Шабуыл күші
10
11
12
Аннотация
13
В данном дипломном проекте рассматривается вход в систему
корпоративной сети АО Қазақтелеком с применением оборудование Cisco
Systems. Цель данного проекта - провести обзор угрозбезопасности
корпоративной сети, анализировать систему безопасности корпоративной
сети, обосновать выбор системы обнаружения атак - модуль межсетевого
экрана для Cisco Catalyst 6500 Series, обосновать выбор системы
позволяющую обеспечить эффективную маршрутизцию, защиту трафика
данных, голоса, видео - модуль Cisco NME-RVPN для маршрутизаторов
семейств Cisco 2800 Seriesи 3800 SeriesIntegratedServicesRouters.
Аңдатпа
Бұл дипломдық жобада Қазақтелеком акционерлік қоғамы үшін
Cisco Systems құрылғысын қолданып корпоративтік желіге басып кіру
жүйесіне құру қарастырылады.Жобаның басты мақсаты - Қазақтелеком
акционерлік қоғамы корпоративті желіде жүретін ақпарат алмасуға сырттан
рұқсатсыз қолжеткізуді, нақтырақ айтсақ желіге жасалатын шабуылдардың
алдын алу. Желіаралық бейне беттің модульі Cisco Catalyst 6500 Series
шабуылды анықтау жүйесін таңдауын түсіндіру,әсерлі бағыттаушымен
қамтамасыз етудің, мәліметтер трафигінің қорғанысын, дауыстың, бейнебаян
- модуль Cisco NME-RVPN, бағыттаушылар Cisco 2800 Series және 3800
Series Integrated Services Routers жүйесін таңдауын түсіндіру.
Annotation
In this diploma project the included in the system of corporate network of
propulsion MODULE of "Қазақтелеком" is examined with application equipment
of Cisco Systems. Aim of this project - to conduct the review of threats of safety to
the corporate network, analyse the system of safety of corporate network, ground
the choice of the system of finding out attacks is the module between a network
screen for Cisco Catalyst 6500 Series, to ground the choice of the system allowing
to provide effective маршрутизцию, defence of traffic of data, voice, video is the
module of Cisco NME - RVPN for the routers of families of Cisco 2800 Series and
3800 SeriesIntegratedServicesRouters.
Мазмұны
Кіріспе
14
1.Корпоративтік желілердің қауіпсіздігінен төнген қаупі.
1.1Басып кіру ұғымы
1.1.1Шабуыл үлгілері
1.1.2 Шабуылдарды іске асыру кезеңдері.
1.1.3 Шабуылдар нәтижесі.
1.2Корпоративтік тордың ерекшеліктері
1.3 Корпоративтік тордың мәліметтік қауіпсіздігін қамтамасыз ету
мақсаттары мен тапсырмалары
2 Корпоративтік тордың қауіпсіздік жүйесі.
2.1 Корпоративтік тордың жалпы құрылымы.
2.2 Мәліметтік қауіпсіздікке қауіптер
2.2.1 Қауіптер көздері
2.2.2 Қауіптер моделі
2.3 Басып алушылықтарды бақылау жүйесінің құрылымы
2.3.1 Шабуылдарды анықтау технологисы
2.3.2 Шабуылдарды анықтау әдістері
2.3.3 Кәсіби жүйелер
2.3.4 Шабуылдарды анықтау
3 Басып алуларды бақылау жүйелерін іске асыру
3.1 Техникалық шешімді таңдау
3.2 CiscoCatalyst 6500 Series үшін тор аралық экранының сервистік
модулін таңдауды негіздеу
3.2.1 Cisco Catalyst 6500 Series үшін FWSM модулінің
артықшылықтары
3.3 Cisco 2800 Series және 3800 SeriesIntegratedServicesRouters
мршрутизаторлар жанұясы үшін сервистік модуль CiscoNME-RVPN-ны
таңдауды негіздеу.
3.3.1 NME-RVPN модуль артықшылықтары
3.4 NME-RVPN модульдың архитектурасы
3.5 Өнімнің техникалық сипаттамасы
3.6 Функциялық мүмкіндіктері
3.7 Сертификаттау мен мемлекеттік реттеу
3.8 Жүйелік талаптар
3.9 Қауіпсіздік политикасы
3.9.1.Қорғаныс стратегиясын таңдау
3.9.2 Торлық сенсорлардың қауіпсіздік политикасын орнату.
3.10 Тордың пайдалы өтімділік қабілетін есептеу
4 Тіршілік қауіпсіздігі
4.1 Еңбек жағдайын талдау
4.2Кондиционерлеу және ауаны жаңарту жүйелерін есептеу
4.2.1 Температура айырымы нәтижесінде алынатын жылу және
15
жылу жоғалту
4.2.2Шынылау арқылы күннің сәулеленуінен келетін жылу
4.2.3 Адамдардан келетін жылу
4.2.4
Жарықтану аспаптарынан, оргтехникадан
және
құрылғылардан келетін жылу
4.2.5Ауа алмасуды есептеу
Кіріспе
16
Ақпараттық жүйелер қорғалған болуы тиіс. Бұл тезиспен ешкім
бақталаспайды. Ақпараттық жүйелердің қауіпсіздігін екі әдіспен қамтамасыз
етуге болады. Бірінші әдіс - толық қауіпсіздік жүйесін құру арқылы, рұқсат
етілемеген барлық әрекеттердің алдын-алу. Алайда мұндай әдісті тәжірибе
жүзінде жүзеге асыру мүмкін емес, оған келесідей себептер қатары бар:
- Қатесіз бағдарлама әлі де арман болып келеді. Өкінішке орай
өндірушілер мұндай бағдарламаны ойлап табуға құштарсыз. Олар өздерінің
өнімдерін неғұрлым жылдам шығарып, және сол арқылы ірі көлемде пайда
табуға тырысады. Бағдарламалық жасақтамадағы қателіктердің кесірінен,
толық қорғарғал жүйені шасап шығару мүмкін емес болып тұр. Ең қызығы
әртүрлі қателіктердің кесірінен қорғау құрылғылары да зардап шегуде;
- Тіпті ең жоғарғы қорғалған жүйенің өзі, жоғарғы білікті
қолданушының алдында осал. Мүмкіндігі жоғары қолданушылар қорғау
саясатының талаптарын бұзуға қауқарлы. Бұл өз кезегінде, қорғаныс
деңгейінің төмендеуіне әкеп соғады;
- Жүйенің қорғанысын неғұрлым жоғарылатқан сайын, соғұрлым
онымен жұмыс істеу
ыңғайсыз.
Осы саладағы ең беделді ақпарат көзі - Сан-Францискодағы ФБР
бөлімшесінің компьютерлік жанжалдардың статистикалық мәліметтерін
қолданамыз.
- 90 %
респонденттер (ірі корпорациялар және мемлекеттік
мекемелер) өз ақпарат қорларына сан түрлі шабуыл жасағанын тіркеген.
- 80 % респонденттер осындай шабуылдар себебінен көптеген қаржы
жұмсады, бірақ соның ішінде тек 44 % -ы ғана сол жұмсалған қаржыларды
есептей алды.
Соңғы жылдары қорғаныс саясатының бұзылуы салдарынан шығын
көлемі өсті. Оған мысал: 2002 жылы - зардап сомасы 266 млн. АҚШ
долларына тең келді, 2005 жылы - 365 млн. АҚШ доллары жұмсалса, ал 2007
жылы бұл зардап көрсеткіші 460 млн. АҚШ долларына жетті.
Шабуыл жиілігі және саны үнемі жоғары болған сайын, шабуылдың
бастапқы кезеңін анықтап, жекешелендіру өте маңызды болып отыр. Және
оған дер кезінде әрекет ету керек. Шиеленіскен жағдайда шабуылға араласу
адамның әрекет етуінен де өте жоғары жылдамдықта болуы тиіс.
Ақпараттық жүйеге шабуыл жасаушылар, шабуыл жасаудың
автоматтандырылған түрін қолданатын болғандықтан, шабуылды анықтау
үрдісін автоматтандыруға себеп болды. Бір жарияланған мысалда, 8 сағаттың
ішінде, 500 жерден, 2000-ға жуық Ғаламтор серверіне кіру әрекетін жүзеге
асыру дерегі тіркелген (ол дегеніміз, 1 минут ішінде 4 шабуыл жасау деген
сөз). Бұл жағдайда, шабуылды анықтаудың автоматтандырылған жүйесі
шабуыл көзін іздеп табуға көмектесті. Бұл жүйе болмаса, шабуыл
жасаушының әрекетін, шабуылдың өзін анықтау тапсырмасы мүмкін болмас
еді.
Сол себепті, егер біз толық қорғаныс жүйесін құра алмасақ онда екінші
тәсіл ретінде - ең болмаса, қауіпсіздік саясатын бұзудың барлығын анықтап,
17
оған лайықты түрде әрекет ету керек. Қарастырылып жатқан жұмыстағы дәл
осы әрекет шабуылды анықтау жүйесін құруға мүмкіндік берді.
Шабуылды анықтау жүйесі, компьютерлік жүйеге шабуылға
дайындалуға және оған қарсы тұруға көмектеседі. Олар желілер мен
ақпараттық жүйелердің толық нүктелер қатарының ішінен ақпараттар жинап
және осы ақпараттағы қорғаныс мәселесінің бар-жоғын талдайды. Қорғаныс
әлсіздігін анықтау мақсатында, әлсіздікті іздеу жүйесі желілер мен жүйелерді
тексеріп, баптау қателіктері мен жүйелік мәселелерінің бар-жоқтығын
анықтайды. Әлсіздікті талдау технологиясы да, шабуылды анықтау
технологиясы ретінде мекелерлерге жүйелік қорғаныс мәселелерімен
байланысты өз ақпараттық қорларын жоғалтудан сақтауға мүмкіндік береді.
Желіаралық экранның сервистік модульі Cisco Catalyst 6500 Series және
модуль Cisco NME-RVPN, ал бағыттаушыларға Cisco 2800 Series және 3800
Series Integrated Services Routers - ті таңдау арқылы, біз - желіаралық
экранVPN бағыттаушы, желінің қорғанысының жоғары деңгейін қамтамасыз
ететін, өндіргіш және сенімді құрылғыларды аламыз. Бұл құрылғылар өз
кезегінде мекемелерге желілердің қауіпсіздігін қамтамасыз етіп, сондай-ақ
рұқсат етілмеген әрекеттерден қорғауға, байланыс арналары арқылы
ауырлықты бөліп, әкімшіліктендіруді оңтайландыруға көмектеседі.
Осы дипломдық жобада корпоративтік желіге басып кірудің бақылау
жүйесін үйлестіру сұрақтарын қарастыру қажет.
Көбінесе, келесідей жұмыстарды жүргізу керек:
- корпоративтік желілердің қауіпсіздік қаупін анықтау жұмыстарын
жүргізу;
-
корпоративтік желілердің қауіпсіздік жүйесін талдау;
- желіаралық бейне беттің модульі Cisco Catalyst 6500 Series
шабуылды анықтау жүйесін таңдауын түсіндіру;
- әсерлі бағыттаушымен қамтамасыз етудің, мәліметтер трафигінің
қорғанысын, дауыстың, бейнебаян
-
модуль Cisco NME-RVPN,
бағыттаушылар Cisco 2800 Series және 3800 Series Integrated Services Routers
жүйесін таңдауын түсіндіру;
- қажетті құралдарды орналастыруды жоспарлау.
1 Корпоративтік желілердің қауіпсіздігінен төнген қаупі
18
1.1 Басып кіру ұғымы
Желілік қорғаныс (Network Security) - бұл компьютерлік жүйелер мен
желілердің мінездемесі ретінде орнататын, қарастырылған жүйелер және
олардың элементтерінің сенімді жұмыс істеуін, тұтастығын, өз иесінің және
пайдаланушылардың ақпараттарын сақталуын қамтамасыз етеді.
Қорғаныс мақсаттарына келесілер кіреді:
- құпиялылық (тек тіркелген пайдаланушылар ғана оқи алатынын
немесе файлды не нысанды көшіре алатынын кепілдендіреді);
- басқару (тек тіркелген пайдаланушылар ғана ақпаратқа қол жеткізу
туралы шешім қабылдай алады);
- тұтастығы (тек тіркелген пайдаланушылар ғана файл не нысанды
өзгерте немесе өшіре алады);
- сенімділік (нысанды сипаттаудың немесе бөлшектеріне дәреже
берудің дұрыстығы);
- кіру мүмкіндігі (тіркелмеген пайдаланушы тіркелген
пайдаланушыларға файлдар немесе басқа да жүйе көздеріне енуге уақытша
кіру мүмкіндігін шектей алмайды);
- айдалылығы (нақты мақсатқа қол жеткізудің жарамдылылығы).
Шабуылды анықтау жүйесі - жүйелік және желілік қорлардың тұтас
қатарын пайдалану ақпараттарын жинап, содан кейін ақпаратқа басып
кірулердің (мекеменің сыртынан келетін шабуылдар) және зиян келтіре
пайдаланулардың (мекеменің ішінен келетін шабуылдар) бар-жоқтығына
талдау жасайды.
Қауіпсіздік саясаты - өзінің қорғаныс жүйесінің қатынасында
мекеменің алатын орны. Ол мекеменің өте маңызды қорларына қайсысы
кіретінін анықтап және олардың қандай деңгейде қорғалуы керек екендігін
орнатады.
Қауіпсіздік оқиғасы - желі торабының қызмет ету кезінде тораптардың
жағдайын өзгертетін әртүрлі оқиғалар (events) орын алады. Бұл оқиғалар
қауіпсіздік қызметі тарапынан - қызмет (action) және адресат (target) сияқты
екі құрамдастың көмгімен ұсынылуы мүмкін.
Қызмет - бұл қадамдар, қандайда бір нәтижеге жету үшін жүйенің
субъектісі қолданатын әдіс (пайдаланушымен, үрдіспен және т.с.с.)
Адресат - бұл жүйенің логикалық (есеп жүргізу, барысы немесе
көрсеткіші) немесе физикалық (желі торабы, желі, құрасдас бөлік) объектісі.
Ақпараттық жүйенің әлсіздігі (vulnerability) - бұл ақпараттық жүйенің
кез-келген мінездемесі болып табылады, және осындай жағдайлар
бұзушының қолдануы қауіптің жүзеге асуына әкеп соғады.
