Lista pytań przygotowujących do egzaminu z BSI:
01. Wymień i omów podstawowe urządzenia sieciowe.
repeter (wzmacniak) - urządzenie, które wzmacnia i regeneruje sygnały przesyłane kablem. Repeater służy więc do fizycznego zwiększania rozmiarów sieci. Repeater powtarza (kopiuje) odbierane sygnały i wzmacnia sygnał. Polega to na zwiększeniu poziomu odbieranego przebiegu falowego bez zmiany jego częstotliwości. Może łączyć tylko sieci o takiej samej architekturze, używające tych samych protokołów i technik transmisyjnych. Potrafi jednak łączyć segmenty sieci o różnych mediach transmisyjnych.
hub (koncentrator) - urządzenie łączące wiele komputerów w sieci o topologii gwiazdy. Koncentrator najczęściej podłączany jest do komputera głównego (serwera, często podłączonego do Internetu), zaś do koncentratora podłączane są komputery będące stacjami roboczymi. Do połączenia najczęściej wykorzystuje się kabel UTP skrętka kategorii 5. Koncentrator działa na poziomie pierwszej warstwy OSI (warstwie fizycznej), kopiując sygnał z jednego komputera do wszystkich pozostałych do niego podłączonych.
bridge (most) - czyli mostek to urządzenie posiadające 2 lub więcej portów, służące do łączenia segmentów w sieci. Na bieżąco identyfikuje twoje porty i kojarzy konkretne komputery. Pozwala na podniesienie wydajności i zwiększenie maksymalnych długości sieci. Mostki zapewniają proste filtrowanie, odczytują adres zapisany w ramce sieci Ethernet lub Token Ring i określają do jakiego segmentu należy przesłać dany pakiet.
switch (przełącznik) - urządzenie służące do przyłączania stacji przede wszystkim w topologii gwiazdy, a także do rozładowywania ruchu w sieci i wyeliminowania kolizji. Posiadają zazwyczaj kilkanaście portów. Mogą być one wykorzystane do podłączenia stacji końcowych, innych przełączników, bądź hubów. Switche umożliwiają zmniejszenie obciążenia w sieci, poprzez jej podział na mikrosegmenty i tzw. komutowanie.
router - służy do łączenia segmentów sieci i zwiększania jej fizycznych rozmiarów. Router jest urządzeniem konfigurowalnym, pozwala sterować przepustowością sieci i zapewnia pełną izolację pomiędzy segmentami. Routery są używane do przekazywania danych pomiędzy sieciami opartymi na różnych topologiach oraz na większym zaawansowaniu technicznym. Do głównych zalet można zaliczyć: wybór optymalnej trasy między nadawcą a odbiorcą, ochrona (zapory, kodowanie), transakcja protokołów, filtrowanie pakietów, usuwanie pakietów bez adresów.
02. Na której warstwie działa: hub (koncentrator), switch (przełącznik), router, bridge (most).
hub (koncentrator) - warstwa 1 (fizyczna).
switch (przełącznik) - warstwa 2 (łącza danych).
router - warstwa 3 (sieci).
bridge (most) - warstwa 2 (łącza danych).
03. Co to jest topologia fizyczna? Wymień i omów topologie.
topologia fizyczna - zbiór zasad fizycznego łączenia poszczególnych części sieci ze sobą takich jak Np. koncentratory, hosty.
rodzaje topologii:
topologia magistrali (bus) - wszystkie elementy sieci są podłączone do jednej magistrali (zazwyczaj jest to kabel koncentryczny). Sieć o takiej topologii umożliwia tylko jedną transmisję w danym momencie. Sygnał nadany przez jedną ze stacji jest odbierany przez wszystkie, jednakże tylko stacja, do której pakiet został zaadresowany, interpretuje go.
topologia pierścienia (ring) - poszczególne elementy są połączone pomiędzy sobą odcinkami kabla tworząc zamknięty pierścień.
topologia gwiazdy (star) - komputery są podłączone do jednego punktu centralnego, koncentratora (koncentrator tworzy fizyczną topologię gwiazdy, ale logiczną magistralę) lub przełącznika.
topologia gwiazdy rozszerzonej - posiada punkt centralny (podobie do topologii gwiazdy) i punkty poboczne (jedna z częstszych topologii fizycznych Ethernetu).
topologia hierarchiczna - zwana także topologią drzewa, jest kombinacją topologii gwiazdy i magistrali, budowa podobna do drzewa binarnego.
topologia siatki - oprócz koniecznych połączeń sieć zawiera połączenia nadmiarowe. Rozwiązanie często stosowane w sieciach, w których jest wymagana wysoka bezawaryjność.
04. Co to jest LAN, MAN WAN?
LAN (Local Area Network) - grupa zlokalizowanych w sąsiedztwie komputerów dołączonych do tego samego koncentratora (przełącznika), bądź grupy koncentratorów (przełączników) połączonych ze sobą bez udziału routerów. Wszystkie zasoby sieci lokalnej są dostępne z pełną szybkością danej sieci.
MAN (Metropolis-Area Network) - sieć, która obejmuje wielko miejskie obszary, MAN spina obszary o większej powierzchni niż w przypadku sieci LAN, ale mniejsze niż przy sieci WAN.
WAN (Wide Area Network) - sieć złożona z dwóch lub więcej sieci LAN połączonych liniami telefonicznymi.
05. Co to jest i z jakich warstw składa się model OSI i TCP/IP? Jakie funkcję pełni warstwa ….?
model OSI (Open Systems Interconnection) - opisuje sposób przepływu informacji między aplikacjami programowymi w jednej stacji sieciowej a podobnymi aplikacjami w innej stacji sieciowej przy użyciu medium transmisyjnego. Model OSI jest ogólnym modelem koncepcyjnym, skomponowanym z siedmiu warstw, z których każda opisuje określone funkcje sieciowe.
warstwy modelu OSI:
warstwa 7 (aplikacji) - jest bramą, przez którą procesy aplikacji dostają się do usług sieciowych. Ta warstwa prezentuje usługi, które są realizowane przez aplikacje (przesyłanie plików, dostęp do baz danych, poczta elektroniczna itp.).
warstwa 6 (prezentacji) - odpowiada za format używany do wymiany danych pomiędzy komputerami w sieci. Na przykład kodowanie i dekodowanie danych odbywa się w tej warstwie. Większość protokołów sieciowych nie zawiera tej warstwy.
warstwa 5 (sesji) - pozwala aplikacjom z różnych komputerów nawiązywać, wykorzystywać i kończyć połączenie (zwane sesją). Warstwa ta tłumaczy nazwy systemów na właściwe adresy (na przykład na adresy IP w sieci TCP/IP).
warstwa 4 (transportu) - jest odpowiedzialna za dostawę wiadomości, które pochodzą z warstwy aplikacyjnej. U nadawcy warstwa transportu dzieli długie wiadomości na kilka pakietów, natomiast u odbiorcy odtwarza je i wysyła potwierdzenie odbioru. Sprawdza także, czy dane zostały przekazane we właściwej kolejności i na czas. W przypadku pojawienia się błędów warstwa żąda powtórzenia transmisji danych.
warstwa 3 (sieci) - kojarzy logiczne adresy sieciowe i ma możliwość zamiany adresów logicznych na fizyczne. U nadawcy warstwa sieciowa zamienia duże pakiety logiczne w małe fizyczne ramki danych, zaś u odbiorcy składa ramki danych w pierwotną logiczną strukturę danych.
