1 рівень VPN Міжмережеві екрани Поняття достовірної обчислювальної бази Політика безпеки Захист ОС Міжнародні стандарти ІБ Адаптивний підхід до безпеки Строга аутентифікація Механізм реалізації типових загроз в комп. мережах 4 способи ідентифікації та аутентифікації Віддалені атаки в комп. мережах Політика цілісності ))) Основні вразливості TCP/IP в комп. мережах Критерії оцінки захищеності НД ТЗІ 2.5-004-99 2 рівень Аутентифікація на основі разових паролів Схеми під’єднання брандмауера Типові схеми ідентифікації та аутентифікації Адреса порту Ядро безпеки та його механізми Структура IP-заголовку Принципи дотримання інтегральності даних Типи контролю доступу (політика конфіденційності) ISOSI або ІСОСІ хз Архітектера TCP/IP Методи соціальної інженерії Розмежування доступу до об’єктів ОС Класифікація загроз Чинники, що спричиняють компрометацію інформації IT SEC Класифікація систем виялення атак IDS 3 рівень Структура IP-адреси 4 категорії атак на КС Класи рівнів безпеки за оранжевою книгою VPN з віддаленим доступом ААА системи ІБ Класифікація VPN за способом технічної реалізації Переваги біометричних методів ідентифікації Двостороння аутентифікація з використанням hash-функції Брандмауер з ізольованою підмережею Повноважна ПБ (напевно рольова) Варіанти виконання міжмережевих екранів Екрануючі маршрутизатори 1 рівень 1.VPN VPN (Віртуальна приватна мережа, англ.VirtualPrivateNetwork) — це логічна мережа, створена поверх інших мереж, на базі загальнодоступних або віртуальних каналів інших мереж (Інтернет). Безпека передавання пакетів через загальнодоступні мережі може реалізуватися за допомогою шифрування, в наслідок чого створюється закритий для сторонніх канал обміну інформацією. VPN дозволяє об'єднати, наприклад, декілька географічно віддалених мереж організації в єдину мережу з використанням для зв'язку між ними непідконтрольних каналів. Прикладом створення віртуальної мережі використовується інкапсуляція протоколу PPP в будь-який інший протокол — IP (ця реалізація називається так само PPTP — Point-to-PointTunnelingProtocol) або Ethernet (PPPoE). Деякі інші протоколи так само надають можливість формування захищених каналів (SSH). Структура VPN Класифікація VPN VPN складається з двох частин: «внутрішня» (підконтрольна) мережа, яких може бути декілька, і «зовнішня» мережа, через яку проходять інкапсульовані з'єднання (зазвичай використовується Інтернет). Підключення до VPN віддаленого користувача робиться за допомогою сервера доступу, який підключений як до внутрішньої, так і до зовнішньої (загальнодоступною) мережі. При підключенні віддаленого користувача (або при установці з'єднання з іншою захищеною мережею) сервер доступу вимагає проходження процесу ідентифікації, а потім процесу аутентифікації. Після успішного проходження обох процесів, віддалений користувач (віддалена мережа) наділяється повноваженнями для роботи в мережі, тобто відбувається процес авторизації. Класифікація VPN за типом використовуваного середовища VPN класифікуються за типом використовуваного середовища так: Захищені Найпоширеніший варіант віртуальних приватних мереж. З його допомогою можливо створити надійну і захищену підмережу на основі ненадійної мережі, як правило, Інтернету. Прикладом захищених протоколів VPN є:Ipsec, SSL та PPTP. Прикладом використання протоколу SSL є програмне забезпечення OpenVPN. Довірчі Використовуються у випадках, коли передавальне середовище можна вважати надійним і необхідно вирішити лише завдання створення віртуальної підмережі в рамках більшої мережі. Питання забезпечення безпеки стають неактуальними. Прикладами подібних VPNрішенні є: Multi-protocollabelswitching (MPLS) і L2tp (Layer 2 TunnellingProtocol). (Коректніше сказати, що ці протоколи перекладають завдання забезпечення безпеки на інших, наприклад L2tp, як правило, використовується в парі з Ipsec). Рівні реалізації Зазвичай VPN утворюють на рівнях не вище мережевого, так як застосування криптографії на цих рівнях дозволяє використовувати в незмінному вигляді транспортні протоколи (такі як TCP, UDP). Користувачі MicrosoftWindows позначають терміном VPN одну з реалізацій віртуальної мережі - PPTP, причому вона частіше використовується не для створення приватних мереж. Найчастіше для створення віртуальної мережі використовується інкапсуляція протоколу PPP в який-небудь інший протокол - IP (такий спосіб використовує реалізація PPTP - Point-to-PointTunnelingProtocol) або Ethernet (PPPoE) (хоча і вони мають відмінності). Технологія VPN останнім часом використовується не тільки для створення приватних мереж, але і деякими провайдерами на пострадянському просторі для надання виходу в Інтернет. При належному рівні реалізації та використанні спеціального програмного забезпечення мережа VPN може забезпечити високий рівень шифрування переданої інформації. При правильному підборі всіх компонентів технологія VPN забезпечує анонімність в Мережі. За способом реалізації У вигляді спеціального програмно-апаратного забезпечення Реалізація VPN мережі здійснюється за допомогою спеціального комплексу програмно-апаратних засобів. Така реалізація забезпечує високу продуктивність і, як правило, високий ступінь захищеності. У вигляді програмного рішення Використовують персональний комп'ютер зі спеціальним програмним забезпеченням, що забезпечує функціональність VPN. Інтегроване рішення Функціональність VPN забезпечує комплекс, який займається також фільтрацією мережевого трафіку, організацією мережного екрану і забезпеченням якості обслуговування. За призначенням IntranetVPN Використовують для об'єднання в єдину захищену мережу кількох розподілених філій однієї організації, які обмінюються даними по відкритих каналах зв'язку. RemoteAccessVPN Використовують для створення захищеного каналу між сегментом корпоративної мережі (центральним офісом або філією) і одиночним користувачем, який, працюючи вдома, підключається до корпоративних ресурсів з домашнього комп'ютера, корпоративного ноутбука чи смартфона. ExtranetVPN Використовують для мереж, до яких підключаються «зовнішні» користувачі (наприклад, замовники або клієнти), яким обмежують доступ до особливо цінної, конфіденційної інформації. InternetVPN Використовується для надання доступу до інтернету провайдерами, у випадку якщо по одному фізичному каналу підключаються декілька користувачів. Client / ServerVPN Він забезпечує захист переданих даних між двома вузлами(не мережами) корпоративної мережі. Особливість даного варіанту втому, що VPN будується між вузлами, що перебувають, як правило, в одному сегменті мережі, наприклад, між робочою станцією і сервером. Така необхідність часто виникає в тих випадках, коли в одній фізичній мережі необхідно створити декілька логічних мереж. Наприклад, коли треба розділити трафік між фінансовим департаментом та відділом кадрів, що звертаються до серверів, які знаходяться в одному фізичному сегменті. Цей варіант схожий на технологію VLAN, але замість поділу трафіку, використовується його шифрування. За типом протоколу Існують реалізації віртуальних приватних мереж під TCP/IP, IPX і AppleTalk. На сьогоднішній день спостерігається тенденція до загального переходу на протокол TCP/IP, і абсолютна більшість VPNрішень підтримує саме його. Адресація в ньому найчастіше вибирається згідно зі стандартом RFC 5735, з діапазону Приватних мереж TCP/IP За рівнем мережевого протоколу За рівнем мережевого протоколу на основі зіставлення з рівнями еталонної мережевої моделі ISO/OSI. До VPN належать IPSec (IPsecurity) - часто використовується поверх IPv4. PPTP (point-to-pointtunnelingprotocol) - розроблявся спільними зусиллями декількох компаній, включаючи Microsoft. PPPoE (PPP (Point-to-Point Protocol) over Ethernet) L2TP (Layer 2 Tunnelling Protocol) - використовується в продуктах компаній Microsoft і Cisco. L2TPv3 (Layer 2 Tunnelling Protocol version 3). OpenVPNSSLVPN з відкритим вихідним кодом, підтримує режими PPP, bridge, point-to-point, multi-clientserver Багато великих провайдерів пропонують свої послуги з організації VPN-мереж для бізнес-клієнтів. 2. Міжмережеві екрани Фаєрвол, файрвол англ. Firewall, буквально «стіна від пожежі» — пристрій або набір пристроїв, сконфігурованих щоб допускати, відмовляти, шифрувати, пропускати через проксі весь комп'ютерний трафік між областями різної безпеки згідно з набором правил та інших критеріїв. Функції Фаєрвол може бути у вигляді окремого приладу (так званий маршрутизатор або роутер), або програмного забезпечення, що встановлюється на персональний комп'ютер чи проксі-сервер. Простий та дешевий фаєрвол може не мати такої гнучкої системи налаштувань правил фільтрації пакетів та трансляції адрес вхідного та вихідного трафіку (функція редиректу). В залежності від активних з'єднань, що відслідковуються, фаєрволи розділяють на: stateless (проста фільтрація), які не відслідковують поточні з'єднання (наприклад TCP), а фільтрують потік даних виключно на основі статичних правил; stateful (фільтрація з урахуванням контексту), з відслідковуванням поточних з'єднань та пропуском тільки таких пакетів, що задовольняють логіці й алгоритмам роботи відповідних протоколів та програм. Такі типи фаєрволів дозволяють ефективніше боротися з різноманітними DoS-атаками та вразливістю деяких протоколів мереж. Типи фаєрволів Для того щоб задовольнити вимогам широкого кола користувачів, існує три типи фаєрволів: мережного рівня, прикладного рівня і рівня з'єднання. Кожен з цих трьох типів використовує свій, відмінний від інших підхід до захисту мережі. Фаєрвол мережного рівня представлений екрануючим маршрутизатором. Він контролює лише дані мережевого і транспортного рівнів (див.Модель OSI) службової інформації пакетів. Мінусом таких маршрутизаторів є те, що ще п'ять рівнів залишаються неконтрольованими. Нарешті, адміністратори, які працюють з екрануючими маршрутизаторами, повинні пам'ятати, що у більшості приладів, що здійснюють фільтрацію пакетів, відсутні механізми аудиту та подачі сигналу тривоги. Іншими словами, маршрутизатори можуть піддаватися атакам і відбивати велику їх кількість, а адміністратори навіть не будуть проінформовані. Фаєрвол прикладного рівня також відомий як проксі-сервер (сервер-посередник).Фаєрволи прикладного рівня встановлюють певний фізичний поділ між локальною мережею і Internet, тому вони відповідають найвищим вимогам безпеки. Проте, оскільки програма повинна аналізувати пакети і приймати рішення щодо контролю доступу до них, фаєрволи прикладного рівня неминуче зменшують продуктивність мережі, тому в якості сервера-посередника використовуються більш швидкі комп'ютери. Фаєрвол рівня з'єднання схожий на фаєрвол прикладного рівня тим, що обидва вони являються серверами-посередниками. Відмінність полягає в тому, що фаєрволи прикладного рівня вимагають спеціального програмного забезпечення для кожної мережевої служби на зразок FTP або HTTP. Натомість, фаєрволи рівня з'єднання обслуговують велику кількість протоколів. 3. Поняття достовірної обчислювальної бази В надійної системі повинні реєструватися все що відбуваються, що стосуються безпеки (повинен використовуватися механізм підзвітності протоколювання, дополняющийся аналізом запомненной інформації, тобто аудитом). При оцінці ступеня гарантоване, з якою систему вважатимуться надійної, центральне його місце займає достовірна (надійна) обчислювальна база. Достовірна обчислювальна база (ДВІ) є повну сукупність захисних механізмів комп'ютерної системи, яка використовується для втілення у життя відповідної політики безопасности. Надежность ДВБ залежить виключно від її реалізації і коректності запроваджених даних (наприклад, даних про благонадійності користувачів, визначених администрацией). Граница ДВБ утворює периметр безпеки. Компоненти ДВБ, що містяться всередині цього кордону, повинні прагнути бути надійними (отже, для оцінки надійності комп'ютерної системи досить розглянути лише його ДВБ). Від компонентів, що є поза периметром безпеки, власне кажучи, не потрібно надійності. Але це на повинен проводити безпеку системи. Так як тепер широко застосовуються розподілені системи обробки даних, то під «периметром безпеки» розуміється кордон володінь певної організації, в підпорядкуванні якою цю систему. Тоді аналогії те, що всередині цього кордону, вважається надійним. З допомогою шлюзової системи, яка здатна протистояти потенційно ненадійному, і може бути навіть ворожому оточенню, здійснюється зв'язок цю границу. Контроль допустимості виконання суб'єктами певних операцій над об'єктами, тобто функції моніторингу, виконується достовірної обчислювальної базою. При кожному зверненні користувача до програмам чи даним монітор перевіряє допустимість цього звернення (узгодженість дії конкретного користувача з переліком дозволені нього дій). Реалізація монітора звернень називається ядром безпеки, на базі якої будуються все захисні механізми системи. Ядро безпеки має гарантувати власну неизменность. 4. Політика інформаційної безпеки Політика інформаційної безпеки — набір вимог, правил, обмежень, рекомендацій, які регламентують порядок інформаційної діяльності в організації і спрямовані на досягнення і підтримку стану інформаційної безпеки організації. Не варто плутати з політикою безпеки інформації — яка відноситься до безпеки інф. в інформаційно-телекомунікаційній системі.. Політика безпеки інформації є частиною загальної політики безпеки організації і повинна успадковувати основні її принципи. Необхідність впровадження Головною причиною запровадження політики безпеки зазвичай є вимога наявності такого документа від регулятора — організації, що визначає правила роботи підприємств даної галузі. У цьому випадку відсутність політики може спричинити репресивні дії щодо підприємства або навіть повне припинення його діяльності. Крім того, певні вимоги (рекомендації) пред'являють галузеві або загальні, місцеві чи міжнародні стандарти. Зазвичай це виражається у вигляді зауважень зовнішніх аудиторів, які проводять перевірки діяльності підприємства. Відсутність політики викликає негативну оцінку, яка в свою чергу впливає на публічні показники підприємства — позиції в рейтингу, рівень надійності і т.д. Цікаво, що, згідно з дослідженням з безпеки, проведеного компанією Deloitte в 2006 році, підприємства, які мають формалізовані політики інформаційної безпеки, значно рідше піддаються злому. Це свідчить про те, що наявність політики є ознакою зрілості підприємства в питаннях інформаційної безпеки. Те, що підприємство виразно сформулювало свої принципи і підходи до забезпечення інформаційної безпеки означає, що в цьому напрямку була проведена серйозна робота. Мета ПІБ Метою ПІБ має бути впровадження та ефективне управління системою забезпечення інформаційної безпеки, спрямованої на: захист інформаційних активів організації, забезпечення стабільної діяльності організації, мінімізації ризиків інформаційної безпеки, створення позитивних для організації інф. відносин з партнерами, клієнтами та всередині організації. Основним завданням інформаційної безпеки є захист інформаційних активів від зовнішніх та внутрішніх навмисних та ненавмисних загроз. Область застосування Політика розповсюджується на всі аспекти діяльності організації як інформаційної системи та застосовується до всіх активів організації, які можуть здійснювати певний ефект на важливі для існування організації об'єкти своєю відсутністю чи псуванням. Фактори неефективності Сама по собі наявність документа «Політика інформаційної безпеки», не принесе істотної користі підприємству, крім, можливо, формального аргументу в суперечці про присутність або відсутність у нього даної політики. Досвід показує, що неефективні політики безпеки можна розділити на добре сформульовані, але не практичні і на практичні, але погано сформульовані. Перша категорія найчастіше зустрічається у випадках, коли фахівці з питань безпеки підприємства недовго думаючи беруть готову політику (скажімо, з Інтернету) і, провівши мінімальні зміни, затверджують її для свого підприємства. Оскільки загальні принципи безпеки у різних підприємств, навіть різних галузей, можуть бути вельми схожі, такий підхід досить широко поширений. Однак його використання може привести до проблем, якщо від політики верхнього рівня знадобиться спуститися до документів нижнього рівня - стандартам, процедурам, методикам і т.д. Оскільки логіка, структура та ідеї вихідної політики були сформульовані для іншого підприємства, можливе виникнення серйозних труднощів, навіть протиріч в інших документах. Політики другої категорії зазвичай з'являються у випадках, коли виникає необхідність вирішити нагальні завдання. Наприклад, системний адміністратор, втомившись боротися зі спробами користувачів порушувати роботу мережі, протягом десяти хвилин накидає список з кількох «можна» і «не можна», називає його «Політикою» і переконує керівництво в необхідності його затвердження. Потім цей документ може роками використовуватися на підприємстві, створюючи іноді суттєві проблеми, наприклад при впровадженні нових систем, і породжуючи величезну кількість винятків для випадків, коли його порушення допускається. 5. Захист ОС ДУЖЕ ОБЄМНЕ ПИТАННЯ ТОМУ САМИЙ АДЕКВАТНИЙ КУСОК
6. Міжнародні стандарти ІБ Міжнародні стандарти в галузі ІБ -- зарубіжний досвід Стандартизація в галузі ІБ за кордоном розвивається вже не один десяток років, і деякі країни, наприклад Великобританія, мають величезний досвід в розробці стандартів - багато британських національні стандарти, такі як BS7799-1/2, з часом набули статусу міжнародних. З них і почнемо. Міжнародні стандарти ISO 27002 та ISO 27001 Мабуть, на сьогодні це найбільш популярні стандарти в області ІБ. ISO 27002 (перш за ISO 17799) містить звід рекомендацій щодо ефективної організації систем управління ІБ на підприємстві, зачіпаючи всі ключові області, зокрема: - формування політики ІБ; - безпека, пов'язана з персоналом; - безпека комунікацій; - фізична безпека; - управління доступом; - обробка інцидентів; - забезпечення відповідності вимогам законодавства. Стандарт ISO 27001 є збіркою критеріїв при проведення сертифікації системи менеджменту, за результатами якої акредитованим органом з сертифікації видається міжнародний сертифікат відповідності, що включається до реєстру. Відповідно до реєстру, у Росії в даний час зареєстровано близько півтора десятка компаній, що мають такий сертифікат, при загальному числі сертифікацій у світі понад 5000. Підготовка до сертифікації може здійснюватися силами самої організації, або консалтинговими компаніями, причому практика показує, що набагато простіше отримати сертифікат ISO 27001 компаніям, вже має сертифіковану систему управління (наприклад, якістю). Стандарти ISO 27001/27002 є представниками нової серії стандартів, остаточне формування якої ще не закінчено: в розробці знаходяться стандарти 27000 (основні принципи і термінологія), 27003 (керівництво з впровадження системи управління ІБ), 27004 (вимір ефективності системи управління ІБ) та інші - всього в серії 27000 передбачається понад 30 стандартів. Детальніше про склад серії і поточному стані її розробки можна дізнатися на офіційному сайті ISO (www.iso.org). Міжнародні стандарти ISO13335 та ISO 15408 Стандарт ISO 13335 є сімейством стандартів безпеки інформаційних технологій, що охоплюють питання управління ІТ-безпекою, пропонуючи конкретні захисні заходи і способи. В даний час відбувається поступове заміщення серії 13335 більш новою серією 27000. Стандарт ISO 15408 містить єдині критерії оцінки безпеки ІТ-систем на програмно-апаратному рівні (подібно до знаменитої Помаранчевої книзі, яка також відома як критерії оцінки TCSEC, або європейські критерії ITSEC), які дозволяють порівнювати результати, отримані в різних країнах. У цілому дані стандарти, хоча і містять лише технологічну частину, можуть використовуватися як незалежно, так і при побудові систем управління ІБ в рамках, наприклад, підготовки до сертифікації на відповідність ISO 27001. CobiT CobiT являє собою набір з близько 40 міжнародних стандартів та настанов в області управління ІТ, аудиту та безпеки і містить опису відповідних процесів та метрик. Основна мета CobiT полягає у знаходженні спільної мови між бізнесом, що має конкретні цілі, і ІТ, що сприяють їх досягненню, дозволяючи створювати адекватні плани розвитку інформаційних технологій організації. CobiT застосовується для аудиту та контролю системи управління ІТ організації і містить докладні описи цілей, принципів і об'єктів управління, можливих ІТ-процесів і процесів управління безпекою. Повнота, зрозумілі описи конкретних дій та інструментів, а також націленість на бізнес роблять CobiT гарним вибором при створенні інформаційної інфраструктури та системи управління нею. У наступній частині статті ми розглянемо деякі цікаві національні та галузеві закордонні стандарти, такі як NIST SP 800, BS, BSI, PCI DSS, ISF, ITU та інші. Міжнародний стандарт ISO 20000 Стандарт ISO 20000 замінив собою британський стандарт BS 15000. Він описує сервісну модель ІТ, реалізуючи положення спеціалізованої бібліотеки ITIL (IT Infrastructure Library - бібліотека інфраструктури ІТ) і концепцію ITSM (IT Service Management - управління ІТ-послугами). Стандарт висуває вимоги до процесів управління ІТ-сервісами і встановлює критерії оцінки, придатні для проведення сертифікацій відповідності. Так само, як і у випадку сертифікації по ISO 27001, наявність у організації сертифікату на будь-яку систему менеджменту спрощує процедуру підготовки до сертифікації на відповідність ISO 20000. На сьогоднішній день в Україні всього 6 організацій мають сертифікат ISO 20000. Міжнародний стандарт ISO 18044 Стандарт ISO 18044 розроблений відповідно до стандартів ISO 13335-1 та ISO 17799 (ISO 27002) і описує процес управління інцидентами ІБ, а також зусилля, які повинні бути зроблені на всіх етапах життєвого циклу процесу управління інцидентами - від планування та формування команди реагування до витягання уроків і вдосконалення. Він може застосовуватися як при створенні системи управління ІБ по ISO 27000, так і самостійно в рамках розробки єдиного ізольованого процесу. 