Державний Університет Систем Управління та Радіоелектроніки
Кафедра РТС
Реферат з дисципліни
"Основи інформаційної безпеки" на тему:
Захист телефонних мереж від зловмисників. Боротьба з телефонним піратством.
Виконав
. ___________
Прийняв
Доц. каф. РТС
. __________
Зміст.
Введення
Відшукання лазівок
Найвразливіше місце
Хто там?
Попрошу документи
Кодування сигналу
Секретні переговори
Чорний хід треба замикати
Захист телефонних ліній від нелегального використання
Введення
Отримати віддалений доступ до обчислювальної мережі дуже просто - достатньо підключити до телефонної лінії кілька модемів. Нижче описані способи захисту обчислювальної системи від несанкціонованого доступу по телефонних лініях.
Підключитися до віддаленої обчислювальної мережі по телефонній лінії нітрохи не складніше, ніж зняти трубку з телефонного апарату. Про це варто задуматися - чи так вже добре, коли доступ до корпоративної обчислювальної мережі (і до всього, що в ній міститься) здійснюється настільки легко? Судячи з того, яку кількість інформації зберігається зараз в комерційних компаніях в цифровому вигляді, - ніхто, звичайно, не може назвати точної цифри, але зрозуміло, що мова тут йде про колосальні обсягах даних, - обчислювальні мережі, а також входять до їх складу сервери файлів і додатків стали основною інфраструктурою, що забезпечує нормальну роботу організацій.
Ті, чиїм справою стало пхати носа в справи інших, легко можуть скористатися телефонними лініями для входу в мережу, отримавши, таким чином, доступ до вищезгаданої інфраструктурі.
Не помилимося, якщо скажемо, що система віддаленого доступу не може вважатися хорошою, якщо при її розробці не була передбачений захист даних. Комусь, можливо, дане твердження не здасться особливо глибоким, проте не слід забувати, що в області захисту даних зневага навіть самими простими речами може згодом обернутися серйозними проблемами.
відшукання Лазівок
Доступ по телефонній лінії до корпоративної мережі (dial-in access) необхідний чотирма основними категоріями користувачів: мобільним користувачам, надомним працівникам, співробітникам віддалених філій, а також користувачам, у яких час від часу виникає необхідність звернутися до корпоративної мережі з власного будинку.
На Рис. 1 представлені типові конфігурації доступу до обчислювальної мережі по телефонних лініях. Дистанційні користувачі набирають телефонний номер за допомогою модему. Якщо користувач підключений до локальної мережі (що цілком можливо, коли мова йде про віддалений офісі), то для з'єднання можна використовувати комунікаційний сервер. В іншому випадку абонент використовує загальнодоступну телефонну мережу для з'єднання або з модемом на робочій станції в офісі компанії, або з пристроєм віддаленого доступу в локальній мережі.
Малюнок 1.
Типова конфігурація системи віддаленого доступу, до складу якої входять мобільні користувачі, віддалені робочі місця та офіси. Всі користувачі використовують міську телефонну мережу для зв'язку з сервером віддаленого доступу в локальній мережі. Деякі користувачі можуть також безпосередньо зв'язуватися з модемами, підключеними до робочих станцій локальної мережі.
Можливості віддалених користувачів істотно обмежені низькою швидкістю інформаційного обміну через модеми (Як правило, 14,4 Кбіт/с або 28,8 Кбіт/с), тому найчастіше їх робота зводиться до найпростіших функцій віддаленого вузла, дистанційного керування та використанню спеціалізованих додатків.
Будь-який додаток віддаленого доступу несе в собі потенційну загрозу для корпоративної мережі. Програмне забезпечення віддаленого вузла дозволяє зловмисникові копіювати на свій комп'ютер конфіденційну інформацію, поширювати по мережі дані і віруси, а також псувати файли і мережеві ресурси. За допомогою програмного забезпечення дистанційного керування зловмисник може переглядати інформацію та знищувати або модифікувати файли.
Спеціалізовані програми для доступу до мережі зазвичай використовують власні шлюзи, що дозволяє створити альтернативне вікно доступу, крім сервера віддаленого доступу або комунікаційного сервера.
САМОЕ Вразливим місцем
Кожної, хто задасться метою дестабілізувати роботу інформаційної системи, повинен, перш за все, отримати доступ до неї. Завдання це не особливо складна, якщо лінії телефонного зв'язку для входу в систему не забезпечені спеціальним захистом. Нижче ми сформулюємо чотири основних проблеми захисту інформації в системах віддаленого доступу.
Перша проблема - ідентифікація користувача. Як встановити, що особа, що намагається здійснити віддалений доступ до системи, є законним користувачем? Будь-хто, у кого є модем, може набрати номер точки входу в систему і запросити доступ до даних. Оскільки побачити віддаленого користувача не можна, слід подбати про те, щоб у системі були засоби верифікації того, що абонент на лінії дійсно є тим, за кого себе видає.
При простих способи ідентифікації користувачеві спочатку пропонується назвати себе, а потім ввести пароль. Вважається, що цього цілком достатньо для ідентифікації користувача. Трохи пізніше ми дізнаємося, чому цей спосіб не забезпечує належного захисту. Більше досконалий засіб - роздати віддаленим користувачам персональні пристрої ідентифікації або, інакше, апаратні ключі (token).
Наступна проблема - конфіденційність обміну повідомленнями. По телефонній лінії, використовуваної для входу в систему, дані передаються відкритим текстом, а значить, зловмисник, підключився до цієї лінії, може дізнатися і ім'я користувача, та пароль. Щоб уникнути подібного "пасажу", адміністратору мережі необхідно подбати про кодування переданих даних.
Третя проблема - управління доступом до мережі. Пости слід виставити на всіх дорогах, що ведуть в інформаційну систему. Перш ніж користувач отримає доступ до системи, необхідно встановити напевно його особистість. Тому хороша система управління доступом повинна являти собою пристрій, що підключається до телефонної лінії перед комунікаційним пристроєм.
Четверта задача - виявлення несанкціонованого доступу. Якщо зловмисникові все ж таки вдасться проникнути в мережу, то адміністратор мережі повинен вміти визначити, як був здійснений доступ, в якому приблизно місці це сталося і якої шкоди понесе компанія від несанкціонованого входу.
Сучасні системи віддаленого доступу мають деякі вбудовані засоби захисту даних. Наприклад, в мережевих операційних системах застосовується ідентифікація користувача з використанням імені та пароля. Крім того, деякі пристрої віддаленого доступу підтримують роботу зі списками користувачів, де перераховуються не тільки імена і паролі, але і права користувачів на доступ до центральних ресурсів. В Нині на ринку з'явився ряд пристроїв віддаленого доступу, рекламованих в першу чергу як надійні засоби забезпечення захисту даних. Це безперечне свідчення того, що і виробники, і споживачі усвідомили важливість даної функції.
Тим не менш, слід зазначити, що система захисту даних виявляється надійною лише тоді, коли вона забезпечує рішення всіх чотирьох перерахованих вище проблем. Крім того, використання системи захисту не повинно створювати користувачеві особливих проблем. Якщо користувачі вважатимуть, що система захисту даних заподіює їм незручності, вони, цілком імовірно, знайдуть способи обійти цю систему. Зокрема, користувач може не виходити з системи, відлучаючись зі свого робочого місця, - тим самим при відновленні роботи йому вдасться уникнути повторення ритуалу входу в систему.
Ті ж самі міркування стосуються і адміністратора мережі. Якщо система важка в установці і експлу...
