Безопасность в интернете
Министерство образования Московской области
Государственное образовательное учреждение
Среднего профессионального образования
Московской области
,, Колледж
,, Угреша ‘’.
Зачетный реферат по информатике
На тему :
,, Безопасность в интернете ‘’ .
Автор работы – студент 2- го курса ,
Группы № 86 ( Менеджмент ) ,
Лысов Роман .
Проверила – Коханова Е. В.
г. Дзержинский , 2010 год.
Структура реферата
- Введение
- Щит от несанкционированного доступа
- Конструктивные решения
- Уровень опасности
- Почему брандмауэр?
- Основные компоненты межсетевых экранов
6.1) Фильтрующие маршрутизаторы
6.2) Шлюзы сетевого уровня
6.3) Шлюзы прикладного уровня
6.4) Усиленная аутентификация
- Заключение
1-ая глава. Введение.
Тайны существовали всегда, как, в прочем, и всегда находились желающие
знать чужие тайны.
Интенсивное развитие глобальных компьютерных сетей , появление новых технологий поиска информации привлекают все больше внимания к сети Internet со стороны частных лиц и различных организаций , ибо по средствам Internet можно наиболее быстро реализовать свою продукцию , наладить рынки сбыта . Веянья эпохи , современниками которой мы с Вами являемся , заставляют предприятия интегрироваться в глобальную сеть .
Как сказал один редактор крупного печатного издания , что настают времена , когда сначала идет сайт , а уж в добавок к нему – газета . И тот , кто этого не поймет , заведомо проиграет .
Использование Internet в коммерческих целях, а также при передаче информации, содержащей сведения конфиденциального характера, влечет за собой необходимость построения эффективной системы защиты информации. В настоящее время в России глобальные сети применяются для передачи коммерческой информации различного уровня конфиденциальности, например для связи с удаленными офисами из головной Штаб-квартиры или создания Web-страницы организации с размещенной на ней рекламой и деловыми предложениями.
Вряд ли нужно перечислять все преимущества, которые получает современное предприятие, имея доступ к глобальной сети Internet. Но, как и многие другие новые технологии, использование Internet имеет и негативные последствия.
Развитие глобальных сетей привело к многократному увеличению количества пользователей , и не все эти пользователи , мягко говоря , пришли в сеть , чтобы удовлетворить свои потребности в общении и сопричастности миру . В сеть пришли разные люди , как и в мире – созидатели и разрушители , благотворители и вымогатели , в общем люди .
Государство тоже не остается в стороне от этого процесса . Создается интернет- правительство , Президент РФ , Председатель Правительства РФ , министерства , ведомства , федеральные службы обзавелись собственными сайтами . Создан портал ,, гос.услуги ‘’ . В социальных сетях появились странички наших политических деятелей , некоторые из них создают свои социальные сети , у многих есть блоги . Видимо , понимая , как и редактор вышеупомянутого издания , в чем сила глобальной сети Президент России Дмитрий Медведев сказал на одном из заседаний Гос.совета - ,, Чиновник , который сегодня не владеет элементарными навыками пользования компьютером – не может эффективно работать , и стало быть , должен найти себе иное местоприложения труда . Мы же не принимаем на работу людей , которые не умеют читать и писать ! Владение компьютером сегодня – это тоже самое .’’
Но с развитием сети Internet встал вопрос – а как же защитить эти потоки информации .Когда мы слышим словосочетания - ,, подхватил троян ‘’ , ,, слетела винда ‘’ и т.д мы уже не удивляемся . Ежегодные потери, обусловленные недостаточным уровнем защищенности компьютеров, оцениваются десятками миллионов долларов. Интернет , начал разрабатываться как сугубо военный эксперимент , но никто тогда ещё , в 1969 году , не подозревал , что ,, эксперимент '' разразиться да таких размеров , а ,, испытуемыми ‘’ станут более 2 миллиардов человек . Из истории нам известно , что развитие средств обороны подталкивает гонку наступательных вооружений . Холодная война – это явное тому подтверждение . Интернет живет по тем же законам .
Internet – это ,, головная боль ‘’ любой контрразведки мира . Террористы разных мастей , от Доку Умарова до Бен Ладана , прекрасно отдают себе отчет , что Internet для них это перспективный театр военных действий , с помощью которых можно беспрепятственно , не взирая на границы , распространять свою идеологию , вербовать пособников , покупать оружие , взрывчатые и биологические материалы , переводить деньги и многое другое .
Поэтому можно с полным основанием сказать , что Internet на сегодняшнем этапе развития практически не контролируем . Он живет сам по себе и по своим , негласным , законам .
