Желілік шабуыл курстық жұмыс
МАЗМҰНЫ
КІРІСПЕ.....................................................................
1 Корпоративті желі..................................................
2 Желілік шабуыл......................................................
2.1 Man-in-the-Middle Attack шабуылы, одан қорғау……………………
2.2 Жалған ICMP Redirect хабары…………………………………………
2.3 Жалған ICMP Redirect хабарының алдын –алу, қорғау…………….
2.4 ІР-спуфинг..........................................................
2.5 IP sequence number (IP-spoofing) болжау.....................
3 Желіаралық экран..................................................
3.1 Lan2net NAT Firewall 1.95.0175 орнату және баптау........................
Lan2net NAT Firewall 1.95.0175 мүмкіншіліктері..........................
IDS/IPS — Шабуылдарды айырып-табу және алдын-алу жүйелері...........
4.1 IDS үшін қосымшалар: Honey Pot и Padded Cell жүйелері…………..
4.2 Шабуылдардың алдын-алу жүйесі (IPS).......................
5.1 Қорғалуға тиісті есептеу техникалық құралдарының объектісінің сипаттамасы ……………………………………………………………………
5.2 Объектідегі ақпараттың сыртқа кету арналары……………………
№206 бөлмені ұйымдастыру мен қорғау шаралары ……………….
ҚОРЫТЫНДЫ...........................................................
ПАЙДАЛАНЫЛҒАН ӘДЕБИЕТТЕР ТІЗІМІ...............................
Жұмыс түрі: Курстық жұмыс
Жұмыс көлемі: 31 бет
Пәні: Соңғы қосылған курстық жұмыстар
-----------------------------------------------------------------------------------
КУРСТЫҚ ЖҰМЫСТЫҢ ҚЫСҚАРТЫЛҒАН МӘТІНІ
МАЗМҰНЫ
КІРІСПЕ.....................................................................
1 Корпоративті желі..................................................
2 Желілік шабуыл......................................................
2.1 Man-in-the-Middle Attack шабуылы, одан қорғау……………………
2.2 Жалған ICMP Redirect хабары…………………………………………
2.3 Жалған ICMP Redirect хабарының алдын –алу, қорғау…………….
2.4 ІР-спуфинг..........................................................
2.5 IP sequence number (IP-spoofing) болжау.....................
3 Желіаралық экран..................................................
3.1 Lan2net NAT Firewall 1.95.0175 орнату және баптау........................
Lan2net NAT Firewall 1.95.0175 мүмкіншіліктері..........................
IDS/IPS — Шабуылдарды айырып-табу және алдын-алу жүйелері...........
4.1 IDS үшін қосымшалар: Honey Pot и Padded Cell
4.2 Шабуылдардың алдын-алу жүйесі (IPS).......................
5.1 Қорғалуға тиісті есептеу техникалық құралдарының объектісінің
5.2 Объектідегі ақпараттың сыртқа кету арналары……………………
№206 бөлмені ұйымдастыру мен қорғау шаралары ……………….
ҚОРЫТЫНДЫ...........................................................
ПАЙДАЛАНЫЛҒАН ӘДЕБИЕТТЕР ТІЗІМІ...............................
КІРІСПЕ
ХХІ ғасыр – ақпарат пен техниканың ғасыры. Бүгінгі таңда
Бүгінгі күні Интернет, сонымен қатар басқа желілер жоғары биіктерге
Осындай қауіп қатерлерден сақтану үшін ақпарат желісін алдын ала
желінің ақпаратының қауіпсіздігін қамтамасыз ететін шараларды қарастырып шықтым.
1 Корпоративті желі
Компьютерлік желілер әдетте үш санатқа: жергілікті, корпоративті және
● Желіде жұмыс істейтіндер жұлдыз немесе құрсым пішінүйлесімі типтерінің
● Компьютерлік желілерде компьютер арасындағы деректердің тиімді және
● Желілер аппараттық және бағдарламалық деңгейден тұрады.
