Файл: Образовательная программа по специальности Информационная безопасность автоматизированных систем Форма обучения очная Руководитель вкр поколодина Елена Владиславна.docx

ВУЗ: Не указан

Категория: Не указан

Дисциплина: Не указана

Добавлен: 23.11.2023

Просмотров: 60

Скачиваний: 3

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
удаленный доступ для выполнения работ им более будет не нужен и должен быть своевременно прекращен.
Удаленный доступ - технология взаимодействия абонентских систем с локальными сетями через территориальные коммуникационные сети. Удаленный доступ осуществляется посредством сервера удаленного доступа. При удаленном доступе используются модели "дистанционного управления" и "удаленной системы "[1].

Удаленный доступ представляет собой функцию, позволяющую пользователю подключаться к компьютеру через Интернет с помощью другого ПК. Условием для применения такой опции является включенный компьютер, к которому нужно подключиться, а также установленная и запущенная функция удаленного доступа. Осуществить такое соединение можно при помощи любого ПК, подсоединенного к Сети, устанавливать удаленный доступ на эту машину не требуется. Опция открывает возможность пользователю использовать свой компьютер удаленно, и обеспечивает следующие дополнительные возможности:

  • Доступ к файлам. Можно производить отправку файлов, специфические размеры или характеристики которых не позволяют отправить их по электронной почте. Посредством удаленного доступа генерируется безопасная ссылка, она может пересылать другим пользователям с целью загрузки данных с удаленного ПК.

  • Передача файлов. Это возможность копирования файлов и папок на текущий компьютер с удаленной машины или наоборот.

  • Гостевой доступ. Представляет собой безопасную опцию, позволяющею получать доступ для решения какой-то конкретной задачи на удаленном компьютере, предоставляя доступ к рабочему столу и возможность контролировать клавиатуру и мышь.

  • Сопровождение программ, а также организация работы на предприятии.

Для того чтобы оказать удаленную поддержку требуется соблюдение таких условий:

  • Наличие высокоскоростного доступа к сети Интернет;

  • Внешний статический ip адрес;

  • Установленная на ПК пользователя операционная система не ниже Windows XP Professional SP2;

  • Настроенный доступ необходимый для управления Удалённым помощником или Удалённым рабочим столом;

  • Наличие на машине пользователя учетной записи с правами администратора;

  • Отсутствие вмешательств в работу в период оказания поддержки.

Возможности соединения:

Удаленный рабочий стол. Хостом может выступать Windows XP Professional, управлять которым удается с другой машины работающей в среде Windows, версия которого не имеет основополагающего значения.


Посредством такого приложения осуществляется удаленное управление.

Работа с Remote Desktop предусматривает такие аспекты:

  1. Для обеспечения безопасности удаленный рабочий стол не должен по умолчанию активироваться при инсталляции. Приложение требует запуска через панель управления системы (Control Panel).

  2. Удаленный рабочий стол применяет учетные записи пользователя ПК (администратора) с осуществлением текущей регистрации на хосте. Поэтому подключение к машине удаленного пользователя сопровождается получением пустого экрана при запуске компьютера.

Применение других программ контроля дает возможность пользователю, находящегося возле хост-машины отслеживать происходящее на экране.

Удаленный помощник. Приложение Windows XP Professional под

названием Remote Assistance (Удаленный помощник) имеет значительное

преимущество над Remote Desktop - возможность обеими сторонами


7

наблюдать и осуществлять контроль над происходящими на экране действиями. Работоспособность этой опции возможна при таком условии - установка на оба ПК Windows XP Professional. Она не будет функционировать с предыдущими версиями системы и с Windows XP Home Edition. Инициировать сеанс удаленного помощника можно по электронной почте или посредством Windows Messenger. Могут возникнуть трудности с инициированием сеанса в следующих случаях:

  • Блокировка порта 3389, которая возникает из-за защиты одной из машин файрволом, например, брандмауэром Windows;

  • Использование сетевой трансляции адресов, например, Network Address Translation, NAT, использование сети провайдера, не предоставляющего внешнего Интернет IP адреса.

Для работы удаленного доступа ставится специальная программа, которая относится к категории систем удаленного доступа.

  1. Как работает удаленный доступ

Для того чтобы подключиться удаленно к компьютеру предварительно нужно поставить программу удаленного доступа.

Ставится программа. При установке обязательно ставится пароль для подключения. Без этого пароля подключиться к компьютеру невозможно. Также компьютеру присваивается персональный идентификационный номер. Т.е. для подключения к компьютеру требуется знать этот номер и пароль, без этого подключиться к нему невозможно.