7. Адаптивний підхід до безпеки З огляду на вимоги сучасного світу до побудови надійної системи захисту, різні організації, такі як, Центр ведення інформаційної війни ВВС США, DISA і інші, на основі методів мережевого керування стали розробляти ефективні підходи до рішення названих мною вище проблем. Ці роботи підхопили й інші компанії, які давно відомі на ринку засобів інформаційної безпеки. До таких компаній можна віднести Internet Security Systems (ISS), Network Associates (NAI), CheckPoint Technologies і т.д. У Росії аналогічні роботи веде НВП “Информзащита” [4]. Кожна компанія-розроблювач дала свою назву нової технології керування безпекою. Наприклад, ISS назвала свій підхід “моделлю адаптивної мережевої безпеки” (Adaptive Network Security Model, ANSM), компанія NAI своє рішення назвала “активною безпекою” (Active Security), а НИП “Информзащита” дотримується назви “технологія керування інформаційною безпекою “Беркут”. Але суть у всіх цих підходів одна – вони дозволяють забезпечувати захист у реальному режимі часу, адаптуючись до постійних змін в інформаційній інфраструктурі. Консалтингова компанія Yankee Group [5] у середині 1998 року опублікувала звіт, у якому адаптивна безпека мережі описується як процес, що містить: · технологію аналізу захищеності (security assessment) або пошуку слабких місць; · технологію виявлення атак (intrusion detection); · адаптивний компонент, що розширює дві перші технології; · керуючий компонентів. Аналіз захищеності – це пошук уразливих місць у мережі. Мережа складається із з’єднань, вузлів, хостів, робочих станцій, додатків і баз даних. Всі вони бідують як в оцінці ефективності їхнього захисту, так і в пошуку невідомих слабких місць у них. Засоби, що реалізують технологію аналізу захищеності, досліджують мережа й шукають “слабкі” місця в ній, узагальнюють ці відомості й створюють по них вичерпний звіт, що містить докладні рекомендації з усунення знайдених уразливостів. Якщо система, що реалізує цю технологію, містить і адаптивний компонент, то замість “ручного” усунення знайденої уразливості воно буде здійснюватися автоматично. Перелічимо деякі із проблем, аналізу захищеності: · “люки” у системах (back door) і програми типу “троянський кінь”; · слабкі паролі; · сприйнятливість до проникнення з незахищених систем і атакам типу “відмова в обслуговуванні”; · відсутність необхідних відновлень (patch, hotfix) операційних систем; · неправильне настроювання міжмережевих екранів, Web-Серверів і баз даних; · наявність працюючих у мережі модемів, тощо. Засоби аналізу захищеності працюють на першому етапі здійснення атаки. Виявляючи й вчасно усуваючи уразливості, вони тим самим, усувають саму можливість реалізації атаки, що дозволяє знизити витрати (фінансові, ресурсні, людські, і т.д.) на експлуатацію засобів захисту. Технології аналізу захищеності є діючим методом, що дозволяє проаналізувати й реалізувати політику мережевої безпеки перш, ніж здійсниться спроба її порушення зовні або зсередини організації. Виявлення атак є процесом оцінки підозрілих дій, які відбуваються в корпоративній мережі. Виявлення атак реалізується за допомогою аналізу або журналів реєстрації операційної системи й прикладного ПЗ, або мережевого трафіка в реальному часі. Компоненти виявлення атак, розміщені на вузлах або сегментах мережі, оцінюють різні дії, у тому числі і ті, що використовують відомі уразливості. Можна помітити, що засоби виявлення атак функціонують відразу на двох етапах – другому й третьому. На другому етапі ці засоби доповнюють традиційні механізми новими функціями, що підвищують захищеність корпоративної мережі. Наприклад, в описаному вище випадку з порушником, що вкрав пароль і проникнув у мережу через міжмережевий екран, система виявлення атак зможе виявити й запобігти діям, що відрізняють від нормального поводження користувача, у якого вкрали пароль. Також ефективно системи виявлення атак будуть блокувати й ворожі дії привілейованих користувачів (адміністраторів). І, нарешті, ці системи однаково ефективно функціонують і для захисту периметра корпоративної мережі, доповнюючи можливості міжмережевих екранів, і для захисту внутрішніх сегментів мережі. Тим більше що по статистиці до 70% всіх комп’ютерних інцидентів відбувається саме зсередини організації. Як приватний і найпоширеніший випадок застосування систем виявлення атак я хотів би привести ситуацію з неконтрольованим застосуванням модемів, які перетворюють мережа навіть захищену міжмережевим екраном у решето. Системи аналізу захищеності дозволяють виявити такі модеми, а системи виявлення атак – ідентифікувати й запобігти несанкціонованим діям, здійснювані через них. У звіті Yankee Group зазначено, що адаптація даних може полягати в різних формах реагування, які можуть включати: · посилку повідомлень системам мережевого керування по протоколу SNMP, по електронній пошті або на пейджер адміністраторові; · автоматичне завершення сесії з атакуючим вузлом або користувачем, реконфігурація міжмережевих екранів або інших мережевих пристроїв (наприклад, маршрутизаторів); · розробка рекомендацій адміністраторові, що дозволяють вчасно усунути (у т.ч. і автоматично) виявлені уразливості в мережах, додатках або інших компонентах інформаційної системи організації. Використання моделі адаптивної безпеки мережі дозволяє контролювати практично всі загрози, і вчасно реагувати на них високоефективним способом, що дозволяє не тільки усунути уразливості, які можуть привести до реалізації загрози, але й проаналізувати умови, що приводять до появи уразливостей. Ця модель також дозволяє зменшити зловживання в мережі, підвищити поінформованість користувачів, адміністраторів і керівництво компанії про події безпеки в мережі. 8. Строга аутентифікація Ідея строгої аутентифікації, що реалізується в криптографічних протоколах, полягає в наступному. Сторона, яку перевіряють доводить свою автентичність перевіряючій стороні, демонструючи знання деякого секрету. Наприклад, цей секрет може бути попередньо розподілений безпечним способом між сторонами аутентифікаційного обміну. Доказ знання секрету здійснюється за допомогою послідовності запитів і відповідей з використанням криптографічних методів і засобів. Суттєвим є факт, що сторона, яка доводить свою автентичність демонструє лише знання секрету, але сам секрет у ході аутентифікаційного обміну не розкривається. Це забезпечується за допомогою відповідей сторони, що доводить на різні запити перевіряючої сторони. При цьому результуючий запит залежить тільки від призначеного для користувача секрету і початкового запиту, який зазвичай представляє довільно вибране на початку протоколу велике число. У більшості випадків сувора аутентифікація полягає в тому, що кожен користувач автентифікується за ознакою володіння своїм секретним ключем. Інакше кажучи, користувач має можливість визначити, чи володіє його партнер по зв'язку належним секретним ключем і чи може він використовувати цей ключ для підтвердження того, що він дійсно є справжнім партнером по інформаційному обміну. Відповідно до рекомендацій розрізняють процедури строгої аутентифікації наступних типів: • одностороння аутентифікація; • двостороння аутентифікація; • тристороння автентифікація. Одностороння аутентифікація передбачає обмін інформацією тільки в одному напрямку. Двостороння аутентифікація в порівнянні з односторонньою містить додаткову відповідь перевіряючої сторони стороні, що доводить, яка повинна переконати її, що зв'язок встановлюється саме з тією стороною, якій були призначені аутентифікаційні дані; Тристороння аутентифікація містить додаткову передачу даних від сторони, що доводить до перевіряючої. Цей підхід дозволяє відмовитися від використання міток часу при проведенні аутентифікації. 9. Механізм реалізації типових загроз в комп. мережах Під загрозою безпеки інформації в комп'ютерній системі (КС) розуміють подія або дія, що може викликати зміну функціонування КС, пов'язану з порушенням захищеності оброблюваної в ній інформації. Атакою на КС називають дії, що робляться порушником, які полягають в пошуку і використанні тієї або іншої уразливості. Інакше кажучи, атака на КС є реалізацією загрози безпеки інформації в ній. Загрози інформаційної безпеки можуть бути розділені на загрози, які не залежать від діяльності людини (природні загрози фізичних впливів на інформацію стихійних природних явищ), і загрози, спричинені людською діяльністю (штучні загрози), які є набагато більш небезпечними. Штучні загрози виходячи з їхніх мотивів поділяються на ненавмисні (випадкові) і навмисні (умисні). До ненавмисних загроз відносяться: • помилки в проектуванні КС; • помилки в розробці програмних засобів КС; • випадкові збої в роботі апаратних засобів КС, ліній зв'язку, енергопостачання; • помилки користувачів КС; • вплив на апаратні засоби КС фізичних полів інших електронних пристроїв (при недотриманні умов їх електромагнітної сумісності) та ін До умисних загроз відносяться: • несанкціоновані дії обслуговуючого персоналу КС (наприклад, ослаблення політики безпеки адміністратором, який відповідає за безпеку КС); • несанкціонований доступ доресурсів КС з боку користувачів КС і сторонніх осіб, збиток від якого визначається отриманими порушником повноваженнями. У залежності від цілей навмисних загроз безпеки інформації в КС загрози можуть бути розділені на три основні групи: • загроза порушення конфіденційності, тобто витоку інформації обмеженого доступу, що зберігається в КС чи передається від однієї КС до іншої; • загроза порушення цілісності, тобто навмисного впливу на інформацію, що зберігається в КС чи передається між КС (зауважимо, що цілісність інформації може бути також порушена, якщо несанкціонована зміна або знищення інформації призводить до випадкових помилок в роботі програмних або апаратних засобів КС; санкціонованою є зміна або знищення інформації, зроблена уповноваженою особою з обгрунтованою метою); • загроза порушення доступності інформації, тобто відмови в обслуговуванні, викликаного навмисними діями одного з користувачів КС (порушника), при якому блокується доступ до деякого ресурсу КС з боку інших користувачів КС (постійно або на великий період часу). Опосередкованою загрозою безпеки інформації в КС є загроза розкриття параметрів підсистеми захисту інформації, що входить до складу КС. Реалізація цієї загрози дає можливість реалізації перелічених раніше безпосередніх загроз безпеки інформації. 10. 4 способи ідентифікації та аутентифікації Розрізняють такі способи ідентифікації та автентифікації: SYK (by somethingyouknow) – здійснюється за допомогою секретної інформації, якою володіє суб’єкт. Це може бути пароль, PIN-код, який-небудь ідентифікатор. Такий метод вимагає регулярної зміни секретної інформації, а також застосування певних вимог до неї, яким вона повинна відповідати (довжина, наявність певних елементів: великих і малих букв, цифр, символів). Цей метод є найбільш поширеним, завдяки своїй простоті, але має чимало недоліків. SYH (by somethingyouhave) – cуб‘єкт має якийсь предмет, за допомогою якого здійснюється його розпізнавання. Наприклад, смарт-карта, USB-токен, ключ, якими може володіти тільки певна особа. В більшості випадків такий метод забезпечує більш надійний захист, ніж парольний метод. Часто використовують комбінацію цих двох методів. SYA (by somethingyouare) – використовуються біометричні особливості людини (відбитки пальців, рук, райдужна оболонка ока, параметри обличчя, параметри голосу). У процесі біометричної аутентифікації еталонний і пред'явлений користувачем зразки порівнюють з деякою погрішністю, яка визначається і встановлюється заздалегідь. Похибка підбирається для встановлення оптимального співвідношення двох основних характеристик використовуваних параметрів біометричної аутентифікації: суб’єкт пройшов автентифікацію чи суб’єкт не пройшов автентифікацію. SYD (by something you do) – розпізнаваннязадіямилюдини. 11. Віддалені атаки в комп. мережах Віддалена атака – атака на розподілену компютерну мережу, що здійснюють програмні засоби каналами зв'язку. Така атака може бути здійснена на протоколи і мережні служби, а також на операційні системи та прикладні програми вузлів мережі. Типові віддалені атаки: - угадування паролів, або атаки за словником; - реєстрація та маніпуляції з мережним трафіком; - імпорт фальшивих пакетів даних; - підміна довіреного об'єкта в розподіленій системі; - упровадження в розподілену систему фальшивого об'єкта через нав'язування фальшивого маршруту; - відмова в обслуговуванні. Всі керуючі повідомлення і дані, що пересилаються однією компонентою мережевої ОС інший компоненті, передаються по мережевим з'єднанням у вигляді пакетів обміну. Ця особливість і є основною причиною появи нового класу загроз - віддалених атак. При даному типі атак зловмисник взаємодіє з одержувачем інформації, відправником і / або проміжними системами, можливо, модифікуючи і / або фільтруючи вміст TCP / IP-пакетів. Дані типи атак часто здаються технічно складними в реалізації, однак для гарного програміста не складає труднощів реалізувати відповідний інструментарій. Можливість формування довільних IP-пакетів є ключовим пунктом для здійснення активних атак. Віддалені атаки можна класифікувати за типом впливу: активне або пасивне. Активні атаки можна розділити на дві частини. У першому випадку зловмисник робить певні кроки для перехоплення і модифікації мережного потоку або спроб "прикинутися" іншою системою. У другому випадку протокол TCP / IP використовується для того, щоб привести систему-жертву в неробочий стан. При пасивних атаках зловмисники ніяким чином не виявляють себе і не вступають прямо у взаємодію з іншими системами. Фактично все зводитися до спостереження за доступними даними або сесіями зв'язку. 12. Політика цілісності Цілісність інформації [information integrity] — властивість інформації, яка полягає в тому, що інформація не може бути модифікована неавторизованим користувачем і (або процесом). Інформація зберігає цілісність, якщо дотримуються встановлені правила її модифікації (видалення). Політика цілісності повинна визначати склад системи захисту інформації (СЗІ), механізми контролю цілісності його компонентів та порядок їх використання. Політика цілісності СЗІ стосується: адміністратора безпеки; окремих компонентів системного та функціонального програмного забезпечення, які задіяні для реалізації механізмів захисту; засобів захисту інформації, а також технологічної інформації - і забезпечує взаємодію зазначених об’єктів. Політика реалізації послуги повинна гарантувати, що всі послуги безпеки доступні тільки через інтерфейс СЗІ і всі запити на доступ до захищених об'єктів контролюються СЗІ. Якщо існують обмеження, недотримання яких може призвести до надання послуг в обхід інтерфейсу СЗІ і порушення цілісності, то такі обмеження повинні бути описані і задокументовані. До користувачів має бути доведено порядок їх роботи з дотриманням цих обмежень, а СЗІ повинна надавати адміністратору можливість здійснення контролю за цим порядком. СЗІ повинна повідомляти адміністратора безпеки про порушення цілісності будь-якого компонента. WEB-сторінка під час цього має бути переведена до стану, в якому доступ до неї користувачів, крім адміністратора безпеки, заборонено. Повернення до нормального режиму функціонування може бути здійснено тільки адміністратором після відновлення відповідності цього компонента еталону. 13. Основні вразливості TCP/IP в комп. мережах Атаки на TCP / IP можна розділити на два види: пасивні та активні. Пасивні атаки на рівні TCP При даному типі атак крекери ніяким чином не виявляють себе і не вступають прямо у взаємодію з іншими системами. Фактично все зводитися до спостереження за доступними даними або сесіями зв'язку. Підслуховування Атаки полягають у перехопленні мережного потоку і його аналізі. Англомовні термін - "sniffing" Для здійснення підслуховування крекеру необхідно мати доступ до машини, розташованої на шляху мережного потоку, який необхідно аналізувати; наприклад, до маршрутизатора або PPP-серверу на базі UNIX. Якщо крекеру вдасться отримати достатні права на цій машині, то за допомогою спеціального програмного забезпечення він зможе переглядати весь трафік, що проходить через заданий інтерфейс. Оскільки TCP / IP-трафік, як правило, не шифрується, крекер, використовуючи відповідний інструментарій, може перехоплювати TCP / IP-пакети, наприклад, telnet-сесії і витягати з них імена користувачів і їх паролі. Активні атаки на рівні TCP При даному типі атак крекер взаємодіє з одержувачем інформації, відправником і / або проміжними системами, можливо, модифікуючи і / або фільтруючи вміст TCP / IP-пакетів. Дані типи атак часто здаються технічно складними в реалізації, однак для гарного програміста не складає труднощів реалізувати відповідний інструментарій. На жаль, зараз такі програми стали доступні широким масам. 14. Критерії оцінки захищеності НД ТЗІ 2.5-004-99 Функціональні критерії розбиті на чотири групи, кожна з яких описує вимоги до послуг, що забезпечують захист від загроз одного із чотирьох основних типів. Конфіденційність. Загрози, що відносяться до несанкціонованого ознайомлення з інформацією, становлять загрози конфіденційності. Для того, щоб КС могла бути оцінена на предмет відповідності критеріям конфіденційності, комплекс засобів захисту (КЗЗ) оцінюваної КС повинен надавати послуги з захисту об'єктів від несанкціонованого ознайомлення з їх змістом (компрометації). Конфіденційність забезпечується такими послугами: довірча конфіденційність, адміністративна конфіденційність, повторне використання об'єктів, аналіз прихованих каналів, конфіденційність при обміні. Цілісність.Загрози, що відносяться до несанкціонованої модифікації інформації, становлять загрози цілісності. Для того, щоб КС могла бути оцінена на предмет відповідності критеріям цілісності, КЗЗ оцінюваної КС повинен надавати послуги з захисту оброблюваної інформації від несанкціонованої модифікації. Цілісність забезпечується такими послугами: довірча цілісність, адміністративна цілісність, відкат, цілісність при обміні. Доступність.Загрози, що відносяться до порушення можливості використання комп'ютерних систем або оброблюваної інформації, становлять загрози доступності. Для того, щоб КС могла бути оцінена на відповідність критеріям доступності, КЗЗ оцінюваної КС повинен надавати послуги щодо забезпечення можливості використання КС в цілому, окремих функцій або оброблюваної інформації на певному проміжку часу і гарантувати спроможність КС функціонувати у випадку відмови її компонентів. Доступність може забезпечуватися в КС такими послугами: використання ресурсів, стійкість до відмов, гаряча заміна, відновлення після збоїв. Спостереженість.Ідентифікація і контроль за діями користувачів, керованість комп'ютерною системою становлять предмет послуг спостереженості і керованості. Для того, щоб КС могла бути оцінена на предмет відповідності критеріям спостереженості, КЗЗ оцінюваної КС повинен надавати послуги з забезпечення відповідальності користувача за свої дії і з підтримки спроможності КЗЗ виконувати свої функції. Спостереженість забезпечується в КС такими послугами: реєстрація (аудит), ідентифікація і автентифікація, достовірний канал, розподіл обов'язків, цілісність КЗЗ, самотестування, ідентифікація і автентифікація при обміні, автентифікація відправника, автентифікація отримувача. Крім функціональних критеріїв, що дозволяють оцінити наявність послуг безпеки в комп'ютерній системі, цей документ містить критерії гарантій, що дозволяють оцінити коректність реалізації послуг. 2 рівень Хто взяв цього крітіна на кафедру? Ужас.
