ЖҰМЫСТЫ ОРЫНДАУ РЕТІ
Теориялық мағлұматпен танысу.
Теориялық мағлұматқа талдау жасау.
Бақылау сұрақтарына жауап беру.
Жеке тапсырмаға талдау жасап, мысалдар келтіру.
БАҚЫЛАУ СҰРАҚТАРЫ
RIJNDAEL алгоритмінің мақсаты.
RIJNDAEL қандай блоктық шифрға жатады?
Түрлендіру жолдары қалай орындалады?
Rijndael алгоритмін өңдеудің қабылдаған үш категориясы.
ЖЕКЕ ТАПСЫРМАЛАР
RIJNDAEL алгоритмінің көмегімен ақпаратты шифрлау мысалын келтіріңіздер.
Практикалық сабақ №13
Тақырыбы: «Компьютерлік желілердегі ақпаратты қорғау»
ТЕОРИЯЛЫҚ МАҒЛҰМАТ
Желі жұмысындағы бұзылулар ақпаратты қорғау түрлерін 3 классқа бөлуді талап етеді:
физикалық қорғаныс тәсілдері;
программалық жабдықтамалар (антивирустық программалар, өкілеттілікті шектеу жүйелері, т.б.);
қорғаныстың әкімшіліктік шаралары (бөлмелерге кіруді, фирмалардың қауіпсіздік стратегиясын құру, т.б.).
Физикалық қорғаныс тәсілдерінің бірі болып ақпаратты архивтеу және қосымша көшірмелеу жүйелері болып табылады. Бір-екі сервер орналасатын жергілікті желілерде жүйелер серверлердің бос слоттарына орнатылады. Ірі корпоративті желілерде арнайы архивтеу серверіне көңіл бөлінеді. Ол автоматты түрде желі серверлеріндегі және жұмыс станцияларындағы қатты дискідегі ақпаратты архивтейді және қосымша көшірмелейді, жүргізілген жұмыстуралы есеп береді. Архивтеу серверлердінің ең кең тараған түрі– Intel ARC serve for Windows корпорациясының Storage Express System жүйесі.
Компьютерлік вирустармен күресу үшін көбіне антивирустық программалар қолданылады, сондай-ақ қорғаныстың аппараттық құралдары да кездеседі. Аппараттық құрылғылар арасында компьютер кеңейтілуінің стандартты слотына орнатылатын арнайы антивирустық тақшалар (платалар) қолданылады. Антивирустық программалардан басқа, компьютерлік желілердегі ақпаратты қорғау мәселесі қол жеткізуді бақылау және қолданушының мүмкіндіктерін шектеу арқылы шешіледі. Бұл үшін Novell корпорациясының өнімі болып табылатын желілік операциялық жүйелердің кірістірілген құралдары пайдаланылады. NetWare жүйесінде қол жеткізуді шектеудің стандартты түрлерімен (парольді алмастыру, т.б.) қатар, желі бойынша берілетін пакеттерге электронды қол қойылу принципіне сүйенетін мәліметтерді кодтау мүмкіндігі қарастырылған.
Алайда мұндай қорғаныстүрі әлсіз болып келеді, өйткені желіге қол жеткізу парольмен жүзеге асады, ал оны көріп алуға немесе ойланып табуға болады. Сондықтан компьютерлік желіге заңсыз кірудің алдын алу үшін пароль және қолданушының жеке «кілті»бойынша идентификациясы қолданылады. «Кілт» - пластикалық карта (магниттік немесе микросұлбасы бар смарт-карта) немесе адамның биометриялық қасиеттері бойынша (көздіңқарашығы, саусақтың ізі, т.б.) идентификациялау құралдары.
Әрі программалық, әрі аппараттық қорғаныс тәсілдеріне негізделген сенімді шешім – Kerberos жүйесі. Оның негізгі 3 компоненті болады:
Мәліметтер базасы, мұнда барлық желілік ресурстар, қолданушылар, парольдер, ақпараттық кілттер, т.б. туралы ақпарат болады.
Авторизациялық сервер. Оның міндеті – қайсыбір желілік қызмет көрсетулерге келіп түскен қолданушылардың сұраныстарын өңдеу. Сұранысты алған соң, ол мәліметтер базасына жүгінеді де, қолданушының белгілі бір операцияны орындауға құқығы бар-жоқтығын тексереді. Қолданушы парольдері желі бойынша берілмейді, сондықтан ақпаратты қорғау дәрежесі жоғарылайды.
Ticket-Granting Server (Рұқсат беру сервері). Ол авторизациялық серверден қолданушы аты, оның желідегі адресі, сұраныстың түсу уақыты болатын «рұқсаттама» мен бірегей «кілт» алады. «Рұқсаттамасы» бар пакет шифрланған күйде келеді. Рұқсат беру сервері сұранысты тексеріп, «кілттерді» салыстырады да, олар сәйкес болған жағдайда желілік аппаратура немесе программаға рұқсат етеді.
Кәсіпорынның филиалдарының, абонеттерінің көбеюіне байланысты желі жұмысын қамтамасыз ету мақсатында алшақ қолданушылар пайда болады. Олармен байланыс орнату үшін кабельдік линиялар немесе радиоарналар қолданылады. Бұл жағдайда ақпаратты қорғау үшін арнайы қол жеткізуді бақылау құрылғылары пайдаланылады. AT&T фирмасының Remote Port Security Device (RPSD) модулі әрбіреуі қарапайым модем көлеміндей болатын 2 бөліктен тұрады: RPSD Lock (құлып) орталық офисте орналасады, RPSD Key (кілт)- алшақ қолданушы модеміне жалғанады.