● Желілік үлгі ISO/OSI (Халықаралық ұйымдастырулар стандартының ашық жүйелердің
Корпоративті желі бір- бірінен тәуелсіз үш топқа бөлінеді:
● Деректерді жіберудің желілерін құру;
● Дауыстық ақпаратты жіберу желілерін құру;
● Видеоақпаратты жіберу желілерін құру.
Жіберілетін деректер ағынын тиімді сығуды қамтамасыз ететін, көлікті арнаның
Барлық желілік қызмет көрсету интеграция негізінде бір корпоративті
Түрлі аудандарда немесе басқа мемлекет қалаларында филиалдары бар компаниялардың
Ақпаратты қорларды (LanToLan) біріктіретін жалпы орта, жалпы офистік телефонды
ВестКолл компаниясы өзінің клиенттеріне корпоративті желінің құрылымы бойынша дауысты
Корпоративті желіні құруға түрлі технологиялар бар, алайда кеңінен таралған
MPLS технологиясын пайдалану кезінде:
● Корпоративті желіде трафик рұқсат етілмеген қатынас құрудан
● Ауани жеке желіде телефонды және видеоконференцияны ұйымдастыру байланыстағы
● Бизнес-қолданбада трафик артықшылығын бақылауға және орнатуға болады;
● Желі гигабайтқа дейінгі жылдамдықты жеңіл пішінүйлесімдіреді және масштабтайды
Клиент үшін корпоративті желіні құрудың артықшылықтары:
● Желінің шығынының азаюы, мұнымен қоса жұмыстың беріктілігі және
● MPLS технологиясын қолдайтын, 3-ші деңгейлі коммутаторлы ВестКолл
● Жай, иілімді және қауіпсіз желілік шешім арқылы қызметкерлермен,
● Желі қорларына қорғалған қатынас құруды тек стационарлы қызметкерлер
● Желі өнімділігін күшейту.
2 Желілік шабуыл
Желілік шабуылдар – бұл компьютерді кеңінен пайдаланатын кез келген
Біріншісі Интернет жүйесінің кең таралуы арқасында осал құрылғыларға қол
Ақпараттық жүйеге шабуыл деп осы ақпарат жүйесінің олқылықтарын пайдалану
Шабуылды жүзеге асыру мынадай кезеңдерден тұрады:
Шабуылға дайындық, яғни шабуыл алдында ақпарат жинау (information gathering),
Шабуыл болғанын жасыруды білдірмеу үшін қаскөй мынадай іс әрекеттерге
- Шабуыл жасаушының мекен жайын басқамен ауыстыру;
- Жалған дестелер құру;
- Шабуыл жасаушы түйін ретінде басқа біреудің компьютерін көрсету;
- Шабуылдың стандарттық орындалуын өзгерту;
- Тіркеу журналдарын тазалау;
- Файлдарды жасыру;
- Шабуылды үзінділеу;
Шабуылдар жіктелімінің бірнеше түрлерін көрсететін болсақ:
- Қашықтан ену;
- Жергілікті ену;
- Қашықта тұрып қызмет көрсетуден бас тарқызу;
- Жергілікті қызмет көрсетуден бас тартқызу;
- Желілік сканнерлер;
- Осалдықтар сканері;
- Құпиясөз бұзғыштары;
- Хаттамалар талдаушы;
2.1 Man-in-the-Middle Attack шабуылы, одан қорғау
Екі түйіннің (А және В) арасында тасымалданып жатқан деректерге
Деректерді жолай ұстау мынадай жағдайларда мүмкін болады:
А, В және Х түйіндері бір IP желіде орналасқан
А және Х түйіндері бір желіде, ал В түйін
А және В түйіндері әр түрлі желілерде, ал Х
Man-in-the-Middle Attack шабуылы кезінде дестелердің сниффері, көліктік хаттамалар және
Шабуыл шифрланған хабарларды айырбастауға, сонымен қатар кілттерді айырбастау хаттамасына
Осындай шабуылдар түрлерін алдын алудың бір әдісі әр жақ
Man-in-the-Middle Attack тәрізді шабуылдармен тек криптографияны қолдану арқылы ғана
2.2 Жалған ICMP Redirect хабары
Қаскөй бұл шабуылды өзінің Х түйіні орналасқан желідегі А
Бұл шабуыл әдетте жалған ICMP Redirect хабары арқылы жүзеге
8-bit Type 8-bit Code 16-bit Checksum
32-bit Gateway Internet Address
Internet Header + 64 bits of Original Data Datagram
1-сурет. ICMP Redirect хабарының тақырыбы
Internet желісінде басқаратын ICMP (Internet Control Message Protocol) хаттамасы
Желінің сегментінде (шабуылдайтын түйіні бар) шабуылдаушыны тапқан кезде, шабуыл
Жалған ICMP Redirect хабары Datagrams for the Host шабуылдайтын
2. Егер шабуылдайтын түйіннен ARP-сұраныс келсе, онда ARP-жауап
Егер шабуылдайтын түйіннен десте келсе, онда ол нақты(шын) бағдарғылауышқа
Егер бағдарғылауыштан десте келсе, онда ол шабуылдайтын түйінге қайта
Дестені қабылдау кезінде оның мазмұнына әрекет етеді.
