Методические указания - "Web-программирование", "Системное

реклама
Министерство Образования и Науки Российской Федерации
НОВОСИБИРСКИЙ ГОСУДАРСТВЕННЫЙ ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ
№ ____
«Безопасность информационных ресурсов»
Методические указания к лабораторным и контрольным работам
для студентов по направлению 220400
«Автоматизация и управление» очной формы обучения
НОВОСИБИРСК
2012
1
УДК 004.45 (076.5)
Составитель: А.В. Гунько, канд. техн. наук, доц.
Рецензент
А.Ж. Абденов, доктор техн. наук, проф. каф. ЗИ
Работа подготовлена на кафедре автоматики
© Новосибирский государственный
технический университет, 2012 г.
ЛАБОРАТОРНАЯ РАБОТА № 1
ТЕСТИРОВАНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ СЕРВЕРОВ
В РУЧНОМ РЕЖИМЕ
1. Цель работы: Изучить способы и средства тестирования информационной
безопасности серверов (наличие открытых портов TCP/IP и возможность
подключения к ним без авторизации) с помощью общедоступных утилит.
2. Краткие теоретические сведения.
2.1. Общеизвестные порты
Для обеспечения доступа извне к службам серверов наиболее часто
используются стедующие потры TCP/IP:
Таблица 1. Порты TCP/IP
Порт/Протокол
Описание
Статус
20/TCP
протокол FTP — данные
Официально
21/TCP
протокол FTP — команды
Официально
протокол SSH (Secure SHell) — применяется для
22/TCP,UDP
Официально
безопасного входа в систему
протокол Telnet — применяется для передачи текстовых
сообщений в незашифрованном виде, то же, что и консоль
23/TCP,UDP
терминала. Используется, в частности, общеизвестной Официально
программой Гипертерминал (HyperTerminal) для Windows и
в настоящее время считается устаревшим и небезопасным
протокол SMTP (Simple Mail Transfer Protocol) —
используется для пересылки почтовых сообщений между
25/TCP,UDP
Официально
серверами. Сообщения отправляются в виде простого
незашифрованного текста
80/TCP,UDP
Hypertext Transfer Protocol (HTTP)
Официально
110/TCP
Post Office Protocol 3 (POP3)
Официально
137/TCP,UDP
NetBIOS NetBIOS Name Service
Официально
139/TCP,UDP
NetBIOS NetBIOS Session Service
Официально
Internet Message Access Protocol (IMAP) — используется для
143/TCP,UDP
Официально
получения, организации и синхронизации сообщений e-mail
161/TCP,UDP
Simple Network Management Protocol (SNMP)
Официально
3
Порт/Протокол
443/TCP
445/TCP
631/TCP,UDP
666/UDP
989/TCP,UDP
990/TCP,UDP
992/TCP,UDP
993/TCP
995/TCP
1433/TCP,UDP
2041/TCP
2042/TCP
3306/TCP,UDP
Описание
Статус
HTTP поверх TLS/SSL (HTTPS)
Официально
Active Directory, Windows shares
Официально
Internet Printing Protocol (IPP)
Официально
Doom,Doom2 шутер от первого лица
Официально
FTP (данные) поверх TLS/SSL
Официально
FTP (команды) поверх TLS/SSL
Официально
TELNET поверх TLS/SSL
Официально
Internet Message Access Protocol over SSL (IMAPS)
Официально
POP3 поверх TLS/SSL (POP3S)
Официально
Microsoft SQL Server — Server
Официально
Mail.ru Агент communication protocol
Неофициально
Mail.ru Агент communication protocol
Неофициально
Система управления базами данных MySQL
Официально
Microsoft
Terminal
Server
(RDP)
Официально
3389/TCP
Неофициально
зарегистрировано как Windows Based Terminal (WBT)
3899/TCP
RAdmin—программа для удаленного управления
Неофициально
4899/TCP,UDP RAdmin—программа для удаленного управления
Официально
5190/TCP
ICQ and AOL Instant Messenger
Официально
5432/TCP,UDP Система управления базами данных PostgreSQL
Официально
6112/TCP
Blizzard's Battle.net gaming service, ArenaNet gaming service Неофициально
6113-6119
World of Warcraft MMORPG Realmservers
Неофициально
6969/TCP
BitTorrent tracker
Неофициально
HTTP alternate (http_alt)— используется для Web proxy, или
8080/TCP
Официально
дополнительных Web серверов
8086/TCP
Kaspersky AV Control Center
Неофициально
8087/UDP
Kaspersky AV Control Center
Неофициально
8172/TCP
Служба веб-управления IIS
Неофициально
27010
Half-Life и его моды, такие как Counter-Strike
Неофициально
27015
Half-Life и его моды, такие как Counter-Strike
Неофициально
31337/TCP
Back Orifice — средство для удаленного администрирования Неофициально
33434/TCP,UDP traceroute
Официально
Подключение к этим службам производится с помощью соответствующих
клиентских
приложений,
однако
доступность
служб
может
быть
протестирована соответствующими утилитами.
2.2. Утилиты.
Существует ряд программ, входящих в состав большинства операционных
систем и позволяющих тестировать и использовать протоколы TCP/IP.
4
ping - утилита для проверки соединений в сетях на основе TCP/IP, а также
обиходное наименование самого запроса. Утилита отправляет запросы
(ICMP Echo-Request) протокола ICMP указанному узлу сети и фиксирует
поступающие ответы (ICMP Echo-Reply). Время между отправкой запроса и
получением ответа позволяет определять двусторонние задержки по
маршруту и частоту потери пакетов, то есть косвенно определять
загруженность на каналах передачи данных и промежуточных устройствах.
ping имеет несколько
определенных целей:
опциональных
параметров
для
достижения
ping [-t] [-a] [-n count] [-l size] [-f] [-i TTL] [-v TOS] [-r
count] [-s count] [[-j host-list] | [-k host-list]] [-w timeout]
destination-list
Таблица 2. Ключи утилиты ping.
-t
Пинговать указанный хост до прерывания.
-a
Разрешать адреса в имена хостов.
-n count
Число посылаемых эхо-запросов.
-l size
Размер буфера посылки.
-f
Установит в пакете флаг "Не Фрагментировать".
-i TTL
Время жизни.
-r count
Подсчитывать шлюзы для контроля числа переходов.
-s count
Метка времени для счета переходов.
-j host-list Loose source route along host-list.
-k host-list Strict source route along host-list.
-w timeout Таймаут ожидания каждого ответа (в миллисекундах).
Traceroute - это служебная компьютерная программа, предназначенная для
определения маршрутов следования данных в сетях TCP/IP. Traceroute может
использовать
разные
протоколы
передачи
данных
в
зависимости
от
операционной системы устройства. В системах Microsoft Windows эта
программа носит название tracert, а в системах GNU/Linux, Cisco IOS и Mac OS
— traceroute. Единственный обязательный параметр - имя целевого узла или
IP-адрес. По умолчанию длина датаграммы составляет 40 байт, но ее можно
увеличить, указав длину пакета (в байтах) , после имени хоста назначения.
Данная утилита осуществляет трассировку маршрута, посылая серию
обычных IP-пакетов в конечную точку изучаемого маршрута.
5
Значение времени жизни сообщения (TTL) первого отправляемого пакета
устанавливается в 1. Когда протокол IP первого маршрутизатора принимает
этот пакет, то декрементируют на 1 значение TTL. Пакет с нулевым значением
TTL маршрутизатор отбрасывает, возвращая узлу-источнику ICMP-сообщение
об ошибке истечения времени дейтаграммы вместе с заголовком IP и первыми
8 байтами потерянного пакета. Получив данное сообщение, утилита traceroute
запоминает адрес первого маршрутизатора и задержку. Далее отправляется
второй пакет с инкрементированным значением начального TTL (2) и т. д.
вплоть до узла назначения. Так прослеживается маршрут (в некоторых случаях
с доменными именами) и среднее время оборота.
Синтаксис: traceroute [ -f first_ttl ] [ -g шлюз ] [ -i iface ] [ -m max_ttl ] [ -p
порт ] [ -q nqueries ] [ -s src_addr ] [ -w waittime ] [ -z pausemsecs ] хост [
packetlen ]

