man-in-the-Middle» типті шабуылдар, қолданбалар деңгейіндегі шабуылдар,желілік
Жергілікті есесптеуіш желілердің қауіпсіздігін қамтамасыз етуде ең көп
1.ЕСЕПТІК-ТЕОРЕТИКАЛЫҚ БӨЛІМ
ЖЕЖ-дегі қауіпсіздікке нұқсан келтіру
1.1.1 Басып ену, шабуыл түсінігі
Қазір интернетте қаскүнемдер үшін компьютерлік желілерге енуге мүмкіндік беретін
Әзірше «шабуыл» (басып ену) түсінігінің нақты анықтамасы жоқ. Қауіпсіздікпен
Компьютерлік шабуылдардың классификациясы. "Компьютерлік шабуыл" деген кезде адамдардың
Компьютерге алыстан ену: Интернет (немесе локалды желі) арқылы басқа
Компьютерге локалды ену: өздері жұмыс істеп тұрған компьютерге
Компьютерді алыстан бітеп тастау: Интернет арқылы алыстатылған компьютердің немесе
Компьютерді локалды бітеу: өздері жұмыс істеп тұрған
Желілік сканерлер: компьютерлердің немесе бағдарламалардың қайсысы шабуылдарға төтеп бере
Бағдарламалардың әлсіз жерлерінің сканерлері: Интернетте шабуылдардың белгілі бір түріне
Паролдерді ашушылар: оңай табылатын парольдерді парольдердің шифрланған файлдарында табатын
Желілік анализаторлар (снифферлер): желілік трафикті тыңдаушы бағдарламалар. Жиі онда
Интернеттегі белгілі шабуылдар. 1999 ж. наурызында анықталғандай ең белгілі
Sendmail - өте көне бағдарлама, пайда болу тарихынан бастап
ICQ: - онлайнды түрде қатынастыратын әртүрлі мүмкіндіктері бар
Smurf машиналар кең қолданысты ping-пакеттерді өңдейтін желіні қолданады,
Teardrop Windows 95 және Linux бар компьютерлерді фрагменттелген
IMAP қолданушыларға олардың электронды хаттарын пошталық серверден алуға мүмкіндік
Back Orifice: Back Orifice – троян аты, ол қолданушыға
Netbus: Netbus Back Orifice –ке ұқсайды, бірақ
WinNuke: WinNuke TCP протоколы арқылы "шұғыл мәліметтер" пакетін жіберу
Nmap: Nmap - желіні сканерлеуге арналған күрделі құрал. Сонымен
Көптеген компьютерлік шабуылдардан қалай қорғануға болады. Компьютерлік шабуылдардан желіні
Бағдарламалар үшін түзетулерді оперативті түрде орнату (Patching) Компаниялар жиі
Вирустар мен троян аттарын табу. Мықты антивирустық бағдарламалар -
Желіаралық экрандар (firewalls) - ұйымның желісін қорғаудағы ең маңызды
Парольдерді ашушылар (Password Crackers). Хакерлер әдетте компьютерлердегі белгісіз әлсіз
Шифрлау. Шабуылдаушылар кейде желілік трафикті тыңдау арқылы желінің
Әлсіз жерлердің сканерлері. Бұл шабуылдардың белгілі бір түрлеріне
Компьютерлерді қауіпсіздігі жағынан сауатты конфигурациялау. Жаңадан орнатылған операциялық жүйесі
Соғысушы диллерлер (war dialer). Қолданушылар жиі ұйым желісін
Қауіпсіздік кепілдемелері (security advisories). Қауіпсіздік кепілдемелері бұл компьютер
Шабуылдарды табу құралдары (Intrusion Detection). Шабуылдарды табу жүйелері
Желі топологиясын және порттардың сканерлерін анықтаушы құралдар. Бұл бағдарламалар
Қауіпсіздікке байланысты оқиғаларды зерттейтін топ. Әр желіде
Қауіпсіздік саясаты. Желілік қауіпсіздік жүйесінің мықтылығы оның ең осал
Желіаралық экрандардың және WWW-серверлердің бітеу шараларына қарсы тұрақтылығы. Компьютерді
1.1.1.1 Шабуылдар моделі
Шабуылдардың дәстүрлі моделі «бір де бір» немесе «бір де
Рұқсатсыз қатынау шабуылының моделі «бір де бір» (қаскүнем мен
Үлестірілген шабуыл моделі. 1999 жылдың қараша айында Координациондық
Үлестірілген шабуыл Интернеттің бір емес бірнеше нүктелерінен келуі мүмкін.
1.1.1.2 Шабуылдарды жүзеге асыру кезеңдері
Шабуылдарды жүзеге асырудың келесі кезеңдерін атап өтуге болады:
Желіаралық экрандар көптеген шабуылдарға қарсы эффективті емес. Бірінші
Ақпарат жинау. Шабуылдарды жүзеге асырудың бірінші этапы - шабуылдамақ
Айналаны зерттеу. Бұл этапта шабуылдаушы шабуылдамақ мақсаттың желілік айналасын
Желі топологиясын идентификациялау. Қаскүнемдер қолданатын желі топологиясын анықтаудың екі
Көптеген шабуылдар шексіз. Келесі әдістердің көпшілігі қазіргі басқару
Түйіндерді идентификациялау. Түйінді идентификациялау (host detection), ICMP протоколының
Желі түйіндерін анықтаудың тағы бір әдісі бар - желілік
Қызметтерді идентификациялау және порттарды сканерлеу. Қызметтерді идентификациялау (service
Операциялық жүйені идентификациялау. ОЖ-ні алыстан анықтаудың (OS detection)
Түйін рөлін анықтау. Шабуылдамақ түйін туралы ақпарат жинаудың
Түйіннің осал жерлерін анықтау. Ақырғы қадам - осал жерлерді
Шабуылды жүзеге асыру. Жоғарыда айтылғандардан кейін қаскүнем шабуылдамақ түйінге
Ену әр түрлі жолдармен - компьютердің қызмет көрсетудегі
Бақылауды орнату. Желіге енгеннен соң қаскүнем шабуылдамақ түйінге бақылау
Шабуылдарды жүзеге асырудың мақсаты. Қаскүнем екінші этапта екі
Шабуылды аяқтау. Шабуылдың ақырғы этапы «іздерін жасыру» болып табылады.