По этому вопрос о проблеме защиты сетей и её компонентов становиться достаточно важным и актуальным и это время, время прогресса и компьютерных технологий. Многие страны наконец-то поняли важность этой проблемы. Происходит увеличение затрат и усилий направленных на производство и улучшение различных средств защиты .
Автор реферата поставил перед собой цель доказать , что средства киберзащиты необходимы , поскольку это одно из фундаментальных правил интернета . Не мы начали эту ,, гонку кибер-вооружений ‘’ , не нам ёё и останавливать .
2-ая глава . Щит от несанкционированного доступа
Во избежание несанкционированного доступа к своим сетям, многие компании, подключенные к Internet, полагаются на брандмауэры ( они же файрволы ). Однако, достигая при этом своей основной цели, пользователь подобного сетевого экрана столкнётся с необходимостью выбора между простой работой и безопасностью системы.
Файрвол – это один из нескольких путей защиты вашей сети, от другой, которой вы не доверяете. Вообще существует множество вариантов обеспечения такой защиты, но в принципе файрвол (он же брандмауэр) можно представить как пару механизмов: один – для блокировки, второй – для разрешения трафика.
Основной причиной для установки в частной сети брандмауэра практически всегда является стремление пользователя защитить сеть от несанкционированного вторжения. В большинстве случаев сеть защищают от нелегального доступа к системным ресурсам, а также от отправки какой либо информации вовне баз ведома её владельца. В некоторых случаях исходящие во вне поток информации не рассматривается как особо важная проблема, однако, для многих компаний и предприятий, подключение к Internet, это вопрос первостепенной важности. Многие организации прибегают к самому простому пути, чтобы избежать подобных неприятностей: они просто не подключаются к Internet. Однако это не такое уж удачное решение. Это контр-продуктивное решение, примитивное решение, которое исходит из логики человека , который мыслит ,, от противного ‘’ . Говоря обывательским языком такой человек считает , что для того , чтобы минимизировать угрозу , нужно не позаботиться об контроле , а просто не использовать то , что несет риск . Руководствуясь этой логикой можно дойти до много , например , утюг несет определенный риск , поэтому лучше не иметь его вообще . Но мы то с Вами понимаем, что это не лучший вариант .Если сотрудник захочет ,, сливать информацию ‘’ конкурентам , то он может обойтись и flash-носителями .
Во многих случаях можно сказать, что для защиты сети лучше всего установить сетевой экран. Internet ,в этом врятли кто-то сомневается , таит в себе неизмеримо большую угрозу. Прорыв злоумышленников в локальную сеть компании, вследствие плохой организации защиты, вполне может стоить менеджеру сети места работы, даже если ущерб при этом не будет больше, чем мог бы быть в случае непосредственного подключения к Internet через модем либо в результате мести сокращенного сотрудника.
Пусть проникновение в локальную сеть будет произведено из хулиганских побуждений, это всё равно ударит по компании , по ёё имиджу и репутации , в лучшем случае от нёё просто отвернуться клиенты .
В этой связи вспоминается случай , который произошел с экраном , транслирующем рекламу на МКАД .Подобные случае показывают , что обеспечение безопасности – это не разбазаривание денежных средств фирмы . Обеспечение национальной безопасности тоже обходиться стране в копеечку , однако отказываться от оборонной компоненты никто не собирается .
Чаще всего в организациях, прибегающих к услугам Internet, проблема убедить руководство в необходимости брандмауэрной защиты неизмеримо сложнее тех забот, с которыми приходится сталкиваться в процессе ее установки. Вследствие того, что услуги, предоставляемые Internet, очевидны для всех, весьма вероятно, что они потребуют всесторонней официальной проверки.
Многие компании не рассматривают угрозу в серьез .Когда я обсуждал с одним моим другом вышеупомянутый случай на МКАД он сказал , что о нашем русском ,, до меня не дойдет ‘’ уже байки сочинять в пору .Люди ,,возьмутся за ум ‘’ лишь тогда , когда взломают сайт , ну скажем , Центральной избирательной комиссии или сайт , на котором выставляются результаты ЕГЭ , ведь пока гром не грянет – мужик не перекреститься .
Очень не хочется верить, что это правда , ибо в противном случае ,,креститься ‘’ уже будет не кому .
3-ая глава. Конструктивные решения.
В процессе конфигурирования файрвола конструктивные решения зачастую диктуются корпоративной и организационной политикой компании в области обеспечения защиты сетей. В частности, любая фирма должна сделать очень серьезный выбор: что для нее важнее — высокая степень защиты или простота в использовании. Существует два подхода к решению этой дилеммы.