-f начальный-TTL (1)

-g первый-шлюз (установить первый шлюз в маршрутизации "от
источника" - source routing; скорее всего такой пакет будет отфильтрован)

-i имя-интерфейса

-m максимальный-TTL (30)

-n (не преобразовывать IP адреса в имена)

-p номер-порта-назначения

-q число (3; число проб на каждый промежуточный узел)

-r (не использовать таблицу маршрутизации, послать пакет через
указанный в -i интерфейс)

-s исходящий-адрес

-w секунд (5; время ожидания ответа)

-z интервал-между-посылками (если меньше 10, то в секундах, если
больше - в милисекундах)
6
Netstat
-
собирает
различную
информацию
о
состоянии
сетевого
программного обеспечения, включая статистику сетевых интерфейсов, данные о
маршрутизации и таблицу соединений. netstat поддерживает множество опций
для отображения активных и пассивных соединений. Опции -t, -u, -w и -x
показывают активные TCP, UDP, RAW или UNIX соединения. Если задать
параметр -a, показываются сокеты, которые ждут соединения (то есть, слушают
сеть). Это даст список всех служб, которые сейчас работают в системе.
Telnet – используется для подключения к определённому порту хоста:
> telnet <hostname> [port]
Это может быть довольно удобным в случае, когда вам нужно быстро
протестировать определённую службу, имея при этом полный контроль над
командами, и получить полный отчёт о том, что происходит. Таким способом
вы можете в интерактивном режиме протестировать или использовать сервер
SMTP, POP3, HTTP и т.п.
Tcpdump - выводит заголовки пакетов, проходящих через сетевой интерфейс,
которые совпадают с булевым выражением. В любом случае, tcpdump будут
обработаны только те пакеты, которые совпадают с выражением.
Вот некоторые ключи:

-c count Выйти после получения определенного количества пакетов.

-i interface Собирать пакеты только на определенном интерфейсе.
Если не указан - берется минимальный по номеру интерфейс (исключая
loopback).

-n Не преобразовывать адрес хоста в имя. Может быть использовано,
если необходимо избегать DNS-запросов.

-nn Не преобразовывать протокол и номер порта в их имена.

-t Не выводить временной штамп (timestamp) в каждой строке дампа.

-tt Выводит не форматированный временной штамп в каждой строке
дампа.
7

-ttt
Выводить
разницу
(в
микросекундах)
между
текущей
и
предыдущей строками дампа.

-v (Чуть более) подробный вывод. Для еще более подробного вывода
используются: -vv и -vvv.