Шабуылдардың нәтижелері
Төменде шабуыл нәтижелерінің классификациясы келтірілген:
Қол жеткізу құқығын кеңейту (increased access)- желідегі және белгілі
Register.com-ның осал жері. Дүние жүзі бойынша домендерді регистрациялау деректер
Ақпаратты бұрмалау (Corruption of information) - желі түйіндерінде
Бала хакер ғарышқа енді. 2002ж. 1 ақпанда АҚШ-та
Ақпаратты ашу (desclosure of information) - ақпаратты сәйкес өкілеттік
NASA-да құпия ақпарат ұрланды. СNews агенттігінің хабарлауы бойынша тамыз
Қызметтерді ұрлау (theft of service) - компьютерді немесе желілік
Ғарыштағы хакер. 2001ж. 6-қыркүйекте #conflict хакерлік тобының басшысы rolex
Қызмет көрсетуден бас тарту (denial of service) - өнімділікті
Баннерлі желі бәсекелестерді шабуылдайды. Netoscope.ru агенттігінің 2000ж. 16 қазандағы
1.2.3. Корпоративті ақпараттық жүйелер қауіпсіздігіне қауіптерді талдау
Алдымен бөтен адамдардан қорғауды талап ететін ақпаратыңыздың болуы қажет.
Компьютерде сақталатын, жіберілетін, өңделетін ақпарат көлемінің өсуі;
Деректер қорындағы ақпараттардың маңыздылығы және конфиденциалдығы жөнінен әр
Деректер қорындағы ақпараттарға және желі ресурстарына қол жеткізетін қолданушылар
Аластатылған жұмыс орындар санының көбеюі;
Қолданушыларды байланыстыру үшін Internet глобалды желісі мен әртүрлі байланыс
Қолданушылар компьютерлері арасындағы ақпаратты алмасуды автоматизациялау.
1.3 ЖЕЖ-дегі қауіпсіздік жүйелері
1.3.1. Корпоративті желінің жалпы құрылымы
Кез-келген корпоративті желінің негізгі міндеті қажетті ақпаратты орналасқан жеріне
Екінші қайталанатын желі болмайды және әрқайсысы өзінше уникалды. Сондықтан
Қаскүнемдердің негізгі ұмтылатын объектісі, әрине, корпоративті желіде арнайы құрал
Ақпараттарды өңдеу барысында мәліметтерді өңдеу, сақтау және жіберу үшін
Мүмкіндіктер шекарасында қолданушы оған рұқсат етілген жалпы жүйелік және
Қолданбалы БЖ-ды өңдеу, жалпы БЖ-ды бейімдеу және желіні жұмыс
Корпоративті желі ақпаратты - бағдарламалық жүйелер басқарушының жұмыс орны,
Желі құрылымында келесі негізгі элементтер бөлінеді (1сурет):
1 сурет. Желінің жалпы құрылымы
- MMAC Plus - негізгі желінің басты
- Backbone Network - мамандандырылған серверлер тобы
- LAN16 - негізгі ғимарат бөлімшелерін қамту
- LAN8 Remote - негізгі ғимараттан тыс
- LAN16 Remote - негізгі ғимараттан тыс
- коммуникация құралдары.
Корпоративті желіні техникалық жабдықтау кезінде қазіргі заманға лайықты барлық
Cabletron фирмаысның MMAC Plus жоғарғы өндірісті концентраторы берілген проектінің
Ауысымды модульдер Ethernet, Token-Ring интерфейстері және глобалды желілер интерфейстері
MMAC Plus көмегімен виртуалды желілерді құруға болады.
Hегізгі желі. Логикалық түрде негізгі желіні FDDI (MMAC Plus
FDDI интерфейсін таңдау опто-волоконды сақиналардағы мәліметтерді жіберудің жоғары жылдамдығымен
ESX-1320 концентраторларына Stackable Hub SEHi-22 және SEHi-24 концентраторлары арқылы
Желі администраторларының жұмыс орындарын қосу MMAC Plus құрамына кіретін
FDDI интерфейсі арқылы MMAC-қа қосылған MMAC-M8FNB концентраторы бір шассида
Мұнда ISDN үшін маршрутизатор ролін CRM3-E (Cisco 4000)
Желі құрылымында баяғыдан бар Token-Ring локалды желілермен тоғысу қарастырылған.
Серверлер MMAC Plus концентраторларындағы FDDI модульдарына варианте SAS (Single
Өзінде негізгі желілік модульдерді қамтыған MMAC Plus және
LAN8 және LAN16 типтік локалды желілер. LAN8 және
Қос локалды желі ұйымның негізгі администрациялық бөлігінде орналасқан бөлімшелері
LAN8 және LAN16 Remote (cуретте) ұйымның негізгі администрациялық
Коммуникациондық құралдар
Территориялық жағынан алшақ орналасқан локалды желілер мен жұмыс станцияларының
Желіні басқару және администрациялау. Желіні басқару үшін арналған негізгі
Администрациялау тапсырмалары үшін операциялық жүйелер утилиталары және ManageWise өнімі
1.3.2 Корпоративті желінің ақпараттық қауіпсіздігіне нұқсан келтіру
Ақпарат қауіпсіздігіне қауіп дегеніміз не? Қорғау объектісіне қарсы бағытталған,
1.3.2.1 Ақпараттық қауіпсіздікке нұқсан келтіру көздері
Корпоративті желінің қауіпсіздік қаупі моделін құрғанда модельдердің әртүрлі нұсқалары
Субъект әрекеттерімен ескертілген қауіптер (антропогенді);
Техникалық құралдармен ескертілген қауіптер (техногенді);
Стихиялық ескертілген қауіптер.
1-топ, ең үлкен, осы тектес қауіптерге жауап беру ұйымадарының
Ақпараттың қауіпсіздігін бұзуға әкелетін субъектілердің әрекеттері сыртқы:
Криминалдық құрылымдар
Рецидивистер, потенциалды қылмыскерлер
Қараниетті әріптестер
Бәсекелестер
Саяси қарсыластар
және ішкі болуы мүмкін:
Ұйым персоналы
Филиал персоналы
Психикасы бұзылған тұлғалар
Арнайы ендірілген агенттер
Халықаралық және ресейлік тәжірибе нәтижелері субъекті әрекеттері келесідей керекті
Ұрлау:
Техникалық құралдарды (винчестер, ноутбук, жүйелік блок, т.б.);
Ақпаратты тасымалдаушылар (қағаз, магнит, оптикалық дисктер);
Ақпарат (оқу және рұқсатсыз көшіру);
Қатынау құралдары (кілт, пароль, кілттік құжаттар, т.б.).
Ауыстыру (модификация):
ОЖ-ні
ДҚБЖ-ні
Қолданбалы бағдарламаларды
Ақпарат (мәліметті), хабарламаны жіберу фактісін жоққа шығару
Пароль және қатынау ережелерін
Жою (бұзу):
Техникалық құралдарды (винчестер, ноутбук, жүйелік блок, т.б.);
Ақпаратты тасымалдаушылар (қағаз, магнит, оптикалық дисктер);
Ақпарат (файл, мәлімет);
Қатынау және пароль ақпараты
БЖ (ОЖ, ДҚБЖ, қолданбалы БЖ).
