Презентация на тему: Проблема несанкционированного доступа

Проблема несанкционированного доступа Составил ученик МАОУ «СОШ №54» г.Новоуральска Виталий Гайнанов Проблема несанкционированного доступа Несанкционированный доступ (НСД) злоумышленника на компьютер опасен не только возможностью прочтения и/или модификации обрабатываемых электронных документов, но и возможностью внедрения злоумышленником управляемой программной закладки, которая позволит ему предпринимать следующие действия: Читать и/или модифицировать электронные документы, которые в дальнейшем будут храниться или редактироваться на компьютере. Осуществлять перехват различной ключевой информации, используемой для защиты электронных документов. Использовать захваченный компьютер в качестве плацдарма для захвата других компьютеров локальной сети. Уничтожить хранящуюся на компьютере информацию или вывести компьютер из строя путем запуска вредоносного программного обеспечения. Защита компьютеров от НСД является одной из основных проблем защиты информации, поэтому в большинство операционных систем и популярных пакетов программ встроены различные подсистемы защиты от НСД. Например, выполнение аутентификации в пользователей при входе в операционные системы семейства Windows. Однако, не вызывает сомнений тот факт, что для серьезной защиты от НСД встроенных средств операционных систем недостаточно. К сожалению, реализация подсистем защиты большинства операционных систем достаточно часто вызывает нарекания из-за регулярно обнаруживаемых уязвимостей, позволяющих получить доступ к защищаемым объектам в обход правил разграничения доступа. Выпускаемые же производителями программного обеспечения пакеты обновлений и исправлений объективно несколько отстают от информации об обнаруживаемых уязвимостях. Поэтому в дополнение к стандартным средствам защиты необходимо использование специальных средств ограничения или разграничения доступа. Данные средства можно разделить на две категории: Средства ограничения физического доступа. Средства защиты от несанкционированного доступа по сети. Средства ограничения физического доступа Наиболее надежное решение проблемы ограничения физического доступа к компьютеру – использование аппаратных средств защиты информации от НСД, выполняющихся до загрузки операционной системы. Средства защиты данной категории называются «электронными замками». Теоретически, любое программное средство контроля доступа может подвергнуться воздействию злоумышленника с целью искажения алгоритма работы такого средства и последующего получения доступа к системе. Поступить подобным образом с аппаратным средством защиты практически невозможно: все действия по контролю доступа пользователей электронный замок выполняет в собственной доверенной программной среде, которая не подвержена внешним воздействиям. На подготовительном этапе использования электронного замка выполняется его установка и настройка. Настройка включает в себя следующие действия, обычно выполняемые ответственным лицом – Администратором по безопасности: Создание списка пользователей, которым разрешен доступ на защищаемый компьютер. Для каждого пользователя формируется ключевой носитель (в зависимости от поддерживаемых конкретным замком интерфейсов – дискета, электронная таблетка iButton или смарт-карта), по которому будет производиться аутентификация пользователя при входе. Список пользователей сохраняется в энергонезависимой памяти замка. Формирование списка файлов, целостность которых контролируется замком перед загрузкой операционной системы компьютера. Контролю подлежат важные файлы операционной системы, например, следующие: системные библиотеки Windows; исполняемые модули используемых приложений; шаблоны документов Microsoft Word и т. д. Контроль целостности файлов представляет собой вычисление их эталонной контрольной суммы, например, хеширование по алгоритму ГОСТ Р 34.11-94, сохранение вычисленных значений в энергонезависимой памяти замка и последующее вычисление реальных контрольных сумм файлов и сравнение с эталонными. В штатном режиме работы электронный замок получает управление от BIOS защищаемого компьютера после включения последнего. На этом этапе и выполняются все действия по контролю доступа на, а именно: Замок запрашивает у пользователя носитель с ключевой информацией, необходимой для его аутентификации. Если ключевая информация требуемого формата не предъявляется или если пользователь, идентифицируемый по предъявленной информации, не входит в список пользователей защищаемого компьютера, замок блокирует загрузку компьютера. Если аутентификация пользователя прошла успешно, замок рассчитывает контрольные суммы файлов, содержащихся в списке контролируемых, и сравнивает полученные контрольные суммы с эталонными. В случае, если нарушена целостность хотя бы одного файла из списка, загрузка компьютера блокируется. Для возможности дальнейшей работы на данном компьютере необходимо, чтобы проблема была разрешена Администратором, который должен выяснить причину изменения контролируемого файла и, в зависимости от ситуации, предпринять одно из следующих действий, позволяющих дальнейшую работу с защищаемым компьютером: пересчитать эталонную контрольную сумму для данного файла, т.