Таким образом программу удаленного доступа уже установили, настроили. Допустим у вас не работает электронная почта. Вы звоните, и сообщаете об этом. На рабочем компьютере открывается программа для подключения, вводится ip-адрес компьютера, система запрашивает пароль и если пароль правильный, то пользователь получает удаленный доступ для управления на рабочем АРМ.

  1. Стандарт управления правами доступа к корпоративным файловым информационным ресурсам

Что может быть проще, чем разграничить права на папку в NTFS? Но эта простая задача может превратиться в настоящий кошмар, когда подобных папок сотни, если не тысячи, а изменение прав к одной папке «ломает» права на другие. Чтобы эффективно работать в подобных условиях, требуется определенная договоренность, или стандарт, который бы описывал, как решать подобные задачи. В данной статье мы как раз и рассмотрим один из вариантов подобного стандарта.

Сфера действия

Стандарт управления правами доступа к корпоративным файловым информационным ресурсам (далее - Стандарт) регламентирует процессы предоставления доступа к файловым информационным ресурсам, размещенным на компьютерах, работающих под управлением операционных систем семейства Microsoft Windows. Стандарт распространяется на случаи, когда в качестве файловой системы используется NTFS, а в качестве сетевого протокола для совместного доступа к файлам SMB/CIFS.

Термины и определения

Информационный ресурс - поименованная совокупность данных, к которой применяются методы и средства обеспечения информационной безопасности (например, разграничение доступа).

Файловый информационный ресурс - совокупность файлов и папок, хранящихся в каталоге файловой системы (который называется корневым каталогом файлового информационного ресурса), доступ к которой разграничивается.

Составной файловый информационный ресурс - это файловый

информационный ресурс, содержащий в себе один или несколько вложенных

файловых информационных ресурсов, отличающихся от данного ресурса

правами доступа.

Вложенный файловый информационный ресурс - это файловый

9

информационный ресурс, входящий в составной информационный ресурс.

rp 1 w w 1 w 1 w w

1очка входа в файловый информационный ресурс - каталог файловой системы, к которому предоставляется сетевой доступ (shared folder) и который используется для обеспечения доступа к файловому информационному ресурсу. Данный каталог обычно совпадает с корневым каталогом файлового информационного ресурса, но может быть и вышестоящим. Промежуточный каталог - каталог файловой системы, находящийся на пути от точки входа в файловый информационной ресурс к корневому каталогу файлового информационного ресурса. Если точка входа в файловый информационный ресурс является вышестоящим каталогом по отношению к корневому каталогу файлового информационного ресурса, то она также будет являться промежуточным каталогом. Группа доступа пользователей - локальная или доменная группа безопасности, содержащая в конечном счете учетные записи пользователей, наделенные одним из вариантов полномочий доступа к файловому информационному ресурсу.

Основные принципы

  1. Доступ разграничивается только на уровне каталогов. Ограничение доступа к отдельным файлам не проводится.

  2. Назначение прав доступа выполняется на базе групп безопасности. Назначение прав доступа на отдельные учетные записи пользователей не проводится.

  3. Явно запрещающие полномочия доступа (deny permissions) не применяются.

  4. Разграничение прав доступа проводится только на уровне файловой системы. На уровне сетевых протоколов SMB/CIFS права не разграничиваются (Группа «Все» - полномочия «Чтение/Запись» / Everyone - Change).

  5. При настройке сетевого доступа к файловому информационному

ресурсу в настройках SMB/CIFS устанавливается опция «Перечисление на

основе доступа (Access based enumeration)».

10

  1. Создание файловых информационных ресурсов на рабочих станциях пользователей недопустимо.

  2. Не рекомендуется размещать файловые информационные ресурсы на системных разделах серверов.

  3. Не рекомендуется создавать несколько точек входа в файловый информационный ресурс.

  4. Следует по возможности избегать создание вложенных файловых информационных ресурсов, а в случаях, когда имена файлов или каталогов содержат конфиденциальную информацию, это вовсе недопустимо

Модель разграничения доступа

Доступ пользователей к файловому информационному ресурсу предоставляется путем наделения их одним из вариантов полномочий:

  • Доступ «Только на чтение (Read Only)».

  • Доступ «Чтение и запись (Read & Write)».