IP-спуфинг және Man-in-the-Middle шабуылы
IP-спуфинг (spoofing) хакер өзін-өзі заңды пайдаланушы ретінде көрсеткен (имперсонация) кезде пайда болады. Оны екі тәсілмен істеуге болады: хакер IP-мекендердің заңды диапазон шегіндегі IP-мекенді немесе белгілі бір тораптық қорларға қатынас құруға рұқсат етілген авторландырылған сыртқы мекен-жайды пайдаланып қалуы мүмкін. IP – спуфинг шабуылы жиі басқа шабуылдардың басталатын нүктесі болып табылады. Классикалық мысал – DOS (қызмет көрсетуден бас тарту) шабуылы.
Әдетте IP-спуфинг клиенттік пен серверлік қолданба арасында немесе біррангілік құрылғылар ортасындағы байланыс арнасында тасымалданатын деректер ағынына жалған ақпаратты немесе зиян келтіретін командаларды енгізумен шектеледі. Екі жақты байланыс орнату үшін хакер (трафикті жалған IP-мекенге жіберу мақсатымен) барлық бағдарғылау кестесін өзгертуі керек. Кейбір хакерлер қолданбадан жауап күтіп алуға тырыспайды да : егер негізгі мақсат тек жүйеден маңызды файл алу болса, онда хакер үшін қолданбалардың жауаптарының керегі болмайды.
Егер де хакердің бағдарғылау кес телерін ауыстыруға және трафикті жалған IP-мекенжайға жіберуге мүмкіндігі болса, онда хакер барлық дестелерді қабылдап алады және заңды пайданушы сияқты оларға жауап қайтара береді.
Мына шаралардың арқасында спуфинг қаупін әлсіретуге болады (бірақ мүлде жоюға болмайды).
Қатынас құруды бақылау. IP-спуфингтің алдын алудың ең қарапайым тәсілі – қатынас құруды басқаруды баптау. IP-спуфингтің тиімділігін төмендету үшін қатынас құруды бақылауды сыртқы тораптан сіздің торабыңыздың ішінде орналасуға тиісті бастапқы мекенжайға келіп түсетін кез келген трафикті кесіп тастайтындай күйге келтіру керек. Бұл шараның тек ішкі мекенжайлар ғана заңды түрде рұқсат етілген жағдайда көмектесетінін айта кетугеболады. Егер сыртқы тораптың кейбір ішкі мекенжайлары да заңды түрде рұқсат етілген болса, онда бұл әдіс тиімсіз болып шығады.
RFC 2827 сүзгілеуі. Сіз өз торабыңыздың пайдаланушыларының бөтен тораптарға спуфинг жасау әрекеттеріне тосқауыл қоя аласыңыз. Ол үшін бастапқы мекенжайы сіздің ұйымыңыздың IP-мекендерінің біреуі болып келмейтін кез келген шықпалық трафикке жол бермеу керек. Сүзгілеудің осындай түрін сіздің провайдеріңіз (ISP) орындай алады. Барлық провайдерлер сүзгілеудің осы түрін енгізгенше оның тиімділігі онша жоғары болмайды.
Шабуылды мүлде тиімсіз ету. Бұл IP – спуфингпен күрестің ең тиімді әдісі. Аутентификациялау тек IP-мекеннің негізінде жүргізілген жағдайда ғана IP-спуфинг жұмыс жасай алады. Сондықтан аутентификациялаудың қосымша әдістерін енгізу шабуылдың осы түрін пайдасыз қылады. Қосымша аутентификациялаудың ең жақсы түрі криптография болып табылады. Егер ол мүмкін болмаса, бірреттік құпия сөздерді қолданатын екіфакторлық аутентификациялау жақсы нәтиже бере алады.
Man-in-the-Middle шабуылы. Екі түйіннің (А және В) арасында тасымалданып жатқан деректерге жаңарту енгізу үшін қаскөй деректер тасымалдау арнасына өзін аралық (Х) түйін ретнде енгізу қажет. Бұндай шабуылдар Man-in-the-Middle Attack деп аталады және мынадай жағдайларда мүмкін болады :
А,В және Х түйіндері бір IP-орналасқан (бұл кезде жалған ARP-жауап шабуылы жүргізіледі);
А және Х бір торапта, ал В басқа торапта (бұл кезде жалған бағдарғылауышты міндеттеу шабуылдары жүргізіледі);
А және В әр түрлі тораптарда, ал Х олардың аралығында орналасқан (бұл кезде бағдарғылау хаттамаларына шабуыл жүргізіледі).
Жалған ARP-жауаптар. Бір торапта орналасқан А және В түйіндер арасындағы деректерді иелену үшін қаскөй ARP хаттамасын пайдаланады. Қаскүнем А түйінге “В түйіннің IP-мекеніне Х түйіннің МАС мекенжайы сәйкес келеді”, сондай-ақ , В түйінге “А түйіннің ІР-мекеніне Х түйіннің МАС мекенжайы сәйкес келеді” деген жалған ARP-жауаптар жібереді. Осылай алданған А және В түйіндері деректерін қаскөйдің Х түйіні арқылы тасымалдайтын болады. ARP-шабуылын табу-анықтау үшін тораптың әкімшісі барлық түйіндердің МАС – және ІР-мекендерінің сәйкестік дерек қорын басқару-жүргізуі керек және Arpwatch программасын қолдануға тиісті.Жалған ІСМР Redirect хабары. А және В түйіндері арасындағы деректер ағынына қол жеткізу үшін қаскүнем А түйінімен бірге бір ІР-торапта болуы және А түйінінен В түйініне жіберілген дейтаграмма өтетін бағдарғылауыштың мекенжайын білуі керек. Жалған ІСМР Redirect хабарының көмегімен қаскүнем өзінің немесе басқа кез келген ІР-мекенжайды бағдарғылауыш ретінде көрсете алады. Сондықтан, А түйіні Redirect хабарын қабылдап алған соң өзініңм бағдарғылар кесте,сіне (В түйініне Redirect хабарында көрсетілген бағдарғылауыш арқылы баратындай етіп) өзгеріс енгізеді.