-w file Писать "сырые" пакеты в file перед тем как произвести их
разбор и вывести. Они могут быть позднее выведены с ключем -r. Если
file указан как "-", то используется стандартный вывод.
Теперь рассмотрим фильтрующее выражение. Оно выбирает, какие пакеты
будут выбираться из общего потока. Выражение состоит из одного или более
примитивов. Примитивы обычно состоят из ID (имя или номер), следующего за
одним или более классификаторами.
Перечислим некоторые из допустимых примитивов:
dst host host - истина, если поле "назначение" пакета - это host,
который может быть адресом или именем
src host host - истина, если поле "источник" пакета - это host.
host host - истина, если или поле "назначение", или поле "источник"
пакета - это host.
net net mask netmask - истина, если IP адрес входит в сеть с указанной
сетевой маской. Может быть классифицировано с dst или src.
dst port port - истина, если порт назначения имеет значение, указанное
в port. Порт может быть числом или именем.
src port port - истина, если пакет имеет порт-источник - port
port port - истина, если или порт-назначение, или порт-источник в пакете
- port.
Пример:
#tcpdump -i eth0 -n -nn -ttt -vvv -s 1500 -X ‘host 217.71.139.66
and port 21’
8
2.3. Определение операционной системы сервера.
Существует несколько различных способов получить информацию об ОС
удаленного хоста. Удивительно, но самым эффективным из них и по сей день
является следующий:
> telnet hpux.u-aizu.ac.jp
Tryin 163.143.102.12 ...
Connected to hpux.uaizu.ac.jp.
Escape character is '^]'.
HP-UX hpux B.10.01.A 9000/715 (ttyp2)
login:
Как видно, удаленный хост сам сообщает о своей ОС. Основная масса
разработчиков ОС поставляют свои продукты именно с такими заголовками, и
многие системные администраторы забывают их отключить. Но даже если
вывод заголовка отключен, большинство прикладных программ выдадут
информацию, находящуюся в заголовке ОС хоста по первому требованию (если
администратор не позаботился об отключении этой возможности). Например,
FTP-сервер:
> telnet ftp.netscape.com 21
Trying 207.200.74.26 ...
Connected to ftp.netscape.com.
Escape character is '^]'.
220 ftp29 FTP server (UNIX(r) System V Release 4.0) ready.
Далее, после входа под анонимной учетной записью (anonymous), применив
команду SYST, можно получить более подробную информацию:
SYST
215 UNIX Type: L8 Version SUNOS
Аналогичную информацию можно получить и от WEB-сервера:
> echo 'GET / HTTP/1.0\n' | nc hotboot.com 80 | egrep '^Server:'
Server: Microsoft-IIS/4.0
Обычно в каждой ОС установлено фиксированное, заранее определенное,
значение TTL. В операционных системах Microsoft это значение по умолчанию
равно 128, тогда как в Linux – 256 или 64. Можно определитьтип удаленной ОС
по значению TTL ответного ICMP echo пакета, просто пингуя целевую машину
9
и проверяя значение TTL полученного в ответ пакета. Если оно равно 113, что
можно предположить, что удаленная ОС принадлежит к семейству Windows,
так как стартовое значение TTL этих систем равно 128, а маршрут от текущей
машины до целевой составляет примерно 15 промежуточных хостов (113 + 15 =
128), что может быть проверено с помощью утилиты traceroute.
Нужно учитывать, что это не самый надежный метод. Если целевой хост
является маршрутизатором или находится за устройством преобразования
адреса (из серого в белый), именуемого NAT (Network Address Translation),
описанный способ потерпит неудачу. Межсетевые экраны и пакетные фильтры
рассматриваются в 3 и 4 лабораторных работах.
3. Методические указания.
3.1. При отсутствии необходимых клиентских приложений на рабочей
станции,
они
могут
быть
скачаны
с
сайта
по
дисциплине
http://gun.cs.nstu.ru/ics.
3.2. Утилиты и клиентские приложения необхоимо запускать из командной
строки, в программе «Терминал».
3.3. При необходимости получения справки по утилитам и клиентским
приложениям, их нобходимо запускать с ключем /? или /h.
3.4. Результаты работы утилит и клиентских приложений, необходимые для
отчета, следует, убедившись в корректности из работы, перенаправлять в
текстовый файл:
> echo 'GET / HTTP/1.0\n' | nc hotboot.com 80 | egrep '^Server:' >
otchet.txt
4. Порядок выполнения работы.
4.1. Используя утилиту ping, убедиться в доступности заданного сервера.
4.2. Используя утилиту telnet, протестировать указанные порты на указанном
сервере.
10
4.3. Обнаружив открытые порты, попытаться определить тип ОС сервера.
4.4. Используя утилиты ping и traceroute, попытаться определить тип ОС
сервера по времени жизни пакета.
4.5. Используя соответствующую открытому порту клиентское приложение,
попытаться подключиться к серверу с учетными данными по умолчанию
(от имени пользователей anonymous, root).
4.6. Запустив утилиту tcpdump, получить у преподавателя логин/пароль и
выполнить
подключение
к
указанной
службе
с
помощью
соответствующего клиентского приложения.
4.7. Проанализировать перехваченный трафик, попытавшись выделить из
него логин и пароль.
5. Варианты заданий.
5.1. Исследовать наличие открытых портов в диапазоне до 512 сервера
217.71.139.66 и определить тип операционной системы сервера. Для
обнаруженных открытых портов исследовать возможность подключения
к серверу без авторизации и со стандартными логинами/паролями. С
помощью утилиты ftp и выданного преподавателем логина/пароля
подключиться к серверу, порт 21, перехватив трафик утилитой tcpdump,
проанализировать перехваченный трафик.
5.2. Исследовать наличие открытых портов в диапазоне до 512 сервера
217.71.139.95 и определить тип операционной системы сервера. Для
обнаруженных открытых портов исследовать возможность подключения
к серверу без авторизации и со стандартными логинами/паролями. С
помощью утилиты mysql и выданного преподавателем логина/пароля
подключиться к серверу, порт 3306, перехватив трафик утилитой
tcpdump, проанализировать перехваченный трафик.
11
5.3. Исследовать наличие открытых портов в диапазоне до 512 сервера
217.71.139.228 и определить тип операционной системы сервера. Для
обнаруженных открытых портов исследовать возможность подключения
к серверу без авторизации и со стандартными логинами/паролями. С
помощью
браузера
и
выданного
преподавателем
логина/пароля
подключиться к серверу, порт 80, перехватив трафик утилитой tcpdump,
проанализировать перехваченный трафик.
5.4. Исследовать наличие открытых портов в диапазоне свыше 512 сервера
217.71.139.66 и определить тип операционной системы сервера. Для
обнаруженных открытых портов исследовать возможность подключения
к серверу без авторизации и со стандартными логинами/паролями. С
помощью утилиты rdesktop и выданного преподавателем логина/пароля
подключиться к серверу, порт 3389, перехватив трафик утилитой
tcpdump, проанализировать перехваченный трафик.
5.5. Исследовать наличие открытых портов в диапазоне свыше 512 сервера
217.71.139.95 и определить тип операционной системы сервера. Для
обнаруженных открытых портов исследовать возможность подключения
к серверу без авторизации и со стандартными логинами/паролями. С
помощью утилиты ssh и выданного преподавателем логина/пароля
подключиться к серверу, порт 22, перехватив трафик утилитой tcpdump,
проанализировать перехваченный трафик.
5.6. Исследовать наличие открытых портов в диапазоне свыше 512 сервера
217.71.139.228 и определить тип операционной системы сервера. Для
обнаруженных открытых портов исследовать возможность подключения
к серверу без авторизации и со стандартными логинами/паролями. С
помощью
браузера
и
выданного
преподавателем
логина/пароля
подключиться к серверу, порт 443, перехватив трафик утилитой tcpdump,
проанализировать перехваченный трафик.
12
6. Содержание отчета.
6.1. Цель работы.
6.2. Вариант задания.
6.3. Список
открытых
возможность
портов,
название
подключения
использованных
утилит
и
к
ним
соответствующих
без
авторизации.
программ-клиентов.
Гипотеза
служб,
Список
о
типе
операционной системы сервера.
6.4. Фрагмент трафика, перехваченного утилитой tcpdump и результаты его
анализа.
7. Контрольные вопросы.
7.1. Какую информацию о сервере предоставляет утилита ping?
7.2. Как определить список открытых портов в локальной операционной
системе?
7.3. Каковы способы определения типа операционной системы сервера?
7.4. Какие утилиты и программы-клиенты применялись для подключения к
обнаруженным службам?
7.5. Назначение и применение утилиты tcpdump.
7.6. Параметры утилиты tcpdump.
13
ЛАБОРАТОРНАЯ РАБОТА № 2
АНАЛИЗ УЯЗВИМОСТЕЙ СЕРВЕРОВ И СЛУЖБ С ПОМОЩЬЮ
СКАНЕРОВ УЯЗВИМОСТЕЙ
1. Цель работы: Изучить способы применения и возможности общедоступных
программных
средств
тестирования
информационной
безопасности
(сканеров безопасности).
2. Краткие теоретические сведения.
Сканеры уязвимостей — это программные или аппаратные средства,
служащие
для
осуществления
диагностики
и
мониторинга
сетевых
компьютеров, позволяющее сканировать сети, компьютеры и приложения на
предмет обнаружения возможных проблем в системе безопасности, оценивать и
устранять уязвимости. Они позволяют выявить такие типичные уязвимости
информационных систем, как:

"дыры" в программах (back door) и программы типа "троянский конь";

слабые пароли;

восприимчивость к проникновению из незащищенных систем;

неправильная настройка межсетевых экранов, Web-серверов и баз данных.
Функционировать такие средства могут на сетевом уровне (network-based),
уровне операционной системы (host-based) и уровне приложения (applicationbased). Наибольшее распространение получили средства анализа защищенности
сетевых сервисов и протоколов. Вторыми по распространенности являются
средства анализа защищенности операционных систем (ОС).
Помимо обнаружения уязвимостей, при помощи средств анализа защищенности
можно быстро определить все узлы корпоративной сети, доступные в момент
проведения тестирования, выявить все используемые в ней сервисы и
14
протоколы,
их
настройки
и
возможности
для
несанкционированного
воздействия (как изнутри корпоративной сети, так и снаружи).
Существует два основных механизма, при помощи которых сканер проверяет
наличие уязвимости - сканирование (scan) и зондирование (probe).
Сканирование - механизм пассивного анализа, с помощью которого сканер
пытается определить наличие уязвимости без фактического подтверждения ее
наличия - по косвенным признакам. Этот метод является наиболее быстрым и
простым для реализации.
Зондирование - механизм активного анализа, который позволяет убедиться,
присутствует или нет на анализируемом узле уязвимость. Зондирование
выполняется путем имитации атаки, использующей проверяемую уязвимость.
На практике указанные механизмы реализуются следующими несколькими
методами.
"Проверка заголовков" (banner check). Указанный механизм представляет
собой ряд проверок типа "сканирование" и позволяет делать вывод об
уязвимости, опираясь на информацию в заголовке ответа на запрос сканера.
Типичный пример такой проверки - анализ заголовков программы Sendmail или
FTP-сервера, позволяющий узнать их версию и на основе этой информации
сделать вывод о наличии в них уязвимости. Наиболее быстрый и простой для
реализации метод проверки присутствия на сканируемом узле уязвимости.
"Активные зондирующие проверки" (active probing check). Также относятся
к механизму "сканирования". Однако они основаны не на проверках версий
программного обеспечения в заголовках, а на сравнении "цифрового слепка"
(fingerprint) фрагмента программного обеспечения со слепком известной
уязвимости.
Аналогичным
образом
поступают
антивирусные
системы,
сравнивая фрагменты сканируемого программного обеспечения с сигнатурами
вирусов, хранящимися в специализированной базе данных. Этот метод также
достаточно быстр, но реализуется труднее, чем "проверка заголовков".
15
"Имитация атак" (exploit check). Данные проверки относятся к механизму
"зондирования"
и
основаны
на
эксплуатации
различных
дефектов
в
программном обеспечении.
Этапы
сканирования.
Практически
любой
сканер
проводит
анализ
защищенности в несколько этапов:
 Сбор информации о сети. На данном этапе идентифицируются все
активные устройства в сети и определяются запущенные на них сервисы и
демоны.
 Обнаружение потенциальных уязвимостей. Сканер использует некую базу
данных для сравнения собранных данных с известными уязвимостями при
помощи проверки заголовков или активных зондирующих проверок.
 Подтверждение выбранных уязвимостей. Сканер использует специальные
методы
и
моделирует
(имитирует)
определенные
атаки
для
подтверждения факта наличия уязвимостей на выбранных узлах сети.
 Генерация отчетов. На основе собранной информации система анализа
защищенности создает отчеты, описывающие обнаруженные уязвимости.
 Автоматическое устранение уязвимостей. Этот этап очень редко
реализуется в сетевых сканерах, но широко применяется в системных
сканерах.
3. Методические указания.
3.1. При отсутствии необходимых приложений на рабочей станции, они
могут быть скачаны с сайта по дисциплине http://gun.cs.nstu.ru/ics.
3.2. Приложения необхоимо запускать из командной строки, в программе
«Терминал».
3.3. При необходимости получения справки по утилитам и клиентским
приложениям, их нобходимо запускать с ключем /? или /h.
16
3.4. Результаты работы приложений, необходимые для отчета, следует,
убедившись в корректности их работы, перенаправлять в текстовый
файл.
4. Порядок выполнения работы.
4.1. Используя утилиту ping, убедиться в доступности заданного сервера.
4.2. Используя последовательно программу nmap, просканировать (но не
зондировать!) указанный сервер.
4.3. Определить наличие уязвимостей, слабых паролей.
4.4. Определить ОС сервера.
4.5. Передав
IP-адрес своего компьютера соседней бригаде, провести
взаимное сканирование.
4.6. Выяснив уязвимости своего компьютера, изучить средства и способы их
устранения.
5. Варианты заданий.
5.1. Исследовать
наличие открытых
портов сервера 217.71.139.66 и
определить тип операционной системы сервера. Определить наличие
уязвимостей, слабых паролей.
5.2. Исследовать
наличие открытых
портов сервера 217.71.139.95 и
определить тип операционной системы сервера. Определить наличие
уязвимостей, слабых паролей.
5.3. Исследовать
наличие открытых портов сервера 217.71.139.228 и
определить тип операционной системы сервера. Определить наличие
уязвимостей, слабых паролей.
5.4. Исследовать
наличие открытых портов сервера 217.71.139.236 и
определить тип операционной системы сервера. Определить наличие
уязвимостей, слабых паролей.
17
5.5. Исследовать
наличие открытых
портов сервера 217.71.139.58 и
определить тип операционной системы сервера. Определить наличие
уязвимостей, слабых паролей.
5.6. Исследовать
наличие
открытых
портов
сервера
217.71.138.3
и
определить тип операционной системы сервера. Определить наличие
уязвимостей, слабых паролей.
6. Содержание отчета.
6.1. Цель работы.
6.2. Вариант задания.
6.3. Список
открытых
портов,
название
соответствующих
служб,
обнаруженные уязвимости, информация о типе и версии операционной
системы сервера, полученные с применением обоих программ.
6.4. Выводы о качестве сканирования уязвимостей разными программами.
7. Контрольные вопросы.
7.1. Дайте определение сканера уязвимостей.
7.2. Чем отличается сканирование серверов от их зондирования?
7.3. Опишите методы сканирования серверов.
7.4. Каковы этапы сканирования серверов?
7.5. Каковы наиболее типичные уязвимости серверов под управлением ОС
Windows?
7.6. Каковы наиболее типичные уязвимости серверов под управлением ОС
Linux?
7.7. Какая из использованных программ выявила больше уязвимостей на
одном и том же сервере?
18
ЛАБОРАТОРНАЯ РАБОТА № 3
НАСТРОЙКА ПРОГРАММНОГО МЕЖСЕТЕВОГО ЭКРАНА ОС LINUX
1. Цель работы: Изучить правила построения фильтров TCP/IP пакетов
(программного межсетевого экрана) в ОС LINUX.
2. Краткие теоретические сведения.
Во все ядра Linux, начиная с 2.0, встроено средство для фильтрации сетевых
пакетов. В версии 2.0 это ipfwadm, в 2.2 - ipchains, а в 2.4 и 2.6 - iptables. Мы
будем рассматривать последний вариант, как наиболее современный.