warstwa 2 (łącza danych) - zajmuje się pakietami logicznymi (lub ramkami) danych. Pakuje nieprzetworzone bity danych z warstwy fizycznej w ramki, których format zależy od typu sieci: Ethernet lub Token Ring. Ramki używane przez tą warstwę zawierają fizyczne adresy nadawcy i odbiorcy danych.
warstwa 1 (fizyczna) - przesyła nieprzetworzone bity danych przez fizyczny nośnik (kabel sieciowy lub fale elektromagnetyczne w przypadku sieci radiowych). Ta warstwa przenosi dane generowane przez wszystkie wyższe poziomy. Przy czym warstwy 1 do 4 są to tzw. warstwy niższe (transport danych) zaś warstwy 5 do 7 to warstwy wyższe (aplikacje).
model TCP/IP (Transmission Control Protocol/Internet Protocol) - wspólna nazwa dwóch podstawowych protokołów sieci Internet. Powstała oczywiście przez połączenie nazw TCP i IP. Protokół TCP/IP jest „programowym protokołem komunikacji sieciowej” (software-based communications protocol used in networking). TCP/IP udostępnia metody transmisji informacji pomiędzy poszczególnymi komputerami w sieci, obsługując pojawiające się błędy oraz tworząc wymagane do transmisji informacje dodatkowe. TCP/IP zwane jest także stosem protokołów ze względu na strukturę warstwową i zastosowanie modelu OSI. Funkcje warstw modelu TCP/IP odpowiadają funkcjom warstw modelu OSI.
warstwy modelu TCP/IP:
warstwa aplikacji.
warstwa transportu.
warstwa Internetu.
warstwa dostępu do sieci.
układ warstw w modelu OSI i TCP/IP:
Model OSI |
Model TCP/IP |
Warstwa aplikacji |
Warstwa aplikacji |
Warstwa prezentacji |
|
Warstwa sesji |
|
Warstwa transportu |
Warstwa transportu |
Warstwa sieci |
Warstwa Internetu |
Warstwa łącza danych |
Warstwa dostępu do sieci |
Warstwa fizyczna |
|
06. Na której warstwie (warstwach) mówimy o bitach, ramkach, pakietach, segmentach, danych?
bity - warstwa 1 (fizyczna), warstwa 2 (łącza danych).
ramki - warstwa 2 (łącza danych), warstwa 3 (sieci).
pakiety - warstwa 2 (łącza danych), warstwa 3 (sieci), warstwa 4 (transportu).
segmenty - warstwa 3 (sieci), warstwa 4 (transportu).
dane - warstwa 1 (fizyczna), warstwa 2 (łącza danych), warstwa 3 (sieci), warstwa 4 (transportu), warstwa 6 (prezentacji), warstwa 7 (aplikacji).
07. Co to jest enkapsulacja?
enkapsulacja (kapsułkowanie) - proces przechodzenia danych pomiędzy warstwami modelu. Warstwy te dołączają (bądź usuwają, w zależności, w którą stronę przesuwają się dane na stosie protokołów) własne nagłówki.
08. Co to jest adres IP? Co to jest klasa adresu?
adres IP - to unikalny numer przyporządkowany urządzeniom sieciowym. Maszyny posługują się adresem IP, aby przesyłać sobie nawzajem informacje w protokole IP. Adresy sieci są 32 bitowe, są przedstawiane w formacie dziesiętnym z kropką (dotted decimal format). Adres IP składa się z dwóch części: identyfikatora sieci (network ID) i identyfikatora hosta (host ID).
klasa adresu - określona jest przez najstarsze bity, przy czym do zidentyfikowania jednej z trzech zasadniczych klas (A, B, C) wystarczą dwa pierwsze bity. Różne klasy adresów rezerwują różne ilości bitów dla części sieci i hosta adresu. Umożliwia dopasowanie do różnych sieci.
rodzaje klas adresu:
klasa A:
pierwszy bit (MSB) adresu klasy A jest zawsze 0.
pierwsze 8 bitów określa część sieci.
możliwe adresy sieci od 1.0.0.0 do 127.0.0.0.
pozostałe trzy oktety są używane dla części hosta.
każda sieć klasy A może mieć do 16.777,214 możliwych adresów hosta.
klasa B:
pierwsze dwa bity (MSB) adresu klasy B jest zawsze 10.
pierwsze 2 oktety określają część sieci.
możliwe adresy sieci od 128.0.0.0 do 191.255.0.0.
pozostałe dwa oktety są używane dla części hosta.
każda sieć klasy B może mieć do 65.534 możliwych adresów hosta.
klasa C:
pierwsze trzy bity (MSB) adresu klasy C jest zawsze 110.
pierwsze 3 oktety określają część sieci.
możliwe adresy sieci od 192.0.0.0 do 223.255.255.0.
ostatni czwarty oktet jest używany dla części hosta.
każda sieć klasy C może mieć do 254 możliwych adresów hosta.
09. Co to jest TCP i UDP? Czym się różnią? Co to są porty? Wymień dwa znane porty i aplikacje na nich działające.
TCP ( Transmission Control Protocol) - protokół niezawodnego przesyłania. Jest protokołem warstwy transportu.
obsługuje następujące poważne problemy transmisji:
przywracanie właściwej kolejności odebranych pakietów - wykorzystanie numeru porządkowego pakietów.
unikanie duplikatów.
retransmisja zgubionych pakietów - nadawca wysyła ponownie, jeśli w zadanym czasie nie otrzymał potwierdzenia.
unikanie powtórzeń spowodowanych nadmiernym opóźnieniem - numery pakietów dodatkowo kwalifikowane identyfikatorami sesji.
kontrola przepływu dla uniknięcia zalewu danych - metoda przesuwającego się okna.
właściwości TCP:
protokół połączeniowy - przed przesłaniem danych zestawiane jest połączenie.
komunikacja punkt do punktu - oprogramowanie TCP niezbędne tylko w końcowych węzłach.
w pełni dwukierunkowa komunikacja - możliwa w dowolnym momencie i buforowana.
interfejs strumieniowy. Brak pojęcia rekordu, czyli dane mogą dotrzeć w innych fragmentach.
niezawodne połączenie - zgoda na połączenie obydwu programów.
łagodne kończenie połączenia. Program może zażądać zakończenia, a protokół zapewni dostarczenie wysłanych danych przed jego zamknięciem.
retransmisja z adaptacją. Opóźnienie komunikacji jest śledzone i na tej podstawie jest określany czas, po upływie, którego stosuje się retransmisję (zbyt szybka transmisja doprowadziłaby do zalewu pakietów).
kontrola przepływu - odbiorca dostarcza potwierdzenia odbioru oraz tzw. propozycje okna (ile może przyjąć do bufora).
trójetapowa wymiana komunikatów przy ustawianiu i kończeniu połączeń (tzw. 3-way handshake) - segmenty SYN i FIN.
kontrola przeciążenia - w razie zgubienia pakietu jest wysyłany najpierw jeden, a następnie tempo jest zwiększane z uwzględnieniem propozycji okna.
UDP (User Datagram Protocol) - protokół datagramowy użytkownika. Jest protokołem warstwy transportu.
przesyła dane bez kontroli. Charakteryzuje się:
protokół bezpołączeniowy (connectionless).
niepewny (unreliable).
wysyła wiadomości nazwane datagramami użytkownika.
nie udostępnia programowego potwierdzenia otrzymania wiadomości.
nie łączy przychodzących wiadomości.
nie używa potwierdzeń.