Ақпараттық жүйенің қаупі (threat) деп - жүйелік қорларға зардап
(материалды, моральді немесе басқадай) келтіруі мүмкін, болуы мүмкін
жағдайлар, іс-әрекеттер, оқиғалар немесе құбылыстарды айтамыз.
Әлсіздіктер келесідей болып жіктеледі:
19
А) жобалау әлсіздігі - бұл өте маңызды әлсіздік түрі болып табылады,
себебі оның салдарын жою қиындыққа әкеп соғады;
Б) жүзеге асыру әлсіздігі - алгаритимнің немесе жобаның қауіпсіздігі
тарапынан, бағдарламалық немесе аппараттық қамтамасыз етуді жүзеге
асыру сатысында байқалады;
В) кескін әлсіздігі - бағдарламалық немесе аппараттық қамтамасыз
етудегі кескін қателіктері;
Ақпараттық жүйеге шабуыл (attack) дегеніміз - осы ақпараттық
жүйенің әлсіздігін пайдалану арқылы қауіпті жүзеге асыруына әкеп соғатын
іс-әрекет немесе бұзушының өзара байланысты іс-әрекетінің жалғасы.
Шабуылдың, қауіпсіздік оқиғасынан айырмашылығы - шабуыл
жасалған жағдайда, бұзушы қандай да бір нәтижеге жетуге тырысады. Бұл
қауіпсіздік саясатына қайшы келетін іс-әрекет.
Сигнатуралар - бұл белгілі шабуылдар немесе жүйелердегі зиян
келтіре пайдаланулардың салыстырмалы үлгісі. Олар оңай (белгіленген
шарттар немесе әмірлерді іздеуге лайықты белгілер қатары) немесе қиын
(заңды математикалық тұрғыда жазылған, іс-әрекет және тіркеу журналы
жолағы жинағының ізінше, қорғаныс жағдайын өзгерту).
Мекеменің желісіне ену - сәтті жасалған (яғни жүзеге асырылған)
шабуыл.
Intrusion Detection System (IDS) - шабуылды анықтау жүйесі.
1.1.1 Шабуыл үлгілері
Дәстүрлі шабуыл үлгісі
Дәстүрлі шабуыл үлгісі біреуі-біреуіне (1.1 сурет) немесе біреуі-
көбіне (1.2 сурет) деген қағида бойынша құрылады, яғни шабуыл бір
нүктеден келеді. Көптеген жағдайда шабуыл көзін жасыру немесе оның
табылуын қиындату мақсатында айырма әдісі қолданылады. Зиянкелтіруші
өзінің шабуылдарын тікелей таңдалған мақсатқа емес, тораптар тізбегі
арқылы жүзеге асырады.
1.1 Сурет - біреуі-біреуіне қатынасы
20
1.2 Сурет - біреуі-көбіне қатынасы
Дәстүрлі қорғаныс құралдарын ойнап табушылар дәл осы шабуылдың
классикалық үлгісіне сүйенеді. Әр түрлі желі нүктелерінде консоль
басқармасы орталығына ақпаратты ұсынатын сан түрлі қорғаныс жүйесінің
агенттері орнатылады. Бұл жүйенің кең ауқымдатуын, қашықтандырылған
басқарманың оңайлылығын және т.б. жұмысын жеңілдетеді.
Бөлшектенген шабуыл үлгісі.
Бұл шабуылдар - бір немесе бірнеше зиянкелтірушіге, бір немесе
бірнеше тораптарға бір мезетте орындалатын жүздеген және мыңдаған
шабуылдарды өткізуге мүмкіндік береді.
Бөлшектенген немесе үйлестірілген шабуылдар (coordinated attack)
үлгісі көптің біреуге (1.3 сурет) және көптің көпке(1.4 сурет) деген
қатынас қағидаларына сүйенеді. Барлық бөлшектенген шабуылдар
(Distributed DoS, DDoS) классикалық шабуылдың қызмет көрсетуде бас
тарту типіне негізделген, дәлірек айтқанда Flood немесе Storm - шабуылдар
деген атаулармен белгілі жиынтығына негізделген. Дәл осы шабуылдардың
мағынасы үлкен көлемде тапсырылған тораптар жүйесінде (шабуыл мақсаты)
құрылады, тіпті мұндай әрекет тораптардың құрылымының бір жола
жойылуына әкелуі мүмкін, себебі тіркелген пайдаланушылардың сұранысын
өңдей алмайды.
21
1.3 - Сурет Көптің біреуге қатынасы
1.4 - Сурет Көптің көпке қатынасы
Дәл осы тәсіл шабуылдаушы тарабына келесідей артықшылықтары бар:
Құпиялылығы. Бірден бірнеше мекен-жайлармен жұмыс істеу,
үйреншікті механизммен шабуылдайтындарды анықтау айтарлықтай
қиындайды (желілік экрандармен, шабуылды анықтау жүйелерімен және
т.б.). Қазіргі заманауи қорғаныс құралдарының барлығы бірдей қолдана
бермейтін деректерді өзара байланыстыру механизімін қолдану қажет.
Шабуыл күші. Бір нүктеден жасалатын ұқсас шабуылдан гөрі, бірнеше
желі нүктелерінен жасалынатын шабуылдар қысқа уақыт ішінде аса қуатты
шабуылды жүзеге асыруға мүмкіндік береді. Жоғарыда айтылған жағдайдай
22
(құпиялылығы) бөлшектенген шабуылды оқшаулау және анықтау әдісі
сияқты әрекеттердің тиімділігі аз болып келеді.
Алуан түрлі деректерді алу. Әр түрлі мекен-жайлар арқылы жұмыс
істей отырып, оның ішінде әртүрлі желілерде орналасқан мекен-жайлар
арқылы, үйреншікті іс-әрекетпен салыстырғанда бір нүктеден жүзеге
асыратын шабуылдың толық объектісі көбірек деректер жинақтай алады.
Мұндай үлгі арқылы шабуыл мақсатына дейін ең қысқа қозғалыс бағытын
анықтап алуға болады, сондай-ақ әр түрлі желілік тораптардың сенімді
қарым-қатынасы және т.б. Мысалы, А торабынан зиянкелтіруші троянский
конь бағдарламасы арқылы шабуыл мақсатына қол жеткізе алады, ал В
торабынан - қол жеткізе алмайды.
Шектеу күрделілігі. Көрсетілген артықшылықтар бөлшектенген
шабуылды шектеуді қиындатады.
Сонымен қатар Internet-серверды істен шығаруға жеткілікті троянский конь
типті бағдарламалары бар түйіндердің мөлшерін санап анықтауға болады.
Қалыпты 128 Кбитс DSL-байланысы кезінде 1 с-та жіберілетін пакеттер саны
800-ден көп емес (128(IP-пакеттың Кбит-тағы орташа өлшемі)). IP-пакеттың
ең аз мөлшері 20 байт (тек атауы)болғандықтан, онда DSL-байланысы 128 000
20 8 = 800 пакет жіберуге мүмкіндік береді. Қалғаны сервердың
өнімділігіне байланысты болады. Мысалы, TopLayerNetworks
компаниясының тестілеуіне сай MSIIS 5.0 Pentium 400 компьютеры
секундына 100-200 пакет өңдей алады. Демек, бір DSL-байланысы бар үй
компьютері 6-7 өнімді емес Web-серверді істен шығара алады. Web - серверге
компьютер қуаты өскен сайын, шабуылға катысатын түйіндердің саны да
өседі.
Бөлінген шабуылдар әдісі бойынша құрылған шабуылдарды анықтау
өте қиын. Шабуылдарды анықтаудың торлық жүйелері оларды сенімсіз
анықтайды, әсіресе егер агенттер мен серверлер арасындағы байланыс
құпияланған болса. Шабуылдарды анықтау жүйелерінің түйіндік дәрежесі
осы мақсатқа көбірек жарамды болып келеді. Осындай шабуылдарды агентті
орнату кезеңінде анықтауға болады.
Оны нәтижесінде яғни соңында жасау өте қиын себебі агент ОЖ бөлігі
ретінде жұмыс істейді. Әсіресе агенттерді Linux және OpenBSD сияқты
"ашық" ОЖ -лар үшін кірістіру қауіпті, себебі агент оперативтік жүйенің
ядросына кірістірілуі мүмкін, ол өз кезегінде осындай агентті анықтауды
қиындатады. Дәстүрлі шабуылда шабуылдаушыға периодты түрде
айғақталған түйінге "кіріп тұруға" тура келеді. Ол тіркеу журналдарының
анализі арқылы немесе автоматталған құралдармен анықталуы мүмкін.
Бөлінген шабуылда мұндай мәселе туындамайды, себебі агент алдын
ала орнатылған, сондықтан айғақталған түйінге периодты түрде "кіріп
тұрудың" қажеті жоқ, барлығын алдын ала бағдарламаланған агент
орындайды.
23
Гибридты шабуылдар (hybridattack), сонымен қатар аралас қауіп
(blendedthreat), дамыған червь (advancedworm) немесе гидра (hydraattack) деп
аталатын шабуылдау әдісі ретінде дамыған.
Осындай шабуылдардың мысалы болып Nimda, CodeRed, SirCam және
Klez келеді. Гибридты шабуылдардың бөлінген шабуылдардан негізгі
айырмашылығы (ол бөлінген шабуылдардың бір модификациясы немесе бір
кеңейтілімі) - өз демондарын басқаратын мастер -агенттердің болмауы.
Сондықтан нағыз көзін,себебін анықтау тіптен мүмкін емес. Оған қоса егер
бұрын пайдаланушы вирустың қосылуын ерікті немесе еріксіз түрде өзі
ұйымдастыруы керек болса, онда гибридты шабуылдар үшін бұл шарт қажет
емес. Олар өздері осал түйіндерді іздеп, оларға сіңіп кейін ешкімнің
көмегінсіз ақ көбейіп отырады.
1.1 К е с т е - Гибридты шабуылдардан қорғаудың әдістері.
Желі
Операциондық жүйе Қосымша
қорғанысы
қорғанысы
қорғанысы
Өнімдер
Желілік
сканерлер
Шабуылды
анықтаудың
желілік жүйесі
Серверлер және жұмыс Қосымша
істеп тұрған сканерлері
станциялар сканерлері
Серверлер мен жұмыс Деректер
істеп тұрған базасының
станцияларға жасалған сканерлері
шабуылдарды анықтау
жүйесі
Желіаралық
бейне беттер
Арнайы антивирустар
Қосымшаларға
арналған
антивирустар
Қызметтер
Қашықтандыры
лған сканерлеу
Қашықтандыры
лған сканерлеу
Қашықтандыры
лған сканерлеу
Қашықтандырылған
сканерлеу
Қашықтықтан
мониторинг жасау
және шабуылды
анықтау жүйесімен
Қашықтандыры
лған сканерлеу
Мониторинг
және
қосымшаның
қорғанысы
1.1
кестенің
жалғасы
24
1.1.2 Шабуылдарды іске асыру кезеңдері.
Шабуылдарды іске асырудың негізгі механизмдерін қарастырайық. Ол
осы шабуылдарды анықтаудың әдістерін түсіну үшін қажет. Сонымен қатар,
шабуылдаушылардың іс-әрекеттерінің принциптерін түсіну, сіздің
торыңыздың сәтті қорғанысына алып келеді.
Шабуылдарды іске асырудың келесідей кезеңдері бар:
- мәлімет жинау (information gathering);
- шабуылдауды іске асыру (exploration);
- шабуылды аяқтау (finishingattack).
25
Консалтинг
Қауіпсіздік
саясатын енгізу
және әзірлеу
Қауіпсіздік саясатын
енгізу және әзірлеу
Қосымшаларды
ң қауіпсіздік
саясатын енгізу
және әзірлеу
Консалтинг
Қорғаныс
талдауы
Қорғаныс талдауы
Қорғаныс
талдауы
Консалтинг
Енуге
байланысты
сынақтар
Енуге байланысты
сынақтар
Енуге
байланысты
сынақтар
Консалтинг
Баптау және
конфигурация
лау
Баптау және ОЖ
конфигурациялау
Баптау және
конфигурация
лау
Жанжалға
әрекет ету
Жанжалға әрекет ету
Жанжалға
әрекет ету
Оқыту
Қауіпсіздік
стандарттары
және саясатын
зерттеу
Қауіпсіздік
стандарттары және
саясатын зерттеу
Қауіпсіздік
стандарттары
және саясатын
зерттеу
Оқыту
Шабуылды
анықтау
жүйесін,
қауіпсіздік
сканерлерін
және
желіаралық
бейне беттерді
зерттеу
Шабуылды анықтау
жүйесін және
қауіпсіздік сканерлерін
зерттеу
Шабуылды
анықтау
жүйесін және
қауіпсіздік
сканерлерін
1.5 сурет - Шабуылды іске асыру
Бірінші кезең - шабуылданатын жүйе мен түйін жайлы мәлімет жинау.
Ол келесідей іс-әрекеттерден тұрады, тордың топологиясын, шабуылданатын
түйіннің оперативтік жүйесінің түрі мен типін, сонымен қатар қол жетімді
торлық және басқа да сервистерді анықтау.
Ол іс-әрекеттер түрлі әдістермен іске асырылады:
- айналаны сараптау. Бұл кезеңде шабуылдаушы жоспарланып отырған
шабуылдау нысанының айналасындағы торлық аймақтарын саралайды.
Ондай аймақтарға, мысалы, Internet-провайдерлер "құрбандар" немесе
шабуылданған компанияның жойылған офисының түйіндері жатқызылады.
Осы кезеңде шабуылдаушы "сенімді" жүйелер мен түйіндердің адрестерін
анықтауға әрекет етуі мүмкін, олар тікелей шабуылдау нысанымен (мысалы
маршрутизатор ISP) байланысты. Осындай іс-әрекеттерді анықтау әлдеқайда
қиын, себебі олар қорғаныс құралдарымен басқарылатын, ұзақ уақыт бойы
және аумақ сыртымен орындалады (тор аралық экрандармен, шабуылдарды
анықтау жүйелерімен және т.б.);
- тор топологиясын идентификациялау. Шабуылдаушылар
пайдаланылатын тор топологиясын анықтаудың екі түрін атауға болады
(network topology detection),олар: "TTL өзгерту" ("TTL modulation") және
"маршрутты жазу" ("record route"). Unix үшін traceroute және Windows үшін
tracert программалары тор топологиясын анықтаудың бірінші әдісін
пайдаланады. Олар IP-пакет тақырыпшасында Live ("өмір сүру уақыты")
жолын пайдаланады, ол тор пакетының қанша маршрутизатордан өткеніне
байланысты өзгеріп отырады. ping утилитасы ICMP-пакетының маршрутын
жазу үшін пайдаланылуы мүмкін. Көбінде торлық топологияны көптеген
торлық құралдарда орнатылған, қорғанысы қате жасалған SNMP
протоколының көмегімен анықтауға болады. RIP протоколының көмегімен
тордағы маршрутизацияның кестесі жайлы мәліметті алуға болады;
- түйіндерді идентификациялау. Түйінді идентификациялау (host
detection), ереже бойынша, ping утилитасының көмегімен протокол ICMP
ECHO_REQUEST командасын жіберу арқылы орындалады. ECHO_REPLY
жауап хабарламасы, түйіннің қол жетімділігін айтады.