Принцип фильтрации заключается в следующем: когда через ядро проходит
пакет, он проверяется на совпадение с одним или несколькими правилами. При
этом в зависимости от этих правил он может быть пропущен (ACCEPT),
отброшен (DROP) или отклонен (REJECT). Кроме того, он может быть
отправлен на проверку в следующую цепочку правил. Здесь же можно указать,
что факт прохождения пакета, подходящего под определенное правило, должен
быть отмечен в syslog. Правила могут включать в себя проверку адреса/порта
источника/получателя, протокола, флагов TCP.
Для изменения используемого набора правил используется утилита iptables.
Все правила хранятся в памяти ядра и при перезагрузке сбрасываются. По этой
причине необходимо создать файл конфигурации, из которого правила
фильтрации
будут
/etc/rc.d/rc.firewall.
считываться
Это
обычный
при
загрузке
скрипт
машины.
оболочки,
Обычно
который
это
вызывает
/sbin/iptables с определенными параметрами, соответствующими составленным
правилам. Поэтому в большинстве дистрибутивов для изменения конфигурации
iptables необходимо отредактировать указанный файл и запустить его (этот
файл, как правило, автоматически выполняется при загрузке машины). После
чего можно посмотреть обновленную таблицу правил командой iptables -L.
19
Изначально существуют 3 цепочки, через которые пакеты входят на
фильтрацию. INPUT - для входящих пакетов, OUTPUT для исходящих и
FORWARD для проходящих через данную машину к другой. По мере движения
пакета по цепочке выполняется сравнение с критериями и по результатам
сравнения принимается решение о действии. Часть пакетов отбрасывается (на
разных этапах по разным причинам), часть (опять же лишь подходящие под
определенные правила) успешно выходит из фильтра. Оставшиеся (не
подошедшие ни под одно правило) следуют действию по умолчанию для этой
цепочки. Обычно таким действием делают DROP или REJECT, чтобы
пропускать лишь пакеты, подошедшие под вполне определенные правила. В
отличие от действия DROP в случае REJECT отправителю отсылается ICMP
пакет с сообщением об ошибке. Это создает дополнительный трафик, но в
соответствующих случаях приводит к тому, что отправитель перестает
посылать нам пакеты (DROP выглядит для отправителя как таймаут, т.е. пакеты
просто уходят и не приходит никакого подтверждения, а при REJECT он может
посчитать, что наш компьютер недоступен или не существует).
Формат командной строки утилиты iptables:
iptables [-t table] command [match] [target/jump]
Перечислим несколько правил формирования командной строки:
 Каждая строка, которую вы вставляете в ту или иную цепочку, должна
содержать отдельное правило.
 Нигде не утверждается, что описание действия (target/jump) должно стоять
последним в строке, мы, однако, будем придерживаться именно такой
нотации для удобочитаемости.
 по умолчанию предполагается использование таблицы filter , иначе требуется
указать имя таблицы [-t ].
 за именем таблицы, должна стоять команда. Если спецификатора таблицы
нет, то команда всегда должна стоять первой. Команда определяет действие
20
iptables, например: вставить правило, или добавить правило в конец цепочки,
или удалить правило и т.п.
 match задает критерии проверки.
 target указывает действие, которое должно быть выполнено при условии
выполнения критериев в правиле.
Пример файла rc.firewall с типичным набором правил:
#!/bin/sh
#Все сбросили
iptables -F
iptables -X COUNT
#---------------------------------#Правила по умолчаниию
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
#---------------------------------# разрешаем доступ к внутренней петле
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
#считаем все входящие пакеты ($$$)
#Создаем цепочку счетчиков
iptables -N COUNT
iptables -A INPUT -i eth0 -j COUNT
#---------------------------------# Разрешаем ходить пакетам icmp
iptables -A INPUT -p ICMP -j ACCEPT
iptables -A OUTPUT -p ICMP -j ACCEPT
#---------------------------------#Разрешаем соединения "запрошенные" с нашего компьютера. Избавляет
от некоторых видов атак
iptables -A INPUT -p TCP -m state --state ESTABLISHED,RELATED -j
ACCEPT
iptables -A INPUT -p UDP -m state --state ESTABLISHED,RELATED -j
ACCEPT
#Разрешаем пользовательские порты
iptables -A OUTPUT -p TCP --sport 32768:65535 -j ACCEPT
iptables -A OUTPUT -p UDP --sport 32768:65535 -j ACCEPT
#---------------------------------#Разрешаем порты SMB для доступа Windows-машин к нашему серверу
# Smb Данныые
iptables -A INPUT -i eth1 -p TCP --dport 137:139 -j ACCEPT
iptables -A INPUT -i eth1 -p UDP --dport 137:139 -j ACCEPT
iptables -A OUTPUT -o eth1 -p TCP --sport 137:139 -j ACCEPT
iptables -A OUTPUT -o eth1 -p UDP --sport 137:139 -j ACCEPT
21
#Smb служба имен
iptables -A INPUT -i eth1 -p UDP --sport 137 --dport 32768:65535 -j
ACCEPT
#---------------------------------#Разрешаем видеть нас как ВЕБ-сервер
iptables -A INPUT -p TCP --dport 80 -j ACCEPT
iptables -A OUTPUT -p TCP --sport 80 -j ACCEPT
#---------------------------------#Разрешаем видеть нас и как FTP -сервер
iptables -A INPUT -p TCP --dport 20:21 -j ACCEPT
iptables -A OUTPUT -p TCP --sport 20:21 -j ACCEPT
#---------------------------------#Разрешаем изнутри забирать почту по протоколу POP3
#iptables -A INPUT -i eth1 -p TCP --dport 110 -j ACCEPT
iptables -A OUTPUT -o eth1 -p TCP --sport 110 -j ACCEPT
#---------------------------------#Разрешаем обмен почтой по протоколу smtp
iptables -A INPUT -p TCP --dport smtp -j ACCEPT
iptables -A OUTPUT -p TCP --sport smtp -j ACCEPT
#---------------------------------#Разрешаем DNS обмен
iptables -A INPUT -p UDP --dport domain -j ACCEPT
iptables -A OUTPUT -p UDP --sport domain -j ACCEPT
#---------------------------------#Разрешаем доступ изнутри к прокси на порт 8080
iptables -A INPUT -i eth1 -p TCP --dport 8080 -j ACCEPT
iptables -A INPUT -i eth1 -p UDP --dport 8080 -j ACCEPT
iptables -A OUTPUT -o eth1 -p TCP --sport 8080 -j ACCEPT
iptables -A OUTPUT -o eth1 -p UDP --sport 8080 -j ACCEPT
#---------------------------------#Секция счетчиков
iptables -A COUNT
# Сколько всего пакетов
iptables -A COUNT -p icmp # Сколько ICMP пакетов
iptables -A COUNT -p tcp --dport smtp # Сколько приняли спама по
почте
iptables -A COUNT -j RETURN
iptables -L -v –x
3. Методические указания.
3.1. Приложения необхоимо запускать из командной строки, в программе
«Терминал».
3.2. При необходимости получения справки по утилитам и клиентским
приложениям, их нобходимо запускать с ключем /? или /h.
22
3.3. Результаты работы приложений, необходимые для отчета, следует,
убедившись в корректности их работы, перенаправлять в текстовый
файл.
4. Порядок выполнения работы
4.1. Создать таблицу фильтрации согласно варианту задания.
4.2. Исследовать прохождение и блокировку пакетов по заданным портам и
протоколам.
4.3. Зафиксировать результаты исследования.
5. Варианты заданий
Вариант 1
Разрешить
Запретить






