Вторая часть вопроса: такой бред… Особливості захисту інформації у відкритих системах
6.3.1 Стандарти захисту інформації у відкритих інформаційних системах.
Еталонна модель взаємодії відкритих систем OSI (англ. Open Systems Interconnection) була розроблена інститутом стандартизації ISO з метою розмежувати функції різних протоколів у процесі передачі інформації від одного абонента іншому. Подібних класів функцій було виділено 7 – вони одержали назву шарів (layer). Кожен шар виконує свої визначені задачі в процесі передачі блоку інформації, причому відповідний шар на приймальному боці робить перетворення, точно зворотні до тих, що робив той же шар на передавальній стороні. У цілому проходження блоку даних від відправника до одержувача показане на рис.6.3. Кожен шар додає до пакета невеликий обсяг своєї службової інформації – префікс (на малюнку вони зображені як P1...P7). Деякі рівні в конкретній реалізації цілком можуть бути відсутні.
Дана модель дозволяє провести класифікацію мережних атак відповідно до рівня їхнього впливу.
Фізичний шар відповідає за перетворення електронних сигналів у сигнали середовища передачі інформації (імпульси напруги, радіохвилі, інфрачервоні сигнали). На цьому рівні основним класом атак є «відмова в сервісі». Постановка шумів по всій смузі перепускання каналу може привести до «надійного» розриву зв’язку.
Канальний шар керує синхронізацією двох і більшої кількості мережних адаптерів, підключених до єдиного середовища передачі даних. Прикладом його є протокол EtherNet. Впливу на цьому рівні також полягають в основному в атаці «відмови в сервісі». Однак, на відміну від попереднього рівня, тут виробляється збій синхропосилок чи самої передачі даних періодичною передачею «без дозволу і не у свій час».
Мережний шар відповідає за систему унікальних імен і доставку пакетів за цим іменем, тобто за маршрутизацію пакетів. Прикладом такого протоколу є протокол Інтернету IP. Всі атаки засновані на свідомо неправильній маршрутизації пакетів.
Рис.6.3. Модель класифікації мережних атак
Транспортний шар відповідає за доставку великих повідомлень лініями з комутацією пакетів. Тому що в подібних лініях розмір пакета є звичайно невелике число (від 500 байт до 5 кілобайт), то для передачі великих обсягів інформації їх необхідно розбивати на передавальній стороні і збирати на приймальній. Транспортними протоколами в мережі Інтернет є протоколи UDP і TCP. Реалізація транспортного протоколу – досить складна задача, а якщо ще врахувати, що зловмисник придумує найрізноманітніші схеми складання неправильних пакетів, то проблема атак транспортного рівня цілком з’ясовна.
Уся справа в тім, що пакети на приймальну сторону можуть приходити й іноді приходять не в тому порядку, у якому вони були відправлені. Причина звичайно полягає у втраті деяких пакетів через помилки чи переповнення каналів, рідше – у використанні для передачі потоку двох альтернативних шляхів у мережі. А, отже, операційна система повинна зберігати деякий буфер пакетів, чекаючи приходу затриманих у дорозі. А якщо зловмисник із наміром формує пакети таким чином, щоб послідовність була великою і свідомо неповною, то отут можна чекати як постійної зайнятості буфера, так і більш небезпечних помилок через його переповнення.
Сеансовий шар відповідає за процедуру встановлення початку сеансу і підтвердження (квітування) приходу кожного пакета від відправника одержувачу. У мережі Інтернет протоколом сеансового рівня є протокол TCP (він займає і 4, і 5 рівні моделі OSI). У відношенні сеансового рівня дуже широко поширена специфічна атака класу «відмовлення в сервісі», заснована на властивостях процедури встановлення з’єднання в протоколі TCP. Вона одержала назву SYN-Flood (flood – англ. «великий потік»).