UDP jest prostym protokołem, który wymienia datagramy, bez potwierdzania i gwarancji dostarczenia.
port - pojęcie związane z protokołami transportowymi TCP i UDP używanymi w Internecie do identyfikowania procesów działających na ogległych systemach. Numery portów reprezentowane są przez liczby naturalne z zakresu od 1 do 65535. Niektóre numery portów (od 0 do 1023) są ogólnie znane (ang. well-known port numbers) i zarezerwowane na standardowo przypisane do nich usługi takie jak Np. WWW czy poczta elektroniczna. Dzięki temu możemy identyfikować nie tylko procesy, ale ogólnie znane usługi działające na odległych systemach. Różne usługi mogą używać tych samych numerów portów pod warunkiem, że korzystają z innego protokołu TCP albo UDP, chociaż niektóre usługi korzystają jednocześnie z danego numeru portu i obydwu protokołów Np. DNS korzysta z portu 53 za pomocą TCP i UDP jednocześnie.
przykładowe numery portów i ich odpowiedniki:
port 25 - SMTP.
port 21 - FTP.
10. Omów zasadę działania poczty elektronicznej. Co to jest MUA, MTA i MDA?
poczta elektroniczna - to jedna z usług internetowych, służąca do przesyłania wiadomości tekstowych (listów elektronicznych). Obecnie do przesyłania e-maili używany jest protokół SMTP.
MUA (Mail User Agent) - klient poczty - program służący użytkownikowi do odbioru i nadawania poczty elektronicznej. W przypadku wysyłania poczty program ten korzystając z protokołu SMTP łączy się z serwerem SMTP i przesyła mu, maile. W przypadku odbierania poczty MUA łączy się z serwerem poczty i odbiera ją korzystając z protokołów POP3 lub IMAP. Przykładami programów MUA są: Mozilla Thunderbird, Outlook Express, Pine, Mutt, The Bat.
MTA (Mail Transfer Agent) - program implementujący serwer SMTP - służący do przyjmowania (od innych MTA bądź MUA) i wysyłania (do innych MTA) poczty elektronicznej. Niepoprawnie skonfigurowany MTA może być open relay i służyć do wysyłania spamu. Przykłady: Courier-MTA, Exim, Postfix, qmail, Sendmail, ZMailer.
MDA (Mobile Digital Assistant) - urządzenie PDA z dodatkowymi możliwościami komunikacyjnymi telefonu komórkowego.
11. Co to jest SMTP, POP, IMAP, MIME, HTTP?
SMTP (Simple Mail Transfer Protocol) - protokół komunikacyjny opisujący sposób przekazywania poczty elektronicznej w internecie. SMTP to względnie prosty, tekstowy protokół, w którym określa się co najmniej jednego odbiorcę wiadomości (w większości przypadków weryfikowane jest jego istnienie), a następnie przekazuje treść wiadomości. Łatwo przetestować serwer SMTP przy użyciu programu telnet. Protokół ten nie radził sobie dobrze z plikami binarnymi, ponieważ stworzony był w oparciu o czysty tekst ASCII. W celu kodowania plików binarnych do przesyłu przez SMTP stworzono standardy takie jak MIME. W dzisiejszych czasach większość serwerów SMTP obsługuje rozszerzenie 8BITMIME pozwalające przesyłać pliki binarne równie łatwo jak tekst. SMTP nie pozwala na pobieranie wiadomości ze zdalnego serwera. Do tego celu służą POP3 lub IMAP. Jednym z ograniczeń pierwotnego SMTP jest brak mechanizmu weryfikacji nadawcy, co ułatwia rozpowszechnianie niepożądanych treści poprzez pocztę elektroniczną (wirusy, spam). Żeby temu zaradzić stworzono rozszerzenie SMTP-AUTH.
POP (Post Office Protocol) - protokół internetowy z warstwy aplikacji pozwalający na odbiór poczty elektronicznej ze zdalnego serwera do lokalnego komputera poprzez połączenie TCP/IP. Jeżeli ktoś łączy się z siecią tylko na chwilę, to poczta nie może dotrzeć do niego protokołem SMTP. W takiej sytuacji w sieci istnieje specjalny serwer, który przez SMTP odbiera przychodzącą pocztę i ustawia ją w kolejce.
IMAP (Internet Message Access Protocol) - internetowy protokół pocztowy IMAP pozwala na zarządzanie wieloma folderami pocztowymi oraz pobieranie i operowanie na listach znajdujących się na zdalnym serwerze. IMAP pozwala na ściągnięcie nagłówków wiadomości i wybranie, które z wiadomości chcemy ściągnąć na komputer lokalny. Zdecydowanie zmniejsza to czas połączenia oraz eliminuje konieczność wchodzenia bezpośrednio na stronę w celu usunięcia wiadomości o zbyt dużym rozmiarze.
MIME (Multipurpose Internet Mail Extensions) - standard stosowany przy przesyłaniu poczty elektronicznej służący do zamiany danych 8-bitowych (pliki binarne, zdjęcia, filmy, dźwięk) do formatu 7-bitowych danych w standardzie ASCII.
HTTP (Hypertext Transfer Protocol) - protokół sieci WWW (World Wide Web). Właśnie za pomocą protokołu HTTP przesyła się żądania udostępnienia dokumentów WWW i informacje o kliknięciu odnośnika oraz informacje z formularzy. Zadaniem stron WWW jest publikowanie informacji - natomiast protokół HTTP właśnie to umożliwia. Protokół HTTP jest tak użyteczny, ponieważ udostępnia znormalizowany sposób komunikowania się komputerów ze sobą. Określa on formę żądań klienta dotyczących danych oraz formę odpowiedzi serwera na te żądania. Jest zaliczany do protokołów stateless (bezstanowy), z racji tego, że nie zachowuje żadnych informacji o poprzednich transakcjach z klientem, po zakończeniu transakcji wszystko „przepada” - z tego powodu tak bardzo spopularyzowały się cookies. HTTP korzysta z portu nr 80.
12. Co to jest żądanie GET, POST, HEAD w http?
GET:
stosowany przy specyfikowaniu wymaganego zasobu.
parametry dołączane do URL (po znaku zapytania).
ograniczona długość przekazywanych parametrów.
POST:
parametry wysyłane w ciele komunikatu.
opisane dodatkowo nagłówkami Content-Type:
np. application/x-www-form-urlencoded oraz Content-Length.
wołana lokalizacja (URI) wskazuje zwykle na program obsługujący, nie zaś na pobierany zasób.
odpowiedź jest zwykle dokumentem generowanym, nie zaś statycznym.
HEAD:
jak GET, ale służy jedynie sprawdzeniu dostępności zasobu:
zwracany w odpowiedzi jest komunikat nie posiadający ciała.
13. Podaj definicje bezpieczeństwa. Co znaczy określenie „akceptowalny poziom” w odniesieniu do bezpieczeństwa?
bezpieczeństwo - jest to stan systemu informatycznego, w którym poziom ryzyka jego aplikacji jest zredukowany do akceptowalnego poziomu, poprzez zastosowanie odpowiednich środków. Bezpieczeństwo to inaczej zapewnienie:
identyfikacji (autentyfikacji).
poufności (autoryzacji).
niezaprzeczalności.
integralności.
14. Wymień i omów zagrożenia.
zagrożenia oprogramowania (software'owe) - związane z danymi (ujawnianie, przetwarzanie, zniekształcanie, utrata) lub z oprogramowaniem (jego uszkodzeniem bądź wykorzystaniem do celów sprzecznych z prawem).