1. Аутентифікація на основі разових паролів Одноразовый пароль (англ. one time password, OTP) — это пароль, действительный только для одного сеанса аутентификации. Действие одноразового пароля также может быть ограничено определённым промежутком времени. Преимущество одноразового пароля по сравнению со статическим состоит в том, что пароль невозможно использовать повторно. Таким образом, злоумышленник, перехвативший данные из успешной сессии аутентификации, не может использовать скопированный пароль для получения доступа к защищаемой информационной системе. Использование одноразовых паролей само по себе не защищает от атак, основанных на активном вмешательстве в канал связи, используемый для аутентификации (например, от атак типа"человек посередине"). Человек не в состоянии запомнить одноразовые пароли. Поэтому требуются дополнительные технологии для их корректной работы. Способы создания и распространения OTP Алгоритмы создания OTP обычно используют случайные числа. Это необходимо, потому что иначе было бы легко предсказать последующие пароли на основе знания предыдущих. Конкретные алгоритмы OTP сильно различаются в деталях. Различные подходы к созданию одноразовых паролей перечислены ниже. Использующие математические алгоритмы для создания нового пароля на основе предыдущих (пароли фактически составляют цепочку, и должны быть использованы в определённом порядке). Основанные на временной синхронизации между сервером и клиентом, обеспечивающей пароль (пароли действительны в течение короткого периода времени) Использующие математический алгоритм, где новый пароль основан на запросе (например.случайное число, выбираемое сервером или части входящего сообщения) и/или счётчике. Также существуют различные способы, чтобы сообщить пользователю следующий пароль. Некоторые системы используют специальные электронные токены, которые пользователь носит с собой, создающие одноразовые пароли и выводящие затем их на маленьком экране. Другие системы состоят из программ, которые пользователь запускает с мобильного телефона. Ещё другие системы генерируют одноразовые пароли на сервере и затем отправляют их пользователю используя посторонние каналы, такие как SMS сообщения. Наконец, в некоторых системах одноразовые пароли напечатаны на листе бумаги или на скретч-карте, которые пользователю необходимо иметь с собой. Реализация Математические алгоритмы Основная статья: Хэш цепочка Один подход, разработанный Лесли Лэмпортом, использует одностороннюю функцию (назовём её f). Система одноразовых паролей начинает работать от начального числа s, затем генерирует пароли f(s), f(f(s)), f(f(f(s))), … столько раз, сколько необходимо. Если ищется бесконечная серия паролей, новое начальное число может быть выбрано после того, как ряд для s оказывается исчерпанным. Каждый пароль распределяется в обратном порядке, начиная с f(f(…f(s))…), заканчивая f(s). Если злоумышленнику удаётся получить одноразовый пароль, он может получить доступ только на один период времени или одно соединение, но это становится бесполезным, когда этот период закончится. Чтобы получить следующий пароль в цепочке из предыдущих, необходимо найти способ вычисления обратной функции f?1. Так как f была выбрано односторонней, то сделать это невозможно. Если f — криптографическая хеш-функция, которая обычно используется, то, насколько известно, это будет вычислительно неосуществимая задача. Синхронизированные по времени Синхронизированные по времени одноразовые пароли обычно связаны с физическими аппаратными токенами (например, каждому пользователю выдаётся персональный токен, который генерирует одноразовый пароль). Внутри токена вcтроены точные часы, которые синхронизированы с часами на сервере. В этих OTP системах, время является важной частью алгоритма создания пароля так как генерация нового пароля основывается на текущем времени, а не на предыдущем пароле или секретном ключе. В последнее время, стало возможным брать электронные компоненты, связанные с постоянными токенами-часами, такие как отActivIdentity, InCard, RSA, SafeNet, Vasco, и VeriSign и встраивать их в форм-фактор кредитной карты. Однако, так как толщина карты (от 0.79мм до 0.84мм) не позволяет использовать традиционные элементов батареек, необходимо использовать специальные батарейки, основанные на полимерах, время жизни которых гораздо больше, чем у обычных мини-батареек. Кроме того, должны использоваться крайне маломощные полупроводниковые компоненты для экономии энергии во время режима ожидания и/или использования продукта. В производстве тонких устройств OTP лидируют две компании: Identita и NagraID. Мобильные телефоны и КПК также могут быть использованы для генерации синхронизированных по времени одноразовых паролей. Этот подход может быть более экономной альтернативой, так как большинство пользователей Интернета уже имеет мобильные телефоны. Кроме того, это может быть более удобно, потому что у пользователя не будет необходимости носить с собой отдельный токен, для каждого безопасного соединения, когда он или она нуждается в доступе. Запрос Использование одноразовых паролей с запросом требует от пользователя обеспечивать синхронизированные по времени запросы, чтобы была выполнена проверка подлинности. Это может быть сделано путём ввода значения в сам токен. Чтобы избежать появления дубликатов, обычно включается дополнительный счётчик, так что если случится получение двух одинаковых запросов, то это всё равно приведёт к появлению разных одноразовых паролей. Однако, вычисления обычно не включают предыдущий одноразовый пароль, так как это приведёт к синхронизации задач. EMV начинают использовать такие системы (т. н. «Chip Authentication Program») для кредитных карт в Европе. Одноразовый пароль через SMS Распространённая технология, используемая для доставки одноразовых паролей — это SMS. Так как SMS — это повсеместный канал связи, которая имеется во всех телефонах и используется большим количеством клиентов, SMS сообщения имеют наибольший потенциал для всех потребителей, обладающие низкой себестоимостью. Токены, смарт-карты и другие традиционные методы аутентификации гораздо более дороги для реализации и для использования и часто встречают сопротивление со стороны потребителей. Они также гораздо более уязвимы для атак типа «человек посередине», в которых фишеры крадут одноразовые пароли обманом или даже потому что одноразовые пароли отображаются на экране токена. Также токены могут быть потеряны и интеграция одноразовых паролей в мобильные телефоны может быть более безопасным и простым, потому что пользователям не придётся носить с собой дополнительные портативные устройства. В то же время, одноразовые пароли через SMS могут быть менее безопасны, так как сотовые операторы становятся частью цепи доверия. В случае роуминга, надо доверять более чем одному мобильному оператору. Одноразовый пароль на мобильном телефоне По сравнению с аппаратной реализацией токена, которая требует, чтобы пользователь имел с собой устройство-токен, токен на мобильном телефоне существенно снижает затраты и предлагает беспрецедентный уровень удобства. Это решение так же уменьшает материально-технические требования, так как нет необходимости выдавать отдельное устройство каждому пользователю. Мобильные токены, такие как FiveBarGate или FireID дополнительно поддерживают некоторое число токенов в течение одной установки приложения, позволяя пользователю аутентифицироваться на нескольких ресурсах с одного устройства. Этот вариант также предусматривает специфические приложения для разных моделей телефонов пользователя. Токены в мобильных телефонах также существенно более безопасны, чем OTP по SMS, так как SMS отправляются по сети GSM в текстовом формате с возможностью перехвата. 2. Схеми під’єднання брандмауера нема такого. хз шо він тут хотів… крітін =\ В зависимости от отслеживания активных соединений сетевые экраны бывают: stateless (простая фильтрация), которые не отслеживают текущие соединения (например, TCP), а фильтруют поток данных исключительно на основе статических правил; stateful, stateful packet inspection (SPI) (фильтрация с учётом контекста), с отслеживанием текущих соединений и пропуском только таких пакетов, которые удовлетворяют логике и алгоритмам работы соответствующих протоколов и приложений. Такие типы сетевых экранов позволяют эффективнее бороться с различными видами DoS-атак и уязвимостями некоторых сетевых протоколов. Кроме того, они обеспечивают функционирование таких протоколов, как H.323, SIP, FTP и т. п., которые используют сложные схемы передачи данных между адресатами, плохо поддающиеся описанию статическими правилами, и, зачастую, несовместимых со стандартными, stateless сетевыми экранами. 3. Типові схеми ідентифікації та аутентифікації Рассмотрим две типовые схемы идентификации и аутентификации. Схема 1. В компьютерной системе хранится:
Здесь Ei = F(IDi, Ki), где "невосстановимость" Ki оценивается некоторой пороговой трудоемкостью T0 решения задачи восстановления Ki по Ei и IDi. Кроме того для пары Ki и Kj возможно совпадение соответствующих значений E. В связи с этим вероятность ложной аутентификации пользователей не должна быть больше некоторого порогового значения P0. На практике задают T0 = 1020...1030, P0 = 10-7...10-9. Протокол идентификации и аутентификации (для схемы 1). Пользователь предъявляет свой идентификатор ID. Если существует i = 1...n, для которого ID = IDi, то пользователь идентификацию прошел успешно. Иначе пользователь не допускается к работе. Модуль аутентификации запрашивает у пользователя его аутентификатор K. Вычисляется значение E = F(ID, K). Если E = Ei, то аутентификация прошла успешно. Иначе пользователь не допускается к работе. Схема 2 (модифицированная). В компьютерной системе хранится:
Здесь Ei = F(Si, Ki), где S - случайный вектор, задаваемый при создании идентификатора пользователя; F - функция, которая обладает свойством "невосстановимости" значения Ki по Ei и Si. Протокол идентификации и аутентификации (для схемы 2). Пользователь предъявляет свой идентификатор ID. Если существует i = 1...n, для которого ID = IDi, то пользователь идентификацию прошел успешно. Иначе пользователь не допускается к работе. По идентификатору ID выделяется вектор S. Модуль аутентификации запрашивает у пользователя его аутентификатор K. Вычисляется значение E = F(S, K). Если E = Ei, то аутентификация прошла успешно. Иначе пользователь не допускается к работе. Вторая схема аутентификации применяется в OC UNIX. В качестве идентификатора используется имя пользователя (запрошенное по Login), в качестве аутентификатора - пароль пользователя (запрошенный по Password). Функция F представляет собой алгоритм шифрования DES. Эталоны для идентификации и аутентификации содержатся в файле Etc/passwd. Следует отметить, что необходимым требованием устойчивости схем идентификации и аутентификации к восстановлению информации Ki является случайный равновероятный выбор Ki из множества возможных значений. Простейший метод применения пароля основан на сравнении представленного пароля с исходным значением, хранящимся в памяти. Если значения совпадают, то пароль считается подлинным, а пользователь - законным. Перед пересылкой по незащищенному каналу пароль должен шифроваться. Если злоумышленник каким-либо способом все же узнает пароль и идентификационный номер законного пользователя, он получит доступ в систему. Лучше вместо открытой формы пароля P пересылать его отображение, получаемое с использованием односторонней функции f(P). Это преобразование должно гарантировать невозможность раскрытия пароля по его отображению. Так противник наталкивается на неразрешимую числовую задачу. Например, функция f может быть определена следующим образом: f(P) = EP(ID) , где P - пароль, ID - идентификатор, EP - процедура шифрования, выполняемая с использованием пароля в качестве ключа. На практике пароль состоит из нескольких букв. Но короткий пароль уязвим к атаке полного перебора. Для того, чтобы предотвратить такую атаку, функцию f определяют иначе: f(P) = EP + K(ID) , где K - ключ (таблетка Toch-memory, USB-ключ и т.п.) Процедуры идентификации и аутентификации пользователя могут базироваться не только на секретной информации, которой обладает пользователь (пароль, секретный ключ, персональный идентификатор и т.п.). В последнее время все большее распространение получает биометрическая идентификация и аутентификация, позволяющая уверенно идентифицировать потенциального пользователя путем измерения физиологических параметров и характеристик человека, особенностей его поведения. Основные достоинства биометрических методов идентификации и аутентификации: высокая степень достоверности идентификации по биометрических признакам из-за их уникальности; неотделимость биометрических признаков от дееспособной личности; трудность фальсификации биометрических признаков. В качестве биометрических признаков, которые могут быть использованы для идентификации потенциального пользователя, используются: узор радужной оболочки и сетчатки глаз; отпечатки пальцев; геометрическая форма руки; форма и размеры лица; термограмма лица; форма ушей; особенности голоса; ДНК; биомеханические характеристики рукописной подписи; биомеханические характеристики "клавиатурного почерка". При регистрации пользователь должен продемонстрировать один или несколько раз свои характерные биометрические признаки. Эти признаки (известные как подлинные) регистрируются системой как контрольный "образ" законного пользователя. Этот образ пользователя хранится в электронной форме и используется для проверки идентичности каждого, кто выдает себя за соответствующего законного пользователя. Системы идентификации по узору радужной оболочки и сетчатки глаз могут быть разделены на два класса: использующие рисунок радужной оболочки глаза; использующие рисунок кровеносных сосудов сетчатки глаза. Поскольку вероятность повторения данных параметров равна 10-78, эти системы являются наиболее надежными среди всех биометрических систем. Такие средства применяются, например, в США в зонах военных и оборонных объектов. Системы идентификации по отпечаткам пальцев являются самыми распространенными. Одна из основных причин широкого распространения таких систем заключается в наличии больших банков данных по отпечаткам пальцев. Основными пользователями таких систем во всем мире являются полиция, различные государственные организации и некоторые банки. Системы идентификации по геометрической форме руки используют сканеры формы руки, обычно устанавливаемые на стенах. Следует отметить, что подавляющее большинство пользователей предпочитают системы именно этого типа. Системы идентификации по лицу и голосу являются наиболее доступными из-за их дешевизны, поскольку большинство современных компьютеров имеют видео- и аудиосредства. Системы данного класса широко применяются при удаленной идентификации в телекоммуникационных сетях. Системы идентификации по динамике рукописной подписи учитывают интенсивность каждого усилия подписывающегося, частотные характеристики написания каждого элемента подписи и начертания подписи в целом. Системы идентификации по биомеханическим характеристикам "клавиатурного почерка" основываются на том, что моменты нажатия и отпускания клавиш при наборе текста на клавиатуре существенно различаются у разных пользователей. Этот динамический ритм набора ("клавиатурный почерк") позволяет построить достаточно надежные средства идентификации. Следует отметить, что применение биометрических параметров при идентификации субъектов доступа автоматизированных систем пока не получило надлежащего нормативно-правового обеспечения, в частности в виде стандартов. Поэтому применение систем биометрической идентификации допускается только в системах, обрабатывающих и хранящих персональные данные, составляющие коммерческую и служебную тайну. 4. Адреса порту Знову ж таки якась откровєнна хуйня =\\ Трансляция порт-адрес (англ. Port address translation, PAT) — технология трансляции сетевого адреса в зависимости от TCP/UDP-порта получателя. Является частным случаем NAT. Также может использоваться термин DNAT (Destination NAT).