Қалыпты жұмысты бұзу (үзу):
Ақпаратты өңдеу жылдамдығы
Байланыс каналдарының өткізу мүмкіндігі
Бос оперативті жады көлемі
Бос диск кеңістігінің көлемі
Техникалық құралдардың электроқатылуы
Қателіктер:
БЖ, ОЖ, ДҚБЖ орнатқанда
Қолданбалы ПЖ-ды жазғанда
ПЖ-ны қолданғанда
Техникалық құралдарды қолданғанда
Ақпаратты аулап алу (рұқсатсыз):
Орнатылған қатынау ережелерін бұзу арқылы
Ақпаратты жіберу каналдарына қосылғанда
Акустикалық каналдар арқылы
Тысқары өткізгіштер арқылы
Электроқамту жолдарында жүргізілген сымдар арқылы, т.б.
2-топта алдын-ала онша болжауға келмейтін, техника қасиеттеріне тікелей байланысты,
ақпаратты өңдеудің сапасыз техникалық құралдары;
ақпаратты өңдеудің бағдарламалық құралдары;
қосымша құралдар (күзетшілер, сигнализациялар, телефония);
ұйымдарда қолданылатын басқа да техникалық құралдар.
және сыртқы болуы мүмкін:
байланыс құралдары;
жақын орналасқан қауіпті өндірістер;
инженерлі коммуникациялық желілер (энерго, сумен қамту, канализациялар);
транспорт
болуы мүмкін.
Осындай ақпарат қауісіздігіне тікелей әсер ететін техникалық құралдарды қолдану
Қалыпты жұмыстың бұзылуы:
Ақпаратты өңдеу жүйесі жұмыс істеу мүмкіндігінің бұзылуы;
Байланыс және телекоммуникацияның жұмыс істеу мүмкіндігінің бұзылуы;
Ақпарат тасымалдаушылар және оны өңдеуші құралдардың ескіруі;
Бекітілген қатынау ережелерінің бұзылуы;
Техникалық құралдарға электромагнитті әсер ету.
Жою (бұзу):
БЖ,ОЖ, ДҚБЖ;
Ақпаратты өңдеу құралдарының;
Бөлмелердің;
Ақпараттың;
Қызметкерлер құрамының.
Модификация (өзгерту):
БЖ,ОЖ, ДҚБЖ;
Байланыс және телекоммуникация каналдары арқылы ақпаратты жібергенде.
3-топта болжауға мүлдем келмейтін, сондықтан оларды қайтарып тастайтын шаралар
өрттер;
жер сілкіністері;
су тасқыны;
боран;
басқа да форс-мажорлы жағдайлар;
түсіндірілмейтін құбылыстар.
Осы табиғат құбылыстары және түсіндірілмейтін құбылыстар ақпарат қауіпсіздігіне әсер
Жою (бұзу):
БЖ,ОЖ, ДҚБЖ, қолданбалы БЖ;
Ақпаратты өңдеу техникалық құралдарының;
Бөлмелердің;
Ақпараттың (файл, мәлімет);
Ақпарат тасымалдаушыларының;
Қызметкерлер құрамының.
Жоғалу:
өңдеу құралдарындағы ақпараттың;
телекоммуникация каналдары арқылы ақпаратты жібергенде;
ақпарат тасымалдаушыларының;
қызметкерлер құрамының.
Көрсетілген ақпараттың қауіпсіздігіне қауіп болатын тізімді талдау комплексті қауіпсіздікпен
1.3.2.2 Қауіпсіздікке төнген қауіптерге қарсы әрекет моделі
Ақпарат қауіпсіздігіне төнген қауіптің кері әсерін азайту үшін
ұйымдастырушылық әдістер;
инженерлік-техникалық әдістер;
техникалық әдістер;
бағдарламалық-аппараттық әдістер.
Ұйымдастырушылық әдістер негізінен қызметкерлер құрамымен, корпорациялық желінің орналасу жері
Инженерлік-техникалық әдістер инженерлі коммуникациялардың оптималды желілерін құрумен байланысты. Бұл
Техникалық әдістер ақпаратты қорғаудың арнайы техникалық құралдарын қолануға немесе
Сонымен қатар кейбір әдістер, мысалы байланыс каналдары мен құралдарын
Бағдарламалық-аппараттық әдістер ақпаратты жіберу және өңдеу процесімен байланысты қауіптерді
Жоғарыда көрсетілген қауіптерді және оларды жою әдістерін салыстыру белгілі
Модельде қабылданған шектеулерді және рұқсат етулерді ескеріп модельдеу нәтижесін
Жоғары эффективтілікке ұйымдастырушылық және бағдарламалық-аппараттық әдістерді пайдаланғанда
1.2.3 Басып енуді басқару жүйелерінің құрылымы
1.2.3.1 Шабуылдарды табу технологиялары
Шабуылдарды табу технологиясы эффективті болуы үшін шабуылдарды табу технологиясының
Нені табамыз? Қауіпсіздік саясатын бұзатын белгілердің сипатын, яғни
Қайдан табамыз? Қауіпсіздік саясатын бұзатын белгілерге сәйкес келетін ақпарат
Қалай табамыз?
Шабуылдарды табу келесі екі шарттың біреуінің орындалуын қажет етеді:
Аномалиялық іс-әрекеттерді табу. Берілген технология негізінде субъектінің аномалиялық іс-әрекеті,
Шабуыл болып табылмайтын аномалиялық іс-әрекеттерді табу және оны шабуыл
Аномалиялық іс-әрекет анықтамасына сәйкес келмейтін (false negative) шабуылды өткізу.
Субъект профилін құру - администратордан зор алдын-ала дайындықты қажет
Жоғарыдағы екі жағдайдың пайда болу ықтималдылығын азайту үшін субъект
2 сурет. Аномалияларды табу
Әдетте аномалиялардың активтілігін табу жүйелері желілік трафикте (мысалы, NetScout
Қаскүнем іс-әрекетті табу. Шабуылдарды табудың келесі әдісі қаскүнем мақсатта
3 сурет. Шабуылды шаблон бойынша табу
Әдетте қастандықтарды табу жүйелері мәліметтер көзі ретінде тіркеу журналын
1.2.3.2. Шабуылдарды табу жолдары
Шабуылдарды табуда қолданылатын екі негізгі әдіс бар - статикалық
Статикалық талдау. Бұл әдіс аномалиялық іс-әрекеттерді табу кезінде өз
Жүйенің субъектісі іс-әрекетінің шаблонына кіретін параметрлер келесі кең таралған
Сандық параметрлер (әр түрлі протоколдар арқылы жіберілген мәліметтер
Категориялық параметрлер (файлдар аты, қолданушы командалары, ашық порттар, т.б.);
Активтілік параметрлері (файлдарға жасалған қатынаулар саны немесе уақыт бірлігіндегі
Шабуылдарды табу жүйесі үшін бақылау параметрлерін табу өте маңызды.
Шабуылдарды табудың статикалық әдістерінің жетістіктері мен осалдықтары келесі кестеде
1 кесте .
Статикалық әдістерінің артықшылықтары мен кемшіліктері
Артықшылығы Кемшілігі
Статикалық жүйелер белгісіз шабуылдарды таба алады.
