System zum Schutz von Informationen vor unbefugtem Zugriff in lokalen Netzwerken

Schutz vor vorsätzlichem unbefugtem Zugriff

Durch die Analyse des lokalen Netzwerks als Schutzobjekt, möglicher Kanäle für den unbefugten Zugriff auf Informationen mit eingeschränkter Nutzung und potenzieller Bedrohungen können Sie das geeignete Schutzsystem auswählen und aufbauen.

Der unbefugte Zugriff eines Eindringlings erfordert offensichtlich die Erstellung eines Systems auf Programmebene des lokalen Netzwerks, um den Zugriff auf Informationen mit all seinen Attributen zu identifizieren und abzugrenzen: Mittel zur Benutzeridentifizierung und -authentifizierung sowie zur Begrenzung ihrer Berechtigung zum Zugriff auf Dateiserverinformationen und (oder ) auf andere PCs dieses lokalen Netzwerks. Solche Fähigkeiten verfügen derzeit alle Netzwerkbetriebssysteme mit unterschiedlichen Implementierungstechnologien.

Mit Netzwerkschutz-Tools können Sie feststellen, wer Zugriff auf bestimmte Verzeichnisse und Dateien hat. Gleichzeitig wird der Datenschutz des Dateiservers auf eine Weise oder in verschiedenen Kombinationen ausgeführt, normalerweise auf vier Arten:

  • Passwort eingeben;
  • Datenschutz der Treuhänder;
  • Schutz im Katalog;
  • Schutz durch Dateiattribute.

Die erste Stufe des Netzwerkschutzes ist der Datenschutz mit einem Eingabekennwort. Der Netzwerkanmeldeschutz gilt für alle Benutzer. Um auf den Dateiserver zugreifen zu können, muss der Benutzer seinen „Namen“ und das entsprechende Passwort kennen (6-8 Zeichen für Widerstand gegen automatisiertes Hacken).

Der Sicherheitsadministrator kann zusätzliche Einschränkungen für den Zugriff auf das Netzwerk festlegen:

  • Den Zeitraum begrenzen, in dem der Benutzer das Netzwerk betreten kann.
  • Arbeitsstationen mit speziellen Adressen zuweisen, die das Netzwerk betreten dürfen.
  • Begrenzen Sie die Anzahl der Workstations, von denen aus Sie auf das Netzwerk zugreifen können.
  • Legen Sie den Modus für das Verbot des Eindringens von Personen fest, wenn nach mehreren nicht autorisierten Versuchen mit dem falschen Kennwort ein Zugangsverbot für das Netzwerk festgelegt wird.

Die zweite Datenschutzstufe im Netzwerk – Trustee-Datenschutz – wird verwendet, um die Fähigkeit einzelner Benutzer zu steuern, mit Dateien in einem bestimmten Verzeichnis zu arbeiten. Ein Treuhänder ist ein Benutzer, dem Berechtigungen oder Rechte zum Arbeiten mit einem Verzeichnis und darin enthaltenen Dateien erteilt wurden.

Jeder Treuhänder kann acht Arten von Rechten haben:

  • Lesen – das Recht, geöffnete Dateien zu lesen;
  • Schreiben – Schreibrecht zum Öffnen von Dateien;
  • Öffnen – das Recht, eine vorhandene Datei zu öffnen;
  • Erstellen – das Recht, neue Dateien zu erstellen (und gleichzeitig zu öffnen);
  • Löschen – das Recht, vorhandene Dateien zu löschen;
  • Eltern – Elternrechte:
    – das Recht, Verzeichnis-Unterverzeichnisse zu erstellen, umzubenennen und zu löschen;
    – das Recht, Treuhänder und Rechte im Katalog festzulegen;
    – das Recht, Treuhänder und Rechte in einem Unterverzeichnis einzurichten;
  • Suche – Katalogsuche rechts;
  • Ändern – das richtige Ändern von Dateiattributen.

Die dritte Datenschutzstufe im Netzwerk ist der Datenschutz im Verzeichnis. Jedes Verzeichnis hat eine „Maximum Rights Mask“. Wenn ein Verzeichnis erstellt wird, enthält die Rechte-Maske dieselben acht Arten von Rechten wie der Treuhänder. Verzeichnisbeschränkungen gelten nur für ein angegebenes Verzeichnis. Der Schutz in einem Verzeichnis gilt nicht für seine Unterverzeichnisse.