ICMP (Internet Control Message Protocol) хаттамасының негізгі міндеттерінің бірі
2-сурет. ICMP Redirect көмегімен жалған бағдарғылауышты міндеттеу.
А түйінінің бағдарғылар кестесінде жалған redirect-хабарын жіберетін түйін В
А түйіні келген redirect-хабарды алдында В түйініне жіберілген дестеге
Сонымен, А және В түйіндері арасындағы деректер ағынын жолай
Егер желіде бір-ақ ретқақпа болса, онда ол осы керекті
Айтып кететін тағы бір жайт – В түйінінің деректер
Кейбір жағдайларда жалған бағдарлауышты міндеттеу шабуылын, түйінді пішінүйлесімдіру кезінде,
ICMP Router Advertisement хабары. ICMP хаттамасының Router Advertisement хабарын
DHCP DHCPOFFER хабары. Егер түйін өзін пішінүйлесімдіру үшін DHCP
2.3 Жалған ICMP Redirect хабарының алдын –алу, қорғау
Жалған ICMP Redirect хабары арқылы ұйымдастырылған шабуылды болдырмау үшін
Мұндай шабуылдан қорғанудың бір әдісі берілген хабарды сүзгілеу(Firewal-ды пайдалана
Тәжірибелер көрсеткендей, берілген хабар Windows 95 и Windows NT
2.4 ІР-спуфинг
ІР-спуфинг мекеменің ішінде бар болатын немесе одан тыс орналасқан
Әдетте ІР-спуфинг клиенттік және серверлік қосымшалар арасында немесе біррангты
Спуфингтің қаупін төмендетуге (бірақ жоюға емес) болады келесі шаралардың
қолжетерлікті бақылау;
RFC 2827 фильтрлеу.