По умолчанию
Вариант 2
Разрешить
Запретить







По умолчанию
Входящие
Исходящие
http(80)
 http(80)
domain
 domain
ftp,ftp-data
 ftp,ftp-data
icmp
 icmp
icmp c
 tcp 365
192.168.1.2
 udp 334
tcp c портов
20,21
192.168.1.2
запретить
разрешить
Счетчик- входящие icmp
Входящие
Исходящие
http(80)
 http(80)
domain
 domain
smpt
 smpt
ftp,ftp-data
 icmp
icmp
icmp c
 tcp 3682
192.168.1.7
 udp 16825
tcp c портов
17:30
192.168.1.2
запретить
разрешить
Счетчик- исходящие icmp
23
Транзитные
запретить
Транзитные
запретить
Входящие
Исходящие
 http(80)
 http(80)
 domain
 domain
 pop3
 smpt
 smtp
 pop3
 icmp
 icmp
 ftp,ftp-data
 порты
2048:65535
Запретить
 icmp c
 tcp 3682
192.168.1.7
 udp 16825
 c портов
17:30
192.168.1.2
По умолчанию
запретить
разрешить
Счетчик- входящие icmp c адреса 192.168.1.1
Входящие
Исходящие
Вариант 4
Разрешить
 ftp,ftp-data
 ftp,ftp-data
 domain
 smpt
 pop3
 pop3
 smtp
 icmp
 icmp
 порты 2048:65535
 порты
2048:65535
Запретить
 icmp c
 tcp 368:774
192.168.1.23
 udp 334:1658
 tcp на наш
хост к портам
3312,2234
По умолчанию
запретить
запретить
Счетчик- icmp, исходящие на 192.168.1.1
Входящие
Исходящие
Вариант 5
Разрешить
 telnet
 telnet
 domain
 domain
 ntp
 ntp
 smtp
 smtp
 icmp
 icmp
 ftp,ftp-data
 1024:65535
 1024:65535