- Что не было специально разрешено, то запрещено;
- Что не было специально запрещено, то разрешено.
Важность данного
разграничения переоценить
Во втором случае эту же главную так сказать ,, партию ‘’ играет системный администратор, админ , как мы его обычно называем , который обязан уметь предвидеть, какие действия пользователей cети способные ослабить надежность брандмауэра, и принять соответствующие меры для предотвращения таких попыток. В результате данного подхода конфликт между администратором брандмауэра и пользователями развивается по нарастающей и может стать действительно серьезным. Если пользователи не осознают важности мер предосторожности в плане обеспечения безопасности сети и не выполняют их, они зачастую способны подвергнуть риску всю сеть.
Если пользователи при входе в систему (вводя login) будут получать неограниченный доступ к сетевому экрану, смогут менять параметры конфигурации , то в системе безопасности сети может возникнуть большая брешь.
На мой взгляд , пользователи , работники предприятия , не должны получать доступ к изменению параметров и конфигурации сетевого экрана , потому , как служащий , из собственных соображений или руководствуясь чем-то иным , может , как было уже сказано выше ,, подставить под удар ‘’ всю сеть . Я не думаю , что работника интересуют интересы компании в сфере обеспечения кибербезопасности , поэтому управление брандмауром лучше , на мой взгляд , перепоручить всевидящему оку ,, большого брата ‘’ – системного администратора .
Вторая представленная формулировка в области политики безопасности гласит: "Что не было специально запрещено, то разрешено".
Такой подход
наиболее надежен, ибо он
Но всегда должна оставаться частичка разума . Нужно понимать , и собственно говоря , это понятно , что абсолютной защиты не существует . С развитием средств защиты , развиваются и средства ёё преодоления , и не всегда передовые разработки в сфере защиты поспевают за гонкой наступательных средств .
Необходимо соблюдать баланс интересов , и только тогда , когда защита сможет сочетать с себе мобильность , низкую затратность , не в ущерб безопасности и функциональности , такая защита будет функционировать .
4-ая глава. Уровень опасности.
Существует несколько путей свести на нет либо подвергнуть риску cетевую защиту. И хотя они все плохи, о некоторых можно с уверенностью говорить как о самых неприятных. Как говорят у нас в России - ,, Из двух зол выбирают меньшее ‘’ , англичане же говорят - ,, Из двух зол вообще выбирать не приходиться ‘’ . Это было небольшое лирическое отступление , вернемся же к проблеме сетевых рисков .
Исходя из того, что основной целью установки большинства брандмауэров является блокирование доступа, очевидно, что обнаружение кем-либо лазейки, позволяющей проникнуть в систему, ведет к полному краху всей защиты данной системы. Если же несанкционированному пользователю удалось проникнуть в брандмауэр и переконфигурировать его, ситуация может принять еще более угрожающий характер.
В целях разграничения терминологии примем, что в первом случае мы имеем дело со взломом брандмауэрной защиты, а во втором — с полным ее крахом. Степень ущерба, который может повлечь за собой разрушение брандмауэрной защиты - фатальна. Наиболее полные сведения о надежности такой защиты может дать только информация о предпринятой попытке взлома, собранная этим брандмауэром. Самое плохое происходит с системой защиты именно тогда, когда при полном разрушении брандмауэра не остается ни малейших следов, указывающих на то, как это происходило. В лучшем же случае ,, сетевой щит ‘’ сам выявляет попытку взлома и вежливо информирует об этом администратора. Попытка при этом обречена на провал.
Один из способов определить результат попытки взлома брандмауэрной защиты — проверить состояние вещей в так называемых зонах риска. Если сеть подсоединена к Internet без брандмауэра, объектом нападения станет вся сеть. Такая ситуация сама по себе не предполагает, что сеть становится уязвимой для каждой попытки взлома. Однако если она подсоединяется к общей небезопасной сети, администратору придется обеспечивать безопасность каждого узла отдельно. В случае образования бреши в брандмауэре зона риска расширяется и охватывает всю защищенную сеть.
Хакер , получивший доступ к входу в файрвол, может прибегнуть к методу "захвата островов" и, пользуясь им как базой, охватить всю локальную сеть. Подобная ситуация все же даст слабую надежду, ибо нарушитель может ,, наследить ‘’ , и его можно будет разоблачить. Если же брандмауэр полностью выведен из строя, локальная сеть становится открытой для нападения из любой внешней системы, и определение характера этого нападения становится практически невозможным.
