Файл: Образовательная программа по специальности Информационная безопасность автоматизированных систем Форма обучения очная Руководитель вкр поколодина Елена Владиславна.docx
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 23.11.2023
Просмотров: 45
Скачиваний: 3
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
он предоставляет пользователям возможность авторизации с помощью ключей, что одновременно упрощает процедуру подключения пользователей (нет необходимости вводить пароль при каждом подключении) и повышает надежность защищенного соединения.
Используя доступ к командной консоли пользователь может получить доступ к файлам находящимся как на рабочей станции, так и на серверах в сети организации. Запускать консольные приложения, для обработки файлов, в том числе просматривать и, или изменять их содержимое. Существуют различные прикладные приложения для работе в консольном режиме - текстовые браузеры сети Интернет, например links, lynx с помощью которых можно получать доступ к сайтам в сети Интернет, Интернет мессенджеры, клиенты баз данных и д.р.
Не смотря на наличие таких возможностей, текстовый режим работы предусмотренный доступом в консоль, очень не удобен для пользователей, т. к. его функционал ограничен в сравнении с графическим интерфейсом, который пользователи используют в повседневной работе. В тоже время при настройке оборудования или обслуживания серверов консольный режим в ряде случаев остается незаменим и используются работниками отвечающими за администрирование информационных систем.
Удаленный доступ к графическому интерфейсу рабочей станции или сервера называется «Удаленный рабочий стол». При подключении к которому, пользователь получает доступ к тем же документам, настройкам системы и приложениям, вне зависимости от места, с которого он подключается. Пользователь может работать в офисе за рабочей станцией и оставить открытым документ, с которым он работал, а придя домой подключится к рабочей станции и продолжить с ним работу. Также он может продолжать работу с документами находясь в дороге, в командировке или оперативно решить рабочий вопрос находясь в отпуске. Кроме доступ к файлам, у работника сохраняется возможность доступа к всем ресурсам сети организации, например к базам «1С», справочным системам «Консультант+», системам электронного документооборота. В тоже время, использую графический интерфейс пользователь может получать консольный доступ к системе, в случае использования консольного доступа, запуск графического не возможен. Таким образом доступ к удаленному рабочему столу дает существенно больше возможностей в сравнении с доступом в консоль.
Для подключение к удаленному рабочему столу могут использоваться различные протоколы и приложения. Они в первую очередь зависят от типа операционной системы, во вторую от выбора пользователей.
В операционных системах семейства Windows существует встроенная система предоставления удаленного доступа «Удаленный рабочий стол», она использует для предоставления доступа протокол RDP — Remote Desktop Protocol. Не смотря на её наличие, её использование не всегда удобно пользователям. При этом у пользователей остается возможность использования других приложений и протоколов для получения удаленного доступа.
В операционных системах семейства Linux, FreeBSD по умолчанию не устанавливается приложения для подключения к удаленному рабочему столу. При желании, пользователь может самостоятельно установить необходимые ему приложения и настроить удаленный доступ.
В связи с этим, существуют достаточно большой выбор приложений, которые позволяют выполнить удалённое подключение к графическому интерфейсу рабочей станции:
и другие.
Наличие на рабочей станции программного обеспечения для удаленного доступа само по себе не дает прав доступа пользователю возможности для подключения. Кроме этого, требуется чтобы программа была запущена и настроена, пользователю были предоставлены права на удаленный вход. Без этого зайти на рабочую станцию не возможно.
Учитывая, что доступ к рабочей станции осуществляется по сети Интернет, необходимо разобраться и организацией сетевого подключения к рабочей станции. Для этого, как правило необходимо обеспечить доступ конечной рабочей станции на двух периметрах сети. Сегодня все операционные системы предназначенные для установки на компьютеры и сервера имеют строенные фаерволы, которые обеспечивают фильтрацию трафика поступающего на рабочую станцию из сети. Его использование и корректная настройка позволяет повысить защищенность рабочей станции от кибератак. В тоже время, файервол может закрыть сетевые порты, по которым пользователи подключаются к удаленному рабочему столу по сети. Поэтому необходимо произвести корректную настройку фаервола. В ОС семейства Windows фаервол называется «Брандмауэр», в ОС семейства FreeBSD используется один из файрволов PF, IPFW или IPFILTER, в Linux используется iptables, для настройки которого на рабочих станция используется графическое приложение GUWF.