В подавляющем количестве задач разграничения доступа подобных вариантов полномочий доступа будет достаточно, но при необходимости возможно формирование новых вариантов полномочий, например, «Чтение и запись, кроме удаления (Read & Write without Remove)». Для реализаций новый полномочий необходимо будет уточнить пункт В.3 Таблицы 1, в остальном применение Стандарта останется неизменным.

Правила именования групп доступа пользователей Имена групп доступа пользователей формируются по шаблону: FILE-Имя файлового информационного ресурса-аббревиатура полномочий

Имя файлового информационного ресурса

должно совпадать с UNC именем ресурса или состоять из имени сервера и

11

локального пути (если сетевой доступ к ресурсу не предоставляется). При необходимости в данном поле допускаются сокращения. Символы «\\» опускаются, а «\» и «:» заменяются на «-».

Аббревиатуры полномочий:

  • RO — для варианта доступа «Только на чтение (Read Only)»

  • RW — для варианта доступа «Чтение и запись (Read & Write)».

Пример 1

Имя группы доступа пользователей, имеющих полномочия «Только чтение» для файлового информационного ресурса с UNC именем \\FILESRV\Report, будет:

FILE-FILESRV-Report-RO

Пример 2

Имя группы доступа пользователей, имеющих полномочия «Чтение и запись» для файлового информационного ресурса, размещенного на сервере TERMSRV по пути D:\UsersData, будет:

FILE-TERMSRV-D-UsersData-RW

Шаблон прав доступа к каталогам файлового информационного ресурса

Таблица 1 - Шаблон NTFS-прав доступа для корневого каталога файлового информационного ресурса.

Субъекты Права Режим наследовг

Наследование прав доступа от вышестоящих каталогов отключено

А) Обязательные права


Специальная учетная Полный доступ (Full

запись: access)

«СИСТЕМА (SYSTEM)»

Для этой п подпапок и файлов (г subfolders and files)


Локальная

безопасности:

«Администраторы

(Administrators)»

группа Полный доступ (Full

access)

Для этой п подпапок и файлов (г subfolders and files)


Б.1) Полномочия «Только чтение (Read Only)»



Группа пользователей: «FILE-Имя ресурса-RO»

Базовые права:


доступа
а) чтение и выполнение (read & execute);

б) список содержимого папки (list folder contents);

в) чтение (read);

Для этой п подпапок и файлов (г subfolders and files)


Б.2) Полномочия «Чтение и запись (Read & Write)»



Группа пользователей: «FILE-Имя ресурса-RW»

Базовые права:


доступа
а) изменение (modify);

б) чтение и выполнение (read & execute);

в) список содержимого папки (list folder contents);

г) чтение (read);

д) запись (write);

Для этой п подпапок и файлов (г subfolders and files)

Б.3) Другие полномочия при их наличии

Группа доступа Согласно Для этой п

пользователей: полномочиям подпапок и файлов (г

«FILE-Имя ресурса- subfolders and files)

аббревиатура полномочий»

Табилца 2 - Шаблон NTFS-прав доступа для промежуточных каталогов файлового информационного ресурса.

Субъекты Права Режим

наследовани

Наследование прав доступа от вышестоящих каталогов включено, но есл каталог является вышестоящим по отношению к файловым информационным рес входит ни в один другой файловый информационный ресурс, то наследование откл

А) Обязательные права



Полный доступ (Full

Для эт ее подпапок (This folder, and files)

access)

Специальная учетная запись: «СИСТЕМА (SYSTEM




Локальная

безопасности:


Для эт ее подпапок (This folder, and files)
«Администраторы»

группа Полный доступ (Full

access)


Б.1) Полномочия «Проход через каталог (TRAVERSE)»

Группы доступа Дополнительные Толькс

пользователей информационных параметры безопасности: папки (This f

а) траверс папок / выполнение файлов (travers folder / execute files);

б) содержимое папки / чтение данных (list folder / read data);

в) чтение атрибутов (read attributes);

в) чтение дополнительных атрибутов (read extended attributes);


ресурсов, для которых этот каталог является промежуточным
г) чтение разрешений (read permissions);

Бизнес процессы управления доступом к файловым информационным ресурсам

А. Создание файлового информационного ресурса

при создании файлового информационного ресурса выполняются следующие действия:

  1. Создаются группы доступа пользователей. Если сервер, на котором размещен файловый информационный ресурс, является членом домена, то создаются доменные группы. Если нет, то группы создаются локально на сервере.

  2. На корневой каталог и промежуточные каталоги файлового информационного ресурса назначаются права доступа согласно шаблонам прав доступа.

  3. В группы доступа пользователей добавляются учетные записи пользователей в соответствии с их полномочиями.