В общем, вполне возможно рассматривать брандмауэр как средство сужения зоны риска до одной точки повреждения. В определенном смысле это может показаться совсем не такой уж удачной идеей, ведь такой подход напоминает складывание яиц в одну корзину. Однако практикой подтверждено, что любая довольно крупная сеть включает, по меньшей мере, несколько узлов, уязвимых при попытке взлома даже не очень сведущим нарушителем, если у него достаточного для этого времени. Многие крупные компании имеют на вооружении организационную политику обеспечения безопасности узлов, разработанную с учетом этих недостатков. Однако было бы не слишком разумным целиком полагаться исключительно на правила. Именно с помощью брандмауэра можно повысить надежность узлов, направляя нарушителя в такой узкий тоннель, что появляется реальный шанс выявить и выследить его, до того как он наделает бед. Подобно тому, как средневековые замки обносили несколькими стенами, в нашем случае создается взаимоблокирующая защита.
Исходя из предыдущих 2-х глав сделаем несколько выводов :
- Во-первых , любая защита может быть пусть не уничтожена , но пробита . Это лишь вопрос времени . Поэтому в настоящее время ведущими разработчиками такими как Лаборатория Касперского и Доктор Вэб , не прекращаются работы по усовершенствованию защиты , представляемые их продуктами .
Кибертерроризм бросает нам вызов , от того насколько мы будет подготовлены к встрече с ним зависит очень многое . Как гласит народная мудрость - ,, Кто не хочет кормить собственную армию , будет кормить чужую ‘’ .
- Во-вторых, наиболее эффективная система защиты имеет эшелонированный характер
- И ещё надо помнить главный принцип обеспечения любого вида безопасности - ,, Лучше переоценить угрозу , чем не дооценить ёё ‘’.
5-ая глава. Почему сетевой экран?
Развитие глобальной сети продолжает поражать масштабами и возможностями этой сети , которые попали в руки не только благочестивых людей , но и злоумышленников .Через Internet ,, не желанный гость ‘’ может:
- вторгнуться во внутреннюю сеть предприятия и получить несанкционированный доступ к конфиденциальной информации,
- незаконно скопировать важную и ценную для предприятия информацию,
- получить пароли, адреса серверов, а подчас и их содержимое,
- входить в информационную систему предприятия под именем зарегистрированного пользователя и т.д.
С помощью полученной
злоумышленником информации может
быть серьезно подорвана
Существует много видов защиты в сети, но наиболее эффективный способ защиты объекта от нападения, одновременно позволяющий пользователям иметь некоторый доступ к службам Internet, заключается в построении брандмауэра. Чтобы брандмауэр был достаточно эффективным, необходимо тщательно выбрать его конфигурацию, установить и поддерживать.
Брандмауэры ( они же файрволы ) представляют собой аппаратно - программный подход, который ограничивает доступ за счет принудительного прокладывания всех коммуникаций, идущих из внутренней сети в Internet, из Internet во внутреннюю сеть, через это средство защиты. Брандмауэры позволяют также защищать часть вашей внутренней сети от остальных её элементов. Аппаратные средства и программное обеспечение, образующие брандмауэр, фильтруют весь трафик и принимают решение: можно ли пропустить этот трафик – электронную почту, файлы, дистанционную регистрацию и другие операции. Организации устанавливают конфигурацию брандмауэров разными способами. На некоторых объектах брандмауэры полностью блокируют доступ в Internet и из неё, а на других ограничивают доступ таким образом, что только одна машина или пользователь может соединяться через Internet с машинами за пределами внутренней сети.
Иногда реализуются более сложные правила, которые включают проверку каждого сообщения, направленного из внутренне сети во внешнюю, чтобы убедится в соответствии конкретным требованиям стратегии обеспечения безопасности на данном объекте. Несмотря на эффективность в целом, брандмауэр не обеспечивает защиту от собственного персонала или от злоумышленника, уже преодолевшего это средство сетевой защиты.
Именно поэтому , как я уже упомянул , система защиты должна носить эшелонированный характер , на разных этапах которой злоумышленник встретит разный уровень сопротивения .
6-ая глава .Основные компоненты межсетевых экранов.
Большинство компонентов межсетевых экранов можно отнести к одной из трех категорий:
- фильтрующие маршрутизаторы;
- шлюзы сетевого уровня;
- шлюзы прикладного уровня.
Эти категории можно рассматривать как базовые для большинства существующих межсетевых экранов. Лишь немногие межсетевые экраны включают только одну из перечисленных категорий. Тем не менее, эти категории отражают ключевые
возможности, отличающие межсетевые экраны друг от друга.