Еркін таратылатын бағдарламалар бар, олар түйіндердің көп мөлшерін
параллельді идентификациялау процессін автоматизациялайды және
жылдамдатады, мысалға fping немесе nmap. Берілген әдістің
қауіптілігі,түйіндердің стандартты құралдарымен ECHO_REQUEST
запростары бекітілмейді.
Ол үшіін тарфикты анализдау құралдарын пайдаланған жөн,
тораралық экрандар мен шабуылдарды анықтау жүйелері.
Бірақ та бұл әдіс бірнеше кемшіліктерге ие. Біріншіден, көптеген
торлық құрылғылар мен бағдарламалар ICMP-пакеттерді шектейді де оларды
ішкі торға (немесе сыртқа) өткізбейді.
26
Нәтижесінде айқын емес бейне пайда болады. Ал бір жағынан ICMP-
пакетті шектеу шабуылдаушыға маршрутизаторлардың, тор аралық
экрандардың және т.б. бар екендігін хабарлайды.
Екіншіден, ICMP-запростарын пайдалану шабуылдың көзін оңай
анықтауға мүмкіндік береді;
- сервистерді идентификациялау және порттарды сканерлеу.
Сервистерді идентификациялау (service detection), ереже бойынша, ашық
порттарды анықтау арқылы іске асады (port scanning). Мұндай порттар TCP
және UDP протоколында құрылған сервистермен жиі байланысты болады.
Мысалға, ашық 80-шы порт Web-сервердың, 25-ші порт -пошталық SMTP-
сервердың, 31337-шы троян атының BackOrifice серверлік бөлігінің бар
екендігін түсіндіреді.
Сервистерді идентификациялау мен порттарды сканерлеу үшін, түрлі
бағдарламалар пайдаланылуы мүмкін, соның ішінде еркін таралатындары да
бар. Мысалы, nmap және netcat;
- оперативтік жүйені идентификациялау. ОЖ (OS detection) жойылған
түрде анықтаудың негізгі механизмы - запростарға келетін жауаптардың
анализі, ол түрлі оперативтік жүйелердегі, түрлі TCPIP-ағымдарды иеленуді
ескереді.
Әрбір ОЖ-да TCPIP протоколдарының ағымы өзінше
ұйымдастырылған, ол арнайы запростар мен оларға жауаптар көмегімен
жойылған түйінде қандай ОЖ-ның орналасқанын анықтауға мүмкіндік
береді;
- түйіннің рөлін анықтау. Шабуылдаушы түйін жайлы мәлімет жинау
кезеңінің соңғы қадамдарының бірі оның рөлін анықтау, мысалы, Web-
сервердың немесе тор аралық экранның қызметтерін орныдау.
Бұл қадам алдын ала жиналған, яғни белсенді сервистер, түйіндердің
атауы, тор топологиясы және
т.б. жайлы мәліметтердің негізінде
орындалады;
- түйіннің осалдығын анықтау. Соңғы қадам - осал жерлерін іздеу
(searching vulnerabilities). Осы қадамда шабуылдаушы түрлі автоматталған
құралдардың немесе қолдық әдістің көмегімен осал жерлерін анықтайды,
олар шабуылды ұйымдастыру үшін қолданылады. Мұндай автоматталған
құралдар ретінде ShadowSecurityScanner, nmap, Retina және т.б. боуы мүмкін.
Шабуылдарды іске асыру. Шабуылдаушы екінші кезеңде шабуылдарды
іске асырудың екі нысанын назарға алатынын атап өту керек.
Біріншіден, түйіннің өзіне заңсыз кіру және оның мәліметтерін алу.
Екіншіден, басқа да түйіндерге алдағы шабуылдарды ұйымдастыру үішн
түйіннің өзіне заңсыз кіру. Бірінші нысан, ереже бойынша, тек екіншіні іске
асырғаннан соң орындалады.
Демек, алдымен шабуылдаушы алдағы шабуылдарды жүргізу үшін
өзіне база жасап алады, осыдан соң ғана басқа да түйіндерге кіреді. Ол
шабуыл көзінің орналасуын жасыру мен оны анықтауды әлдеқайда қиындату
үшін қажет.
27
Тікелей қол жетімділік кезінде шабуылдарды іске асыру екі кезеңге
бөлінеді:
- жасырын кіру. Периметрды қорғау құралдарынан жасырын өту
дегенді білдіреді (мысалы, тор аралық экранды). Ол түрлі жолдармен іске
асырылуы мүмкін. Мысалы, компьютер сервисының осалдығын пайдалану,
"қарауыл" сыртқа немесе қауіпті құрамды электрондық пошта арқылы
(макровирустар) немесе Java аплеттері арқылы жіберу. Мұндай құрамдар тор
аралық экрандарда "туннель" пайдаланылуы мүмкін (VPN туннельдерімен
шатастырмау керек), олар арқылы кейін шабуылдаушы кіреді. Осы кезеңге
арнайы утилитаның көмегімен (мысалы, L0phtCrack немес Crack)
администратордың немесе басқа пайдаланушының құпия сөзін таңдауды
жатқызуға да болады;
- бақылау орнату. Шабуылдаушы жасырын кірген соң,
шабуылданатын түйінге бақылау орнатады. Ол "троянский конь" типті
бағдарламаны енгізу арқылы іске асырылады (мысалы, NetBus немесе
BackOrifice). Қажетті түйінге бақылауды орнатып, "іздерді жойған " соң,
шабуылдаушы барлық қажетті заңсыз немесе әдетті емес іс әрекеттерді,
шабуылданып жатқан компьютер иесінің білуінсіз ақ жасай алады. Сонымен
қатар корпоративті тор түйінінде бақылауды орнату, ОЖ-ны қайта жүктеу
кезінде де сақталуы керек. Ол жүктеліп отырған біреуін алмастыру арқылы
немесе қауіпті кодты автожүктеу немесе жүйелік реестрдың файлына
ссылкамен жіберу арқылы іске асуы мүмкін.
Бізге белгілі жағдай, шабуылдаушы торлық картаның EEPROM-ын
қайта жобалап және кейінннен де ОЖ-ны қайта орнатудан соң да ол заңсыз
немсе рұқсат етілмеген іс әрекеттерді іске асыра алды. Осы мысалдың ең
қарапайым модификациясы торлық жүктелудің сценарийне қажетті кодты
немесе үзіндіні енгізу болып табылады (мысалы, ОЖ үшін Novell Netware).
Шабуылды аяқтау
Шабуылды аяқтау кезеңі болып шабуылдаушы жағынан "іздерді жою"
табылады. Әдетте ол түйінді тіркеу журналдарынан сәйкес жазбалар мен
басқа да іс әрекеттерді жою арқылы іске асады, сол арқылы шабуылданған
жүйені бастапқы қалыпқа "шабуылға дейінгі" келтіреді.
1.1.3 Шабуылдар нәтижесі
Шабуылдар нәтижесінің келесідей сыныптамасы бар:
- қол жетімділік құқықтарын кеңейту (increasedaccess) - торда немесе
дәл бір бәсекелес түйінде қол жетімділік құқықтарының кеңеюіне алып
келетін кез келген рұқсат етілмеген істер (компьютерде, маршрутизаторда
және т.б.);
- мәліметтің өзгеруі (corruptionofinformation) - тор түйіндерінде
сақталатын немесе оны тормен жөнелту кезіндегі мәліметті рұқсат етілмеген
түрде өзгерту;
- мәліметті ашу (disclosureofinformation) - қол жетімділікке ие емес
тұлғалардың арасында мәліметті тарату;
28
- сервистерді ұрлау (theftofservice)
-
рұқсат етілмеген түрде
компьютерді немсе торлық сервистерді басқа пайдаланушыларға қызмет
көрсету сапасын өзгертпей пайдалану;
- қызмет көрсетуден бас тарту (denialofservice) - өнімділікті мақсатты
түрде төмендету немесе торға немесе компьютерге және оның қорларына қол
жетімділікті шектеу.
1.2 Корпоративтік тордың ерекшеліктері
Корпоративтік торлар (немесе өндірсі масштабындағы торлар)
өндірістің барлық аумағындағы компьютерлердің көп мөлшерін біріктіреді.
Корпоративтік торды құрау кезіндегі негізгі тапсырма жеке жергілікті
кеңселік және филиалдық торларды ресурстары ортақ бір жүйеге біріктіру.
Осы тапсырманы шешу үшін глобалды қосылыстарды, яғни телефондық
және жерсеріктік каналдарды, радиоканалдарды пайдалану қажеттілігі тууы
мүмкін.
Корпоративтік торлар өзінің жоғары гетерогендік дәрежесімен
ерекшеленеді, компьютер, торлық жабдықтың, операциондық жүйенің
типтері әртүрлі болуы мүмкін.
Корпоративтік тор мәліметті сақтау, өңдеу мен беру құралдары,
әдістері мен персоналының жиынтығы болып табылады. [5]
Корпоративтік тор компанияның профильдік және қаржылық-
шаруашылық жұмысын автоматизациялау үшін арналған және келесі
тапсырмаларды шешуге арналған:
-
компанияның бизнестік жұмысындағы түрлі тапсырмаларды
шешімін қамтамасыз ететін, автоматталған жүйелердің жұмысын қолдап
тұру;
-
-
-
байланыс қызметтерін ұсыну технологиялық процесін басқару;
ұсынылатын байланыс қызметтерінің биллингін қамтамасыз ету;
компания ішінде электронды құжат жинауды және құжаттама
жүргізуді қамтамасыз ету;
-
компанияның корпоративтік торын пайдаланушыларға ресурстарға
қол жетімділікті қамтамасыз ету (файлдық серверлерге, принтерлрге, база
серверлеріне);
-
компанияның корпоративтік торын пайдаланушыларға галамторға
қол жетімділігін қамтамасыз ету;
-
компанияның корпоративтік торын пайдаланушыларға, сыртқы
организациялар мен жеке тұлғаларға қатысты электрондық түрде қызметтік
хат алмасу мүмкіндігін беру;
-
-
корпоративтік тормен қорғалатын объекттер:
мәліметтік ресурстар (магниттік, оптикалық және басқа да
құралдардағы құжаттар мен жазбалар, сонымен қатар тор арқылы алмасатын
мәліметтер);
29
-
аппараттық құралдар (жұмыстық
станциялар, серверлер,
принтерлер, алшақ орналасқан жабдықтар, ақаусыз қуат алу көздері және
т.б.);
-
бағдарламалық құралдар (жүйелік прикладное бағдарламалық
қамтамасыз етулер);
-
торлық қамтамасыз етулер (маршрутизаторлар, коммутаторлар,
модемдер, байланыс каналдары және т.б.);
-
мәліметті тасушылар (компьютерлік, қағаздық ).
1.3 Корпоративтік тордың мәліметтік қауіпсіздігін қамтамасыз ету
мақсаттары мен тапсырмалары
Компанияның корпоративтік торының мәліметтік қауіпсіздігін
қамтамасыз ету мақсаттары мен тапсырмаларын анықтап алу қажет.
Мысал ретінде ДИС АҚ "Қазақтелеком" компаниясының корпоративтік
жүйесін аламыз.
Мәліметтік қауіпсіздікті қамтамасыз етудің стратегиялық мақсаты
компанияның, клиенттерінің, серіктестерінің түсініктерін компанияның
корпоративтік торының қызметі барысына араласу арқылы зиян келтіру
мүмкіндігінен қорғау
Компанияның мәліметтік қауіпсіздігін қамтамасыз етудің негізгі
тапсырмалары [5]:
-
-
қауіптілікті уақытылы анықтау, аумағын анықтау және жою;
қауіптілікті анықтайтын механизмдерін жасап шығару және
қауіптілікке әсер етуді анықтау;
-
-
-
көптеген қауіптерге қарсы әрекет етуі, әдістері мен шаралары;
себептер мен шарттарын анықтау;
қолданылатын қорғаныс шараларының тиімділігі мен
жеткіліктілігін бақылау;
- мәліметтік қауіпсіздікті қамтамасыз ету үшін тор аралық экран
пайдаланылатын болады, себебі осы аппараттық кешен мәліметтік
қауіпсіздікті қамтамасыз ететін мақсаттар мен тапсырмалардың
орындалуын толығымен қамтамасыз ете алады.
2 Корпоративтік тордың қауіпсіздік жүйесі
2.1 Корпоративтік тордың жалпы құрылымы
Мысал ретінде "Қазақтелеком" АҚ Мәліметтік Жүйе Дирекциясының
корпоративтік торы алынды.
Берілген компанияның корпоративтік торы келесілерден (А
Қосымшасы):
- Proxy-, Web-, пошталық серверлер;
- IP-телефониясының торы;
30
- торды басқару, пайдалану және мәлімет тарату,
- ұйымдастыру блогының пайдалану торы;
- серверлер торы (NAT пайдалану арқылы Ғаламторға кіру).
2.2 Мәліметтік қауіпсіздікке қауіптер
2.2.1 Қауіптер көздері
Корпоративтік торға әсері бойынша қауіп көздерін сыртқы және ішкі
деп бөлуге болады. [5]
Ішкі қауіп көздеріне:
-
ішкі бұзушылар;
- аппараттық құралдар (жұмыстық станциялар, серверлер,
принтерлер, алшақ орналасқан құралдар);
- торлық қамтамасыз етулер (маршрутизаторлар, коммутаторлар,
модемдер, байланыс каналдары және т. б.);
- өмір сүруді қамтамасыз ететін жүйелер (энергиямен қамтамасыз ету
жүйелері, кондиционерлеу мен сумен қамтамассыз ету жүйелері).
Сыртқы көздерге:
- сыртқы бұзушылар;
- кенеттен болатын жағдайлар.