Статикалық жүйелер басқа әдістерге қаррағанда күрделірек шабуылдарды табады.
Статикалық жүйелер қолданушы іс-әрекеттерінің өзгеруіне бейімделе алады. Қаскүнем шабуылдарды
Басқа әдістерге қарағанда шабуылдар туралы жалған ақпараталу ықтималдылығы статикалық
Қолданушы іс-әрекеттеріндегі өзгертулерді дұрыс өңдемейді (мысалы, қиын жағдайда менеджер
Типтік іс-әрекет шаблонын сипаттауға келмейтін субъектілерден келген шаблондарда таба
Басынан бастап рұқсат етілмеген іс-әрекетті орындаған субъектілердің шабуылдарын таба
Экспертті жүйелер. Аномалияларды табу шектік мәндерінің мониторингіне бағытталса, қауіпті
Сигнатуралар - белгілі шабуылдарға немесе қаскүнем мақсаттарда қолдануларға сәйкес
Эксперттік жүйелер көп жағдайда қаскүнем мақсатта қолдануларды табу үшін
Бұл ереже егер П2 оқиғасы П1 оқиғасынан соң орындалса,
Қазіргі шабуылдарды табудың коммерциялық жүйелері өз жұмыстарында статикалық және
2 кесте.
Эксперттік жүйелердің артықшылығы мен кемшіліктері
Артықшылығы Кемшілігі
Жүзеге асырудағы қарапайымдылығы
Жұмыс істеу жылдамдығы
Жалғандықтардың болмауы
Белгісіз шабуылдарды таба алмауы
Шабуылдағы сәл өзгерістер, оны табуға мүмкін емес етеді
Жүйе деректер қорын толтыратын мамандар білігінен тәуелді
2. ЭКСПЕРИМЕНТАЛДЫ – ПРАКТИКАЛЫҚ БӨЛІМ
2.1 Қауіпсіздікті қамтамасыз етудің шешімі ретінде шифрлауды қолдану
2.1.1 Rijndael шифрлау алгоритмі
Rijndael шифры "Квадрат" (Square) архитектурасында орындалған. Rijndael-да ашық және
T = (t1, t2,...,tN)
T' = (t'1, t'2,...,t'N)
| t | = | t' | = 8,
Криптографиялық түрлендірулер кезінде архитектуралық принциптерге сәйкес бастапқы және шифрланған
, .
Мәліметерді шифрлау кезіндегі түрлендіру схемасы 4 суретте көрсетілген, сәйкес
4 сурет. Rijndael шифрлау циклы - мәліметтерді түрлендіру схемасы.
5 сурет. Rijndael шифрлау циклы - алгоритм схемасы.
Суреттерде келесідей белгілеулер қолданылған:
T, T' - мәліметтердің ашық және шифрланған блоктары сәйкесінше;
ki - i-шы кілттік элемент;
F, F' - регулярлы сызықты емес түрлендіру және ақырғы
Xi - i-ші кілттік элементті қосқаннан соңғы шифрланатын блоктың
4 және 5 суреттерде көрсетілгендей шифрлау процесі мәліметтер блогына
T' = EK(T) = kR+1 F'(kR F(kR-1 ... F(k2
Шифрлаудың R раундттар саны мәліметтер блогының өлшемінен және кілттің
Дешифрлау процесі шифрлау процесіндей жұмыс істейді. Яғни 4 және
2.1.2 VB.NET-те шифратор/дешифратор қолданбасын құру және талдау
Сипаттамасы. Бұл қарапайым қолданба VB.NET те Rijndael Managed-ті қолданып
Кілт: Мәліметтерді шифрлау/дешифрлау үшін password қолданады.
IV: Initialization Vector - шифрлануға тиісті мәліметтердің бір бөлігін
Rijndael: шифрлау/дешифрлауға арналған алгоритм. Менің қолданбамда Rijndael 256 битті
SHA512 Hashing: Жолдарды (the password) қабылдап, оларды нақты шифрланған
Кодты қолдану
In this section I will cover the following:
Кілтті құру
IVны құру
Шифрлау және дешифрлау
Файл кеңйтуін өзгерту
Бәрін біріктіру
Алдыменен келесілер импортталады:
Imports System
Imports System.IO
Imports System.Security
Imports System.Security.Cryptography
Енді глобалды айнымалыларды жариялайық:
'*************************
'** Глобалды айнымалылар
'*************************
Dim strFileToEncrypt As String
Dim strFileToDecrypt As String
Dim strOutputEncrypt As String
Dim strOutputDecrypt As String
Dim fsInput As System.IO.FileStream
Dim fsOutput As System.IO.FileStream
Кілтті құру.
Әрине, қауіпсіз кілт компьютер өзі таңдап алынатындай (random) генерацияланған
Функция жолды қабылдайды (password).
Жолды массивке ауыстырады, конвертациялайды.
Массивті байттарға ауыстырады.
Байтты хэштеу үшін SHA512 ты қолданады.
Алғашқы хэштелген байттың 256 битін жаңа байтта сақтайды (the
Кілтті қайтарады.
Тереңірек түсіну үшін келесі кодтағы комментарийлерге назар аударыңыз:
'*************************
'** Кілтті құру
'*************************
Private Function CreateKey(ByVal strPassword As String) As Byte()
' strPassword-ты массивқа ауыстырып in chrData-да сақтау.
Dim chrData() As Char = strPassword.ToCharArray
' intLength-ты strPassword size-ды алу үшін қолдану.
Dim intLength As Integer = chrData.GetUpperBound(0)
'bytDataToHash-ты жариялау және chrData-ның өлшеміндей өлшем беру.
Dim bytDataToHash(intLength) As Byte
'Use For Next to convert and store chrData into
For i As Integer = 0 To chrData.GetUpperBound(0)
bytDataToHash(i) = CByte(Asc(chrData(i)))
Next
'Declare what hash to use.
Dim SHA512 As New System.Security.Cryptography.SHA512Managed
'Declare bytResult, Hash bytDataToHash and store it in bytResult.
Dim bytResult As Byte() = SHA512.ComputeHash(bytDataToHash)
' bytKey(31)жариялау. Ол 256 битті ұстап тұрады.
Dim bytKey(31) As Byte
'Use For Next to put a specific size (256
'bytResult into bytKey. The 0 To 31 will put
'of 512 bits into bytKey.
For i As Integer = 0 To 31
bytKey(i) = bytResult(i)
Next
Return bytKey 'Кілтті қайтару.
End Function
Мұнда кілтті SHA512 хэшингті қолданбай құру мысалы келтірілген:
Private Function CreateKey(ByVal strPassword As String) As Byte()
Dim bytKey As Byte()
Dim bytSalt As Byte() = System.Text.Encoding.ASCII.GetBytes("salt")
Dim pdb As New PasswordDeriveBytes(strPassword, bytSalt)
bytKey = pdb.GetBytes(32)
Return bytKey 'Кілтті қайтару
End Function
IV-ны құру
Осылай кілтті құру үшін біздің хэштелген байттың алғашқы
'*************************
'** IVны құру
'*************************
Private Function CreateIV(ByVal strPassword As String) As Byte()
' strPassword-ты массивқа ауыстырып, оны chrData-да сақату.
