Файл: Защита внутренней сети и сотрудников компании от атак (Классификация мер обеспечения безопасности КС).pdf
Добавлен: 29.06.2023
Просмотров: 140
Скачиваний: 4
Ошибки в утилитах зачастую приводят к угрозе безопасности системы. Основные компоненты: Локальный администратор безопасности отвечает за несанкционированный доступ и проверку прав пользователя для входа в систему, а также поддерживает:
- аудит (контроль за правильностью операций пользователя);
- диспетчер учетных записей (поддержка базы данных пользователей и взаимодействий их с системой);
- монитор безопасности (проверка прав на доступ к объекту);
- журнал аудита (в нем содержится информация о входе пользователя и фиксируется работа с файлами или папками).
Пакет проверки подлинности - проводит анализ системных файлов и на их изменение. MSV10 является пакетом по умолчанию.
В Windows XP дополнено следующее:
- назначение пароля для архивной копии;
- защита от изменения файлов;
- система разделения прав пользователей (ввод пароля и создание учетных записей пользователей).
Архивация проводиться пользователем при наличии таких прав. NTFS: контроль доступа к файлам и папкам
В XP и Windows 2000 - наиболее совершенное разделение прав доступа для пользователей.
EFS - обеспечение шифрования и дешифрования данных (файлов и папок) для ограничения доступа к информации [2].
Криптографические методы защиты
Криптографией называют науку об обеспечении безопасности данных. Криптография занимается основными проблемами безопасности, это - конфиденциальность, аутентификация, целостность и контроль участников взаимодействия.
Шифрованием называется способ преобразования информации в нечитабельный вид применяя ключи шифрования-расшифровки.
Шифрование обеспечивает конфиденциальность и сохранность информации в тайне от злоумышленников пытающихся ее заполучить.
Криптография исследует математические методы преобразования данных. Нынешняя криптография состоит из четырех больших разделов:
- симметричные криптосистемы;
- криптосистемы с открытым ключом;
- системы электронной подписи;
- управление ключами.
Главное назначение криптографических методов это передача конфиденциальных данных при помощи каналов связи (к примеру, электронная почта), а также определение аутентичности передаваемых сообщений, хранение данных (документы, базы данных) на носителях в зашифрованном виде.
Шифрование дисков
Зашифрованный диск это фаил-контейнер, который может содержать в себе разные файлы или программы (они устанавливаются и запускаются с помощью самих зашифрованных файлов). Доступ к диску становится доступным после того, как произведен ввод пароля к файлу-контейнеру.
Только в этом случае на компьютере отображается дополнительный новый диск, который опознается логическим и работа с ним происходит таким же способом что и с остальными.
После того, как происходит отключение диска он пропадает и становится недоступным (невидим) [6].
Известные на данный момент программы для создания зашифрованного диска - DriveCrypt, BestCrypt и PGPdisk. Все они имеют надежную защиту в случае удаленного взлома.
Общие характеристики этих программ:
- изменения данных в файле-контейнере совершаются сразу в оперативной памяти, потому что жесткий диск постоянно находится в зашифрованным состоянии. При зависании компьютера зашифрованная информация все равно остается зашифрованной;
- программы могут заблокировать скрытый логический диск по окончанию установленного интервала времени;
- программы подозрительно относятся к временным файлам (своп- файлы). Существует вероятность шифрования всей конфиденциальной информации, если она попала в своп-файл. Результативный способ для скрытия данных хранящихся в своп-файле - это его отключение;
- свойство жесткого диска таково - если сверху одних файлов записывать другие, то предыдущие записи не стираются. При помощи современного средства магнитной микроскопии (Magnetic Force Microscopy) файлы или данные будут восстановлены. Также при помощи таких программ эффективно удаляются данные с жесткого диска;
- в этих трех программах конфиденциальная информация сохраняется в надежном зашифрованном виде на жестком диске гарантируя прозрачный доступ к этой информации любым прикладным программам;
- есть защита зашифрованных файлов-контейнеров от случайного удаления;
- хорошая защита против троянских приложений и вирусов.