  4. При необходимости для файлового информационного ресурса создается сетевая папка (shared folder).

Б. Предоставление пользователю доступа к файловому информационному ресурсу

Учетная запись пользователя помещается в соответствующую группу доступа пользователя в зависимости от его полномочий.

В. Изменение доступа пользователя к файловому информационному ресурсу Учетная запись пользователя перемещается в другую группу доступа пользователей в зависимости от указанных полномочий.

Г. Блокирование доступа пользователя к файловому информационному ресурсу

Учетная запись пользователя удаляется из групп доступа пользователей файлового информационного ресурса. Если работник увольняется, то членство в группах не меняется, а блокируется учетная запись целиком. Д1. Создание вложенного файлового информационного ресурса. Расширение доступа

Данная задача возникает, когда к некоторому каталогу файлового информационного ресурса необходимо предоставить доступ дополнительной группе лиц (расширить доступ). При этом выполняются следующие мероприятия:

  1. Регистрируется вложенный файловый информационный ресурс (согласно процессу А)

  2. В группы доступа пользователей, вложенного файлового информационного ресурса, добавляются группы доступа пользователей вышестоящего составного файлового информационного ресурса. Д2. Создание вложенного файлового информационного ресурса. Сужение доступа

Данная задача возникает, когда к некоторому каталогу файлового информационного ресурса необходимо ограничить доступ и предоставить его только ограниченной группе лиц:

  1. Регистрируется вложенный файловый информационный ресурс (согласно процессу А)

  2. В группы доступа пользователей создаваемого информационного ресурса помещаются те учетные записи пользователей, которым требуется предоставить доступ.

Е. Изменение модели предоставления доступа к файловому информационному ресурсу

В случаях, когда к стандартным вариантам полномочий «Только чтение (Read only)» или «Чтение и запись (Read & Write)» необходимо добавить новые типы полномочий, например, «Чтение и запись, кроме удаления (Read & Write without Remove)» выполняют следующие действия:

  1. Организационными (или техническими, но не связанными с изменением прав доступа к каталогам файловой системы) мерами блокируется доступ пользователей к данному и всем вложенным файловым информационным ресурсам.

  2. К корневому каталогу файлового информационного ресурса назначаются новые права доступа, при этом заменяются права доступа для всех дочерних объектов (активируется наследие).

  3. Перенастраиваются права доступа для всех вложенных информационных ресурсов.

  4. Настраиваются промежуточные каталоги для данного и вложенных информационных ресурсов.

Проблемы безопасности сервера

  1. Основные проблемы безопасности удаленного доступа

В современном мире многие пользуются переносными устройствами такими как телефон или ноутбук и это позволяет сотруднику работать в более комфортных условия, но является ли это безопасным? Ведь сотрудник может получить доступ к информации независимо от местоположения, а это значит, что в случае утери своего гаджета информацию может получить третье лицо, что нарушает основы безопасности. Для решения данного вопроса существуют следующие системы:

1. MDM (Mobile device manager) - это система, которая позволяет удаленного управлять мобильным устройством, будь то гаджет компании или личный телефон сотрудника. У данной системы есть свои плюсы и минусы.

Основной плюс заключается в том, что доступ к информации имеет парольную систему и в случае утери гаджет придется взламывать. Также достоинством является управляемое удаление данных с устройства с случае утери или краже.

Минус заключается в том, что с случае утери устройство должно быть подключено к сети для включения функции удаления, но если человек имеет опыт работы в IT сфере или же он знает про данную систему, то есть вероятность, что он сможет функцию удаления.

  1. Virtual DLP (Virtual Data Leak Prevention) - система предотвращения утечки данных. Данная система является наиболее перспективным. Данная система подразумевает выполнение следующих задач:

  1. Работа с информацией в виртуальной среде, что обеспечивает безопасную обработку;

  2. Работа с информацией происходит только в виртуальной среде на сервере;

  3. Обеспечение контроля передачи данных, а именно фильтр всех используемых каналов передачи/приема информации.

