📄Работа №161394
Тема: ЗАЩИЩЕННЫЙ DNS-КЛИЕНТ
Характеристики работы
Тип работы
Дипломные работы, ВКР
Предмет
Информационная безопасность
Объем:
140 листов
Год:
2019
Просмотров:
78
4250
руб.
🛒 Купить работу
Не подходит эта работа?
Закажите новую по вашим требованиям
Узнать цену на написание
Закажите новую по вашим требованиям
Представленный материал является образцом учебного исследования, примером структуры и содержания учебного исследования по заявленной теме. Размещён исключительно в информационных и ознакомительных целях.
Workspay.ru оказывает информационные услуги по сбору, обработке и структурированию материалов в соответствии с требованиями заказчика.
Размещение материала не означает публикацию произведения впервые и не предполагает передачу исключительных авторских прав третьим лицам.
Материал не предназначен для дословной сдачи в образовательные организации и требует самостоятельной переработки с соблюдением законодательства Российской Федерации об авторском праве и принципов академической добросовестности.
Авторские права на исходные материалы принадлежат их законным правообладателям. В случае возникновения вопросов, связанных с размещённым материалом, просим направить обращение через форму обратной связи.
Настоящий учебно-методический информационный материал размещён в ознакомительных и исследовательских целях и представляет собой пример учебного исследования. Не является готовым научным трудом и требует самостоятельной переработки.
📋 Содержание
Введение 4
1 Система доменных имен 8
2 Оценка рисков информационной безопасности DNS-клиента 12
2.1 Определение ценности активов 12
2.2 Идентификация угроз информационной безопасности 13
2.3 Идентификация уязвимостей 19
2.4 Идентификация сценариев инцидентов 21
2.5 Оценивание рисков DNS-клиента 23
3 Выбор способа обработки рисков 30
4 Выбор защитных мер 33
5 Разработка архитектуры DNS-клиента 42
6 Программная реализация функции DNS-запроса для прикладных
программ 52
7 Программная реализация защищенного DNS-клиента 61
7.1 Реализация главной функции 61
7.2 Реализация функции подключения к именованному каналу 68
7.3 Реализация функции принятия DNS-запроса от программы 69
7.4 Реализация функции обработки принятого DNS-ответа 88
7.5 Реализация функции журналирования DNS-клиента 117
8 Проверка работоспособности DNS-клиента 120
9 Разработка руководства пользователя DNS-клиента 127
10 Вредные психофизиологические факторы, влияющие на
психоэмоциональное состояние специалиста по защите информации. Методы и средства физической культуры, снижающие их воздействие 128
Заключение 130
Список используемых источников 131
Приложение А Диаграмма вариантов использования 133
Приложение Б Руководство пользователя DNS-клиента
1 Система доменных имен 8
2 Оценка рисков информационной безопасности DNS-клиента 12
2.1 Определение ценности активов 12
2.2 Идентификация угроз информационной безопасности 13
2.3 Идентификация уязвимостей 19
2.4 Идентификация сценариев инцидентов 21
2.5 Оценивание рисков DNS-клиента 23
3 Выбор способа обработки рисков 30
4 Выбор защитных мер 33
5 Разработка архитектуры DNS-клиента 42
6 Программная реализация функции DNS-запроса для прикладных
программ 52
7 Программная реализация защищенного DNS-клиента 61
7.1 Реализация главной функции 61
7.2 Реализация функции подключения к именованному каналу 68
7.3 Реализация функции принятия DNS-запроса от программы 69
7.4 Реализация функции обработки принятого DNS-ответа 88
7.5 Реализация функции журналирования DNS-клиента 117
8 Проверка работоспособности DNS-клиента 120
9 Разработка руководства пользователя DNS-клиента 127
10 Вредные психофизиологические факторы, влияющие на
психоэмоциональное состояние специалиста по защите информации. Методы и средства физической культуры, снижающие их воздействие 128
Заключение 130
Список используемых источников 131
Приложение А Диаграмма вариантов использования 133
Приложение Б Руководство пользователя DNS-клиента
📖 Аннотация
Работа посвящена разработке защищенного DNS-клиента для операционной системы Windows 10. Актуальность исследования обусловлена фундаментальными уязвимостями протокола DNS, изначально не учитывавшего вопросы безопасности, что делает клиентскую сторону критически важным объектом для атак, таких как подмена ответов (spoofing) и отравление кэша. В ходе работы был проведен анализ угроз и оценка рисков информационной безопасности DNS-клиента, на основе которых выбраны и программно реализованы комплексные защитные механизмы, соответствующие современным RFC. К ним относятся использование TSIG для аутентификации транзакций, реализация DNS Cookies, применение метода 0x20 для повышения устойчивости к подделке ответов, случайный выбор сервера из пула, а также криптографическая защита локального файла hosts. Практическим результатом является готовое к использованию программное обеспечение, включающее библиотеку для интеграции с прикладными программами и утилиту DNSLookup для тестирования, что подтверждает выполнение всех требований технического задания. Разработанный клиент может быть внедрен в корпоративных сетях и системах, требующих повышенной отказоустойчивости и безопасности DNS-резолвинга, обеспечивая защиту от широкого спектра известных атак.
