Виды и источники атак на информацию. Обзор распространенных методов "взлома". Атакуемые сетевые компоненты. Разработка технологии защиты банковской компьютерной сети. Разработка алгоритма программы контроля доступа пользователей к банковской сети.
Аннотация к работе
2.4 Виртуальные сетиРазработка алгоритма программы контроля доступа пользователей к банковской сетиРазработка программы контроля доступа пользователей к банковской сетиПеречень ссылокПеречень условных обозначений, символов, единиц, сокращений и терминов БС - банковская система ЭВМ - электронная вычислительная машина ASCDII - American Standard Code for Information Interchange IP - Internet ProtocolЕще несколько лет назад сеть Internet использовалась в основном только для обмена почтовыми сообщениями и пересылки файлов. Электронная коммерция, продажа информации, оказание консультационных услуг в режиме online и многие другие услуги становятся для предприятий в новых условиях основными видами деятельности, поэтому разрушение информационного ресурса, его временная недоступность или несанкционированное использование могут нанести банку значительный материальный ущерб. В связи с этим информационные ресурсы и средства осуществления электронных сетевых транзакций (серверы, маршрутизаторы, серверы удаленного доступа, каналы связи, операционные системы, базы данных и приложения) нужно защищать особенно надежно и качественно - цена каждой бреши в средствах защиты быстро растет и этот рост будет в ближайшем будущем продолжаться. Для создания прочной основы массовой глобальной сети IP-технологии быстро приобретают такие новые свойства как поддержка дифференцированного по пользователям и приложениям качества обслуживания (QOS), управление сетью на основе централизованной политики, групповое вещание и т.д., и т.п. Интеграция требуется в разных аспектах: интеграция различных технологий безопасности между собой для обеспечения комплексной защиты информационных ресурсов банка - например, интеграция межсетевого экрана с VPN-шлюзом и транслятором IP-адресов. интеграция средств защиты с остальными элементами сети - операционными системами, маршрутизаторами, службами каталогов, серверами QOS-политики и т.п.Последнее время сообщения об атаках на информацию, о хакерах и компьютерных взломах наполнили все средства массовой информации. Информация с точки зрения информационной безопасности обладает следующими категориями: конфиденциальность - гарантия того, что конкретная информация доступна только тому кругу лиц, для кого она предназначена; нарушение этой категории называется хищением либо раскрытием информации целостность - гарантия того, что информация сейчас существует в ее исходном виде, то есть при ее хранении или передаче не было произведено несанкционированных изменений; нарушение этой категории называется фальсификацией сообщения аутентичность - гарантия того, что источником информации является именно то лицо, которое заявлено как ее автор; нарушение этой категории также называется фальсификацией, но уже автора сообщения апеллируемость - довольно сложная категория, но часто применяемая в электронной коммерции - гарантия того, что при необходимости можно будет доказать, что автором сообщения является именно заявленный человек, и не может являться никто другой; отличие этой категории от предыдущей в том, что при подмене автора, кто-то другой пытается заявить, что он автор сообщения, а при нарушении апеллируемости - сам автор пытается "откреститься" от своих слов, подписанных им однажды. В отношении информационных систем применяются иные категории: надежность - гарантия того, что система ведет себя в нормальном и внештатном режимах так, как запланировано точность - гарантия точного и полного выполнения всех команд контроль доступа - гарантия того, что различные группы лиц имеют различный доступ к информационным объектам, и эти ограничения доступа постоянно выполняются контролируемость - гарантия того, что в любой момент может быть произведена полноценная проверка любого компонента программного комплекса контроль идентификации - гарантия того, что клиент, подключенный в данный момент к системе, является именно тем, за кого себя выдает устойчивость к умышленным сбоям - гарантия того, что при умышленном внесении ошибок в пределах заранее оговоренных норм система будет вести себя так, как оговорено заранее. Например, как бы ни была прочна система, если пароль на доступ к ней лежит в текстовом файле в центральном каталоге или записан на экране монитора - это уже не конфиденциальная система. Но если у него есть возможность наблюдать, что происходит в системе после получения конкретного блока данных (например, стирается определенный файл или выключается какое-либо аппаратное устройство), то он может, не раскодируя информацию, послать ее повторно и добьется результатов, аналогичных команде супервизора.Следующей по частоте использования является методика получения паролей из самой системы. Действительно, если все пароли зашифрованы каким-либо ключом, то этот ключ тоже должен храниться в самой системе для того, чтобы она работала автоматически, не спрашивая каждый раз у администратора разрешение "Пускать или не пускать пользователя Anton, Larisa, Victor и т.д.?". Поэтому, получив доступ к подобной информации, злоумышл