Қолжетерлікті бақылау – ІР-спуфингті тойтарудың ең қарапайым әдісі қолжетерлікті
RFC 2827 фильтрлеу – Сіз сіздің торабыңыздың пайдаланушыларымен бөтен
ІР-спуфингпен күресудің ең тиімді әдісі, сниффинг дестелерінің жағдайындағыдай: шабуылды
2.5 IP sequence number (IP-spoofing) болжау
Берілген жағдайда қаскүнемнің мақсаты – басқа жүйе болып қылымсу,
ТСР-байланысты орнату үш сатыда өтеді: клиент sequence number (оны
Қаскүнем сервермен жіберілетін sequence number-дің (сұлба бойынша S-SYN) қандай
Сонымен, В жүйесінің пайдаланушысы “rlogin A” істей алатындай және
Қаскүнемнің бірінші мақсаты – В жүйесін тораптық сұрауларға жауап
Қарсы әрекеттер: IP-spoofing-тің қарапайым сигналы ретінде ішкі дүниеден келген
3 Желіаралық экран
Желіаралық экран – берілген ережелерге сәйкес түрлі дәрежедегі АЖӘ
Брандмауэр (нем. Brandmauer)- бұның негізгі түпнұсқасы өрттің таралып
Қазіргі уақытта барлық шығарылған ЖАЭ келесі негізгі белгілері бойынша
а) орындалуы бойынша:
1) аппараттық – бағдарламалық;
2) бағдарламалық;
ә) АЖӘ үлгісінің деңгейлерінде жұмыс істеуі бойынша:
1) сараптық деңгейдегі ретқақпа;
2) экрандалған ретқақпа(қолданбалық);
3) экрандалған көлік (сеанстық);
4) экрандалған бағдарғылауыш (дестелік сүзгі);
б) қолданылатын технологиясы бойынша:
1) хаттамалардың күй-жайын бақылау;
2) делдал жекебөлшектер негізінде;
в) жалғау сұлбасы бойынша:
1) желіні ортақ қорғау сұлбасы;
2) қорғанылатын жабық және қорғалынбайтын ашық сегменттері бар желі
3) желінің жабық және ашық сегменттерін бөлек-бөлек қорғайтын сұлба;
ЖАЭ-ның жұмыс істеу саясаты брандмауэрдің функциялай негізіне қойылған, желіаралық
● Нақ рұқсат етілмегеннің бәріне тыйым салу;
● Нақ тыйым салғанның бәріне рұқсат ету.
Бірінші жағдайда ЖАЭ кез келген нақ рұқсат етілмеген
Корпоративті желіаралық экрандар кеңсені немесе үйде жұмыс істейтін қызметкерді
3.1 Lan2net NAT Firewall 1.95.0175 орнату және баптау
3-сурет. Lan2net NAT Firewall 1.95.0175-ті орнату
4-сурет. Типтік түрін таңдау
Lan2net NAT Firewall 1.95.0175-тің 7 функционалдық деңгейі:
Пайдалаушы.
Мұнда пайдалаушының тізімі және топтары, Firewll-дың трафик заңдылығы.
Пайдаланушылар бөлімінде төмендегідей мүмкіндіктер бар:
бұл бөлімде пайдаланушыны қосуға, өшіруге және редакциялауға болады;
Әрбір топтардағы пайдаланушы туралы ақпарат көруге болады және сол
Бір мезетте барлық топ пайдаланушыларына немесе тек пайдалаушыға трафиктік
Firewall-дың жұмыс істеу трафигінің ережелерін көруге болады;
Пайдаланушының жылдамдығын маниторда көрсетуге болады;
Трафикке байланысты ақпаратты MS Excel-ге экспорттауға болады.
Lan2net NAT Firewall 1.95.0175-тің жергілікті желідегі бір компьютерге бірнеше
5-сурет. Пайдаланушы бөлімі
Топтар және пайдаланушылар құқығы
Пайдаланушылар өздерінің қатынау құқығына байланысты топтарға бөлінеді. Әрбір пайдаланушы
6-сурет. Топтар және пайдаланушылар құқығы бөлімі
Желіаралық экранның жұмы режімі
Firewall пайдаланушылардан сырт трафиктерді басқару және есептеу сияқты жұмыстарды
7-сурет. ЖЭ-ның жұмыс режімі бөлімі
4. Интерфейс бөлімі
Бұл бөлімде желіаралық экранның әр желілік адаптрге сәйкестірілген анық
Бұл бөлімнің төмендегідей мүмкіндіктері бар:
Кезекші интерфейске қандай адаптр таңдау керектігін біле аламыз;
NAT өңделуін беру;
DHCP сұраныстарына рұқсат беру.
8-сурет. Интерфейс бөлімі
Маниторинг бөлімі
Бұл бөлімде қосылған белсенді пайдаланушыны көруге, сонымен қатар желілік
Қосылған пайдаланушының маниторингі
Маниторинг бөлімі пайдаланушының атынан ереже жасау үшін қажет.
Қосылулар пайдаланушының ережелері ароқылы топталады. Қосылулар бұтақ түрінде көрсетіледі.
