Локальна та мережна безпека даних

Украй важливо зрозуміти, що безпека - це не продукт, який можна купити в магазині і бути упевненим у власній захищеності. "Безпека"; - особлива комбінація як технічних, так і адміністративних заходів. Адміністративні заходи також включають не лише папери, рекомендації, інструкції, але і людей. Неможливо вважати свою мережу "безпечною";, якщо ви не довіряєте людям, працюючим з цією мережею. Ідеальна безпека - недосяжний міф, який можуть реалізувати, у кращому разі, тільки декілька професіоналів. Є один чинник, який неможливо здолати на шляху до ідеальної безпеки, - це людина.

Цілі мережевої безпеки можуть мінятися залежно від ситуації, але основних цілей зазвичай три:

· Цілісність даних.

· Конфіденційність даних.

· Доступність даних.

Розглянемо детальніше кожну з них.

Цілісність даних

Одна з основних цілей мережевої безпеки - гарантованість того, щоб дані не були змінені, підмінені або знищені. Цілісність даних повинна гарантувати їх збереження як у разі зловмисних дій, так і випадковостей. Забезпечення цілісності даних є зазвичай одним з найскладніших завдань мережевої безпеки. Конфіденційність даних

Другою головною метою мережевої безпеки є забезпечення конфіденційності даних. Не усі дані можна відносити до конфіденційної інформації. Існує досить велика кількість інформації, яка має бути доступна усім. Але навіть в цьому випадку забезпечення цілісності даних, особливо відкритих, є основним завданням.

До конфіденційної інформації можна віднести наступні дані:

· Особиста інформація користувачів.

· Облікові записи (імена і паролі).

· Дані про кредитні карти.

· Дані про розробки і різні внутрішні документи.

· Бухгалтерська інформація.

Доступність даних

Третьою метою безпеки даних є їх доступність. Марно говорити про безпеку даних, якщо користувач не може працювати з ними із-за їх недоступності. Ось приблизний список ресурсів, які зазвичай мають бути "доступні" в локальній мережі :

· Принтери.

· Сервери.

· Робочі станції.

· Дані користувачів.

Будь-які критичні дані, необхідні для роботи.Розглянемо загрози і перешкоди, що стоять на шляху до безпеки мережі. Усе їх можна розділити на дві великі групи: технічні загрози і людський чинник.

Технічні загрози:

· Помилки в програмному забезпеченні.

· Різні DoS - і DDoS -атаки.

· Комп'ютерні віруси, черв'яки, троянські коні.

· Аналізатори протоколів і прослуховуючі програми ("снифферы").

Технічні засоби знімання інформації.Помилки в програмному обеcпечении

Найвужче місце будь-якої мережі. Програмне забезпечення серверів, робочих станцій, маршрутизаторів і т. д. написано людьми, отже, воно практично завжди містить помилки. Чим вище складність подібного ПО, тим більше вірогідність виявлення в нім помилок і уязвимостей. Більшість з них не представляє ніякої небезпеки, деякі ж можуть привести до трагічних наслідків, таких, як отримання зловмисником контролю над сервером, непрацездатність сервера, несанкціоноване використання ресурсів (зберігання непотрібних даних на сервері, використання в якості плацдарму для атаки і тому подібне). Більшість таких уязвимостей усуваються за допомогою пакетів оновлень, що регулярно випускаються виробником ПО. Своєчасна установка таких оновлень є необхідною умовою безпеки мережі. DoS - і DDoS -атаки

Denial Of Service (відмова в обслуговуванні) - особливий тип атак, спрямований на виведення мережі або сервера з працездатного стану. При DoS -атаках можуть використовуватися помилки в програмному забезпеченні або легітимні операції, але у великих масштабах (наприклад, посилка величезної кількості електронної пошти). Новий тип атак DDoS (Distributed Denial Of Service) відрізняється від попередньої наявністю величезної кількості комп'ютерів, розташованих у великій географічній зоні. Такі атаки просто перевантажують канал трафіком і заважають проходженню, а частенько і повністю блокують передачу по ньому корисній інформації. Особливо актуально це для компаній, що займаються яким-небудь online -бизнесом, наприклад, торгівлею через Internet. Комп'ютерні віруси, троянські коні

Віруси - стара категорія небезпек, яка останнім часом в чистому вигляді практично не зустрічається. У зв'язку з активним застосуванням мережевих технологій для передачі даних віруси усе більш тісно інтегруються з троянськими компонентами і мережевими черв'яками. Нині комп'ютерний вірус використовує для свого поширення або електронну пошту, або уразливості в ПО. А часто і те, і інше. Тепер на перше місце замість деструктивних функцій вийшли функції видаленого управління, викрадення інформації і використання зараженої системи в якості плацдарму для подальшого поширення. Все частіше заражена машина стає активним учасником DDoS -атак. Методів боротьби досить багато, одним з них є все та ж своєчасна установка оновлень. Аналізатори протоколів і "снифферы"

