4 курс ИБ. 7 модели безопасности основных ос
 Скачать 1.72 Mb.
|
|
АУТЕНФИКАЦИЯ ПОЛЬЗОВАТЕЛЕЙ ПРИ РАБОТЕ с ftp:FireWall позволяет администратору установить различные режимы работы с интерактивными сервисами FTP и telnet для различных пользователей и групп пользователей. При установленном режиме аутентификации, FireWall заменяет стандартные FTP и telnet, демоны UNIX на свои собственные, располагая их на шлюзе, закрытом с помощью модулей фильтрации пакетов. Пользователь, желающий начать интерактивную сессию по FTP или telnet (это должен быть разрешенный пользователь и в разрешенное для него время), может сделать это только через вход на такой шлюз, где и выполняется вся процедура аутентификации. Она задается при описании пользователей или групп пользователей и может проводиться следующими способами: Unix-пароль; программа S/Key генерации одноразовых паролей; карточки SecurID с аппаратной генерацией одноразовых паролей. ГИБКИЕ АЛГОРИТМЫ ФИЛЬТРАЦИИ udp-пакетов, динамическое экранирование: UDP-протоколы, входящие в состав набора TCP/IP, представляют собой особую проблему для обеспечения безопасности. С одной стороны на их основе создано множество приложений. С другой стороны, все они являются протоколами «без состояния», что приводит к отсутствию различий между запросом и ответом, приходящим извне защищаемой сети. Пакет FireWall решает эту проблему созданием контекста соединений поверх UDP-сессий, запоминая параметры запросов. Пропускаются назад только ответы внешних серверов на высланные запросы, которые однозначно отличаются от любых других UDP-пакетов (незаконных запросов), поскольку их параметры хранятся в памяти FireWall. Подобные механизмы задействуются для приложений, использующих RPC, и для FTP-сеансов. Здесь возникают проблемы, связанные с динамическим выделением портов для сеансов связи, которые FireWall отслеживает аналогичным образом, запоминая необходимую информацию при запросах на такие сеансы и обеспечивая только «законный» обмен данными. 10.5 Ограничение доступа в WWW серверах Применяются два основных способа: – ограничить доступ по IP адресам клиентских машин; – ввести идентификатор получателя с паролем для данного вида документов. Такого рода ввод ограничений стал использоваться достаточно часто, т. к. многие стремятся в Internet, чтобы использовать его коммуникации для доставки своей информации потребителю. 11 ЗАЩИТА ИНФОРМАЦИИ В СЕТЯХ Потенциальные угрозы безопасности информации в ЛВС. Система защиты от НСД в ЛВС: от преднамеренного и случайного НСД. Средства управления защитой в ЛВС. Архивирование данных. Схема системы защиты информации в ЛВС. Оценка уровня безопасности от преднамеренного НСД в ЛВС. Любой способ соединения двух и более компьютеров с целью распределения ресурсов – файлов, принтеров и т. п. – можно назвать сетью. ЛОКАЛЬНАЯ ВЫЧИСЛИТЕЛЬНАЯ СЕТЬ (ЛВС) представляет собой тип сети, объединяющий близко расположенные системы, как правило, в пределах группы сотрудников или отдела предприятия. Все устройства ЛВС способны обмениваться информацией друг с другом непосредственно. Отдельные локальные сети объединяются в региональную вычислительную сеть (wideareanetwork) – WAN. Самое ОСНОВНОЕ СВОЙСТВО локальной сети – доступ к сетевым ресурсам. За этой простотой стоит многое, чем пользователь рабочей станции может не подозревать. Так СЕТЕВОЕ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ делится на три категории: – ПО управления сетевой платой; – ПО, выполняющее правила (или протокол) общения в сети; – ПО сетевой операционной системы. ОПЕРАЦИОННАЯ СИСТЕМА РАБОЧЕЙ СТАНЦИИ – не единственная ОС в локальной