System0 – тиым салынған қосылу, ешбір пайдаланушы жоқ;
System1 – шлюз және интерфейс арасындағы транзиттік трафик;
System2 – NAT қосылуы.
9-сурет. Мониторинг бөлімі
6. Лог журналы бөлімі
Бұл бөлім лог файлдарды көру үшін қызмет етеді және
10-сурет. Лог журналы бөлімі
Настройка бөлімі
Бұл бөлімде Lan2net NAT Firewall 1.95.0175-тің қосымша өңдеуінде DNS
11-сурет. Настроика бөлімі
3.2 Lan2net NAT Firewall 1.95.0175 мүмкіншіліктері
Трафикті бақылау;
Firewall көмегімен желіні сенімді түрде қорғау;
Ережелер тізбегі арқылы Firewall-ды оңай түрде өңдеуге болады;
Бір ІР мекен-жайы арқылы жергілікті желіге қосылу мүмкіншілігі бар;
Нақты уақытта трафикті өте дәлдікпен есептейді;
Нақты уақытта маниторингтік қосылыу – бұтақтардың қосылуы және ол
Қолданушылар трафигнің статистикалық жүйесі;
QoS түрлерін қолдану арқылы каналды қайта іске қосуды динамикалық
Қолданушыларды аутентификациялаудың әртүрлі әдістері, оның ішінде NTLM – аутентификация;
Қолданушылар үшін жеңілдік трафиктері;
Қолданушы жұмысының әр сағаттағы кестесі;
Интернеттен жергілікті желі ресурстарына организациялық рұқсат беру;
Port mapping (порттарды белгілеу);
DNS forward (DNS сұраныстарды қайта бағыттау);
Желілік интерфейстерді қолдау;
Лог файлды текістік түрде сақтау мүмкіндігі бар, аналогы Kerio
MS Excel-ге статистиканы жіберу.
4 Шабуылды айырып-табу және алдын алу жүйелері
Қазіргі уақытта шабуылдарды айырып-табудың коммерциялық жүйелері (Instrusion Detection Systems,
IDS артықшылықтары:
Жүйеде оқиғаның мониторингі және талдауы, пайдаланушылардың өзін ұстауы (поведения);
Олардың қауіпсіздігіне байланысты жүйелік пішінүйлесім күйін тестілеу;
Жүйенің базалық қауіпсіздік күйін тексеру және сосын осы базаның
Белгілі шабуылдарға сәйкес жүйелік оқиғаның шаблондарын таныту;
Қалыпты іс-әрекеттен статистиканың айырмашылығы, іс-әрекеттің шаблондарын таныту;
Аудиттің тетігін басқару және ОЖ-нің логтарын құру;
Шабуылды ұстау кезінде кейбір берілген түрмен жетекшілікті хабардар етіледі.;
Талдау инструменттерінің терминінде қауіпсіздік саясаты келтірілген;
Қауіпсіздік аймағында сарапшы еместерге, мамандармен қамтамасыз ету (ақпараттық қауіпіздік
IDS кемшіліктері:
Өндірістің үлкен және таралған желілерінде олар нашар масштабталады;
Олар, үрей жайындағы хабарлармен және басқарудың ыңғайсыз интерфейстерімен, басқаруда
Түрлі коммерциялық IDS (егер олар түрлі өндірушілермен құрылса) бір-бірімен
IDS-ті тиімді функциялауға жалған позитивтіліктің деп аталатын, үрей
Олар мекемеде қауіпсіздік саясатының, стратегиясының немесе сәулетінің болмауынан тәркілей
Олар желілік хаттаманың әлсіз жерлерін тәркілей алмайды;
Олар қауіпсіздік тетіктерінің басқа түрлерінің орнын баса алмайды (идентификация
Олар жүйені қауіпсіздіктің барлық қауіптерінен толығымен қорғайтын жалғыз тетік
4.1 IDS үшін қосымшалар: Honey Pot и Padded Cell
Қазіргі уақытта дәстүрлі IDS үшін жаңа қосымшалар өндірілуде.
