Информатика
Сырлыбаев Бауыржан, Файзрахманов Құдайберген, МЕТОДЫ ЗАЩИТЫ ИНФОРМАЦИИ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА

Мақала авторы: Сырлыбаев Бауыржан, Файзрахманов Құдайберген
Жұмыс орны: Еуразия Ұлттық Университеті
Лауазымы: Магистрант
Порталға жариялану мерзімі: 08.12.2017

МЕТОДЫ ЗАЩИТЫ ИНФОРМАЦИИ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА

В современном мире слово «информация» приобрело четкую связь с понятиями «прибыль», которую можно получить, располагая ею, и «ущерб», который может быть нанесен вследствие ее утечки. Одна из главных причин потери информации — несанкционированный доступ к данным и приложениям, получаемый абонентами, которые не прошли регистрацию и не имеют права на использование соответствующих информационных ресурсов.

К понятию несанкционированного доступа (НСД) относят атаки на корпоративную сеть извне (например, через электронную почту и интернет), доступ сотрудников к конфиденциальной информации, вероятность чтения или копирования посторонними данных, принадлежащих компании. НСД может выражаться в копировании, искажении и уничтожении данных, перехвате и блокирование информации, подмены процессов обработки данных и т. д.

Основными требованиями, предъявляемыми к безопасности информации в любой системе, являются:

1) доступность – возможность работы пользователя с устройством и предотвращение DoS-атак, т. е. необходимо предусмотреть защиту от возможностей организации несанкционированных воздействий на устройство, приводящих к его отказу в обслуживании легальных пользователей сети;

2) конфиденциальность – защита передаваемой информации от ее несанкционированного прочтения;

3) аутентичность – возможность для устройств сети определить источник принимаемой информации;

4) целостность – защита передаваемой информации от несанкционированного изменения;

5) неотрицаемость – необходимость исключить возможность отказа от переданной информации.

Предотвращение утечки информации, несанкционированного доступа является одной из важнейших задач отделов информационной безопасности любой организации.

Виды угроз

Существуют внешние и внутренние угрозы безопасности информационным системам. Под внешними угрозами безопасности понимаются угрозы со стороны внешней среды, такие как:

— атаки из сети Интернет, направленные на искажение, уничтожение, кражу информации или приводящие к отказу в обслуживании информационных систем;

— распространение вредоносного кода — вирусов, троянского программного обеспечения, шпионских программ, интернет-червей;

— нежелательные рассылки (спам). Защита от внешних угроз информационной безопасности

Многоуровневая защита от вредоносного кода и спама — комплекс мер, включающий

— внедрение следующих корпоративных систем:

— антивирусной защиты рабочих станций и серверов;

— контентной фильтрации трафика на наличие вредоносного программного обеспечения;

— защиты от спама.

Под внутренними угрозами информационной безопасности понимаются угрозы со стороны сотрудников компании как умышленные (мошенничество, кража, искажение или уничтожение конфиденциальной информации, промышленный шпионаж и т.п.), так и неумышленные (изменение или уничтожение информации из-за низкой квалификации сотрудников или невнимательности), а также сбои программных или аппаратных средств обработки и хранения информации.

 

Методы

Если в 70-х годах прошлого столетия для сохранения неприкосновенности данных применялись организационные меры, и это было эффективно, то на сегодняшний день существует целый комплекс разносторонних решений для средств защиты информации (СЗИ).

Во-первых, это комплекс инженерных средств, затрудняющих или исключающих физический доступ к объектам. Во-вторых, — механические, электрические, электронные и другие устройства, защищающие информацию. И наконец, это специальные программы, охраняющие информацию от НСД. Естественно, объект будет надежно защищен только при реализации системного подхода, то есть комплексного применения всех перечисленных средств наряду с организационными методами защиты информации.

Программные средства защиты применяются в центральных процессорах, устройствах группового управления вводом-выводом данных, а также в аппаратуре связи в тех случаях, когда в их составе есть процессоры. На сегодняшний день программы защиты от НСД можно разделить на несколько основных групп. Каждая из них блокирует определенные виды угроз, и в совокупности они позволяют добиться высокого уровня защиты информации от несанкционированного использования.

В число программных средств, обеспечивающих разграничение доступа к данным и управление им, входят аутентификация и авторизация доступа. К ним же относятся специальные программные продукты, позволяющие управлять учетными записями пользователей информационной системы.