е. зафиксировать измененный файл; восстановить исходный файл; удалить файл из списка контролируемых. Если все проверки пройдены успешно, замок возвращает управление компьютеру для загрузки штатной операционной системы. Средства защиты от НСД по сети Наиболее действенными методами защиты от несанкционированного доступа по компьютерным сетям являются виртуальные частные сети (VPN – Virtual Private Network) и межсетевое экранирование. Рассмотрим их подробно. Виртуальные частные сети Виртуальные частные сети обеспечивают автоматическую защиту целостности и конфиденциальности сообщений, передаваемых через различные сети общего пользования, прежде всего, через Интернет. Фактически, VPN – это совокупность сетей, на внешнем периметре которых установлены VPN-агенты. VPN-агент – это программа (или программно-аппаратный комплекс), собственно обеспечивающая защиту передаваемой информации путем выполнения описанных ниже операций. Перед отправкой в сеть любого IP-пакета VPN-агент производит следующее: Из заголовка IP-пакета выделяется информация о его адресате. Согласно этой информации на основе политики безопасности данного VPN-агента выбираются алгоритмы защиты (если VPN-агент поддерживает несколько алгоритмов) и криптографические ключи, с помощью которых будет защищен данный пакет. В том случае, если политикой безопасности VPN-агента не предусмотрена отправка IP-пакета данному адресату или IP-пакета с данными характеристиками, отправка IP-пакета блокируется. С помощью выбранного алгоритма защиты целостности формируется и добавляется в IP-пакет электронная цифровая подпись (ЭЦП), имитоприставка или аналогичная контрольная сумма. С помощью выбранного алгоритма шифрования производится зашифрование IP-пакета. С помощью установленного алгоритма инкапсуляции пакетов зашифрованный IP-пакет помещается в готовый для передачи IP-пакет, заголовок которого вместо исходной информации об адресате и отправителе содержит соответственно информацию о VPN-агенте адресата и VPN-агенте отправителя. Т.е. выполняется трансляция сетевых адресов. Пакет отправляется VPN-агенту адресата. При необходимости, производится его разбиение и поочередная отправка результирующих пакетов. При приеме IP-пакета VPN-агент производит следующее: Из заголовка IP-пакета выделяется информация о его отправителе. В том случае, если отправитель не входит в число разрешенных (согласно политике безопасности) или неизвестен (например, при приеме пакета с намеренно или случайно поврежденным заголовком), пакет не обрабатывается и отбрасывается. Согласно политике безопасности выбираются алгоритмы защиты данного пакета и ключи, с помощью которых будет выполнено расшифрование пакета и проверка его целостности. Выделяется информационная (инкапсулированная) часть пакета и производится ее расшифрование. Производится контроль целостности пакета на основе выбранного алгоритма. В случае обнаружения нарушения целостности пакет отбрасывается. Пакет отправляется адресату (по внутренней сети) согласно информации, находящейся в его оригинальном заголовке. VPN-агент может находиться непосредственно на защищаемом компьютере. В этом случае с его помощью защищается информационный обмен только того компьютера, на котором он установлен, однако описанные выше принципы его действия остаются неизменными. Основное правило построения VPN – связь между защищенной ЛВС и открытой сетью должна осуществляться только через VPN-агенты. Категорически не должно быть каких-либо способов связи, минующих защитный барьер в виде VPN-агента. Т.