Безпека комп'ютерних мереж

Скрипський Миколаceo@mgm.cv.ua

Кафедра комп'ютерних систем та мережЧернівецький національний університет ім. Юрія

Федьковича

Микола Скрипський. Комп'ютерні мережі. ceo@mgm.cv.ua 2

Зміст

● Безпека мережі

● Захист в бездротових мережах

● Види атак

● Програмне забезпечення для захисту даних в комп'ютерних мережах

Микола Скрипський. Комп'ютерні мережі. ceo@mgm.cv.ua 3

Безпека мережі

● Безпе́ка мере́жі — заходи, які захищають інформаційну мережу від несанкціонованого доступу, випадкового або навмисного втручання в роботу мережі або спроб руйнування її компонентів. Безпека інформаційної мережі включає захист обладнання, програмного забезпечення, даних і персоналу.

● Мережева безпека складається з положень і політики, прийнятої адміністратором мережі, щоб запобігти і контролювати несанкціонований доступ, неправильне використання, зміни або відмови в комп'ютерній мережі та мережі доступних ресурсів.

● Найбільш поширений і простий спосіб захисту мережевих ресурсів є присвоєння їм унікального імені та відповідного паролю.

Микола Скрипський. Комп'ютерні мережі. ceo@mgm.cv.ua 4

Концепції мережевої безпеки

● Мережева безпека починається з аутентифікації, що зазвичай включає в себе ім'я користувача і пароль. Коли для цього потрібно тільки одна деталь аутентифікації (ім'я користувача), то це називають однофакторною аутентифікацією. При двофакторній аутентифікації, користувач ще повинен використати маркер безпеки або 'ключ', кредитну картку або мобільний телефон, при трьохфакторній аутентифікації, користувач повинен застосувати відбитки пальців або пройти сканування сітківки ока.

● Після перевірки дійсності, брандмауер забезпечує доступ до послуг користувачам мережі. Для виявлення і пригнічування дії шкідливих програм використовується антивірусне програмне забезпечення або системи запобігання вторгнень (IPS).

● Зв'язок між двома комп'ютерами з використанням мережі може бути зашифрований, щоб зберегти конфіденційність.

Микола Скрипський. Комп'ютерні мережі. ceo@mgm.cv.ua 5

Як працює система безпеки

● Система безпеки мережі не ґрунтується на одному методі, а використовує комплекс засобів захисту. Навіть якщо частина обладнання виходить з ладу, решта продовжує захищати дані Вашої компанії від можливих атак.

● Встановлення рівнів безпеки мережі надає Вам можливість доступу до цінної ділової інформації з будь-якого місця, де є доступ до мережі Інтернет, а також захищає її від загроз.

Микола Скрипський. Комп'ютерні мережі. ceo@mgm.cv.ua 6

Як працює система безпеки● Система безпеки мережі:

● Захищає від внутрішніх та зовнішніх мережних атак. Небезпека, що загрожує підприємству, може мати як внутрішнє, так і зовнішнє походження. Ефективна система безпеки стежить за активністю в мережі, сигналізує про аномалії та реагує відповідним чином.

● Забезпечує конфіденційність обміну інформацією з будь-якого місця та в будь-який час. Працівники можуть увійти до мережі, працюючи вдома або в дорозі, та бути впевненими у захисті передачі інформації.

● Контролює доступ до інформації, ідентифікуючи користувачів та їхні системи. Ви маєте можливість встановлювати власні правила доступу до даних. Доступ може надаватися залежно від ідентифікаційної інформації користувача, робочих функцій, а також за іншими важливими критеріями.

● Забезпечує надійність системи. Технології безпеки дозволяють системі запобігти як вже відомим атакам, так і новим небезпечним вторгненням. Працівники, замовники та ділові партнери можуть бути впевненими у надійному захисті їхньої інформації.