Dim chrData() As Char = strPassword.ToCharArray
' intLength-ты strPassword-тың өлшемін алу үшін қолдану.
Dim intLength As Integer = chrData.GetUpperBound(0)
'Declare bytDataToHash-ты жариялау және оған chrData-дың өлшемін беру.
Dim bytDataToHash(intLength) As Byte
' For Next-ты конвертация үшін қолдану және chrData-ны
For i As Integer = 0 To chrData.GetUpperBound(0)
bytDataToHash(i) = CByte(Asc(chrData(i)))
Next
'Declare what hash to use.
Dim SHA512 As New System.Security.Cryptography.SHA512Managed
' bytResult, Hash bytDataToHash-тарды жариялау және bytResult-та сақтау.
Dim bytResult As Byte() = SHA512.ComputeHash(bytDataToHash)
'bytIV(15) -ты жариялау.Ол 128битті болуы мүмкін.
Dim bytIV(15) As Byte
'For Next-ты bytResult-тың спецификациялық өлшемін (128 бит)
' 0-ден 30-ға дейін bytKey хэшталған парольдің
'32-ден 47-ге дейін келесі 128 бит
For i As Integer = 32 To 47
bytIV(i - 32) = bytResult(i)
Next
Return bytIV ' IV-ны қайтару.
End Function
Мұнда SHA512 hashing ді қолданбай IV-ні құру мысалы келтірілген:
Private Function CreateIV(ByVal strPassword As String) As Byte()
Dim bytIV As Byte()
Dim bytSalt As Byte() = System.Text.Encoding.ASCII.GetBytes("salt")
Dim pdb As New PasswordDeriveBytes(strPassword, bytSalt)
bytIV = pdb.GetBytes(16)
Return bytIV ' IV-ны қайтару.
End Function
Шифрлау және дешифрлау
Бұл процедурада не орындалады:
CryptoAction (encrypt/decrypt) үшін ретті анықтау .
Шифрланатын/дешифрланатын файлдан бастау.
Файлды ашу және оқу үшін FileStream қолдану.
CryptoStream объектісін шифрлау/дешифрлауды көрстеу үшін қолдану.
Басқа FileStream объектісін шифрлау/дешифрлау файлына жазу үшін қолдану.
Басқа сипаттамалар кодтағы түсіндірмелерде:
'****************************
'** Файлды шифрлау/дешифрлау
'****************************
Private Enum CryptoAction
'Define the enumeratCryptoAction үшін ретті анықтау.
ActionEncrypt = 1
ActionDecrypt = 2
End Enum
Private Sub EncryptOrDecryptFile(ByVal strInputFile As String, _
ByVal strOutputFile As String, _
ByVal bytKey() As Byte, _
ByVal bytIV() As Byte, _
ByVal Direction As CryptoAction)
Try 'Қате жағдайда.
'Файлдық ағымдарды енгізу-шығару үшін орнату.
fsInput = New System.IO.FileStream(strInputFile, FileMode.Open, _
FileAccess.Read)
fsOutput = New System.IO.FileStream(strOutputFile, _
FileMode.OpenOrCreate, _
FileAccess.Write)
fsOutput.SetLength(0) ' fsOutput бос екеніне сенімді болу үшін
' encrypt/decrypt процесі үшін айнымалыларды жариялау.
Dim bytBuffer(4096) As Byte 'holds a block of bytes
Dim lngBytesProcessed As Long = 0 'running count of
Dim lngFileLength As Long = fsInput.Length 'the input file's
Dim intBytesInCurrentBlock As Integer 'current bytes being processed
Dim csCryptoStream As CryptoStream
'Сіздің CryptoServiceProvider жариялау.
Dim cspRijndael As New System.Security.Cryptography.RijndaelManaged
' Progress Bar -ды орнату
pbStatus.Value = 0
pbStatus.Maximum = 100
' ecryption не decryption екенін анықтау және
Select Case Direction
Case CryptoAction.ActionEncrypt
csCryptoStream = New CryptoStream(fsOutput, _
cspRijndael.CreateEncryptor(bytKey, bytIV), _
CryptoStreamMode.Write)
Case CryptoAction.ActionDecrypt
csCryptoStream = New CryptoStream(fsOutput, _
cspRijndael.CreateDecryptor(bytKey, bytIV), _
CryptoStreamMode.Write)
End Select
'Use While to loop until all of the file
While lngBytesProcessed < lngFileLength
'Файлды input filestream-мен оқу.
intBytesInCurrentBlock = fsInput.Read(bytBuffer, 0, 4096)
'cryptostream-мен шығатын файлды жазу.
csCryptoStream.Write(bytBuffer, 0, intBytesInCurrentBlock)
' lngBytesProcessed-ты жаңарту
lngBytesProcessed = lngBytesProcessed + _
CLng(intBytesInCurrentBlock)
'Progress Bar-ты жаңарту
pbStatus.Value = CInt((lngBytesProcessed / lngFileLength) * 100)
End While
' FileStreams жәнеCryptoStream-ды жабу.
csCryptoStream.Close()
fsInput.Close()
fsOutput.Close()
Файл кеңейтуін өзгерту
Файлды шифрлағанда біз шифрланған кеңейтуді келесідей қосамыз:
' open dialog-ты орнату.
OpenFileDialog.FileName = ""
OpenFileDialog.Title = "Choose a file to encrypt"
OpenFileDialog.InitialDirectory = "C:\"
OpenFileDialog.Filter = "All Files (*.*) | *.*"
'Find out if the user chose a file.
If OpenFileDialog.ShowDialog = DialogResult.OK Then
strFileToEncrypt = OpenFileDialog.FileName
txtFileToEncrypt.Text = strFileToEncrypt
Dim iPosition As Integer = 0
Dim i As Integer = 0
'Get the position of the last "\" in the
'-1 is when the character your searching for is
'IndexOf searches from left to right.
While strFileToEncrypt.IndexOf("\"c, i) -1
iPosition = strFileToEncrypt.IndexOf("\"c, i)
i = iPosition + 1
End While
'Assign strOutputFile to the position after the last "\"
'This position is the beginning of the file name.
strOutputEncrypt = strFileToEncrypt.Substring(iPosition + 1)
'Assign S the entire path, ending at the last
Dim S As String = strFileToEncrypt.Substring(0, iPosition + 1)
'Replace the "." in the file extension with "_".
strOutputEncrypt = strOutputEncrypt.Replace("."c, "_"c)
'The final file name. XXXXX.encrypt
txtDestinationEncrypt.Text = S + strOutputEncrypt + ".encrypt"
Дешифрлағанда кеңейтуді келесідей ғып аламыз:
'open dialog -ты орнату.
OpenFileDialog.FileName = ""
OpenFileDialog.Title = "Choose a file to decrypt"
OpenFileDialog.InitialDirectory = "C:\"
OpenFileDialog.Filter = "Encrypted Files (*.encrypt) | *.encrypt"
'Find out if the user chose a file.
If OpenFileDialog.ShowDialog = DialogResult.OK Then
strFileToDecrypt = OpenFileDialog.FileName
txtFileToDecrypt.Text = strFileToDecrypt
Dim iPosition As Integer = 0
Dim i As Integer = 0
'Get the position of the last "\" in the
'-1 is when the character your searching for is
'IndexOf searches from left to right.
While strFileToDecrypt.IndexOf("\"c, i) -1
iPosition = strFileToDecrypt.IndexOf("\"c, i)
i = iPosition + 1
End While
'strOutputFile = the file path minus the last 8
strOutputDecrypt = strFileToDecrypt.Substring(0, _
strFileToDecrypt.Length - 8)
'Assign S the entire path, ending at the last
Dim S As String = strFileToDecrypt.Substring(0, iPosition + 1)
'Assign strOutputFile to the position after the last "\"
strOutputDecrypt = strOutputDecrypt.Substring((iPosition + 1))
'Replace "_" with "."
txtDestinationDecrypt.Text = S + strOutputDecrypt.Replace("_"c, "."c)
Бәрін біріктіру
Сонымен мұнда Шифрлау және Дешифрлау батырмаларымен бірге жүреді. Негізінен
Айнымалылар Key және IV үшін жарияланады.
Қолданушының құпия сөзі CreateKey функциясына беріледі.
Қолданушының құпия сөзі CreateIV функциясына беріледі.
input path name, output path name, Key, IV, және
Шифрлау келесідей өтеді:
' key және iv үшін айнымалыларды жариялау
'The key needs to hold 256 bits and the
Dim bytKey As Byte()
Dim bytIV As Byte()
' CreateKey function-ға password-ты жіберу.
bytKey = CreateKey(txtPassEncrypt.Text)
'CreateIV function-ға password-ты жіберу.
.
bytIV = CreateIV(txtPassEncrypt.Text)
'encryption-ды бастау.
EncryptOrDecryptFile(strFileToEncrypt, txtDestinationEncrypt.Text, _
bytKey, bytIV, CryptoAction.ActionEncrypt)
Сипаттама келесідей болады:
' key және IV үшін айнымалыларды жариялау
'The key needs to hold 256 bits and the
Dim bytKey As Byte()
Dim bytIV As Byte()
' CreateKey function-ға password-ты жіберу.
bytKey = CreateKey(txtPassDecrypt.Text)
'CreateIV function-ға password-ты жіберу.
bytIV = CreateIV(txtPassDecrypt.Text)
' decryption-ды бастау.
EncryptOrDecryptFile(strFileToDecrypt, txtDestinationDecrypt.Text, _
bytKey, bytIV, CryptoAction.ActionDecrypt)
2.1.3 Қолданбаны тестілеу, нәтижесін алу
Бұл қолданба Rijndael алгоритмін файлдарды шифрлау және дешифрлау үшін
6 сурет. Файлды шифрлайтын және дешифрлайтын қолданба интерфейсі
Сонымен қатар сіз Data Encryption Standard (DES) немесе Triple
Конец формы
2.2 Қауіпсіздікті қамтамасыз етуде Cisco-ның шешімдері
Cisco Systems үй қолданысына арналған маршрутизаторлардан корпоративті қол жеткізу
2.2.1 Желіаралық экрандар (ЖЭ, Firewall)
Cisco Systems-тің нақты желіаралық экрандар өнімдерін сипаттамас бұрын ЖЭ-ның
Желіаралық экран немесе желілік экра́н —өзі арқылы өтетін OSI
Желілік экрандар келесі сипаттамаларға сәйкес келесі түрлерге бөлінеді:
Экран бір түйін мен желі немесе екі не одан
OSI моделінің желілік не одан да жоғары деңгейлерінде мәліметтер
Активті байланыстар күйлері бақылана ма, жоқ па.
Бақылайтын мәліметтер ағымына байланысты желілік экрандар келесідей бөлінеді:
Дәстүрлі желілік экран (не желіаралық) экран — қосылған желілер
Дербес желілік экран — қолданушы компьютерінде орнатылған және
Өзіндік жағдай — дәстүрлі желілік экранды өз ресурстарына қатынауды
Қатынауды қай деңгейде жасауына байланысты желілік экрандарды келесідей түрлерге
Желілік деңгейде, фильтрация пакеттерді жіберуші мен алушы адрестері,
Сеанстық деңгейде (stateful) — қолданбалар арасындағы сеанстарды бақылайтын,
Қолданбалар деңгейінде, пакеттер ішінде берілетін қолданба мәліметтерін талдау негізінде
Активті байланыстарды бақылауға байланысты желілік экрандар келесідей классификацияланады:
stateless (қарапайым фильтрлеу), ағымдағы байланыстарды бақылайды (мысалы, TCP),
stateful (контексті ескеріп фильтрациялау), ағымдағы байланыстарды бақылайды және сәйкес
7 сурет. Пакеттерді өңдеу және фильтрациялау
RanchOS пакеттің дұрыстығын тексере бастайды. Мысалы, егер MAC-адрес
бірақ RN бәрібір әрбір UDP-ағымды көрсету үшін псевдо-сессияны құрады).
8 сурет. Интернет провайдер схемасы
Мұнда да ЖЭ кез-келген желі архитектурасындағыдай қауіпсіздікті қамтамасыз етуде
Маршрутизаорлар мен желіаралық экрандарды практикалық конфигурациялау. Cisco IOS TM
Негізгі мүмкіндіктері:
Желі шекараларын қиятын барлық ақпаратты тексеру арқылы қатынауды басқару
Идентификацияланбаған күдікті Java апплеттерді қорғау.
Интернет желісінде шабуылдардың негізгі типтерін табу және олардан қызметтік
Транзакциялар туралы мәліметтерді аудиттеу, уақытша белгілеулерді, жіберушілер мен ақпаратты
Адрестерді динамикалық және статикалық трансляциялау.