- мәліметтік ресурстарға әсері бойынша мақсатты және оқыстан
болған қауіптер.
Мақсатты (жоспарланған) қауіптер адамдардың жаман ойларымен
немесе мақсаттарымен байланысты.
Оқыстан болған қауіптер корпоративтік тордың элементтерін
жобалаудағы қателермен бағдарламалық қамтамасыз етулерде,
қызметшілердің іс әректтерімен және т.б. пайда болған.
Қауіптер көзінің сипаттамасы 2.1 суретте көрсетілген.
31
2.1 сурет - Қауіптер көзі
2.2.2 Қауіптер моделі
Кесте 2.1 қауіптер моделі көрсетілген, ол мүмкін қауіптіліктерді
анықтайды.
Қауіптің әрбір түрі үшін кестеде, берілген қауіптің пайда болу көзі
көрсетілген.
Бөлімдердегі қауіптер түрі мен бұзушылар категориясы пункттерде
мағынасы бойнша орналасқан.
32
2.1 к е с т е - Модель угроз информационной безопасности
33 №
пп
Қауіптердің түрі
Қауіптерге сипаттама
Бастау,
бұзушының
дәрежесі
1.
Кесімді адам факторларының қауіпіне, себепті қасақана пайда
болатын қауіптер жатады
1.1
Жүйелерде және
қосымшаларда
авторластырған
қолданушылардың
дұрыс емес
әсерлер
Оған рұқсат етілген есептік
жазулар бұзушымен
қолдануы,
телекоммуникацияларға
желілерге басқаруларға
жүйелерде дұрыс емес
әсерлерге шешілмеген
мақсаттарда, сол санда,
,SAPR3 және басқа
жүйелерде
Әкімшілер,
қолданушылар,
бағдарламашыла
р, әріптестер,
уақытша
қолданушылар,
алып тастаған
қолданушылар
1.2
Ақау қызмет
көрсетуде
Жүйелерде, қосымшаларда
және базасыларда қызмет
көрсетуде ақауға пайда
болуға осы бағыттағанын біле
тұра әсерлердің орындауы
Әкімшілер,
техникалық
қызметші,
сыртқы
қаскүнемдер,
бағдарламашыла
р, әріптестер,
қолданушылар,
алып тастаған
қолданушылар,
уақытша
қолданушылар
1.3
Енгізу зиян
келтіретін немесе
қиратушы
программалық
қамтамасыз етуді
Енгізу зиян келтіретін немесе
вирустарды, троя аттардың
, құрттарды , логикалық
бомбаларды қосатын
қиратушы программалық
қамтамасыз етуді және бас-
сираққа жетектеп жүнетін
Сыртқы
қаскүнемдер,
алып тастаған
қолданушылар,
қолданушылар,
әріптестер,
уақытша
2.1 кесте жалғасы
34
немесе осал жері жүйедің
үстінде толық бақылаудың
бірлескен желіге, және алуға
жұмыста компоненттердің
бұзушылыққа
қолданушылар,
өңдеушілер,
бағдарламашыла
р, техникалық
қызметші,
әкімшілер
1.4
Авторластырған
қолданушылармен
атыға ауыстырып
жіберуі
Рұқсаттың алуы (мысалы,
мәліметке авторластырған
қолданушылармен бөгде
есептік жазудан)
қолдануыдан көмекпен,
рұқсат оларға тыйым салуған
Қолданушылар,
техникалық
қызметші,
уақытша
қолданушылар,
әріптестер, алып
тастаған
қолданушылар,
әкімдер
1.5
Бөтен беттермен
қолданушының
атыға ауыстырып
жіберуі
Атының (астында рұқсаттың
бөтен беттермен алу
мәліметке қолданушының)
авторластырған
Сыртқы
қаскүнемдер,
келушілер
1.6
Жүйелік
қорлардың дұрыс
емес қолдануысы
Жұмыс жасамайтын
мақсаттарда ұйымдар
аппаратты және
программалық қамтамасыз
етулері қолдануы, қосатын:
- фильм компъютер
ойындары, көруі;
- функционалдық
міндеттерге орындауға
жататын емес мақсаттарда
Интернетке рұқсаттың
қолдануысы;
- бөтен ұйымдар үшін
жұмыстар рұқсат етілмеген
орындау үшін қорлардың
қолдануысы және дербес
мақсаттарда.
Қолданушылар,
техникалық
қызметші,
бағдарламашыла
р, әкімшілер,
алып тастаған
қолданушылар,
уақытша
қолданушылар
1.7
Операциядағы
қате
Бірлескен желіден аппаратты-
программалық құралдардан
күйге келтірулермен
басқарумен сабақтас
операцияларда орындауда
Қоғамдар қызметкерлермен
Әкімшілер,
әріптестер
2.1 кесте жалғасы
35
қателердің іске асыруы
1.8
Аппаратты
қамтамасыз
етулерге қызмет
көрсетуде қате
Аппаратты құралдарға
техникалық қызмет
көрсетулерге процессте
Қоғамдар қызметкерлермен
қателердің іске асыруы
Техникалық
қызметші
1.9
Қолданушының
қатесі
Қосымшалармен жұмыста
қолданушылармен қателердің
іске асыруы
Қолданушылар,
алып тастаған
қолданушылар
1.10
Корпаративтік
желіге ену
Осы қауіпке жатады:
- қолдануымен жүйеге
хакердің енуі, мысалы,
буферден асыра
толтырумен шабуылдар;
- торлық қосудан
қатысушыдан
ауыстырып жіберумен
жүйеге ену;
- ауыстырып жіберумен
жүйеге ену IP-, MAC-
Мекен-жайларды;
- адасушылыққа белгілі
енгізумен шабуылдар
жүзеге асыруы
Сыртқы
қаскүнемдер
1.11
Мәліметпен
манипуляция
жасау
Осы қауіпке жатады:
- вебсайте серіктестікте
мәліметтер ауыстырып
жіберуі;
- (спам) мәліметтер біле
тұра керексіз адресатқа
тарату;
- жалған қатынастардың
енгізуі;
- мәліметтер жеткізулері
кезектіліктері біле тұра
бұзушылығы;
- жеткізулер біле тұра
тоқтау;
- маршрутизациялар біле
тұра бас-сирақ;
- дұшпандық жұмыс
станция арқылы
қатынастың жіберудің
Сыртқы
қаскүнемдер,
әкімшілер,
техникалық
қызметші,
уақытша
қолданушылар,
әріптестер,
қолданушылар,
бағдарламашылар,
алып тастаған
қолданушылар
2.1 кестенің жалғасы
36
арқылы шабуылшы тараппен
ұстап қалу, өзгеріс және
бағыттау қатынастары.
1.12
Мәліметтерді
ұстап қалу
Осы қауіпке жатады:
- мәліметтер енжар ұстап
қалу;
- белсенді ұстап қалу;
- трафиктің барлауы
рұқсат етілмеген.
Уақытша
қолданушылар,
техникалық
қызметші,
қолданушылар,
сыртқы
қаскүнемдер,
бағдарламашыла
р, әріптестер,
алып тастаған
қолданушылар,
әкімшілер
1.13
Қабылдаудың
теріске шығаруы
хабарламаның
берілуі
Осы қауіпке жатады:
- желінің қолданушылары
теріске шығарады, не
олар берілулер) (теріске
шығаруы қатынас
жіберді;
- желінің қолданушылары
теріске шығарады, не
олар қабылдаудың)
(теріске шығаруы
қатынас қабылдады.
Қолданушылар,
алып тастаған
қолданушылар,
техникалық
қызметші,
бағдарламашыла
р, әкімшілер,
әріптестер,
уақытша
қолданушылар.
1.14
Қызметші
ұрлықтары
Серіктестіктерге,
жинаушыларға қоса ғимаратта
болған қызметкерлермен
құжаттардың, және
физикалық дүниенің
ұрлықтардың іске асыруы,
көмекші жұмыс және т.б
Қызмет етуші
қызметші,
қолданушылар,
техникалық
қызметші,
бағдарламашыла
р, әкімдер
1.15
Бөтен ұрлықтар
Заңсыз ену іске асырған
серіктестікке, сол санда
адамдармен, болатын емес
қызметкерлермен
құжаттардың, және
физикалық дүниенің
ұрлықтардың іске асыруы
қызметкерлермен
құжаттардың, және
физикалық дүниенің
Келушілер,
уақытша
қолданушылар
2.1 кестенің жалғасы
37
ұрлықтардың іске асыруы
1.16
1.17
Қызметкерлермен
дүниелер
қасақана бұзуы
Дүниелер
қасақана бұзуы
бөтен
Акт вандализмдің іске асыруы Қызмет етуші
және серіктестіктерге, қызметші,
жинаушыларға қоса ғимаратта қолданушылар,
болған қызметкерлермен техникалық
тіршілік қамтамасыздар қызыметші,
мәліметке, жүйелерге бағдарламашыла
техникалық құралдарға, р, әкімшілер
сақтаушыларға физикалық
залалдың келтіру, көмекші
жұмыс және т.б.
Акт вандализмдің іске асыруы Келушілер,
және заңсыз ену іске асырған уақытша
серіктестікке, сол санда қолданушылар
адамдармен, болатын емес
қызметкерлермен тіршілік
қамтамасыздар мәліметке,
жүйелерге техникалық
құралдарға, сақтаушыларға
физикалық залалдың келтіру
2
Бірлескен желіде әзірлеуде және пайдаланымда қолданхатын
техникалық құралдармен сабақтас қауіпті. Ақпараттық қауіпсіздікке
қауіптерге осы классқа жүйе, оның жеке компоненттер және қосалқы
коммуникациялар техникалық құралдар физикалық бұзылулар,
ақаулар және ақаулықтар себепті пайда болатын қауіптер жатады
2.1
Жабдықтар
ақаулар және бас-
сирақтар
Әр түрлі факторларға
ықпалдарға нәтижеде жұмыста
серверлердің ақау
Техникалық
құралдар
2.2
Диск сияқты
массивтердің
ақаулары және
бас-сирақтары
Әр түрлі факторларға
ықпалдарға нәтижеде жұмыста
диск сияқты массивтердің ақау
Техникалық
құралдар
2.3
Торлық
жабдықтар
ақаулар және бас-
сирақтар
Әр түрлі факторларға
ықпалдарға нәтижеде жұмыста
торлық жабдықтар ақау
Техникалық
құралдар
2.4
Байланыстар
каналдардың
жоғалуы
Серіктестікпен бірлескен
желімен түйіндермен арасында
байланыстар жойылады
Техникалық
құралдар
2.5
Лента сияқты
кітапханалардың
ақаулары және
бас-сирақтары
Әр түрлі факторларға
ықпалдарға нәтижеде жұмыста
лента сияқты кітапханалардың
ақау
Техникалық
құралдар
2.1 кестенің жалғасы
38 2.6
Басқарудың және
барлаудың
станциялардың
ақаулар және бас-
сирақтары
Әр түрлі факторларға
ықпалдарға нәтижеде
басқарудың және барлаудың
жұмыста станциялардың
ақау
Техникалық
құралдар
2.7
Жұмыс
станциялардың
ақаулары және бас-
сирақтары
Әр түрлі факторларға
ықпалдарға нәтижеде
жұмыста жұмыс
станциялардың ақау
Техникалық
құралдар
2.8
Маршрутизациялар
қасақана емес қате
Қате мекен-жай бойынша
желі бойынша жіберуде
мәліметтер жеткізуі
Техникалық
құралдар
3
Бірлескен желіде әзірлеуде және пайдаланымда қолданхатын
программалық құралдармен сабақтас қауіпті. Ақпараттық
қауіпсіздікке қауіптерге осы классқа жүйелерге компоненттерге
жүйелік және функционалдық программалық қамтамасыз етуде
қателер пайда болу себепті пайда болатын қауіптер жатады
3.1
Жүйелік
программалық
қамтамасыз етулер
ақау
Қателер бар болу себепті
жүйелік программалық
қамтамасыз етулерге ақауға
БЖ, осалдықтардың және
бас-сирақтардың влекущих
пайда болуы БЖ жұмыста
Бағдармалық
құралдар
3.2
Қолданбалы
программалық
қамтамасыз етулер
ақау
Қателер бар болу себепті
қолданбалы программалық
қамтамасыз етулерге ақауға
БЖ, осалдықтардың және
бас-сирақтардың влекущих
пайда болуы БЖ жұмыста
Бағдармалық
құралдар
4
Техногенді қауіпті қауіптерге осы классқа жылдамдатқан-мажорлық
жағдайлар себепті пайда болатын қауіптер жатады
4.1
Энергия
жабдықтаулар
жүйелері ақауы
Ғимаратқа қоректенудің
берулері ақауы
Техникалық
құралдар
4.2
Ауа тазартулар
жүйелері ақауы
Шекті мүмкін шеңберлердің
артына жұмыс
температуралар шығу себепті
жұмысқа тоқтатуға жетектеп
жүнетін әуе ауа тазартулар
жүйелер ақауы
Техникалық
құралдар
4.3
Өрт
Физикалық құралдардың
отпен бұзылу, құрайтын
жүйеді, құжаттаманы қоса
Форс-мажорлық
жағдайлар
2.1. кестенің жалғасы
2.4 Басып алушылықтарды бақылау жүйесінің құрылымы
IDS-тың жұмыс істеуінің жалпы сұлбасы 2.2-суретте көрсетілген.
Соңғы кездерде көптеген басылымдарда distributed IDS (dIDS) деп
аталатын жүйелер жайлы сөз қозғалуда. dIDS көптеген IDS-дан ... жалғасы
11
12
Аннотация
13
В данном дипломном проекте рассматривается вход в систему
корпоративной сети АО Қазақтелеком с применением оборудование Cisco
Systems. Цель данного проекта - провести обзор угрозбезопасности
корпоративной сети, анализировать систему безопасности корпоративной
сети, обосновать выбор системы обнаружения атак - модуль межсетевого
экрана для Cisco Catalyst 6500 Series, обосновать выбор системы
позволяющую обеспечить эффективную маршрутизцию, защиту трафика
данных, голоса, видео - модуль Cisco NME-RVPN для маршрутизаторов
семейств Cisco 2800 Seriesи 3800 SeriesIntegratedServicesRouters.