е. должен быть определен защищаемый периметр, связь с которым может осуществляться только через соответствующее средство защиты. Политика безопасности является набором правил, согласно которым устанавливаются защищенные каналы связи между абонентами VPN. Такие каналы обычно называют туннелями, аналогия с которыми просматривается в следующем: Вся передаваемая в рамках одного туннеля информация защищена как от несанкционированного просмотра, так и от модификации. Инкапсуляция IP-пакетов позволяет добиться сокрытия топологии внутренней ЛВС: из Интернет обмен информации между двумя защищенными ЛВС виден как обмен информацией только между их VPN-агентами, поскольку все внутренние IP-адреса в передаваемых через Интернет IP-пакетах в этом случае не фигурируют. Правила создания туннелей формируются в зависимости от различных характеристик IP-пакетов, например, основной при построении большинства VPN протокол IPSec (Security Architecture for IP) устанавливает следующий набор входных данных, по которым выбираются параметры туннелирования и принимается решение при фильтрации конкретного IP-пакета: IP-адрес источника. Это может быть не только одиночный IP-адрес, но и адрес подсети или диапазон адресов. IP-адрес назначения. Также может быть диапазон адресов, указываемый явно, с помощью маски подсети или шаблона. Идентификатор пользователя (отправителя или получателя). Протокол транспортного уровня (TCP/UDP). Номер порта, с которого или на который отправлен пакет. Комплексная защита Электронный замок может быть разработан на базе аппаратного шифратора. В этом случае получается одно устройство, выполняющее функции шифрования, генерации случайных чисел и защиты от НСД. Такой шифратор способен быть центром безопасности всего компьютера, на его базе можно построить полнофункциональную систему криптографической защиты данных, обеспечивающую, например, следующие возможности: Защита компьютера от физического доступа. Защита компьютера от НСД по сети и организация VPN. Шифрование файлов по требованию. Автоматическое шифрование логических дисков компьютера. Вычисление/проверка ЭЦП. Защита сообщений электронной почты. Методы защиты информации В этой теме я хочу рассмотреть методы защиты своей информации от несанкционированного доступа. Итак, пусть у Вас на компьютере есть очень личная информация, доступ к которой хотите иметь только Вы. Прежде чем рассматривать способы защиты информации от несанкционированного доступа, опишу вкратце стандартные рекомендации. Прежде всего, рекомендуется время от времени делать бэкап (резервное копирование) нужных Вам данных. Для этого можно использовать встроенную программу для резервного копирования от Microsoft. Ее можно запустить через Пуск -> Выполнить... -> если у Вас Windows 9x,Me, то в появившемся окошке пишите msbackup, если у Вас Windows NT,2000 или XP, то в появившемся окошке пишите ntbackup и жмите ОК. Или через Пуск -> (Все) Программы -> Стандартные -> Служебные -> Архивация данных. Или можно использовать программы сторонних производителей для резервного копирования, такие как Norton Ghost. Плюсы резервного копирования: с помощью резервных копий можно восстановить данные, если они были повреждены или вообще удалены. резервные копии можно хранить компактно в сжатом виде в одном файле. Минусы резервного копирования: Оно не защищает данные от несанкционированного доступа. Если же для нужных Вам данных не было сделано резервных копий, и они были удалены, то есть вероятность, что их можно восстановить. Для этого существуют специальные Программы. Для общей защиты компьютерной безопасности обязательно надо иметь на компьютере хороший антивирус, файервол и программы защиты от Ad/Spyware и регулярно устанавливать заплатки для Вашей операционной системы. На этом форуме так много написано обо всем этом, что я не вижу смысла рассматривать в этой статье эти пункты. Итак, подходим к главной теме этой статьи - защита информации от несанкционированного доступа. Существует несколько способов такой защиты: Запись и хранение важной информации на сменных носителях (дискеты, СD, DVD) Плюсы: Доступ к этой информации будете иметь только Вы (если, конечно, не допускать, чтобы эти сменные носители попали в чужие руки) Минусы: Сменные носители могут быть повреждены и можно потерять информацию. Шифрование важных данных. Рассмотрим два существующих способа шифрования: криптография и стеганография. Криптография - кодирование информации с помощью какого-либо шифра. т.е превращение информации в нечто нераспознаваемое. В этом случае для получения доступа к информации нужен пароль, даже если сам способ шифрования известен и есть доступ к зашифрованной информации. Стеганография- скрытие самого факта наличия информации. Существуют алгоритмы, которые прячут информацию в файлы-контейнеры формата bmp, wav и некоторых других.  Картинки и аудио файлы хорошо подходят для этих целей, т.к. они достаточно велики и в них можно спрятать определенное кол-во информации. Файл-контейнер (картинка или звук со встроенными данными) практически не отличается от оригинала ни по размеру, ни по внешнему виду/звучанию.