Правильная настройка серверов при установке • SSH-ключи:

В основе технологии — пара криптографических ключей, которые используют для проверки подлинности в качестве альтернативы аутентификации с помощью пароля. Система входа использует закрытый и открытый ключи, которые создают до аутентификации. Закрытый ключ хранится в тайне надежным пользователем, в то время как открытый ключ может раздаваться с любого сервера SHH, к которому нужно подключиться.
Чтобы настроить аутентификацию через SSH-ключи, вы должны поместить открытый ключ пользователя в специальной директории на сервере. Когда пользователь подключается к серверу, SSH увидит запрос соединения. Далее он использует открытый ключ, чтобы создать и отправить вызов. Вызов — зашифрованное сообщение, на которое нужен соответствующий ответ, чтобы получить доступ к серверу. Корректно ответить на сообщение сможет только держатель закрытого ключа. То есть только он может принять вызов и создать соответствующий ответ. Открытый же ключ используется для зашифровки сообщения, но это же самое сообщение расшифровать не может.

Вызов и ответ проходят незаметно для пользователя. Пока у вас есть закрытый ключ, который обычно хранится в зашифрованном виде в

/.ssh/, ваш клиент SSH сможет отправить правильный ответ серверу.

С помощью SSH любой вид аутентификации полностью зашифрован. Однако, если разрешена аутентификация на основе пароля, злоумышленники могут добраться до данных сервера. С помощью современных вычислительных мощностей можно получить доступ к серверу за счёт автоматизации попыток взлома, вводя комбинацию за комбинацией, пока правильный пароль не будет найдет.




Рисунок 1. SSH-подключение



Установив аутентификацию по SSH-ключам, вы сможете позабыть о паролях. Ключи имеют гораздо больше битов данных, чем пароли, что означает значительно большее число комбинаций, которые должны подобрать взломщики. Многие алгоритмы SSH-ключей считаются невзламываемыми современной вычислительной техникой просто потому, что они требуют слишком много времени для подбора совпадений.

SSH-ключи довольно легко настроить. Часто их применяют как способ удаленного входа в серверные среды Linux и Unix. Пара ключей генерируется на вашем компьютере, затем вы можете передать открытый ключ на серверы в течение нескольких минут.

Вот основные шаги по настройке ключей:

  1. Чтобы сгенерировать пару ключей на вашем компьютере, нужно ввести команду:

ssh-keygen -t rsa

  1. Как только вы ввели команду генерации ключей, вам предстоит ответить на пару вопросов, например, где сохранить файл и какую ключевую фразу выбрать. В целом результат будет выглядеть так:

ssh-keygen -t rsa

Generating public/private rsa key pair.

Enter file in which to save the key (/home/demo/.ssh/id_rsa):

Enter passphrase (empty for no passphrase):

Enter same passphrase again:

Your identification has been saved in /home/demo/.ssh/id_rsa.

Your public key has been saved in /home/demo/.ssh/id_rsa.pub.

The key fingerprint is:

4a:dd:0a:c6:35:4e:3f:ed:27:38:8c:74:44:4d:93:67 demo@a The key’s randomart image is:

+--[ RSA 2048]----+

| .°°. |

I . o.E |
+-

  1. Как только у вас будут ключи, разместите открытый ключ на виртуальный сервер, который собираетесь использовать. Получится что-то похожее на это:


-+

+ . o

= S = . o + = +

. o + o . . o
The authenticity of host ’12.34.56.78 (12.34.56.78)’ can’t be established.

RSA key fingerprint is b1:2d:33:67:ce:35:4d:5f:f3:a8:cd:c0:c4:48:86:12.

Are you sure you want to continue connecting (yes/no)? yes

Warning: Permanently added ’12.34.56.78’ (RSA) to the list of known hosts.

user@12.34.56.78’s password:

Now try logging into the machine, with "ssh ’user@12.34.56.78’", and check

in:

/.ssh/authorized_keys Если чувствуете, что вам всё ещё нужен пароль аутентификации на ваших серверах, присмотритесь к решениям типа Fail2ban, которые ограничивают число попыток ввода пароля.

Фаерволы

Брандмауэр — часть программного или программно-аппаратного

обеспечения, которая фильтрует сетевой трафик и контролирует доступ к сети. Это означает блокирование или ограничение доступа к каждому открытому порту, кроме исключений.
На типичном сервере ряд компонентов фаервола запущен по умолчанию. Их можно разделить на группы

  • Открытые службы, к которым может подключиться каждый в интернете, часто анонимно. Хороший пример — веб-сервер, который разрешает доступ к вашему сайту.



    Рисунок 2. Использование файрвол

  • Закрытые службы, которые доступны только из определенных мест или авторизованным пользователям. Пример — панель управления сайтом или базой данных.

  • Внутренние службы, доступные внутри самого сервера, без доступа к внешним источникам. Например, база данных, которая принимает только локальные соединения.