Вариант 3
Разрешить
24
Транзитные
запретить
Транзитные
разрешить
Транзитные
Запретить
По умолчанию
Вариант 6
Разрешить
Запретить
По умолчанию
 icmp c
 tcp 368:774
192.168.1.15/3
 udp 334:1658
0
 udp на наш
хост к портам
1456,3333
запретить
запретить
Счетчик- входящие UDP
Входящие
Исходящие
 ssh
 Ssh
 domain
 domain
 ftp,ftp-data
 ftp,ftp-data
 smtp
 smtp
 icmp
 icmp
 1024:65535
 1024:65535
 icmp c
 tcp 368:774
192.168.1.15/3
 udp 334:1658
0
 udp на наш
хост к портам
1456,3333
запретить
запретить
Счетчик - исходящие UDP
6. Содержание отчета
6.1. Цель работы.
6.2. Вариант задания.
6.3. Текст файла rc.firewall.
6.4. Результаты прохождения пакетов через фильтр.
7. Контрольные вопросы.
7.1. Что такое межсетевой экран?
7.2. Каковы типовые действия фильтра над пакетами?
7.3. Какие цепочки правил имеются по умолчанию?
7.4. Синтаксис утилиты iptables.
25
запретить
Транзитные
разрешить
ЛАБОРАТОРНАЯ РАБОТА № 4
НАСТРОЙКА АППАРАТНОГО МЕЖСЕТЕВОГО ЭКРАНА DFL-800
1. Цель работы: Изучить настройки межсетевого экрана DFL-800, порядок
создания правил фильтрации на основе адресов и протоколов, настройки
трансляции портов, настройки аутентификации пользователей.
2. Краткие теоретические сведения.
DFL-800 – одна из наиболее распространенных моделей межсетевых экранов
(МСЭ) фирмы D-Link. С ее помощью можно: организовать лоступ из локальной
вычислительной сети (ЛВС) к сети Интернет с маршрутизацией и авторизацией
пользователей, настроить правила преобразования сетевых адресов (NAT),
осуществить трансляцию портов к серверам в ЛВС из сети Интернет, создать
виртуальную частную сеть (VPN), блокировать активное содержимое вебсайтов, а также ограничить доступ к определенным сайтам сети Интернет.
3. Методические указания.
3.1. Сетевые экраны поставляются с заводскими установками. Перед началом
работы необходимо запрограммировать их в соответствии с топологией
Вашей сети. К заводским установкам DFL-800 можно вернуться:
3.1.1. Через меню в GUI
3.1.2. Через командную строку
3.1.3. Через кнопку RESET (только для моделей DFL 210/800, для
сброса потребуется удерживать кнопку 10-15 секунд).
3.2.После заводского сброса в таблицу правил фильтрации автоматически
добавляется правило, позволяющее соединяться с устройством только
через LAN интерфейс (192.168.1.1). Имя пользователя/пароль после
заводского сброса: admin/admin.
26
По умолчанию можно обратиться
только к этому интерфейсу
3.3. IP адреса по умолчанию:
3.4. Список разделов WEBUI с кратким описанием:
3.4.1. Home – заглавная страница WebUI
3.4.2. Configuration – меню конфигурации
3.4.3. Save and Activate: Записать конфигурацию и активировать
изменения. Никакие изменения не будут приняты устройством
до тех пор, пока не будут записаны в устройство из этого меню.
3.4.4. Discard Changes: отменить все изменения, произведенные в
текущем сеансе.
3.4.5. Tools – меню инструментов
3.4.6. Ping – классическая ICMP эхо-локация (указывается размер и
число пакетов)
3.4.7. Backup – Архивирование и восстановление из архива текущей
конфигурации
3.4.8. Reset – сброс всех настроек и возврат к заводской конфигурации.
3.4.9. Upgrade – Обновление ПО межсетевого экрана.
3.4.10. Status – мониторинг устройства и состояния

System – Информация о статусе системы
27

Logging: Протоколы событий, сохраненные в памяти системы.

Connections: отображает активные сетевые соединения

Interfaces – отображает состояние сетевых интерфейсов

IPSec – информация о туннелях IPSec

Routes – информация о текущей таблице маршрутизации

DHCP – информация о DHСP сервисе, его статусе и состоянии

IDS: Состояние «интеллектуального анализатора информации
(Intrusion Detection System)»