Самые распространенные методы защиты информационных систем — парольный доступ (в том числе многоуровневый), использование электронных замков, ключей, перемычек и т. д. Как правило, данные средства защиты не представляют серьезного препятствия для злоумышленников, так как пароли и ключи можно легко узнать или подобрать. К более сложным и надежным средствам относятся проксимити-карты, доступ на основе сопоставления биометрических данных (отпечатка пальца, сетчатки глаза), а также программы повышения достоверности идентификации (аутентификации).

Для ограничения угрозы со стороны инсайдеров используются продукты класса Identity Lifecycle Management (управление жизненным циклом учетных записей). Благодаря им новому сотруднику, принимаемому на работу, предоставляется доступ лишь к необходимым информационным ресурсам. При увольнении сотрудника доступ к данным своевременно блокируется: все его учетные записи в информационных системах компании отключаются или удаляются. В целях защиты информационной системы от НСД администратор компании должен знать, какие шаги предпринимают пользователи в рамках работы в ИС предприятия: какие приложения запускают, какие файлы открывают (или пытаются открыть), получают и отправляют. Программы мониторинга событий безопасности регистрируют в специальных электронных журналах время входа в систему и выхода каждого пользователя, а также его действия, потенциально опасные для работы системы. В случае инцидента эти данные позволяют достаточно быстро определить его причину и правильно квалифицировать действия пользователей. Программы мониторинга полезны и для обнаружения вторжений извне, анализа уязвимых мест в системе защиты информационных систем. Возможность искажения или уничтожения информации — еще одна угроза при работе с данными. Если злоумышленнику удалось взломать защиту и удалить или модифицировать информацию, на помощь приходят программы автоматического резервирования и восстановления данных. Уровень надежности системы зависит от того, насколько критична потерянная информация. В зависимости от степени важности время между произошедшим сбоем и последним копированием данных может варьироваться от суток до 1 секунды. Шифрование данных используется в случаях, когда необходимо обеспечить конфиденциальность информации в процессе хранения, либо когда ее нужно передать по незащищенному каналу. Как правило, для кодирования применяются уникальные алгоритмы, по принципу «черного ящика», когда неизвестно, по какому алгоритму записывается информация в систему хранения и как она декодируется в случае обращения к ней. Типичный пример ситуации, требующей шифрования данных — это удаленная работа пользователей с информационной системой. Чтобы сотрудник в любой точке сети мог безопасно получать информацию, необходимую для работы, необходимо предавать ее исключительно по защищенным каналам. Таким образом, даже если хакеру удастся перехватить данные, он не сможет их прочитать. Криптографические алгоритмы бывают двух видов: симметричные (для шифрования и дешифрования используется один и тот же ключ) и несимметричные (для шифрования используется закрытый ключ, а для расшифровывания — открытый, специальным образом полученный из закрытого ключа). Принцип несимметричных алгоритмов шифрования применяется для создания электронно-цифровой подписи, которая позволяет идентифицировать человека, подписавшего электронный документ, и подтвердить содержание подписываемого документа и времени его подписания. Разумеется, подлинность электронно-цифровой подписи можно проверить с помощью специальных программ.

SIEM-системы (Система Сбора и Корреляции Событий) отслеживают подозрительные активности как внутри контура, так и извне.

Изначально такие системы были не способны что-либо предотвращать или защищать. SIEM-системы второго поколения позволяют выявить подозрительные активности и отреагировать на них, например, заблокировать учетную запись при попытке подбора паролей. Задача состоит в анализе информации, поступающей от различных систем, таких как антивирусы, DLP-системы, IDS-системы, маршрутизаторы, межсетевые экраны, операционные системы серверов и пользовательских ПК, и при этом детектировать отклонение от норм по каким-либо критериям. Если такое отклонение выявлено — система генерирует инцидент. Стоит отметить, что в основе работы SIEM лежат, в основном, статистические и математические технологии. Таким образом, они регистрируют попытки сканирования портов, подбора паролей и прочее, и предоставляют информацию в виде отчета.

Для выполнения своей задачи современные SIEM-системы используют следующие источники информации:

– Access Control, Authentication. Применяются для мониторинга контроля доступа к информационным системам и использования привилегий;

– DLP-системы. Сведения о попытках инсайдерских утечек, нарушении прав доступа;

– IDS/IPS-системы. Несут данные о сетевых атаках, изменениях конфигурации и доступа к устройствам;

– антивирусные приложения.

Также рассмотрим технологию Системы Обнаружения Несанкционированных Подключений (СОНП), которая основывается на анализе SNMP сообщений об изменении статуса порта, получаемых от сетевых коммутаторов, и определение неавторизованных подключений на основе отсутствия MAC адреса устройства в базе данных авторизованных хостов сети.