Honey Pot потенциалды шабуылдаушыны өзіне тарту үшін және оны
Шабуылдаушыны қатынас құрудан сыншы жүйеге аластату;
Шабуылдаушының іс-әрекеті жайында ақпарат жинау;
Жүйеде шабуылдаушының ізі қалатындай ету үшін құрылады.
Мұндай жүйелер жалған ақпаратпен толтырылады, бірақ ақпарат бағалы болатындай
Padded Cell басқа келісті пайдаланады. Шабуылдаушыны жалған деректермен өзіне
Honey Pot және Padded Cell жүйелерінің артықшылықтары:
Шабуылдаушылар бүтін жүйе жағына бағытталған болуы мүмкін (олар зиян
Әкімшілер шабуылдаушыға қалай жауап беру туралы шешім қабылдау үшін
Шабуылдаушының әрекеті жеңіл болуы мүмкін және қорғаныш жүйесін жақсарту
Honey Pot желіні қарайтын, ішкі бұзушыларды ұстау үшін тиімді
Honey Pot және Padded Cell жүйелерінің кемшіліктері:
Мұндай құрылғыларды пайдалану үшін Заңшығарушы жағдайы жеткіліксіз анықталған.
Honey Pot және Padded Cell әзірше қауіпсіздіктің жалпыпайдаланатын технологиясы
Тәжірибелі шабуылдаушы, біркезде қақпанға түсіп, агрессивті болуы мүмкін және
Әкімшіге мұндай жүйелерді пайдалану үшін үлкен тәжірибе керек.
Шабуылдардан қорғану үшін осы күнге дейін екі қорғаныш сыныбы
4.1 Шабуылдардың алдын-алу жүйесі (IPS)
IPS "Intrusion Prevention System" дегеніміз желілік шабуылдарды болдырмау жүйесі.
IPS көп жағдайларда хост пен интернет орнатушы компанияның желісінің
IPS ең тиімдісі HIPS болып саналады, онда шпиондық бағдарламманы
HIPS нақты қарайтын болсақ ол Sophos Anti-Virus , Sophos
HIPS қолданылатын шаралар жиыны:
Қара тізімге жазу
Ақ тізімге жазу
Анализдеп шара қабылдау
Шабуылдарды анықтау ушін сигнатуралар қолданылады. Сигнатураның жұмыс принципі өз
Шабуылдарды анықтауы бойынша HIPS тің турлері:
HIPS желілік деңгейдегісі
HIPS орындалудан бұрын
HIPS орындалудан кейін
Sophos Behavioural Genotype Protection дегеніміз не?
Sophos Behavioural Genotype Protection дегеніміз шабуылдарды анықтаудың жаңа технологиясы.
HIPS артықшылықтары төмендегідей:
-Sсophos фирмасы шығарады, және ядро деңгейінде жұмыс істеуі
-HIPS қауіпті бағдарламманы орындалудан бұрын анықтайды
-Компьютердің аз ресурстарын қолдануы
-Бағдарламмаларды виртуалды жүйесінде орындап қауіптілігін анықтауы
-Администраторлардың хосттарды қауіпті бағдарламмаларға тексеріп отыруы кажет еместігі
-Өте нақты анықтауы, эвристикалық технологияны қолданып анықтауы
-Қате жұмыс істеуі аз кездеседі
-Дайын шаблондар арқылы жеңіл бапталуы
-Бір тұтас ядроны қолдануы
-Барлық анықтау бағдарламмалары бір қорпта орналасуы
Шабуылдардан қорғану үшін осы күнге дейін екі қорғаныш сыныбы
Көптеген зерттеушілердің пікірінше бүгінгі таңдағы қаскөйлермен тиімді және ыңғайлы
12-сурет. Шабуылдың алдын-алу жүйесінің жалғану сұлбалары
IPS жүйелері inline (трафик өткізетін болған) режімінде жұмыс істейді.Соның
2.1 IРS артықшылықтары