Түйіннің пішінүйлесімін баптау кезіндегі шабуылдар. Пішінүйлесімді баптау кезінде қаскүнем шабуыл жасалынатын түйінге ІСМР Router Adverticement хабарының немесе DHSP хаттамасының жалған DHCPOFFER хабарының көмегімен өзінің ІР-мекенжайын бағдарғылауыш ретінде көрсете алады.
Бағдарғылау (routing) хаттамаларына қарсы шабуылдар. Қаскүнем керекті бағдарғыларды өзіне қосу үшін бағдарғылауыштарға бағдарғылау хаттамаларының жалған хабарын жіберіп, деректер ағынын өзінің компьютері арқылы өткізе алады.
Man-in-the-Middle шабуылында дестелердің сниффері, көліктік хаттамалар және бағдарғылау хаттамалары жиі қолданылады. Шабуыл ақпарат ұрлау, ағымдағы хабарды жолдан ұстап қалу және жеке тораптық қорларға қатынас құру, трафикке талдау эжасау және торап пен оның пайдаланушылары жайында ақпарпт жинау, DоS тәрізді шабуылдар жүргізу, тасымалданатын деректерді бұрмалау мақсатымен жүргізіледі. Man-in –the-Middle тәрізді шабуылдармен тек қана криптография арқылы нәтижелі күресуге болады.
Қызмет көрсетуден бас тарту (DoS)
Қызмет көрсетуден бас тарту (Denial of Service - DoS) шабуылы оңай ұйымдастырылатын және осының себебінен кең тараған хакер шабуылдарының ең белгілі түрі болып табылады. Бұл шабуылдар негізінде ауқымды тораптарда немесе осы ауқымды тораптарға қосылған жергілікті тораптарда орын алғаны белгілі. Шабуылдың мақсаты – түйінде немесе тораптарда деректерді басқа түйінге жіберу өте қиын немесе мүмкін емес болатындай жағдай тудыру. Соның кесірінен осы түйінде жұмыс істейтін тораптық программалық қаптаманың пайдаланушыларына қызмет көрсетілмей қалады. DoS шабуылдары басқа түрлі шабуылдармен қатарласа немесе жеке жүргізілуі мүмкін.
Шабуылдың бұндай түріне қарсы жүз пайыздық қорғаныш құру қиын болады. DoS шабуылын ұйымдастыру үшін аздап болса да білім мен іскелік қажет. Әйткенмен, жүзеге асырудың қарапайымдылығы және келтірілген зиянының үлкендігі тораптың қауіпсіздік әкімшілерінің DoS шабуылына ерекше назар аударуын талап етеді. DoS шабуылдарының кейбір түрлері: Smurf, TCP SYN Flood, Ping of Death, Tribe Flood Network (TFN), Tribe Flood Network 2000 (TFN2K), Trinco, Stacheldracht, Trinity, TearDrop, Land және т.б.
DoS шауылы сіздің торабыңыздың жұмыс істеуінің, операциялық жүйенің немесе қолданбаның мүмкіншіліктенрінің шектерінен шығып кетуі арқасында торапқа жай пайдаланушының қолы жетпейтіндей жағдай тудырады. Кейбір (web- сервер немесе FTP - сервер сияқты) серверлік қолданбаларды қолданған кездегі DoS шабуылдарының мағынасы мынада: осы қолданбалар қатынас құра алатын барлық байланушыларды иемдену және оларды (жай пайдаланушыларға қызмет көрсете алмайтындай) осы күй- жағдайда ұстап тұру.
DoS шауылдары кезінде TCP және ICMP сияқты жай Интернет- хаттамалары қолданылуы мүмкін. DoS шауылдарының көпшілігі программалық қатерлергеи немесе қауіпсіздік жүйесіндегі олқылықтарға емес, жүйелік сәулеттің жалпы осалдықтарына сүйенеді.
Кейбір шабуылдар жағымсыз және керексіз кестелермен торапты толтыру немесе ағымдағы тораптық қорлар жайында жалған ақпарат хабарлау арқылы тоаптың өнімділігін нольге дейін төмендете алады. Шабуылдың бұл түрінің алдын алу қиын болады, себебі ол үшін барлық іс - әрекеттерді провайдармен үйлестіру қажет. Шабуылдың осы түрі бір уақытта бірнеше құрылғылар арқылы жүргізілген кезде оны үлестіре – таратылған DoS (DDoS – distributed DoS) шабуылы деп атайды.
Барлық DoS шауылдарын шартты түрде үш топқа бөлуге болады:
түйін немесе тораптың ресурстарын түгесуге арналған дестелерді жіберуге негізделген шабуылдар;
түйіннің күйін немесе пішін үйлесімен өзгертетін жалған дестелерді жіберу негізінде жасалынатын шабуылдар;
программалардағы қателердің салдарынан жүйенің жалпы шатасуын тудыру үшін арнайы құрылмаланған дестелер көмегімен жүргізілетін шабуылдар.
Түйін немесе тораптың ресурстарын түгесуге арналған шабуылдар.
«Smurf» шабуылы шабуылданатын түйінге бағытталған ICMP Echo- жауаптардың «құйынын» құруға негізделген. Бұл шабуылды бағдарлауыштағы немесе тоаптағы деректерағынына талдау жасау арқылы анықтауға болады. Сонымен қатар, сыртқы арнаның толық жүктемеленуі және торап ішіндегі хосттардың жұмысының бұзылуы осы шабуылдың белгісі болып табылады.