Zagrożenia sprzętowe (hardware'owe) - dotyczące zniszczeń samego sprzętu. Przestępstwa komputerowe (działanie umyślne) stanowią tu część całości zagrożeń systemów komputerowych, do których zaliczyć można również zachowania nieświadome, powodujące awarie systemu (działania niedoświadczonych użytkowników, zdarzenia losowe, wpływ otoczenia).
15. Określ i omów miejsca niebezpieczne w sieci Internet.
zbiory - kradzież, kopiowanie, nieupoważniony dostęp.
urządzenia - awaria układów ochronnych, spowodowanie awarii oprogramowania. Identyfikacja, uwierzytelnianie, subtelne modyfikacje oprogramowania.
oprogramowanie - awaria zabezpieczeń, sterowanie dostępem, kontrola granic pamięci.
operator - zamienienie systemu operacyjnego, ujawnienie zabezpieczeń.
konserwator - wyłączenie urządzeń ochrony, użycie nie współdziałających z systemem programów pomocniczych.
programista systemowy - zneutralizowanie zabezpieczeń, dopisanie wejść, ujawnienie zabezpieczeń.
użytkownik - identyfikacja, uwierzytelnianie, subtelne modyfikacje oprogramowania.
dostęp - dołączenie podsłuchowych urządzeń rejestrujących.
16. Podaj i omów poszczególne kroki (metodologii) ataku?
krok 1 - rekonesans - haker zbiera informacje o systemie i sieci.
włamywacz zna:
nazwy i adresy hostów.
użytkowników komputerów.
typy komputerów i systemy operacyjne.
konfigurację sieci.
hosty zaufane w sieci.
hosty poza siecią.
listę użytkowników.
politykę przyznawania nazw użytkowników.
krok 2 - skanowanie (testowanie) i atak.
testowanie słabości systemu i wykorzystanie słabości bezpieczeństwa w celu zdobycia dostępu do systemu.
testowanie systemu na potencjalne słabości. To jest w pełni zautomatyzowana funkcja, jednak bardzo niebezpieczna dla hakera:
Security Administrator Tool for Analyzing Network (SATAN).
Internet Security Scanner (ISS).
Strobe.
testowanie udostępnia listę dostępnych usług i portów.
usługi, w zależności od wersji, będą miały znane słabości, które mogą być wykorzystane.
wykorzystanie słabości bezpieczeństwa i uzyskanie dostępu do systemu. Najczęściej potrzeba nazwy użytkownika i hasła.
remote blink attack:
użytkownik zna adres sieciowy, ale nie zna prawidłowego konta i hasła - odkrycie słabości usługi lub/i protokołu.
inside user attack:
użytkownik/haker ma dostęp do konta użytkownika bez żadnych praw.
hasła podsłuchane.
wymienienie konta.
remote blink attaca.
łamanie haseł.
social engineering.
standardowi użytkownicy.
fizyczny atak:
włączenie do sieci.
fizyczny dostęp do hosta.
krok 3 - uzyskanie dostępu, ukrycie ataku i zainstalowanie backdoor.
rozszerzenie ataku poprzez zdobycie konta root:
użycie programów COPS, Tiger and Crack.
ukrycie ataku:
modyfikacja logów systemowych (pliki syslog, utmp, wtmp).
wykasowanie wszystkich wpisów aktywności.
instalacja backdoor'a:
modyfikacja systemów i programów krytycznych - ps, ls, sum, who.
ukrycie podejrzanych plików.
raportowanie fałszywego stanu systemu i plików.
krok 4 - utrzymanie dostępu - ustanowienie portu nasłuchującego.
instalacja programu sniffer, snooper i audytu. Informacja zdobyta w ten sposób jest wykorzystana do ataków w przyszłości.
sniffer - program do monitorowania i logowania danych sieciowych. Dane normalnie nie są kodowane w sieci wewnętrznej. Szuka nazw/haseł, informacji finansowych (loginy, piny i hasła do e-Banków), danych osobistych.
snooper - program monitorujący aktywność użytkowników zapisujący naciśnięte przyciski, monitorujący pamięć.
program audytujący - program raportujący słabości systemu zabezpieczeń: COPS, TAMU Tiger.
krok 5 - zatarcie śladów przeglądania systemu i rozszerzenie kontroli na inne hosty w sieci.
zatarcie śladów ataku:
usunięcie wpisów o włamaniu w logach systemowych.
zmiana konfiguracji systemowej.
zmiana niektórych aplikacji i komend w systemie.
zainstalowanie oprogramowania do ukrywania obecności intruzów.
rozszerzenie kontroli nad pojedynczym hostem na wiele hostów:
atakowanie innych serwerów/komputerów przy użyciu haseł i zaufanych hostów.
17. Co jest ważne po włamaniu? Omów to z pozycji administratora i włamywacza.
po włamaniu dla włamywacza ważne jest:
nie zostawić żadnych śladów udanego ataku.
zdobyć i złamać plik /etc/passwd.
otrzymać dostęp użytkownika root.
zainstalować narzędzie do zapisywania haseł (password sniffer).
zainstalować dwa lub więcej backdoor.
sprawdzić pliki etc/hosts or .rhosts - zaufane hosty.
sprawdzić aliasy pocztowe i logi systemowe.
uruchomić programy sprawdzające bezpieczeństwo: COPS, ISS, SATAN.
znaleźć i zabezpieczyć chociaż 1 lukę.
po włamaniu dla administratora ważne jest:
znaleźć i zabezpieczyć wszystkie luki.
18. Co to jest atak pasywny (aktywny)? Jakie ataki zaliczamy do tej kategorii?
atak pasywny - atak ten polega na wejściu do systemu bez dokonywania żadnych zmian, na przykład atak włamywacza, który kopiuje pewną ilość ważnych danych nie powodując zmian w działaniu programów.
atakiem pasywnym może być także podsłuchiwanie lub monitorowanie przesyłanych danych. W tym przypadku celem osoby atakującej jest odkrycie zawartości komunikatu. Typowym atakiem pasywnym może być analiza przesyłu danych (traffic analysis). Ataki pasywne są bardzo trudne do wykrycia, ponieważ nie wiążą się z modyfikacjami jakichkolwiek danych.
atak aktywny - w wyniku ataku system komputerowy traci integralność, na przykład atak włamywacza, który usuwa pewną ilość ważnych danych oraz powoduje zmianę działania programów.
atakiem aktywnym może być także modyfikowanie strumienia danych lub tworzenie danych fałszywych.
19. Omów zagrożenia w sieci tj. podsłuch, przechwycenie, modyfikacja, podrobienie.
podsłuch - zasób systemu staje się niedostępny lub nie zdatny do użycia. Zniszczony. Pozbawienie dostępności. Przerwanie sieci transmitującej dane. Uszkodzenie, dezaktywacja systemu zarządzania plikami.
przechwycenie - nieuprawniony podmiot uzyskuje dostęp do zasobu. Pozbawienie poufności. Podczepienie do kabla. Pajęczarze. Nielegalne kopiowanie danych, programów.
modyfikacja - nieuprawniony podmiot uzyskuje dostęp do zasobów. Co więcej - manipuluje zasobem. Pozbawienie spójności. Zmiany w plikach z danymi. Zmiana zachowania programu. Zmiana zawartości danych przesyłanych w sieci.
podrobienie - zmiana, fabrykowanie danych. Nieuprawniony podmiot wstawia fałszywe dane do systemu. Brak autoryzacji. Rozpowszechnianie informacji w systemie w nieswoim imieniu. Dodawanie danych do plików.