Микола Скрипський. Комп'ютерні мережі. ceo@mgm.cv.ua 7

Ключові елементи захищених мережних служб

● Брандмауери. Централізовані брандмауери та брандмауери окремих комп’ютерів можуть запобігати проникненню зловмисного мережного трафіку до мережі, яка підтримує діяльність компанії.

● Антивірусні засоби. Більш захищена мережа може виявляти загрози, що створюють віруси, хробаки та інше зловмисне програмне забезпечення, і боротися з ним попереджувальними методами, перш ніж вони зможуть заподіяти шкоду.

● Знаряддя, які відстежують стан мережі, грають важливу роль під час визначення мережних загроз.

● Захищений віддалений доступ і обмін даними. Безпечний доступ для всіх типів клієнтів із використанням різноманітних механізмів доступу грає важливу роль для забезпечення доступу користувачів до потрібних даних, незалежно від їх місцезнаходження та використовуваних пристроїв.

Микола Скрипський. Комп'ютерні мережі. ceo@mgm.cv.ua 8

Захист в Wi-Fi мережах

● Існує два основних варіанти пристрою бездротової мережі:

– Ad-hoc - передача безпосередньо між пристроями;

– Hot-spot - передача здійснюється через точку доступу;

● В Hot-spot мережах присутня точка доступу, за допомогою якої відбувається не тільки взаємодія всередині мережі, але і доступ до зовнішніх мереж. Hot-spot представляє найбільший інтерес з точки зору захисту інформації, бо зламавши точку доступу, зловмисник може отримати інформацію не тільки зі станцій, розміщених в даній бездротовій мережі.

Микола Скрипський. Комп'ютерні мережі. ceo@mgm.cv.ua 9

Методи обмеження доступу

● Фільтрація MAC-адреси.

● Режим прихованого ідентифікатора SSID.

● Методи аутентифікації.

● Методи шифрування.

●

Микола Скрипський. Комп'ютерні мережі. ceo@mgm.cv.ua 10

Фільтрація MAC-адреси:

● Даний метод не входить в стандарт IEEE 802.11. Фільтрацію можна здійснювати трьома способами:

– Точка доступу дозволяє отримати доступ станціям з будь-якою MAC-адресою;

– Точка доступу дозволяє отримати доступ тільки станціям, чиї MAC-адреси знаходяться в довірчому списку;

– Точка доступу забороняє доступ станціям, чиї MAC-адреси знаходяться в "чорному списку";

● Найбільш надійним з точки зору безпеки є другий варіант, хоча він не розрахований на підміну MAC-адреси, що легко здійснити зловмисникові.

Микола Скрипський. Комп'ютерні мережі. ceo@mgm.cv.ua 11

Режим прихованого SSID

● Для свого виявлення точка доступу періодично розсилає кадри-маячки (англ. beacon frames). Кожен такий кадр містить службову інформацію для підключення і, зокрема, присутній SSID (ідентифікатор бездротової мережі). У разі прихованого SSID це поле порожнє, тобто неможливо виявлення вашої бездротової мережі і не можна до неї підключитися, не знаючи значення SSID. Але всі станції в мережі, підключені до точки доступу, знають SSID і при підключенні, коли розсилають Probe Request запити, вказують ідентифікатори мереж, наявні в їх профілях підключень. Прослуховуючи робочий трафік, з легкістю можна отримати значення SSID, необхідне для підключення до бажаної точки доступу.

Микола Скрипський. Комп'ютерні мережі. ceo@mgm.cv.ua 12

Методи аутентифікації

● Аутентифікація - видача певних прав доступу абоненту на основі наявного в нього ідентифікатора.

● IEEE 802.11 передбачає два методи аутентифікації:

– Відкрита аутентифікація,

– Аутентифікація із загальним ключем (англ. Shared Key Authentication)

● WPA також використовує два способи аутентифікації:

– Аутентифікація за допомогою передвстановленого ключа WPA-PSK;

– Аутентифікація за допомогою RADIUS-сервера.