жіберуші мен алушының мекенжайы бойынша дестелерді бұғаттау ережесі
құрылғы істен шыққан кезде IРS ақпараттар ағынын өткізеді;
соңғы аппаратта тексерілмеген ақпараттар ағынын тексереді;
әр шабуылдың соңында оны тек айқындап қана қоймай, соңынан
дестені жаңашалау арқылы осалдылықты шеттеу;
2.2 IРS кемшіліктері
желінің өнімділігін төмендетуі;
сызықты құрылғының істен шығуы;
егер құрылғы істен шықса және арна жабық болса желінің
егер құрылғы істен шықса және арна ашық болса желіге
жалған шақыруларды ұйымдастыруы мүмкін;
Өндіруші компаниялар
Шабуылды айырып-табу жүйелері
Аты Шығарушы фирма Түрі ОЖ
RealSecure Network Sensor Internet Security Systems, Inc Желілік Windows
RealSecure Server Sensor -“- Жүйелік Windows 2000, Solaris, Unix
BlackICE Agent -“- Жүйелік Windows 98, ME,2000
BlackICE Sentry -“- Желілік Windows 2000
OmniGuard Intruder Alert Axent Technologies Жүйелік Windows 2000, Netware,
Cisco Secure IDS Host Sensor Cisco Systems Жүйелік Windows
Cisco Secure Integrated Software -“- Желілік Cisco IOS
NetRanger -“- Желілік Solaris
Intruder Alert Symantec Жүйелік Windows 2000, Netware, Unix
NetProwler -“- Желілік Windows 2000
Session Wall-3 MEMCO Software Желілік Windows 2000
Kane Security Monitor Security Dynamics Жүйелік Windows 2000, Netware
Network Flight Recorder NFR Желілік Unix
Шабуылдың алдын-алу жүйелері
ODS Networks, Cisco Systems, ISS, Star Force, Juniper, Россия
5.1 Қорғалуға тиісті есептеу техникалық құралдарының объектісінің
№206 БӨЛМЕ ҮШІН
Объектіні қалай қорғау керек екендігін қарастырмас бұрын оның іш-сыртына,
Қорғалуға берілген объект Қ.И. Сәтбаев атындағы Қазақ Ұлттық техникалық
Терезе қараған жақта, 150 м жерде шетел елшілігі орналасқан.
Өлшемін көрсететін болсақ, аса үлкен емес: 4х5х3,2 м. Қабырғалары
Бөлмеде компьютер, 1 принтер, 1 аналогтық телефон аппараты
Бөлменің толық сипаттамасы -суретте көрсетілген.
5.2 Объектідегі ақпараттың сыртқа кету арналары
Ақпараттың сыртқа кету арналарының алуан түрлері бар. Негізгі белгілі
Адамның тікелей қатысуын талап ететін, яғни оларға ақпаратты тасуыштарды
Сондықтан, құпия ақпараттың сыртқа кетуінің техникалық арналарына шолу жасап
Ақпаратты жолай ұстау немесе оның сыртқа кету арналарын пайдалану
Ақпараттың сыртқа кетуінің техникалық арналарын анықтау кезінде ақпаратты қабылдайтын,
АҚТҚ-мен бірге үй-жайларда құпия ақпаратты өңдеуге қатыспайтын, бірақ АҚТҚ-мен
Ақпараттың сыртқа кету арнасы ретінде өзіне аса көп назар
Бақыланатын аймақ – дегеніміз тұрақты немесе уақытша рұқсаты жоқ,
АҚТҚ мен КТҚЖ-ның байланыс сымдарынан басқа олардың құрамына кірмейтін,
Ақпараттық сигналдардың пайда болуының физикалық табиғатына, олардың таралу орталарына
Ақпаратты өңдеу құралдарымен қатар адамның дауысы да ақпарат
Адамның дауыс аппараты акустикалық толқындардың алғашқы көзі болып табылады.