До цієї групи входять засоби перехоплення передаваних по мережі даних. Такі засоби можуть бути як апаратними, так і програмними. Зазвичай дані передаються по мережі у відкритому виді, що дозволяє зловмисникові усередині локальної мережі перехопити їх. Деякі протоколи роботи з мережею (POPS, FTP) не використовують шифрування паролів, що дозволяє зловмисникові перехопити їх і використовувати самому. При передачі даних по глобальних мережах ця проблема встає найгостріше. По можливості слід обмежити доступ до мережі неавторизованим користувачам і випадковим людям. Технічні засоби знімання інформації

Сюди можна віднести такі засоби, як клавіатурні жучки, різні міні-камери, звукозаписні пристрої і так далі. Ця група використовується в повсякденному житті набагато рідше за вищеперелічених, оскільки, окрім наявності спецтехніки, вимагає доступу до мережі і її складових.

Людський чинник:

· Звільнені або невдоволені співробітники.

· Промислове шпигунство.

· Халатність.

· Низька кваліфікація.

Звільнені і невдоволені співробітники

Ця група людей найбільш небезпечна, оскільки багато хто з працюючих співробітників може мати дозволений доступ до конфіденційної інформації. Особливу групу складають системні адміністратори, зачаcтую невдоволені своїм матеріальним становищем або незгодні із звільненням, вони залишають "чорні ходи" для подальшої можливості зловмисного використання ресурсів, викрадення конфіденційної інформації і т. д. Промислове шпигунство

Це найскладніша категорія. Якщо ваші дані цікаві кому-небудь, то цей хтось знайде способи дістати їх. Злом добре захищеної мережі - не найпростіший варіант. Дуже може трапитися, що прибиральниця "тітка Глаша", що миюча під столом і лається на незрозумілий ящик з дротами, може виявитися хакером дуже високого класу. Халатність

Найбільша категорія зловживань : починаючи з не встановлених вчасно оновлень, незмінених налаштувань "за умовчанням" і закінчуючи несанкціонованими модемами для виходу в Internet, - внаслідок чого зловмисники дістають відкритий доступ в добре захищену мережу. Низька кваліфікація

Часто низька кваліфікація не дозволяє користувачеві зрозуміти, з чим він має справу; через це навіть хороші програми захисту стають справжньою морокою системного адміністратора, і він вимушений сподіватися тільки на захист периметра. Більшість користувачів не розуміють реальної загрози від запуску виконуваних файлів і скриптів і вважають, що виконувані файли -только файли з розширенням "ехе". Низька кваліфікація не дозволяє також визначити, яка інформація є дійсно конфіденційною, а яку можна розголошувати. У великих компаніях часто можна подзвонити користувачеві і, представившись адміністратором, упізнати у нього облікові дані для входу в мережу. Вихід тільки один -обучение користувачів, створення відповідних документів і підвищення кваліфікації.

Захист даних від внутрішніх загроз

Для захисту циркулюючої в локальній мережі інформації можна застосувати наступні криптографічні методи:

шифрування інформації;

електронний цифровий підпис (ЭЦП).

Захист від зовнішніх загроз

Методів захисту від зовнішніх загроз придумані немало - знайдена протидія практично проти усіх небезпек, перерахованих в першій частині цієї статті. Єдина проблема, якою доки не знайдено адекватного рішення, - DDoS -атаки.

Контрольні запитання:

  1. Для чого потрібно защищати інформацію та данні?
  2. Які бувают технічні угрози?
  3. Які бувають відіа втрати інформації через людинний чинник?
  4. Які способи захисту інформації бувають?

Література

Електронний ресурс http://art.thelib.ru/computers/security/bezopasnost lokalnih setey.html _ 7.12. Реалізація віртуальної пам' яті в LINUX

 

На думку де Кекелэр і Кристинака, у Linux є пара переваг перед іншими віртуальними машинами. Її відносно невеликий розмір забезпечує установку на одній машині відразу декількох копій ОС.