20. Podaj i omów podział ataku.
ze względu na miejsce występowania:
zewnętrzne (zdalne) - ataki przeprowadzane są z systemów znajdujących się poza atakowaną siecią.
wewnętrzne (lokalne) - ataki przeprowadzane są z systemów znajdujących się w atakowanej sieci.
ze względu na zamiar:
zamierzony - atakujący zdaje sobie sprawę z tego, co robi i jakie konsekwencje mogą z tego wyniknąć, na przykład atak w celu uzyskania konkretnie wytyczonych informacji.
niezamierzony - atakujący przypadkowo i nieświadomie dokonuje ataku, na przykład jeden z użytkowników serwera przez błąd programu obchodzi system autoryzacji uzyskując prawa administratora.
ze względu na skutek:
udany - rozpoczęty atak przez atakującego kończy się osiągnięciem zamierzonego celu:
pasywny - atak ten polega na wejściu do systemu bez dokonywania żadnych zmian, na przykład atak włamywacza, który kopiuje pewną ilość ważnych danych nie powodując zmian w działaniu programów.
aktywny - w wyniku ataku system komputerowy traci integralność, na przykład atak włamywacza, który usuwa pewną ilość ważnych danych oraz powoduje zmianę działania programów.
nieudany - rozpoczęty atak przez atakującego kończy się nie osiągnięciem zamierzonego celu, na przykład poprzez przeskanowanie sieci wykrywa lukę w zabezpieczeniu, którą wykorzystuje do ataku, który okazuje się nietrafny i kończy się niepowodzeniem, brak możliwości zatarcia śladów powoduje ryzyko wykrycia ataku jak i samego atakującego.
ze względu na przepływ informacji:
modyfikacja (modification) - jest atakiem opierającym się na nienaruszalności polegającym na zdobyciu dostępu do zasobów przez niepowołaną osobę, która wprowadza do nich jakieś zmiany w celu uzyskania wyższych praw lub otrzymaniu dostępu do danego systemu.
podrobienie (fabrication) - jest atakiem opierającym się na autentyczności, podczas przesyłania danych z jednego do drugiego komputera trzeci komputer blokuje uniemożliwiając mu dalszy przesył, a sam wprowadza do systemu drugiego komputera fałszywe obiekty.
21. Co to jest i jak działa skanowanie?
skanowanie - sondowanie atakowanego systemu poprzez przegląd jego adresów sieciowych oraz portów sieciowych. Skanowanie adresów sieciowych polega na przeglądaniu kolejnych adresów IP z złożonego zakresu w celu wytypowania ofiary lub też poznania topologii atakowanej sieci.
22. Co to jest i jak działa podsłuchiwanie transmisji?
podsłuchiwanie transmisji (sniffing) - polega na monitorowaniu i rejestrowaniu identyfikatorów i haseł używanych w trakcie logowania się autoryzowanych użytkowników do sieci chronionych w celu uzyskania dostępu do systemów zabezpieczających. Najprostsze sniffery przechwytują nazwy użytkowników i hasła, najbardziej złożone zapisują cały ruch sieciowy.
23. Co to jest i jak działa podszywanie się? Co to jest IP- DNS- ARP Spoofing.
podszywanie się (spoofing) - polega na podszywaniu się pod inny autoryzowany komputer. Cel pozostaje ten sam, oszukanie systemów zabezpieczających. Tradycyjnie, podszywanie oznaczało działanie atakującego, polegające na przeprowadzeniu procesu autoryzacji z jednego komputera do drugiego poprzez sfałszowanie pakietów z „zaufanego” hosta.
IP spoofing (maskarada) - metoda ta polega na podsłuchiwaniu przez sniffer połączenie pomiędzy klientem a serwerem i wyłapywaniu wysyłanych numerów sekwencji. Po znalezieniu algorytmu jakim są one tworzone atakujący doprowadza do niestabilności połączenia np. poprzez atak SYN Flood na stacje klienta, zmienia numer IP na numer klienta i przewidując numery sekwencji korzysta z istniejącego połączenia jako autoryzowany użytkownik.
DNS spoofing - jest to atak na serwer DNS, który posiada bazę danych przechowującą numery IP dla poszczególnych adresów mnemonicznych. Atak DNS spoofing polega na ingerencji w tablicę DNS i modyfikacji poszczególnych wpisów tak, aby klient zamiast do komputera docelowego kierowany był do komputera atakującego.
ARP spoofing - polega na wprowadzeniu zmian do bufora (cache) protokołu ARP (Address Resolution Protocol), który zawiera informacje o odwzorowaniach adresów sprzętowych na sieciowe, czyli adres IP interfejsu, z którym nadawca pragnie się komunikować. ARP spoofing przeprowadzany jest głównie w sieciach lokalnych ze względu na fakt iż protokół ARP nie jest protokołem internetowym.
24. Na czym polega atak DoS? Czym różni się DDoS.
DoS (Denial of Service) - polega na wysłaniu do serwera-ofiary bardzo dużej liczby zapytań (np. kilku tysięcy odwołań do tej samej strony internetowej). Powoduje to przeciążenie i znaczne spowolnienie pracy atakowanego serwera lub zawieszenie pojedynczej usługi sieciowej. W wielu przypadkach atak taki prowadzi do zawieszenia serwera. DoS jest jednak metodą dość prymitywną. Dzięki temu, że atak jest dokonywany z pojedynczego komputera, zlokalizowanie sprawcy sprowadza się do określenia jego numeru IP. Reszta należy do organów ścigania.
DDoS (Distributed Denial of Service) - różnica polega na tym że do wysyłania odwołań do serwera wykorzystuje się nie pojedynczy komputer, ale setki lub nawet tysiące maszyn. Zagrożenie wynikające z tego typu ataku jest nieporównywalnie większe niż w przypadku zwykłego DoS.
25. Co to jest i jak działa przepełnianie?
przepełnianie - umożliwia uruchomienie shella z uprawnieniami root'a. Wykorzystuje brak weryfikacji, czy odwołanie do statycznej tablicy nie trafia poza tę tablicę. Niebezpieczne funkcje: strcpy(), strat(), sprintf(), vsprintf(), gets().
26. Co to jest i jak działa zasypywanie (flood)?
zasypywanie (flood) - klasyczny atak gdzie ofiara jest zasypywana/floodowana informacjami. Przykładem tu może być wydanie komendy w systemie Linux: write user /dev/tty1 < /dev/random. Działaniem tej komendy jest wypisanie nieskończonej ilości przypadkowych znaków na konsoli danego użytkownika tym samym powodując jego bezczynność w dotychczasowo przeprowadzanych operacjach na systemie.
27. Co to jest i jak działa przejęcie? Podaj i omów rodzaje przejęcia.
przejęcie (hijacking) - metoda pozwalająca na przejęcie połączenia TCP między dwoma maszynami, z których najczęściej przynajmniej jedna połączona jest w tej samej sieci lokalnej co atakujący (dzięki czemu może on odbierać pakiety adresowane i wysyłane z tejże maszyny). Innymi słowy, jest to przykład spoofingu połączonego ze sniffingiem.
rodzaje przejęcia:
EarlySynchro (wczesne rozsynchronizowanie) - atak wczesnego rozsynchronizowania powoduje przerwanie połączenia między klientem a serwerem we wczesnej fazie konfiguracji.