Акустикалық тербелістердің әсерінен сөзді таратқыш тұрған үй-жайдың құрылыстық құрылмаларында
Сөздік сигналдың жолдан ұсталу әдісі мен таралу ортасына байланысты
Қазіргі кезде ақпаратты тасымалдау үшін көбінесе радиорелейлік, тропосфералық немесе
Сонымен, жоғарыдағы айтылғандарды ескере отырып берілген бөлмедегі мүмкін болатын
дірілдік (ауа тазалағыш құбырларда, жылу құбырларында, терезеде, қабырғада адам
акустикалық (сөздік ақпаратты микрофондармен, арнайы бағытталған микрофондар арқылы ұстау);
дірілакустикалық (ауа тазалағыш құбырларда, жылу құбырларында, терезеде, қабырғада датчиктер
электр-акустикалық (КТҚЖ желілеріне қосылу арқылы акустикалық тербелістерді жолай ұстау,
электр-магниттік (АҚТҚ-ң жанама электр-магниттік сәулелері);
электрлік (кәбілдік байланыс, электр желілері, телефондық байланыс, жерлендіру тізбектерін
оптика-электронды (бөлменің шағылысатын беттерінен лазерлік құралдар арқылы акустикалық толқындарды
индукциялық (құралдардан шығатын электр-магниттік өріс);
сатып алынған ЖЭЕМ-дерде әдейілеп орнатылған, бірақ сол компьютердің басқа
бөлмеде әдейілеп орнатылған ақпарат жинағыш және таратқыш немесе жазып
компьтерлерді пайдалану себебінен пайда болатын сыртқа кету арналары (жедел
№206 бөлмені ұйымдастыру мен қорғау шаралары .
13-сурет. Бөлменің ұйымдастыру шаралары
Қабырғадан дауыс нәтижесінде ақпарат ала алады, оны болдырмас үшін
Акустикалық арна арқылы пернетақтадан және принтерден ақпарат алу және
Жүйелік блокты ашып,ішіндегі деректі алмас үшін, оны мөрлейді, оған
Терезеден акустикалық жолмен ақпарат алу. Алдын алу үшін, жұмыс
Есіктерді дыбыс оқшауландыратын материалдармен жабу керек.
Желдету арналарын қыстырмалармен жабдықтау керек.
Қарсы ауаны айдайтын желдеткіш орнату. Іщкі жағына тақтайща орнату.
Үй-жайдың ішінен, зертханаларға рұқсат етілмеген жағдайда нәрселерді сыртқа алып
Жерлендіру, күзет-өрт дабылы, электрқоректену, ұялы телефон арқылы құпия ақпаратты
Жылу беру батареяларынан ақпарат алмау үшін батареяның басқа бөлмеге
Техникалық құралдары орналасқан үй-жайлардың барлығында, әсіресе рұқсат етілмеген монтаж
Алмалы-салмалы винчестерлер жұмыс біткеннен кейін сейфтарда сақталуы тиіс.
Бөлмеде, қоқысты жәшікке салмастан бұрын, қағаз тасуышты ұсақтайтын құрылғыны
Жұмыс бііткеннен кейін немесе көпке дейін ашылмайтын есіктерді мөрлеу,
Құпия отырыс, жиналыс болатын бөлмелердегі барлық артық нәрселер алып
Есік терезелерді жабу.
Құпия жиналысты өткізу кезінде міндетті түрде ол жердегі адамдарды
Рұқсатсыз ақпарат құралдарын жүйелі түрде тексеріп тұру.
ҚОРЫТЫНДЫ
Бүгінгі күні Интернет, сонымен қатар басқа желілер жоғары биіктерге
Осындай қауіп қатерлерден сақтану үшін ақпарат желісін алдын-ала қорғау
ПАЙДАЛАНЫЛҒАН ӘДЕБИЕТТЕР ТІЗІМІ
1. www.google.ru . Корпоративные сети от ВестКолл.htm
2. И. Медведовский, П. Семьянов Атака через Internet. //Мир
3. BugTraq.ru Некоторые подробности по VPN на Kerio WinRoute
4. www.google.ru D-LINK - Атаки сети, виды и
5 М.Мамаев, С.Петренко "Технологии защиты информации в Интернете" (СПб:
6. Бурсуков В.С Безопасность: технологии, средства, услуги,-М КУДИЦ-ОБРАЗ 2001
1