Микола Скрипський. Комп'ютерні мережі. ceo@mgm.cv.ua 13

Методи шифрування

● WEP-шифрування

● TKIP-шифрування

● CKIP-шифрування

● WPA-шифрування:

● WPA2-шифрування (IEEE 802.11i):

Микола Скрипський. Комп'ютерні мережі. ceo@mgm.cv.ua 14

Види мережевих атак

● Атака листами

● Віруси, троянські коні, поштові черв'яки, сніффери, Rootkit-и і інші спеціальні програми.

● Мережева розвідка

Микола Скрипський. Комп'ютерні мережі. ceo@mgm.cv.ua 15

Види мережевих атак

● Сніффінг пакетів,

● IP-спуфінг

● Man-in-the-Middle

Микола Скрипський. Комп'ютерні мережі. ceo@mgm.cv.ua 16

Види мережевих атак

● Соціальна інженерія,

● Відмова в обслуговуванні (DoS )

● Ін’єкція

Микола Скрипський. Комп'ютерні мережі. ceo@mgm.cv.ua 17

Специфічні механізми безпеки

● Реалізувати сервіси безпеки можна, впровадивши на певному рівні моделі OSI такі механізми:

– шифрування;

– цифровий підпис;

– керування доступом;

– контроль цілісності даних;

– автентифікаційний обмін;

– заповнення трафіку;

– керування маршрутом;

– нотаризація.

Микола Скрипський. Комп'ютерні мережі. ceo@mgm.cv.ua 18

ПЗ для безпеки в КМ

● Secure Shell, SSH (англ. Secure SHell — «безпечна оболонка» [1]) — мережевий протокол рівня застосунків, що дозволяє проводити віддалене управління комп'ютером і тунелювання TCP-з'єднань (наприклад, для передачі файлів).

Микола Скрипський. Комп'ютерні мережі. ceo@mgm.cv.ua 19

ПЗ для безпеки в КМ

● Міжмережевий екран, Мережевий екран, Фаєрво́л, файрво́л англ. Firewall, буквально «вогняна стіна» — пристрій або набір пристроїв, сконфігурованих, щоб допускати, відмовляти, шифрувати, пропускати через проксі весь комп'ютерний трафік між областями різної безпеки згідно з набором правил та інших критеріїв.

● Фаєрвол може бути у вигляді окремого приладу (так званий маршрутизатор або роутер), або програмного забезпечення, що встановлюється на персональний комп'ютер чи проксі-сервер.

Микола Скрипський. Комп'ютерні мережі. ceo@mgm.cv.ua 20

ПЗ для безпеки в КМ

● Антівірусна програма (антивірус) — програма для знаходження і лікування програм, що заражені комп'ютерним вірусом, а також для запобігання зараження файлу вірусом.

● Антивірусне програмне забезпечення складається з комп'ютерних програм, які намагаються знайти, запобігти розмноженню і видалити комп'ютерні віруси та інші шкідливі програми.

Микола Скрипський. Комп'ютерні мережі. ceo@mgm.cv.ua 21

Загальні рекомендації щодо захисту мережі (від Microsoft)

● Постійно інсталюйте останні оновлення для комп'ютера

● Використання брандмауера

● Запуск антивірусного програмного забезпечення на кожному комп'ютері.

● Використання маршрутизатора для спільного доступу до Інтернету

● Не входьте до системи як адміністратор

Микола Скрипський. Комп'ютерні мережі. ceo@mgm.cv.ua 22

Загальні рекомендації щодо захисту мережі

● Використовуйте антивірусне ПЗ

● Намагайтеся використовувати ПЗ тільки з джерел яким ВИ ДІЙСНО довіряєте

● Використовуйте відкрите програмне забезпечення

● Не використовуйте додатки, які визначають Ваше місце положення

● Не переходіть на веб-ресурси, що здаються Вам підозрілими

● Намагайтеся охороняти свою приватність.

Микола Скрипський. Комп'ютерні мережі. ceo@mgm.cv.ua 23

Дякую за увагу!Запитання?