Шпоры - Ответы на зачет по теории и методологии защиты информации - файл n1.docx

Шпоры - Ответы на зачет по теории и методологии защиты информации
Скачать все файлы (72.2 kb.)

Доступные файлы (1):
n1.docx73kb.01.04.2014 06:17скачать

n1.docx

1   2   3

19. Укажите уровни сетевой модели, на которых применяется фильтрация пакетов. 


Пакетные фильтры осуществляют анализ информации сетевого и транспортного уровней модели OSI . Это сетевые адреса (например, IP ) отправителя и получателя пакета номера портов отправителя и получателя, флаги протокола TCP , опции IP , типы ICMP .


20. Какой принцип предпочтительнее для фильтрации пакетов: «то, что не запрещено, разрешено» или «то, что не разрешено, запрещено». Почему? 

Второй принцип предпочтительнее, поскольку мы не может учесть все что нужно запретить.


21. Укажите основные цели тестирования на проникновение. 

Тест на проникновение" помогает на практике получить объективную и независимую оценку того, насколько легко осуществить несанкционированный доступ к ресурсам корпоративной сети и сайта компании, каким способом и по средством каких уязвимостей. На практике, "тест на проникновение" - это моделирование действий злоумышленников по проникновению в информационную систему в условиях, максимально приближенных к тем, которые возникают при атаке хакеров. При этом моделироваться могут как внешние, так и внутренние нарушители.

Задача теста на проникновение: полностью имитирую действия взломщика, осуществить атаку из Интернет на:
http://www.lghost.ru/lib/security/kurs1/img/underbaner.gif веб-сервер
http://www.lghost.ru/lib/security/kurs1/img/underbaner.gif сервер приложений или баз данных
http://www.lghost.ru/lib/security/kurs1/img/underbaner.gif корпоративную сеть

Цель теста на проникновение: обнаружить слабые места (уязвимости) в защите и, если это возможно и соответствует желанию заказчика, осуществить показательный взлом.

Тесты на проникновение являются начальным этапом полного аудита безопасности автоматизированной системы компании, на основании которого возможна, во-первых, разработка политики и стратегии информационной безопасности, и, во-вторых, разработка и внедрение плана защиты ИТ ресурсов компании. 

 С другой стороны, проведение теста на проникновение позволит директору службы информационной безопасности:

22. Перечислите основные причины невозможности обеспечения адекватной защиты только средствами межсетевых экранов. 

Некоторые корпоративные сети используют топологии, которые трудно "уживаются" с межсетевым экраном (например, широковещательная рассылка трафика), или используют некоторые сервисы (например, NFS) таким образом, что применение МСЭ требует существенной перестройки всей сетевой инфраструктуры. В такой ситуации относительные затраты на приобретение и настройку межсетевого экрана могут быть сравнимы с ущербом, связанным с отсутствием МСЭ. 

Новые возможности, которые появились недавно, и которые облегчают жизнь пользователям Internet, разрабатывались практически без учета требований безопасности. Например, JavaScript, Java, ActiveX и другие сервисы, ориентированные на работу с данными. Специфика мобильного кода такова, что он может быть использован и как средство для проведения атак, и как объект атаки. В первом варианте опасность заключается в том, что мобильный код загружается на компьютер пользователя и выполняется на нем как обычная программа, получая доступ к системным ресурсам. Второй вариант, как правило, используется для модификации мобильного кода - как предварительный этап перед проведением атак на локальный компьютер пользователя.

Практически ни один межсетевой экран не имеет встроенных механизмов защиты от вирусов и, в общем случае, от атак. Как правило, эта возможность реализуется путем присоединения к МСЭ дополнительных модулей или программ третьих разработчиков (например, система антивирусной защиты Trend Micro для МСЭ Check Point Firewall-1 или система обнаружения атак RealSecure для него же). Использование нестандартных архиваторов или форматов передаваемых данных, а также шифрование трафика, сводит всю антивирусную защиту "на нет".

Очень часто межсетевые экраны являются самым узким местом сети, снижая ее пропускную способность. В тех случаях, когда приходится анализировать не только заголовок (как это делают пакетные фильтры), но и содержание каждого пакета ("proxy"), существенно снижается производительность межсетевого экрана. Для сетей с напряженным трафиком использование обычных межсетевых экранов становится нецелесообразным. В таких случаях на первое место надо ставить обнаружение атак и реагирование на них, а блокировать трафик необходимо только в случае возникновения непосредственной угрозы. Тем более что некоторые средства обнаружения атак (например, BlackICE Gigabit Sentry) могут функционировать и на гигабитных скоростях. 


23. Перечислите основные проблемы формирования сигнатур атак. 

Среди недостатков систем обнаружения вторжений можно отметить следующие:

24. Дайте определение понятий «атака» и «вторжение». 

Вторжение - неавторизованный доступ в компьютерную систему или сеть либо несанкционированное управление им в основном через Интернет.