Кристинак, чия компанія пропонує технологію VM, працюючу як з Windows, так і Linux, звертає увагу на невисоку вартість останньою. За його словами, Linux VM в основному використовується як сервер Web або встановлюється в наукових лабораторіях. «Нульова вартість — найбільша перевага, — запевняє він. — Це означає, що ви можете створити стільки віртуальних машин, скільки треба, не витрачаючись кожного разу на нову ОС, як у випадку з Windows». Але Кристинак нагадує, що в США є компанії, наприклад зі списку Fortune 1000, які доки не ризикують перейти на Linux. «Вартість ліцензії — недостатній аргумент для зміни платформи, — говорить він. — Не так вже вона і висока... Якщо компанії наважаться розглянути Linux в якості варіанту, то він їм сподобається».

SWSOFT ОРІЄНТОВАНА НА ПОСТАЧАЛЬНИКІВ ХОСТИНГУ

Для SWsoft, що пропонує своє середовище Virtuozzo постачальникам хостингу для створення віртуальних серверів Web, вибір Linux був очевидний, стверджує Крейг Ода, віце-президент по розвитку бізнесу. Річ у тому, що Linux широко використовується у сфері хостингу Web.

SWsoft, Virtuozzo 2.0, що анонсувала, реалізує віртуальні середовища в якості способу розміщення більшого числа клієнтів на кожному сервері. Компанія просуває Virtuozzo як роботу з розділами, що «забезпечує, і керованість на рівні мейнфреймів на базі масових апаратних засобів і операційних систем». А у разі великих постачальників хостингу Web, наприклад Exodus, прагнучих збільшити прибутки, галузі потрібні дешевші пропозиції для роботи з невеликими і середніми за розміром компаніями, підкреслює Ода.

Технологія SWsoft дозволяє запускати до 800 копій Linux на одному сервері на базі процесорів Intel. Причому адміністрування кожної з них може робитися незалежно, хоча для цього і потрібно дуже потужний сервер. «Це свого роду мейнфрейм на базі x86, — розповідає він. — Те, що ми робимо на базі x86, IBM робить за допомогою мейнфреймів. Покупці десять разів подумають, перш ніж придбавати дорогі рішення IBM. Наші ж системи забезпечують величезну економію».

Віртуальне середовище, розроблене компанією (за твердженням Ода, вже подано 11 заявок на отримання патентів), функціонує тільки під Linux, проте в сьогодення здійснюється перенесення на Solaris, а в майбутньому — і на Windows.

Virtuozzo, спільно з пакетом автоматизації хостингу HSPcomplete, забезпечує можливість автоматизації багатьох, поки виконуваних вручну, операцій для провайдерів послуг хостингу (Hosting Service Provider, HSP), включаючи управління апаратними засобами і оновлення. Ода додає, що тепер клієнти можуть міняти апаратне забезпечення з метою підвищення ефективності його використання.

ENSIM

Як і рішення SWsoft, технологія Private Server компанії Ensim орієнтована на постачальників послуг хостингу Web і Internet. Як заявляє Енді Ким, віце-президент компанії по маркетингу, рішення на її основі дозволяють «ділити» фізичні сервери на 100 віртуальних серверів Web.

«Як постачальник послуг я можу поділити один сервер чотири віртуальних, гарантуючи, що кожен власник розділу отримає доступ як мінімум до чверті обчислювальних ресурсів, — запевняє Ким. — Проте, якщо інші ресурси вільні, їх теж можна використовувати«.

Це забезпечує велику ефективність застосування апаратного забезпечення, упевнений Ким. До 100 розділів можуть використовуватися для копіювання і запуску відносно невимогливого застосування на кшталт брандмауера.

Ким заявляє, що підхід Ensim до реалізації віртуального середовища, що припускає створення логічних виділених серверів, вимагає менше обчислювальних ресурсів. За його твердженням, технологія Private Server працює на усіх машинах на базі Linux, а не тільки на тих, де встановлені процесори Intel.

«Рівень віртуалізації оптимізований з метою досягнення найвищої продуктивності, тому накладні витрати мінімальні, — вважає Ким. — З його допомогою постачальник послуг здатний розділити будь-які системи Linux. Наприклад, однопроцесорний сервер — для установки на нім декількох служб«.

Патентована технологія, за його словами, надає декілька «рівнів ізоляції». Віртуальні сервери передбачають ізоляцію ресурсів і помилок, т. е. якщо на розділі виникне збій системного рівня, то інші віртуальні сервери продовжать працювати. «Було б цікаво дізнатися, хто ще пропонує повною мірою гарантовану ізоляцію збоїв. Це дуже важко здійснити так, щоб для цих цілей задіювалися менше 5% ресурсів», — підкреслює він.