«SYN flood» және «Naptha» шабуылдары. Кең таралған «SYN flood» (басқа аталуы – «Neptune») шабуылы шабуылданатын түйінге оның өңдей алатын мөлшерінен көп TCP SYN – сегменттерін жіберуге негізделген. Шабуылдың мақсаты – түйінді байланысулары ашу сұраныстарын қабылдай алмайтын күйге жеткізу. Алайда, шала жобаланған жүйелер осындай шабуылдың нәтижесінде жаңа байланысуларды ашпауымен қатар бұрын орнатылған байланысуларды қолдай да алмайды, тіпті істен шығады.
TCP/IP стектері қауіссіздігінің қателері «Naptha» деген жалпы атауға ие болған. «Naptha» шабуылын орындағанда қаскүнем TCP байланысуларын қолдау үшін шабуылданған түйіннен әлдеқайда аз ресурстар жұмсайды. «Naptha» шабуылдарын бағдарлауыштағы немесе тораптағы трафикке талдау жасау арқылы анықтауға болады. Шабуылдың белгісі көп мөлшердегі бірқалыпты сегменттер болып табылады.
«UDP flood» (дейтаграммалармен аса толтыру) шабуылдары шабуылданатын торапқа UDP-* хабарлардың «құйынын» жіберуге негізделген. Құйынды қалыптастыру үшін қас күнем кез келген қабылданған хабарға жауап жіберетін UDP қызметтерін пайдаланады. Осындай қызметтердің мысалы: echo(7-ші порт) және chargen (19-ші порт). Қаскөй А – түйінінің (жіберушінің порты -7) атынан В – түйініне (қабылданушының порты - 19) хабар жібереді. В – түйіні А – түйінінің 7-ші портына жауап қайтарады, ал А-түйіні және В –түйінінің 19-ші портына. Осылайша қайталана береді.Сондықтан А және В – түйіндерінің жұмыстары тежеледі.«UDP flood» шабуылдарынан қорғану үшін тораптың түйіндеріндегі пайдаланылмайтын барлық UDP қызметтерін өшіріп қою қажет.
Жалған DHCP- клиенттер шабуылы. Бұл шабуылдың мақсаты- тораптағы DHCP
Сервердің жұмымын бұзу. Осыны жүзеге асыру үшін қаскүнем іс жүзінде жоқ әр түрлі DHCP клиенттердің атынан DHCP –серверге сұраныстар жібереді.
Тораптық ұзын қалқаны міндеттеу шабуылы. Егер хост өз торабының қалқасын ICMP Address Mask Reply хабары арқылы алатын болса, онда қаскүнем жалған ұзын қалқасы бар (мысалы 255.255.255.252) хабарын құрастырып, шабуылданған хосттың байланысуды құру мүмкіндіктерін шектейді. Егер осы әдіспен «таратылған» торапта бағдарлауыш болмаса, онда құрбан тек міндеттелген қалқа ішіне енетін түйіндерге ғана деректерді жібере алады.
TCP-байланысуды үзетін шабуылы. Егер екі түйін бір-бірімен ТСР- байланысуды орнатса, онда қаскүнем олардың біреуін осы байланысуды жабуға мәжбүрлей алады. Осы үшін қаскүнем бірінші түйінге екіншінің атынан жалған RST- сегментін немесе ICMP Destination Unreachable хабарын жіберуі керек.
Деректерді аз жылдамдықпен тасымалдауға мәжбүрлеу шабуылы. Қаскөй бір түйіннің ТСР- жеке бөлшегін екінші түйінге деректер жіберу жылдамдығын азайтуға мәжбүрлейді, екі түйіннің арасында орнатылған байланысудың тиімділігін күрт төмендеттеді. Ол үшін мына тәсілдердің біреуін қолдануы мүмкін:
Аралық бағдарғылауыш атынан А түйініне жалған ICMP Source Quench хабарын жіберу;
Аралық бағдарғылауыш атынан А түйініне жалған ICMP Destination Unreachable ( Datagram Too Big) хабарын жіберу;
В-ның атынан А түйініне ТСР –растаудың жалған төлнұсқасын жіберу.
Құпиясөз шабуылдары
Есептеу техникасында құпиясөздер екі жағдайда қолданылады.
Пайдалаушыны аутентификациялау үшін. Құпиясөз арқасында пайдаланушы өз өкілеттігін растайды. Аутентификациялау операциялық жүйе, бағдарламалық өнім немесе аппараттық құралдар арқылы жүзеге асырылады. Барлық күрделі операциялық жүйелерде құпиясөздер негізінде жасалған аутентификация құралдары болады. Сондай-ақ, жасырын ақпаратпен жұмыс істейтін немесе көппайдаланушылық ортаға арналған көптеген бағдарламалық өнімдер де құпиясөздердің негізінде пайдаланушылардың өкілеттіктерін анықтайды. Дербес компьютердің аппараттық деңгейінде аутентификация CMOS құпиясөзі бойынша жүзеге асырылады.
айдалаушыны аутентификациялау үшін қолданылатын құпиясөздер шифрланған түрде операциялық жүйелердің пайдаланушылық қаражаттар базасында, бағдарламмалық өнімдер файлдарында немесе CMOS жадының пішінүйлесімділік файлдарында сақталады. Басқаша жағдайда, құпиясөзді шифрланбаған түрінде сақтаған кезде, оны іздеп- табу қаскүнемге қиынға түспейді.
Деректерді шифрлау кезінде құпиясөзді кілт есебінде қолдану.
Шифрлау программаларды және олардың алгоритмдері жасырын және жекеменшік ақпаратпен жұмыс істеген кезде ерекше рөл атқарады.
