Главная страница
Навигация по странице:

  • 1. Цель работы

  • 2. Теоретические сведения

  • 3. Оборудование

  • 4. Задание на работу

  • 5. Оформление отчета

  • 6 Контрольные вопросы

  • МУ_ЛР_БОС. А. С. Новиковым и обсуждены на заседании кафедры


    Скачать 1.1 Mb.
    НазваниеА. С. Новиковым и обсуждены на заседании кафедры
    Дата15.03.2022
    Размер1.1 Mb.
    Формат файлаdoc
    Имя файлаМУ_ЛР_БОС.doc
    ТипЛабораторная работа
    #396953
    страница7 из 17
    1   2   3   4   5   6   7   8   9   10   ...   17

    Лабораторная работа № 7.
    Парольная политика безопасности операционных систем



    1. Цель работы

    Изучение понятия аутентификации на основе паролей, политики безопасности в области паролей, методов подбора паролей, средств и методов защиты операционной системы от подбора паролей.
    2. Теоретические сведения

    Аутентификация (authentication) предотвращает доступ к сети нежелательных лиц и разрешает вход для легальных пользователей. Аутентифика­ция — это процедура доказательства пользователем того, что он есть тот, за кого себя выдает, в частности, доказательство того, что именно ему принадлежит вве­денный им идентификатор.

    Сетевые службы аутентификации строятся на основе различных приемов (биопараметрическая идентификация, идентификация с помощью физических носителей уникальной информации пользователя и т.д.), но ча­ще всего для доказательства идентичности пользователя используются пароли. Простота и логическая ясность механизмов аутентификации на основе паролей в какой-то степени компенсирует известные слабости паролей. Это, во-первых, возможность раскрытия и разгадывания паролей, а во-вторых, возможность “подслушивания” пароля путем анализа сетевого трафика. Для снижения уров­ня угрозы от раскрытия паролей администраторы, как правило, применяют такие встроенные программные средства для формирования политики назначения и использования паролей как: задание максимального и минимального сроков дейст­вия пароля, хранение списка уже использованных паролей, управление поведе­нием системы после нескольких неудачных попыток логического входа и т. п. Перехват паролей по сети можно предупредить путем их шифрования перед пе­редачей.

    Легальность пользователя может устанавливаться по отношению к различным системам. Так, работая в сети, пользователь может проходить процедуру аутен­тификации и как локальный пользователь, который претендует на использование ресурсов только данного компьютера, и как пользователь сети, который хо­чет получить доступ ко всем сетевым ресурсам. При локальной аутентификации пользователь вводит свои идентификатор и пароль, которые автономно обраба­тываются операционной системой, установленной на данном компьютере. При логическом входе в сеть данные о пользователе (идентификатор и пароль) пере­даются на сервер, который хранит учетные записи обо всех пользователях сети.

    В качестве объектов, требующих аутентификации, могут выступать не только поль­зователи, но и различные устройства, приложения, текстовая и другая информа­ция. Так, например, пользователь, обращающийся с запросом к корпоративному серверу, должен доказать ему свою легальность, но он также должен убедиться сам, что ведет диалог действительно с сервером своего предприятия. Другими словами, сервер и клиент должны пройти процедуру взаимной аутентификации. Здесь мы имеем дело с аутентификацией на уровне приложений. При установле­нии сеанса связи между двумя устройствами также часто предусматриваются про­цедуры взаимной аутентификации на более низком, канальном уровне. Приме­ром такой процедуры является аутентификация по протоколам РАР и CHAP, входящим в семейство протоколов РРР. Аутентификация данных означает дока­зательство целостности этих данных, а также того, что они поступили именно от того человека, который объявил об этом. Для этого используется механизм элек­тронной подписи.

    Под политикой безопасности понимается совокупность документированных концептуальных решений, направленных на защиту информации и ассоциированных с ней ресурсов. Эта политика разрабатывается людьми, ответственными за поддержание информационно-компьютерной безопасности, и утверждается руководством организации.

    Политика безопасности должна включать следующие разделы:

    • стратегические цели обеспечения информационно-компьютерной безопасности и требования к защищаемой информации;

    • глобальная концепция защиты информации в компьютерной сети;

    • организационные мероприятия по созданию условий безопасной обработки информации;

    • меры ответственности и должностные обязанности сотрудников организации по защите информации.

    При недостаточной проработке перечисленных разделов политика безопасности может иметь существенные недостатки, которые с успехом могут использоваться для несанкционированного доступа. Недостатки могут обнаруживаться как в концепциях предупреждения и своевременного обнаружения воздействий на компьютерные ресурсы, так и в концепции восстановления безопасности после возникновения воздействия.