Для организации работы пользователей в офисах, организации создают локальные вычислительные сети, к которым подключают сервера, рабочие станции и периферийное оборудование. Это дает пользователям возможность использования общих ресурсов организации, получения доступа общим документа, почте, информационным системам и др. При этом как правило для организации локальной сети используются ip-сети из одного из диапазонов 10.0.0.0/8, 172.16.0.0/12 или 192.168.0.0/16. При этом для обеспечения безопасности ресурсов сети организации, организации единого доступа в сеть Интернет используются специализированные сервера - Интернет шлюзы, которые организую трансляцию трафика из локальной сети в сеть интернет через NAT. При этом, ip-адреса рабочих станций подменяются, и все ресурсы в сети видят только внешний ip-адрес сервера. Это создает дополнительные проблемы при организации подключении пользователей из сети Интернет — ip-адреса рабочих станций не доступны. Для организации доступа есть несколько технологий:
1. VPN (Virtual private network) — эта технология позволяет организовать виртуальную сеть, на одном уровне с сетью организации и взаимодействовать с ip-сетью офиса напрямую. При этом создаются виртуальные туннели, по которым идет передача трафика. Существуют различные протоколы и приложения для организации VPN, рассмотрим некоторые из них:
PPTP
IPSec
OpenVPN
CheckPoint VPN
2. Публикация и использования шлюза общих рабочих столов. Он позволяет опубликовать на Интернет шлюзе сервис, при подключении к которому, пользователь может подключаться именно к той рабочей станции, на которую он хочет зайти.
3. Подключение с помощью сервера в сети Интернет. При таком варианте, рабочая станция в сети предприятия, самостоятельно публикует себя на сервере производителя ПО (например AnyDesk, TeamView), а клиентское ПО при подключении к рабочей станции также заходит на специализированный сервер и подключается к рабочей станции через него. При этом, весь трафик идет через сервер производителя.
1.2 Риски информационной безопасности, связанные с предоставлением удаленного доступа.
Открытие доступа к сети организации тем или иным способом, само по себе создает возможность
доступа злоумышленников во внутренний периметр организации.
Доступ может быть получен с помощью различных подходов:
1. Взлом опубликованного организацией ресурса предоставляющего удаленный доступа. Злоумышленник систематически сканируют ip-адреса, находят открытые порты, ищут в них уязвимости и пытаются эксплуатировать их для получения доступа.
2. Брутфорс — подбор пароля пользователя.
3. Социальные атаки на пользователе — методы, которые провоцируют пользователя, тем или иным способом сообщить пароль злоумышленнику. Например, фишинговые атаки, при которых пользователь переходит на специально подготовленную страницу и вводит пароль. После чего он становится известен злоумышленнику. С его помощью злоумышленник получает доступ к сети.
4. Взлом или использование уязвимостей сервера производителя для получения доступа к сети организации.
5. Использование пользователем, поддельного приложения, для подключения к сети организации.
В не зависимости от способа получения доступа к сети, после получения его, злоумышленник получает доступ ко всем ресурсам и с правами доступа, которые ему предоставлены, в том числе к файловым ресурсам, каталогу АД, сети Интернет и рабочей станции. Что дает злоумышленнику обширные возможности для развития атаки уже внутри сети и повышения своих прав и привилегий. Получив доступ злоумышленник может похитить, заблокировать или уничтожить документы, к которым пользователь имеет доступ.
Из каталога АД он может получить полные перечень имен пользователей домена или доменов, к которым он имеет доступ и настройки парольной политик. Это позволит осуществить в отношении всех пользователей различные атаки например фишинговые атаки и организовать подбор паролей от других учетных записей, в том числе УЗ Администраторов, таким образом, чтобы обойти требования парольной политики по обнаружение подбора паролей. Доступ в сеть Интернет, позволит скачать из сети Интернет зловредное ПО для использования его внутри сети организации или украсть документы компании. Вредоносное ПО загруженное на рабочую станцию может использоваться для различных целей:
1. Для эксплуатации уязвимостей ПО на рабочей станции или внутри сети организации, для повышения привилегий или получения доступа к ресурсам внутри сети, перехвата управления сетью.