Применение брандмауэра гарантирует, что доступ к программному обеспечению и данным будет ограничен в соответствии с вышеуказанными категориями. Закрытые службы могут настраиваться по множеству параметров, что дает гибкость в построении защиты. Для не использующихся портов можно настроить блокировку в большинстве конфигураций.

Как фаервол повышает безопасность?

Брандмауэры — неотъемлемая часть любой конфигурации сервера. Даже если ваше программное обеспечение имеет внутренний защитный функционал, фаервол обеспечит дополнительный уровень защиты.

Тщательно настроенный брандмауэр будет блокировать доступ ко всему, для чего вы сами не назначите исключение. Уязвимые для атаки компоненты, прикрытые фаерволом, уменьшат поверхность атаки на сервер.

Насколько сложно реализовать фаервол?

Есть много брандмауэров, доступных на LAMP-серверах. В целом установка фаервола займет всего несколько минут и нужна в двух случаях: при первоначальной настройке сервера и при изменении конкретных служб уже работающего сервера.

В этой статье мы не будем рекомендовать конкретные фаерволы, это тема отдельного разговора.

VPN и Private networking

VPN (виртуальная частная сеть) — способ создать защищенное соединение между удаленными компьютерами и текущим соединением. Дает возможность настроить свою работу с сервером таким образом, словно вы используете защищенную локальную сеть.


Как VPN повышает безопасность?

1—I Л"



Рисунок 3. использование VPN

Если выбирать между частной и общей сетью, первый вариант всегда предпочтительнее. При этом стоит помнить, что пользователи дата-центра связаны одной сетью, вы должны максимально избавить себя от рисков, приняв дополнительные меры для безопасной связи между серверами.

Использование VPN, по сути, способ создать частную сеть, которую могут видеть только ваши серверы. Связь будет полностью приватной и безопасной. Кроме этого, VPN можно настроить для отдельных приложений и служб, чтобы их трафик проходил через виртуальный интерфейс. Таким образом, можно обезопасить процессы внутри компании, открыв общественный доступ только для клиентской стороны, а внутреннею часть работы сервера скрыть VPN.

Насколько сложно реализовать VPN?

Частные сети дата-центров, как услуга — это просто. Сложность ограничена только параметрами вашего сервера, его интерфейсом, фаерволом и приложениями, с которыми вы работаете. Имейте в виду, что в дата-центрах используются большие частные сети, которые объединяют множество серверов, не только ваших.

Что касается VPN, начальная установка немного сложнее, но повышенная безопасность стоит затраченных средств в большинстве случаев. Каждый сервер на VPN необходимо установить и настроить, используя общие данные и конфигурации безопасности, необходимые для защищенного соединения. После того, как вы запустите VPN, нужно настроить программное обеспечение на использование VPN-туннеля.

PKI и SSL/TLS шифрование

Инфраструктура открытых ключей (PKI) — совокупность систем, которые предназначены для создания, управления и проверки сертификатов для идентификации лиц и шифрования передаваемых данных. После аутентификации, они также могут быть использованы для шифрованной связи.
Как SSL повышает безопасность?

Создание центра сертификации и управления сертификатами для




Рисунок 4. Использование SSl/TSL шифрования
серверов позволяет каждому в пределах серверной инфраструктуры

шифровать свой трафик и использовать проверки идентичности других

пользователей. PKI поможет предотвратить атаки посредника (man-in-the-

middle), когда злоумышленник имитирует поведение сервера в вашей

инфраструктуре, чтобы перехватить трафик или подменить сообщение.

25

Каждый сервер можно настроить таким образом, чтобы все участники проходили аутентификацию через удостоверяющий центр, который создает пару ключей: открытый и закрытый. УЦ может раздавать открытые ключи всем участникам, у которых низкий уровень доверия друг к другу, но высокий к УЦ. Только последний может подтвердить принадлежность открытого ключа к его владельцу.

Если вы используете приложения и протоколы, которые поддерживают TLS/SSL шифрование, то это способ снизить расходы на VPN (в которых часто используют SSL).

Насколько сложно реализовать SSL?

Настройка центра сертификации и остальной части инфраструктуры может потребовать от вас много первоначальных усилий. Кроме того, управление сертификатами — дополнительная нагрузка на администрирование: новые сертификаты надо создавать, подписывать и аннулировать при необходимости.

Для многих пользователей внедрение полноценной инфраструктуры открытых ключей имеет больше смысла только при значительном росте инфраструктуры. Связь через VPN может быть хорошей мерой защиты серверов, пока компания не достигнет точки, где без PKI и дополнительных вложений в администрирование не обойтись.