Der Schutz von Dateiattributen ist die vierte Datenschutzstufe im Netzwerk. Gleichzeitig kann festgestellt werden, ob eine einzelne Datei geändert oder geteilt werden kann. Der Schutz von Dateiattributen wird hauptsächlich verwendet, um versehentliche Änderungen oder das Löschen einzelner Dateien zu verhindern. Ein solcher Schutz ist besonders nützlich, um öffentliche Informationsdateien zu schützen, die häufig von vielen Benutzern gelesen werden. Diese Dateien dürfen nicht durch versuchte Änderungen oder Löschungen beschädigt werden. Im Datenschutz werden vier Dateiattribute verwendet: „Schreiben – Lesen / Nur Lesen“ und „Freigegeben / Nicht freigegeben“.

Aktuelle Rechte im Netzwerk sind die Rechte, die der Benutzer in diesem Verzeichnis anwenden kann. Bestehende Rechte werden durch eine Kombination aus Treuhandschutzrechten und Katalogschutzrechten bestimmt. Dateiattribute haben Vorrang vor aktuellen Benutzerrechten.

Die am häufigsten verwendeten Attribute und Informationsschutzrichtlinien in Netzwerken, die Änderungen für verschiedene Betriebssysteme aufweisen, wurden beschrieben. Informationsschutz-Tools im Netzwerk erfüllen jedoch nicht immer die Anforderungen der Verbraucher. Daher gibt es eine Reihe von Entwicklungen bei spezialisierten Systemen und Schutzsystemen.

Um die Möglichkeit auszuschließen, Identifikationssysteme und die Zugriffskontrolle in PCs und lokalen Netzwerken mithilfe von Debugging-Programmen sowie Computerviren zu umgehen, wird empfohlen, nach Möglichkeit PCs ohne Laufwerke und externe Ports (wie COM oder USB) in diesem lokalen Netzwerk zu verwenden So können Sie externe Medien anschließen oder zumindest mit einer vom Sicherheitsadministrator versiegelten mechanischen Abdeckung abschließen. Diese Maßnahme schützt außerdem vor Diebstahl von Daten, die in wenigen Minuten auf eine Flash-Karte kopiert werden können. Sie sind leicht zu verstecken und sogar aus dem geschützten Bereich herauszunehmen. Viele Netzwerkanbieter bieten jetzt die Möglichkeit, lokale Workstations von einem zentralen Server herunterzuladen und damit PCs ohne Festplatte für die Verwendung in einem Netzwerk geeignet zu machen.

In den Fällen, in denen ein lokales Speichergerät erforderlich ist, bieten Spezialisten die Möglichkeit, das Diskettenlaufwerk, USB usw. durch eine lokale Festplatte zu ersetzen.

Benutzerauthentifizierung und Zugriffskontrolle in lokalen Netzwerken können auch mithilfe eines Verschlüsselungsgeräts organisiert werden. Es ist am besten, ein Hardwaregerät für diesen Zweck zu verwenden, da das Ersetzen oder Deaktivieren des Geräts dem Verstoß nicht hilft. Ein solches Gerät ist auf jedem PC installiert, und dann greift der legitime Benutzer mit einem Kennwortschlüssel auf das Netzwerk zu, dessen Antwortwerte auf den Arbeitsstationen gespeichert sind, zu denen er austauschen darf. Auf einem Dateiserver mit diesem Kennwort können ihm wiederum Arrays für persönliche Daten bereitgestellt werden. Ein weiterer Vorteil dieser Methode besteht darin, dass das Schlüsselkennwort dieses Benutzers nicht auf diesem PC gespeichert wird, sondern vom Benutzer oder auf einem speziellen Medium wie einer Karte gespeichert wird. Lösungen mit Verschlüsselung auf Softwareebene wurden für fast alle Betriebssysteme eingeführt, einschließlich der Bereitstellung von Workstations.

Alle Daten, einschließlich der Kennwortcodes, die in das Netzwerk eingegeben werden, und alle auf der Festplatte gespeicherten Daten müssen verschlüsselt sein. Bei der Übertragung von Daten an das Netzwerk vor der Verschlüsselung, um an die übertragenen Informationen zu binden, müssen die Kennung und / oder Adresse des Empfängers und des Absenders (in offener Form übertragen) zusammen mit den Informationen mit herkömmlichen Mitteln zur Erhöhung der Zuverlässigkeit verarbeitet werden, deren Ergebnis gleichzeitig mit den verschlüsselten Informationen an den Personal Computer übertragen wird. der Empfänger, bei dem nach der Entschlüsselung die empfangenen Informationen auf Übereinstimmung überprüft werden.

Mit diesem Verfahren können Sie das Ersetzen einer Kennung und / oder Adresse erkennen, d. H. Einen Versuch, im Falle einer nicht autorisierten Verbindung zum Netzwerk falsche Informationen aufzuerlegen. Gleichzeitig sollten Sie Entwickler und Benutzer lokaler Netzwerke vor übermäßiger Begeisterung für Verschlüsselung warnen. Bekannte formalisierte Anforderungen und Nachrichten sollten nicht von jedem verschlüsselt werden, da ein Eindringling bei Kenntnis des Transformationsgesetzes nach bekannten formalisierten Nachrichten suchen kann, indem er den tatsächlichen Wert des Schlüssels berechnet, mit dem einer von ihnen geschlossen ist, und wenn er den letzteren kennt, kann der Eindringling den Rest der verschlüsselten Informationen kennenlernen.