SLB Состояние сервиса Server Load Balancing – балансировка
нагрузки между кластером из серверов
3.5. Понятие демилитаризованной зоны.
Демилитаризованная зона - (DMZ, Demilitarized Zone) - это технология,
предназначенная для предоставления доступа к локальным (то есть
находящимися за маршрутизатором и защищенных NAT-ом) серверам
(таким, как почтовый, WWW, FTP) пользователям из Интернет. В этой
технологии запрос извне на любой порт внешнего (WAN) интерфейса
отображается на такой же порт компьютера, указанного в настройках
DMZ. При использовании вместо аппаратного межсетевого экрана
стандарного
пакетного
фильтра
необходимо
конфигурировать
iptables
аналогичные
линейки
решения
UNIX-систем
посредством
технологии DNAT.
4. Порядок выполнения работы.
4.1. Выполнить первичную настройку:
 Подключить устройство к компьютеру через один из портов LAN
 Настроить в сетевом окружении компьютера адрес из сети 192.168.1.Х
 Подключиться к устройству через веб - интерфейс по адресу
192.168.1.1
 Изучить систему вертикальных и горизонтальных меню
28
 Установить корректную дату и время в устройстве (System->Date
and time)
 Добавить учетную запись «Admin2» (User Authentication->Local User
Databases->AdminUsers) с возможностью управлять устройством
 Добавить учетную запись «View», не обладающую правами на
изменение, но с возможностью просмотра конфигурации устройства
 Настроить функции удаленного управления устройством (HTTP,
LAN1)
 Изучить вкладку Interfaces->Ethernet. Установить IP адреса устройства:
 WAN1 192.168.10.[100-109] (в соответствии с номером рабочего
места );
 Установите маршрут по умолчанию 192.168.10.1, маску сети- 24
бит.
 WAN2 192.168.2.[1-9] (в соответствии с номером рабочего места )
 DMZ 192.168.0.1
 LAN 192.168.6.1
 Записать изменения, сменить адрес компьютера в сетевом окружении
на адрес из сети 192.168.6.Х, указать первичный DNS-сервер, войти в
GUI управления устройством по новому адресу.
 Установить настройки DNS
 Посмотретт протокол событий в STATUS->Log Status
 Выгрузить
настройку
устройства
на
локальный
компьютер
(Maintenance - Backup).
 Выполнить полный сброс устройства кнопкой на задней панели
(необходимо удерживать кнопку около 10-15 секунд)
 Восстановить конфигурацию в устройстве из сохраненного файла
(Maintenance-Backup-Upload)
29
4.2. Выполнить настройку логических объектов (Adders book) и базовой
маршрутизации:
 Создать папку в Address book “my_settings”
 Создать папку в Address book “EMPTY”
 Удалить папку «EMPTY» (InterfaceAddresses-> правой кнопкой откроется меню - удалить)
 Создать запись “default_router” c ip 192.168.10.1
 Создать запись «primary_dns» с ip 217.71.139.225
 Создать запись «secondary_dns» c ip 217.71.139.65
 Создать запись «ALL_INET» c ip 0.0.0.0/0
 Coздать запись “nstu.ru” с ip 217.71.131.244
 Задать основной сервер во вкладке DNS
 Задать резервный сервер во вкладке DNS
 Настроить основной маршрут для интерфейса WAN1 - default_router
 Применить изменения
 Выгрузить конфигурацию на компьютер. Эта конфигурация будет
начальной для дальнейшей работы, если будет необходимо откатиться
к заводской конфигурации.
 Собрать конфигурацию как на рисунке:
DFL-800
Стойка
WAN1
WAN2
DMZ
компьютер
LAN
Рисунок 1. Конфигурация сети для настройки маршрутизации.
30
 Проверить доступность DNS сервера при помощи вкладки TOOLPING.
4.3. Создать правила фильтрации на основе адресов и протоколов в режиме
NAT:
 Удалить все записи из Rules->IP-Rules->Lan_to_wan
 Создать запись, разрешающую Ping на внешний интерфейс (destination
- core)
 Создать запись для NAT с адресов интерфейса LAN1 -> WAN1 по
протоколу http c защитой от SYN-FLOOD с policy ALLOW .
 Создать запись для NAT с адресов интерфейса LAN1 -> WAN1 по
протоколу DNS-all с policy ALLOW . Сохранить изменения. Проверить
доступность сервера www.nstu.ru с компьютера.
 Установить scheduling с временем, соответствующим текущему.
Сохранить изменения. Проверить доступность сервера www.nstu.ru с
компьютера.
 Установить scheduling с временем, не соответствующим текущему.
Сохранить изменения. Проверить доступность сервера www.nstu.ru с
компьютера.
 Изменить запись, разрешающую доступ http наружу, на policy DROP.
Сохранить изменения. Проверить доступность www.nstu.ru .
4.4. Выполнить настройку трансляции портов.
 Для
проверки
работоспособности
задания
необходимо
сконфигурировать правила dmz_to_wan1; wan1_to_dmz; а именно
разрешить http-all, как показано на рис. 2.
31
Рисунок 2а. Насторйка порта DMZ.
Рисунок 2б. Насторйка переадресации в DMZ.
 Построить сеть, как указано на рисунке 3.
 В качестве модели веб-севера, размещенного в сегменте DMZ будет
использоваться точка доступа DWL2100AP в базовой заводской
конфигурации ( ip адрес 192.168.0.50 )
 IP адрес компьютера должен быть сконфигурирован из одной сети с
интерфейсом
WAN
и
не
должен
конфликтовать
с
другими
компьютерами (в случае включения в один коммутатор.). По
умолчанию wan имеет ip 192.168.110.254.
32
DFL-800
WAN1
Коммутатор
WAN2
Точка
доступа
DWL2100
DMZ
LAN
компьютер
Рисунок 3. Конфигурация сети для проверки настроек трансляции портов.
 Изменить ip адрес dmz на 192.168.0.1 и dmznet на 192.168.0.0/24
 В точке доступа указать шлюз 192.168.0.1
 В Objects, выбрать Address Book, а затем Interface Addresses – > add ip
address. private_ip
192.168.0.50 – это реальный ip адрес сервера, к
которому будем подключаться из внешней сети.
 Добавить ip адрес с именем public_ip 192.168.110.200 (из одной
подсети с wan) – это адрес по которому будет доступен сервер из
внешней сети.
 Кликнуть по значку «+» рядом с папкой Interfaces, выбрать ARP,
кликнуть по Add, чтобы добавить запись ARP. Настроить ARP entry
следующим образом:
Mode: Publish
Interface: wan1
IP Address: public_ip
 В папке Rules выбрать IP Rules. Кликнуть по Add и затем выбрать из
выпадающего меню IP Rule Folder. Ввести имя port_mapping.
33
 Добавить правило
Name: allow_sat
Action: SAT
Service: http-all
Schedule: None
Source interface: any
Source network: all-nets
Destination interface: any
Destination network: public_ip
 Кликнуть по вкладке SAT, а затем зайди в выпадающее меню New IP
Address и выбрать private_ip. Поставить галочку в поле All-to-One
Mapping: rewrite all destination IPs to a single IP. Кликнуть по OK.
 Добавить правило
Name: allow_http
Action: Allow
Service: http-all
Schedule: None
Source interface: any
Source network: all-nets
Destination interface: any
Destination network: public_ip
 Применить изменения : Configuration ->Save and Activate -> ok.
 C компьютера из внешней сети – wan в браузере попробовать зайти на
адрес 192.168.110.200. МСЭ должен перебросить доступ на порт dmz и
открыть web-интерфейс точки доступа, адрес которой 192.168.0.50
4.5. Настроить аутентификацию пользователей
 Построить структуру сети, как на рис 1.
 Создать группу пользователей в локальной базе данных, куда будут
добавлены аккаунты.
 Создать аккаунт пользователя (User_Autentification).
 Изменить
порт
UI
на
82
для
исключения
(Remote_managment -> Advanced -> WebUIPort).
34
конфликтов
 Настроить User_Autentification_rules
 Создать объект «группа адресов», которые потребуют аутентификацию
(сети LAN 192.168.6.X)
 Создать правило NAT для «группы адресов»
 Сохранить изменения
 Выполнить
аутентификацию
в
системе
(на
внутренний
адрес
устройства)
 Проверить доступность http сервера 217.71.139.65 (ait.cs.nstu.ru)
5. Варианты заданий. Отличаются ip-адресами рабочих станций.
6. Содержание отчета.
6.1. Цель работы.
6.2. Вариант задания.
6.3. Скриншоты
результатов проверки функционирования межсетевого
экрана.
7. Контрольные вопросы.
7.1. Что такое межсетевой экран?
7.2. В чем отличие программых и аппаратных межсетевых экранов?
7.3. Зачем нужна трансляция сетевых адресов?
7.4. Что такое демилитаризованная зона и зачем она нужна?
7.5. Как создаются правила фильтрации пакетов?
7.6. Зачем нужен проброс портов?
7.7. Какие преимущества дает аутентификация пользователей межсетевым
экраном?
35
Список литературы
1. Расторгуев С. П. Основы информационной безопасности : [учебное пособие
для вузов по специальностям "Компьютерная безопасность" [и др.] / С. П.
Расторгуев. - М., 2007. - 186, [1] с.
2. Арутюнов В. В. Защита информации : учебно-методическое пособие / В. В.
Арутюнов. - М., 2008. - 55 с.
3. Сайт по дисциплине http://gun.cs.nstu.ru/sir
36
БЕЗОПАСНОСТЬ ИНФОРМАЦИОННЫХ РЕСУРСОВ
Методические указания к лабораторным работам
Редактор
Технический редактор
Лицензия № 021040 от 22.02.96. Подписано в печать
___.___.___.
Формат
60 х 84 1/16.
Бумага
оберточная.
Тираж 50 экз.
Уч.-изд.л. 2,0. Печ.л. 2. Изд. № ______. Заказ № ______ Цена договорная
Отпечатано в типографии
Новосибирского государственного технического университета
630092, г. Новосибирск, пр. К. Маркса, 20
Скачать