НСД злоумышленника на компьютер опасен не только возможностью прочтения и/или модификации обрабатываемых электронных документов, но и возможностью внедрения злоумышленником управляемой программной закладки, которая позволит ему предпринимать следующие действия: Несанкционированный доступ (НСД)

Читать и/или модифицировать электронные документы, которые в дальнейшем будут храниться или редактироваться на компьютере. Осуществлять перехват различной ключевой информации, используемой для защиты электронных документов. Использовать захваченный компьютер в качестве плацдарма для захвата других компьютеров локальной сети. Уничтожить хранящуюся на компьютере информацию или вывести компьютер из строя путем запуска вредоносного программного обеспечения. Действия программы:

Защита компьютеров от НСД является одной из основных проблем защиты информации, поэтому в большинство операционных систем и популярных пакетов программ встроены различные подсистемы защиты от НСД. Например, выполнение аутентификации в пользователей при входе в операционные системы семейства Windows. Однако, не вызывает сомнений тот факт, что для серьезной защиты от НСД встроенных средств операционных систем недостаточно. К сожалению, реализация подсистем защиты большинства операционных систем достаточно часто вызывает нарекания из-за регулярно обнаруживаемых уязвимостей, позволяющих получить доступ к защищаемым объектам в обход правил разграничения доступа. Выпускаемые же производителями программного обеспечения пакеты обновлений и исправлений объективно несколько отстают от информации об обнаруживаемых уязвимостях. Поэтому в дополнение к стандартным средствам защиты необходимо использование специальных средств ограничения или разграничения доступа. Данные средства можно разделить на две категории: Средства ограничения физического доступа. Средства защиты от несанкционированного доступа по сети. Защита компьютеров от НСД

Наиболее надежное решение проблемы ограничения физического доступа к компьютеру – использование аппаратных средств защиты информации от НСД, выполняющихся до загрузки операционной системы. Средства защиты данной категории называются «электронными замками». Теоретически, любое программное средство контроля доступа может подвергнуться воздействию злоумышленника с целью искажения алгоритма работы такого средства и последующего получения доступа к системе. Средства ограничения физического доступа

Наиболее действенными методами защиты от несанкционированного доступа по компьютерным сетям являются виртуальные частные сети (VPN – Virtual Private Network) и межсетевое экранирование. Средства защиты от НСД по сети

Виртуальные частные сети обеспечивают автоматическую защиту целостности и конфиденциальности сообщений, передаваемых через различные сети общего пользования, прежде всего, через Интернет. Фактически, VPN – это совокупность сетей, на внешнем периметре которых установлены VPN-агенты. VPN-агент – это программа (или программно-аппаратный комплекс), собственно обеспечивающая защиту передаваемой информации путем выполнения описанных ниже операций. Перед отправкой в сеть любого IP-пакета VPN-агент производит следующее: Виртуальные частные сети

Из заголовка IP-пакета выделяется информация о его адресате. Согласно этой информации на основе политики безопасности данного VPN-агента выбираются алгоритмы защиты и криптографические ключи, с помощью которых будет защищен данный пакет. В том случае, если политикой безопасности VPN-агента не предусмотрена отправка IP-пакета данному адресату или IP-пакета с данными характеристиками, отправка IP-пакета блокируется. Перед отправкой в сеть любого IP-пакета VPN-агент производит следующее:

С помощью выбранного алгоритма защиты целостности формируется и добавляется в IP-пакет электронная цифровая подпись (ЭЦП), имитоприставка или аналогичная контрольная сумма. С помощью выбранного алгоритма шифрования производится зашифрование IP-пакета. Перед отправкой в сеть любого IP-пакета VPN-агент производит следующее:

С помощью установленного алгоритма инкапсуляции пакетов зашифрованный IP-пакет помещается в готовый для передачи IP-пакет, заголовок которого вместо исходной информации об адресате и отправителе содержит соответственно информацию о VPN-агенте адресата и VPN-агенте отправителя. Т.е. выполняется трансляция сетевых адресов. Перед отправкой в сеть любого IP-пакета VPN-агент производит следующее:

Пакет отправляется VPN-агенту адресата. При необходимости, производится его разбиение и поочередная отправка результирующих пакетов. Из заголовка IP-пакета выделяется информация о его отправителе. В том случае, если отправитель не входит в число разрешенных (согласно политике безопасности) или неизвестен (например, при приеме пакета с намеренно или случайно поврежденным заголовком), пакет не обрабатывается и отбрасывается. Перед отправкой в сеть любого IP-пакета VPN-агент производит следующее:

Согласно политике безопасности выбираются алгоритмы защиты данного пакета и ключи, с помощью которых будет выполнено расшифрование пакета и проверка его целостности. Выделяется информационная (инкапсулированная) часть пакета и производится ее расшифрование. Перед отправкой в сеть любого IP-пакета VPN-агент производит следующее:

Производится контроль целостности пакета на основе выбранного алгоритма. В случае обнаружения нарушения целостности пакет отбрасывается. Пакет отправляется адресату (по внутренней сети) согласно информации, находящейся в его оригинальном заголовке. Перед отправкой в сеть любого IP-пакета VPN-агент производит следующее:

Основное правило построения VPN – связь между защищенной ЛВС и открытой сетью должна осуществляться только через VPN-агенты. Категорически не должно быть каких-либо способов связи, минующих защитный барьер в виде VPN-агента. Т.е. должен быть определен защищаемый периметр, связь с которым может осуществляться только через соответствующее средство защиты. Основное правило построения VPN

Политика безопасности является набором правил, согласно которым устанавливаются защищенные каналы связи между абонентами VPN. Такие каналы обычно называют туннелями, аналогия с которыми просматривается в следующем: Вся передаваемая в рамках одного туннеля информация защищена как от несанкционированного просмотра, так и от модификации. Инкапсуляция IP-пакетов позволяет добиться сокрытия топологии внутренней ЛВС: из Интернет обмен информации между двумя защищенными ЛВС виден как обмен информацией только между их VPN-агентами, поскольку все внутренние IP-адреса в передаваемых через Интернет IP-пакетах в этом случае не фигурируют. Политика безопасности

Правила создания туннелей формируются в зависимости от различных характеристик IP-пакетов, например, основной при построении большинства VPN протокол IPSec (Security Architecture for IP) устанавливает следующий набор входных данных, по которым выбираются параметры туннелирования и принимается решение при фильтрации конкретного IP-пакета: IP-адрес источника. Это может быть не только одиночный IP-адрес, но и адрес подсети или диапазон адресов. IP-адрес назначения. Также может быть диапазон адресов, указываемый явно, с помощью маски подсети или шаблона. Идентификатор пользователя (отправителя или получателя). Протокол транспортного уровня (TCP/UDP). Номер порта, с которого или на который отправлен пакет. Политика безопасности

Электронный замок может быть разработан на базе аппаратного шифратора. В этом случае получается одно устройство, выполняющее функции шифрования, генерации случайных чисел и защиты от НСД. Такой шифратор способен быть центром безопасности всего компьютера, на его базе можно построить полнофункциональную систему криптографической защиты данных, обеспечивающую, например, следующие возможности: Защита компьютера от физического доступа. Защита компьютера от НСД по сети и организация VPN. Шифрование файлов по требованию. Автоматическое шифрование логических дисков компьютера. Вычисление/проверка ЭЦП. Защита сообщений электронной почты. Комплексная защита

Итак, пусть у Вас на компьютере есть очень личная информация, доступ к которой хотите иметь только Вы. Прежде чем рассматривать способы защиты информации от несанкционированного доступа, опишу вкратце стандартные рекомендации. Прежде всего, рекомендуется время от времени делать бэкап (резервное копирование) нужных Вам данных. Для этого можно использовать встроенную программу для резервного копирования от Microsoft. Или можно использовать программы сторонних производителей для резервного копирования, такие как Norton Ghost. Методы защиты информации

Резервное копирование

Если же для нужных Вам данных не было сделано резервных копий, и они были удалены, то есть вероятность, что их можно восстановить. Для этого существуют специальные Программы. Для общей защиты компьютерной безопасности обязательно надо иметь на компьютере хороший антивирус, файервол и программы защиты от Ad/Spyware и регулярно устанавливать заплатки для Вашей операционной системы.

Запись и хранение важной информации на сменных носителях (дискеты, СD, DVD) Плюсы: Доступ к этой информации будете иметь только Вы (если, конечно, не допускать, чтобы эти сменные носители попали в чужие руки) Минусы: Сменные носители могут быть повреждены и можно потерять информацию. Шифрование важных данных. Рассмотрим два существующих способа шифрования: криптография и стеганография. Способы защиты от несанкционированного доступа

Криптография – это кодирование информации с помощью какого-либо шифра. т.е превращение информации в нечто нераспознаваемое. В этом случае для получения доступа к информации нужен пароль, даже если сам способ шифрования известен и есть доступ к зашифрованной информации. Криптография

Стеганография – это скрытие самого факта наличия информации. Существуют алгоритмы, которые прячут информацию в файлы-контейнеры формата bmp, wav и некоторых других.  Картинки и аудио файлы хорошо подходят для этих целей, т.к. они достаточно велики и в них можно спрятать определенное кол-во информации. Файл-контейнер (картинка или звук со встроенными данными) практически не отличается от оригинала ни по размеру, ни по внешнему виду/звучанию. Стеганография

Презентация подготовлена для конкурса «Интернешка» http://interneshka.org/