Маршрутизатор имеет два интерфейса (например, адрес 193.125.192.1, на который поступают запросы и для которого производится трансляция, и адрес 10.0.0.1, который обращён в сторону сети с серверами). При этом IP-пакеты, поступающие на маршрутизатор, в зависимости от адреса порта получателя транслируются с различными адресами — порты 80 и 443 направляются на один сервер (10.0.0.2), порты 25 и 110 на второй (10.0.0.3), 53 на третий (10.0.0.4). Соответствующим же образом производится и трансляция ответов серверов (в этом случае заменяется адрес отправителя). В соответствии с этим есть два типа сети: внутренняя (nat inside) и внешняя (nat outside). У пакетов, приходящих из наружной сети, меняется адрес получателя, у пакетов из внутренней — отправителя. Для обеспечения распределения нагрузки пакеты могут направляться на различные сервера для одного и того же порта поочерёдно (это работает только для протоколов, не требующих установления соединения и не имеющих понятия «текущее состояние», таких какDNS). При этом для осуществления трансляции роутеру не обязательно считать транслируемые адреса «своими» (то есть назначенными на интерфейс), трансляция может осуществляться и для транзитных пакетов. 5. Ядро безпеки та його механізми Основные понятия Основное назначение надежной вычислительной базы - выполнять функции монитора обращений, то есть контролировать допустимость выполнения субъектами определенных операций над объектами. Монитор проверяет каждое обращение пользователя к программам или данным на предмет согласованности со списком действий, допустимых для пользователя. От монитора обращений требуется выполнение трех свойств: изолированность. Монитор должен быть защищен от отслеживания своей работы; полнота. Монитор должен вызываться при каждом обращении, не должно быть способов его обхода; верифицируемость. Монитор должен быть компактным, чтобы его можно было проанализировать и протестировать, будучи уверенным в полноте тестирования. Реализация монитора обращений называется ядром безопасности. Ядро безопасности - это основа, на которой строятся все защитные механизмы. Помимо перечисленных выше свойств монитора обращений, ядро должно гарантировать собственную неизменность. Конфиденциальность определена в ISO 7498-2 как "свойство информации быть недоступной или нераскрываемой для неуполномоченных лиц, сущностей или процессов". Согласно "Оранжевой книге", политика безопасности должна включать в себя, по крайней мере, следующие элементы: произвольное управление доступом; безопасность повторного использования объектов; метки безопасности; принудительное управление доступом. Произвольное управление доступом - это метод ограничения доступа к объектам, основанный на учете личности субъекта или группы, в которую субъект входит. Произвольность управления состоит в том, что некоторое лицо (обычно владелец объекта) может по своему усмотрению давать другим субъектам или отбирать у них права доступа к объекту. Большинство операционных систем и систем управления базами данных реализуют именно произвольное управление доступом. Главное его достоинство - гибкость, главные недостатки - рассредоточенность управления и сложность централизованного контроля, а также оторванность прав доступа от данных, что позволяет копировать секретную информацию в общедоступные файлы. Безопасность повторного использования объектов - важное на практике дополнение средств управления доступом, предохраняющее от случайного или преднамеренного извлечения секретной информации из "мусора". Безопасность повторного использования должна гарантироваться для областей оперативной памяти, в частности для буферов с образами экрана, расшифрованными паролями и т.п., для дисковых блоков и магнитных носителей в целом. Для реализации принудительного управления доступом с субъектами и объектами ассоциируются метки безопасности. Метка субъекта описывает его благонадежность, метка объекта - степень закрытости содержащейся в нем информации. Согласно "Оранжевой книге", метки безопасности состоят из двух частей: уровня секретности и списка категорий. Принудительное управление доступом основано на сопоставлении меток безопасности субъекта и объекта. Реализация ядра безопасности Перед началом описания сделаны некоторые предположения относительно архитектуры информационной системы. Вся информация в ней представлена в виде атрибутов (свойств, полей, членов-данных) объектов определенных в системе классов. Доступ к информации осуществляется через свойства объектов, а изменение информации происходит посредством выполнения методов объектов. Информация об объектах, свойствах и методах хранится в базе данных, которая может являться обычной реляционной СУБД. В этом случае необходимо применение объектно-ориентированного расширения, например, в виде слоя хранимых процедур. Возможна также схема с выделением объектного расширения в виде специализированного сервера объектов. Ниже расширение рассматривается и выделено на схеме, как виртуальная объектно-ориентированная машина. Объектом системы будем называть любой экземпляр определенного в системе класса, а субъектом - объект, который в данный момент времени инициирует изменение состояния какого-либо другого объекта, в том числе и самого себя, а, следовательно, и всей системы в целом. Особыми субъектами в системе являются те из них, которые могут выступать в качестве изначальных инициаторов того или иного изменения состояния системы. Таковыми будут, например, объекты класса "Пользователь" или "Сервис", которые ассоциированы с внешними по отношению к системе объектами окружающего мира. Рассмотрим схему взаимодействия системы с пользовательскими процессами посредством ядра безопасности:
Рис.1. Схема взаимодействия субъектов и объектов системы Очевидно, что реализация взаимодействия объектов информационной системы с ядром безопасности должна быть осуществлена на как можно более высоких уровнях абстракции классов. Реализация не должна допускать переопределения со стороны подклассов, в противном случае будут нарушены принципы изолированности и полноты монитора. Рассмотрим обобщенные требования к безопасности для объекта абстрактного класса системы: определение видимости данного объекта для субъекта; разделение доступа к свойствам данного объекта со стороны субъекта (свойство инкапсулирует реализацию обращения к членам данным и/или эмулирует логический член данных, физически отсутствующий в классе); разделение доступа к методам данного объекта со стороны субъекта; регистрация изменений состояния данного объекта. Очевидно также, что потребность в безопасности необходима для общедоступных (public) и публикуемых (published) свойств и методов. Различия между общедоступными и публикуемыми методами состоит в том, что публикуемый метод также является общедоступным, но может быть инициирован пользователем, когда тот запрашивает у объекта список возможных операций с ним. Таким образом, он является общедоступным методом для внешних по отношению к системе объектов через определенный в системе интерфейс опубликования, на уровне взаимодействия "пользователь-система". Например, класс имеет методы "Рассчитать значение по параметру" (public, используется другими объектами) и "Показать текущие значения параметров" (published, выдается в качестве возможного варианта действия пользователю). Friend-отношения могут рассматриваться только как заранее оговоренный случай внутреннего взаимодействия объектов системы, например получение значений некоторых членов данных напрямую. Некорректное применение friend-отношений может привести к образованию "дыры" в ядре безопасности, через которую можно будет неконтролируемо извлекать или изменять информацию. По личному мнению автора, применение friend-отношений можно полностью исключить на этапе проектирования. Состояние объекта в системе определяется вектором его свойств и, соответственно, текущими состояниями каждого из этих свойств, то есть: Obj(Property1, Property 2, ..., Property N). С другой стороны, объект предоставляет субъектам свои методы: Obj(Method1, Method 2, ..., Method M). С точки зрения обеспечения безопасности, нас интересуют только те свойства и методы, которые являются общедоступными и публикуемыми. Способы доступа к самому объекту со стороны субъекта могут быть описаны, как множество значений: [нет, есть]. Способы доступа к свойствам могут быть описаны, как множество значений: [нет, чтение, запись]. Способы доступа к методам могут быть описаны, как множество значений: [нет, выполнение]. Для математического описания подобной схемы доступа достаточно использования трех матриц: M1: (объекты Х субъекты) со множеством значений [нет, есть]; M2: (свойства Х субъекты) со множеством значений [нет, чтение, запись] M3: (методы Х субъекты) со множеством значений [нет, выполнение]. Все три матрицы являются динамически изменяющими размерность и разреженными, поэтому возможно их хранение в виде массива кортежей <субъект, объект, значение>, то есть хранение матриц по столбцам для непустых значений. Предположение о том, что объект может изменять доступ к своим свойствам и методам в процессе своего существования требует описания начального и конечных состояний жизни объекта и процедур создания и удаления объекта данного класса. Очевидно, чтобы определить права доступа субъекта к объекту, необходимо вначале создать этот объект. С другой стороны, чтобы создать объект, субъекту необходимо иметь на это право, то есть иметь право на выполнение конструктора объекта. Разрешение подобной дилеммы состоит в рассмотрении понятия класса, как активного участника процесса, а не пассивного шаблона создания объекта. Для этого необходимо определять права доступа субъекта к свойствам и методам класса, так же, как и к его объекту. Данные установки будут также использоваться, как "установки по умолчанию" для созданного объекта в системе. Таким образом, мы будем иметь "шаблон прав доступа" для субъекта по отношению к данному классу объектов. Это позволяет еще более разрядить матрицу схем доступа и хранить в ней только схемы тех объектов, доступ к которым для одного и более субъектов был изменен. Политика назначения прав и наследование Существуют две граничные (крайние) политики назначения прав в системе: Разрешено все, что не запрещено Запрещено все, что не разрешено Отличие в реализации той или иной политики ядром безопасности будет состоять в организации пустых значений разреженной матрицы схемы доступа и логической интерпретации этих значений. Так, для политики (1) пустыми (нулевыми) значениями будут "Yes" из определенного выше множества, а интерпретация пустого значения будет наличие прав к объекту, свойству или методу. Наоборот, для политики (2) нулевыми значениями являются "No", а их интерпретация говорит об отсутствии таковых прав доступа. Наследование прав доступа проявляется только на этапе назначения прав доступа для классов, то есть создания так называемого шаблона прав или схемы "по умолчанию". Наследование прав доступа также зависит от политики назначения. В случае (1), если для пользователя определены права на класс, то автоматически эти права переносятся на все подклассы. В случае (2) этого не происходит и необходимо явно указывать права для каждого класса. Оптимальным может быть решение о смешанной политике назначения прав. Необходимо стремиться оптимизировать хранение разреженной матрицы в зависимости от выбранной политики. Как правило, число объектов в системе более чем вдвое меньше числа доступных из них данному пользователю. Например, если принять за пустое значение (NULL) имеющиеся во всех трех матрицах элементы "нет", то храниться будут только кортежи, имеющие отличные от "нет" значения. К еще большему разрежению матрицы приводит также группировка субъектов (пользователей) в рабочие группы, а также группировка видимости свойств и возможности выполнения методов в роли. ---------- Монитор обращений должен обладать тремя качествами: Изолированность. Необходимо предупредить возможность отслеживания работы монитора. Полнота. Монитор должен вызываться при каждом обращении, не должно быть способов обойти его. Верифицируемость. Монитор должен быть компактным, чтобы его можно было проанализировать и протестировать, будучи уверенным в полноте тестирования. Реализация монитора обращений называется ядром безопасности. Ядро безопасности - это основа, на которой строятся все защитные механизмы. Помимо перечисленных выше свойств монитора обращений, ядро должно гарантировать собственную неизменность.Границу доверенной вычислительной базы называют периметром безопасности. Как уже указывалось, компоненты, лежащие вне периметра безопасности, вообще говоря, могут не быть доверенными. С развитием распределенных систем понятию “периметр безопасности” все чаще придают другой смысл, имея в виду границу владений определенной организации. То, что находится внутри владений, считается доверенным, а то, что вне, - нет.
6. Структура IP-заголовку
Internet Protocol или IP (англ. internet protocol — межсетевой протокол) — маршрутизируемый сетевой протокол, протокол сетевого уровня семейства TCP/IP. Протокол IP используется для негарантированной доставки данных, разделяемых на так называемые пакеты от одного узла сети к другому. Это означает, что на уровне этого протокола (третий уровень сетевой модели OSI) не даётся гарантий надёжной доставки пакета до адресата. В частности, пакеты могут прийти не в том порядке, в котором были отправлены, продублироваться (когда приходят две копии одного пакета; в реальности это бывает крайне редко), оказаться повреждёнными (обычно повреждённые пакеты уничтожаются) или не прибыть вовсе. Гарантию безошибочной доставки пакетов дают протоколы более высокого (транспортного уровня) сетевой модели OSI — например, TCP — которые используют IP в качестве транспорта. IP-пакет — форматированный блок информации, передаваемый по вычислительной сети. Соединения вычислительных сетей, которые не поддерживают пакеты, такие как традиционные соединения типа «точка-точка» в телекоммуникациях, просто передают данные в виде последовательности байтов, символов или битов. При использовании пакетного форматирования сеть может передавать длинные сообщения более надежно и эффективно.
Версия — для IPv4 значение поля должно быть равно 4. IHL — длина заголовка IP-пакета в 32-битных словах (dword). Именно это поле указывает на начало блока данных в пакете. Минимальное корректное значение для этого поля равно 5. Идентификатор — значение, назначаемое отправителем пакета и предназначенное для определения корректной последовательности фрагментов при сборке датаграммы. Для фрагментированного пакета все фрагменты имеют одинаковый идентификатор. 3 бита флагов. Первый бит должен быть всегда равен нулю, второй бит DF (don’t fragment) определяет возможность фрагментации пакета и третий бит MF (more fragments) показывает, не является ли этот пакет последним в цепочке пакетов. Смещение фрагмента — значение, определяющее позицию фрагмента в потоке данных. Время жизни (TTL) — число маршрутизаторов, которые должен пройти этот пакет. При прохождении маршрутизатора это число уменьшатся на единицу. Если значения этого поля равно нулю то, пакет должен быть отброшен и отправителю пакета может быть послано сообщение Time Exceeded (ICMP код 11 тип 0). Протокол — идентификатор интернет-протокола следующего уровня (см. IANA protocol numbers и RFC 1700). В IPv6 называется «Next Header». Контрольная сумма заголовка — вычисляется с использованием операций поразрядного сложения 16-разрядных слов заголовка по модулю 2. Сама контрольная сумма является дополнением по модулю один полученного результата сложения. Версия 6 (IPv6)
7. Принципи дотримання інтегральності даних WTF???O_o Понятие «целостность объекта» (англ. integrity) используется в контексте терминологии информационной безопасности (объектом может быть информация, специализированные данные, ресурсы автоматизированной системы). В частности, свойство целостности информации (ресурсов автоматизированной системы) — является одним из трех основных критериев информационной безопасности объекта. Обычно свойство целостности требуется наряду с конфиденциальностью (confidentiality) и доступностью (availability). Иногда к списку необходимых свойств информационной безопасности объекта добавляют неотказуемость (non-repudiation), подотчётность (accountability), аутентичность или подлинность (authenticity), достоверность (reliability). Фактически, в общем виде, процесс передачи данных и их проверки на целостность выглядит следующим образом: пользователь A добавляет к своему сообщению дайджест. Эта пара будет передана второй стороне B. Там выделяется сообщение, вычисляется для него дайджест и дайджесты сравниваются. В случае совпадения значений сообщение будет считаться достоверным. Несовпадение будет говорить о том, что данные были изменены. Обеспечение целостности данных с использованием шифрования и MDC От исходного сообщения вычисляется MDC, M=h(x). Этот дайджест добавляется к сообщению С=(x||h(x)). Затем расширенное таким образом сообщение шифруется каким-то криптоалгоритмом E с общим ключом k. После шифрования полученное сообщение Cencripted передается второй стороне, которая используя ключ, выделяет из шифрованного сообщения данные x’ вычисляет для него значение дайджеста M’. Если он совпадает сполученным M, то считается, что целостность сообщения была сохранена. Целью этого шифрования является защита добавленного MDC, чтобы третья сторона не могла изменить сообщение без нарушения соответствия между расшифрованным текстом и восстановленным кодом проверки целостности данных. Если при передаче данных конфиденциальность не является существенной, кроме как для обеспечения целостности данных, то возможны схемы, в которых будут зашифрованы только либо сообщение x, либо MDC. Использование схемы с шифрованием только MDC, (x, Ek(h(x))), фактически приводит к частному случаю MAC. Но в данном случае, что нетипично для MAC, коллизия для данных x, x’ может быть найдена без знания ключа k. Таким образом, хэш-функция должна удовлетворять требованию стойкости к коллизиям второго рода. Так же надо отметить, что существуют такие проблемы: если коллизия найдена для двух значений входных данных при каком-либо ключе, то она сохранится и при изменении этого ключа; если длина блока шифра меньше, чем длина дайджеста, то разбиение дайджеста может привести к уязвимости схемы. Шифрование только данных, (Ek(x), h(x)), дает некоторый выигрыш в вычислениях при шифровании(за исключением коротких сообщений). Как и в предыдущем случае, хэш-функция должна быть устойчива к коллизиям второго рода. Обеспечение целостности данных с использование шифрации и MAC По сравнению с предыдущим случаем в канал посылается сообщение следующего вида: Ek(x||hk1(x)). Такая схема обеспечения целостности имеет преимущество над предыдущей схемой с MDC: если шифр будет взломан, MAC все равно будет обеспечивать целостность данных. Недостатком является то, что используется два различных ключа, для криптоалгоритма и для MAC. При использовании подобной схемы, следует быть уверенным, что какие-либо зависимости между алгоритмом MAC и алгоритмом шифрации не приведут к уязвимости системы. Рекомендуется, чтобы эти два алгоритма были независимыми (например, такой недостаток системы может проявляться, когда в качестве алгоритма MAC используется CBC-MAC, и в качестве схемы шифрования CBC). Вообще говоря, шифрация всего сообщения при использовании кодов аутентификации сообщений не обязательно с точки зрения обеспечения целостности данных, поэтому в простейших случаях в схеме может не происходить шифрация сообщения (x||hk(x)). 8. Типи контролю доступу (політика конфіденційності) <= Чекурін. Крітін. Ненависть =\\\ 9. ISOSI або ІСОСІ хз Сетевая модель OSI (ЭМВОС) (базовая эталонная модель взаимодействия открытых систем, англ. Open Systems Interconnection Basic Reference Model, 1978 г.) — абстрактная сетевая модель для коммуникаций и разработки сетевых протоколов. Предлагает взгляд на компьютерную сеть с точки зрения измерений. Каждое измерение обслуживает свою часть процесса взаимодействия. Благодаря такой структуре совместная работа сетевого оборудования и программного обеспечения становится гораздо проще и прозрачнее. В настоящее время основным используемым стеком протоколов является TCP/IP, разработка которого не была связана с моделью OSI и к тому же была совершена до её принятия. Уровни модели OSI В литературе наиболее принято начинать описание уровней модели OSI начиная с 7-го, называемого прикладным (Application layer), уровнем, на котором используемые пользователем приложения обращаются к сети. Модель OSI заканчивается физическим (Physical layer) уровнем, на котором определены стандарты, предъявляемые независимыми производителями к средам передачи данных. Например: тип передающей среды (медный кабель, оптоволокно, радиоэфир и др.) тип модуляции сигнала уровни логических «0» и «1» и др. Любой протокол модели OSI должен взаимодействовать либо с протоколами своего уровня, либо с протоколами на единицу выше и/или ниже своего уровня. Взаимодействия с протоколами своего уровня называются горизонтальными, а с уровнями на единицу выше или ниже — вертикальными. Любой протокол модели OSI может выполнять только функции своего уровня и не может выполнять функций другого уровня, что не выполняется в протоколах альтернативных моделей. Подробнее о назначении каждого уровня можно посмотреть рисунок. К Базовым сетевым технологиям относятся физический и канальный уровни.