ActivSynchro (aktywne rozsynchronizowanie) - atak przez aktywne rozsynchronizowanie TCP. Polega na podesłaniu jednej z maszyn biorącej udział w komunikacji pakietu i oczekiwanie na kolejny. Pozwala to na przechwycenie na innej maszynie oryginalnych pakietów, podmianę ich zawartości o przesłanie do serwera lub klienta.
ZeroSynchro (rozsynchronizowanie pustymi danymi) - atak tego typu polega na równoczesnym wysyłaniu dużej ilości pustych danych do serwera i do klienta. Puste dane nie mają wpływu na nic po stronie serwera oprócz zmiany numeru potwierdzenia. Skutkiem ubocznym ataku rozsynchronizowania jest pojawiająca się w sieci znaczna ilość retransmisji pakietów ACK.
28. Co to jest, na czym polega i co daje włamywaczowi exploit i Buffer overflow.
Exploit - jest to sekwencja czynności mających na celu wykorzystanie błędów w oprogramowaniu systemów operacyjnych, usług sieciowych lub aplikacji użytkownika do uzyskania dostępu do powłoki systemowej z podwyższonymi uprawnieniami lub uzyskania danych, do których dostęp jest ograniczony lub zabroniony. Istnieją dwa rodzaje exploitów: lokalne (local) - uruchamiane na atakowanym systemie i zdalne (remote) - uruchamiane na systemie atakującym.
Buffet overflow (bOf) - sfdab hghsdagjest to klasyczny exploit, który wysyła programowi więcej danych niż ten oczekiwał dostać. Po takiej operacji następuje przepełnienie bufora danego programu i jego wyłożenie. Buffet Overflow jest najczęściej spotykanym błędem, który występuje podczas sprawdzania bezpieczeństwa programu oraz najbardziej popularną matodą ataku w Internecie.
29. Co to jest atak na hasło? Na czym polega metoda brute force, frequency analysis, atak słownikowy?
atak na hasło - jest ogólnym terminem opisującym różne czynności, których celem jest ominięcie mechanizmów ochrony systemu komputerowego opartych na systemie haseł, a więc wszelkie próby złamania, odszyfrowania lub skasowania haseł. Ataki na hasło należą do najprymitywniejszych metod włamań do systemów komputerowych.
metoda brute force - polega na wypróbowaniu (podstawianiu) wszystkich możliwych kombinacji znaków w obrębie całej przestrzeni klucza do momentu jego odnalezienia. Brute force znajduje zastosowanie wtedy, gdy wszystkie inne metody okazują się bezskuteczne. Podejście tą metodą może być ogromnie czasochłonne zależnie od długości hasła i mocy obliczeniowej komputera. Przy założeniu, że zbiór znaków użytych w kluczu obejmuje 92 znaki (wielkie, małe litery, cyfry i często stosowane znaki specjalne), liczba kombinacji czyli możliwych haseł wynosi 92”, przy czym n - oznacza długość hasła.
metoda frequency analysis - atak na tekst zaszyfrowany stanowi statystyczną metodę ujawniania kluczy. Dla przykładu: litera, która najczęściej występuje w polskich tekstach, jest małe „a”. Deszyfrator wyszukuje zatem w zaszyfrowanym tekście najczęściej pojawiający się znak i zakłada, że odpowiada on literze „a”. Podobnie postępuje z pozostałymi znakami. Jeśli do zaszyfrowania tekstu użyto prostego algorytmu, można w ten sposób obliczyć fragment klucza. Metoda statystyczna jest bezskuteczna w przypadku, gdy dokument jest pusty lub zawiera zbyt mało tekstu.
atak słownikowy - wyszukiwanie słownikowe to szybszy wariant metody brute force. Podstawowym założeniem tej metody jest przypuszczanie, że do zaszyfrowania tekstu użyto naturalnego słowa (a nie dowolnych kombinacji liter) pochodzącego z języka, którym włada szyfrujący. Program deszyfrujący podstawia zatem wyrazy zawarte w dostępnym mu zbiorze (słowniku).
30. Co to jest Backdoor? Podaj i omów typy.
backdoor - jednym ze sposobów wprowadzenia tylnego wejścia do systemu jest utworzenie konta lub procesu umożliwiającego uruchomienie innych programów z uprawnieniami super użytkownika. Liczba możliwych tylnych wejść dla każdej platformy jest praktycznie nieograniczona. Zastąpienie jednej z usług konkretnym programem czy też podstawienia shella z uprawnieniami super użytkownika umożliwi przejęcie kontroli nad systemem.
typy backdoor'ów:
boczna furtka - twórca danego rozwiązania umieścił w nim dodatkową możliwość wejścia najczęściej z pominięciem wbudowanych mechanizmów ochronnych, takich jak np. autentyfikacja użytkownika.
konie trojańskie - to programy często autoryzowane, ale nie zawsze, które zostały zmienione przez działającego w złym zamiarze programistę.
31. Co to jest wirus, robak, bakteria? Kim jest kret?
wirus - kod, który wskutek braku systemowej ochrony zasobów w jednoprogramowych systemach operacyjnych komputerów osobistych dokonuje zaprogramowanych przez jego autora, niepożądanych zmian w środowisku systemowym, uszkadzając dane, programy, zmieniając sposób działania sprzętu.
robak - program, którego podstawowym zadaniem jest rozprzestrzenianie się w sieci komputerowej. Po zagnieżdżeniu się w nowym systemie robak może zachowywać się jak wirus, bakteria albo koń trojański.
bakteria - program pochłaniający zasoby systemu wskutek ustawicznego powielania samego siebie. Mnożąc się w tempie wykładniczym bakterie szybko doprowadzają do przeładowania systemu.
kret - wiadomość e-mail, którą nadawca wykorzystuje w celu otrzymania określonych informacji o jej odbiorcy - najczęściej jego adresu IP. Nadawca po odebraniu odpowiedzi na wiadomość może z nagłówka odczytać adres IP komputera oraz informacje na temat systemu operacyjnego danej osoby.
32. Co to jest i jak działa Social Engeneering?
Social Engineering (Inżynieria Socjalna) - oparta głównie na psychologii, logice i aktorstwie metoda wydobywania od ludzi poufnych informacji, polegająca na przemyślanej manipulacji.
33. Co to jest poufność (integralność, dostępność, rozliczalność, autentyczność, niezawodność)?
poufność - ochrona przed ujawnieniem nieuprawnionemu odbiorcy.
integralność - ochrona przed nieuprawnioną modyfikacją lub zniekształceniem.
dostępność - uprawniony dostęp do zasobów informacyjnych.
rozliczalność - określenie i weryfikowanie odpowiedzialności za wykorzystanie systemu informacyjnego.
autentyczność - weryfikacja tożsamości podmiotów i prawdziwości zasobów.
niezawodność - gwarancja oczekiwanego zachowania systemu i otrzymywanych wyników.
34. Wymień i opisz metody zapewnienia bezpieczeństwa informatycznego.
techniczne:
specjalizowane aplikacje.
protokoły.
urządzenia.
mechanizmy kontrolne wbudowane w oprogramowanie.
organizacyjne:
odpowiednia struktura organizacyjna.
polityka bezpieczeństwa.
procedury operacyjne.
instrukcje i standardy.
35. Co to jest ryzyko? Jakie elementy je zwiększają a jakie zmniejszają?
ryzyko - prawdopodobieństwo zdarzenia i waga jego skutków.
elementy zwiększające ryzyko:
słabości.
zagrożenia.
zdarzenia.
elementy zmniejszające ryzyko:
zabezpieczenia.