📖 Введение
DNS служба является критичным и важным компонентом сети Интернет. Она предназначена для преобразования доменных имен, удобных для пользователей, в IP-адреса и представляет собой иерархически организованную распределенную базу данных.
Центральная роль службы DNS делает ее, с одной стороны, желанной целью атакующего, поскольку нарушение работы DNS наносит огромный ущерб работе сети, а с другой мощным средством для проведения атак на другие сетевые программные средства. При разработке DNS протокола в 1980-х годах безопасность не была приоритетом.
Актуальность данной темы обусловлена, тем что система DNS является мощным средством для проведения атак на другое системное и прикладное ПО, и именно DNS-клиент принимает решение, какие DNS-ответы принять, а какие отбросить и не передавать прикладным программам, значит особое внимание безопасности необходимо уделить именно DNS-клиенту. Кроме того, в квалификационной работе будут реализованы защитные механизмы, которые отсутствуют в стандартном DNS-клиенте в ОС Windows 10, а именно:
— использование протокола TSIG;
— выбор случайного DNS-сервера;
— использование букв разного регистра в доменном имени при запросе;
— подпись файла hosts, содержащего локальную базу данных доменных имен, с помощью вычисления хеш-суммы с ключом;
— аутентификация DNS-клиента и DNS-сервера с помощью DNS- Cookies.
Целью дипломного проекта является разработка защищенного DNS- клиента. Защищенный DNS-клиент предназначен для безопасного выполнения DNS-запросов к DNS-серверам и получения DNS-ответов на них.
Требования для защищенного DNS-клиента следующие:
— DNS-клиент должен функционировать в операционной системе Windows 10;
— DNS-клиент должен поддерживать типы DNS-записей, описанные в RFC 1035 «Domain names - implementation and specification»:
— узел IPv4 (тип A);
— узел IPv6 (тип AAAA);
— псевдоним (тип CNAME);
— ответственный DNS-сервер (тип NS);
— расположение службы (тип SRV);
— почтовый сервер (тип MX);
— указатель (тип PTR);
— текст (тип TXT);
— DNS-клиент должен поддерживать тип DNS-записи OPT,
описанный в RFC 1035 «Extension Mechanisms for DNS (EDNS(0))»;
— DNS-клиент должен поддерживать тип DNS-записи TSIG,
описанный в RFC 2845 «Secret Key Transaction Authentication for DNS»;
— DNS-клиент должен поддерживать отправку DNS-запросов с использованием протоколов транспортного уровня TCP и UDP;
— в DNS-клиенте должны быть реализованы следующие защитные механизмы из RFC 5452 «Measures for Making DNS More Resilient against Forged Answers»:
— DNS-клиент должен отклонить DNS-ответ, если секции
«запрос» отправленного и принятого DNS-пакета не совпадают;
— DNS-клиент должен отклонить DNS-ответ, если
идентификатор DNS-ответа не совпадает с идентификатором DNS-запроса;
— DNS-клиент должен отклонить DNS-ответ, если IP-адрес и порт DNS-сервера не совпадают в DNS-запросе и DNS-ответе;
DNS-клиент должен отправлять DNS-запросы со случайного порта;
— идентификатор DNS-запроса должен быть случайным;
— при получении трёх некорректных DNS-ответов, инкапсулированных в UDP-датаграммы, DNS-клиент должен отправить повторно DNS-запрос по протоколу TCP;
— DNS-клиент должен игнорировать принятые DNS-ответы, которые содержат доменные имена, не относящиеся к доменному имени из секции «запрос»;
— в DNS-клиенте должно быть реализовано использование случайного регистра букв в имени домена при DNS-запросе по RFC «Use of Bit 0x20 in DNS Labels to Improve Transaction Identity»;
— в DNS-клиенте должен быть реализован механизм случайного выбора DNS-сервера;
— DNS-клиент должен иметь возможность подписывать файл hosts, содержащий локальную базу данных доменных имен;
— DNS-клиент должен поддерживать протокол TSIG по RFC 2845 «Secret Key Transaction Authentication for DNS» для проверки подлинности DNS-сервера и целостности DNS-ответов;
— DNS-клиент должен поддерживать механизм DNS Cookie по RFC 7873 «Domain Name System (DNS) Cookies» для аутентификации DNS-клиента и DNS-сервера;
— в DNS-клиенте должно быть реализовано ведение журнала аудита DNS-клиента.