Симметриялық кілт негізіндегі алгаритмдерде (мысалы,DES) шифрлау және кері шифрлау үшін бірден-бір құпия кілт қолданылады. Құпиясөз кілт ретінде қолданылады. Алгаримдердің екінші түрінде (мысалы,PGP және RSA ) екі кілт қолданылады: біреуі шифрлеу үшін (ашық кілт) және екінші кері шифрлеу үшін (жеке кілт). Құпиясөз ретінде жеке кілт пайданылады.
Құпиясөзді қолға түсіру үшін қаскүнем мына үш негізгі әдістердің біреуін қолдануы мүмкін:
Құпиясөзді кері шифрлеу. Бұл вариант ең әлсіз шифрлеау алгаритмдері үшін жарайды
Құпиясөздерді(кілттерді) іріктеп алу қазінгі крпитографиядағы негізгі әдіс болып табылады. Қиындасуларды толық таңдау тек өте берік емес алгаримдерде қолданылады. Құпиясөзді жартылай іріктеу шифрлаудың ең сенімді алгаритмдерінде пайданылады.
Құпиямөзді жолдан ұстап қалу көптеген алгаритмдері үшін құпиясөзгк қол жеткізудің ең негізгі нәтижелі тәсілі. Жолдан ұстап қалу көзбен шолу (иық астынан астыртын қарау) немесе мамандандырылған программалық рұралдар арқылы жүзеге асырылуы мүмкін.
Windows жүйелерінің PWL-файлдары негізінде құрылған бірдей қорғаныш сұлбасы бар. PWL-файлдарын бұзып-кіруге арналған бірқатар программалар бар. Олардың арасында ең белгілі – GLIDE утилиті. Windows жүйесінде құпиясөздерді іріктеп алу программаларының арасында Scan NT (Password NT)ерекше көзге түседі.
CMOS құпиясөздерін бұзуға бірнеше утилиттер мүмкіндік береді:Amedecod-American Megatrends BIOS үшін арналған; AMI.COM – AMI CMOS үшін арналған; AW.COM – Award BIOS үшін арналған;
Пернетақта сканкодаларын жолдан ұстап алушылардың көпшілігі MS DOS үшін жазылған. Олардың ішіндегі ең белгілері - Keytrap, Playback, Keycopy және т.б. Сканкодаларды жолдан ұстап қалудың әмбебеп утилиттерінен басқа, мәселен, Novell NetWare ортасында құпиясөздердіжолдан ұстап алуға арналған Getit программасын айтуға болады.
Хакерлер «торялық ат», жай талдау ( brute force attack),IP-спуфинг және дестелердің сниффері сияқты әдістердің көмегімен құпиясыз шабуылдарын жүргізе алады. Бұл шабуылдар ортақ қорға (мысалы, серверге) қатынас құруға тырысатын арнайы бағдарлама қолданылады. Егер программа жұмысы оң нәтиже берсе, онда хакер құпиясөзі іріктеп алынған пайдаланушының құқығын иемденеді және оның атынан қорларға қол жеткізе алады.
Құпиясөз шабуылдарының қаупін кемітудің кейбір жолдары:
Біртекті құпиясөздер және криптографиялық аутентификациялау осындай шабуылдар қаупін біраз азайтады;
Таңдап алуы қиын құпиясөздерді ойлап табуға тырысуы керек. Құпиясөздің ең аз ұзындығы кемінде сегіз символ болуға тиісті. Құпиясөздің құрамында жоғарға регистр символдары, цифрлар және арнайы символдар (#,%,$ және т.б) болғаны дұрыс;
Жақсы (күрделі) құпиясөздерді есте сақтап қалу қиын. Сондықтан пайдаланушылар құпиясөздерді қағазға жазып алуға мәжбүр болады. Одан құтылу үшін бірқатар соңғы технологиялық жетістіктерді қолдануға болады.Мәселен, қалта компьютерінде сақтауға болатын құпиясөздер тізімін шифрлауға арналған программа бар. Осынын нәтижесінде пайдаланушыға тек қана бір күрделі құпиясөзді есте сақтау керек, ал барлық қалған құпиясөздер сенімді қорғалған болады;
Құпиясөздерді іріктеп алудың бірнеше түрі бар. Олардың бірі- LophtCrack құралын қолдану. Оны хакерлер Windows NT ортасында құпиясөздерді іріктеп алу үшін жиі қолданады.
Есептеу торабында дербес компьютерді қолдану әкімшілердің іс-әрекетіне қосымша деректер қояды:
Операциялық жүйелерде ұқсас құпиясөздердіқолданудан бас тарту әкімшіге қойылатын негізгі және өте маңызды талап болып табылады.
Құрамында шифрлау функциялары бар бағдарламалармен (Excel,Word және т.б) жұмыс істеген жағдайда әкімші тораптық операциялық жүйенің құпиясөзін пайдаланбауға тиісті;
Әкімші өзінің компьтеріне кіру (пайдалану) мүмкіндігіне барынша шек қою – бұл «троялық аттарды» немесе вирустарды орналастырудың алдын-алуға мүмкіндік тудырады;
Тораптағы күнделікті жұмысы үшін әкімші өкілеттігі шектеулі арнайы пайдаланушыға қолданғаны жөн болады.Бөтен дербес компьютерлердегі бағдарламалық өнімдерді тестілеуге арналған тағы бір пайдаланушы болу керек, бірақ оның өкілеттігі тым аз болуы қажет.