Атакой на информационную систему называются преднамеренные действия злоумышленника, использующие уязвимости информационной системы и приводящие к нарушению доступности, целостности и конфиденциальности обрабатываемой информации.


25. Что включается в понятие «сигнатуры СОВ»? 

Системы обнаружения вторжений используются для обнаружения некоторых типов вредоносной активности, которая может нарушить безопасность компьютерной системы. К такой активности относятся сетевые атаки против уязвимых сервисов, атаки, направленные на повышение привилегий, неавторизованный доступ к важным файлам, а также действия вредоносного программного обеспечения (компьютерных вирусов, троянов и червей)

 В глобальном смысле, их общая задача - предупреждать нас при попытках вторжения. Возможно, вы наблюдали какой-то подозрительный трафик в вашей сети, и хотите в случае повторения чего-либо подобного быть начеку. А может быть, вы заметили какие то необычные характеристики заголовка, и хотите записать сигнатуру, которая будет искать соответствия этому подозрительному шаблону. Или, возможно, вы занимаетесь конфигурированием вашего IDS, настраивая ее на идентификацию различных типов нестандартного или подозрительный трафика, а не только на отражение известных типов нападения. Некоторые сигнатуры могут сообщить вам, что происходит попытка определенного типа нападения или кто-то пытается эксплуатировать известные уязвимости в программных продуктах, в то время как другие сигнатуры могут только выявлять необычное поведение, при этом не обязательно должна проходить идентификация типа нападения. Некоторые сигнатуры способны, при определенной затрате времени и программных ресурсов, идентифицировать инструмент, которым нападающий пытается вызвать злонамеренное действие, и это даст вам подробную информацию относительно того, как, кем и почему вы атакованы, и каковы дальнейшие намерения злоумышленника.
26. Какие виды сигнатур могут использоваться в СОВ? 

Сетевая IDS сигнатура – набор данных, которые мы хотим найти в трафике. Рассмотрим некоторые примеры и методы, которые позволяют их идентифицировать:

Из приведенного списка видно, что диапазон сигнатур меняется от очень простых, типа проверки значений поля заголовка - до очень сложных сигнатур, которые могут прослеживать состояние подключения или выполнять анализ протокола. Обратите внимание, что возможности сигнатур зависят от конкретных IDS систем, т.е. некоторые из описанных методов не могут быть осуществлены в вашей IDS.

Некоторые сигнатуры могут сообщить вам, что происходит попытка определенного типа нападения или кто-то пытается эксплуатировать известные уязвимости в программных продуктах, в то время как другие сигнатуры могут только выявлять необычное поведение, при этом не обязательно должна проходить идентификация типа нападения. Некоторые сигнатуры способны, при определенной затрате времени и программных ресурсов, идентифицировать инструмент, которым нападающий пытается вызвать злонамеренное действие, и это даст вам подробную информацию относительно того, как, кем и почему вы атакованы, и каковы дальнейшие намерения злоумышленника.


27. Перечислите задачи, выполняемые системами обнаружения аномалий протоколов. 

Однако в случае задачи распознавания аномалий вычислительных процессов возникает целый ряд затруднений, связанных, главным образом, с необходимостью учета и обнаружения ранее неизвестных типов атак и воздействий. Это предполагает:


28. Какие подходы могут использоваться для определения «нормальности» поведения? 

В системах обнаружения вторжений решения принимаются по поводу нормальности или аномальности поведения на основе статистических данных. В антивирусных сканерах на основе эвристического анализа делается вывод, соответствует ли данная сигнатура вирусной сигнатуре или нет.
Не смотря на то, что бинарный характер работы механизма принятия решений является как бы имманентным для рассматриваемых систем защиты, он же является и главной проблемой таких систем. Чем более жесткая выбирается политика безопасности, тем больше ложных тревог генерируется системой. Как показывает статистика инцидентов безопасности CERT [1] пользователи склонны делать выбор в пользу простоты, чем безопасности. Следует также отметить, что бинарный механизм принятия решений не учитывает ситуации неопределенности, когда ни пользователь, ни система не в состоянии принять решение в принципе пока не выполниться какое-либо действие или не поступит новая информация.

29. Укажите основные достоинства применения технологии агентов для обнаружения вторжений. 

Первичный сбор данных осуществляют агенты, называемые также сенсорами. Регистрационная информация может извлекаться из системных или прикладных журналов (технически несложно получать ее и напрямую от ядра ОС), либо добываться из сети с помощью соответствующих механизмов активного сетевого оборудования или путем перехвата пакетов посредством установленной в режим мониторинга сетевой карты.

На уровне агентов (сенсоров) может выполняться фильтрация данных с целью уменьшения их объема. Это требует от агентов некоторого интеллекта, но зато разгружает остальные компоненты системы.