В ходе дипломного проектирования будут рассмотрены следующие вопросы:
— описание DNS-клиента;
— описание угроз информационной безопасности DNS-клиента;
— описание уязвимостей DNS-клиента;
— оценка рисков информационной безопасности DNS-клиента;
— описание выбранных защитных мер DNS-клиента;
— разработка архитектуры DNS-клиента;
— реализация защищенного DNS-клиента;
— проверка работоспособности DNS-клиента;
— обзор вредных психофизиологические факторов, влияющих на психоэмоциональное состояние специалиста по защите информации и методов и средств физической культуры, снижающие их воздействие;
— разработка руководства пользователя DNS-клиента.
Центральная роль службы DNS делает ее, с одной стороны, желанной целью атакующего, поскольку нарушение работы DNS наносит огромный ущерб работе сети, а с другой мощным средством для проведения атак на другие сетевые программные средства. При разработке DNS протокола в 1980-х годах безопасность не была приоритетом.
Актуальность данной темы обусловлена, тем что система DNS является мощным средством для проведения атак на другое системное и прикладное ПО, и именно DNS-клиент принимает решение, какие DNS-ответы принять, а какие отбросить и не передавать прикладным программам, значит особое внимание безопасности необходимо уделить именно DNS-клиенту. Кроме того, в квалификационной работе будут реализованы защитные механизмы, которые отсутствуют в стандартном DNS-клиенте в ОС Windows 10, а именно:
— использование протокола TSIG;
— выбор случайного DNS-сервера;
— использование букв разного регистра в доменном имени при запросе;
— подпись файла hosts, содержащего локальную базу данных доменных имен, с помощью вычисления хеш-суммы с ключом;
— аутентификация DNS-клиента и DNS-сервера с помощью DNS- Cookies.
Целью дипломного проекта является разработка защищенного DNS- клиента. Защищенный DNS-клиент предназначен для безопасного выполнения DNS-запросов к DNS-серверам и получения DNS-ответов на них.