сети. На файловом сервере работает особая ОС, называемая сетевой ОС (СОС). Если ЛВС поддерживает только одну операционную систему, т. е. имеет однородный состав узлов (компьютер или сервер с установленными в них сетевыми адаптерами), то такая локальная сеть называется ГОМОГЕННОЙ (или однородной), в противном случае– ГЕТЕРОГЕННОЙ (или разнородной). ЛВС бывают ДВУХ основных типов: равноправные (или одноранговые) и с выделенным сервером. В РАВНОПРАВНОЙ локальной сети все узлы равноправны: любая рабочая станция (РСТ) может выступать по отношению к другой как клиент или как сервер. В сети С ВЫДЕЛЕННЫМ СЕРВЕРОМ все клиенты общаются с центральным сервером. ОДНОРАНГОВЫЕ СЕТИ обладают меньшими функциональными возможностями по сравнению с сетями на основе выделенного сервера. В частности, ПРОБЛЕМЫ ЦЕНТРАЛИЗОВАННОЙ ЗАЩИТЫ ресурсов и данных в таких сетях часто не разрешимы, так как каждый пользователь сам контролирует доступ к своей системе. По мере роста размеров таких сетей они быстро становятся неуправляемыми. Равноправные СОС хороши для мелких сетей и идеальны в случае необходимости объединения лишь нескольких машин в целях коллективного применения специальных файлов и принтеров, КОГДА НЕ ТРЕБУЕТСЯ ЦЕНТРАЛИЗОВАННОГО АДМИНИСТРИРОВАНИЯ. Но иногда доступ к некоторым ресурсам должен быть представлен лишь определенным пользователям, и администратору требуется управлять такими ресурсами. ПО СЕРВЕРА обеспечивает ЦЕНТРАЛИЗОВАННОЕ АДМИНИСТРИРОВАНИЕ и защиту, и управляет доступом к ресурсам при помощи РЕКОНФИГУРИРУЕМЫХ БЮДЖЕТОВ пользователей. Администратор сети контролирует эти бюджеты и определяет, что должен видеть и делать пользователь, зарегистрированный в сети. 11.1 Потенциальные угрозы безопасности информации в ЛВС В общем случае автономную ЛВС можно представить как сеть, элементами которой являются малые комплексы средств автоматизации – ПЭВМ с различным набором внешних устройств, а каналами связи – кабельные магистрали. ПОТЕНЦИАЛЬНЫЕ УГРОЗЫ – это попытки несанкционированного доступа с целью модификации, разрушения, хищения информации или ознакомления с нею. Возможные каналы несанкционированного доступа к информации в ЛВС такие же, как в больших вычислительных сетях. Отличием ЛВС, учитывая её относительно малую территорию размещения, является возможность расположения каналов связи ЛВС на охраняемой территории, что значительно сокращает количество потенциальных нарушителей и в некоторых менее ответственных системах позволяет с целью экономии уменьшить прочность защиты информации в кабельных линиях связи. Малые габариты компьютера позволяют разместить его на столе в отдельном защищённом помещении и облегчают, с одной стороны, проблему контроля доступа к его внутренним линиям связи и монтажу устройств. С другой стороны, возникает ВОПРОС КОНТРОЛЯ ЦЕЛОСТНОСТИ ЛВС, т. е. схемы соединений сети, так как ЛВС – система по своей идее децентрализованная. Также возникает вопрос: А ВСЕГДА ЛИ НЕОБХОДИМ ТАКОЙ КОНТРОЛЬ? Считается, что в очень маленьких ЛВС с парой компьютеров, которые разделяют жёсткий диск и принтер, диагностика является излишеством. Но по мере РОСТА сети возникает необходимость в мониторинге сети и её диагностике. Большинство ЛВС имеют ПРОЦЕДУРЫ САМОТЕСТИРОВАНИЯ низкого уровня, которые должны запускаться при включении сети. Эти тесты обычно охватывают кабель, конфигурацию аппаратных средств, в частности плату интерфейса сети. В составе БОЛЬШИХ ЛВС предусматриваются сложные системы с двойным назначением – МОНИТОРИНГОМ И ДИАГНОСТИКОЙ. ЦЕНТР УПРАВЛЕНИЯ СЕТЬЮ (ЦУС) – это пассивное мониторинговое устройство, КОТОРОЕ СОБИРАЕТ ДАННЫЕ о потоках