Агенты передают информацию в центр распределения, который приводит ее к единому формату, возможно, осуществляет дальнейшую фильтрацию, сохраняет в базе данных и направляет для анализа статистическому и экспертному компонентам. Один центр распределения может обслуживать несколько сенсоров.

Содержательный активный аудит начинается со статистического и экспертного компонентов. Если в процессе статистического или экспертного анализа выявляется подозрительная активность, соответствующее сообщение направляется решателю, который определяет, является ли тревога оправданной, и выбирает способ реагирования.

Хорошая система обнаружения вторжений должна уметь внятно объяснить, почему она подняла тревогу, насколько серьезна ситуация и каковы рекомендуемые способы действия. Если выбор должен оставаться за человеком, то пусть он сводится к нескольким элементам меню, а не к решению концептуальных проблем.


30. Перечислите основные методы обхода систем обнаружения вторжений. 

-f (фрагментировать пакеты);

mtu (используя заданное значение MTU)
-D <фиктивный_хост1>[,<фиктивный_хост2>][,ME][,...] (Маскировка сканирования с помощью фиктивных хостов)
-S (Изменить исходный адрес)
-e <интерфейс> (Использовать конкретный интерфейс)
—source-port <номер_порта>; -g <номер_порта> (Задать свой номер порта)
—data-length <число> (Добавить произвольные данные к посылаемым пакетам)
—ip-options ; —ip-options <шестнадцатиричная строка> (Посылать пакет с заданным ip опциями)
—ttl <значение> (Установить IP поле time-to-live (время жизни)
—randomize-hosts (Использовать произвольный порядок целей сканирования)
—spoof-mac > (Задать собственный MAC адрес)
—badsum (Посылать пакеты с фиктивными TCP/UDP контрольными суммами)
31. В чем состоит основная цель Honeypot и Honeynet? 

Honeypot — ресурс, представляющий собой приманку для злоумышленников.
Задача Honeypot — подвергнуться атаке или несанкционированному исследованию, что впоследствии позволит изучить стратегию злоумышленника и определить перечень средств, с помощью которых могут быть нанесены удары по реально существующим объектам безопасности. Реализация Honeypot может представлять собой как специальный выделенный сервер, так и один сетевой сервис, задача которого — привлечь внимание взломщиков.


Собственно, понятно из названия, что Honeynet это разновидность Honeypot, только система представляет из себя не один компьютер, а целую их сеть (либо виртуальную, при которой на одном компьютере эмулируется работа многих ОС и устройств, либо реальную, при которой используется совершенно реальная локалка). Сеть сидит за неким фильтром (файрволом) и перехватывает все входящие и исходящие соединения, затем информация о проделанной хакером работе рассматривается и анализируется. Внутри Сети может быть размещено множество различных компьютеров, например с Solaris, Linux, Windows NT, а так же свичи и маршрутизаторы. Honeynet, конечно же, создает для стороннего грабителя более реальную картину, нежели стоящий отдельно и в одиночестве Honeypot. К тому же, используя много машин с различным программным обеспечением, пусть даже и виртуальным, мы сможем узнать гораздо больше о тактике хакера нежели при использовании одного компьютера. 

32. Укажите причины появления ошибок ложного срабатывания и ошибок пропуска для различных технологий обнаружения: обнаружения сигнатур и обнаружения аномалий. 
Одной из главных проблем систем обнаружения вторжений является их склонность к большому числу ложных срабатываний. Ложное срабатывание имеет место, когда система генерирует сигнал тревоги на основе того, что она считает вредоносной или подозрительной активностью, но что в действительности оказывается нормальным трафиком для данной сети. Обычно в подразумеваемой конфигурации сетевая система обнаружения вторжений будет реагировать на все хоть чуть-чуть необычное. Типичные причины ложных срабатываний: Работа системы мониторинга сети
Для опроса состояния эти системы обычно применяют SNMP или аналогичный протокол, но они могут также использовать эхо-тестирование и другие, более назойливые проверки. По умолчанию большинство систем обнаружения вторжений рассматривают эту активность как вредоносную или, по крайней мере, подозрительную. Сетевое сканирование уязвимостей/сканеры портов
Всякий раз, когда вы запускаете сетевое тестирование уязвимостей или сканирование портов с помощью таких программ, как Nessus и Nmap, ваша сетевая система обнаружения вторжений будет сходить с ума. Эти программы созданы для выполнения именно того, что делают хакеры. Пользовательская активность
Большинство сетевых систем обнаружения вторжений настроены для сигнализации об опасной активности пользователей, такой как одноранговое разделение файлов, мгновенный обмен сообщениями и т.д. Однако, если подобная активность допускается либо формальной политикой, либо просто несоблюдением существующих политик, то она будет фиксироваться в журналах в виде сигналов.
33. Укажите принципиальное отличие систем предупреждения вторжений от систем обнаружения вторжений. 
1   2   3
Учебный текст
© perviydoc.ru
При копировании укажите ссылку.
обратиться к администрации