План
Содержание
Перечень условных обозначений, символов, единиц, сокращений и терминов
Введение
1. Анализ исходной информации и требований технического задания
1.1 Основные виды и источники атак на информацию
1.2 Обзор наиболее распространенных методов "взлома"
1.3 Получение пароля на основе ошибок в реализации
1.3 Атакуемые сетевые компоненты
1.4 Рабочие станции
1.5 Среда передачи информации
1.6 Узлы коммутации сетей
1.7 Уровни сетевых атак согласно модели OSI
1.8 Предварительные выводы
2. Разработка технологии защиты банковской компьютерной сети
2.1 Архитектуры брандмауэра
2.2 Сервера уровня соединения
Введение
Еще несколько лет назад сеть Internet использовалась в основном только для обмена почтовыми сообщениями и пересылки файлов. Однако в последнее время современные технологии превратили Internet в развитую инфраструктуру, которая охватывает все основные информационные центры, мировые библиотеки, базы данных научной и правовой информации, многие государственные и коммерческие организации, биржи и банки. Сегодня Internet может рассматриваться как огромный рынок, способный охватить в потенциале практически все население Земли. Именно поэтому производители программных и аппаратных решений, торговые и финансовые организации активно развивают различные виды и методы ведения коммерческой деятельности в Internet - электронной коммерции.
Последнее время сообщения об атаках на информацию, о хакерах и компьютерных взломах наполнили все средства массовой информации.
Сегодня неотъемлемым элементом деятельности многих банков становится осуществление электронных транзакций по Internet и другим публичным сетям. Прогнозируемое превращение, в недалеком будущем, Internet в новую публичную сеть (New Public Network), предоставляющую массовому пользователю все виды информационных услуг и переносящую все виды трафика в глобальном масштабе, должно превратить эту тенденцию в норму жизни. Электронная коммерция, продажа информации, оказание консультационных услуг в режиме online и многие другие услуги становятся для предприятий в новых условиях основными видами деятельности, поэтому разрушение информационного ресурса, его временная недоступность или несанкционированное использование могут нанести банку значительный материальный ущерб. В связи с этим информационные ресурсы и средства осуществления электронных сетевых транзакций (серверы, маршрутизаторы, серверы удаленного доступа, каналы связи, операционные системы, базы данных и приложения) нужно защищать особенно надежно и качественно - цена каждой бреши в средствах защиты быстро растет и этот рост будет в ближайшем будущем продолжаться.
Поддержание массовых и разнообразных связей банка через Internet с одновременным обеспечением безопасности этих коммуникаций является сегодня основным фактором, влияющим на развитие средств защиты предприятия.
Трансформация Internet в глобальную публичную сеть означает для средств безопасности банка не только резкое увеличение количества внешних пользователей и разнообразие типов коммуникационных связей, но и сосуществование с новыми сетевыми и информационными технологиями. Для создания прочной основы массовой глобальной сети IP-технологии быстро приобретают такие новые свойства как поддержка дифференцированного по пользователям и приложениям качества обслуживания (QOS), управление сетью на основе централизованной политики, групповое вещание и т.д., и т.п. Постоянно появляются и новые информационные сервисы, например, сервис передачи голоса - VOIP, сервис поиска и доставки новостей POINTCAST и другие. Средства безопасности должны учитывать эти изменения, так как каждая новая технология и новый сервис могут потребовать своих адекватных средств защиты, а также оказать влияние на уже применяемые. Например, дифференцированное обслуживание трафика на основе признаков, находящихся в заголовке и поле данных IP-пакета, может быть затруднено работой средств инкапсуляции и шифрации IP-пакетов, применяемых в защищенных каналах VPN и закрывающих доступ к нужным признакам. На средства защиты может оказать значительное влияние и появление новых отдельных продуктов, особенно в том случае, когда ожидается массовое применение такого продукта (свежий пример этого рода - выход в свет Windows Vista).