Услуги аудита

До сих пор мы говорили о технологиях, повышающих защиту серверов. Однако, большая часть безопасности лежит на анализе вашей системы. Понимание доступных поверхностей атак и того, какие компоненты системы нужно блокировать, дадут вам лучший результат защиты.

Аудит — процесс, который показывает, какие службы работают в вашей серверной инфраструктуре. Часто операционная система по умолчанию

настроена на загрузку и запуск определенных компонентов при включении.

Аудит поможет вам проанализировать какие порты использует система, какие принимаются протоколы. Эта информация может помочь настроить ваш брандмауэр.

Как аудит повышает безопасность?

Серверы запускают много процессов для внутренних целей и для обработки внешних данных. Каждый процесс — потенциальная угроза атаки на сервер.

После того, как вы получите представление о том, как именно работает ваша инфраструктура, приступайте к анализу. Для каждого процесса есть несколько проверочных вопросов:

  • Должен ли сервис запускаться без разрешения?

  • Запущен ли сервис в интерфейсе, в котором нет необходимости? Должен ли он быть привязан к одному IP?

  • Правильно ли структурирована работа файрвола, если пропускает трафик этого процесса?

  • Не пропускает ли ваш файрвол нежелательный трафик, исходящий от конкретного процесса?

  • Есть ли у вас способ получать уведомления безопасности в случае уязвимости для каждой из служб?

Аудит такого типа — обязательная практика настройки любого нового сервера.

Насколько сложно реализовать аудит?

Базовый аудит очень прост. Вы можете узнать какая служба прослушивается на каждом интерфейсе используя команду netstat. Простой пример, который показывает имя программы, идентификатор процесса (PID), адреса для прослушивания TCP и UDP трафика:

sudo netstat -plunt Вы уведите примерно следующий результат:
Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address PID/Program name

tcp 0 0 0.0.0.0:22 0.0.0.0:*


State
tcp 0 0 0.0.0.0:80 0.0.0.0:*

tcp6 0 0 :::22

tcp6 0 0 :::80

Foreign Address

LISTEN 887/sshd LISTEN 919/nginx LISTEN 887/sshd LISTEN 919/nginx


Обратите внимание на столбцы Proto, Local Address и PID/Program name. Если там значится 0.0.0.0, тогда служба принимает соединения на всех интерфейсах.

Аудит файлов и система обнаружения вторжений

Аудит файлов - процесс сравнения состояния текущей системы с записями файлов и характеристиками вашей системы, когда она находится в исправном состоянии. Метод применяется для обнаружения изменений, при которых нужна авторизация.

Ежедневный аудит файловой системы

3 критически важных файла X/etc/shadow изменились со вчерашнего дня! х/etc/hosts

Рисунок 5. Аудит файлов

Система обнаружения вторжений (IDS) — часть программного обеспечения, которая контролирует систему или сеть на несанкционированные действия. Многие хостинговые IDS используют аудит файлов как метод проверки на изменения в системе.

Как аудит файлов повышает безопасность?

Подобно аудиту обслуживания серверов из примера выше, это очень полезный метод повышения защиты. Периодически проводить аудит файлов может сетевой администратор или это можно делать автоматически с помощью IDS.

Аудит файлов — один из немногих способов увериться в том, что ваша файловую систему не изменена кем-либо из пользователей или процессом. По многим причинам, взломщики часто хотят остаться незамеченными, чтобы использовать сервер в течение долгого времени. Они могут заменить файлы во взломанной версии. Ведение файлового аудита подскажет вам, какие файлы были изменены, это позволит быть уверенным в целостности вашей серверной среды.

Насколько сложно реализовать аудит файлов?

Внедрение IDS или проверка файлов может оказаться сложным процессом. Начальная настройка включает описание всех нестандартных изменений, которые вы сделали на сервере и всех путей, которые нужно исключить.

Проведение аудита делает повседневное управление серверами более трудоемким. Это усложняет процедуры обновления, так как вам нужно будет повторно проверять систему до запуска обновлений и после их установки, чтобы поймать изменения в версии программного обеспечения. Кроме этого, вам придется загружать отчеты в хорошо защищенное место, чтобы документы аудита не смог изменить злоумышленник.

и ^

С одной стороны аудит - это нагрузка на администрирование, с другой - это надежный способ защитить ваши данные от изменений.

Изолированная среда выполнения

Способ запуска компонентов системы в их собственном выделенном пространстве.
С помощью песочницы можно отделить ваши дискретные компоненты приложений на отдельные серверы. Уровень изоляции в значительной степени зависит от системных требований приложений и их места в вашей инфраструктуре.