Методы идентификации пользователя
До получения доступа к вычислительной системе пользователь обязан пройти идентификацию [17].
Далее механизмы защиты сети дают подтверждение аутентичности пользователя (идет проверка пользователя для выяснения того, является ли он собой).
Согласно логической модели механизма защиты, вычислительная сеть располагается на рабочей электронно-вычислительной машине пользователя подключенного по своему терминалу или другому способу.
Поэтому идентификация, подтверждение аутентичности и наделение правами осуществляются в самом начале сеанса на рабочей электронно- вычислительной машине.
После установки разных сетевых протоколов получение доступа к сетевым ресурсам, идентификация, подтверждение аутентичности и наделение правами можно снова активизировать на определенной удаленной рабочей электронно-вычислительной машине с целью размещения нужных ресурсов или сетевых услуг.
Начав работу с вычислительной системой пользователь использует свой терминал.
В системе терминала идет запрос на имя и идентификационный номер пользователя. Согласно с ответами пользователя вычислительная система его идентифицирует. Это естественные действия в сети среди объектов, которые устанавливают связь после идентификации между собой. Пароли являются одним из методов подтверждения подлинности [29].
Есть и другие методы:
1. Определенные данные, которыми распоряжается пользователь: какие пароли использует, каким идентификационным номером пользуется, соглашение о применении особых зашифрованных фраз.
2. Части аппаратного обеспечения, которыми распоряжается пользователь: ключи, магнитная карточка, микросхема.
3. Личностные особенности пользователя: отпечаток пальца, сетчатка глаза, размер фигуры, тембр голоса.
4. Характерное поведение пользователя в реальной жизни: особенность динамики, как он работает на клавиатуре, с какой скоростью читает и как использует различные манипуляторы.
5. Привычки: применение особых компьютерных заготовок.
6. Определение навыков и знаний пользователя по образованию, культуре, обучению, предыстории, воспитанию и привычкам.
Если кому то понадобится выполнить вход в вычислительную систему по терминалу, то вычислительная система обязана определить аутентичность пользователя.
Сам пользователь обычно, не занимается проверкой подлинности вычислительной системы.
Когда операция определения подлинности является односторонней, то она называется операцией одностороннего подтверждения подлинности объекта. Специальные программные средства защиты информации от несанкционированного доступа имеют лучшие возможности и характеристики, чем средства, которые встроены в сетевых операционных системах.
Помимо программ шифрования есть и другие доступные внешние средства защиты информации.
Более известные две упоминаемые системы, которые позволяют ограничить информационный поток. Firewalls - брандмауэры (в переводе с английского языка firewall это огненная стена). Локальная и глобальная сеть создают между собой специальные промежуточные сервера.
Эти сервера выполняют проверку и фильтрацию всего проходящего трафика (сетевой/транспортный уровни).
Это снижает угрозу от несанкционированного доступа вне корпоративной сети, но не предотвращает [30].
Наиболее защищенный метод - маскарад (masquerading). Полностью исходящий трафик локальной сети отправляется от имени firewall-сервера, при этом сама локальная сеть становится прозрачной (почти невидима).
Proxy-servers (proxy - доверенность, уполномоченное лицо). Трафик сетевого/транспортного уровней между локальной и глобальной сетями становится запрещенным. Маршрутизации попросту нет, а обращения из локальной сети в глобальную идут с помощью специальных серверов- посредников.
Несомненно, при данном способе обращения из глобальной сети в локальную невозможно. Данный способ не обеспечивает хорошей защитой от атак более высокого уровня (к примеру вирусов написанных на коде Java и JavaScript).
Далее пойдет подробное рассмотрение работы брандмауэра.