Аңдатпа
Бұл дипломдық жобада Қазақтелеком акционерлік қоғамы үшін
Cisco Systems құрылғысын қолданып корпоративтік желіге басып кіру
жүйесіне құру қарастырылады.Жобаның басты мақсаты - Қазақтелеком
акционерлік қоғамы корпоративті желіде жүретін ақпарат алмасуға сырттан
рұқсатсыз қолжеткізуді, нақтырақ айтсақ желіге жасалатын шабуылдардың
алдын алу. Желіаралық бейне беттің модульі Cisco Catalyst 6500 Series
шабуылды анықтау жүйесін таңдауын түсіндіру,әсерлі бағыттаушымен
қамтамасыз етудің, мәліметтер трафигінің қорғанысын, дауыстың, бейнебаян
- модуль Cisco NME-RVPN, бағыттаушылар Cisco 2800 Series және 3800
Series Integrated Services Routers жүйесін таңдауын түсіндіру.
Annotation
In this diploma project the included in the system of corporate network of
propulsion MODULE of "Қазақтелеком" is examined with application equipment
of Cisco Systems. Aim of this project - to conduct the review of threats of safety to
the corporate network, analyse the system of safety of corporate network, ground
the choice of the system of finding out attacks is the module between a network
screen for Cisco Catalyst 6500 Series, to ground the choice of the system allowing
to provide effective маршрутизцию, defence of traffic of data, voice, video is the
module of Cisco NME - RVPN for the routers of families of Cisco 2800 Series and
3800 SeriesIntegratedServicesRouters.
Мазмұны
Кіріспе
14
1.Корпоративтік желілердің қауіпсіздігінен төнген қаупі.
1.1Басып кіру ұғымы
1.1.1Шабуыл үлгілері
1.1.2 Шабуылдарды іске асыру кезеңдері.
1.1.3 Шабуылдар нәтижесі.
1.2Корпоративтік тордың ерекшеліктері
1.3 Корпоративтік тордың мәліметтік қауіпсіздігін қамтамасыз ету
мақсаттары мен тапсырмалары
2 Корпоративтік тордың қауіпсіздік жүйесі.
2.1 Корпоративтік тордың жалпы құрылымы.
2.2 Мәліметтік қауіпсіздікке қауіптер
2.2.1 Қауіптер көздері
2.2.2 Қауіптер моделі
2.3 Басып алушылықтарды бақылау жүйесінің құрылымы
2.3.1 Шабуылдарды анықтау технологисы
2.3.2 Шабуылдарды анықтау әдістері
2.3.3 Кәсіби жүйелер
2.3.4 Шабуылдарды анықтау
3 Басып алуларды бақылау жүйелерін іске асыру
3.1 Техникалық шешімді таңдау
3.2 CiscoCatalyst 6500 Series үшін тор аралық экранының сервистік
модулін таңдауды негіздеу
3.2.1 Cisco Catalyst 6500 Series үшін FWSM модулінің
артықшылықтары
3.3 Cisco 2800 Series және 3800 SeriesIntegratedServicesRouters
мршрутизаторлар жанұясы үшін сервистік модуль CiscoNME-RVPN-ны
таңдауды негіздеу.
3.3.1 NME-RVPN модуль артықшылықтары
3.4 NME-RVPN модульдың архитектурасы
3.5 Өнімнің техникалық сипаттамасы
3.6 Функциялық мүмкіндіктері
3.7 Сертификаттау мен мемлекеттік реттеу
3.8 Жүйелік талаптар
3.9 Қауіпсіздік политикасы
3.9.1.Қорғаныс стратегиясын таңдау
3.9.2 Торлық сенсорлардың қауіпсіздік политикасын орнату.
3.10 Тордың пайдалы өтімділік қабілетін есептеу
4 Тіршілік қауіпсіздігі
4.1 Еңбек жағдайын талдау
4.2Кондиционерлеу және ауаны жаңарту жүйелерін есептеу
4.2.1 Температура айырымы нәтижесінде алынатын жылу және
15
жылу жоғалту
4.2.2Шынылау арқылы күннің сәулеленуінен келетін жылу
4.2.3 Адамдардан келетін жылу
4.2.4
Жарықтану аспаптарынан, оргтехникадан
және
құрылғылардан келетін жылу
4.2.5Ауа алмасуды есептеу
Кіріспе
16
Ақпараттық жүйелер қорғалған болуы тиіс. Бұл тезиспен ешкім
бақталаспайды. Ақпараттық жүйелердің қауіпсіздігін екі әдіспен қамтамасыз
етуге болады. Бірінші әдіс - толық қауіпсіздік жүйесін құру арқылы, рұқсат
етілемеген барлық әрекеттердің алдын-алу. Алайда мұндай әдісті тәжірибе
жүзінде жүзеге асыру мүмкін емес, оған келесідей себептер қатары бар:
- Қатесіз бағдарлама әлі де арман болып келеді. Өкінішке орай
өндірушілер мұндай бағдарламаны ойлап табуға құштарсыз. Олар өздерінің
өнімдерін неғұрлым жылдам шығарып, және сол арқылы ірі көлемде пайда
табуға тырысады. Бағдарламалық жасақтамадағы қателіктердің кесірінен,
толық қорғарғал жүйені шасап шығару мүмкін емес болып тұр. Ең қызығы
әртүрлі қателіктердің кесірінен қорғау құрылғылары да зардап шегуде;
- Тіпті ең жоғарғы қорғалған жүйенің өзі, жоғарғы білікті
қолданушының алдында осал. Мүмкіндігі жоғары қолданушылар қорғау
саясатының талаптарын бұзуға қауқарлы. Бұл өз кезегінде, қорғаныс
деңгейінің төмендеуіне әкеп соғады;
- Жүйенің қорғанысын неғұрлым жоғарылатқан сайын, соғұрлым
онымен жұмыс істеу
ыңғайсыз.
Осы саладағы ең беделді ақпарат көзі - Сан-Францискодағы ФБР
бөлімшесінің компьютерлік жанжалдардың статистикалық мәліметтерін
қолданамыз.
- 90 %
респонденттер (ірі корпорациялар және мемлекеттік
мекемелер) өз ақпарат қорларына сан түрлі шабуыл жасағанын тіркеген.
- 80 % респонденттер осындай шабуылдар себебінен көптеген қаржы
жұмсады, бірақ соның ішінде тек 44 % -ы ғана сол жұмсалған қаржыларды
есептей алды.
Соңғы жылдары қорғаныс саясатының бұзылуы салдарынан шығын
көлемі өсті. Оған мысал: 2002 жылы - зардап сомасы 266 млн. АҚШ
долларына тең келді, 2005 жылы - 365 млн. АҚШ доллары жұмсалса, ал 2007
жылы бұл зардап көрсеткіші 460 млн. АҚШ долларына жетті.
Шабуыл жиілігі және саны үнемі жоғары болған сайын, шабуылдың
бастапқы кезеңін анықтап, жекешелендіру өте маңызды болып отыр. Және
оған дер кезінде әрекет ету керек. Шиеленіскен жағдайда шабуылға араласу
адамның әрекет етуінен де өте жоғары жылдамдықта болуы тиіс.
Ақпараттық жүйеге шабуыл жасаушылар, шабуыл жасаудың
автоматтандырылған түрін қолданатын болғандықтан, шабуылды анықтау
үрдісін автоматтандыруға себеп болды. Бір жарияланған мысалда, 8 сағаттың
ішінде, 500 жерден, 2000-ға жуық Ғаламтор серверіне кіру әрекетін жүзеге
асыру дерегі тіркелген (ол дегеніміз, 1 минут ішінде 4 шабуыл жасау деген
сөз). Бұл жағдайда, шабуылды анықтаудың автоматтандырылған жүйесі
шабуыл көзін іздеп табуға көмектесті. Бұл жүйе болмаса, шабуыл
жасаушының әрекетін, шабуылдың өзін анықтау тапсырмасы мүмкін болмас
еді.
Сол себепті, егер біз толық қорғаныс жүйесін құра алмасақ онда екінші
тәсіл ретінде - ең болмаса, қауіпсіздік саясатын бұзудың барлығын анықтап,
17
оған лайықты түрде әрекет ету керек. Қарастырылып жатқан жұмыстағы дәл
осы әрекет шабуылды анықтау жүйесін құруға мүмкіндік берді.
Шабуылды анықтау жүйесі, компьютерлік жүйеге шабуылға
дайындалуға және оған қарсы тұруға көмектеседі. Олар желілер мен
ақпараттық жүйелердің толық нүктелер қатарының ішінен ақпараттар жинап
және осы ақпараттағы қорғаныс мәселесінің бар-жоғын талдайды. Қорғаныс
әлсіздігін анықтау мақсатында, әлсіздікті іздеу жүйесі желілер мен жүйелерді
тексеріп, баптау қателіктері мен жүйелік мәселелерінің бар-жоқтығын
анықтайды. Әлсіздікті талдау технологиясы да, шабуылды анықтау
технологиясы ретінде мекелерлерге жүйелік қорғаныс мәселелерімен
байланысты өз ақпараттық қорларын жоғалтудан сақтауға мүмкіндік береді.
Желіаралық экранның сервистік модульі Cisco Catalyst 6500 Series және
модуль Cisco NME-RVPN, ал бағыттаушыларға Cisco 2800 Series және 3800
Series Integrated Services Routers - ті таңдау арқылы, біз - желіаралық
экранVPN бағыттаушы, желінің қорғанысының жоғары деңгейін қамтамасыз
ететін, өндіргіш және сенімді құрылғыларды аламыз. Бұл құрылғылар өз
кезегінде мекемелерге желілердің қауіпсіздігін қамтамасыз етіп, сондай-ақ
рұқсат етілмеген әрекеттерден қорғауға, байланыс арналары арқылы
ауырлықты бөліп, әкімшіліктендіруді оңтайландыруға көмектеседі.
Осы дипломдық жобада корпоративтік желіге басып кірудің бақылау
жүйесін үйлестіру сұрақтарын қарастыру қажет.
Көбінесе, келесідей жұмыстарды жүргізу керек:
- корпоративтік желілердің қауіпсіздік қаупін анықтау жұмыстарын
жүргізу;
-
корпоративтік желілердің қауіпсіздік жүйесін талдау;
- желіаралық бейне беттің модульі Cisco Catalyst 6500 Series
шабуылды анықтау жүйесін таңдауын түсіндіру;
- әсерлі бағыттаушымен қамтамасыз етудің, мәліметтер трафигінің
қорғанысын, дауыстың, бейнебаян
-
модуль Cisco NME-RVPN,
бағыттаушылар Cisco 2800 Series және 3800 Series Integrated Services Routers
жүйесін таңдауын түсіндіру;
- қажетті құралдарды орналастыруды жоспарлау.
1 Корпоративтік желілердің қауіпсіздігінен төнген қаупі
18
1.1 Басып кіру ұғымы
Желілік қорғаныс (Network Security) - бұл компьютерлік жүйелер мен
желілердің мінездемесі ретінде орнататын, қарастырылған жүйелер және
олардың элементтерінің сенімді жұмыс істеуін, тұтастығын, өз иесінің және
пайдаланушылардың ақпараттарын сақталуын қамтамасыз етеді.
Қорғаныс мақсаттарына келесілер кіреді:
- құпиялылық (тек тіркелген пайдаланушылар ғана оқи алатынын
немесе файлды не нысанды көшіре алатынын кепілдендіреді);
- басқару (тек тіркелген пайдаланушылар ғана ақпаратқа қол жеткізу
туралы шешім қабылдай алады);
- тұтастығы (тек тіркелген пайдаланушылар ғана файл не нысанды
өзгерте немесе өшіре алады);
- сенімділік (нысанды сипаттаудың немесе бөлшектеріне дәреже
берудің дұрыстығы);
- кіру мүмкіндігі (тіркелмеген пайдаланушы тіркелген
пайдаланушыларға файлдар немесе басқа да жүйе көздеріне енуге уақытша
кіру мүмкіндігін шектей алмайды);
- айдалылығы (нақты мақсатқа қол жеткізудің жарамдылылығы).
Шабуылды анықтау жүйесі - жүйелік және желілік қорлардың тұтас
қатарын пайдалану ақпараттарын жинап, содан кейін ақпаратқа басып
кірулердің (мекеменің сыртынан келетін шабуылдар) және зиян келтіре
пайдаланулардың (мекеменің ішінен келетін шабуылдар) бар-жоқтығына
талдау жасайды.
Қауіпсіздік саясаты - өзінің қорғаныс жүйесінің қатынасында
мекеменің алатын орны. Ол мекеменің өте маңызды қорларына қайсысы
кіретінін анықтап және олардың қандай деңгейде қорғалуы керек екендігін
орнатады.
Қауіпсіздік оқиғасы - желі торабының қызмет ету кезінде тораптардың
жағдайын өзгертетін әртүрлі оқиғалар (events) орын алады. Бұл оқиғалар
қауіпсіздік қызметі тарапынан - қызмет (action) және адресат (target) сияқты
екі құрамдастың көмгімен ұсынылуы мүмкін.
Қызмет - бұл қадамдар, қандайда бір нәтижеге жету үшін жүйенің
субъектісі қолданатын әдіс (пайдаланушымен, үрдіспен және т.с.с.)
Адресат - бұл жүйенің логикалық (есеп жүргізу, барысы немесе
көрсеткіші) немесе физикалық (желі торабы, желі, құрасдас бөлік) объектісі.
Ақпараттық жүйенің әлсіздігі (vulnerability) - бұл ақпараттық жүйенің
кез-келген мінездемесі болып табылады, және осындай жағдайлар
бұзушының қолдануы қауіптің жүзеге асуына әкеп соғады.
Ақпараттық жүйенің қаупі (threat) деп - жүйелік қорларға зардап
(материалды, моральді немесе басқадай) келтіруі мүмкін, болуы мүмкін
жағдайлар, іс-әрекеттер, оқиғалар немесе құбылыстарды айтамыз.
Әлсіздіктер келесідей болып жіктеледі:
19
А) жобалау әлсіздігі - бұл өте маңызды әлсіздік түрі болып табылады,
себебі оның салдарын жою қиындыққа әкеп соғады;
Б) жүзеге асыру әлсіздігі - алгаритимнің немесе жобаның қауіпсіздігі
тарапынан, бағдарламалық немесе аппараттық қамтамасыз етуді жүзеге
асыру сатысында байқалады;
В) кескін әлсіздігі - бағдарламалық немесе аппараттық қамтамасыз
етудегі кескін қателіктері;
Ақпараттық жүйеге шабуыл (attack) дегеніміз - осы ақпараттық
жүйенің әлсіздігін пайдалану арқылы қауіпті жүзеге асыруына әкеп соғатын
іс-әрекет немесе бұзушының өзара байланысты іс-әрекетінің жалғасы.