2. Для создания бакдоров, с целью дальнейшего получения удаленного доступа.
3. Для кражи, блокирования или уничтожения информации.
4. Перехвата трафика внутри сети, в том числе получения паролей или хэшей паролей.
1.3 Организационные мероприятие предоставления удаленного доступа.
Предоставление удаленного доступа пользователям, как и предоставления доступа к тем или иным ресурсам должно вне зависимости способа предоставления должно быть обосновано и соответствовать Политике информационной безопасности принятой в организации.
Учетная запись должна быть наделена минимально необходимыми полномочиями, исключающими ее использование в целях, отличных от тех, для которых она была создана. Это касается в том числе предоставлением пользователям прав удаленного доступа. Удаленный доступ должен предоставляться только тем работникам, которым он необходим для выполнения работы, это может быть:
1. Работники отвечающие за администрирование информационных систем, чье оперативное вмешательство может потребоваться в любое время, в том числе за пределами рабочего времени.
2. Руководитель и его заместители, доступ которым необходим для организации работы предприятия и принятия оперативных решений.
3. Работники находящиеся на удаленном режиме работы.
4. Работники ушедшие в отпуск или на больничный, на случай решения оперативных вопросов возникающих в их отсутствие.
При предоставление удаленного доступа, работнику должна быть дана оценка по следующим критериям:
1. Необходимость предоставления работником работ на удаленном доступе, эту оценку дает или руководитель организации, или руководитель работника.
2. Надежность работника — возможность доверить работнику удаленное подключение к рабочему столу. Эту оценку может дать или руководитель организации или служба безопасности организации.
Предоставление доступа должно предоставляться на определённый период времени. В случае с руководством организации, работников отвечающих за информационные системы или работающих на удаленном режиме работы этот период можно обозначить как на период работы на предприятии. При этом, систематически должная проходить инвентаризация предоставленных прав доступа и подтверждение их необходимости. С течением времени в организации может изменится ситуация, работник с удаленного графика может быть переведен на работу в офисе, работник отвечающий за обслуживание сервер может переведен на оказание поддержки пользователям при этом права
Используя доступ к командной консоли пользователь может получить доступ к файлам находящимся как на рабочей станции, так и на серверах в сети организации. Запускать консольные приложения, для обработки файлов, в том числе просматривать и, или изменять их содержимое. Существуют различные прикладные приложения для работе в консольном режиме - текстовые браузеры сети Интернет, например links, lynx с помощью которых можно получать доступ к сайтам в сети Интернет, Интернет мессенджеры, клиенты баз данных и д.р.
Не смотря на наличие таких возможностей, текстовый режим работы предусмотренный доступом в консоль, очень не удобен для пользователей, т. к. его функционал ограничен в сравнении с графическим интерфейсом, который пользователи используют в повседневной работе. В тоже время при настройке оборудования или обслуживания серверов консольный режим в ряде случаев остается незаменим и используются работниками отвечающими за администрирование информационных систем.
Удаленный доступ к графическому интерфейсу рабочей станции или сервера называется «Удаленный рабочий стол». При подключении к которому, пользователь получает доступ к тем же документам, настройкам системы и приложениям, вне зависимости от места, с которого он подключается. Пользователь может работать в офисе за рабочей станцией и оставить открытым документ, с которым он работал, а придя домой подключится к рабочей станции и продолжить с ним работу. Также он может продолжать работу с документами находясь в дороге, в командировке или оперативно решить рабочий вопрос находясь в отпуске. Кроме доступ к файлам, у работника сохраняется возможность доступа к всем ресурсам сети организации, например к базам «1С», справочным системам «Консультант+», системам электронного документооборота. В тоже время, использую графический интерфейс пользователь может получать консольный доступ к системе, в случае использования консольного доступа, запуск графического не возможен. Таким образом доступ к удаленному рабочему столу дает существенно больше возможностей в сравнении с доступом в консоль.
Для подключение к удаленному рабочему столу могут использоваться различные протоколы и приложения. Они в первую очередь зависят от типа операционной системы, во вторую от выбора пользователей.