SNMP сообщение, содержащее IP адрес коммутатора и номер вновь включившегося порта, посылается сетевым коммутатором на центральный сервер мониторинга при изменении статуса любого порта с «Выключен» на «Включен». Отправку таких сообщений поддерживают даже самые простые модели сетевых коммутаторов, поэтому реализовать инфраструктуру мониторинга всех портов локальной сети достаточно просто.

В качестве серверной части, обеспечивающей сбор SNMP сообщений, может выступать существующий в компании сервер сетевого мониторинга (HP OpenView, IBM Tivoli, Microsoft MOM, и т.п.).

Далее сообщение поступает на обработку, где производится определение (discovery) основных идентификационных параметров подключения.

Первым делом необходимо определить всю возможную информацию о новом соединении. В качестве источников информации о соединении могут быть сами сетевые коммутаторы, база данных СКС компании, а также база данных разрешенных соединений, в которой сохраняются все когда-либо обнаруженные подключения.

Анализ соединения позволяет определить важную информацию о сетевых свойствах (MAC адрес, IP адрес, VLAN, номер порта сетевого коммутатора, сетевое имя), и месторасположение подключенного компьютера.

После этого, с помощью базы данных соединений, хранящей информацию о соединениях и их статусе «Разрешено/Запрещено», производится проверка соединения на легитимность. Если обрабатываемое соединение зарегистрировано в базе, как разрешенное, то на этом его обработка завершается. Т.е. система просто игнорирует произошедшее события, расценивая его, как нормальную активность.

Если же соединение опознано как Запрещенное или неопознанное (новое) на консоль Администратора безопасности высылается Тревожное сообщение, а в БД Соединений заносится информация о факте нового или запрещенного соединения.

 

Заключение

 

Информационная безопасность – одна из перспективных и быстроразвивающихся сфер IT. Ситуация в IT-отрасли как никогда интересует мировое сообщество, многочисленные взломы и киберудары по крупным структурам вызывают тревогу. Обостренный интерес к данной области подтверждают регулярно проводимые международные и внутригосударственные конференции и съезды по теме защиты информации.

Циклическим кодам и кодам Рида-Соломона могут иметь самостоятельное практическое применение в плане разработанных схем и алгоритмов; с другой стороны — предложенная модель каскадной кодирующей системы дает возможность значительно снизить сложность кодирования-декодирования, а, следовательно, и стоимость реализации системы обработки информации. Многие теоретические формулировки и выкладки обоснованы и подтверждены многочисленными примерами и моделированием, позволяющими также судить об их практической ценности.

Информатика
Сырлыбаев Бауыржан, Файзрахманов Құдайберген, Безопасность SIP телефонии

Мақала авторы: Сырлыбаев Бауыржан, Файзрахманов Құдайберген
Жұмыс орны: Еуразия Ұлттық Университеті
Лауазымы: Магистрант
Порталға жариялану мерзімі: 04.12.2017

Безопасность SIP телефонии

Услуги передачи голоса через сети передачи данных (Voice over Internet Protocol, VoIP) год за годом становятся все более востребованными [1]. В связи с тем, что для передачи голосовой информации зачастую используются общедоступные каналы передачи данных (например, публичная сеть Интернет), возрастает актуальность анализа защищенности протоколов, используемых в работе VoIP.

Протоколы сигнализации в современных сетях связи эволюционировали наряду с технологиями построения этих сетей. Первый стандартизированный протокол сигнализации в сетях VoIP — Н.323, заимствовал основные свои элементы у протоколов сигнализации традиционных телефонных сетей связи. Однако в скором времени благодаря широкой поддержке производителей протокол инициации сеансов SIP (Session Initiation Protocol), описанный в рекомендации RFC 3261 [2], был принят ведущими стандартизирующими организациями и на сегодняшний день является основным протоколом сигнализации VoIP.

Сообщения протокола SIP, представляют собой последовательности текстовых строк в кодировке UTF-8. С помощью запросов клиент сообщает о текущем местоположении, приглашает пользователей принять участие в сеансах связи, модифицирует уже установленные сеансы, завершает их и т.д. Ответы на запросы сообщают о результате обработки запроса либо передают запрошенную информацию. Структуру ответов и их виды протокол SIP унаследовал от протокола HTTP. В [4] приводятся сведения о принципах организации и функционирования протокола SIP.

Для сети VoIP требуется большее число компонентов и программ, чем для традиционной сети с коммутацией каналов. К этим компонентам относятся серверы IP-телефонии, серверы поддержки, медиашлюзы, коммутаторы, маршрутизаторы, межсетевые экраны, кабельные системы, программные и IP- телефоны. Чем больше компонентов, тем выше уязвимость.