    Большинство атак, связанных с аутентификацией нелегального пользователя базируется на переборе паролей при фиксированном имени пользователя. Основными методами перебора паролей являются:

    1. Простой перебор, основанный на последовательной подстановке паролей, удовлетворяющих требованиям к паролям, предъявляемым системой аутентификации. При этом имя пользователя (login) остается неизменным и заранее известен злоумышленнику;

    2. Случайный перебор. Отличается от простого перебора случайным характером выбора пароля из всех возможных вариантов. В этом методе перебора возникает задача предотвращения повторной подстановки пароля системе аутентификации;

    3. Перебор паролей, представляющих собой осмысленные фразы на основе некоторого справочника;

    4. Перебор паролей из множества наиболее часто встречающихся;

    5. Перебор из множества мнемонических (хорошо запоминающихся) паролей либо из списка, либо на основе известной процедуры их создания;

    6. Перебор паролей из множества “подслушанных” злоумышленником в результате анализа трафика.

    Основными методами повышения защищенности операционных систем от подбора пароля являются:

    1. Защита паролей от прослушивания в трафике системы (шифрование паролей, защита канала от прослушивания на физическом уровне);

    2. Защита от перебора паролей на основе анализа поведения отдельных пользователей. Отключение системы аутентификации на значительное время при нескольких неудачных попытках введения различных паролей для одного имени пользователя или всех имен;

    3. Исследование защищенности паролей от подбора с целью выбора времени их жизни. Отработавший в течение установленного срока пароль меняется на новый;

    Смена пароля и имени пользователя с уведомлением владельца в случае превышения критического числа неудачных попыток подбора его пароля.
    3. Оборудование

    Персональный компьютер с установленной операционной системой MSWindows 2000 SP4, XPSP2, Vista или 7 и средами разработки ПО BorlandC++ Builder или MSVisualStudio 2005/2008/2010.
    4. Задание на работу

    1. Изучить теоретические положения по данной лабораторной работе.

    2. Разработать программное обеспечение для оценки степени безопасности паролей пользователей согласно заданию преподавателя. Варианты заданий:



    Алгоритм

    Правила, устанавливаемые для пароля системы

    1

    Простой перебор паролей

    Символы: A-Z,a-z,0-9. Длина пароля: 8 символов.

    2

    Расчет минимально-необходимой длины пароля.

    Символы: A-Z,a-z,0-9.

    3

    Случайный перебор

    Символы: А-Я,а-я,’_’. Длина пароля: 6 символов.

    4

    Перебор паролей по словарю

    Словарь 150-200 тыс. слов

    5

    Комбинированный (случайный, по словарю)

    Словарь 10 тыс. слов + добавление 3-х случайных символов (в начале и конце слова). Символы: А-Я,A-Z.

    6

    Формирование словаря на основе статистики для некоторого текста

    min размер слова – 3 буквы

    max размер слова – 8 букв

    Слова встречаются в тексте не менее 3-х раз

    Примечание: при расчете минимально необходимой длины пароля должны учитываться следующие факторы: время, затрачиваемое злоумышленником на подбор и подстановку одного пароля; процентное соотношение перебранных паролей по отношению к общему числу вариантов для успешного взлома; время жизни пароля. Минимально необходимая длина пароля вычисляется исходя из того, что время взлома системы должно превышать время жизни пароля.
    5. Оформление отчета

    Отчет должен содержать:

    • название и цель работы;

    • вариант задания;

    • алгоритм функционирования разработанного ПО;

    • результаты работы созданного программного обеспечения;

    • листинг программы, реализующей задание.


    6 Контрольные вопросы

    6.1. Что такое аутентификация?

    6.2. Что такое парольная политика безопасности?

    6.3. Назовите основные варианты атак на систему аутентификации?

    6.4. Каковы основные методы перебора паролей?

    6.5. Перечислите критерии и параметры, участвующие в определении минимально необходимой длины пароля и времени его жизни?

    6.6. Как организовать случайный перебор паролей без повторения?

    6.7. Расскажите о методах предотвращения подбора паролей.
    7. Библиографическийсписок

    1. Олифер В.Г. Сетевые операционные системы: Учеб. пособие для вузов / В.Г. Олифер, Н.А. Олифер .— М.: Питер, 2003. — 544с.

    2. Таненбаум Э. Современные операционные системы / Э. Таненбаум.— 2-е изд. — М.: Питер, 2006 .— 1038с.

    3. Монадьеми П. Защита от хакеров в Windows XP/ П. Монадьеми, Б. Мюллер; пер. с нем. под ред. С.Н. Банникова.— М.: БИНОМ, 2005 .— 320с.

    4. Немет Э. UNIX: Руководство системного администратора/ Э. Немет, Г. Снайдер, С. Сибасс, Т.Р. Хейн. 3-е изд. — М.: Питер, 2003 .— 925с.
    1   2   3   4   5   6   7   8   9   10   ...   17


    написать администратору сайта