Перспективные средства защиты данных банка должны учитывать появление новых технологий и сервисов, а также удовлетворять общим требованиям, предъявляемым сегодня к любым элементам корпоративной сети: 1. Основываться на открытых стандартах. Средства защиты особенно тяготеют к фирменным решениям, т.к отсутствие информации о способе защиты безусловно повышает эффективность защиты. Однако без следования открытым стандартам невозможно построить систему защиты коммуникаций с банками-партнерами и массовыми клиентами, которых поставляет сегодня Internet. Принятие таких стандартов как IPSEC и IKE представляет значительный шаг в направлении открытости стандартов и эта тенденция должна поддерживаться.
2. Обеспечивать интегрированные решения. Интеграция требуется в разных аспектах: интеграция различных технологий безопасности между собой для обеспечения комплексной защиты информационных ресурсов банка - например, интеграция межсетевого экрана с VPN-шлюзом и транслятором IP-адресов. интеграция средств защиты с остальными элементами сети - операционными системами, маршрутизаторами, службами каталогов, серверами QOS-политики и т.п.
3. Допускать масштабирование в широких пределах, то есть обеспечивать эффективную работу при наличии у банка многочисленных филиалов, десятков банков-партнеров, сотен удаленных сотрудников и миллионы потенциальных клиентов.
В таких случаях используются Proxy-сервера. Конечно, защита не является самым большим достоинством прокси-серверов, но в случае коммутируемого соединения она достаточна.
Целью данной дипломной работы является разработка автоматизированной технологии защиты системы доступа к банковской компьютерной сети.
Для достижения поставленной цели необходимо выполнить ряд взаимосвязанных задач: определение возможных направлений атак на локальную сеть банка со стороны Интернет;
разработка технологии защиты банковской;
разработка алгоритма контроля доступа пользователей к банковской сети;
разработка программного средства для контроля доступа пользователей к банковской сети.
В первой главе дипломной работы производится обзор основных видов и источников атак на информацию локальной компьютерной сети банка. Также произведен обзор наиболее распространенных методов "взлома".
Рассмотрены возможные цели злоумышленников, которые можно классифицировать как: получение доступа к информации, получение несанкционированного доступа к услугам, попытка вывода из рабочего режима определенного класса услуг, попытка изменения информации или услуг, как вспомогательный этап какой-либо более крупной атаки.
Произведена постановка задачи исследования.
Во втором разделе дипломной работы разработана технология защиты банковской компьютерной сети от атак на информацию локальной сети со стороны Интернет.
Рассмотрены различные схема подключения брандмауэров, которые отличаются как экономическим показателями, так и степенью защиты банковской сети.
Показано, что наиболее предпочтительной с точки зрения безопасности и надежности защиты, является схема, изображенная на рис.2.3
Кроме того показано, что важным компонентом брандмауэра является система сбора статистики и предупреждения об атаке.
В третьем разделе дипломной работы был разработан алгоритм работы программы контроля доступа пользователей к банковской сети через internet.
Разработанный алгоритм предусматривает два режима работы: режим контроля за работой пользователя в сети;
режим администрирования.
В четвертом разделе дипломной работы была разработана программа контроля доступа пользователей к банковской сети. В качестве языка программирования был выбран язык Perl, что позволило гибко управлять работой прокси-сервера. Для достижения поставленной задачи - возможности удаленного управления сервером, был разработан платформо-независимый WEB интерфейс. Таким образом, разработанное программное средство выполняет следующие функции: удаленное администрирование прокси-сервера при помощи WEB-интерфейса;
просмотр списка пользователей;
добавление/удаление пользователей;
выбор пользователя для изменения его свойств;
определение размера получаемой информации для каждого пользователя в отдельности;
предоставление расширенного отчета о работе пользователя за определенный период.
Вывод
. Разработка алгоритма программы контроля доступа пользователей к банковской сети
3.1 Описание алгоритма работы программы4. Разработка программы контроля доступа пользователей к банковской сети