Взаємодія рівнів Рівні взаємодіють зверху вниз і знизу нагору за допомогою інтерфейсів і можуть ще взаємодіяти з таким же рівнем іншої системи за допомогою протоколів. Докладніше можна подивитися на малюнку. Прикладний рівень (Applicationlayer) Верхній (7-й) рівень моделі, забезпечує взаємодію мережі й користувача. Рівень дозволяє додаткам користувача доступ до мережних служб, таким як обробник запитів до баз даних, доступ до файлів, пересиланню електронної пошти. Також відповідає за передачу службової інформації, надає додаткам інформацію про помилки й формує запити дорівня подання. Рівень відображення(Presentationlayer) Цей рівень відповідає за перетворення протоколів і кодування/декодування даних. Запити додатків, отримані з прикладного рівня, він перетворить у формат для передачі по мережі, а отримані з мережі дані перетворить у формат, зрозумілий додаткам. На цьому рівні може здійснюватися стиснення/розпакування або кодування/декодування даних, а також перенапрямок запитів іншому мережному ресурсу, якщо вони не можуть бути оброблені локально. Сеансовий рівень (Sessionlayer) Відповідає за підтримку сеансу зв'язку, дозволяючи додаткам взаємодіяти між собою тривалий час. Рівень управляє створенням/завершенням сеансу, обміном інформацією, синхронізацією завдань, визначенням права на передачу даних і підтримкою сеансу в періоди неактивності додатків. Синхронізація передачі забезпечується розміщенням у потік даних контрольних точок, починаючи з яких відновляється процес при порушенні взаємодії. Транспортний рівень (Transport layer) Транспортний рівень (Transport layer) - 4-й рівень моделі OSI, призначений для доставлення даних без помилок, втрат і дублювання в тій послідовності, у якій вони були передані. При цьому не має значення, які дані передаються, звідки й куди, тобто він визначає сам механізм передачі. Блоки даних він розділяє на фрагменти, розмір яких залежить від протоколу, короткі об’єднує в один, довгі розбиває. Протоколи цього рівня призначені для взаємодії типу точка-точка. Мережний рівень (Network layer) 3-й рівень мережної моделі OSI, призначений для визначення шляху передачі даних. Відповідає за трансляцію логічних адрес й імен у фізичні, визначення найкоротших маршрутів, комутацію й маршрутизацію пакетів, відстеження неполадок і заторів у мережі. На цьому рівні працює такий мережний пристрій, як маршрутизатор. Канальнийрівень (Data Link layer) Цей рівень призначений для забезпечення взаємодії мереж на фізичному рівні й контролю за помилками, які можуть виникнути. Отримані з фізичного рівня дані він упаковує в кадри даних, перевіряє на цілісність, якщо потрібно виправляє помилки й відправляє на мережний рівень. Канальний рівень може взаємодіяти з одним або декількома фізичними рівнями, контролюючи й управляючи цією взаємодією. Специфікація IEEE 802 розділяє цей рівень на 2 підрівня - MAC (Media Access Control) регулює доступ до поділюваного фізичного середовища, LLC (Logical Link Control) забезпечує обслуговування мережного рівня. На цьому рівні працюють комутатори, мости й мережні адаптери. MAC-підрівень забезпечує коректне спільне використання загального середовища, надаючи його в розпорядження тієї або іншої станції мережі. Також додає адресну інформацію до фрейму, позначає початок і кінець фрейму. Рівень LLC відповідає за достовірну передачу кадрів даних між вузлами, а також реалізовує функції інтерфейсу з мережевим рівнем за допомогою фреймування кадрів. Також здійснює ідентифікування протоколу мережевого рівня. У програмуванні цей рівень представляє драйвер мережної плати, в операційних системах є програмний інтерфейс взаємодії канального й мережного рівня між собою, це не новий рівень, а просто реалізація моделі для конкретної ОС. Приклади таких інтерфейсів: ODI, NDIS. Фізичний рівень (Physical layer) Найнижчий рівень моделі, призначений безпосередньо для передачі потоку даних. Здійснює передачу електричних або оптичних сигналів у кабель і відповідно їхній прийом і перетворення в біти даних відповідно до методів кодування цифрових сигналів. Інакше кажучи, здійснює інтерфейс між мережним носієм і мережним пристроєм. На цьому рівні працюють концентратори й повторювачі (ретранслятори) сигналу. Фізичний рівень визначає електричні, процедурні і функціональні специфікації для середовища передачі даних, в тому числі роз'єми, розпаювання і призначення контактів, рівні напруги, синхронізацію зміни напруги, кодування сигналу. Цей рівень приймає кадр даних від канального рівня, кодує його в послідовність сигналів, які потім передаються у лінію зв'язку. Передача кадру даних через лінію зв'язку вимагає від фізичного рівня визначення наступних елементів: тип середовища передавання (дротовий або бездротовий, мідний кабель або оптичне волокно) і відповідних конекторів; як повинні бути представлені біти даних у середовищі передавання; як кодувати дані; якими повинні бути схеми приймача і передавача. Фізичним рівнем в лінію зв'язку кадр даних (фрейм) не передається як єдине ціле. Кадр представляється як послідовність сигналів, що передаються один за одним. Сигнали, в свою чергу, представляють біти даних кадру. В сучасних мережах використовуються 3 основних типа середовища передавання: мідний кабель (copper), оптичне волокно (fiber) та бездротове середовище передавання (wireless). Тип сигналу, за допомогою якого здійснюється передача даних, залежіть від типу середовища передавання. Для мідного кабелю сигнали, що представляють біти даних є електричними імпульсами, для оптичного волокна - імпульсами світла. У випадку використання бездротових з'єднань сигнали є радіохвилями (електромагнітними хвилями). Коли пристрій, що працює на фізичному рівні кодує біти кадру в сигнали для конкретного середовища передавання, він має розрізняти кадри. Тобто позначати, де закінчується один кадр і починається іншій. Інакше мережеві пристрої, що здійснюють прийом сигналів, не зможуть визначити, коли кадр буде отриманий повністю. Відомо, що початок і кінець кадру позначається на канальному рівні, але в багатьох технологіях фізичний рівень також може додати спеціальні сигнали, що використовуються тільки для позначення початку і кінцю кадру даних. Технологіїфізичногорівнявизначаютьсястандартами, щорозробляютьсянаступнимиорганізаціями: The International Organization for Standardization (ISO), The Institute of Electrical and Electronics Engineers (IEEE), The American National Standards Institute (ANSI), The International Telecommunication Union (ITU), The Electronics Industry Alliance/Telecommunications Industry Association (EIA/TIA) тощо. Даністандартиохоплюють 4 області, щоналежатьфізичномурівню: фізичнітаелектричнівластивостісередовищапередавання, механічнівластивості (матеріали, розміри, розпаюванняконтактівконекторів), кодування (представленнябітівсигналами), визначеннясигналівдляуправлінняінформацією. Всікомпонентиапаратногозабезпеченнятакі, якмережевікарти (Network interface card, NIC), інтерфейсиіконектори, матеріаликабелівтаїхконструкціявизначаютьсястандартамифізичногорівня. Можна зазначити, що функції фізичного рівня вбудовані у мережеве обладнання (hardware). Основними функціями фізичного рівня є: фізичні компоненти, кодування даних, передача даних. Фізичні компоненти - електронне обладнання, середовище передавання і конектори, через які передаються сигнали, що представляють біти даних. Кодування Кодування є процесом, за допомогою якого потік бітів даних перетворюється у певний код. Кодування здійснюється над групою бітів. Це необхідно для того, щоб забезпечити створення передбачуваних комбінації кодів, які буде правильно розпізнаватися як передавачем, так і приймачем. Використання передбачуваної комбінації кодів допомагає розрізняти біти даних від бітів, що використовуються для управління, а також забезпечує краще виявлення помилок у середовище передавання. При створенні кодів даних, методи кодування фізичного рівня також забезпечують створення кодів управління, що допомагають, наприклад, визначати початок і кінець кадру. 10. Архітектера TCP/IP Це шо шутка? Про це книги по 1500 сторінок пишуть! Сетевая архитектура TCP/IP Так как стек TCP/IP был разработан до появления модели взаимодействия открытых систем ISO/OSI, то, хотя он также имеет многоуровневую структуру, соответствие уровней стека TCP/IP уровням модели OSI достаточно условно. Структура протоколов TCP/IP приведена на рисунке. Протоколы TCP/IP делятся на 4 уровня.
Самый нижний (уровень IV) соответствует физическому и канальному уровням модели OSI. Этот уровень в протоколах TCP/IP не регламентируется, но поддерживает все популярные стандарты физического и канального уровня: для локальных сетей это Ethernet, Token Ring, FDDI, Fast Ethernet, 100VG-AnyLAN, для глобальных сетей - протоколы соединений "точка-точка" SLIP и PPP, протоколы территориальных сетей с коммутацией пакетов X.25, frame relay. Разработана также специальная спецификация, определяющая использование технологии ATM в качестве транспорта канального уровня. Обычно при появлении новой технологии локальных или глобальных сетей она быстро включается в стек TCP/IP за счет разработки соответствующего RFC, определяющего метод инкапсуляции пакетов IP в ее кадры. Следующий уровень (уровень III) - это уровень межсетевого взаимодействия, который занимается передачей пакетов с использованием различных транспортных технологий локальных сетей, территориальных сетей, линий специальной связи и т. п. В качестве основного протокола сетевого уровня (в терминах модели OSI) в стеке используется протокол IP, который изначально проектировался как протокол передачи пакетов в составных сетях, состоящих из большого количества локальных сетей, объединенных как локальными, так и глобальными связями. Поэтому протокол IP хорошо работает в сетях со сложной топологией, рационально используя наличие в них подсистем и экономно расходуя пропускную способность низкоскоростных линий связи. Протокол IP является дейтаграммным протоколом, то есть он не гарантирует доставку пакетов до узла назначения, но старается это сделать. К уровню межсетевого взаимодействия относятся и все протоколы, связанные с составлением и модификацией таблиц маршрутизации, такие как протоколы сбора маршрутной информации RIP (Routing Internet Protocol) и OSPF (Open Shortest Path First), а также протокол межсетевых управляющих сообщений ICMP (Internet Control Message Protocol). Последний протокол предназначен для обмена информацией об ошибках между маршрутизаторами сети и узлом - источником пакета. С помощью специальных пакетов ICMP сообщается о невозможности доставки пакета, о превышении времени жизни или продолжительности сборки пакета из фрагментов, об аномальных величинах параметров, об изменении маршрута пересылки и типа обслуживания, о состоянии системы и т.п. Следующий уровень (уровень II) называется основным. На этом уровне функционируют протокол управления передачей TCP (Transmission Control Protocol) и протокол дейтаграмм пользователя UDP (User Datagram Protocol). Протокол TCP обеспечивает надежную передачу сообщений между удаленными прикладными процессами за счет образования виртуальных соединений. Протокол UDP обеспечивает передачу прикладных пакетов дейтаграммным способом, как и IP, и выполняет только функции связующего звена между сетевым протоколом и многочисленными прикладными процессами. Верхний уровень (уровень I) называется прикладным. За долгие годы использования в сетях различных стран и организаций стек TCP/IP накопил большое количество протоколов и сервисов прикладного уровня. К ним относятся такие широко используемые протоколы, как протокол копирования файлов FTP, протокол эмуляции терминала telnet, почтовый протокол SMTP, используемый в электронной почте сети Internet, гипертекстовые сервисы доступа к удаленной информации, такие как WWW и многие другие. Остановимся несколько подробнее на некоторых из них. Протокол пересылки файлов FTP (File Transfer Protocol) реализует удаленный доступ к файлу. Для того, чтобы обеспечить надежную передачу, FTP использует в качестве транспорта протокол с установлением соединений - TCP. Кроме пересылки файлов протокол FTP предлагает и другие услуги. Так, пользователю предоставляется возможность интерактивной работы с удаленной машиной, например, он может распечатать содержимое ее каталогов. Наконец, FTP выполняет аутентификацию пользователей. Прежде, чем получить доступ к файлу, в соответствии с протоколом пользователи должны сообщить свое имя и пароль. Для доступа к публичным каталогам FTP-архивов Internet парольная аутентификация не требуется, и ее обходят за счет использования для такого доступа предопределенного имени пользователя Anonymous. В стеке TCP/IP протокол FTP предлагает наиболее широкий набор услуг для работы с файлами, однако он является и самым сложным для программирования. Приложения, которым не требуются все возможности FTP, могут использовать другой, более экономичный протокол - простейший протокол пересылки файлов TFTP (Trivial File Transfer Protocol). Этот протокол реализует только передачу файлов, причем в качестве транспорта используется более простой, чем TCP, протокол без установления соединения - UDP. Протокол telnet обеспечивает передачу потока байтов между процессами, а также между процессом и терминалом. Наиболее часто этот протокол используется для эмуляции терминала удаленного компьютера. При использовании сервиса telnet пользователь фактически управляет удаленным компьютером так же, как и локальный пользователь, поэтому такой вид доступа требует хорошей защиты. Поэтому серверы telnet всегда используют как минимум аутентификацию по паролю, а иногда и более мощные средства защиты, например, систему Kerberos. Протокол SNMP (Simple Network Management Protocol) используется для организации сетевого управления. Изначально протокол SNMP был разработан для удаленного контроля и управления маршрутизаторами Internet, которые традиционно часто называют также шлюзами. С ростом популярности протокол SNMP стали применять и для управления любым коммуникационным оборудованием - концентраторами, мостами, сетевыми адаптерами и т.д. и т.п. Проблема управления в протоколе SNMP разделяется на две задачи. Первая задача связана с передачей информации. Протоколы передачи управляющей информации определяют процедуру взаимодействия SNMP-агента, работающего в управляемом оборудовании, и SNMP-монитора, работающего на компьютере администратора, который часто называют также консолью управления. Протоколы передачи определяют форматы сообщений, которыми обмениваются агенты и монитор. Вторая задача связана с контролируемыми переменными, характеризующими состояние управляемого устройства. Стандарты регламентируют, какие данные должны сохраняться и накапливаться в устройствах, имена этих данных и синтаксис этих имен. В стандарте SNMP определена спецификация информационной базы данных управления сетью. Эта спецификация, известная как база данных MIB (Management Information Base), определяет те элементы данных, которые управляемое устройство должно сохранять, и допустимые операции над ними.
Данная архитектура является одной из самых распространенных, так как ее протоколы используются для создания глобальной мегасети Internet. На рисунке приведена схема взаимодействия протоколов данной сетевой архитектуры. Втаблице представлен перечень протоколов архитектуры TCP/IP. Основные особенности архитектуры состоят в следующем.Протокол сетевого уровня IP реализует дейтаграммный способ передачи блоков данных (без установления соединения).Используются два транспортных протокола ТСР (с установлением соединения и подтверждением доставки данных) и UDP (без установления соединения и подтверждения).Протокол ТСР для передачи использует прикладные протоколы SMTP, RPC, TELNET, FTP и др. На протокол UDP ориентированы прикладные протоколы SNMP, TFTP, BOOTP.Для адресации кроме IP-адресов используются условные имена ЭВМ (доменные имена службы DNS). Поэтому в составе сети имеются серверы имен DNS, обеспечивающие преобразование имен в IP-адреса.Семейство протоколов маршрутизации делится на группу протоколов определения маршрутов внутри автономной сети (IGP, RIP, IGRP, OSPF, GATED) и группу внешних протоколов, обеспечивающих взаимодействие маршрутизаторов (EGP, BGP, IDRP).Транспортные протоколы TCP и UDP не приспособлены для поддержки приложений реального времени, с этой целью разработана группа протоколов реального времени RTP, RTCP, RSVP. Архитектура семейства протоколов TCP/IP ARP Отвечает за получение MAC адреса хоста, размещенного в текущей сети, по его IP адресу. Использует broadcast.
ICMP Посылка сообщений об ошибках, обнаруженных в процессе передачи пакетов.
IGMP Информирует маршрутизаторы о наличии в данной сети multicast группы.
IP Обеспечивает маршрутизацию пакетов.
TCP Обеспечивает соединение между двумя хостами, с гарантируемой доставкой пакетов.
UDP Обеспечивает соединение между двумя хостами, при котором не гарантируется доставка пакетов.