Әкімші бөтен компьютерлерде пұрсатты өкілеттіктермен тіркелмеуі керек.Егер қайсыбір төтенше жағдайлармен байланысты осыны істеу керек болса, онда әкімші жұиыс аяқталған соң өзінің барлық PWL-файлдарын жойып тастауы керек. Жою үшін DEL командасын емес, тегеріштегі блоктарды толық өшіретін бағдарламаларды пайдалану керек (болмаса қаскүнем PWL-файлдарын қалпына келтіре алады).Осындай бағдарлама көптеген сервестік қолданбаларда бар, мәселен Symantec Norton Utilities.
Тораптағы оқиғаларды бақылау үшін аудит (тексеру) жүйесін іске кірістірудің мәні бар. Көбінесн мұндай бұзу әрекеттерін байқауға және табуға мүмкіндік береді.
Барлық құпиясөздердің, әсіресе әкімшілік қызметшілерінің құпиясөздерінің құрамы әріптер, цифрлар және арнайы символдарды қоса есептегенде 8 символдан кем болмағаны дұрыс;
Әкімші әр тоқсанда кеміне бір рет құпиясөзді алмастыруға тиісті. Сенімсіз құпиясөздерді табу үшін құпиясөздерді іріктеп алу утилиттерін оқылытын жұмысқа қосып тұру керек;
Қолданбалар деңгейіндегі шабуылдар
Қолданбалар деңгейінде шабуылдар бірнеше тәсілмен жүргізілуі мүмкін. Олардың ішінде ең көп тарағаны – серверлік программалық қамтаманың (sendmail,HTTP,ҒЕЗ)бұрыннан жақсы белгілі осал жерлерін пайдалану.Осы осалдықтарды пайдалана отырып хакерлер қолданбамен жұмыс істеп жатқан пайдаланушының (әдетте ол жүйелік қатынас құру құқықтары бар пұрсатты әкімші болады)атынан комьпютерге қатынас құруға рұқсат ала алады.Әкімшілерге бұл проблеманы коррекциялағыш жекебөлшектердің (path)көмегімен түзетуге мүмкіндік беру үшін қолданбалық деңгейдегі шабуылдар жайындағы мәліметтер кеңінен жарияланып тұрды.Өкінішке орай,бұл мәліметтер хакерлерге де мәлім болады,сондықтан олар оны өз мақсаттарын іске асыру үшін пайдаланады.
Қолданбалар деңгейіндегі шабуылдардың негізгі проблемасы олардың торапаралық экран арқылы өтуге рұқсат етілген порттарды жиі пайдаланумен байланысты.Мысалы,web-серверлердің белгілі осалдылығын өз мақсатында пайдаланушы хакер ТСР шабуылдары кезінде 80-ші портты жиі пайдаланады.Web-сервер пайдаланушыларға web-парақ ұсынатын болғандықтан торапаралық экран осы портақа қатынас құруға рұқсат беруге тиісті.Торапаралық экран тұрғысынан қарағанда шабуыл 80-ші портқа арналған стандартты трафик ретінде қарастырылды.
Қолданбалы деңгейіндегі шабуылдарды толық жою мүмкін емес.Бұл жердегі ең негізгі шара-жақсы жүйелік әкімшілік ету.Осындай шабулдарға қарсы мынадай шаралар қолдануға болады:
хакерлер қолданбалы программалардың осал жерлерін тұрақты ашады және Интернетте жариялап тұрады.Сондықтан қолданбалы программалардың осал жерлері жайындағы деректер тарату қызметіне көңіл бөлу керек. Мәселен, СERT(http://www.cert.com) және Bugtrad(http://www.securityfocus.com);
операциялық жүйелер мен қолданбалардың ең соңғы түрін (нұсқасын)және коррекциялық жекбөлшектерді пайдаланыңыз;
жүйелік әкімшілеуден басқа ,шабуылдарды айыру-тану(IDS-Intrusion Detection Systems) жүйелерін пайдаланған жөн.
Бұл жүйелар шабуылдарды айырып тану және оларға тойтарыс беру үшін тораптық немсе жүйелік келісті қолданады.Қалай болғанда да бұл өнімдер шабуылдардың сигнатураларын (қастық немесе күдікті іс-әректтерге нұсқайтын өзіндік ерекше қалыптарды)іздейді.Егер осындай қалыптар тораптық ағында ізделетін болса,онда IDS тораптық деңгейде жұмыс істегені.Егер IDSшабуылдардың сигнатураларын операциялық жүйенің немсе қолданбаның тіркеу журналдарында ізделсе ,онда бұл жүйелік деңгей болғаны.
Шабуылдарды айыру-танудың тораптық дегейлік жүйелері талдау жасау үшін өңделмеген (raw) тораптық дестелерді пайдаланады.Тораптық дегейдегі IDS жүйесі ,әдетте ,”тыңдау”(promiscuous) режимінде жұмыс істейтін тораптық бейімдеуішті қолданады және тораптың сегменті арқылы өтетін деректер ағынын уақыттың нақты масштабын талдайды.
Жүйелік деңгейдің IDS жүйесі Windows немесе Unix басқаруымен жұмыс істейтін тораптардағы жүйені,оқиғаларды және қауіпсіздік оқиғаларын тіркейтін журналдарды (security log немесе syslog)бақылыайды.Осы файлдардың қандай болмасын біреуі өзгерген жағдайда жүйесі жаңа жазбаларды шабуылдардың сигнатураларымен салыстырады.Егер осындай сәйкестік табылса,ондаIDS жүйесі әкімшіге үрей сигналын жібереді немсе көзделген басқа іс-әрекеттерді жүзеге асырады.
Сонымен ,IDS технологиясының бірін-бірі толықтыратын екі түрі бар:
IDS тораптық жүйесі(NIDS) белгілі бір домен арқылы өтетін барлық дестелерді сараптап отырады. (NIDS) Жүйесі белгілі немесе ықтимал шабуылдың сигнатурасымен сәйкес келетін десте немесе дестелердің сериясын көрген кезде,ол дабыл сигналдарын генерацичлайды;
IDS хост –жүйесі (HIDS) хосты программалық агенттердің көмегімен қорғайды.Бұл жүйе тек қана бір хостқа бағытталған шабуылдарға қарсы күреседі.
