дальнейшем весь поток информации, ассоциированный с объектом-жертвой, будет проходить через ложный объект сети (рисунки 10 - 13). Рисунок 10. Схема реализации угрозы "Внедрение ложного ARP-сервера" См. данный графический объект. Рисунок 11. Схема реализации угрозы "Внедрение ложного DNS-сервера" путем перехвата DNS-запроса См. данный графический объект. Рисунок 12. Схема реализации угрозы "внедрение ложного DNS-сервера" путем шторма DNS-ответов на компьютер сети См. данный графический объект. Рисунок 13. Схема реализации угрозы "Внедрение ложного DNS-сервера" путем шторма DNS-ответов на DNS-сервер 7. Отказ в обслуживании. Эти угрозы основаны на недостатках сетевого программного обеспечения, его уязвимостях, позволяющих нарушителю создавать условия, когда операционная система оказывается не в состоянии обрабатывать поступающие пакеты. Могут быть выделены несколько разновидностей таких угроз: а) скрытый отказ в обслуживании, вызванный привлечением части ресурсов ИСПДн на обработку пакетов, передаваемых злоумышленником со снижением пропускной способности каналов связи, производительности сетевых устройств, нарушением требований ко времени обработки запросов. Примерами реализации угроз подобного рода могут служить: направленный шторм
СЕТЕВЫХ АДРЕСОВ ПО СЕТЕВЫМ ИМЕНАМ ИЛИ ОПРЕДЕЛЕНИЯ СЕТЕВЫХ ИМЕН ПО СЕТЕВЫМ АДРЕСАМ Требования к реализации ЗИС.10: В информационной системе должна обеспечиваться возможность подтверждения происхождения источника и целостности информации, получаемой в процессе определения сетевых адресов по сетевым именам или определения сетевых имен по сетевым адресам, в том числе с использованием DNS-серверов. При подтверждении происхождения источника должны обеспечиваться: аутентификация в соответствии с ИАФ.7 и (или) ИАФ.2 сервера, являющегося источником ответов на запросы (сервер доменных имен или DNS-сервер ) по определению сетевых адресов (IP-адресов) по сетевым именам (доменные имена); аутентификация в соответствии с ИАФ.7 и (или) ИАФ.2 сервера, являющегося источником ответов на запросы (кэширующийDNS-сервер) по определению сетевых имен (доменных имен) по сетевым адресам (IP-адресам). Требования к усилению ЗИС.10: 1) в информационной системе должен осуществляться процесс верификации цепочки доверия между основным (корневым) и подчиненными (дочерними) доменами (например, с использованием записей ресурсов в системе доменных имен, сопоставляющих сетевое имя и сетевой адрес средств вычислительной
заявитель должен в течение установленного срока подать иск в суд о признании незаконным размещения данного материала. Блокировка осуществляется через механизм федерального реестра сетевых адресов, доменных имен и указателей страниц. 3.9. Зарубежный опыт борьбы с запрещенной информацией в Интернет и межгосударственного взаимодействия На сегодняшний день большинство развитых стран мира прибегают к фильтрации интернет-контента и другим ограничениям свободы в Сети. При этом применяются различные технические решения: блокирование интернет-ресурсов по IP-адресу, искажение DNS-записей, блокирование сайтов по URL, пакетная фильтрация, фильтрация через HTTP прокси-сервер . Следует отдельно отметить фильтрацию контента на основании возрастной маркировки (по аналогии с видео- и аудиопродукцией средств массовой информации). В США и странах Евросоюза разрабатывались проекты возрастной маркировки контента в Интернет. Однако с развитием Интернета стало очевидно, что маркировка контента не решает поставленных задач. По результатам специального исследования было указано, что контент в Интернете, в отличии от других форм контента (фильмов на CD/DVD, телепередач и видеоигр), распределен в пространстве
записей и выделение доменных имен, указателей страниц сайтов в сети «Интернет» и сетевых адресов); 4) внесение в список ограничения доступа/блокировки системы всех записей, содержащихся в Реестре и их применение. В каталоге планировщика cron.hourly формируются файлы, которые запускаются ежечасно и применяют ограничения доступа/блокировку ресурсов, содержащихся в Реестре. Системная программа iptables осуществляет ограничение доступа/блокировку: [root@ts rzs]# service iptables status. В результате ограничивается доступ к ресурсам с сетевыми адресами, содержащимися в Реестре. Одновременно с блокировкой по IP-адресу DNS-сервер ООО «Гарант-Г» тоже анализирует запросы абонентов и в случае совпадения с данными Реестра отдает (резолвит) абоненту адрес не сайта, а сервера 93.171.182.1, на котором находится так называемая страница заглушки (заглушка блокировки) с указанием информации о блокировании ресурса. В результате этого обществом блокируются все доменные имена, указатели страниц сайтов в сети «Интернет» и сетевые адреса, содержащие информацию, распространение которой в РФ запрещено, то есть доступ к данным ресурсам ограничивается. Ответчик ссылается на то, что в
информацией. Представители ответчика ООО «Новотелеком» ФИО1, ФИО2 действующие на основании доверенностей, в судебном заседании заявленные исковые требования в части возложения на ООО «Новотелеком» обязанности по ограничению доступа к сайтам по адресам, указанным в иске не признали в связи с отсутствием у общества технической возможности по исполнению решения суда, при этом пояснили суду, что процесс обмена информацией в сети Интернет состоит из нескольких стадий и включает в себя следующих участников: во-первых, персональный компьютер пользователя; во-вторых, DNS-сервер оператора связи (или какой-либо другой организации); в – третьих, Web-сервер хостинг-провайдера. DNS-сервер и Web-сервер представляют собой, как правило, такой же компьютер как у пользователя. Разница заключается в программном обеспечении. Передача информации между каждыми участниками осуществляется с использованием специального идентификатора — ip-адреса, присвоенного участникам обмена — который представляет собой набор чисел (например: 192.168.0.1). Так, в стадии процесса обмена информацией, пользователь в строке браузера формирует запрос на получение информации с какого-либо веб-сайта, например:. После ввода символьной
данные изъяты >. IP-адрес: < данные изъяты >; Маска подсети:< данные изъяты >. Беспроводное сетевое соединение 2: Через сетевой адаптер «MicrosoftVirtualWiFiMiniportAdapter #2». установленный в мат.плату. МАС-адрес адаптера: < данные изъяты >. IP-адрес и другие настройки получались автоматически. Подключение по локальной сети: через сетевой адаптер «AtherosAR8132 PCI-EFastEthernetController», установленный в мат. плату. МАС-адрес адаптера: < данные изъяты >, IP-адрес: < данные изъяты >; Маска подсети: < данные изъяты >: Основной шлюз: < данные изъяты >; Предпочтительный DNS-сервер : < данные изъяты >: Альтернативный DNS-сервер: < данные изъяты > Ноутбук < № >, «AsusEeePC 1015P» Беспроводное сетевое соединение: Через сетевой адаптер «QualcommAtherosAR9285 WirelessNetworkAdapter», установленный в корпус ноутбука. МАС-адрес адаптера: < данные изъяты >, IP-адрес: < данные изъяты >: Маска подсети: < данные изъяты >; Основной шлюз: < данные изъяты >: Предпочтительный DNS-сервер: < данные изъяты >; Альтернативный DNS-сервер: < данные изъяты > Подключение по локальной сети: Через сетевой адаптер «Atheros AR8132 PCI-E