Как изолированная среда выполнения повышает безопасность?



Рисунок 6. Использование изолированной среды

Разделяя ваши процессы в отдельные среды выполнения, вы повышаете способность быстро изолировать любые возможные угрозы. Подобно отсекам в кораблях, которые сдерживают бреши в корпусе и не дают судну утонуть, разделенные компоненты серверной инфраструктуры помогут отрезать взломщику доступ к другим частям системы.

Насколько сложно реализовать изолированную среду?

В зависимости от вида оболочки, которую вы выберите, изоляция может оказаться простой процедурой. Упаковывая ваши компоненты в контейнеры, вы сможете быстро достичь хороших показателей изоляции.

Настройка среды chroot для каждой части дает определенный уровень изоляции, но не полный. Лучший вариант — перемещение компонентов на выделенные машины, это значительно проще, но более затратно.

1   2   3

ГЛАВА 2. ПРАКТИЧЕСКАЯ ЧАСТЬ Для получения удаленного доступа к информации можно использовать три варианта:

  1. Использование Сервера;

  2. Разработка коммерческого сайта;

  3. Разработка Приложения для сотрудников.

Обеспечение безопасности на сервере. Для работы была использована программа VirtualBox, она помогает создать виртуальную операционную систему для последующей работы с ней.
Для обеспечения безопасности сервера необходимо создать пароль. Это можно сделать после установки операционной системы. После этого включается режим сервера для включения возможности удаленного доступа, чтобы сотрудники могли после подключения получить интерфейс, с которым могут работать.

Это позволит обеспечить безопасность от вредоносного программного обеспечения.




Рисунок 7. Главная страница VirtualBox



Далее переходим к настройкам брандмаурера для ограничения сети по менее защищенным портам, а именно такие порты как:

3389 - Стандартный порт RDP;



Рисунок 8. Включение режима удаленного управления

990 - FTPS;

5000-5050 - порты для работы FTP в пассивном режиме; 1433-1434 - стандартные порты SQL;

53 - DNS.
Далее, для примера, была использована команда ipconfig в командной строке. Эта виртуальная машина будет подключаться в последующем по ip адресу нашего сервера.

-iai xi



Рисунок 9. Брандмауэр Windows



Microsoft windows XP [Uersion 5.1.26001 | Copyright 1985-2001 Microsoft Corp.

C:\Documents and Settings\AuoidErrors>ipconfig

Windows IP Configuration

Ethernet adapter Local йгеа Connect io|^:


Connection-specific DNS Suffix

IP Address.

Subnet Mask


: hsdl.fl.concast.net. : 10.0.2.15 : 255.255.255.0 : 10.0.2.2
Default Gateway ........
AvoidErri

eC C:\WINDOWS\Syste...



Рисунок 10. Проверка ip-адреса

Далее переходим к настройкам сети в программе VitualBox и включил виртуальную машину в качестве сервера.

После изменения настроек наша виртуальная машина работает как сервер. Для подключения можно воспользоваться программой Remote Desktop



Рисунок 12. включение сетевого адаптера

Connection. С её помощью можно подключаться и работать на рабочем столе нашего сервера.
Использование личного кабинета

Многие современные сайты имеют функцию входа в личный кабинет. Это предполагает, что пользователь будет подстраивать сайт так как ему угодно, например, получение уведомлений и рассылок.



Рисунок 16. Проверка ip-адреса на после подключения к серверу

Так же с помощью сайтов можно получать информацию или же отправлять сообщения с документами.

Создается страница, DB.php, в котором будет храниться список пользователей.

Рисунок 17. DB.php с данными пользователей

Для использования базы данных необходимо её создать. Если сайт тестовый, то можно создать её в файле формата .php, но для более продвинутых сайтов необходимо создавать базу данных в MySQL.

37



function checkAuth(string $login, string $password): bool

{

$users = require DIR . '/usersDB.php';

foreach ($users as Suser) {

if ($user['login'] === $login

&& $user[’password'] === $password

) {

return true;

}

}

return false;

}

Рисунок 18. функция аутентификации пользователя

На рисунке представлена функция проверки логина и пароля. В результате, после ввода, логина и пароля начинается проверка поиск пользователя в базе данных, если пользователь будет найдет к нам вернется значение True, иначе - False.

Добро пожала Slogin ?>

Рисунок 19. Созданная страница

О Главная страница X

<- СО myproject.loc/

Авторизация