В операционных системах семейства Windows существует встроенная система предоставления удаленного доступа «Удаленный рабочий стол», она использует для предоставления доступа протокол RDP — Remote Desktop Protocol. Не смотря на её наличие, её использование не всегда удобно пользователям. При этом у пользователей остается возможность использования других приложений и протоколов для получения удаленного доступа.
В операционных системах семейства Linux, FreeBSD по умолчанию не устанавливается приложения для подключения к удаленному рабочему столу. При желании, пользователь может самостоятельно установить необходимые ему приложения и настроить удаленный доступ.
В связи с этим, существуют достаточно большой выбор приложений, которые позволяют выполнить удалённое подключение к графическому интерфейсу рабочей станции:
-
TeamViwer -
AnyDesk -
Radmin -
VNC
и другие.
Наличие на рабочей станции программного обеспечения для удаленного доступа само по себе не дает прав доступа пользователю возможности для подключения. Кроме этого, требуется чтобы программа была запущена и настроена, пользователю были предоставлены права на удаленный вход. Без этого зайти на рабочую станцию не возможно.
Учитывая, что доступ к рабочей станции осуществляется по сети Интернет, необходимо разобраться и организацией сетевого подключения к рабочей станции. Для этого, как правило необходимо обеспечить доступ конечной рабочей станции на двух периметрах сети. Сегодня все операционные системы предназначенные для установки на компьютеры и сервера имеют строенные фаерволы, которые обеспечивают фильтрацию трафика поступающего на рабочую станцию из сети. Его использование и корректная настройка позволяет повысить защищенность рабочей станции от кибератак. В тоже время, файервол может закрыть сетевые порты, по которым пользователи подключаются к удаленному рабочему столу по сети. Поэтому необходимо произвести корректную настройку фаервола. В ОС семейства Windows фаервол называется «Брандмауэр», в ОС семейства FreeBSD используется один из файрволов PF, IPFW или IPFILTER, в Linux используется iptables, для настройки которого на рабочих станция используется графическое приложение GUWF.
Для организации работы пользователей в офисах, организации создают локальные вычислительные сети, к которым подключают сервера, рабочие станции и периферийное оборудование. Это дает пользователям возможность использования общих ресурсов организации, получения доступа общим документа, почте, информационным системам и др. При этом как правило для организации локальной сети используются ip-сети из одного из диапазонов 10.0.0.0/8, 172.16.0.0/12 или 192.168.0.0/16. При этом для обеспечения безопасности ресурсов сети организации, организации единого доступа в сеть Интернет используются специализированные сервера - Интернет шлюзы, которые организую трансляцию трафика из локальной сети в сеть интернет через NAT. При этом, ip-адреса рабочих станций подменяются, и все ресурсы в сети видят только внешний ip-адрес сервера. Это создает дополнительные проблемы при организации подключении пользователей из сети Интернет — ip-адреса рабочих станций не доступны. Для организации доступа есть несколько технологий:
1. VPN (Virtual private network) — эта технология позволяет организовать виртуальную сеть, на одном уровне с сетью организации и взаимодействовать с ip-сетью офиса напрямую. При этом создаются виртуальные туннели, по которым идет передача трафика. Существуют различные протоколы и приложения для организации VPN, рассмотрим некоторые из них:
PPTP
IPSec
OpenVPN
CheckPoint VPN
2. Публикация и использования шлюза общих рабочих столов. Он позволяет опубликовать на Интернет шлюзе сервис, при подключении к которому, пользователь может подключаться именно к той рабочей станции, на которую он хочет зайти.
3. Подключение с помощью сервера в сети Интернет. При таком варианте, рабочая станция в сети предприятия, самостоятельно публикует себя на сервере производителя ПО (например AnyDesk, TeamView), а клиентское ПО при подключении к рабочей станции также заходит на специализированный сервер и подключается к рабочей станции через него. При этом, весь трафик идет через сервер производителя.
1.2 Риски информационной безопасности, связанные с предоставлением удаленного доступа.
Открытие доступа к сети организации тем или иным способом, само по себе создает возможность
доступа злоумышленников во внутренний периметр организации.