Қолданушыларды аутентификациялауды қолдау, солай желіаралық экран арқылы қатынау қолданушыны
Виртуалды жеке желілермен жұмыс (Virtual Private Networks), олар ортақ
Желілік деңгейде шифрлауды қолдау, желі арқылы ақпарат тасымалданып жатқанда
Бағдарламалық желіаралық экран Cisco IOS TM Firewall келесі маршрутизаторларда
Cisco Secure PIX Firewall желіаралық экраны. Cisco Secure PIX
9 сурет. Cisco Secure PIX Firewall желіаралық экраны
Әрбір желілік пакетті бөлек өңдейтін және орталық процессорды кәдімгідей
PIX Firewall желіаралық экранының жоғары өнімділігінің негізі болып қауіпсіздік
Бұл тұрақты алгоритм байланыс деңгейінде жіберуші мен алушы адрестерінің,
PIX арқылы қатынау тек қана байланыс идентификацияны сәтті өтсе
«Кесіп өткіш делдал» технологиясын қолдану арқылы (Cut-Through Proxy)
Әдеттегі прокси-серверлер сияқты, PIX қолданба негізінде байланыстың орнатылуын
Өнімділіктің жоғарылауынан басқа арнайыландырылған реалды уақыт операциялық жүйесін қолдану
Cisco Secure PIX Firewall желіаралық экраны 500
Арнайы дайындығы жоқ қолданушылар PIX Firewall-ды қарапайым графикалық қабықша
Cisco Secure PIX Firewall желіаралық экраны сондай-ақ IP
Негізгі мүмкіндіктері:
Ішкі желі ресурстарының қауіпсіздігін байланыс деңгейінде рұқсат етілмеген қатынаудан
Cut Through Proxy технологиясы кіретін және шығатын байланыстарды қауіпсіздіктің
Ethernet, Fast Ethernet и Gigabit Ethernet (10-ға дейін) интерфейстерін
Виртуалды локалды желілер негізінде 100 логикалық интерфейске дейін
Адрестерді динамикалық және статикалық трансляциялау.
SNMP желілік басқару протоколын қолдау.
Жүйелік оқиғалар туралы журналды жүргізуді қолданып тіркеу ақпараты (syslog).
Барлық негізгі желілік қызметтерді қолдау: World Wide Web (WWW),
OSPF протоколын қолдау.
IP (VoIP) үстінен дауысты беру үшін сигнализация протоколдарын қолдау:
✓ H.323 протоколдар стегі
✓ Session Initiation Protocol (SIP);
✓ Media Gateway Control Protocol (MGCP);
✓ Skinny Client Control Protocol (SCCP).
Мультимедиа қолданбаларын қолдау, оның ішінде Progressive Networks RealAudio &
H.323 потоколы бойынша видеоконференцияларды қолдау, оның ішінде Microsoft
Клиент-сервер өзара әсерлесуін қолдау: Microsoft Networking, Oracle SQL*Net.
Реалды уақыттағы қауіпсіз орнатылған операциялық жүйе.
Жұмыс станцияларында және маршрутизаторда БЖ-ды жаңартуда қажеттілік жоқ.
Ішкі желінің тіркелген қолданушылары үшін Интернеттің ресурстарына толық
Cisco IOSTM БЖ басқаруымен жұмыс істейтін маршрутизатоорлармен сәйкестік.
Бағдарламалық және аппаратты комплектацияның мүмкін болатын бірнеше нұсқасы.
Орталықтандырылған администрацялау құралдары – Cisco Secure Policy Manager (енді
Тегін орнатылған PIX Device Manager БЖ ( 6.0 PIX
Маңызды оқиғалар жайлы пейджерге немесе электронды поштаға хабарлама беру.
Виртуалды жеке желілерді қолдау (Virtual Private Network) IPSec(кроме FWSM
Жоғары өнімділік.
Интеграция с другими решениями компании Cisco компаниясының басқа да
2.2.2 Cisco ұсынатын қолданбалар
Cisco Secure Access Control Server сериясы – қатынау
Cisco Secure ACS басқа Cisco құралдарымен–қатынау серверлері, маршрутизатор, желіаралық
Cisco Secure Access Control Server қолданғанда администраторлар келесі
• аутентификация – желіге кім кіре алады;
• авторизация – әр қолданушы қандай құқыққа ие;
• учет – болашақта пайдалану үшін қолданушының қандай
Функционалдылығы жағынан CiscoSecure ACS есеп пен аудиттің
Негізгі мүмкіндіктері:
• Бір уақытта TACACS+ және
• Vendor Specific Attributes (VSA) қолданушының кеңейтілетін атрибуттарын
• Қолданушылар атын, парольдерін және жүйеге бірегей кіруді

Challenge Handshake Authentication Protocol (CHAP); Microsoft Challenge Handshake Authentication
• HTML/Java графикалық интерфейсі қолданушылар мен топтардың
• SSL протоколын басқару web-интерфейсін қолдау
• Әр түрлі Cisco Secure ACS администратор
• ODBC деректер қорынан импорт.
• VPDN және L2F және L2TP туннельдерді
• Аутентификацияның аппаратық құралдарын (Security Dynamics үшін
• Апта күні не күн уақыты негізінде
• Ағымдағы авторизацияланған сессиялардың тізімін қарау.
• Реалды уақыт режимінде Windows Performance Monitor БЖ-ды
• Есеп және тексеру туралы ақпаратты
Cisco Secure Intrusion Detection System. Рұқсатсыз қатынау жасауды табу
Cisco Secure IDS жүйесі екі компоненттен тұрады –
Консоль ретінде CiscoWorks VPN / Security Management Solution (CiscoWorks
Негізгі мүмкіндіктері:
• Реалды уақыт режимінде қолданушыға көрінетіндей етіп НСД
• РЕҚ(НСД)-ды қажетті емес желілік сессияларды бітеу не
• Желіде қауіпті активтілік табылған кезде Cisco маршрутизаторларына
• Шабуылдар сигнатуралары туралы үлкен толық тізім мазмұны
• Реалды уақыт режиміндегі Cisco Secure IDS Sensor алдын
• Cisco Secure IDS Sensor құралдары бірнеше желілік
• Cisco Secure IDS Sensor жадысына енгізілген шабуылдар шаблондары
• Жалғыз консоль Cisco Secure IDS Sensor-дің ондаған
• Cisco Secure IDS Director шектелмеген Cisco Secure IDS
•Cisco Secure IDS Sensor детекторлары шабуылдар туралы хабарламаларыд бір
• Шабуылдар турады ақпарат реляционды деректер қорына келесі талдау
•IDS Device Manager ішке орнатылған БЖ IDS Sensor-дың жеке
•IDS Event Viewer ішке орнатылған БЖ CiscoSecure IDS
Cisco Security Agent шешімі Cisco SAFE архитектурасының серверлер
• CSA Software Agent –серверлерге не жұмыс станцияларына орнатылатын
• CSA Management Console – қауіпсіздік саясаттарын, БЖ жаңартуларын
• CSA Profiler – қаңа қолданбаларды қорғау үшін қауіпсіздік
Негізгі мүмкіндіктері
• Cisco Security Agent алдын ала күйге келтірілген қауіпсіздік
Саясаттар үнсіз келісім бойынша порттарды сканерлеуден, буферлердің толып кетуінен,
Төменде ақпараттық қауіпсіздікті қамтамасыз ететін Cisco ASA и PIX
10 cурет. ASA және PIX Firewall
Cisco ASA және PIX Firewall қорғау құралдары желілерді
Жеке операциялық жүйе (Proprietary operating system)
ASA алгоритмін қолдану (Adaptive Security Algorithm)
user-based аутентификациясын қолдау (Cut-through proxy)
Протоколдар мен қолданбаларды инспекциялау (Application-Aware Inspection)
Виртуалды фаервол (Security Context)
Поддержка избыточности (Failover)
Мөлдір фаервол (Transparent firewall)
Web интерфейс арқылы құралды басқару (ASDM)
Бұл құралдар Cisco қорғау шешімдерінде кілттік болып табылады.