11. Методи соціальної інженерії Соціа?льнаінженері?я — наука, щовивчаєможливістьотримання інформації унаслідоклюдськоїнеуважності, використанняпростихпаролів, невживаннінеобхіднихзаходівбезпеки. Отримання інформації без згоди іншої людини (викрадення особистих даних) грубо можна поділити на дві категорії: з використанням методів соціальної інженерії та без них. В першому випадку для отримання конфіденційних даних застосовуються знання більше з соціології та психології, ніж зі сфери ІТ. У другому випадку, по-іншомухакерство, людина повинна бути професіоналом (хакером) у відповідній галузі. Социальная инженерия — это метод управления действиями человека без использования технических средств. Метод основан на использовании слабостей человеческого фактора и считается очень разрушительным. Зачастую социальную инженерию рассматривают как незаконный метод получения информации, однако это не совсем так. Социальную инженерию можно также использовать и в законных целях, и не только для получения информации, а и для совершения действий конкретным человеком. Сегодня социальную инженерию зачастую используют в интернете, для получения закрытой информации, или информации, которая представляет большую ценность. Злоумышленник получает информацию, например, путем сбора информации о служащих объекта атаки, с помощью обычного телефонного звонка или путем проникновения в организацию под видом ее служащего. Злоумышленник может позвонить работнику компании (под видом технической службы) и выведать пароль, сославшись на необходимость решения небольшой проблемы в компьютерной системе. Очень часто этот трюк проходит. Имена служащих удается узнать после череды звонков и изучения имён руководителей на сайте компании и других источников открытой информации (отчётов, рекламы и т. п.). Используя реальные имена в разговоре со службой технической поддержки, злоумышленник рассказывает придуманную историю, что не может попасть на важное совещание на сайте со своей учетной записью удаленного доступа. Другим подспорьем в данном методе являются исследование мусора организаций, виртуальных мусорных корзин, кража портативного компьютера или носителей информации. Данный метод используется, когда злоумышленник наметил в качестве жертвы конкретную компанию. Социальная инженерия — относительно молодая наука, которая является составной частью социологии, и претендует на совокупность тех специфических знаний, которые направляют, приводят в порядок и оптимизируют процесс создания, модернизации и воспроизведения новых («искусственных») социальных реальностей. Определенным образом она «достраивает» социологическую науку, завершает ее на фазе преобразования научных знаний в модели, проекты и конструкции социальных институтов, ценностей, норм, алгоритмов деятельности, отношений, поведения и т. п. Занятия сориентированы на вооружение слушателей прежде всего методологией аналитико-синтетического мышления и знаниями формализованных процедур (технологий) конструкторско-изобретательской деятельности. В характеристике формализованных операций, из которых складывается это последнее, особое внимание обращается на операции сложной комбинаторики. Игнорирование принципа системности в операциях комбинаторики нанесли и продолжают наносить большой ущерб на всех уровнях трансформационных процессов, которые происходят в нашем обществе. Последовательные знания принципиальных требований к указанным операциям дают основания к предотвращению ошибочных извращений в реформационной практике на ее макро-, мезо- и микроуровнях. Несмотря на то, что понятие социальной инженерии появилось недавно, люди в той или иной форме пользовались ее техниками испокон веков. В той же Древней Греции и Риме в большом почете были люди, могущие навешать на уши любую лапшу и убедить собеседника в «очевидной неправоте». Выступая от имени верхов, они вели дипломатические переговоры, а, подмешивая в свои слова вранье, лесть и выгодные аргументы, нередко решали такие проблемы, которые, в противном случае, невозможно было решить без помощи меча. В среде шпионов социальная инженерия всегда являлась главным оружием. Выдавая себя за кого угодно, агенты КГБ и ЦРУ могли выведать самые страшные государственные тайны. В начале 70-х гг., в период расцвета фрикинга, некоторые телефонные хулиганы забавлялись тем, что названивали с уличных автоматов операторам Ma Bell и подкалывали их на тему компетентности. Потом кто-то, очевидно, сообразил, что, если немного перестроить фразы и кое-где солгать, можно заставить тех. персонал не просто оправдываться, а выдавать в порыве эмоций конфиденциальную информацию. Фрикеры стали потихоньку экспериментировать с уловками и к концу 70-х настолько отработали техники манипулирования неподготовленными операторами, что могли без проблем узнать у них практически все, что хотели. Заговаривать людям зубы по телефону, чтобы получить какую-то информацию или просто заставить их что-то сделать, приравнивалось к искусству. Профессионалы в этой области очень гордились своим мастерством. Самые искусные социальные инженеры (синжеры) всегда действовали экспромтом, полагаясь на свое чутье. По наводящим вопросам, по интонации голоса они могли определить комплексы и страхи человека и, мгновенно сориентировавшись, сыграть на них. Если на том конце провода находилась молоденькая, недавно поступившая на работу девушка — фрикер намекал на возможные неприятности с боссом, если это был какой-то самоуверенный тюфяк — достаточно было представиться начинающим пользоветелем, которому все нужно показать и рассказать. К каждому подбирался свой ключ. С появлением компьютеров, многие фрикеры перебрались в компьютерные сети и стали хакерами. Навыки СИ в новой области стали еще полезнее. Если раньше мозги оператору пудрили в основном для получения кусочков информации из корпоративных справочников, то теперь стало возможным узнать пароль для входа в закрытую систему и скачать оттуда кучу тех же справочников или что-то секретное. Причем такой способ был намного быстрее и проще технического. Не нужно искать дыры в навороченной системе защиты, не надо ждать, пока Jack the Ripper угадает правильный пароль, не обязательно играть в кошки-мышки с админом. Достаточно позвонить по телефону и, при правильном подходе, на другом конце линии сами назовут заветное слово. Техники и термины социальной инженерии Все техники социальной инженерии основаны на особенностях принятия решений людьми, называемых когнитивным базисом. Они также могут быть названы особенностью принятия решения человеческой и социальной психологий, основанной на том, что человек должен кому-либо доверять в социальной среде воспитания. Претекстинг Претекстинг — это действие, отработанное по заранее составленному сценарию (претексту). В результате цель должна выдать определённую информацию или совершить определённое действие. Этот вид атак применяется обычно по телефону. Чаще эта техника включает в себя больше, чем просто ложь, и требует каких-либо предварительных исследований (например, персонализации: дата рождения, сумма последнего счёта и др.), с тем, чтобы обеспечить доверие цели. К этому же виду относятся атаки и по онлайн-мессенджерам, например, по ICQ. Фишинг Фишинг — техника, направленная на жульническое получение конфиденциальной информации. Обычно злоумышленник посылает цели e-mail, подделанный под официальное письмо — от банка или платёжной системы — требующее «проверки» определённой информации или совершения определённых действий. Это письмо обычно содержит ссылку на фальшивую веб-страницу, имитирующую официальную, с корпоративным логотипом и контентом, и содержащую форму, требующую ввести конфиденциальную информацию — от домашнего адреса до пин-кода банковской карты. Троянский конь
Дорожное яблоко Этот метод атаки представляет собой адаптацию троянского коня и состоит в использовании физических носителей. Злоумышленник может подбросить инфицированный CD или флэш в месте, где носитель может быть легко найден (туалет, лифт, парковка). Носитель подделывается под официальный и сопровождается подписью, призванной вызвать любопытство. Пример: Злоумышленник может подбросить CD, снабжённый корпоративным логотипом и ссылкой на официальный сайт компании цели, и снабдить его надписью «Заработная плата руководящего состава Q1 2007». Диск может быть оставлен на полу лифта или в вестибюле. Сотрудник по незнанию может подобрать диск и вставить его в компьютер, чтобы удовлетворить своё любопытство, или просто «добрый самаритянин» отнесёт диск в компанию. Кви про кво Злоумышленник может позвонить по случайному номеру в компанию и представиться сотрудником техподдержки, опрашивающим, есть ли какие-либо технические проблемы. В случае, если они есть, в процессе их «решения» цель вводит команды, которые позволяют хакеру запустить вредоносное программное обеспечение. 12. Розмежування доступу до об’єктів ОС На практике системы разграничения доступа (СРД), базирующиесяна моделях матричного типа, реализуются обычно в виде специальных компонент универсальных операционных систем (ОС) или систем управления базами данных (СУБД). Зачастую такие компоненты поставляются в виде самостоятельных программных изделий. Например такие известные программные средства защиты как RACF (Resource Access Control Facility) фирмы IBM, SECURE фирмы Boole and Babbige и TOPSECRET фирмы CGA Computer Ivc, предназначеныдля расширения функционалных возможностей широко распространенных операционных систем IBM Sustem/370 MVS и VSI возможностями аутентификации пользователей и матричного разграничения доступа к томам и наборам данных на магнитных дисках, томам данных на магнитной ленте, а также транзакциям IMS и CICS и некоторым другим объектам данных. В более современных операционных системах, таких как UNIX и VAX/VMS, функции разграничения доступа к элементам файловой структуры интегрированы непосредственно в управляющую программу. Существенной особенностью матричных СРД для наиболее широко используемых на сегодняшний день универсальных операционных систем является принципиальная децентрализованность механизмов диспетчера доступа, что приводит к невозможности строгого выполнения изложенных выше требований верифицируемости, защищенности и полноты контроля указанных механизмов. В области многоуровневых систем разграничения доступа доминирующей идеей, в течении последнего десятилетия определившей основное направление исследований, является концепция разработки защищенной унивесальной операционной системы на базе так называемого ядра безопасности [21]. Под ядром безопасности понимают локализованную, минимизируемую, четко ограниченную и надежно изолированную совокупность программно-аппаратных механизмов, доказательно правильно реализующих функции диспетчера доступа (и ряд других сопутствующих служебных функций, например, доверенных процессов). Демонстрация корректности функционирования ядра безопасности проводится путем полной формальной верификации его программ и пошаговым доказательством их соответствия заданной математической модли защиты на всех стадиях разработки. Важно отметить, что сама концепция ядра безопасности своим рождением обязана стремлению преодолеть трудности реализации средств защиты в рамках традиционных операционных систем. В упрощенной трактовке этот тезис выглядит следующим образом: - если невозможно создать верифицируемую систему защиты для произвольной ОС, то необходимо создать специалную ОС (а может и сециальную ЭВМ), средсва защиты которой допускали бы формальную верификацию. Создатели ядра безопасности обеспечивают выполнение требований к диспетчеру доступа за счет специфической структуры ОС и самого ядра, применения специальных методов и технологии разработки,а также при определенной архитектурной поддержке, реализуемой а аппаратных средствах ЭВМ. Стремление к снижению объма и внутреннейлогической сложности ядра продиктовано необходимостью выполнения требований верифицируемости. Той же цели служит специальная технология разработки программ ядра и некоторых других компонентов ОС (использование средств формальной спецификации программ и автоматизированной проверки х корректности, применение специфических приемов программирования и специаьных компиляторов и т.п.) [22] . Выполнение требования защищенности собственных механизмов СРД способствует использование специальной аппаратной поддержки и включение в состав контролруемых ядром объектов важнейших управляющих структур самой ОС. Последняя мера направлена на предотвращение возможности несанкционированного переходы пользовательских процессов в привилегированное состояние (или, как говорят, "прокола" ОС). Для традиционных универсальных ОС именно задача доказательства отсутствия таких проколов является одной из наиболее трудноразрешимых (требование полноты контроля). К аппаратным средствам поддержки защиты и изоляции ядра безопасности относятся: - многоуровневые, привилегированные режимы выполнения команд (с числом уровней больше двух); - использование ключей защиты и сегментирование памяти; - реализация механизма виртуальной памяти с разделением адресных пространств; - аппаратная реализация функций ОС; - хранение и распространение программ в ПЗУ; - использование новых архитектур ЭВМ. Хорошей идеей структурной организации программных средств, ориентированной на изоляцию управляющих механизмов и структур ОС, явилась концепция "виртуальной машины", нашедшая широкое применение в практике создания безопасных вычислительных систем. Однако несмотря на значительные усилия и средства, вложенные в исследования и разработку рпрограммных и аппаратных средств многоуровневой защиты, на сегодняшний день многие ведущие специалисты приходят к выводу, что существующими методами задачу создания безопасной ЭВМ с операционной системой универсального приенения не удасться решить в рамках ближайшего десятилетия. В начале 80-х годов в США появились специализированные ЭВМ, аттестованные Национальным Центром Безопасности ЭВМ, как гарантированно защищенные, что в классификации центра соответствует оценке А1. Широкую известность, в частности, приобрела система SCOMP фирмы Honeywell, предназначенная для использования в центрах коммутации вычислительных сетей, обрабатывающих секретную информацию [23]. Хотя эта система разработана на базе концепции ядра безопасности, ее создателям удалось обеспечить необходимые характеристикипроизводительности благодаря существенному ограничению функциональных возможностей данной специализированной ОС. Необходимо отметить, что хотя опыт создания этой, а также некоторых других узкоспециализированных систем и продемонстрировал специфическую применимость указанного подхода, он с другой сторонылишний раз подтвердил чрезмерную громодздкость и неэффективностьсуществующих методов разработки доказательно корректного программного обеспечения, что препятствует созданию этим способом функционально полных, универсальных безопасных операционных систем. Возвращаясь к системам разграничения доступа для традиционных неструкуированных (т.е. имеющих ядра безопасности) операционныхсистем, необходимо отметить, что как показывает практика, для них оказывается невозможным надежно удостовериться в отсутствии (или наличии) скрытых каналов доступа к информационным объектам состороны программ, нарушающих сстемные соглашения. Более того, в таикх ОС невозможно гарантировать отсутствие путей для несанкционированного перехода пользовательских процессов в привилегированное состояние. Последнее тем более опасно потому, что если прикладной программе удасться в результате преднамеренных действий получить привилегированный статус, то в принципе она сможет вообще отключить все средства защиты и обеспечить себе доступ к любым хранящимся в вычислительной системе данным. Причины такого положения кроются в децентрализованности механизмов доступа к разнородным объектам, а также в отсутствии эффективных средств изоляции программ и данных в пределах общего адресного пространства основной памяти. В этих условиях попытка верификации ограниченного подмножества программ, совокупно реализующих функции распределенного диспетчера доступа, приводит к необходимости анализа почти всех программных модулей ОС, что существующимиметодами сделать не удастся ввиду чрезвычайно большого суммарного объема программ современных операционных систем. Вследствие невозможности количественой оценки защищенности неструктуированных универсальных ОС, создание средств многоуровнего разграничения доступа для них становится нецелесообразным. Поэтому, как уже указывалось, для большинства ОС коммерческие системыразграничения доступа реализуются на базе матричных моделей защиты (то есть не превышают уровня О2 по критериям 4 О"Оранжевой книги"). Указанные трудности в обеспечении защиты вычислительных систем приводят к необходимости применения дополнительных объектовых мер организационной защты. В особо ответственных применениях разработчики вынуждены прибегать к проведению трудоемкого инженерногоанализа ПО, а также существенно ограничивать функциональные возможности применяемых ОС, порою "вычеркивая" из них целые компоненты. Применение подобных мер приводит к существенному росту расходов на разработку, эксплуатацию и сопровождение систем, препятствует нормальному процессу их эволюционного развития. Использование криптографических методов открывает новые, уникальные возможности защиты данных в вычислительных сетях, недостижимые при использовании традиционных методов разграничения доступа, действующих на уровне контроля обращений к элементам структур данных. 13. Класифікація загроз Например, комиссия министерства обороны США приводит следующую классификацию угроз информационным системам по степени нарастания ущерба: Некомпетентные служащие Хакеры и кракеры Служащие не удовлетворённые своим статусом Нечестные служащие. Инициативный шпионаж. Организованная преступность. Политические диссиденты. Террористические группы. Экономический, политический, военный шпионаж. Тактические удары и стратегические операции противника по разрушению информационного пространства государства в ходе ведения информационной войны. Типы детектируемых объектов Все детектируемые продуктами «Лаборатории Касперского» типы объектов можно отобразить в виде дерева. Красным цветом на приведенном рисунке отмечены вредоносные программы (Malware), желтым — потенциально нежелательные программы (PUPs, Potentially Unwanted Programs). Чтобы ознакомиться с определениями каждого вердикта и поведения, а также узнать об их отличиях друг от друга, выберите интересующий вас пункт на рисунке: Вирусы Программы, заражающие другие программы путем добавления в них своего кода, чтобы получить управление при запуске зараженных файлов. Скорость распространения вирусов немного ниже, чем у червей. "Троянские" программы Строго говоря, данная категория программ может быть отнесена к вирусам. В нее входят программы, осуществляющие различные действия, не санкционированные пользователем: сбор информации и ее передачу злоумышленнику, разрушение или злонамеренная модификация данных, нарушение работоспособности компьютера, использование ресурсов компьютера в своих целях. Отдельные категории троянских программ наносят ущерб удаленным компьютерам и сетям, не нарушая работоспособности зараженного компьютера (например, троянские программы, разработанные для распределенных DoS-атак на удаленные ресурсы сети). Черви Данная категория вредоносного ПО не дописывается к исполнимому коду, а рассылает себя на сетевые ресурсы. К данной категории относятся программы, распространяющие свои копии по локальным и/или глобальным сетям с целью: проникновения на удаленные компьютеры; запуска своей копии на удаленном компьютере; дальнейшего распространения на другие компьютеры сети. Для своего распространения сетевые черви используют всевозможные компьютерные и мобильные сети: электронную почту, системы обмена мгновенными сообщениями, файлообменные (P2P) и IRC-сети, LAN, сети обмена данными между мобильными устройствами (телефонами, карманными компьютерами) и т. д. Большинство известных сетевых червей распространяется в виде файлов: вложений в электронные письма, ссылок на зараженный файл на каком-либо веб- или FTP-ресурсе, в ICQ- и IRC-сообщениях, в виде файла в каталоге обмена P2P и т.п. Некоторые сетевые черви (так называемые "бесфайловые" или "пакетные") распространяются в виде сетевых пакетов, проникая непосредственно в память компьютера и активизируя свой код. Для проникновения на удаленные компьютеры и запуска своей копии сетевые черви используют различные методы: приемы социального инжиниринга (например, сопровождение электронным письмом, призывающим открыть вложенный файл), недочеты в конфигурации сети (к примеру, копирование на диск, открытый на полный доступ), ошибки в службах безопасности операционных систем и их приложений. Некоторые сетевые черви обладают также свойствами других разновидностей вредоносного программного обеспечения. Например, содержат троянские функции или способны заражать выполняемые файлы на локальном диске, то есть имеют свойства троянской программы и/или компьютерного вируса. Хакерские утилиты Программы, предназначенные для нанесения какого-либо вреда программному обеспечению (подбор паролей, удаленное управление и т.