сообщений в сети, её характеристиках, сбоях, ошибках и т. д. Данные о потоках сообщений показывают, КТО пользуется сетью, а также КОГДА и КАК она применяется. Однако упомянутые выше средства диагностики ЛВС НЕ ОБНАРУЖИВАЮТ несанкционированное подключение к сети ПОСТОРОННЕЙ ЭВМ. Отключение компьютера от сети контролируется, иногда с перерывами по желанию оператора или по запросу пользователя. В больших ЛВС (до 10 км) кабельные линии могут выходить за пределы охраняемой территории или в качестве линий связи могут использоваться телефонные линии связи обычных АТС, на которых информация может подвергнуться несанкционированному доступу. Кроме того, сообщения в локальной сети МОГУТ БЫТЬ ПРОЧИТАНЫ НА ВСЕХ ЕЕ УЗЛАХ, несмотря на специфические сетевые адреса. Посредством пользовательских модификаций последних все узлы сети могут считывать данные, циркулирующие в данной ЛВС. Таким образом, в число возможных КАНАЛОВ преднамеренного несанкционированного доступа к информации для ЛВС входят: – доступ в ЛВС со стороны штатной ПЭВМ; – доступ в ЛВС со стороны кабельных линий связи. НЕСАНКЦИОНИРОВАННЫЙ ДОСТУП СО СТОРОНЫ ШТАТНОЙ ПЭВМ (включая серверы) возможен по каналам для автономного режима её работы. Здесь необходимо защищаться и от пользователя-нарушителя, допущенного только к определённой информации файл-сервера, и от ограниченного круга других пользователей данной ЛВС. НЕСАНКЦИОНИРОВАННЫЙ ДОСТУП В ЛВС СО СТОРОНЫ КАБЕЛЬНЫХ ЛИНИЙ: – со стороны штатного пользователя-нарушителя одной ПЭВМ при обращении к информации другой, в том числе файл-серверу; – при подключении посторонней ПЭВМ и другой посторонней аппаратуры; – при побочных электромагнитных излучениях и наводках за счёт переизлучения информации. Кроме того, в результате аварийных ситуаций, отказов аппаратуры, ошибок операторов и разработчиков ПО ЛВС, возможны: – переадресация информации; – отображение и выдача её на рабочих местах, для неё не предназначенных; – потеря информации в результате её случайного стирания или пожара. Машинная память – достоинство автоматизированной системы. Но хранение данных в этой изменчивой среде повышает вероятность потери данных: несколько нажатий клавиш могут уничтожить результаты работы многих часов и даже лет. Проникновение вируса в ПЭВМ может также неприятно отразиться на всей работе и информации ЛВС. 11.2 Система защиты информации от НСД в ЛВС Анализ ЛВС как объекта защиты, возможных каналов несанкционированного доступа (ВКНСД) к информации ограниченного пользования и потенциальных угроз позволяет выбрать и построить соответствующую систему защиты. 11.2.1 Защита от преднамеренного НСД НСД со стороны пользователя-нарушителя, очевидно, потребует создания на программном уровне ЛВС СИСТЕМЫ ОПОЗНАНИЯ И РАЗГРАНИЧЕНИЯ ДОСТУПА к информации (СОРДИ) со всеми её атрибутами: – средствами идентификации и аутентификации пользователей, а также – разграничения их полномочий по доступу к информации файл-сервера и другим ПЭВМ данной ЛВС. 1 При этом ЗАЩИТА ДАННЫХ файл-сервера осуществляется одним способом или в различных сочетаниях четырьмя способами: А) входным паролем. Это первый уровень сетевой защиты. Защита при входе в сеть применяется по отношению ко всем пользователям. Чтобы выйти в файл-сервер, пользователю нужно знать своё «имя» и соответствующий пароль (6–8 символов). Администратор безопасности может установить ДОПОЛНИТЕЛЬНЫЕ ОГРАНИЧЕНИЯ ПО ВХОДУ в сеть: 1) ограничить период времени, в течение которого пользователь может входить в сеть; 2) назначить рабочим станциям специальные адреса, с которыми разрешено входить в сеть; 3) ограничить количество рабочих станций, с