Шабуылдың, қауіпсіздік оқиғасынан айырмашылығы - шабуыл
жасалған жағдайда, бұзушы қандай да бір нәтижеге жетуге тырысады. Бұл
қауіпсіздік саясатына қайшы келетін іс-әрекет.
Сигнатуралар - бұл белгілі шабуылдар немесе жүйелердегі зиян
келтіре пайдаланулардың салыстырмалы үлгісі. Олар оңай (белгіленген
шарттар немесе әмірлерді іздеуге лайықты белгілер қатары) немесе қиын
(заңды математикалық тұрғыда жазылған, іс-әрекет және тіркеу журналы
жолағы жинағының ізінше, қорғаныс жағдайын өзгерту).
Мекеменің желісіне ену - сәтті жасалған (яғни жүзеге асырылған)
шабуыл.
Intrusion Detection System (IDS) - шабуылды анықтау жүйесі.
1.1.1 Шабуыл үлгілері
Дәстүрлі шабуыл үлгісі
Дәстүрлі шабуыл үлгісі біреуі-біреуіне (1.1 сурет) немесе біреуі-
көбіне (1.2 сурет) деген қағида бойынша құрылады, яғни шабуыл бір
нүктеден келеді. Көптеген жағдайда шабуыл көзін жасыру немесе оның
табылуын қиындату мақсатында айырма әдісі қолданылады. Зиянкелтіруші
өзінің шабуылдарын тікелей таңдалған мақсатқа емес, тораптар тізбегі
арқылы жүзеге асырады.
1.1 Сурет - біреуі-біреуіне қатынасы
20
1.2 Сурет - біреуі-көбіне қатынасы
Дәстүрлі қорғаныс құралдарын ойнап табушылар дәл осы шабуылдың
классикалық үлгісіне сүйенеді. Әр түрлі желі нүктелерінде консоль
басқармасы орталығына ақпаратты ұсынатын сан түрлі қорғаныс жүйесінің
агенттері орнатылады. Бұл жүйенің кең ауқымдатуын, қашықтандырылған
басқарманың оңайлылығын және т.б. жұмысын жеңілдетеді.
Бөлшектенген шабуыл үлгісі.
Бұл шабуылдар - бір немесе бірнеше зиянкелтірушіге, бір немесе
бірнеше тораптарға бір мезетте орындалатын жүздеген және мыңдаған
шабуылдарды өткізуге мүмкіндік береді.
Бөлшектенген немесе үйлестірілген шабуылдар (coordinated attack)
үлгісі көптің біреуге (1.3 сурет) және көптің көпке(1.4 сурет) деген
қатынас қағидаларына сүйенеді. Барлық бөлшектенген шабуылдар
(Distributed DoS, DDoS) классикалық шабуылдың қызмет көрсетуде бас
тарту типіне негізделген, дәлірек айтқанда Flood немесе Storm - шабуылдар
деген атаулармен белгілі жиынтығына негізделген. Дәл осы шабуылдардың
мағынасы үлкен көлемде тапсырылған тораптар жүйесінде (шабуыл мақсаты)
құрылады, тіпті мұндай әрекет тораптардың құрылымының бір жола
жойылуына әкелуі мүмкін, себебі тіркелген пайдаланушылардың сұранысын
өңдей алмайды.
21
1.3 - Сурет Көптің біреуге қатынасы
1.4 - Сурет Көптің көпке қатынасы
Дәл осы тәсіл шабуылдаушы тарабына келесідей артықшылықтары бар:
Құпиялылығы. Бірден бірнеше мекен-жайлармен жұмыс істеу,
үйреншікті механизммен шабуылдайтындарды анықтау айтарлықтай
қиындайды (желілік экрандармен, шабуылды анықтау жүйелерімен және
т.б.). Қазіргі заманауи қорғаныс құралдарының барлығы бірдей қолдана
бермейтін деректерді өзара байланыстыру механизімін қолдану қажет.
Шабуыл күші. Бір нүктеден жасалатын ұқсас шабуылдан гөрі, бірнеше
желі нүктелерінен жасалынатын шабуылдар қысқа уақыт ішінде аса қуатты
шабуылды жүзеге асыруға мүмкіндік береді. Жоғарыда айтылған жағдайдай
22
(құпиялылығы) бөлшектенген шабуылды оқшаулау және анықтау әдісі
сияқты әрекеттердің тиімділігі аз болып келеді.
Алуан түрлі деректерді алу. Әр түрлі мекен-жайлар арқылы жұмыс
істей отырып, оның ішінде әртүрлі желілерде орналасқан мекен-жайлар
арқылы, үйреншікті іс-әрекетпен салыстырғанда бір нүктеден жүзеге
асыратын шабуылдың толық объектісі көбірек деректер жинақтай алады.
Мұндай үлгі арқылы шабуыл мақсатына дейін ең қысқа қозғалыс бағытын
анықтап алуға болады, сондай-ақ әр түрлі желілік тораптардың сенімді
қарым-қатынасы және т.б. Мысалы, А торабынан зиянкелтіруші троянский
конь бағдарламасы арқылы шабуыл мақсатына қол жеткізе алады, ал В
торабынан - қол жеткізе алмайды.
Шектеу күрделілігі. Көрсетілген артықшылықтар бөлшектенген
шабуылды шектеуді қиындатады.
Сонымен қатар Internet-серверды істен шығаруға жеткілікті троянский конь
типті бағдарламалары бар түйіндердің мөлшерін санап анықтауға болады.
Қалыпты 128 Кбитс DSL-байланысы кезінде 1 с-та жіберілетін пакеттер саны
800-ден көп емес (128(IP-пакеттың Кбит-тағы орташа өлшемі)). IP-пакеттың
ең аз мөлшері 20 байт (тек атауы)болғандықтан, онда DSL-байланысы 128 000
20 8 = 800 пакет жіберуге мүмкіндік береді. Қалғаны сервердың
өнімділігіне байланысты болады. Мысалы, TopLayerNetworks
компаниясының тестілеуіне сай MSIIS 5.0 Pentium 400 компьютеры
секундына 100-200 пакет өңдей алады. Демек, бір DSL-байланысы бар үй
компьютері 6-7 өнімді емес Web-серверді істен шығара алады. Web - серверге
компьютер қуаты өскен сайын, шабуылға катысатын түйіндердің саны да
өседі.
Бөлінген шабуылдар әдісі бойынша құрылған шабуылдарды анықтау
өте қиын. Шабуылдарды анықтаудың торлық жүйелері оларды сенімсіз
анықтайды, әсіресе егер агенттер мен серверлер арасындағы байланыс
құпияланған болса. Шабуылдарды анықтау жүйелерінің түйіндік дәрежесі
осы мақсатқа көбірек жарамды болып келеді. Осындай шабуылдарды агентті
орнату кезеңінде анықтауға болады.
Оны нәтижесінде яғни соңында жасау өте қиын себебі агент ОЖ бөлігі
ретінде жұмыс істейді. Әсіресе агенттерді Linux және OpenBSD сияқты
"ашық" ОЖ -лар үшін кірістіру қауіпті, себебі агент оперативтік жүйенің
ядросына кірістірілуі мүмкін, ол өз кезегінде осындай агентті анықтауды
қиындатады. Дәстүрлі шабуылда шабуылдаушыға периодты түрде
айғақталған түйінге "кіріп тұруға" тура келеді. Ол тіркеу журналдарының
анализі арқылы немесе автоматталған құралдармен анықталуы мүмкін.
Бөлінген шабуылда мұндай мәселе туындамайды, себебі агент алдын
ала орнатылған, сондықтан айғақталған түйінге периодты түрде "кіріп
тұрудың" қажеті жоқ, барлығын алдын ала бағдарламаланған агент
орындайды.
23
Гибридты шабуылдар (hybridattack), сонымен қатар аралас қауіп
(blendedthreat), дамыған червь (advancedworm) немесе гидра (hydraattack) деп
аталатын шабуылдау әдісі ретінде дамыған.
Осындай шабуылдардың мысалы болып Nimda, CodeRed, SirCam және
Klez келеді. Гибридты шабуылдардың бөлінген шабуылдардан негізгі
айырмашылығы (ол бөлінген шабуылдардың бір модификациясы немесе бір
кеңейтілімі) - өз демондарын басқаратын мастер -агенттердің болмауы.
Сондықтан нағыз көзін,себебін анықтау тіптен мүмкін емес. Оған қоса егер
бұрын пайдаланушы вирустың қосылуын ерікті немесе еріксіз түрде өзі
ұйымдастыруы керек болса, онда гибридты шабуылдар үшін бұл шарт қажет
емес. Олар өздері осал түйіндерді іздеп, оларға сіңіп кейін ешкімнің
көмегінсіз ақ көбейіп отырады.
1.1 К е с т е - Гибридты шабуылдардан қорғаудың әдістері.
Желі
Операциондық жүйе Қосымша
қорғанысы
қорғанысы
қорғанысы
Өнімдер
Желілік
сканерлер
Шабуылды
анықтаудың
желілік жүйесі
Серверлер және жұмыс Қосымша
істеп тұрған сканерлері
станциялар сканерлері
Серверлер мен жұмыс Деректер
істеп тұрған базасының
станцияларға жасалған сканерлері
шабуылдарды анықтау
жүйесі
Желіаралық
бейне беттер
Арнайы антивирустар
Қосымшаларға
арналған
антивирустар
Қызметтер
Қашықтандыры
лған сканерлеу
Қашықтандыры
лған сканерлеу
Қашықтандыры
лған сканерлеу
Қашықтандырылған
сканерлеу
Қашықтықтан
мониторинг жасау
және шабуылды
анықтау жүйесімен
Қашықтандыры
лған сканерлеу
Мониторинг
және
қосымшаның
қорғанысы
1.1
кестенің
жалғасы
24
1.1.2 Шабуылдарды іске асыру кезеңдері.
Шабуылдарды іске асырудың негізгі механизмдерін қарастырайық. Ол
осы шабуылдарды анықтаудың әдістерін түсіну үшін қажет. Сонымен қатар,
шабуылдаушылардың іс-әрекеттерінің принциптерін түсіну, сіздің
торыңыздың сәтті қорғанысына алып келеді.
Шабуылдарды іске асырудың келесідей кезеңдері бар:
- мәлімет жинау (information gathering);
- шабуылдауды іске асыру (exploration);
- шабуылды аяқтау (finishingattack).
25
Консалтинг
Қауіпсіздік
саясатын енгізу
және әзірлеу
Қауіпсіздік саясатын
енгізу және әзірлеу
Қосымшаларды
ң қауіпсіздік
саясатын енгізу
және әзірлеу
Консалтинг
Қорғаныс
талдауы
Қорғаныс талдауы
Қорғаныс
талдауы
Консалтинг
Енуге
байланысты
сынақтар
Енуге байланысты
сынақтар
Енуге
байланысты
сынақтар
Консалтинг
Баптау және
конфигурация
лау
Баптау және ОЖ
конфигурациялау
Баптау және
конфигурация
лау
Жанжалға
әрекет ету
Жанжалға әрекет ету
Жанжалға
әрекет ету
Оқыту
Қауіпсіздік
стандарттары
және саясатын
зерттеу
Қауіпсіздік
стандарттары және
саясатын зерттеу
Қауіпсіздік
стандарттары
және саясатын
зерттеу
Оқыту
Шабуылды
анықтау
жүйесін,
қауіпсіздік
сканерлерін
және
желіаралық
бейне беттерді
зерттеу
Шабуылды анықтау
жүйесін және
қауіпсіздік сканерлерін
зерттеу
Шабуылды
анықтау
жүйесін және
қауіпсіздік
сканерлерін
1.5 сурет - Шабуылды іске асыру
Бірінші кезең - шабуылданатын жүйе мен түйін жайлы мәлімет жинау.
Ол келесідей іс-әрекеттерден тұрады, тордың топологиясын, шабуылданатын
түйіннің оперативтік жүйесінің түрі мен типін, сонымен қатар қол жетімді
торлық және басқа да сервистерді анықтау.
Ол іс-әрекеттер түрлі әдістермен іске асырылады:
- айналаны сараптау. Бұл кезеңде шабуылдаушы жоспарланып отырған
шабуылдау нысанының айналасындағы торлық аймақтарын саралайды.
Ондай аймақтарға, мысалы, Internet-провайдерлер "құрбандар" немесе
шабуылданған компанияның жойылған офисының түйіндері жатқызылады.
Осы кезеңде шабуылдаушы "сенімді" жүйелер мен түйіндердің адрестерін
анықтауға әрекет етуі мүмкін, олар тікелей шабуылдау нысанымен (мысалы
маршрутизатор ISP) байланысты. Осындай іс-әрекеттерді анықтау әлдеқайда
қиын, себебі олар қорғаныс құралдарымен басқарылатын, ұзақ уақыт бойы
және аумақ сыртымен орындалады (тор аралық экрандармен, шабуылдарды
анықтау жүйелерімен және т.б.);
- тор топологиясын идентификациялау. Шабуылдаушылар
пайдаланылатын тор топологиясын анықтаудың екі түрін атауға болады
(network topology detection),олар: "TTL өзгерту" ("TTL modulation") және
"маршрутты жазу" ("record route"). Unix үшін traceroute және Windows үшін
tracert программалары тор топологиясын анықтаудың бірінші әдісін
пайдаланады. Олар IP-пакет тақырыпшасында Live ("өмір сүру уақыты")
жолын пайдаланады, ол тор пакетының қанша маршрутизатордан өткеніне
байланысты өзгеріп отырады. ping утилитасы ICMP-пакетының маршрутын
жазу үшін пайдаланылуы мүмкін. Көбінде торлық топологияны көптеген
торлық құралдарда орнатылған, қорғанысы қате жасалған SNMP
протоколының көмегімен анықтауға болады. RIP протоколының көмегімен
тордағы маршрутизацияның кестесі жайлы мәліметті алуға болады;
- түйіндерді идентификациялау. Түйінді идентификациялау (host
detection), ереже бойынша, ping утилитасының көмегімен протокол ICMP
ECHO_REQUEST командасын жіберу арқылы орындалады. ECHO_REPLY
жауап хабарламасы, түйіннің қол жетімділігін айтады.