Доступ может быть получен с помощью различных подходов:
1. Взлом опубликованного организацией ресурса предоставляющего удаленный доступа. Злоумышленник систематически сканируют ip-адреса, находят открытые порты, ищут в них уязвимости и пытаются эксплуатировать их для получения доступа.
2. Брутфорс — подбор пароля пользователя.
3. Социальные атаки на пользователе — методы, которые провоцируют пользователя, тем или иным способом сообщить пароль злоумышленнику. Например, фишинговые атаки, при которых пользователь переходит на специально подготовленную страницу и вводит пароль. После чего он становится известен злоумышленнику. С его помощью злоумышленник получает доступ к сети.
4. Взлом или использование уязвимостей сервера производителя для получения доступа к сети организации.
5. Использование пользователем, поддельного приложения, для подключения к сети организации.
В не зависимости от способа получения доступа к сети, после получения его, злоумышленник получает доступ ко всем ресурсам и с правами доступа, которые ему предоставлены, в том числе к файловым ресурсам, каталогу АД, сети Интернет и рабочей станции. Что дает злоумышленнику обширные возможности для развития атаки уже внутри сети и повышения своих прав и привилегий. Получив доступ злоумышленник может похитить, заблокировать или уничтожить документы, к которым пользователь имеет доступ.
Из каталога АД он может получить полные перечень имен пользователей домена или доменов, к которым он имеет доступ и настройки парольной политик. Это позволит осуществить в отношении всех пользователей различные атаки например фишинговые атаки и организовать подбор паролей от других учетных записей, в том числе УЗ Администраторов, таким образом, чтобы обойти требования парольной политики по обнаружение подбора паролей. Доступ в сеть Интернет, позволит скачать из сети Интернет зловредное ПО для использования его внутри сети организации или украсть документы компании. Вредоносное ПО загруженное на рабочую станцию может использоваться для различных целей:
1. Для эксплуатации уязвимостей ПО на рабочей станции или внутри сети организации, для повышения привилегий или получения доступа к ресурсам внутри сети, перехвата управления сетью.
2. Для создания бакдоров, с целью дальнейшего получения удаленного доступа.
3. Для кражи, блокирования или уничтожения информации.
4. Перехвата трафика внутри сети, в том числе получения паролей или хэшей паролей.
1.3 Организационные мероприятие предоставления удаленного доступа.
Предоставление удаленного доступа пользователям, как и предоставления доступа к тем или иным ресурсам должно вне зависимости способа предоставления должно быть обосновано и соответствовать Политике информационной безопасности принятой в организации.
Учетная запись должна быть наделена минимально необходимыми полномочиями, исключающими ее использование в целях, отличных от тех, для которых она была создана. Это касается в том числе предоставлением пользователям прав удаленного доступа. Удаленный доступ должен предоставляться только тем работникам, которым он необходим для выполнения работы, это может быть:
1. Работники отвечающие за администрирование информационных систем, чье оперативное вмешательство может потребоваться в любое время, в том числе за пределами рабочего времени.
2. Руководитель и его заместители, доступ которым необходим для организации работы предприятия и принятия оперативных решений.
3. Работники находящиеся на удаленном режиме работы.
4. Работники ушедшие в отпуск или на больничный, на случай решения оперативных вопросов возникающих в их отсутствие.
При предоставление удаленного доступа, работнику должна быть дана оценка по следующим критериям:
1. Необходимость предоставления работником работ на удаленном доступе, эту оценку дает или руководитель организации, или руководитель работника.
2. Надежность работника — возможность доверить работнику удаленное подключение к рабочему столу. Эту оценку может дать или руководитель организации или служба безопасности организации.
Предоставление доступа должно предоставляться на определённый период времени. В случае с руководством организации, работников отвечающих за информационные системы или работающих на удаленном режиме работы этот период можно обозначить как на период работы на предприятии. При этом, систематически должная проходить инвентаризация предоставленных прав доступа и подтверждение их необходимости. С течением времени в организации может изменится ситуация, работник с удаленного графика может быть переведен на работу в офисе, работник отвечающий за обслуживание сервер может переведен на оказание поддержки пользователям при этом права