Технологія Ensim, як запевняє Ким, забезпечує легку міграцію між системами разом з іншими функціями управління : «Наші розділи »інтелектуальні«, вони контролюють використовувані ресурси, а також стежать за роботою додатків і дозволяють переносити їх з одного розділу на інший».

Технологія віртуалізації Ensim працює під управлінням Linux і Solaris, при цьому Private Server трирічній давності дозволила укласти партнерські угоди з IBM, Sun і Compaq.

VMWARE

Компанія VMware добре відома своїми продуктами VMware Workstation, завдяки яким Linux і Windows можуть паралельно працювати на одній машині. Правда, вони призначені в основному для розробників, що тестують декілька середовищ. Проте VMware пропонує і сервер GSX для розподілу фізичних серверів на віртуальні машини на базі Linux або Windows.

«Ми віртуалізуємо архітектуру Intel, — заявив Кристинак, директор по маркетингу. — І пропонуємо концепцію IBM zSeries на базі Intel«.

За твердженням Кристинака, VMware дозволяє розмістити від чотирьох до 20 віртуальних машин на одній фізичній, але він підкреслює, що це повноцінні операційні системи, а не просто сервери Web. Кожна віртуальна машина ізольована від інших, і у разі збоїв не заважає їм.

Кристинак запевняє, що концепція віртуалізації стає популярною на цілому ряду платформ : «Як у разі мейнфреймів старшого класу, так і корпоративних серверів середнього рівня, придбавши дороге устаткування, покупці не розраховують застосовувати його для вирішення тільки одного завдання. Причина зростаючої популярності віртуалізації полягає в тому, що рішення реалізовується на усіх рівнях — від настільної системи до центру обробки даних. Мейнфрейм свідомо занадто потужний, наприклад, для двох користувачів, тому ви можете купити сервер Intel з аналогічними можливостями і підійти до нього з тими ж мірками, що і до мейнфреймів: це апаратне забезпечення здатне на більше, ніж просто виконання одного застосування. То чом би цим не скористатися»?

Кристинак стверджує, що економія, що забезпечується віртуальними серверами, дуже приваблива для замовників саме зараз, коли компанії прагнуть зводити витрати до мінімуму.

Хоча VMware спеціалізується на програмному забезпеченні для Windows, у компанії є клієнти, використовуючі GSX з Linux. Серед них можна назвати Global Continuity, постачальника послуг аварійного відновлення, чий профіль діяльності полягає в страхуванні комп'ютерів інших компаній і забезпеченні швидкої заміни або відновлення критично важливих машин.

«Такі послуги коштують дорого, — підкреслює Кристинак. — Це той вид страхового бізнесу, де важливо знати, наскільки часто відбуваються збої, а також із скількома машинами належить працювати«.

Він помічає, що, завдяки серверу GSX, Global Continuity може взаємодіяти з п'ятьма або шістьма клієнтами на єдиній машині. При збоях в клієнтській системі Global Continuity копіює дані і висилає їх. «Відсутність необхідності зеркалирования »один до одного« значно знижує витрати на апаратне забезпечення і підтримку», — робить висновок Кристинак.

Віртуальні сервери для ядра linux

У жовтні розробник Linux Жак Желинас анонсував свій проект vserver. За його словами, тепер користувачі зможуть «запускати віртуальні сервери загального призначення на одному фізичному без втрати продуктивності».

Хоча зв'язатися з Желинасом нам не вдалося, опис проекту vserver можна знайти на його сторінці Web (див. врізання «Ресурси Internet»). Автор пропонує використовувати віртуальні сервери кожному адміністраторові фізичних. Окрім зниження витрат він вказує на таку перевагу, як спрощення управління безпекою безлічі серверів.

«Продуктивність комп'ютерів Linux росте з кожним днем, — пише він. — Це, здавалося б, повинно привести до скорочення їх кількості. Але, замість цього, парк устаткування постійно збільшується. Хоча тому є безліч причин (одна з яких — розширення числа підтримуваних послуг), головна проблема пов'язана з безпекою і адмініструванням. Чи можливо розділити сервер Linux на віртуальні сервери з їх максимальною ізоляцією один від одного, щоб вони не поступалися сьогоденням і спільно виконували деякі загальні завдання (моніторинг, резервування, налаштування апаратного забезпечення і т. д.)? Ми вважаємо, так«.

Контрольні запитання

  1. Чим віртуальна машина Linux краща за інші?
  2. Що таке віртуальна машина від компаніі VMWARE?
  3. Що таке віртуальна машина від компанії ENSIM?
  4. Розкажіть про віртуальні сервери для ядра Linux

Література

Електроний ресурс http://www.osp.ru/lan/ 2003/01/137081/_p2.html