Это способ защиты сети от угроз безопасности, которые исходят от сторонних систем и сетей при помощи объединенного доступа к сети и контроля аппаратно-программными средствами. Брандмауэр это защитный барьер состоящий из нескольких элементов (маршрутизатор или шлюз) с которым функционирует программное обеспечение брандмауэра.
Брандмауэр настраивается согласно принятой на предприятии политики контроля доступа к внутренней сети.
Все входящие и исходящие пакеты проходят контроль с помощью брандмауэра пропускающего только одобренные им пакеты. Брандмауэр с фильтрацией пакетов (packet-filtering firewall) это маршрутизатор или компьютер с установленным программным обеспечением настроенным на отбраковку определенных видов входящих и исходящих пакетов [27].
Фильтрация пакетов выполняется на основании данных, которые содержатся в TCP и IP оглавлении пакетов (адреса того кто отправил и получателя, а также номера обоих портов). Брандмауэр экспертного уровня (stateful inspection firewall) осуществляет проверку содержимого получаемых пакетов с помощью трех уровней модели OSI: сетевого, сеансового и прикладного.
Для осуществления данной задачи применяются особые алгоритмы фильтрации пакетов.
Любой пакет идет в сравнение с шаблонным образцом авторизованного пакета.
Создание брандмауэра имеет отношение к выполнению задачи экранирования.
Формальное постановление задачи экранирования содержит в себе следующее.
К примеру существуют два множества информационных систем.
Экран является средством разделения доступа клиентов из одного множества к серверам другого множества.
Экран выполняет свою задачу и контролирует весь информационный поток между двумя множествами систем (рисунок 3).
Контроль потоков заключается в фильтрации с осуществлением отдельных преобразований.
Рисунок 3 - Экран как средство разделения доступа
На следующем этапе детализирования экран (полупроницаемая мембрана) уместно изобразить последовательностью фильтров.
Любой из фильтров исследовав информацию имеет возможность приостановить (блокировать) ее или пропустить перебросив за экран [2].
Помимо этого разрешается изменение информации или ее передача по частям на следующий фильтр для дальнейшего исследования или обработки информации от имени отправителя включая возврат конечного результата отправителю (рисунок 4).
Рисунок 4 - Экран как последовательность фильтров
Помимо функций разделения доступа экраны выполняют документирование обмена данными.
Сам экран не симметричен и к нему близки по значению понятия «внутри» и «снаружи».
Задача экранирования это защита внутренней области от внешней. Межсетевые экраны наиболее часто устанавливаются в корпоративной сети предприятия у которого есть интернет. Экранирование поддерживает доступность сервисов внутренней области и уменьшает (или убирает) нагрузку, которая вызвана внешним источником. Экранирующую систему по сравнению с универсальной можно настроить понятным и безопасным методом.
Экранирование обеспечивает контроль информационных потоков, которые направлены во внешнюю область, тем самым облегчая поддержку режима конфиденциальности информационной сети предприятия [19].
Экранирование может быть неполным и защищать конкретные информационные сервисы(к примеру, экранирование электронной почты).
Ограничение интерфейса тоже можно назвать разновидностью экранирования.
Произвести атаку на невидимый объект довольно проблематично если применять фиксированный набор средств. В этом отношении у Web- интерфейса своя защита, в особенности при динамическом создании гипертекстовых документов. Любой из пользователей видит только то, что ему полагается увидеть. Динамично формируемые гипертекстовые документы и представления в реляционной базе данных аналогичны, но с одним существенным различием - у Web намного больше потенциала. Экранирующая значимость Web-сервиса проявляет себя в осуществлении интегрирующих функций при доступе к другому ресурсу (к примеру, таблицы баз данных). Здесь контролируется поток запросов, а также скрывается реальное создание информации.
Архитектурные аспекты безопасности
Справится с сетевыми угрозами стандартными средствами в операционной системе невозможно. Стандартная операционная система по сути большая программа содержащая в себе некоторые ошибки и особенности. Этими ошибками и особенностями может воспользоваться взломщик для несанкционированного доступа и получению прав.