Реферат: Защита телефонных сетей от злоумышленников. Борьба с телефонным пиратством
. ___________
Принял
Доц. каф. РТС
.__________
Содержание.
Введение
Отыскание лазеек
Самое уязвимое место
Кто там?
Попрошу документы
Кодирование сигнала
Секретные переговоры
Черный ход надо запирать
Защита телефонных линий от нелегального использования
Введение
Получить удаленный доступ к вычислительной сети очень просто - достаточно подключить к телефонной линии несколько модемов. Ниже описаны способы защиты вычислительной системы от несанкционированного доступа по телефонным линиям.
Подключиться к удаленной вычислительной сети по телефонной линии ничуть не сложнее, чем снять трубку с телефонного аппарата. Об этом стоит задуматься - так ли уж хорошо, когда доступ к корпоративной вычислительной сети (и ко всему, что в ней содержится) осуществляется настолько легко? Судя по тому, какое количество информации хранится сейчас в коммерческих компаниях в цифровом виде, - никто, конечно, не может назвать точной цифры, однако ясно, что речь тут идет о колоссальных объемах данных, - вычислительные сети, а также входящие в их состав серверы файлов и приложений стали основной инфраструктурой, обеспечивающей нормальную работу организаций.
Те, чьим делом стало совать нос в дела других, легко могут воспользоваться телефонными линиями для входа в сеть, получив, таким образом, доступ к вышеупомянутой инфраструктуре.
Не ошибемся, если скажем, что система удаленного доступа не может считаться хорошей, если при ее разработке не была предусмотрена защита данных. Кому-то, возможно, данное утверждение не покажется особенно глубоким, однако не следует забывать, что в области защиты данных пренебрежение даже самыми простыми вещами может впоследствии обернуться серьезнейшими проблемами.
ОТЫСКАНИЕ ЛАЗЕЕК
Доступ по телефонной линии к корпоративной сети (dial-in access) необходим четырем основным категориям пользователей: мобильным пользователям, надомным работникам, сотрудникам удаленных филиалов, а также пользователям, у которых время от времени возникает необходимость обратиться к корпоративной сети из собственного дома.
На Рис. 1 представлены типичные конфигурации доступа к вычислительной сети по телефонным линиям. Удаленные пользователи набирают телефонный номер при помощи модема. Если пользователь подключен к локальной сети (что вполне возможно, когда речь идет об удаленном офисе), то для соединения можно использовать коммуникационный сервер. В противном случае абонент использует общедоступную телефонную сеть для соединения либо с модемом на рабочей станции в офисе компании, либо с устройством удаленного доступа в локальной сети.
Рисунок 1.
Типичная конфигурация системы удаленного доступа, в состав которой входят мобильные пользователи, удаленные рабочие места и офисы. Все пользователи используют городскую телефонную сеть для связи с сервером удаленного доступа в локальной сети. Некоторые пользователи могут также напрямую связываться с модемами, подключенными к рабочим станциям локальной сети.
Возможности удаленных пользователей существенно ограничены низкой скоростью информационного обмена через модемы (как правило, 14,4 Кбит/с или 28,8 Кбит/с), поэтому чаще всего их работа сводится к простейшим функциям удаленного узла, дистанционному управлению и использованию специализированных приложений.
Любое приложение удаленного доступа несет в себе потенциальную угрозу для корпоративной сети. Программное обеспечение удаленного узла позволяет злоумышленнику копировать на свой компьютер конфиденциальную информацию, распространять по сети данные и вирусы, а также портить файлы и сетевые ресурсы. С помощью программного обеспечения дистанционного управления злоумышленник может просматривать информацию и уничтожать или модифицировать файлы.
Специализированные приложения для доступа к сети обычно используют собственные шлюзы, что позволяет создать альтернативное окно доступа, помимо сервера удаленного доступа или коммуникационного сервера.
САМОЕ УЯЗВИМОЕ МЕСТО
Любой, кто задастся целью дестабилизировать работу информационной системы, должен, прежде всего, получить доступ к ней. Задача эта не особенно сложна, если линии телефонной связи для входа в систему не снабжены специальной защитой. Ниже мы сформулируем четыре основных проблемы защиты информации в системах удаленного доступа.
Первая проблема - идентификация пользователя. Как установить, что лицо, пытающееся осуществить удаленный доступ к системе, является законным пользователем? Любой, у кого есть модем, может набрать номер точки входа в систему и запросить доступ к данным. Поскольку увидеть удаленного пользователя нельзя, следует позаботиться о том, чтобы в системе имелись средства верификации того, что абонент на линии действительно является тем, за кого себя выдает.
При простых способах идентификации пользователю вначале предлагается назвать себя, а затем ввести пароль. Считается, что этого вполне достаточно для идентификации пользователя. Чуть позже мы узнаем, почему этот способ не обеспечивает должной защиты. Более совершенное средство - раздать удаленным пользователям персональные устройства идентификации или, иначе, аппаратные ключи (token).
Следующая проблема - конфиденциальность обмена сообщениями. По телефонной линии, используемой для входа в систему, данные передаются открытым текстом, а значит, злоумышленник, подключившийся к этой линии, может узнать и имя пользователя, и пароль. Чтобы избежать подобного "пассажа", администратору сети необходимо позаботиться о кодировании передаваемых данных.
Третья проблема - управление доступом к сети. Посты следует выставить на всех дорогах, ведущих в информационную систему. Прежде чем пользователь получит доступ к системе, необходимо установить наверняка его личность. Поэтому хорошая система управления доступом должна представлять собой устройство, подключаемое к телефонной линии перед коммуникационным устройством.
Четвертая задача - обнаружение несанкционированного доступа. Если злоумышленнику все же удастся проникнуть в сеть, то администратор сети должен уметь определить, как был осуществлен доступ, в каком примерно месте это произошло и какой урон понесет компания от несанкционированного входа.
--> ЧИТАТЬ ПОЛНОСТЬЮ <--