Еркін таратылатын бағдарламалар бар, олар түйіндердің көп мөлшерін
параллельді идентификациялау процессін автоматизациялайды және
жылдамдатады, мысалға fping немесе nmap. Берілген әдістің
қауіптілігі,түйіндердің стандартты құралдарымен ECHO_REQUEST
запростары бекітілмейді.
Ол үшіін тарфикты анализдау құралдарын пайдаланған жөн,
тораралық экрандар мен шабуылдарды анықтау жүйелері.
Бірақ та бұл әдіс бірнеше кемшіліктерге ие. Біріншіден, көптеген
торлық құрылғылар мен бағдарламалар ICMP-пакеттерді шектейді де оларды
ішкі торға (немесе сыртқа) өткізбейді.
26
Нәтижесінде айқын емес бейне пайда болады. Ал бір жағынан ICMP-
пакетті шектеу шабуылдаушыға маршрутизаторлардың, тор аралық
экрандардың және т.б. бар екендігін хабарлайды.
Екіншіден, ICMP-запростарын пайдалану шабуылдың көзін оңай
анықтауға мүмкіндік береді;
- сервистерді идентификациялау және порттарды сканерлеу.
Сервистерді идентификациялау (service detection), ереже бойынша, ашық
порттарды анықтау арқылы іске асады (port scanning). Мұндай порттар TCP
және UDP протоколында құрылған сервистермен жиі байланысты болады.
Мысалға, ашық 80-шы порт Web-сервердың, 25-ші порт -пошталық SMTP-
сервердың, 31337-шы троян атының BackOrifice серверлік бөлігінің бар
екендігін түсіндіреді.
Сервистерді идентификациялау мен порттарды сканерлеу үшін, түрлі
бағдарламалар пайдаланылуы мүмкін, соның ішінде еркін таралатындары да
бар. Мысалы, nmap және netcat;
- оперативтік жүйені идентификациялау. ОЖ (OS detection) жойылған
түрде анықтаудың негізгі механизмы - запростарға келетін жауаптардың
анализі, ол түрлі оперативтік жүйелердегі, түрлі TCPIP-ағымдарды иеленуді
ескереді.
Әрбір ОЖ-да TCPIP протоколдарының ағымы өзінше
ұйымдастырылған, ол арнайы запростар мен оларға жауаптар көмегімен
жойылған түйінде қандай ОЖ-ның орналасқанын анықтауға мүмкіндік
береді;
- түйіннің рөлін анықтау. Шабуылдаушы түйін жайлы мәлімет жинау
кезеңінің соңғы қадамдарының бірі оның рөлін анықтау, мысалы, Web-
сервердың немесе тор аралық экранның қызметтерін орныдау.
Бұл қадам алдын ала жиналған, яғни белсенді сервистер, түйіндердің
атауы, тор топологиясы және
т.б. жайлы мәліметтердің негізінде
орындалады;
- түйіннің осалдығын анықтау. Соңғы қадам - осал жерлерін іздеу
(searching vulnerabilities). Осы қадамда шабуылдаушы түрлі автоматталған
құралдардың немесе қолдық әдістің көмегімен осал жерлерін анықтайды,
олар шабуылды ұйымдастыру үшін қолданылады. Мұндай автоматталған
құралдар ретінде ShadowSecurityScanner, nmap, Retina және т.б. боуы мүмкін.
Шабуылдарды іске асыру. Шабуылдаушы екінші кезеңде шабуылдарды
іске асырудың екі нысанын назарға алатынын атап өту керек.
Біріншіден, түйіннің өзіне заңсыз кіру және оның мәліметтерін алу.
Екіншіден, басқа да түйіндерге алдағы шабуылдарды ұйымдастыру үішн
түйіннің өзіне заңсыз кіру. Бірінші нысан, ереже бойынша, тек екіншіні іске
асырғаннан соң орындалады.
Демек, алдымен шабуылдаушы алдағы шабуылдарды жүргізу үшін
өзіне база жасап алады, осыдан соң ғана басқа да түйіндерге кіреді. Ол
шабуыл көзінің орналасуын жасыру мен оны анықтауды әлдеқайда қиындату
үшін қажет.
27
Тікелей қол жетімділік кезінде шабуылдарды іске асыру екі кезеңге
бөлінеді:
- жасырын кіру. Периметрды қорғау құралдарынан жасырын өту
дегенді білдіреді (мысалы, тор аралық экранды). Ол түрлі жолдармен іске
асырылуы мүмкін. Мысалы, компьютер сервисының осалдығын пайдалану,
"қарауыл" сыртқа немесе қауіпті құрамды электрондық пошта арқылы
(макровирустар) немесе Java аплеттері арқылы жіберу. Мұндай құрамдар тор
аралық экрандарда "туннель" пайдаланылуы мүмкін (VPN туннельдерімен
шатастырмау керек), олар арқылы кейін шабуылдаушы кіреді. Осы кезеңге
арнайы утилитаның көмегімен (мысалы, L0phtCrack немес Crack)
администратордың немесе басқа пайдаланушының құпия сөзін таңдауды
жатқызуға да болады;
- бақылау орнату. Шабуылдаушы жасырын кірген соң,
шабуылданатын түйінге бақылау орнатады. Ол "троянский конь" типті
бағдарламаны енгізу арқылы іске асырылады (мысалы, NetBus немесе
BackOrifice). Қажетті түйінге бақылауды орнатып, "іздерді жойған " соң,
шабуылдаушы барлық қажетті заңсыз немесе әдетті емес іс әрекеттерді,
шабуылданып жатқан компьютер иесінің білуінсіз ақ жасай алады. Сонымен
қатар корпоративті тор түйінінде бақылауды орнату, ОЖ-ны қайта жүктеу
кезінде де сақталуы керек. Ол жүктеліп отырған біреуін алмастыру арқылы
немесе қауіпті кодты автожүктеу немесе жүйелік реестрдың файлына
ссылкамен жіберу арқылы іске асуы мүмкін.
Бізге белгілі жағдай, шабуылдаушы торлық картаның EEPROM-ын
қайта жобалап және кейінннен де ОЖ-ны қайта орнатудан соң да ол заңсыз
немсе рұқсат етілмеген іс әрекеттерді іске асыра алды. Осы мысалдың ең
қарапайым модификациясы торлық жүктелудің сценарийне қажетті кодты
немесе үзіндіні енгізу болып табылады (мысалы, ОЖ үшін Novell Netware).
Шабуылды аяқтау
Шабуылды аяқтау кезеңі болып шабуылдаушы жағынан "іздерді жою"
табылады. Әдетте ол түйінді тіркеу журналдарынан сәйкес жазбалар мен
басқа да іс әрекеттерді жою арқылы іске асады, сол арқылы шабуылданған
жүйені бастапқы қалыпқа "шабуылға дейінгі" келтіреді.
1.1.3 Шабуылдар нәтижесі
Шабуылдар нәтижесінің келесідей сыныптамасы бар:
- қол жетімділік құқықтарын кеңейту (increasedaccess) - торда немесе
дәл бір бәсекелес түйінде қол жетімділік құқықтарының кеңеюіне алып
келетін кез келген рұқсат етілмеген істер (компьютерде, маршрутизаторда
және т.б.);
- мәліметтің өзгеруі (corruptionofinformation) - тор түйіндерінде
сақталатын немесе оны тормен жөнелту кезіндегі мәліметті рұқсат етілмеген
түрде өзгерту;
- мәліметті ашу (disclosureofinformation) - қол жетімділікке ие емес
тұлғалардың арасында мәліметті тарату;
28
- сервистерді ұрлау (theftofservice)
-
рұқсат етілмеген түрде
компьютерді немсе торлық сервистерді басқа пайдаланушыларға қызмет
көрсету сапасын өзгертпей пайдалану;
- қызмет көрсетуден бас тарту (denialofservice) - өнімділікті мақсатты
түрде төмендету немесе торға немесе компьютерге және оның қорларына қол
жетімділікті шектеу.
1.2 Корпоративтік тордың ерекшеліктері
Корпоративтік торлар (немесе өндірсі масштабындағы торлар)
өндірістің барлық аумағындағы компьютерлердің көп мөлшерін біріктіреді.
Корпоративтік торды құрау кезіндегі негізгі тапсырма жеке жергілікті
кеңселік және филиалдық торларды ресурстары ортақ бір жүйеге біріктіру.
Осы тапсырманы шешу үшін глобалды қосылыстарды, яғни телефондық
және жерсеріктік каналдарды, радиоканалдарды пайдалану қажеттілігі тууы
мүмкін.
Корпоративтік торлар өзінің жоғары гетерогендік дәрежесімен
ерекшеленеді, компьютер, торлық жабдықтың, операциондық жүйенің
типтері әртүрлі болуы мүмкін.
Корпоративтік тор мәліметті сақтау, өңдеу мен беру құралдары,
әдістері мен персоналының жиынтығы болып табылады. [5]
Корпоративтік тор компанияның профильдік және қаржылық-
шаруашылық жұмысын автоматизациялау үшін арналған және келесі
тапсырмаларды шешуге арналған:
-
компанияның бизнестік жұмысындағы түрлі тапсырмаларды
шешімін қамтамасыз ететін, автоматталған жүйелердің жұмысын қолдап
тұру;
-
-
-
байланыс қызметтерін ұсыну технологиялық процесін басқару;
ұсынылатын байланыс қызметтерінің биллингін қамтамасыз ету;
компания ішінде электронды құжат жинауды және құжаттама
жүргізуді қамтамасыз ету;
-
компанияның корпоративтік торын пайдаланушыларға ресурстарға
қол жетімділікті қамтамасыз ету (файлдық серверлерге, принтерлрге, база
серверлеріне);
-
компанияның корпоративтік торын пайдаланушыларға галамторға
қол жетімділігін қамтамасыз ету;
-
компанияның корпоративтік торын пайдаланушыларға, сыртқы
организациялар мен жеке тұлғаларға қатысты электрондық түрде қызметтік
хат алмасу мүмкіндігін беру;
-
-
корпоративтік тормен қорғалатын объекттер:
мәліметтік ресурстар (магниттік, оптикалық және басқа да
құралдардағы құжаттар мен жазбалар, сонымен қатар тор арқылы алмасатын
мәліметтер);
29
-
аппараттық құралдар (жұмыстық
станциялар, серверлер,
принтерлер, алшақ орналасқан жабдықтар, ақаусыз қуат алу көздері және
т.б.);
-
бағдарламалық құралдар (жүйелік прикладное бағдарламалық
қамтамасыз етулер);
-
торлық қамтамасыз етулер (маршрутизаторлар, коммутаторлар,
модемдер, байланыс каналдары және т.б.);
-
мәліметті тасушылар (компьютерлік, қағаздық ).
1.3 Корпоративтік тордың мәліметтік қауіпсіздігін қамтамасыз ету
мақсаттары мен тапсырмалары
Компанияның корпоративтік торының мәліметтік қауіпсіздігін
қамтамасыз ету мақсаттары мен тапсырмаларын анықтап алу қажет.
Мысал ретінде ДИС АҚ "Қазақтелеком" компаниясының корпоративтік
жүйесін аламыз.
Мәліметтік қауіпсіздікті қамтамасыз етудің стратегиялық мақсаты
компанияның, клиенттерінің, серіктестерінің түсініктерін компанияның
корпоративтік торының қызметі барысына араласу арқылы зиян келтіру
мүмкіндігінен қорғау
Компанияның мәліметтік қауіпсіздігін қамтамасыз етудің негізгі
тапсырмалары [5]:
-
-
қауіптілікті уақытылы анықтау, аумағын анықтау және жою;
қауіптілікті анықтайтын механизмдерін жасап шығару және
қауіптілікке әсер етуді анықтау;
-
-
-
көптеген қауіптерге қарсы әрекет етуі, әдістері мен шаралары;
себептер мен шарттарын анықтау;
қолданылатын қорғаныс шараларының тиімділігі мен
жеткіліктілігін бақылау;
- мәліметтік қауіпсіздікті қамтамасыз ету үшін тор аралық экран
пайдаланылатын болады, себебі осы аппараттық кешен мәліметтік
қауіпсіздікті қамтамасыз ететін мақсаттар мен тапсырмалардың
орындалуын толығымен қамтамасыз ете алады.
2 Корпоративтік тордың қауіпсіздік жүйесі
2.1 Корпоративтік тордың жалпы құрылымы
Мысал ретінде "Қазақтелеком" АҚ Мәліметтік Жүйе Дирекциясының
корпоративтік торы алынды.
Берілген компанияның корпоративтік торы келесілерден (А
Қосымшасы):
- Proxy-, Web-, пошталық серверлер;
- IP-телефониясының торы;
30
- торды басқару, пайдалану және мәлімет тарату,
- ұйымдастыру блогының пайдалану торы;
- серверлер торы (NAT пайдалану арқылы Ғаламторға кіру).
2.2 Мәліметтік қауіпсіздікке қауіптер
2.2.1 Қауіптер көздері
Корпоративтік торға әсері бойынша қауіп көздерін сыртқы және ішкі
деп бөлуге болады. [5]
Ішкі қауіп көздеріне:
-
ішкі бұзушылар;
- аппараттық құралдар (жұмыстық станциялар, серверлер,
принтерлер, алшақ орналасқан құралдар);
- торлық қамтамасыз етулер (маршрутизаторлар, коммутаторлар,
модемдер, байланыс каналдары және т. б.);
- өмір сүруді қамтамасыз ететін жүйелер (энергиямен қамтамасыз ету
жүйелері, кондиционерлеу мен сумен қамтамассыз ету жүйелері).
Сыртқы көздерге:
- сыртқы бұзушылар;
- кенеттен болатын жағдайлар.
- мәліметтік ресурстарға әсері бойынша мақсатты және оқыстан
болған қауіптер.
Мақсатты (жоспарланған) қауіптер адамдардың жаман ойларымен
немесе мақсаттарымен байланысты.
Оқыстан болған қауіптер корпоративтік тордың элементтерін
жобалаудағы қателермен бағдарламалық қамтамасыз етулерде,
қызметшілердің іс әректтерімен және т.б. пайда болған.
Қауіптер көзінің сипаттамасы 2.1 суретте көрсетілген.
31
2.1 сурет - Қауіптер көзі
2.2.2 Қауіптер моделі
Кесте 2.1 қауіптер моделі көрсетілген, ол мүмкін қауіптіліктерді
анықтайды.
Қауіптің әрбір түрі үшін кестеде, берілген қауіптің пайда болу көзі
көрсетілген.