Протокол SIP достаточно сложен, поэтому его реализация зачастую имеет много изъянов, приводящих к уязвимости VoIP-системы. Дефектами реализации стека становятся программные ошибки, например, при проверке размера запроса протокола, приводящие к тому, что злоумышленник может предпринять следующие атаки [5]:

Отказ в обслуживании (Denial of Service). Атаки типа «отказ в обслуживании» могут принимать различные формы и могут быть запущены с использованием различных методов. Самым простым примером подобной атаки является наводнение сети огромным количеством трафика определенного типа. Например, с помощью генератора злоумышленник может посылать миллионы сообщений INVITE в сеть, тем самым наводняя ее множеством запросов на установление сеанса связи. Что приводит к тому, что сеть не в состоянии пропускать такое количество трафика и перестает обслуживать запросы пользователей. Описанный вид атак встречается наиболее часто, они имели место даже в телефонных сетях общего пользования (ТфОП). Использование протоколов SIP и IP обеспечивает злоумышленникам более легкий доступ к сети, и делает атаки более частым явлением.

Разрушение сессии (Tearing Down Sessions). Разрушение сессии является проблемой, но не настолько масштабной и критичной, как атаки типа «отказ в обслуживании». Злоумышленники могут перехватывать запросы от различных абонентов и запросто отправлять сообщение BYE в ответ (как если бы он пришел от прокси-сервера или другого сетевого элемента). Это позволило бы завершить сессию досрочно и ограничить доступ к услугам.

Фальсификация тела сообщения (Tampering with Message Bodies). Так как SIP-сообщения передаются в текстовом формате, злоумышленнику абсолютно не обязательно иметь декодер для манипуляции с сообщениями. Захват сообщения является достаточно хорошим средством, чтобы вмешаться в работу сети, и это легко сделать, если есть возможность использовать одну из множества утилит для перехвата данных и подключения к той же сети. Как только злоумышленник захватил сообщение, тело сообщения и его заголовок в протоколе SIP могут быть изменены и использованы злоумышленником в  своих целях. Например, злоумышленник может захватить INVITE, передающийся от абонента, и изменить его заголовок, а именно адрес источника, заменив его своим собственным адресом. Это позволит злоумышленнику подключаться к сети, к которой он не имеет прав доступа, что позволит ему инициировать сессию с другими абонентами, выдавая себя кем-то другим.

Перехват регистрации (Registration Hijacking). SIP-сообщения передаются в сети открытым текстом и любой человек, имеющий компьютер, подключенный к сети, и некоторые знания в области IT, может перехватывать сообщения без особого труда. Это отличает SIP от бит-ориентированных протоколов, которые передают фреймы, которые позднее группируются и декодируются в сообщения. При захвате SIP-сообщений злоумышленник может добыть информацию о пользователе, которая в дальнейшем может быть использована для авторизации и аутентификации злоумышленника в сети и пользования ее сервисами. Попытка регистрации злоумышленника будет выглядеть так: абонент изменил свое местоположение и шлет новый запрос регистрации (сообщение REGISTER). После удачной регистрации злоумышленника (использующего данные реального пользователя) все данные, которые были предназначены абонентскому устройству пользователя, будут направляться к злоумышленнику. И даже после того, как легитимный пользователь сменит местоположение и пройдет регистрацию заново, у злоумышленника достаточно информации для подключения к сети в любое время и в любом месте.

Частично от вышеописанных атак можно защититься при использовании протокола Secured SIP (SSIP, SIP/TLS), работающего по аналогии с протоколом HTTPS, когда между корреспондентом и сервером организовывается SSL- туннель с использованием сертификатов и открытого ключа, однако не все провайдеры VoIP используют такой тип подключения.

 

 

Литература:

  1. Блейк, Д. Время инвестировать в VoIP? // Мобильные системы. N6. c. 29-30
  2. RFC 3261. J. Rosenberg, H. Schulzrinn, G. Camarillo, A. Johnston, J. Peterson, R. Sparks, M. Handley, E. Schooler. SIP: Session Initiation Protocol. – IETF, June 2002.
  3. RFC 3550. D. Schulzrinne, S. Casner, R. Frederick, V.Jacobson. RTP: A Transport Protocol for Real-Time Applications. – IETF, July 2003.
  4. Гольдштейн Б.С., Зарубин А.А., Саморезов В.В. Протокол SIP. Справочник. – СПб: БХВ-Петербург, 2005.
  5. Бирюков А.А. Информационная безопасность: защита и нападение. – М.: ДМК Пресс, 2012.