Хакеры

система корпорации IBM.

Понятие “структурированность” означает, что кабельную систему

здания можно разделить на несколько уровней в зависимости от назначения и

месторасположения компонентов кабельной системы. Например, кабельная

система SYSTIMAX SCS состоит из :

- Внешней подсистемы (campus subsystem)

- Аппаратных (equipment room)

- 16 -

- Административной подсистемы (administrative subsystem)

- Магистрали (backbone cabling)

- Горизонтальной подсистемы (horizontal subsystem)

- Рабочих мест (work location subsystem)

Внешняя подсистема состоит из медного оптоволоконного кабеля,

устройств электрической защиты и заземления и связывает коммуникационную и

обрабатывающую аппаратуру в здании (или комплексе зданий). Кроме того, в

эту подсистему входят устройства сопряжения внешних кабельных линий и

внутренними.

Аппаратные служат для размещения различного коммуникационного

оборудования, предназначенного для обеспечения работы административной

подсистемы.

Административная подсистема предназначена для быстрого и легкого

управления кабельной системы SYSTIMAX SCS при изменении планов размещения

персонала и отделов. В ее состав входят кабельная система (неэкранированная

витая пара и оптоволокно), устройства коммутации и сопряжения магистрали и

горизонтальной подсистемы, соединительные шнуры, маркировочные средства и

т.д.

Магистраль состоит из медного кабеля или комбинации медного и

оптоволоконного кабеля и вспомогательного оборудования. Она связывает между

собой этажи здания или большие площади одного и того же этажа.

Горизонтальная система на базе витого медного кабеля расширяет

основную магистраль от входных точек административной системы этажа к

розеткам на рабочем месте.

И, наконец, оборудование рабочих мест включает в себя

соединительные шнуры, адаптеры, устройства сопряжения и обеспечивает

механическое и электрическое соединение между оборудованием рабочего места

и горизонтальной кабельной подсистемы.

Наилучшим способом защиты кабеля от физических (а иногда и

температурных и химических воздействий, например, в производственных цехах)

является прокладка кабелей с использованием в различной степени защищенных

коробов. При прокладке сетевого кабеля вблизи источников электромагнитного

излучения необходимо выполнять следующие требования :

а) неэкранированная витая пара должна отстоять минимум на 15-30 см

от электрического кабеля, розеток, трансформаторов и т.д.

б) требования к коаксиальному кабелю менее жесткие - расстояние до

электрической линии или электроприборов должно быть не менее 10-15 см.

- 17 -

Другая важная проблема правильной инсталляции и безотказной работы

кабельной системы - соответствие всех ее компонентов требованиям

международных стандартов.

Наибольшее распространение в настоящее время получили следующие

стандарты кабельных систем :

Спецификации корпорации IBM, которые предусматривают девять

различных типов кабелей. Наиболее распространенным среди них является

кабель IBM type 1 -

- экранированная витая пара (STP) для сетей Token Ring.

Система категорий Underwriters Labs (UL) представлена этой

лабораторией совместно с корпорацией Anixter. Система включает пять уровней

кабелей. В настоящее время система UL приведена в соответствие с системой

категорий EIA/TIA.

Стандарт EIA/TIA 568 был разработан совместными усилиями UL,

American National Standarts Institute (ANSI) и Electronic Industry

Association/Telecommunications Industry Association, подгруппой TR41.8.1

для кабельных систем на витой паре (UTP).

В дополнение к стандарту EIA/TIA 568 существует документ DIS

11801, разработанный International Standard Organization (ISO) и

International Electrotechnical Commission (IEC). Данный стандарт использует

термин “категория” для отдельных кабелей и термин “класс” для кабельных

систем.

Необходимо также отметить, что требования стандарта EIA/TIA 568

относятся только к сетевому кабелю. Но реальные системы, помимо кабеля,

включают также соединительные разъемы, розетки, распределительные панели и

другие элементы. Использования только кабеля категории 5 не гарантирует

создание кабельной системы этой категории. В связи с этим все выше

перечисленное оборудование должно быть также сертифицировано на

соответствие данной категории кабельной системы.

Системы электроснабжения.

Наиболее надежным средством предотвращения потерь информации при

кратковременном отключении электроэнергии в настоящее время является

установка источников бесперебойного питания. Различные по своим техническим

и потребительским характеристикам, подобные устройства могут обеспечить

питание всей локальной сети или отдельной компьютера в течение промежутка

времени, достаточного для восстановления подачи напряжения или для

сохранения информации на магнитные носители. Большинство источников

бесперебойного питания одновременно выполняет функции и стабилизатора

напряжения, что

- 18 -

является дополнительной защитой от скачков напряжения в сети. Многие

современные сетевые устройства - серверы, концентраторы, мосты и т.д. -

оснащены собственными дублированными системами электропитания.

За рубежом корпорации имеют собственные аварийные электрогенераторы

или резервные линии электропитания. Эти линии подключены к разным

подстанциям, и при выходе из строя одной них электроснабжение

осуществляется с резервной подстанции.