Рассмотрим же по порядку эти компоненты , начнем с фильтрующих маршрутизаторов .
6.1.Фильтрующие маршрутизаторы
Фильтрующий маршрутизатор представляет собой работающую на сервере программу, сконфигурированные таким образом, чтобы фильтровать входящее и исходящие пакеты. Фильтрация пакетов осуществляется на основе информации, содержащейся в TCP- и IP- заголовках пакетов .
Фильтрующие маршрутизаторы обычно могут фильтровать IP-пакет на основе группы следующих полей заголовка пакета:
- IP- адрес отправителя (адрес системы, которая выслала пакет);
- IP-адрес получателя (адрес системы принимающий пакет);
- Порт отправителя (порт соединения в системе отправителя );
- Порт получателя (порт соединения в системе получателя );
Порт – это программное понятие, которое используется клиентом или
сервером для посылки или приема сообщений; порт идентифицируется 16 – битовым числом.
Некоторые маршрутизаторы проверяют, с какого сетевого интерфейса пришел пакет, и затем используют эту информацию как
дополнительный критерий фильтрации.
Фильтрация может быть реализована различным образом для блокирования
соединений с определенными хост-компьютерами или портами.
Например, можно блокировать соединения, идущие от конкретных адресов
тех хост-компьютеров и сетей, которые считаются враждебными или ненадежными.
Добавление фильтрации по портам TCP и UDP к фильтрации по IP-адресам обеспечивает большую гибкость. Если межсетевой экран cпособен блокировать соединения TCP или UDP с определенными портами или от них, то можно реализовать политику безопасности, при которой некоторые виды соединений устанавливаются только с конкретными хост-компьютерами , что свою очередь воспрепятствует ,, просачиванию ‘’ конфедециальной информации все границы сети .
Например, внутренняя сеть может блокировать все входные соединения со всеми хост-компьютерами за исключением нескольких систем. Для этих систем могут быть разрешены только определенные сервисы (SMTP для одной системы и TELNET или FTP -для другой). При фильтрации по портам TCP и UDP эта политика может быть реализована фильтрующим маршрутизатором или хост-компьютером с возможностью фильтрации пакетов.
В качестве примера работы фильтрующего маршрутизатора приведу следующую ситуацию.
Допустим, что на предприятии существует политика безопасности, допускающей определенные соединения с внутренней сетью с адресом 123.4.*.* Соединения TELNET разрешаются только с одним хост-компьютером с адресом 123.4.5.6, который может быть прикладным TELNET-шлюзом, а SMTP-соединения - только с двумя хост-компьютерами с адресами 123.4.5.7 и 123.4.5.8, которые могут быть двумя шлюзами электронной почты. Обмен по NNTP (Network News Transfer Protocol) разрешается только от сервера новостей с адресом 129.6.48.254 и только с NNTP-сервером сети с адресом 123.4.5.9, а протокол NTP (сетевого времени)-для всех хост-компьютеров. Все другие серверы и пакеты блокируются.
Первое правило позволяет пропускать пакеты TCP из сети Internet от любого источника с номером порта большим, чем 1023, к получателю с адресом 123.4.5.6 в порт 23. Порт 23 связан с сервером TELNET, а все клиенты TELNET должны иметь непривилегированные порты с номерами не ниже 1024.
Второе и третье правила работают аналогично и разрешают передачу пакетов к получателям с адресами 123.4.5.7 и 123.4.5.8 в порт 25, используемый SMTP.
Четвертое правило позволяет пропускать пакеты к NNTP-серверу сети, но только от отправителя с адресом 129.6.48.254 к получателю с адресом 123.4.5.9 с портом назначения 119 (129.6.48.254 -единственный NNTP-сервер, от которого внутренняя сеть получает новости, поэтому доступ к сети для выполнения протокола NNTP ограничен только этой системой).

- Безопасность в кредитном учреждении
- Безопасность в локальных и глоб сетях
- Безопасность в общественном транспорте
- Безопасность в социальных сетях
- Безопасность в социальных сетях и персональная информация в интернете
- Безопасность в сфере гостиничного хозяйства
- Безопасность в сфере гостиничного хозяйства
- Безопасность в дорожно-транспортных ситуациях
- Безопасность в дорожно-транспортных ситуациях
- Безопасность ведения складирования горных пород
- Безопасность в железнодорожном транспорте
- Безопасность взрывных работ
- Безопасность в индустрии гостеприимства
- Безопасность в интернете