Die Informationen, die in das Netzwerk gelangen, werden mit dem Schlüssel des Absenders verschlüsselt und auf dem PC des Empfängers mit einem Schlüssel entschlüsselt, dessen Wert mit der Kennung und / oder Adresse des Absenders übereinstimmt.

In einigen weniger kritischen lokalen Netzwerken wird ein Rückrufsystem verwendet, um vor Informationsänderungen zu schützen, wenn diese über Telefonkanäle übertragen werden.

Das Rückrufschutzsystem und die Benutzerverwaltung sind Teil von Telefonsystemen und können bei der Datenübertragung im PC-Netzwerk über eine beträchtliche Entfernung verwendet werden. Wenn Sie eine Verbindung zu einem PC herstellen müssen, auf dem sich ein Rückrufschutzsystem befindet, sollten Sie das System darüber informieren. Anschließend wird das Schutzgerät für einen Rückruf an Ihren Standort vorbereitet. Mit anderen Worten, das System hat eine vollständige Liste für jeden autorisierten Benutzer im Speicher.

Diese Datei enthält eine siebenstellige Identifikationsnummer, die Sie wählen müssen, wenn Sie auf die Datei zugreifen möchten. Telefonnummer, unter der Sie gefunden werden können; Host-Computer, auf die Sie Zugriff haben. Mit einem Wort, die Authentizität des Anrufs wird durch einen Rückruf sichergestellt, d. H. Die Verbindung mit Ihnen wird von Ihrem Adressaten bei Ihrem Anruf hergestellt. Diese Methode schützt jedoch nicht vor Informationslecks.

Zum Schutz der über das Kabel übertragenen Daten stehen verschiedene Methoden zur Verfügung. Die erste Methode – Entfernen des Kabels aus dem Sichtfeld – sollte durchgeführt werden, um das Kabel vor Beschädigung zu schützen und die elektrischen Sicherheitsregeln zu erfüllen, d. H. Wenn das Kabel an einem schwer zugänglichen, versteckten Ort verlegt wird, hilft dies, es vor unbefugtem Zugriff zu schützen.

Das Kabel, über das die Daten übertragen werden, sendet Funksignale wie eine Sendeantenne aus. Die einfachen Abhörgeräte, die neben dem Kabel installiert sind, können diese Übertragungen sammeln und aufzeichnen. Wenn der Wert des emittierenden Signals die Rauschsignale in einem Abstand außerhalb des Schutzbereichs überschreitet, sollten bestimmte Schutzmaßnahmen getroffen werden.

Der Wert des emittierenden Signals auf dem Kabel kann reduziert werden, indem ein Schirm in Form eines geerdeten Geflechts aus Kupferdrähten verwendet wird, das die Drähte abdeckt, die Informationen übertragen. Eine andere Möglichkeit, dieses Problem zu lösen, besteht darin, ein Glasfaserkabel unter Verwendung eines dünnen Glaswellenleiters zu verwenden, durch das Informationen unter Verwendung von Lichtmodulation übertragen werden. In jüngster Zeit wurde jedoch berichtet, dass Informationen von diesen Kabeln entfernt werden können. Daher ist das beste Mittel zum Schutz vor den oben genannten Bedrohungen die Verschlüsselung der übertragenen Informationen, über die oben berichtet wurde. Beachten Sie, dass diese Verschlüsselung und Verschlüsselung, die bereits in der Beschreibung der Informationssicherheitstools auf PCs erwähnt wurde, nicht identisch sind, obwohl sie auf demselben Gerät (Hardware oder Software) ausgeführt werden können. In einem Fall kann es für den persönlichen Gebrauch (Abschlussinformationen auf Medien) bestimmt sein, in dem anderen – für die Netzwerkkontrolle und Zugriffskontrolle. Im Vergleich zu herkömmlichen großen Systemen verschwinden hier die Konzepte der Teilnehmer- und linearen Verschlüsselung, da es in lokalen Netzen keine Knoten gibt, die Vermittlungsknoten in großen Datenübertragungsnetzen ähnlich sind.

Um das Niveau der Informationssicherheit im lokalen Netzwerk zu berechnen und zu bewerten, müssen abhängig vom angegebenen Modell des Eindringlings, dem Wert und der Wichtigkeit der verarbeiteten Informationen drei Schutzklassen verwendet werden, die den ersten drei Klassen von vier entsprechen, die für PCs angegeben sind.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.