которых можно выйти в сеть; 4) установить режим «запрета постороннего вторжения», когда ПРИ НЕСКОЛЬКИХ несанкционированных попытках С НЕВЕРНЫМ ПАРОЛЕМ устанавливается ЗАПРЕТ НА ВХОД в сеть. Б) Попечительской защитой данных. Это второй уровень защиты данных в сети – используется для управления возможностями индивидуальных пользователей по работе с файлами в заданном каталоге. ПОПЕЧИТЕЛЬ – это пользователь, которому предоставлены привилегии или права для работы с каталогом и файлами внутри него. Любой попечитель может иметь восемь разновидностей прав: – Read – право Чтения открытых файлов; – Write – право Записи в открытые файлы; – Open – право Открытия существующего файла; – Create – право Создания (и одновременно открытия) новых файлов; – Delete – право Удаления существующих файлов; – Parental – Родительские права: * право Создания, Переименования, Стирания подкаталогов каталога; * право Установления попечителей и прав в каталоге; * право Установления попечителей и прав в подкаталоге; – Search – право Поиска каталога; – Modify – право Модификации файловых атрибутов. В) Защитой в каталоге. Это третий уровень защиты данных в сети. Каждый каталог имеет «маску максимальных прав». Когда создаётся каталог, маска прав каталога содержит те же восемь разновидностей прав, что и попечитель. Ограничения каталога применяются только в одном заданном каталоге. Защита в каталоге не распространяется на его подкаталоги. Д) Защитой атрибутами файлов. Четвёртый уровень защиты данных в сети. При этом предусмотрена возможность устанавливать, может ли индивидуальный файл быть изменён или разделён. Защита атрибутами файлов используется в основном для Предотвращения Случайных Изменений Или Удаления отдельных файлов. Такая защита, в частности, полезна для защиты информационных файлов общего пользования, которые обычно читаются многими пользователями. Эти файлы не должны допускать порчи при попытках изменений или стирания. В защите данных используются четыре файловых атрибута: «Запись–Чтение/Только чтение» и «Разделяемый/Неразделяемый». 2 Чтобы исключить ВОЗМОЖНОСТЬ ОБХОДА систем опознания и разграничения доступа в ПЭВМ и ЛВС путём применения отладочных программ, а также проникновения компьютерных вирусов, РЕКОМЕНДУЕТСЯ, если это возможно, в данной ЛВС применять ПЭВМ БЕЗ ДИСКОВОДОВ или хотя бы ЗАБЛОКИРОВАТЬ ИХ МЕХАНИЧЕСКОЙ крышкой, опечатываемой администратором безопасности. Данная мера, кроме того, защищает от кражи данных, которые можно скопировать на мобильные носители данных в течение нескольких минут. Эти носители легко спрятать и вынести за пределы даже охраняемой территории. Многие поставщики сетей сейчас обеспечивают ВОЗМОЖНОСТЬ ЗАГРУЗКИ локальных рабочих станций С ЦЕНТРАЛЬНОГО СЕРВЕРА и таким образом делают ПЭВМ без диска пригодной для использования в сети. В тех же случаях, когда требуется локальное запоминающее устройство, допускается возможность замены внешнего мобильного носителя на местный жёсткий диск. 3 Опознание пользователя и разграничение доступа в ЛВС можно также организовать С ПОМОЩЬЮ ШИФРОВАЛЬНОГО УСТРОЙСТВА. Лучше всего для этой цели использовать аппаратное устройство, так как его подмена или отключение нарушителю не помогут. Такое устройство устанавливается в каждой ПЭВМ и тогда ЗАКОННЫЙ ПОЛЬЗОВАТЕЛЬ ОБРАЩАЕТСЯ в сеть с помощью ключа-пароля, ОТВЕТНЫЕ ЗНАЧЕНИЯ которого ХРАНЯТСЯ НА ТЕХ рабочих СТАНЦИЯХ, к обмену с КОТОРЫМИ ОН ДОПУЩЕН. В свою очередь на файл-сервере по этому паролю ему могут предоставляться персональные массивы данных. Ещё одно достоинство этого метода в том, что КЛЮЧ-ПАРОЛЬ ДАННОГО ПОЛЬЗОВАТЕЛЯ НЕ ХРАНИТСЯ НА ДАННОЙ ПЭВМ, а ЗАПОМИНАЕТСЯ ПОЛЬЗОВАТЕЛЕМ или ХРАНИТСЯ НА специальном носителе типа КАРТОЧКИ. Все ДАННЫЕ, включая коды паролей, которые ПОСТУПАЮТ В СЕТЬ, и все данные, которые ХРАНЯТСЯ НА ЖЕСТКОМ ДИСКЕ, ДОЛЖНЫ БЫТЬ ЗАШИФРОВАНЫ. При передаче данных в сеть, ДО НАЧАЛА ШИФРОВАНИЯ (с целью привязки к передаваемой информации) идентификатор и (или) адрес получателя и отправителя (передаваемые в открытом виде) совместно с информацией ДОЛЖНЫ ПОДВЕРГАТЬСЯ ОБРАБОТКЕ ОБЫЧНЫМИ СРЕДСТВАМИ ПОВЫШЕНИЯ ДОСТОВЕРНОСТИ, результат которой одновременно с зашифрованной информацией поступает на ПЭВМ-получатель, где после дешифрации принятая информация проверяется на совпадение. Данная процедура позволит обнаружить подмену идентификатора и (или) адреса, т. е. попытку навязывания ложной информации при несанкционированном подключении к сети. Шифрованию НЕ ДОЛЖНЫ подвергаться ВСЕМ ИЗВЕСТНЫЕ формализованные запросы и сообщения, так как, ЗНАЯ ЗАКОН ПРЕОБРАЗОВАНИЯ, нарушитель путём перебора известных формализованных сообщений может вычислить действительное значение ключа, с помощью которого одно из них закрыто, а знание последнего позволит нарушителю ознакомиться с остальной зашифрованной информацией. Поступающая в сеть зашифрованная ключом отправителя информация дешифруется на ПЭВМ-получателе с помощью ключа, значение которого соответствует идентификатору и (или) адресу отправителя. (Ключи шифрования отправителей хранятся в ПЭВМ-получателе в зашифрованном виде, они зашифрованы ключом-паролем получателя информации.) 4 В менее ответственных ЛВС для защиты от модификации информации при её передаче по телефонным каналам используется система «ОБРАТНЫЙ ВЫЗОВ». Если нужно подключиться к ПЭВМ, где имеется система защиты «обратный вызов», следует сообщить об этом системе, и тогда её устройство защиты подготавливается для «обратного вызова» на ваше местонахождение. Другими словами, система имеет в памяти полный листинг на каждого допущенного пользователя. В этот файл включены: – семизначный идентификационный номер, который вы должны набрать, когда хотите обратиться к файлу; – телефонный номер, по которому вас можно найти; – главные ЭВМ, к которым вам разрешен доступ. То есть, ПОДЛИННОСТЬ обращения обеспечивается обратным вызовом: соединение с вами устанавливается вашим адресатом по вашему вызову. Данный метод, однако, не защищает от утечки информации. 5 Для защиты ДАННЫХ, ПЕРЕДАЮЩИХСЯ ПО КАБЕЛЮ, существует несколько способов. Первый способ – уборка кабеля из поля зрения – должен быть предпринят для защиты кабеля от повреждения и удовлетворения правил электробезопасности, т. е. если кабель проложить в труднодоступном скрытом месте, это будет способствовать его защите от НСД. Кабель, по которому передаются данные, ИЗЛУЧАЕТ РАДИОСИГНАЛЫ подобно передающей антенне. Простое оборудование для перехвата, установленное рядом с кабелем, может собирать и записывать эти передачи. Если величина излучаемого сигнала превышает сигналы шумов на расстоянии за пределами охраняемой территории, следует принять определённые меры защиты. Величину излучаемого сигнала на кабеле МОЖНО УМЕНЬШИТЬ при помощи ЭКРАНА в виде заземлённой оплётки из медных проводов, охватывающих провода, несущие информацию. Другой способ решить эту проблему заключается в ПРИМЕНЕНИИ ВОЛОКОННО-ОПТИЧЕСКОГО КАБЕЛЯ, использующего тонкий стеклянный световод, но которому передача информации осуществляется путём модуляции света. Однако появились сообщения о возможности съёма информации и с этих кабелей. Поэтому наилучшим средством защиты от вышеуказанных угроз СЛУЖИТ ШИФРОВАНИЕ передаваемой информации, о котором сообщалось выше. |