Іс жүзінде екі технологияны да қолданатын IDS жүйесі ең тиімді деп саналады(мәселен, RealSecyreT жүйесі).
ЖҰМЫСТЫ ОРЫНДАУ РЕТІ
Теориялық мағлұматпен танысу.
Теориялық мағлұматқа талдау жасау.
Бақылау сұрақтарына жауап беру.
Жеке тапсырмаға талдау жасап, мысалдар келтіру.
БАҚЫЛАУ СҰРАҚТАРЫ
Желі жұмысындағы бұзылулар түрлері.
Kerberos жүйесінің компоненттері.
Қызмет көрсетуден бас тарту деніміз не?
Барлық DoS шауылдарының түрлері.
Пайдалаушыны аутентификациялау дегеніміз не?
Деректерді шифрлау кезінде құпиясөзді кілт есебінде қолдану жолдары.
Қолданбалар деңгейіндегі шабуылдардың жүргізілу тәсілдері қандай?
ЖЕКЕ ТАПСЫРМАЛАР
Есептеу жүйелеріндегі қорғау жолдарына мысалдар келтіріңіздер.
Практикалық сабақ №14
Тақырыбы: «РGР қауіпсіз электрондық поштасы»
Теориялық мағлұмат
РGР (Ргеііу Соосі Ргіүасу- жап-жақсы кұпиялық) қауіпсіз электрондық поштасын Филипп Циммерман (Рһіі УАттегтап) 1991 жылы ойлап тапқан. Мәліметті шифрлау үшін мұнда ЗОЕ8, ЮЕА, СА8Т, және басқа да симметриялық алгоритмдерді қолдануға болады.
Қол қою мен кілт баскару үшін Я5А алгоритмі қолданылады. Кілт үзындығы 2047 битке шейін барады. Бір жақты хэш функциясы ретінде МD5 ұсынылған.
РGР программасында сертификация органы жоқ, оның есесіне сенімділік торы қолданылады. Әр колданушы ашық/жабық кілттерін табады. Одан кейін өзіне сенетін абонентке кілтіне қол қоюын сұрайды. Осылайша қолданушылар бір-біріне кол қойып сенімділік торын құрастырады. Қол қою процедурасын кайталай беруге болады. Ашық кілттер жинағын колданушы ашық кілттер сақинасы (риЫіс-кеу гіп§) деп атайды.
Ашык кілттер сақинасына кілттерді:
баска тұтынушылардан тікелей алып;
web беттсрінен алып;
ашық кілттер базасынан алып;
енгізуге болады.
Егер Айгүл Болатқа РGР програмасынын көмегімен шифрланған хабар жеткізгісі келсе, онда ол алдын ала Болаттың ашық кілтіп тауып алады. Енді Айгүл Болаттың кілтінін шынайылығын тексереді. Ол үшін Болаттың ашық кілтіндегі қол таңбаларға қарайды және осы тізбекте сенімді кілт іздейді. Сенімді кілт ретінде Айгүлдің өзінің кілті де табылуы мүмкін.
РGР тұтынушылары сенімділік торын өздері құрастыратындықтан кейбір жағдайда мұндай сенімді кілт мүлде табылмауы мүмкін
Циммерман кілттер жинағын және олардың катынастарын РGР web сенімділігі (РGР web trust) деп атайды.
1-суретінде осы модель көрсетілген. Айгүлдің кілті иерархия шыңында орналасқан. Айгүл Семен, Ричард, Алма, Алэн и Фрэнктің кілттеріне қол қойған. Ол Семен мен Ричардқа басқа кілттерге қол қоюға сенім артады. Алма мен Алэнға толық сенбейді. Ол Иванның кілтіне кол қоймаса да оған толық сенімді. Айгүл екі жартылай сенімсіз кілттермен таңбаланған кілтке сенуге болады деп ұйғарады.
РGР хабарды шифрлау үшін IDЕА {Іпіегпаііопаі Data Епсrуptіоп Algorithm) блоктік шифр алгоритмін қолданады. Оны 1990 жылы Ксуеджа Лай и Джеймс Мэсси ойлап тапқан. Раунд саны аз алгоритм үшін критоаналитиктер біршама жетістіктерге жетті, бірақ толык алгоритм әзірше сенімді.
IDЕА 64-биттік ашық мәтін блоктарымен және ұзындығы 128 бит кілттермен жұмыс істейді. Шифрлау және дешифрлау үшін бірдей алгоритм қолданылады. Алгоритмде келесі операциялар қолданылады: қосу амалы ХОR, 216 модулі бойынша қосу, 216+1 модулі бойынша көбейту.
Сур. 1- РGР -да сенімділік моделі
Барлық операциялар 16 биттік блоктармен жұмыс істейді. IDЕА 128-биттік кілтті қолданады, бірақ алгоритм орындалу мезгілінде 16 биттік кілттерді талап етеді. Барлығы 52 16 биттік кілт қажет: 8 раундтын әрқайсысына 6 кілт және соңғы қадамында 4 кілтті талап етеді.
Кілт 16 биттік кілтшелерге бөлінеді. Солға қарай 25 битке жылжу орындалып, қайтадан 8 кілтшеге бөліну операциясы орындалады.
Дешифрлау үшін тура осы алгоритм қайталанады, бірақ кілт өңдіру алгоритмі басқаша.
Кездейсоқ кілттерді өндіру үшін IDЕА ANSI Х9.17 стандартында анықталған тәсілді қолданады ( 2-суретін қара).