36. Co to jest szacowanie i ograniczanie ryzyka?
szacowanie ryzyka:
zdefiniowanie granic i zakresu modyfikacji systemu zabezpieczenia.
identyfikacja i określenie wartości aktywów systemu.
identyfikacja zagrożeń, słabości i zdarzeń.
analiza ryzyka.
ograniczanie ryzyka:
wybór odpowiednich mechanizmów zabezpieczeń (ograniczenia finansowe, czasowe, techniczne, socjologiczne, środowiskowe, prawne).
testowanie mechanizmów zabezpieczeń.
akceptacja ryzyka szczątkowego.
37. Co to jest model bezpieczeństwa? Po co się go stosuje.
model bezpieczeństwa - w sposób sformalizowany, precyzyjny i jednoznaczny wyraża te aspekty polityki bezpieczeństwa, których realizacja jest wymagana w systemie informatycznym. Rzeczywistość opisują w terminach jednostek operacyjnych: podmiotów i obiektów.
38. Podaj i omów przyczyny występowanie luk.
przyczyny występowania luk:
błędy na etapie projektowania systemu:
asymetria polityki bezpieczeństwa i zabezpieczeń.
brak lub wady polityki bezpieczeństwa:
asymetria polityki bezpieczeństwa i brak kontroli.
błędy w konfiguracji:
prymat funkcjonalności systemu.
niewłaściwe stosowanie narzędzi:
nadmierne zaufanie do narzędzi (ulubionych).
błędy w oprogramowaniu:
nie ma oprogramowania bez błędów.
zaufanie do „uznanych producentów”.
39. Co oznacza harmonia systemu bezpieczeństwa?
harmonia systemu bezpieczeństwa - niczym niezakłócona praca systemu bezpieczeństwa.
40. Co to jest polityka bezpieczeństwa? Wymień i omów elementy polityki bezpieczeństwa.
polityka bezpieczeństwa - definiuje poprawne i niepoprawne sposoby wykorzystywania kont użytkowników i danych przechowywanych w systemie.
elementy polityki bezpieczeństwa:
określenie, kto może mieć konto w systemie. Określenie czy mogą istnieć konta typu „gość”. Określenie, na jakich kontach mogą pracować pracownicy innych instytucji.
określenie czy wiele osób może korzystać z jednego konta.
określenie, w jakich sytuacjach odbierane jest prawo do korzystania z konta. Co dzieje się z kontami pracowników, którzy odeszli z instytucji.
zdefiniowanie wymagań dotyczących haseł. Na ile powinny być zawikłane (nietrywialne), czy można je zdradzać współpracownikom, przełożonym. Określenie okresów ważności haseł.
określenie zasad przyłączania się i korzystania z globalnej sieci komputerowej. Określenie osób, które mają do tego prawo.
określenie zakresu i zasad udostępniania informacji instytucji użytkownikom globalnej sieci komputerowej.
zobligowanie pracowników do wyrażenia zgody na wykonywanie przez administratorów czynności związanych z bezpieczeństwem instytucji.
określenie zasad korzystania z połączeń modemowych z instytucją. Opisanie zasad korzystania z systemu przez osoby znajdujące się w oddaleniu od niego.
określenie metod ochrony informacji o finansach i pracownikach firmy.
określenie zasad sporządzania i przechowywania wydruków informacji związanych z instytucją.
określenie metod ochrony przed wirusami.
41. Co to jest słaby punkt sieci? Po co się go stosuje?
słaby punkt sieci - strategia ta polega na zastosowaniu pewnego triku polegającego na świadomym wyborze i eksponowaniu fragmentów systemu, które mają uchodzić dla włamywacza za „słabe punkty” (honey pots i honey nets). Odwraca to wówczas uwagę intruza od pozostałych części systemu. Należy oczywiście zadbać o to, aby poziom ochrony w tych „słabych punktach” był dostatecznie wysoki dla uniemożliwienia przeprowadzenia udanego ataku.
42. Jakie powinny być reakcje na udane lub nieudane próby ataku na system?
reakcje na udane lub nieudane próby ataku na system:
analiza sytuacji, zatrzymanie pracy całego lub części systemu, poinformowanie użytkowników:
szczegółowa analiza zaistniałej sytuacji.
zatrzymanie pracy całego lub części systemu w celu zapobiegnięcia powstaniu nowych szkód.
poinformowanie użytkowników o zaistniałym zagrożeniu.
zapis stanu systemu.
odtworzenie ostatnio zachowanego stanu systemu z archiwów:
poprzedni stan systemu może również zawierać modyfikacje wprowadzone przez napastnika, o ile zagrożenie nastąpiło po jego zapisie.
zostaną utracone modyfikacje systemu, jakie wykonano przed sporządzeniem ostatniej kopii zapasowej.
konieczność wcześniejszego opracowania planu działania w przypadku awarii.
43. Podaj i omów metody oceny poziomu bezpieczeństwa systemów informatycznych.
metody oceny poziomu bezpieczeństwa systemów informatycznych:
przydział systemowi tzw. klasy bezpieczeństwa określonej w ramach obecnie szeroko stosowanego standardu „The Orange Book” - Trustem Computer Systems Evaluation Criteria:
dokument ten opracowany został w Departamencie Obrony USA i zawiera opis kryteriów przydziału analizowanych systemów do odpowiednich klas bezpieczeństwa, informacje na temat sposobu wykonywania analiz bezpieczeństwa a także zalecenia dotyczące zapewniania bezpieczeństwa systemu informatycznego.
oceny poziomu bezpieczeństwa - analiza ryzyka:
cechą charakterystyczną analizy ryzyka jest to, że dokonywana ocena w silnym stopniu uwzględnia prawdopodobieństwo wystąpienia danego zagrożenia - w myśl zasady, że byłoby nierozsądne zajmować się względnie mało prawdopodobnym ryzykiem wówczas, gdy nie zostały jeszcze odparte zagrożenia potencjalnie bardziej kosztowne w skutkach.
44. Co to jest klasa i jakie klasy zawiera „The Orange Book” - Trusted Computer Systems Evaluation Criteria?
klasa D (minimal protection) - do klasy tej włączane są systemy, które były ocenione, ale nie zostały zakwalifikowane do żadnej z pozostałych klas.
klasa C1 (discretionary security protection) - TCB tej klasy zapewnia separację użytkowników i danych. Uzyskany poziom bezpieczeństwa pozwala użytkownikom chronić dane związane z projektami, nad którymi pracują czy dane prywatne, uniemożliwiając innym użytkownikom ich odczyt, modyfikowanie lub usuwanie.
klasa C2 (controlled access protection) - systemy tej klasy wymuszają silniejszy poziom ochrony niż dla klasy C1 poprzez wprowadzanie procedur logowania, mechanizmów audytu i izolacji zasobów.
klasa B1 (labeled security protection) - systemy te posiadają wszystkie właściwości systemów klasy C2. Dodatkowo wprowadzony jest element etykietowania podmiotów i obiektów (opisywania ich właściwości w systemie bezpieczeństwa).
klasa B2 (structured protection) - TCB jest oparta na jasno zdefiniowanej i udokumentowanej polityce bezpieczeństwa. Ponadto TCB musi być podzielona na część krytyczną pod względem ochrony (protection critical) i resztę. TCB ma posiadać dobrze zdefiniowany interfejs i musi być łatwy w testowaniu (posiada odpowiednie mechanizmy). Wzmocnione muszą być mechanizmy uwierzytelniania oraz narzędzia administrowania bezpieczeństwem systemu. System musi być względnie odporny na penetrację.
klasa B3 (security Romains) - zminimalizowana jest złożoność TCB w celu umożliwienia wykonania dokładniejszych analiz. System posiada silne wsparcie dla administracji bezpieczeństwem, mechanizm audytu rozszerzony do reagowania na sygnały związane z bezpieczeństwem. Wymagane jest opracowanie procedur odtwarzania stanu systemu. System jest wysoce odporny na penetrację.
klasa A1 (verified design) - systemy tej klasy są funkcjonalnie równoważne systemom klasy B3. Różnica polega na tym, że istnieje możliwość weryfikacji czy TCB jest poprawnie zaimplementowana.