Системы архивирования и дублирования информации.

Организация надежной и эффективной системы архивации данных

является одной из важнейших задач по обеспечению сохранности информации в

сети. В небольших сетях, где установлены один-два сервера, чаще всего

применяется установка системы архивации непосредственно в свободные слоты

серверов. В крупных корпоративных сетях наиболее предпочтительно

организовать выделенный специализированный архивационный сервер.

Хранение архивной информации, представляющей особую ценность,

должно быть организовано в специальном охраняемом помещении. Специалисты

рекомендуют хранить дубликаты архивов наиболее ценных данных в другом

здании, на случай пожара или стихийного бедствия.

Защита от стихийных бедствий.

Основной и наиболее распространенный метод защиты информации и

оборудования от различных стихийных бедствий - пожаров, землетрясений,

наводнений и т.д. - состоит в хранении архивных копий информации или в

размещении некоторых сетевых устройств, например, серверов баз данных, в

специальных защищенных помещениях, расположенных, как правило, в других

зданиях или, реже, даже в другом районе города или в другом городе.

Программные и программно-аппаратные методы защиты.

Защита от компьютерных вирусов.

Вряд ли найдется хотя бы один пользователь или администратор сети,

который бы ни разу не сталкивался с компьютерными вирусами. По данным

исследования, проведенного фирмой Creative Strategies Research, 64 % из 451

- 19 -

опрошенного специалиста испытали “на себе” действие вирусов. На сегодняшний

день дополнительно к тысячам уже известных вирусов появляется 100-150 новых

штаммов ежемесячно. Наиболее распространенными методами защиты от вирусов

по сей день остаются различные антивирусные программы.

Однако в качестве перспективного подхода к защите от компьютерных

вирусов в последние годы все чаще применяется сочетание программных и

аппаратных методов защиты. Среди аппаратных устройств такого плана можно

отметить специальные антивирусные платы, которые вставляются в стандартные

слоты расширения компьютера. Корпорация Intel в 1994 году предложила

перспективную технологию защиты от вирусов в компьютерных сетях. Flash-

память сетевых адаптеров Intel EtherExpress PRO/10 содержит антивирусную

программу, сканирующую все системы компьютера еще до его загрузки.

Защита от несанкционированного доступа.

Проблема защиты информации от несанкционированного доступа особо

обострилась с широким распространением локальных и, особенно, глобальных

компьютерных сетей. Необходимо также отметить, что зачастую ущерб наносится

не из-за “злого умысла”, а из-за элементарных ошибок пользователей, которые

случайно портят или удаляют жизненно важные данные. В связи с этим, помимо

контроля доступа, необходимым элементом защиты информации в компьютерных

сетях является разграничение полномочий пользователей.

В компьютерных сетях при организации контроля доступа и

разграничения полномочий пользователей чаще всего используются встроенные

средства сетевых операционных систем. Так, крупнейший производитель сетевых

ОС - корпорация Novell - в своем последнем продукте NetWare 4.1

предусмотрел помимо стандартных средств ограничения доступа, таких, как

система паролей и разграничения полномочий, ряд новых возможностей,

обеспечивающих первый класс защиты данных. Новая версия NetWare

предусматривает, в частности, возможность кодирования данных по принципу

“открытого ключа” (алгоритм RSA) с формированием электронной подписи для

передаваемых по сети пакетов.

В то же время в такой системе организации защиты все равно остается

слабое место: уровень доступа и возможность входа в систему определяются

паролем. Не секрет, что пароль можно подсмотреть или подобрать. Для

исключения возможности неавторизованного входа в компьютерную сеть в

последнее время используется комбинированный подход - пароль +

идентификация пользователя по персональному “ключу”. В качестве “ключа”

может использоваться пластиковая карта (магнитная или со встроенной

микросхемой - smart-card) или различные

- 20 -

устройства для идентификации личности по биометрической информации - по

радужной оболочке глаза или отпечатков пальцев, размерам кисти руки и так

далее.

Оснастив сервер или сетевые рабочие станции, например, устройством

чтения смарт-карточек и специальным программным обеспечением, можно

значительно повысить степень защиты от несанкционированного доступа. В этом

случае для доступа к компьютеру пользователь должен вставить смарт-карту в

устройство чтения и ввести свой персональный код. Программное обеспечение

позволяет установить несколько уровней безопасности, которые управляются

системным администратором. Возможен и комбинированный подход с вводом

дополнительного пароля, при этом приняты специальные меры против

“перехвата” пароля с клавиатуры. Этот подход значительно надежнее

применения паролей, поскольку, если пароль подглядели, пользователь об этом

может не знать, если же пропала карточка, можно принять меры немедленно.

Смарт-карты управления доступом позволяют реализовать, в частности,

такие функции, как контроль входа, доступ к устройствам персонального

компьютера, доступ к программам, файлам и командам. Кроме того, возможно

также осуществление контрольных функций, в частности, регистрация попыток

нарушения доступа к ресурсам, использования запрещенных утилит, программ,

команд DOS.

