Відмінності між версіями «Особливості безпеки комп'ютерних мереж»
Рядок 1: | Рядок 1: | ||
− | + | == '''Локальні та мережеві атаки''' == | |
− | == Локальні та мережеві атаки == | + | |
Основною особливістю будь-якої мереженої системи є те, що її компоненти розподілені в просторі, а зв'язок між ними здійснюється фізично, за допомогою мережних з'єднань (коаксіальний кабель, вита пара, оптоволокно і т. п.), і програмно, за допомогою механізму повідомлень. При цьому всі управляючі повідомлення і дані, що пересилаються між об'єктами розподіленої обчислювальної системи, передаються по мережевих з'єднаннях у вигляді пакетів обміну. | Основною особливістю будь-якої мереженої системи є те, що її компоненти розподілені в просторі, а зв'язок між ними здійснюється фізично, за допомогою мережних з'єднань (коаксіальний кабель, вита пара, оптоволокно і т. п.), і програмно, за допомогою механізму повідомлень. При цьому всі управляючі повідомлення і дані, що пересилаються між об'єктами розподіленої обчислювальної системи, передаються по мережевих з'єднаннях у вигляді пакетів обміну. | ||
Рядок 8: | Рядок 7: | ||
− | == Чи можна зробити абсолютно безпечні локальні комп'ютерні мережі? | + | == '''Чи можна зробити абсолютно безпечні локальні комп'ютерні мережі? Можливо, це нікому не потрібно?''' == |
Версія за 17:56, 8 грудня 2009
Локальні та мережеві атаки
Основною особливістю будь-якої мереженої системи є те, що її компоненти розподілені в просторі, а зв'язок між ними здійснюється фізично, за допомогою мережних з'єднань (коаксіальний кабель, вита пара, оптоволокно і т. п.), і програмно, за допомогою механізму повідомлень. При цьому всі управляючі повідомлення і дані, що пересилаються між об'єктами розподіленої обчислювальної системи, передаються по мережевих з'єднаннях у вигляді пакетів обміну. До мережевих систем, разом із звичними (локальними) атаками, здійснюваними в межах однієї комп'ютерної системи, застосовний специфічний вид атак, обумовлений розподілом ресурсів і інформації в просторі, - так звані мережеві (або видалені) атаки (remote або network attacks). Вони характеризуються, по-перше, тим, що зловмисник може знаходитися за тисячі кілометрів від об'єкту, що атакується, і, по-друге, тим, що нападу може піддаватися не конкретний комп'ютер, а інформація, що передається по мережевих з'єднаннях. З розвитком локальних і глобальних мереж саме видалені атаки стають лідируючими як по кількості спроб, так і по успішності їх вживання, і, відповідно, забезпечення безпеки вс з погляду протистояння мережевим атакам набуває першорядне значення. Під видаленою атакою звичайно розуміється інформаційну руйнуючу дію на розподілену ВС, програмно здійснюване по каналах зв'язку. Таке визначення охоплює обидві особливості мережевих систем - розподіл комп'ютерів і розподіл інформації. Тому далі буде розглянуто два підвиди таких атак - це видалені атаки на інфраструктуру і протоколи мережі і видалені атаки на операційні системи та додатки. При цьому під інфраструктурою мережі ми розуміємо систему організації відносин між об'єктами мережі і сервісні служби, що використовуються в мережі, що склалася, а під операційними системами і додатками - все програмне забезпечення, що працює на видаленому комп'ютері, що тим або іншим чином забезпечує мережну взаємодію.
Чи можна зробити абсолютно безпечні локальні комп'ютерні мережі? Можливо, це нікому не потрібно?
Функціонування спеціальної системи безпеки комп'ютерної мережі, як правило, направлене на захист активів, що знаходяться усередині неї. Ці активи володіють певною вартістю і схильні до потенційної небезпеки (ризику) деструктивних дій певного типу. У зв'язку з цим побудова системи безпеки комп'ютерної мережі повинна проводитися з використанням результатів аналізу ризиків і прорахунку збитку, одержуваного при втраті активів, що захищаються. Причому очевидно, що вартість системи захисту не повинна перевищувати сукупну вартість активів, що захищаються.
Отже, якщо зробити спробу створення абсолютно безпечної комп'ютерної мережі, тобто захиститися від всіх ризиків (потенційних небезпек), то вартість такої мережі може виявитися нескінченно великою. Крім того, в умовах сучасної вітчизняної дійсності треба буде подолати ряд серйозних технологічних труднощів. Однією з них є, зокрема, недружнє відношення деяких виробників програмно-апаратних систем іноземного виробництва до побудови систем захисту інформації в інформаційних системах і мережах від супротивників деякого класу. До цього класу можна віднести супротивників, діючих від імені найбільших спецслужб. Оскільки основна частина програмно-апаратної підтримки інформаційної системи (мережі) вироблена в провідних західних країнах (розвідувальні служби яких очевидно допомагають один одному), то виробники, що знаходяться на території даних країн, цілком можуть здійснювати сприяння спеціальним службам цих країн. За ситуації, коли супротивниками є спецслужби провідних західних країн, фірми-виробники програмно-апаратної підтримки інформаційної системи є недружніми по відношенню до об'єкту атаки. Це означає, що всі «закладки», «діри», «Троянські коні», недокументовані можливості програмно-апаратної підтримки інформаційної системи, закладені фірмами-виробниками, можуть бути задіяні супротивником даного класу. І навпаки, служби інформаційної безпеки інформаційної системи, швидше за все, не одержать підтримки з боку фірми-виробника в питаннях віддзеркалення загроз з боку такого супротивника.
Виникає нове питання, чи можемо ми в таких умовах будувати досить надійні системи безпеки?