д.). Программы данного класса не являются ни вирусами, ни "троянскими конями" и не наносят вреда компьютерам, на которых они установлены, но при этом могут использоваться для проведения атаки на другие компьютеры и на чужую информацию. К данной категории программ относятся: утилиты автоматизации создания сетевых червей, компьютерных вирусов и троянских программ (так называемые "конструкторы"); программные библиотеки, разработанные для создания вредоносного ПО; хакерские утилиты сокрытия кода зараженных файлов от антивирусной проверки (шифровальщики файлов). Программы-шпионы (spyware) Программное обеспечение, использование которого может нанести вред информации пользователя. Под термином "spyware" в подавляющем большинстве случаев подразумевается целое семейство программ, в которое входят программы дозвона, утилиты для закачивания файлов из интернета, различные серверы (FTP, Proxy, Web, Telnet), IRC-клиенты, средства мониторинга, PSW-утилиты, средства удаленного администрирования, программы-шутки. Иногда в семейство spyware включают еще и рекламные коды (adware), которые могут демонстрировать рекламные сообщения, подставлять, изменять результаты поиска и любыми доступными способами продвигать рекламируемый сайт. Если подходить к терминологической проблеме академически, то все перечисленные выше типы программ следует называть "riskware". На русском языке это слово означает "условно опасные программы" — то есть такие, которые могут причинить вред информации пользователя. Описание классификации: По характеру угрозы информационной безопасности можно разделить на технологические и организационные. Соответственно, получим верхний уровень классификации: 1. Угрозы технологического характера 2. Угрозы организационного характера Рассмотрим технологические угрозы информационной безопасности, которые по виду воздействия делятся на: 1.1. Физические 1.2. Программные (логические) Следующая ступень классификации - причина угрозы. Причинами реализации физических угроз могут быть: 1.1.1. Действия нарушителя (человека) 1.1.2. Форс-мажорные обстоятельства 1.1.3. Отказ оборудования и внутренних систем жизнеобеспечения Независимо от причины физические угрозы воздействуют: 1.1.1.1. На ресурс 1.1.1.2. На канал связи Далее перейдем к рассмотрению программных угроз. Программные угрозы по причине воздействия можно разделить на: 1.2.1. Угрозы, исходящие от локального нарушителя; 1.2.2. Угрозы, исходящие от удаленного нарушителя. Объектом локального нарушителя может быть только ресурс. При этом, на ресурсе локальный нарушитель может реализовать угрозы, направленные: 1.2.1.1. На операционную систему; 1.2.1.2. На прикладное программное обеспечение; 1.2.1.3. На информацию. Угрозы, исходящие от удаленного нарушителя, могут воздействовать: 1.2.2.1. На ресурс; 1.2.2.2. На канал связи. При доступе к ресурсу удаленный нарушитель может воздействовать: 1.2.2.1.1. На операционную систему; 1.2.2.1.2. На сетевые службы; 1.2.2.1.3. На информацию. При воздействии на канал связи удаленный нарушитель может реализовать угрозы, направленные: 1.2.2.2.1. На сетевое оборудование; 1.2.2.2.2. На протоколы связи. Рассмотрим организационные угрозы. Организационные угрозы по характеру воздействия разделим на: 2.1. Воздействие на персонал; 2.2. Действия персонала. Воздействие на персонал может быть: 2.1.1. Физическим; 2.1.2. Психологическим. Как физическое, так и психологическое воздействие на персонал направлено на сотрудников компании с целью: 2.1.1.1. Получения информации; 2.1.1.2. Нарушения непрерывности ведения бизнеса. Причинами действий персонала, способных вызвать угрозы информационной безопасности, могут быть: 2.2.1. Умышленные действия; 2.2.2. Неумышленные действия. Угрозы, вызванные умышленными действиями персонала, могут быть направлены: 2.2.1.1. На информацию; 2.2.1.2. На непрерывность ведения бизнеса. Угрозы, вызванные неумышленными действиями персонала, могут быть направлены: 2.2.2.1. На информацию; 2.2.2.2. На непрерывность ведения бизнеса. Таким образом, классификация угроз информационной безопасности разделяется по характеру угрозы, виды воздействия, причине и объекту угрозы. 14. Чинники, що спричиняють компрометацію інформації Компрометация информации, как правило, реализуется посредством внесения несанкционированных изменений в базы данных, в результате чего ее потребитель вынужден либо отказаться от нее, либо предпринимать дополнительные усилия для выявления изменений и восстановления истинных сведений. В случае использования скомпрометированной информации потребитель подвергается опасности принятия неверных решений со всеми вытекающими последствиями. Несанкционированное использование информационных ресурсов, с одной стороны, является средством раскрытия или компрометации информации, а с другой - имеет самостоятельное значение, поскольку, даже не касаясь пользовательской или системной информации, может нанести определенный ущерб абонентам и администрации. Этот ущерб может варьироваться в широких пределах - от сокращения поступления финансовых средств до полного выхода АИТ из строя. Ошибочное использование информационных ресурсов, будучи несанкционированным, тем не менее может привести к разрушению, раскрытию или компрометации указанных ресурсов. Данная угроза чаще всего является следствием ошибок в программном обеспечении. 15. IT SEC IPSec (сокращение от IP Security) — набор протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу IP, позволяет осуществлять подтверждение подлинности и/или шифрование IP-пакетов. IPsec также включает в себя протоколы для защищённого обмена ключами в сети Интернет. Стандарты RFC 2401 (Security Architecture for the Internet Protocol) — Архитектуразащитыдляпротокола IP. RFC 2402 (IP Authentication header) — Аутентификационный заголовок IP. RFC 2403 (The Use of HMAC-MD5-96 within ESP and AH) — Использование алгоритма хэширования MD-5 для создания аутентификационного заголовка. RFC 2404 (The Use of HMAC-SHA-1-96 within ESP and AH) — Использование алгоритма хэширования SHA-1 для создания аутентификационного заголовка. RFC 2405 (The ESP DES-CBC Cipher Algorithm With Explicit IV) — Использование алгоритма шифрования DES. RFC 2406 (IP Encapsulating Security Payload (ESP)) — Шифрованиеданных. RFC 2407 (The Internet IP Security Domain of Interpretation for ISAKMP) — Областьпримененияпротоколауправленияключами. RFC 2408 (Internet Security Association and Key Management Protocol (ISAKMP)) — Управлениеключамииаутентификаторамизащищенныхсоединений. RFC 2409 (The Internet Key Exchange (IKE)) — Обменключами. RFC 2410 (The NULL Encryption Algorithm and Its Use With IPsec) — Нулевойалгоритмшифрованияиегоиспользование. RFC 2411 (IP Security Document Roadmap) — Дальнейшееразвитиестандарта. RFC 2412 (The OAKLEY Key Determination Protocol) — Проверкааутентичностиключа. IPsec является неотъемлемой частью IPv6 — интернет-протокола следующего поколения, и необязательным расширением существующей версии интернет-протокола IPv4. Первоначально протоколы IPsec были определены в RFC с номерами от 1825 до 1827, принятых в 1995 году. В 1998 году были приняты новые редакции стандартов (RFC с 2401 по 2412), несовместимые с RFC 1825—1827. В 2005 году была принята третья редакция, незначительно отличающаяся от предыдущей. Техническая информация Протоколы IPsec работают на сетевом уровне (уровень 3 модели OSI). Другие широко распространённые защищённые протоколы сети Интернет, такие как SSL и TLS, работают на транспортном уровне (уровни OSI 4 — 7). Это делает IPsec более гибким, поскольку IPsec может использоваться для защиты любых протоколов базирующихся на TCP иUDP. В то же время увеличивается его сложность из-за невозможности использовать протокол TCP (уровень OSI 4) для обеспечения надёжной передачи данных. IPsec-протоколы можно разделить на два класса: протоколы отвечающие за защиту потока передаваемых пакетов и протоколы обмена криптографическими ключами. На настоящий момент определён только один протокол обмена криптографическими ключами — IKE (Internet Key Exchange) — и два протокола, обеспечивающих защиту передаваемого потока: ESP (Encapsulating Security Payload — инкапсуляция зашифрованных данных) обеспечивает целостность и конфиденциальность передаваемых данных, в то время как AH (Authentication Header — аутентифицирующий заголовок) гарантирует только целостность потока (передаваемые данные не шифруются). Протокол IPSec включает криптографические методы, удовлетворяющие потребности управления ключами на сетевом уровне безопасности. Протокол управления ключами Ассоциации безопасности Интернет (Internet Security Association Key Management Protocol — ISAKMP) создает рамочную структуру для управления ключами в сети Интернет и предоставляет конкретную протокольную поддержку для согласования атрибутов безопасности. Само по себе это не создает ключей сессии, однако эта процедура может использоваться с разными протоколами, создающими такие ключи (например, с Oakley), и в результате мы получаем полное решение для управления ключами в Интернет. Протокол определения ключей Oakley Key Determination Protocol (англ.) пользуется гибридным методом Диффи-Хеллмана, чтобы создать ключи сессии Интернет для центральных компьютеров и маршрутизаторов. Протокол Oakley решает важную задачу обеспечения полной безопасности эстафетной передачи данных. Он основан на криптографических методах, прошедших серьезное испытание практикой. Полная защита эстафетной передачи означает, что если хотя бы один ключ раскрыт, раскрыты будут только те данные, которые зашифрованы этим ключом. Что же касается данных, зашифрованных последующими ключами, они останутся в полной безопасности. Протоколы ISAKMP и Oakley были совмещены в рамках гибридного протокола IKE — Internet Key Exchange. Протокол IKE, включающий ISAKMP и Oakley, использует рамочную структуру ISAKMP для поддержки подмножества режимов обмена ключами Oakley. Новый протокол обмена ключами обеспечивает (в виде опции) полную защиту эстафетной передачи данных, полную защиту ассоциаций, согласования атрибутов, а также поддерживает методы аутентификации, допускающие отказ от авторства и не допускающие такого отказа. Этот протокол может, к примеру, использоваться для создания виртуальных частных сетей (VPN) и для того, чтобы предоставить пользователям, находящимся в удаленных точках (и пользующимся динамически распределяемыми адресами IP), доступ к защищенной сети. Протоколы защиты передаваемого потока могут работать в двух режимах — в транспортном режиме и в режиме туннелирования. При работе в транспортном режиме IPsec работает только с информацией транспортного уровня, в режиме туннелирования — с целыми IP-пакетами. IPsec-трафик может маршрутизироваться по тем же правилам, что и остальные IP-протоколы, но, так как маршрутизатор не всегда может извлечь информацию, характерную для протоколов транспортного уровня, то прохождение IPsec через NAT-шлюзы невозможно. Для решения этой проблемы IETF определила способ инкапсуляции ESP в UDP, получивший название NAT-T (NAT traversal). IPsec можно рассматривать как границу между внутренней (защищённой) и внешней (незащищённой) сетью. Эта граница может быть реализована как на отдельном хосте, так и на шлюзе, защищающем локальную сеть. Заголовок любого пакета, проходящего через границу, анализируется на соответствие политикам безопасности, то есть критериям, заданным администратором. Пакет может быть либо передан дальше без изменений, либо уничтожен, либо обработан с помощью протоколов защиты данных. Для защиты данных создаются так называемые SA (Security Associations) — безопасные соединения, представляющие собой виртуальные однонаправленные каналы для передачи данных. Для двунаправленной связи требуется два SA. Параметры политик безопасности и безопасных соединений хранятся в двух таблицах: базе данных политик безопасности (SPD — Security Policy Database) и базе данных безопасных соединений (SAD — Security Association Database). Записи в SPD определяют в каких случаях нужно включать шифрование или контроль целостности, в то время как в SAD хранятся криптографические ключи, которые будут использованы для шифрования или подписи передаваемых данных. Если согласно SPD передаваемый пакет должен быть зашифрован, но в SAD нет соответствующего SA, реализация IPsec по протоколу IKE согласовывает с другой стороной создание нового SA и его параметры. RFC 4301 дополнительно определяет третью таблицу — базу данных для авторизации узлов (PAD, Peer Authorization Database), предназначенную для хранения сведений об узлах, которым разрешено создавать SA с данным узлом и о допустимых параметрах этих SA. Режимы работы IPsec Существует два режима работы IPsec: транспортный режим и туннельный режим. В транспортном режиме шифруется (или подписывается) только информативная часть IP-пакета. Маршрутизация не затрагивается, так как заголовок IP пакета не изменяется (не шифруется). Транспортный режим как правило используется для установления соединения между хостами. Он может также использоваться между шлюзами, для защиты туннелей, организованных каким-нибудь другим способом (IP tunnel, GRE и др.). В туннельном режиме IP-пакет шифруется целиком. Для того, чтобы его можно было передать по сети, он помещается в другой IP-пакет. По существу, это защищённый IP-туннель. Туннельный режим может использоваться для подключения удалённых компьютеров к виртуальной частной сети или для организации безопасной передачи данных через открытые каналы связи (например, Интернет) между шлюзами для объединения разных частей виртуальной частной сети. Режимы IPsec не являются взаимоисключающими. На одном и том же узле некоторые SA могут использовать транспортный режим, а другие — туннельный. 16. Класифікація систем виялення атак IDS Что такое IDS IDS являются программными или аппаратными системами, которые автоматизируют процесс просмотра событий, возникающих в компьютерной системе или сети, и анализируют их с точки зрения безопасности. Так как количество сетевых атак возрастает, IDS становятся необходимым дополнением инфраструктуры безопасности. Мы рассмотрим, для каких целей предназначены IDS, как выбрать и сконфигурировать IDS для конкретных систем и сетевых окружений, как обрабатывать результаты работы IDS и как интегрировать IDS с остальной инфраструктурой безопасности предприятия. Обнаружение проникновения является процессом мониторинга событий, происходящих в компьютерной системе или сети, и анализа их. Проникновенияопределяются как попытки компрометации конфиденциальности, целостности, доступности или обхода механизмов безопасности компьютера или сети. Проникновения могут осуществляться как атакующими, получающими доступ к системам из Интернета, так и авторизованными пользователями систем, пытающимися получить дополнительные привилегии, которых у них нет. IDSявляются программными или аппаратными устройствами, которые автоматизируют процесс мониторинга и анализа событий, происходящих в сети или системе, с целью обнаружения проникновений. IDS состоят из трех функциональных компонентов: информационных источников, анализа и ответа. Система получает информацию о событии из одного или более источников информации, выполняет определяемый конфигурацией анализ данных события и затем создает специальные ответы – от простейших отчетов до активного вмешательства при определении проникновений. Типы IDS Существует несколько способов классификации IDS, каждый из которых основан на различных характеристиках IDS. Тип IDS следует определять, исходя из следующих характеристик: Способ мониторинга системы. По способам мониторинга системы делятся на network-based, host-based и application-based. Способ анализа. Это часть системы определения проникновения, которая анализирует события, полученные из источника информации, и принимает решения, что происходит проникновение. Способами анализа являются обнаружение злоупотреблений (misuse detection) и обнаружение аномалий (anomaly detection). Задержка во времени между получением информации из источника и ее анализом и принятием решения. В зависимости от задержки во времени, IDS делятся на interval-based (или пакетный режим) и real-time. Большинство коммерческих IDS являются real-time network-based системами. К характеристикам IDS также относятся: Источник информации. IDS может использовать различные источники информации о событии для определения того, что проникновение произошло. Эти источники могут быть получены из различных уровней системы, из сети, хоста и приложения. Ответ: Набор действий, которые выполняет система после определения проникновений. Они обычно разделяются на активные и пассивные меры, при этом под активными мерами понимается автоматическое вмешательство в некоторую другую систему, под пассивными мерами — отчет IDS, сделанный для людей, которые затем выполнят некоторое действие на основе данного 3 рівень 1. Структура IP-адреси. Схема маршрутизації повідомлень в TCP/IP базується на унікальних адресах, названих адресами Internet або IP-адресами, які утворюють пару: <адреса локальної мережі, адреса вузла в локальній мережі> або (<NetID, HostID>) IP-адреси представлені 32-бітовим кодом і діляться на класи : A, B, C, D, E (рис.3.1). Найбільше використання на даний час мають перші 3 класи. 1 2 3 4 5 6 7 8 9
… 16
…. 24
… 32
Клас A 00 Адреса мережіNetID (7 біт) Адреса вузлаHostID (24 біти)
Клас B 01 00 Адреса мережіNetID (14 біт) Адреса вузлаHostID (16 біт)
Клас C 11 11 00 Адреса мережіNetID (21 біт) Адреса вузлаHostID(8 біт)
Клас D 11 11 11 00 Багатоадресна MulticastGroupID (28 біт)
Клас E 11 11 11 11 10 Зарезервовано для майбутніх застосувань (27 біт)
Рис. 3.1. Структура IP-адрес. Клас А -адреса починається з 0 Клас В -адреса починається з 10 Клас С -адреса починається з 110 Клас D -адреса починається з 1110 Клас E -адреса починається з 1111 Розподіл кількості адрес мереж та вузлів у різних класах показано в таблиці 3.1. Таблиця 3.1. Число мереж Nd (domains) Число вузлів Nn (hosts)
Клас A 28 -2 224-2
Клас B 214 -2 216-2
Клас C 221-2 28 -2
Коли комп’ютер має два або більше фізичних під’єднань, він називається multi-home host. Такий комп’ютер або маршрутизатор потребує множину IP-адрес, при цьому кожна адреса відповідає одному з під’єднань машини до мережі. Оскільки IP-адреси кодують як мережу, так і вузол в мережі, то ці адреси не визначають конкретний комп’ютер, а визначають під’єднання до мережі. Тому раутер, який з’єднує n мереж, має n різних IP-адрес, по одній для кожного мережевого під’єднання. 2. 4 категорії атак на КС
Переривання, порушення працездатності КС (часткове або повне), тобто виведення з ладу або некоректна зміна режимів роботи КС чи заміна, в результаті якої отримуються неправильні результати, внаслідок чого КС не може правильно обробляти інформацію. В результаті здійснюється відмова від потоку інформації, тобто одна із взаємодіючих сторін не визнає факт передачі або прийому повідомлень, замовлень, фінансових узгоджень. Компоненти системи виходять з ладу, стають недоступними або непридатними (рис.2,б). Метою цієї атаки є порушення доступності. Щодо даних, то інформація, яка зберігається і обробляється на комп’ютері, може мати велику цінність для її власника, і її використання іншими особами наносить значну шкоду власнику. Перехоплення. Це атака, метою якої є порушення конфіденційності, в результаті чого доступ до компонентів системи отримують несанкціоновані сторони (рис.2,в). В ролі несанкціонованої сторони може бути особа, програма або комп’ютер. Прикладом цього можуть бути перехоплення повідомлень помережі, незаконнекопіювання файлів або програм. Зміна (повна або часткова, компрометація або дезінформація). Несанкціонована сторона не тільки отримує доступ до системи та її об’єктів, але й втручається в роботу її компонентів (рис.2,г). Метою цієї атаки є порушення цілісності. Приклади: заміна значень у файлі даних, зміна програми таким чином, що вона працюватиме по-іншому, зміна вмісту переданих по мережі повідомлень. Цінна інформація може бути втрачена або знецінена шляхом її незаконного вилучення або модифікації; Підробка.Несанкціонована сторона розміщує в системі підроблені об’єкти (рис.2,д). Метою цієї атаки є порушення автентичності. Прикладами можуть служити розміщення в мережі підробних повідомлень або додання записів у файл. 3. Класи рівнів безпеки за оранжевою книгою Питаннями стандартизації і розробки нормативних вимог на захист інформації в США займається Національний центр комп’ютерної безпеки Міністерства оборони США (NCSC). Цей центр у 1983 р. видав критерії оцінки безпеки комп’ютерних систем (ТСSEC). Досить часто цей документ називають «оранжевою книгою». Затверджена як урядовий стандарт, вона вміщує основні вимоги і специфікує класи для оцінки рівня безпеки комп’ютерних систем. У цій книзі наведено такі рівні безпеки систем: вищий клас — А; проміжний клас — В; нижчий рівень безпеки — С; клас систем, що не пройшли випробування, — D. До класу D віднесено такі системи, які не пройшли випробування на більш високий рівень захищеності, а також системи, які використовують для захисту лише окремі заходи або функції (підсистеми) безпеки. Клас С1: вибірковий захист. Засоби безпеки систем класу С1 повинні задовольняти вимоги вибіркового керування доступом, забезпечуючи розділення користувачів і даних. Для кожного об’єкта і суб’єкта задається перелік допустимих типів доступу (читання, запис, друкування і т.ін.) суб’єкта до об’єкта. У системах цього класу обов’язковою є ідентифікація і аутентифікація суб’єкта доступу, а також підтримка з боку обладнання.Клас С2: керований доступ. До вимог класу С2 додаються вимоги унікальної ідентифікації суб’єкта доступу, захисту за замовчуванням і реєстрації подій. Унікальна ідентифікація означає, що будь-який користувач системи повинен мати унікальне ім’я. Захист за замовчуванням передбачає призначення повноважень доступу користувачам за принципом «усе, що не дозволено, заборонено», тобто всі ті ресурси, що явно не дозволені користувачеві, розглядаються як недоступні. У системах цього класу обов’язковим є ведення системного журналу, в якому повинні відмічатися події, пов’язані з безпекою системи. У системах класу В має бути цілком контрольований доступ. Кожний суб’єкт і об’єкт системи забезпечуються мітками (або рівнями) конфіденційності й рішення щодо доступу суб’єкта до об’єкта приймається за заздалегідь визначеним правилом на базі зіставлення інформації обох міток.Клас В1: міточний захист. Мітки безпеки мають бути присвоєні всім суб’єктам системи, які можуть містити конфіденційну інформацію. Доступ до об’єктів дозволяється в тому разі, якщо мітка суб’єкта задовольняє певний критерій відносно мітки об’єкта.Клас В2: структурований захист. У цьому класі додатково до вимог класу В1 додаються вимоги наявності добре визначеної і задокументованої формальної моделі політики безпеки, яка потребує дії вибіркового і повноважного керування доступом до всіх об’єктів системи. Вимоги керування інформаційними потоками вводяться згідно з політикою безпеки. (Політика безпеки — це набір законів, правил і практичного досвіду, на основі яких будуються управління, захист і розподіл конфіденційної інформації).Клас В3: області безпеки. У системах цього класу визначаються області безпеки, які будуються за ієрархічною структурою і захищені одна від одної за допомогою спеціальних механізмів. Усі взаємодії суб’єктів із об’єктами жорстко контролюються спеціальним монітором. Система контролю повідомляє адміністратора безпеки і користувача про порушення безпеки. Клас А1: верифікація. Системи цього класу відрізняються від класу В3 тим, що для перевірки специфікацій застосовуються методи формальної верифікації — аналізу специфікацій системи на предмет неповноти або суперечності, що може призвести до появи проривів у безпеці.Аналіз класів захищеності показує, що чим він вищий, тим більш жорсткі вимоги висуваються до системи. 4. VPN з віддаленим доступом [Вікіпедія:] VPN (Віртуальна приватна мережа, англ.Virtual Private Network) — це логічна мережа, створена поверх інших мереж, на базі загальнодоступних або віртуальних каналів інших мереж (Інтернет). Безпека передавання пакетів через загальнодоступні мережі може реалізуватися за допомогою шифрування, в наслідок чого створюється закритий для сторонніх канал обміну інформацією. VPN дозволяє об'єднати, наприклад, декілька географічно віддалених мереж організації в єдину мережу з використанням для зв'язку між ними непідконтрольних каналів. Підключення до VPN віддаленого користувача робиться за допомогою сервера доступу, який підключений як до внутрішньої, так і до зовнішньої (загальнодоступною) мережі. При підключенні віддаленого користувача (або при установці з'єднання з іншою захищеною мережею) сервер доступу вимагає проходження процесу ідентифікації, а потім процесу аутентифікації. Після успішного проходження обох процесів, віддалений користувач (віддалена мережа) наділяється повноваженнями для роботи в мережі, тобто відбувається процес авторизації. [А тепер творчий переклад англійського сайту:]