8.3.
Сур.2 - ANS1 Х9.17 стандарты бойынша кездейсоқ кілт өндіру
ANS1 Х9.17 сеанстық кілт өңдіру үшін қолайлы.
Eк(х) – ЗDES алгоритмінің көмегімен К кілтімен шифрланған х хабары болсын. Vо - 64 биттік бастапқы кездейсоқ сан. Т - уақыт белгісі. Кездейсоқ Ri кілгін өндіру үшін келесі есептеулерді орындаймыз:
Ri= Eк(Eк(Тi) Vi)
Vi+1= Eк(Eк(Тi)Ri)
РGР програмасының қолайсыздығы - кілт қайтару операциясы болып табылады.
РGР программасымен жұмыс істеу кадамдары:
Ашық және жабық кілттерді өндіру үшін Кеуs менюында New командасын таңдап алыңыз. Алдын-ала Пуск-РGР-РGPкеys командасын орындау қажет.
Ашылған терезеде өзіңіздін идентификациялық атыңызды және е-mаіl теріңіз. Келесі терезеде парольдық сөйлем теріңіз. Оны міндетті түрде дискетаға немесе басқа құрылғыға жазып алу қажет. Паролдық сөйлемді сіз шифрланған хабарды дешифрлау үшін қолданасыз.
Сөйлем терген мезгіліңізде пернеге басу интервалдары сандарды жай екендігін тексеруге арналған алгоритмде бастапқы кездейсоқ мәлімет ретінде қолданылады.
Сіздің жабық кілтіңіз secring.skr файлында, ал ашық кілт риЬrіпg.ркr файлында сақталады.
Сур.3 - РGPкеys терезесі
Енді сіз оған сенімді болсаңыз басқа тұтынушының кілтіне қол қоя аласыз.
ЖҰМЫСТЫ ОРЫНДАУ РЕТІ
Теориялық мағлұматпен танысу.
Теориялық мағлұматқа талдау жасау.
Бақылау сұрақтарына жауап беру.
Жеке тапсырмаға талдау жасап, мысалдар келтіру.
БАҚЫЛАУ СҰРАҚТАРЫ
РGР қауіпсіз электрондық поштасын кім, қай ойлап тапты?
РGР программасындағы сенімділік торы қалай қолданылады?
РGР программасының орындалу реті.
РGР программасымен жұмыс істеу кадамдары.
ЖЕКЕ ТАПСЫРМАЛАР
РGР программасы көмегімен АҚПАРАТ, ЖҮЙЕ, БЛОК сөздерін түрлендіру жолдарын қарастырыңыздар.
Практикалық сабақ №15
Тақырыбы: «Электрондық есеп айрылысу жүйелеріндегі ақпараттарды қорғау әдістері»
Теориялық мағлұмат
Ақпараттық қауіпсіздігін ұйымдастыру бағыты шеңберіндегі Компания желілік пакеттік криптографияның ортасын жаппай пайдалануға көшуге жәрдемдесу (пакеттер коммутациясы негізі желілеріндегі крипотографиялар), пакеттік криптоарналарды құру бойынша жабдықтарға ұлттық криптоалгоритмдерді енгізу бойынша іс-шаралар жүргізеді. 2008 жылы Қазақстан Республикасы стандарттарының талаптарына сәйкес желінің трафигін қорғау және шифрлау бойынша дербес компьютер базасында және Embedded PC дербес құрылғыларын құру жалғасады.
Ақпаратты қорғау саласында мәселелерді шешу үшін телекоммуникацияның әртүрлі желілері үшін оңтайлы шешімдерді іздестіру және нақты техникалық сипаттамалары мен телекоммуникация жабдықтарының мүмкіндіктерін анықтау үшін жеке зертханасы бар ақпаратты қорғау жөніндегі құзыретті орталық құруды жоспарлап отыр. Зертхананы ашу ғылыми-зерттеу жұмыстарды тек Компания қызметкерлері ғана емес, басқа да мүдделі ұйымдар мен мекемелердің іске асыруына, сондай-ақ ақпаратты қорғау саласында мамандардың біліктілігін арттыру үшін білім беретін бағдарламаларды ұйымдастыруға мүмкіндік береді.
Серверлерде және жұмыс станцияларында ақпаратты қорғау
VPN құру
StrongNet™ ақпаратты қорғау жүйесі - желінің қоғалынған виртуалды бөліктерін (VPN) құруға және компьюетрдің желіде жұмыс жасау қызметінің қауіпсіздігін жабдықтауға арналған
Дербес компьютерде және смартфондарда ақпаратты қорғау Дербес компьютерде және смартфондарда ақпаратты қорғауға арналған Windows Mobile операциялық жүйесі. Құрылғы жоғалған немесе ұрланған жағдайда да Сіздің поштаңызды, құжаттарыңызды, байланыстарыңызжы және басқа да қосымшаларыңызды өзгелер қолдана алмайды.
Кез-келген компьютерлік ақпаратты, мысалы, деректер қорын, құжат алмасуды, электронды хат жазуды, қорғауға болады және қорғау қажет. Ақпаратты файлдық серверде қорғау қарапайым.
"Chameleon" компьютерлік ақпаратты қорғау жүйесі – деректеріңіздің құпиялығын сақтауға кепілдеме беретін сенімді және қарапайым тәсіл. "Chameleon" жүйесінің негізгі принципі файлдық сервердің ұрлау немесе пайдалану қатерін жою. "Chameleon" компьютерлік ақпаратты қорғау жүйесі деректерді сенімді шифрлауға негізделген. Деректерді шифрлау үшін AES, TwoFish, Serpent алгоритмдері қолданылады.
|
Достарыңызбен бөлісу: |