При спробі клієнта підключитися до Сервера, що працює за протоколом TCP (а його використовують більше 80% інформаційних служб, у тому числі HTTP, FTP, SMTP, POP3), він посилає серверу пакет без інформації, але з бітом SYN, встановленим у 1 в службовій частині пакета – запитом на з’єднання. Після одержання такого пакета сервер зобов’язаний вислати клієнту підтвердження прийому запиту, після чого з третього пакета починається власне діалог між клієнтом і сервером. Одночасно сервер може підтримувати в залежності від типу сервісу від 20 до декількох тисяч клієнтів.
При атаці типу SYN-Flood зловмисник починає на своїй ЕОМ створювати пакети, що представляють собою запити на з’єднання (тобто SYN-пакети) від імені довільних IP-адрес (можливо навіть неіснуючих) на ім’я Сервера, що атакується, по порту сервісу, який він хоче призупинити. Усі пакети будуть доставлятися одержувачу, оскільки при доставці аналізується тільки адреса призначення. Сервер, починаючи з’єднання за кожним із цих запитів, резервує під нього місце у своєму буфері, відправляє пакет-підтвердження і починає очікувати третього пакета клієнта протягом деякого проміжку часу (1-5 секунд). Пакет-підтвердження піде за адресою, зазначеною як помилкового відправника в довільну точку Інтернету й або не знайде адресата взагалі, або надмірно «здивує» операційну систему на цій IP-адресі (оскільки вона ніяких запитів на даний сервер не посилала) і буде просто зігнорований. А от сервер при досить невеликому потоці таких запитів буде постійно тримати свій буфер заповненим непотрібним чеканням з’єднань і навіть SYN-запити від дійсних легальних користувачів не будуть міститися в буфер: Сеансовий шар просто не знає і не може довідатися, які з запитів фальшиві, а які дійсні і могли б мати більший пріоритет.
Атака SYN-Flood одержала досить широке поширення, оскільки для неї не потрібно ніяких додаткових підготовчих дій. Її можна проводити з будь-якої точки Інтернету на адресу будь-якого Сервера, а для відстеження зловмисника будуть потрібні спільні дії всіх провайдерів, що складають ланцюжок від зловмисника до Сервера, що атакується, (до честі сказати, практично усі фірми-провайдери, якщо вони володіють відповідним програмним забезпеченням і кваліфікованим персоналом, активно беруть участь у відстеженні атак ЕОМ за першим же проханням, у тому числі і від закордонних колег).
- 2.1.Дані, інформація і знання
- 3.7. Кількісна оцінка інформації і даних
- 3.8. Системи числення і способи переведення чисел із однієї системи числення в іншу
- Основные компоненты
- 11. Пристрої введення інформації. Пристрої виведення інформації та їх технічні характеристики. Стандарти безпеки для моніторів.
- 12. Обмін даними між пк: обмін даними через послідовний та паралельний інтерфейси; модеми. Базові технічні характеристики персонального комп’ютера.
- Классификация программного обеспечения
- Системное по
- Инструментальное по
- Системы программирования
- Средства для создания программ
- Интегрированные системы программирования
- Основные системы программирования
- Языки программирования
- 16. Призначення, загальна структура, характеристики операційної системи. Сучасні операційні системи.
- Графический интерфейс Windows и общие правила работы.
- 21. Поняття комп’ютерної мережі. Типи, топологія та класифікація мереж. Апаратні засоби мереж. Програмне забезпечення мереж: архітектура мережі; ієрархія протоколів; сервіс і інтерфейси.
- Апараті засоби мереж
- Архітектура мережі
- Ієрархія протоколів
- Мережні сервіси
- 22. Передача даних в комп’ютерних мережах та обладнання комп’ютерних мереж. Еталонна модель взаємодії відкритих систем. Програмне забезпечення комп’ютерних мереж.
- Протоколи ір і tcp
- Доменна система імен
- 28. Причини виникнення необхідності в захисті інформації
- 29. Пошукові системи World Wide Web: типи пошукових систем, пошукові каталоги, індексні пошукові системи. Порівняння індексних пошукових систем та пошукових каталогів.
- Спеціалізовані пошукові системи
- 30. Принципи роботи індексних пошукових систем: сканування World Wide Web, індексація World Wide Web, ранжування результатів пошуку.