Cisco ASA және PIX Firewall басымдылықтарын тереңірек қарастырайық:
Жеке ішкі операциялық жүйе. Басқа ортақ мақсатта қолданылатын
ASA (Adaptive Security Algorithm) алгоритмі. Cisco ASA және
Үнсіз келісім бойынша ASA желінің қорғаулы сегментіндегі хостардан
Үнсіз келісім бойынша ASA сегменттің қорғалмаған бөлігіндегі
- Тағайындау адресі үшін статикалық трансляция бар болса (NAT
- Берілген байланысқа рұқсат беретін аксесс бет берілген болса
Түсінікті болуы үшін ASA алгоритмін мысалда қарастырайық (11 сурет):
11 сурет. ASA алгоритмі
1.Ішкі хост байланысты сыртқы хостқа инициализациялайды
2.Cisco ASA ( PIX Firewall ) келесі ақпараттың жазбасын
Қайнар және порттың адресі
Мақсат және порттың адресі
Қосымша TCP/UDP флагтары
Өз еркінше генерацияланған TCP sequence number
Берілген жазба сессия объектісі деп аталады (session object).
3.Сессия объектісі (session object) қауіпсіздік саясатымен салыстырылады. Егер
4.Егер байланыс қаауіпсіздік саясатымен мақұлданса, қайнардың адресі сыртқы адреске
5.Сыртқы ресурс сұрауға жауап береді.
6.Cisco ASA ( PIX Firewall ) жауап алады да
Егер жауап объект сессиясымен сәйкес келмесе байланыс үзіледі.
Төменде сессия объектісінің мысалы келтірілген (10 сурет).
10 сурет. Сессия объектісі
Сонымен ASA алгоритмі: Сессияны, IP адрестерді және әрбір
Cut-through proxy - аутентификации технологиясы. Бұл фаерволмен қолданушыны мөлдір
Сонымен оның мөлдірлігі неде? Қолданушыларды аутентификациялау кезінде Cisco ASA
13 сурет. Cut-through proxy механизмі
1. Қолданушымен ішкі веб-серверге FTP, HTTP(S) не Telnet
2.Cisco ASA ( PIX Firewall ) осы кезде аутентификацияны
3.Cisco ASA ( PIX Firewall ) TACACS+ не RADIUS
4.Веб-сервермен желілік деңгейде байланыс ашылады, сессия туралы ақпарат байланыстар
Қолданушылар әрине ішкі Cisco ASA ( PIX Firewall )
Протоколдар мен қолданбаларды тексеру. Қазір көптеген ұйымдар интернетті бизнес
Сондықтан мықты фаервол OSI моделінен жоғары пакеттерді тексеруі
Қауіпсіз түрде фаерволдағы рұқсат етілген клиет-серверлік байланыстар үшін динамикалық
IP пакеттің ішінде адрестің желілік трансляциясын (NAT) қолдануы керек.
Пакеттің ішінде порттардың трансляциясын (PAT) қолдануы керек.
Пакеттерді қолданбалардың дұрыс қолданылып жатқанын тексеру үшін қажет.
Cisco ASA және PIX Firewall осы
Виртуалды фаервол (Security Context)
Cisco ASA және PIX Firewall-ң жетінші версиясынан бастап
Қарсы жауап бере алушылықты (Failover) қолдау. Кез-келген сатып алушы
Активті/резервті конфигурациясы БЖ-дың жетінші версиясынан бастап қолдау тапқан,
Cisco ASA және PIX Firewall конфигурацияларында динамикалық қарсы
Мөлдір фаервол (Transparent firewall). Cisco ASA және
14 сурет. Фаерволдың орналасуы
Бұл қорғау құралын қолда бар желінің адресациясына еш өзгерулер
Web интерфейс арқылы басқару. ASDM (Adaptive Security Device Manager)
15сурет. ASDM-ның графикалық қабықшасы
ҚОРЫТЫНДЫ
Жұмыс нәтижесінде айтарым, компьютерлік және корпоративті желілердегі қауіпсіздік мәселелеріне
Пайдаланылған әдебиеттер тізімі
Кітаптар мен монографиялар
1. Лукацкий А. Обнаружение Атак. – СПб.: БХВ –
2. 2005 CSI/FBI Computer Crime and Security Survey.
3. Курушин В. Д., Минаев В. А. Компьютерные преступления
4. Лукацкий А. В. Анатомия распределенной атаки. PCWeek/RE,
5. Концепция информационной безопасности корпоративной сети Акционерного общества
6. Олифер В., Олифер Н. Компьютерные сети. Принципы, технологии,
7. Соколов А.В., Шаньгин В.Ф. Защита информации в распределенных
8. Жангисина Г.Д.
9. Рихтер Дж. Программирование на платформе Microsoft.NET
10. Разработка Windows-приложений на Microsoft*Visual Basic .NET и Microsoft*
11. Минаев М.Я. Локальная сеть своими руками. Самоучитель -
Интернет-сілтемелер:
http://www.enlight.ru/crypto/algorithms/rijndael
www.zahist.narod.ru
www.nvg.ru
www.williamspublishing.com/Books
www.resite.ru
4
Желілік трафик
Пакеттің мағынасы бар ма
(дұрыстығын тексеру)
Мағынасы
бар ма?
Жоқ
Иә
Иә
Жоқ
Жоқ
Жоқ
Иә
Иә
Рұқсат бар ма?
Табылды?
Пакетті адресат?а
жіберу
Пакетті адресатқа
жіберу
Сессия параметрлерін тексеру
Пакет ашық. Сессия тиесілі ма?
Пакетті жою
Байланыстар
кестесін жаңарту
Ranch Networks фаерволының
ережелері және қауіпсіздік
саясаты
Сыртқы хост
Ішкі хост





Ұқсас жұмыстар

Қолданушылар компьютерлері арасындағы ақпаратты алмасуды автоматизациялау
Желілерде компьютерлік ақпараттарды қорғау мәселелері
ЖЕЛІЛІК ШАБУЫЛДАРҒА ШОЛУ
ЭЕМ желісінің негізгі түрлері
Жол қозғалысы мен қоғамдық көлікті басқару жүйелері сияқты ақылды қала инфрақұрылымы
Қазіргі таңда желілік технологиялар
Деректерді жіберудің желілерін құру
Операциялық жүйелерде рұқсат етілмеген қолжетімділіктен ақпаратты қорғау
Компьютерлік желілердегі ақпараттың қауіпсіздік мәселелері
Шабуыл күші