45. Co to jest BS 7799?
BS 7799 - jest uznawany za wzorcowy model zasad budowy systemu bezpieczeństwa informacji. Dostarcza praktycznych porad, w jaki sposób bezpiecznie zarządzać zasobami informatycznymi - prezentuje ponad 100 mechanizmów kontrolnych zgromadzonych w 10 obszarach tematycznych. Ma zastosowanie do wszystkich organizacji, dużych i małych, zarówno w sektorze prywatnym jak i publicznym. Oryginalny standard (stanowiący część 1 normy) został opracowany przez zespół reprezentujący 8 organizacji (BOC, BT, Marks and Spencer, Midland Bank, Nationwide, Shell International/UK and Unilever) - w grudniu 2000 roku stał się standardem ISO/IEC 17799.
46. Wybierz i omów jedną zasadę ze standardu BS 7799.
polityka bezpieczeństwa:
cel - zapewnić wsparcie kierownictwa w zapewnieniu bezpieczeństwa informacji.
zakres - dokument przedstawiający zasady zapewnienia bezpieczeństwa:
definicja wymagań wobec bezpieczeństwa.
przedstawienie wymagań kierownictwa.
wyjaśnienie poszczególnych zasad wytycznych i standardów bezpieczeństwa.
wyjaśnienie zasad raportowania potencjalnych incydentów związanych z bezpieczeństwem.
odpowiedzialność za bezpieczeństwo:
cel - określić obowiązki i ogólne zasady zapewnienia bezpieczeństwa.
zakres - szczegółowy opis poszczególnych lokalizacji, systemów, usług i przypisanie osób odpowiedzialnych za ich bezpieczeństwo:
wszystkie zasoby podlegające ochronie dla każdego systemu powinny być zidentyfikowane.
menedżerowie odpowiedzialni za ich ochronę powinni być wskazani, a ich obowiązki udokumentowane.
poziomy dostępu do informacji powinny być przejrzyście zdefiniowane i udokumentowane.
szkolenia z zakresu systemów informatycznych:
cel - zapewnić, że użytkownicy (pracownicy) otrzymują odpowiednie szkolenia z zakresu bezpieczeństwa co pozwala na podniesienie świadomości zagrożeń w obrębie instytucji.
zakres - przed uzyskaniem dostępu do zasobów informatycznych wszyscy użytkownicy powinni uzyskać odpowiednie szkolenie na temat polityki i zasad bezpieczeństwa, a także szkolenie przedstawiające właściwy sposób wykorzystania zasobów informatycznych.
raportowanie incydentów związanych z bezpieczeństwem:
cel - ograniczyć straty wynikające z incydentów związanych z bezpieczeństwem poprzez monitorowanie i wyciąganie wniosków z tego typu incydentów.
zakres - wszyscy pracownicy i współpracownicy muszą być zaznajomieni z procedurą raportowania różnego typu incydentów. Wszystkie osoby korzystające z systemów powinny być zobligowane do zgłaszania zaobserwowanych incydentów lub swoich podejrzeń w dziedzinie bezpieczeństwa. Instytucja powinna określić procedury dyscyplinarne stosowane wobec osób naruszających bezpieczeństwo.
kontrola antywirusowa:
cel - zabezpieczyć oprogramowanie i dane przez nieuprawnioną modyfikację przez wirusy, bomby logiczne.
zakres - ochrona powinna opierać się na szerokiej świadomości zagrożeń wśród użytkowników, kontroli dostępu do systemów i następujących wytycznych:
instytucja musi określić formalne zasady profilaktyki antywirusowej.
oprogramowanie wykrywające wirusy musi być używane.
należy rozważyć prowadzenie przeglądów oprogramowania.
nośniki danych niewiadomego pochodzenia muszą być kontrolowane.
procedury i zakres odpowiedzialności muszą być zdefiniowane.
proces zapewnienia ciągłości procesów biznesowych
cel - przygotować się na przerwy w działalności poprzez opracowanie planów zabezpieczających podstawowe procesy gospodarcze przed awariami lub katastrofami.
zakres - plany ciągłości działania uwzględniają identyfikację i ograniczenie ryzyk wynikających z zagrożeń wobec kluczowych operacji. W ramach planów należy zapewnić, aby:
wszystkie zasoby i procedury bezpieczeństwa dla każdego systemu powinny być zidentyfikowane i udokumentowane.
odpowiedzialność poszczególnych menedżerów powinna być uzgodniona i udokumentowana.
zasady podejmowania decyzji powinny być przejrzyście określone i udokumentowane.
ochrona zbiorów danych danej instytucji:
cel - zapewnić, że ważne zbiory danych są chronione przed utratą, zniszczeniem i modyfikacją.
zakres - następujące kroki powinny być podjęte:
opracowanie wytycznych do tworzenia, przechowywania, obsługi i niszczenia zbiorów danych i informacji.
opracowanie harmonogramu przechowywania informacji.
utrzymywanie inwentarza źródeł kluczowych informacji.
wdrożenie mierników bezpieczeństwa kluczowych źródeł danych.
kontrola licencji oprogramowania:
cel - zapewnić, że zasoby nie są wykorzystywane w sposób naruszający prawa autorskie.
zakres - oprogramowanie jest zazwyczaj dostarczane na podstawie umowy licencyjnej, która ogranicza zakres jego wykorzystania. Następujące wskazówki powinny być brane pod uwagę:
polityka zarządzania licencjami powinna być zdefiniowana.
użytkownicy muszą być zobowiązani do jej przestrzegania.
kopiowanie oprogramowania może naruszać licencje.
gdy oprogramowanie ma być wykorzystywane na dodatkowych stanowiskach, licencję należy rozszerzyć.
zgodność z wymogami prawnymi:
cel - aby uniknąć przypadków naruszenia wymagań prawnych sposób wykorzystania systemów informatycznych musi być zgodny z odpowiednimi przepisami.
zakres - w przypadku Wielkiej Brytanii pod uwagę należy wziąć następujące aspekty prawne:
Data Protection Act 1998.
Komputer Misuse Act 1990
zgodność z polityką bezpieczeństwa:
cel - aby zapewnić zgodność z polityką bezpieczeństwa i standardami systemy muszą być poddawane regularnemu przeglądowi.
zakres - „właściciele” systemów informatycznych muszą „sponsorować” wykonywanie regularnych przeglądów. Instytucje powinny rozważyć powołanie administratora bezpieczeństwa systemów informatycznych.
47. Co to jest klasyfikacja incydentów?
klasyfikacja incydentów - jest to zbiór typów incydentów, wykroczeń i przestępstw, które dzielą się na poszczególne kategorie. Dotyczą one nielegalnego i niestosownego zachowanie się w sieci informatycznej.