Бөлімдердегі қауіптер түрі мен бұзушылар категориясы пункттерде
мағынасы бойнша орналасқан.
32
2.1 к е с т е - Модель угроз информационной безопасности
33 №
пп
Қауіптердің түрі
Қауіптерге сипаттама
Бастау,
бұзушының
дәрежесі
1.
Кесімді адам факторларының қауіпіне, себепті қасақана пайда
болатын қауіптер жатады
1.1
Жүйелерде және
қосымшаларда
авторластырған
қолданушылардың
дұрыс емес
әсерлер
Оған рұқсат етілген есептік
жазулар бұзушымен
қолдануы,
телекоммуникацияларға
желілерге басқаруларға
жүйелерде дұрыс емес
әсерлерге шешілмеген
мақсаттарда, сол санда,
,SAPR3 және басқа
жүйелерде
Әкімшілер,
қолданушылар,
бағдарламашыла
р, әріптестер,
уақытша
қолданушылар,
алып тастаған
қолданушылар
1.2
Ақау қызмет
көрсетуде
Жүйелерде, қосымшаларда
және базасыларда қызмет
көрсетуде ақауға пайда
болуға осы бағыттағанын біле
тұра әсерлердің орындауы
Әкімшілер,
техникалық
қызметші,
сыртқы
қаскүнемдер,
бағдарламашыла
р, әріптестер,
қолданушылар,
алып тастаған
қолданушылар,
уақытша
қолданушылар
1.3
Енгізу зиян
келтіретін немесе
қиратушы
программалық
қамтамасыз етуді
Енгізу зиян келтіретін немесе
вирустарды, троя аттардың
, құрттарды , логикалық
бомбаларды қосатын
қиратушы программалық
қамтамасыз етуді және бас-
сираққа жетектеп жүнетін
Сыртқы
қаскүнемдер,
алып тастаған
қолданушылар,
қолданушылар,
әріптестер,
уақытша
2.1 кесте жалғасы
34
немесе осал жері жүйедің
үстінде толық бақылаудың
бірлескен желіге, және алуға
жұмыста компоненттердің
бұзушылыққа
қолданушылар,
өңдеушілер,
бағдарламашыла
р, техникалық
қызметші,
әкімшілер
1.4
Авторластырған
қолданушылармен
атыға ауыстырып
жіберуі
Рұқсаттың алуы (мысалы,
мәліметке авторластырған
қолданушылармен бөгде
есептік жазудан)
қолдануыдан көмекпен,
рұқсат оларға тыйым салуған
Қолданушылар,
техникалық
қызметші,
уақытша
қолданушылар,
әріптестер, алып
тастаған
қолданушылар,
әкімдер
1.5
Бөтен беттермен
қолданушының
атыға ауыстырып
жіберуі
Атының (астында рұқсаттың
бөтен беттермен алу
мәліметке қолданушының)
авторластырған
Сыртқы
қаскүнемдер,
келушілер
1.6
Жүйелік
қорлардың дұрыс
емес қолдануысы
Жұмыс жасамайтын
мақсаттарда ұйымдар
аппаратты және
программалық қамтамасыз
етулері қолдануы, қосатын:
- фильм компъютер
ойындары, көруі;
- функционалдық
міндеттерге орындауға
жататын емес мақсаттарда
Интернетке рұқсаттың
қолдануысы;
- бөтен ұйымдар үшін
жұмыстар рұқсат етілмеген
орындау үшін қорлардың
қолдануысы және дербес
мақсаттарда.
Қолданушылар,
техникалық
қызметші,
бағдарламашыла
р, әкімшілер,
алып тастаған
қолданушылар,
уақытша
қолданушылар
1.7
Операциядағы
қате
Бірлескен желіден аппаратты-
программалық құралдардан
күйге келтірулермен
басқарумен сабақтас
операцияларда орындауда
Қоғамдар қызметкерлермен
Әкімшілер,
әріптестер
2.1 кесте жалғасы
35
қателердің іске асыруы
1.8
Аппаратты
қамтамасыз
етулерге қызмет
көрсетуде қате
Аппаратты құралдарға
техникалық қызмет
көрсетулерге процессте
Қоғамдар қызметкерлермен
қателердің іске асыруы
Техникалық
қызметші
1.9
Қолданушының
қатесі
Қосымшалармен жұмыста
қолданушылармен қателердің
іске асыруы
Қолданушылар,
алып тастаған
қолданушылар
1.10
Корпаративтік
желіге ену
Осы қауіпке жатады:
- қолдануымен жүйеге
хакердің енуі, мысалы,
буферден асыра
толтырумен шабуылдар;
- торлық қосудан
қатысушыдан
ауыстырып жіберумен
жүйеге ену;
- ауыстырып жіберумен
жүйеге ену IP-, MAC-
Мекен-жайларды;
- адасушылыққа белгілі
енгізумен шабуылдар
жүзеге асыруы
Сыртқы
қаскүнемдер
1.11
Мәліметпен
манипуляция
жасау
Осы қауіпке жатады:
- вебсайте серіктестікте
мәліметтер ауыстырып
жіберуі;
- (спам) мәліметтер біле
тұра керексіз адресатқа
тарату;
- жалған қатынастардың
енгізуі;
- мәліметтер жеткізулері
кезектіліктері біле тұра
бұзушылығы;
- жеткізулер біле тұра
тоқтау;
- маршрутизациялар біле
тұра бас-сирақ;
- дұшпандық жұмыс
станция арқылы
қатынастың жіберудің
Сыртқы
қаскүнемдер,
әкімшілер,
техникалық
қызметші,
уақытша
қолданушылар,
әріптестер,
қолданушылар,
бағдарламашылар,
алып тастаған
қолданушылар
2.1 кестенің жалғасы
36
арқылы шабуылшы тараппен
ұстап қалу, өзгеріс және
бағыттау қатынастары.
1.12
Мәліметтерді
ұстап қалу
Осы қауіпке жатады:
- мәліметтер енжар ұстап
қалу;
- белсенді ұстап қалу;
- трафиктің барлауы
рұқсат етілмеген.
Уақытша
қолданушылар,
техникалық
қызметші,
қолданушылар,
сыртқы
қаскүнемдер,
бағдарламашыла
р, әріптестер,
алып тастаған
қолданушылар,
әкімшілер
1.13
Қабылдаудың
теріске шығаруы
хабарламаның
берілуі
Осы қауіпке жатады:
- желінің қолданушылары
теріске шығарады, не
олар берілулер) (теріске
шығаруы қатынас
жіберді;
- желінің қолданушылары
теріске шығарады, не
олар қабылдаудың)
(теріске шығаруы
қатынас қабылдады.
Қолданушылар,
алып тастаған
қолданушылар,
техникалық
қызметші,
бағдарламашыла
р, әкімшілер,
әріптестер,
уақытша
қолданушылар.
1.14
Қызметші
ұрлықтары
Серіктестіктерге,
жинаушыларға қоса ғимаратта
болған қызметкерлермен
құжаттардың, және
физикалық дүниенің
ұрлықтардың іске асыруы,
көмекші жұмыс және т.б
Қызмет етуші
қызметші,
қолданушылар,
техникалық
қызметші,
бағдарламашыла
р, әкімдер
1.15
Бөтен ұрлықтар
Заңсыз ену іске асырған
серіктестікке, сол санда
адамдармен, болатын емес
қызметкерлермен
құжаттардың, және
физикалық дүниенің
ұрлықтардың іске асыруы
қызметкерлермен
құжаттардың, және
физикалық дүниенің
Келушілер,
уақытша
қолданушылар
2.1 кестенің жалғасы
37
ұрлықтардың іске асыруы
1.16
1.17
Қызметкерлермен
дүниелер
қасақана бұзуы
Дүниелер
қасақана бұзуы
бөтен
Акт вандализмдің іске асыруы Қызмет етуші
және серіктестіктерге, қызметші,
жинаушыларға қоса ғимаратта қолданушылар,
болған қызметкерлермен техникалық
тіршілік қамтамасыздар қызыметші,
мәліметке, жүйелерге бағдарламашыла
техникалық құралдарға, р, әкімшілер
сақтаушыларға физикалық
залалдың келтіру, көмекші
жұмыс және т.б.
Акт вандализмдің іске асыруы Келушілер,
және заңсыз ену іске асырған уақытша
серіктестікке, сол санда қолданушылар
адамдармен, болатын емес
қызметкерлермен тіршілік
қамтамасыздар мәліметке,
жүйелерге техникалық
құралдарға, сақтаушыларға
физикалық залалдың келтіру
2
Бірлескен желіде әзірлеуде және пайдаланымда қолданхатын
техникалық құралдармен сабақтас қауіпті. Ақпараттық қауіпсіздікке
қауіптерге осы классқа жүйе, оның жеке компоненттер және қосалқы
коммуникациялар техникалық құралдар физикалық бұзылулар,
ақаулар және ақаулықтар себепті пайда болатын қауіптер жатады
2.1
Жабдықтар
ақаулар және бас-
сирақтар
Әр түрлі факторларға
ықпалдарға нәтижеде жұмыста
серверлердің ақау
Техникалық
құралдар
2.2
Диск сияқты
массивтердің
ақаулары және
бас-сирақтары
Әр түрлі факторларға
ықпалдарға нәтижеде жұмыста
диск сияқты массивтердің ақау
Техникалық
құралдар
2.3
Торлық
жабдықтар
ақаулар және бас-
сирақтар
Әр түрлі факторларға
ықпалдарға нәтижеде жұмыста
торлық жабдықтар ақау
Техникалық
құралдар
2.4
Байланыстар
каналдардың
жоғалуы
Серіктестікпен бірлескен
желімен түйіндермен арасында
байланыстар жойылады
Техникалық
құралдар
2.5
Лента сияқты
кітапханалардың
ақаулары және
бас-сирақтары
Әр түрлі факторларға
ықпалдарға нәтижеде жұмыста
лента сияқты кітапханалардың
ақау
Техникалық
құралдар
2.1 кестенің жалғасы
38 2.6
Басқарудың және
барлаудың
станциялардың
ақаулар және бас-
сирақтары
Әр түрлі факторларға
ықпалдарға нәтижеде
басқарудың және барлаудың
жұмыста станциялардың
ақау
Техникалық
құралдар
2.7
Жұмыс
станциялардың
ақаулары және бас-
сирақтары
Әр түрлі факторларға
ықпалдарға нәтижеде
жұмыста жұмыс
станциялардың ақау
Техникалық
құралдар
2.8
Маршрутизациялар
қасақана емес қате
Қате мекен-жай бойынша
желі бойынша жіберуде
мәліметтер жеткізуі
Техникалық
құралдар
3
Бірлескен желіде әзірлеуде және пайдаланымда қолданхатын
программалық құралдармен сабақтас қауіпті. Ақпараттық
қауіпсіздікке қауіптерге осы классқа жүйелерге компоненттерге
жүйелік және функционалдық программалық қамтамасыз етуде
қателер пайда болу себепті пайда болатын қауіптер жатады
3.1
Жүйелік
программалық
қамтамасыз етулер
ақау
Қателер бар болу себепті
жүйелік программалық
қамтамасыз етулерге ақауға
БЖ, осалдықтардың және
бас-сирақтардың влекущих
пайда болуы БЖ жұмыста
Бағдармалық
құралдар
3.2
Қолданбалы
программалық
қамтамасыз етулер
ақау
Қателер бар болу себепті
қолданбалы программалық
қамтамасыз етулерге ақауға
БЖ, осалдықтардың және
бас-сирақтардың влекущих
пайда болуы БЖ жұмыста
Бағдармалық
құралдар
4
Техногенді қауіпті қауіптерге осы классқа жылдамдатқан-мажорлық
жағдайлар себепті пайда болатын қауіптер жатады
4.1
Энергия
жабдықтаулар
жүйелері ақауы
Ғимаратқа қоректенудің
берулері ақауы
Техникалық
құралдар
4.2
Ауа тазартулар
жүйелері ақауы
Шекті мүмкін шеңберлердің
артына жұмыс
температуралар шығу себепті
жұмысқа тоқтатуға жетектеп
жүнетін әуе ауа тазартулар
жүйелер ақауы
Техникалық
құралдар
4.3
Өрт
Физикалық құралдардың
отпен бұзылу, құрайтын
жүйеді, құжаттаманы қоса
Форс-мажорлық
жағдайлар
2.1. кестенің жалғасы
2.4 Басып алушылықтарды бақылау жүйесінің құрылымы
IDS-тың жұмыс істеуінің жалпы сұлбасы 2.2-суретте көрсетілген.
Соңғы кездерде көптеген басылымдарда distributed IDS (dIDS) деп
аталатын жүйелер жайлы сөз қозғалуда. dIDS көптеген IDS-дан ... жалғасы
Ұқсас жұмыстар
Пәндер
- Іс жүргізу
- Автоматтандыру, Техника
- Алғашқы әскери дайындық
- Астрономия
- Ауыл шаруашылығы
- Банк ісі
- Бизнесті бағалау
- Биология
- Бухгалтерлік іс
- Валеология
- Ветеринария
- География
- Геология, Геофизика, Геодезия
- Дін
- Ет, сүт, шарап өнімдері
- Жалпы тарих
- Жер кадастрі, Жылжымайтын мүлік
- Журналистика
- Информатика
- Кеден ісі
- Маркетинг
- Математика, Геометрия
- Медицина
- Мемлекеттік басқару
- Менеджмент
- Мұнай, Газ
- Мұрағат ісі
- Мәдениеттану
- ОБЖ (Основы безопасности жизнедеятельности)
- Педагогика
- Полиграфия
- Психология
- Салық
- Саясаттану
- Сақтандыру
- Сертификаттау, стандарттау
- Социология, Демография
- Спорт
- Статистика
- Тілтану, Филология
- Тарихи тұлғалар
- Тау-кен ісі
- Транспорт
- Туризм
- Физика
- Философия
- Халықаралық қатынастар
- Химия
- Экология, Қоршаған ортаны қорғау
- Экономика
- Экономикалық география
- Электротехника
- Қазақстан тарихы
- Қаржы
- Құрылыс
- Құқық, Криминалистика
- Әдебиет
- Өнер, музыка
- Өнеркәсіп, Өндіріс
Қазақ тілінде жазылған рефераттар, курстық жұмыстар, дипломдық жұмыстар бойынша біздің қор #1 болып табылады.
Ақпарат
Қосымша
Email: info@stud.kz