- 32. Захист інформації від комп’ютерних вірусів. Особливості захисту інформації у відкритих системах.
- Створіть завантажувальні дискети на випадок поразки вірусом
- Поставте заслін макровірусам
- Вторая часть вопроса: такой бред… Особливості захисту інформації у відкритих системах
- Схеми електронного підпису
- 6.3.2. Алгоритм rsa.
- 35. Огляд сучасних методів захисту даних: обмеження доступу; розмежування доступу; розмежування привілеїв; криптографічне перетворення інформації; контроль та облік доступу.
- 37. Структура html-документу. Тегова модель. Правила синтаксису. Задання заголовків документів та заголовків розділів документів.
- 38. Форматування тексту в html- документах: задання абзацу, примусового переходу на новий рядок, типу, розміру та кольору шрифту, кольору фону, виділення тексту напівжирним, курсивом, підкресленим
- 8.8.5. Вкладені списки
- 8.9. Авторський стиль редагування
- 8.10. Цитати
- 8.11. Адреси
- 8.12. Стилі
- 8.12.1 Логічні стилі
- 8.12.2. Фізичні стилі
- 8.12.3. Спеціальні символи
- 8.13. Переривання рядка
- Системи обробки тексту
- Вставка и редактирование изображений из файлов
- Взаимное расположение рисунка и текста
- Работа с фигурным текстом (WordArt)
- Вибір параметрів друку
- Використання попереднього перегляду
- 47.Способи набору та редагування формул. Засоби Word для робот из графікою (автофігури, модуль SmartArt). Шаблони та стилі. Створення змісту документів.
- Создание стиля:
- Функции Excel
- Диаграммы в Excel
- 51. Структури даних. Основна термінологія баз даних. Моделі даних. Реляційна модель бази даних, основи реляційної алгебри. Системи управління базами даних. Ms Access.
- 52. Основні поняття субд. Принципи та етапи проектування бд. Загальна характеристика субд ms Access. Основні складові.
- Робота з таблицями: створення, редагування, вилучення. Встановлення зв’язків між таблицями
- Робота з базами даних у Microsoft Excel
- 9.5.1. Сортування даних
- 9.5.2. Форми даних
- 9.5.3 Установлення інтервалу критеріїв
- 9.5.4. Автофільтр
- 9.5.5. Розширений фільтр.
- 10.3.1.Об’єкт Application, його властивості та методи.
- 10.3.2. Об’єкт Workbook, його властивості і методи.
- 10.3.3. Об’єкт Worksheet, його властивості і методи.
- 10.3.4. Об’єкт Range, його властивості і методи.
- 10.3.5. Об’єкт CommandBar (Командна панель), його властивості і методи.
- 59. Оператори мови vba та її керуючі конструкції. Конструкції With, For Each мови vba. Управління файлами за допомогою vba. Виконання макросу у Word запис макросу в Excel.
- Конструкція оператора For Each мови vba.
- Управління файлами за допомогою vba
- Виконання макросу у Word.
- Перший макрос
- Код макросу
- Етапи запису макросу
- Завдання стартових умов для макросу
- Запуск макрорекордера і привласнення імені макросу
- 10.5.2. Запис макросу в Excel
- Завдання стартових умов
- Призначення імені і збереження макросу
- Запис дій
- Експертні та навчальні системи
- 11.1.Основні поняття, компоненти та архітектура
- Особливості використання засобів дистанційного навчання в кейсовому методі
- Галузі застосування інформаційних систем в економіці
- 63. Сучасні інформаційні технології. Інтегроване автоматизоване виробництво, планування і управління. Інтегральні економічні інформаційні системи.
- Інтегроване автоматизоване виробництво, планування та управління
- Інтегровані економічні інформаційні системи
- 1.Інформатика як комп’ютерна наука. Інформаційні повідомлення. Інформаційні процеси. Поняття загальна структура та базовий склад інформаційних систем
- Інформаційні повідомлення Інформаційні процеси
- Поняття загальна структура та базовий склад інформаційних систем