Одним из удачных примеров создания комплексного решения для

контроля доступа в открытых системах, основанного как на программных, так и

на аппаратных средствах защиты, стала система Kerberos. В основе этой

схемы авторизации лежат три компонента:

- База данных, содержащая информацию по всем сетевым ресурсам,

пользователям, паролям, шифровальным ключам и т.д.

- Авторизационный сервер (authentication server), обрабатывающий

все запросы

пользователей на предмет получения того или иного вида сетевых

услуг.

Авторизационный сервер, получая запрос от пользователя,

обращается к базе

данных и определяет, имеет ли пользователь право на совершение

данной

операции. Примечательно, что пароли пользователей по сети не

передаются,

что также повышает степень защиты информации.

- Ticket-granting server (сервер выдачи разрешений) получает от

авторизационного сервера “пропуск”, содержащий имя пользователя и

его

сетевой адрес, время запроса и ряд других параметров, а также

уникальный

сессионный ключ. Пакет, содержащий “пропуск”, передается также в

зашифрованном по алгоритму DES виде. После получения и

расшифровки

“пропуска” сервер выдачи разрешений проверяет запрос и сравнивает

ключи и

затем дает “добро” на использование сетевой аппаратуры или

программ.

- 21 -

Среди других подобных комплексных схем можно отметить разработанную

Европейской Ассоциацией Производителей Компьютеров (ECMA) систему Sesame

(Secure European System for Applications in Multivendor Environment),

предназначенную для использования в крупных гетерогенных сетях.

Защита информации при удаленном доступе.

По мере расширения деятельности предприятий, роста численности

персонала и появления новых филиалов, возникает необходимость доступа

удаленных пользователей (или групп пользователей) к вычислительным и

информационным ресурсам главного офиса компании. Компания Datapro

свидетельствует, что уже в 1995 году только в США число работников

постоянно или временно использующих удаленный доступ к компьютерным сетям,

составит 25 миллионов человек. Чаще всего для организации удаленного

доступа используцются кабельные линии (обычные телефонные или выделенные) и

радиоканалы. В связи с этим защита информации, передаваемой по каналам

удаленного доступа, требует особого подхода.

В частности, в мостах и маршрутизаторах удаленного доступа

применяется сегментация пакетов - их разделение и передача параллельно по

двум линиям,- что делает невозможным “перехват” данных при незаконном

подключении “хакера” к одной из линий. К тому же используемая при передаче

данных процедура сжатия передаваемых пакетов гарантирует невозможности

расшифровки “перехваченных” данных. Кроме того, мосты и маршрутизаторы

удаленного доступа могут быть запрограммированы таким образом, что

удаленные пользователи будут ограничены в доступе к отдельным ресурсам сети

главного офиса.

Разработаны и специальные устройства контроля доступа к

компьютерным сетям по коммутируемым линиям. Например, фирмой AT&T

предлагается модуль Remote Port Security Device (PRSD), представляющий

собой два блока размером с обычный модем: RPSD Lock (замок),

устанавливаемый в центральном офисе, и RPSD Key (ключ), подключаемый к

модему удаленного пользователя. RPSD Key и Lock позволяют установить

несколько уровней защиты и контроля доступа, в частности:

- шифрование данных, передаваемых по линии при помощи генерируемых

цифровых ключей;

- контроль доступа в зависимости от дня недели или времени суток

(всего 14

ограничений).

Широкое распространение радиосетей в последние годы поставило

разработчиков радиосистем перед необходимостью защиты информации от

“хакеров”, вооруженных разнообразными сканирующими устройствами. Были

применены разнообразные технические решения. Например, в радиосети компании

- 22 -

RAM Mobil Data информационные пакеты передаются через разные каналы и

базовые станции, что делает практически невозможным для посторонних собрать

всю передаваемую информацию воедино. Активно используются в радио сетях и

технологии шифрования данных при помощи алгоритмов DES и RSA.

Заключение.

В заключении хотелось бы подчеркнуть, что никакие аппаратные,

программные и любые другие решения не смогут гарантировать абсолютную

надежность и безопасность данных в компьютерных сетях.

В то же время свести риск потерь к минимуму возможно лишь при

комплексном подходе к вопросам безопасности.

- 23 -

СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ И

ЛИТЕРАТУРЫ.

1. М. Рааб (M. Raab) Защита сетей: наконец-то в центре внимания //

Компьютеруорлд Москва, 1994, № 29, стр. 18.

2. Д. Векслер (J.Wexler) Наконец-то надежно обеспечена защита данных в

радиосетях // Компьютеруорлд Москва, 1994, № 17, стр. 13-14.

3. С.В.Сухова Система безопасности NetWare//“Сети”, 1995, № 4,

стр. 60-70.

4. В. Беляев Безопасность в распределительных системах // Открытые

системы Москва, 1995, № 3, стр. 36-40.

5. Д.Ведеев Защита данных в компьютерных сетях // Открытые

системы Москва, 1995, № 3, стр. 12-18.

Страницы: 1, 2, 3