Требования для защищенного DNS-клиента следующие:
— DNS-клиент должен функционировать в операционной системе Windows 10;
— DNS-клиент должен поддерживать типы DNS-записей, описанные в RFC 1035 «Domain names - implementation and specification»:
— узел IPv4 (тип A);
— узел IPv6 (тип AAAA);
— псевдоним (тип CNAME);
— ответственный DNS-сервер (тип NS);
— расположение службы (тип SRV);
— почтовый сервер (тип MX);
— указатель (тип PTR);
— текст (тип TXT);
— DNS-клиент должен поддерживать тип DNS-записи OPT,
описанный в RFC 1035 «Extension Mechanisms for DNS (EDNS(0))»;
— DNS-клиент должен поддерживать тип DNS-записи TSIG,
описанный в RFC 2845 «Secret Key Transaction Authentication for DNS»;
— DNS-клиент должен поддерживать отправку DNS-запросов с использованием протоколов транспортного уровня TCP и UDP;
— в DNS-клиенте должны быть реализованы следующие защитные механизмы из RFC 5452 «Measures for Making DNS More Resilient against Forged Answers»:
— DNS-клиент должен отклонить DNS-ответ, если секции
«запрос» отправленного и принятого DNS-пакета не совпадают;
— DNS-клиент должен отклонить DNS-ответ, если
идентификатор DNS-ответа не совпадает с идентификатором DNS-запроса;
— DNS-клиент должен отклонить DNS-ответ, если IP-адрес и порт DNS-сервера не совпадают в DNS-запросе и DNS-ответе;
DNS-клиент должен отправлять DNS-запросы со случайного порта;
— идентификатор DNS-запроса должен быть случайным;
— при получении трёх некорректных DNS-ответов, инкапсулированных в UDP-датаграммы, DNS-клиент должен отправить повторно DNS-запрос по протоколу TCP;
— DNS-клиент должен игнорировать принятые DNS-ответы, которые содержат доменные имена, не относящиеся к доменному имени из секции «запрос»;
— в DNS-клиенте должно быть реализовано использование случайного регистра букв в имени домена при DNS-запросе по RFC «Use of Bit 0x20 in DNS Labels to Improve Transaction Identity»;
— в DNS-клиенте должен быть реализован механизм случайного выбора DNS-сервера;
— DNS-клиент должен иметь возможность подписывать файл hosts, содержащий локальную базу данных доменных имен;
— DNS-клиент должен поддерживать протокол TSIG по RFC 2845 «Secret Key Transaction Authentication for DNS» для проверки подлинности DNS-сервера и целостности DNS-ответов;
— DNS-клиент должен поддерживать механизм DNS Cookie по RFC 7873 «Domain Name System (DNS) Cookies» для аутентификации DNS-клиента и DNS-сервера;
— в DNS-клиенте должно быть реализовано ведение журнала аудита DNS-клиента.
В ходе дипломного проектирования будут рассмотрены следующие вопросы:
— описание DNS-клиента;
— описание угроз информационной безопасности DNS-клиента;
— описание уязвимостей DNS-клиента;
— оценка рисков информационной безопасности DNS-клиента;
— описание выбранных защитных мер DNS-клиента;
— разработка архитектуры DNS-клиента;
— реализация защищенного DNS-клиента;
— проверка работоспособности DNS-клиента;
— обзор вредных психофизиологические факторов, влияющих на психоэмоциональное состояние специалиста по защите информации и методов и средств физической культуры, снижающие их воздействие;
— разработка руководства пользователя DNS-клиента.
✅ Заключение
В ходе работы было произведено описание принципа работы системы DNS и DNS-клиента. Были идентифицированы и описаны угрозы информационной безопасности DNS-клиента. Были идентифицированы и описаны уязвимости DNS-клиента. Была произведена оценка рисков информационной безопасности DNS-клиента. Были описаны выбранные защитные меры DNS-клиента.
Была разработана архитектура DNS-клиента. Была разработана диаграмма вариантов использования и алгоритмы работы DNS-клиента.
Была выполнена программная реализация DNS-клиента, библиотека для работы с DNS-клиентом для прикладных программ и утилита DNSLookup для проверки работоспособности DNS-клиента.
С помощью разработанной утилиты DNSLookup была проведена проверка работоспособности DNS-клиента.
Было разработано руководство пользователя DNS-клиента.
Были изучены вредные психофизиологические факторы, влияющие на психоэмоциональное состояние специалиста по защите информации, а так же методы и средств физической культуры, снижающие их воздействие.
Таким образом, все пункты технического задания выполнены в полном объеме.
Была разработана архитектура DNS-клиента. Была разработана диаграмма вариантов использования и алгоритмы работы DNS-клиента.
Была выполнена программная реализация DNS-клиента, библиотека для работы с DNS-клиентом для прикладных программ и утилита DNSLookup для проверки работоспособности DNS-клиента.
С помощью разработанной утилиты DNSLookup была проведена проверка работоспособности DNS-клиента.
Было разработано руководство пользователя DNS-клиента.
Были изучены вредные психофизиологические факторы, влияющие на психоэмоциональное состояние специалиста по защите информации, а так же методы и средств физической культуры, снижающие их воздействие.
Таким образом, все пункты технического задания выполнены в полном объеме.
ИЛИ
Поиск аналога
📕 Список литературы
🛒 Оформить заказ
⚡ Работу высылаем в течении 5 минут после оплаты.