VPN з віддаленим доступом дозволяє індивідуальним користувачам встановити безпечні з’єднання із віддаленою комп’ютерною мережею.Ці користувачі можуть отримувати доступ до захищених ресурсів на цій мережі, наче вони самі прямо підключились кабелем до мережевих серверів. Приклад компанії, якій необхідний VPN з віддаленим доступом – величезна фірма з тисячею людей, які займаються продажем у своїй галузі. Першим необхідним компонентом є сам сервер у мережі (NetworkAccessServer), який також називають шлюзом. Ним може бути окремий сервер, або одна із кількох програм, яка запущена на спільному сервері. Саме до NASпідключається віддалений користувач через Інтернет, для використання VPN. Для аутентифікації, NAS використовує власний процес або окремий сервер у мережі. Другим компонентом є сама програма на комп’ютері клієнта. Вона повинна встановити тунельне з’єднання із NAS, яке користувач вказує своєю Інтернет адресою. Також програма зашифровує дані, щоб зберігати інформацію безпечною. VPN з віддаленим доступом ідеально підходить індивідуальним користувачам, але не зовсім зручна для цілих офісів з користувачами, для цього використовують site-to-siteVPN. 5. ААА системи ІБ "Комплекс За" включає засоби для аутентифікації, подальшої авторизації і, нарешті, для адміністрування. Аутентифікація і авторизація є ключовими серед елементів, що використовуються в інформаційній безпеці. Якщо виконується спроба доступу до того або іншого інформаційного активу, функція аутентифікації дозволяє позначити як місцезнаходження, так і ім'я користувача, якщо такий є авторизованим для конкретної мережі. У той же час, функція, що відповідає за авторизацію дозволяє забезпечити доступ до одних ресурсів і при необхідності закрити доступ до інших для конкретного користувача. Функція адміністрування відповідає за можливість наділу того або іншого користувача певними "повноваженнями" з подальшим визначенням допустимих дій. ААА є фундаментальним аспектом IP мережі. По мірі того, як розширюється мобільна мережа IP, щоб забезпечити величезну кількість мобільних приладів, сервери ААА представляють адміністративну політику, щоб забезпечити правильне використання та керування ресурсами. Наприклад, стандарти GSM щодо визначення місця розташування користувача (LCS – locationservice), вказують, що мобільні шлюзи повинні впроваджувати політику ААА щодо будь-якого LCS клієнта, який запитує інформацію про місце розташування користувача. 6. Класифікація VPN за способом технічної реалізації За способом технічної реалізації розрізняють наступні групи VPN: VPN на основі мережевої операційної системи; VPN на основі міжмережевих екранів; VPN на основі маршрутизаторів; VPN на основі програмних рішень; VPN на основі спеціалізованих апаратних засобів з вбудованими шифропроцесорами. 4.1.7.1 VPN на основі мережевої ОС Реалізацію VPN наоснові мережевої ОС можна розглянути на прикладі операційної системи Windows NT. Для створення VPN компанія Microsoft пропонує протокол РРТР, інтегрований в мережеву операційну систему Windows NT. Таке рішення виглядає привабливо для організацій, що використовують Windows як корпоративну ОС. У мережах VPN, заснованих на Windows NT, використовується база даних клієнтів, що зберігається в контролері PDC (Primary Domain Controller). При підключенні до РРТР-серверу користувач авторизується по протоколах PAP, CHAP або MS CHAP. Для шифрування застосовується нестандартний фірмовий протокол Point-to-Point Encryption з 40-бітовим ключем, одержуваним при встановленні з'єднання. Як достоїнство приведеної схеми слід зазначити, що вартість рішення на основі мережевої ОС значно нижче за вартість інших рішень. Недосконалість такої системи – недостатня захищеність протоколу РРТР. 4.1.7.2 VPN на основі маршрутизаторів Даний спосіб побудови VPN припускає застосування маршрутизаторів для створення захищених каналів. Оскільки вся інформація, витікаюча з локальної мережі, проходить через маршрутизатор, то цілком природно покласти на нього і задачі шифрування. Приклад устаткування для VPN на маршрутизаторах – пристрої компанії Cisco Systems. Починаючи з версії програмного забезпечення IOS 11.3(3) Т маршрутизатори Cisco обслуговують протоколи L2TP і IPSec. Крім простого шифрування інформації Cisco реалізує і інші функції VPN, такі як ідентифікація при встановленні тунельного з'єднання і обмін ключами. Для підвищення продуктивності маршрутизатора може бути використаний додатковий модуль шифрування ESA (Encryption Service Adapter). 4.1.7.3 VPN на основі міжмережевих екранів Міжмережеві екрани (МЕ) більшості виробників містять функції тунелювання і шифрування даних. У основі такого рішення лежить просте міркування: оскільки інформація проходить через МЕ, чом би її заразом не зашифрувати? До програмного забезпечення власне МЕ додається модуль шифрування. До недоліків цього методу відносяться висока вартість рішення в перерахунку на одне робоче місце і залежність продуктивності від апаратного забезпечення, на якому працює МЕ. При використовуванні МЕ на базі ПК треба пам'ятати, що подібний варіант підходить тільки для невеликих мереж з обмеженим об'ємом інформації, що передається. Як приклад рішення на основі МЕ можна назвати продукт Firewall-1 компанії Check Point Software Technologies. 4.1.7.4 VPN на основі програмного забезпечення Для побудови мереж VPN також застосовуються програмні рішення. При реалізації подібних схем використовується спеціалізоване ПЗ, працююче на виділеному комп'ютері і в більшості випадків виконуюче функції proxy-серверу. Комп'ютер з таким програмним забезпеченням може бути розташований за МЕ. Як один з прикладів програмних рішень можна вказати пакет AltaVista Tunnel 97 компанії Digital. При використовуванні цього ПЗ клієнт підключається до серверу Tunnel 97, реєструється на ньому і обмінюється ключами. Шифрування здійснюється на базі 56- або 128-бітових ключів шифру RC 4. Зашифровані пакети інкапсулюються в інші IP-пакети, які і відправляються на сервер. При роботі сервер Tunnel 97 перевіряє цілісність даних по алгоритму MD5. Крім того, щопівгодини система генерує нові ключі, що значно підвищує захищеність з'єднання. Достоїнства пакету AltaVista Tunnel 97 – простота установки і зручність управління. До недоліків цієї системи слід зарахувати нестандартну архітектуру (власний алгоритм обміну ключами) і низьку продуктивність. 4.1.7.5 VPN на основі спеціалізованих апаратних засобів з вбудованими шифропроцесорами Варіант побудови VPN на спеціалізованих апаратних засобах може бути використаний в мережах, що вимагають високої продуктивності. Прикладом такого рішення служить продукт cIPro-VPN компанії Radguard. У цьому пристрої реалізоване апаратне шифрування інформації, що передається в потоці 100 Мбіт/с. Продукт cIPro-VPN обслуговує протокол IPSec і механізм управління ключами ISAKMP/Oakley. Крім того, даний пристрій забезпечує трансляцію мережевих адрес і може бути обладнаний спеціальною платою, що виконує функції МЕ. Недолік даного рішення – його висока вартість. 7. Переваги біометричних методів ідентифікації Відзначимо основні переваги біометричних методів ідентифікації й аутентифікації користувача в порівнянні із традиційними: • високий ступінь вірогідності ідентифікації по біометричних ознаках через їх унікальність; • невіддільність біометричних ознак від дієздатної особистості; • труднощі фальсифікації біометричних ознак. Що дає застосування біотехнології: Стає можливим провести аутентифікацію користувача, тобто реальне підтвердження достовірності суб’єкта одержуючого права доступу. Істотно підвищується захищеність систем і, разом з тим, спрощується процес ідентифікації користувача - користувач не повинен згадувати, набирати і періодично міняти паролі доступу в різні системи. Користувач може не запам’ятовувати і не вводити своє ідентифікаційне ім’я (імена). Авторизація виконується незалежно від мови операційного середовища і кодувань символів. Через простоту процесу аутентифікації, його можна ініціювати значно частіше, ніж дозволяють традиційні системи (що запрошують ім’я користувача і пароль). У всіх випадках, окрім випадків злому захисту, можна довести авторство тієї або іншої електронної дії, підтвердженої біометричною аутентифікацією. Важко дистанційний підбір ідентифікуючої інформації. Неможливо пред’явити ідентифікатор третьою особою. 8. Двостороння аутентифікація з використанням hash-функції Двусторонняя аутентификация по сравнению с односторонней содержит дополнительный ответ проверяющей стороны доказывающей стороне, который должен убедить ее, что связь устанавливается именно с той стороной, которой были предназначены аутентификационные данные; Двусторонняя аутентификация включает в себя: • взаимную аутентификацию клиента и Web – сервера с помощью их сертификатов; • шифрование трафика между клиентом и сервером; • формирование и проверку электронной цифровой подписи под электронными HTML-формами, заполняемыми пользователями. С точки зрения безопасности предпочтительным является метод передачи и хранения паролей с использованием односторонних функций. Обычно для шифрования паролей в списке пользователей используют одну из известных криптографически стойких хэш-функций. В списке пользователей хранится не сам пароль, а образ пароля, являющийся результатом применения к паролю хэш-функции. Одно направленность хэш-функции не позволяет восстановить пароль по образу пароля, но позволяет, вычислив хэш-функцию, получить образ введенного пользователем пароля и таким образом проверить правильность введенного пароля. В простейшем случае в качестве хэш-функции используется результат шифрования некоторой константы на пароле. 9. Брандмауер з ізольованою під мережею Брандмауер з ізольованою підмережею - це об'єднання шлюзу з двома інтерфейсами і брандмауера з ізольованим хостом. Він може бути використаний для того, щоб розмістити кожну компоненту брандмауера в окремій системі, забезпечивши таким чином велику пропускну спроможність і гнучкість, хоча за це доводиться платити деяким ускладненням. Але зате кожна компонента брандмауера буде реалізовувати одне завдання, що робить більш простим конфігурування системи. У цій підмережі (іноді званої DMZ - "демілітарізована зона") знаходиться прикладом шлюз, але в ній також можуть розміщуватися інформаційні сервера, модемні пули, і інші системи, для яких потрібно керувати доступом. Маршрутизатор, зображений в місці з'єднання з Інтернетом, може маршрутизувати трафік згідно з такими правилами: • пропускати прикладної трафік від прикладного шлюзу в Інтернет • пропускати поштовий трафік від поштового сервера в Інтернет • пропускати прикладної трафік з Інтернету до прикладного шлюзу • пропускати поштовий трафік з Інтернету до поштового сервера • пропускати трафік з Інтернету до інформаційного серверу • всі інші види трафіку блокувати Зовнішній маршрутизатор надає можливість взаємодії з Інтернетом тільки конкретним системам в ізольованій підмережі, і блокує весь інший трафік в Інтернет, від інших систем в ізольованій підмережі, Які не мають права ініціювати з'єднання (таких як модемний пул і інформаційний сервер). Також він може іспользоватьс для блокування пакетів NFS, NIS або інших уразливих протоколів, які не повинні передаватися від або до хостам в ізольованій підмережі. Внутрішній маршрутизатор передає трафік до / від систем в ізольованій підмережі згідно з такими правилами: • прикладної трафік від пріклданого шлюзу до внутрішніх систем пропускається • поштовий трафік від поштового сервера до внутрішніх систем пропускається • прикладної трафік до прикладного шлюзу від внутрішніх систем пропускається • поштовий трафік від внутрішніх систем до поштового сервера пропускається • пропускать трафік від внутрішніх СІТС до інформаційного серверу • всі інші види трафіку блокувати Тому не існує внутрішніх систем, безпосередньо доступних з Інтернету і навпаки, як при брандмауері на основі шлюзу з двома інтерфейсами. Великим відмінністю є те, що маршрутизатори використовуються для направлення трафіку до певних систем, що робить непотрібним прикладної шлюз з двома інтерфейсами. При такому варіанті може бути досягнута більша пропускна здатність, якщо маршрутизатор використовується як шлюз для захищеної підмережі. Як наслідок, брандмауер з ізольованою підмережа може виявитися більш доречним варіантом для мереж з великим обсягом трафіку або мереж, яким потрібно високошвидкісний трафік. Ці два маршрутизатора забезпечують додатковий шар захисту, так як атакуючому треба буде обійти засоби захисту в обох маршрутизаторах, щоб отримати доступ до внутрішніх систем. Прикладної шлюз, поштовий сервер і інформаційний сервер можуть бути встановлені таким чином, що будуть єдиними системами, видимими з Інтернету; розміщення інформації в DNS, доступною в Інтернеті, про інших системах не буде потрібно. На прикладному шлюзі можуть бути встановлені заходи посиленої аутентифікації для аутентифікації всіх вхідних з'єднань. Звичайно, це вимагає додаткового конфігурування, але використання окремих систем для прикладного шлюзу і фільтрації пакетів зробить конфігуірованіе більш простим.. Брандмауер з ізольованою підмережа, як і брандмауер з ізольованим хостом, може бути зроблений більш гнучким при вирішенні існування "довірених" сервісів, яким буде дозволятися передаватися між Інтернетом і внутрішніми системами. Але ця гнучкість відкриває можливість порушення політики, ослаблення ефекту брандмауера. У багатьох відносинах, брандмауер на основі шлюзу з двома інтерфейсами більш бажаний, тому що політику не можна послабити (у ньому не можна дозволити передачу сервісів, для яких немає проксі-сервера). Тим не менше, якщо важливі ропускна здатність т гнучкість, більш бажаний брандмауер з ізольованою підмереж. В якості альтернативи передачу сервісів безпосередньо між Інтернетом і внутрішніми системами можна розмістити системи, яким потрібні такі сервіси, прямо в ізольованій підмережі. Наприклад, не дозволяється передавати трафік X Windows і NFS між Інтернетом і внутрішніми системами, але якщо є системи, яким необхідні такі можливості, вони розміщені в ізольованій підмережі. Ці системи можуть взаємодіяти з внутрішніми системами через прикладної шлюз (внутрішній маршрутизатор налаштований відповідним чином). Це не повне рішення, але варіант для мереж, яким потрібна висока ступінь безпеки. У брандмауера з ізольованою підмережа є дві вади. По-перше, тому що можна його сконфігуіровать так, що він буде пропускати "довірені сервіси" в обхід прикладного шлюзу, тобто можливість порушення політики. Це також вірно і для брандмауера з ізольованим хостом, але брандмауер з ізольованою підмережа має місце, куди можна помістити внутрішні системи, яким потрібно прямий доступ до таких сервісів. У брандмауері з ізольованим хостом "довірені сервіси", які передаються в обхід прикладного шлюзу, теж безпосередньо взаємодіють з внутрішніми системами. Другий недолік - це те, що на маршрутизатори покладаються великі завдання по забезпеченню безпеки. Як вже зазначалося, маршрутизатори з фільтрацією пакетів іноді дуже важко правильно сконфігуіровать, а помилки можуть привести до появи уразливих місць. 10. Повноважна Політика Безпеки Основу мандатної (повноважної) політики безпеки (МПБ) становить мандатне управління доступом (Mandatory Access Control - МАС), яке передбачає, що: • всі суб'єкти й об'єкти повинні бути однозначно ідентифіковані; • у системі визначено лінійно упорядкований набір міток секретності; • кожному об'єкту системи надано мітку секретності, яка визначає цінність інформації, що міститься в ньому, - його рівень секретності в АС; • кожному суб'єкту системи надано мітку секретності, яка визначає рівень довіри до нього в АС, - максимальне значення мітки секретності об'єктів, до яких суб'єкт має доступ; мітка секретності суб'єкта називається його рівнем доступу. Основна мета МПБ - запобігання витоку інформації від об'єктів з високим рівнем доступу до об'єктів з низьким рівнем доступу, тобто протидія виникненню в АС інформаційних каналів згори вниз. Вона оперує, таким чином, поняттями інформаційного потоку і цінності інформаційних об'єктів. Цінність інформаційних об'єктів (або їх мітки рівня секретності) часто дуже важко визначити. Однак досвід показує, що в будь-якій АС майже завжди для будь-якої пари об'єктів Х та ? можна сказати, який з них більш цінний. Тобто можна вважати, що таким чином фактично визначається деяка однозначна функція с(Х), яка дозволяє для будь-яких об'єктів X і ? сказати, що коли ? більш цінний об'єкт, ніж X, то c(Y) > с(Х). І навпаки, якщо c(Y) > с(Х), то ? - більш цінний об'єкт, ніж X. Тоді потік інформації від X до ? дозволяється, якщо с(Х) < c(Y), і не дозволяється, якщо с(Х) > c(Y). Отже, МПБ має справу з множиною інформаційних потоків, яка ділиться на дозволені і недозволені за дуже простою умовою - значенням наведеної функції. МПБ у сучасних системах захисту на практиці реалізується мандатним контролем на найнижчому апаратно-програмному рівні, що дає змогу досить ефективно будувати захищене середовище для механізму мандатного контролю. Пристрій мандатного контролю називають монітором звернень. Мандатний контроль, який ще називають обов'язковим, оскільки його має проходити кожне звернення суб'єкта до об'єкта, організується так: монітор звернень порівнює мітки рівня секретності кожного об'єкта з мітками рівня доступу суб'єкта. За результатом порівняння міток приймається рішення про допуск. Найчастіше МПБ описують у термінах, поняттях і визначеннях властивостей моделі Белла-Лападула [3-7]. У рамках цієї моделі доводиться важливе твердження, яке вказує на принципову відмінність систем, що реалізують мандатний захист, від систем з дискреційним захистом: якщо початковий стан системи безпечний і всі переходи системи зі стану до стану не порушують обмежень, сформульованих ПБ, то будь-який стан системи безпечний. Наведемо ряд переваг МПБ порівняно з ДПБ. 1. Для систем, де реалізовано МПБ, є характерним вищий ступінь надійності. Це пов'язано з тим, що за правилами МПБ відстежуються не тільки правила доступу суб'єктів системи до об'єктів, а й стан самої АС. Таким чином, канали витоку в системах такого типу не закладені первісно (що є в положеннях ДПБ), а можуть виникнути тільки при практичній реалізації систем внаслідок помилок розробника. 2. Правила МПБ ясніші і простіші для розуміння розробниками і користувачами АС, що також є фактором, який позитивно впливає на рівень безпеки системи. 3. МПБ стійка до атак типу «Троянський кінь». 4. МПБ допускає можливість точного математичного доведення, що система в заданих умовах підтримує ПБ. Однак МПБ має дуже серйозні вади - вона дуже складна для практичної реалізації і вимагає значних ресурсів КС. Це пов'язано з тим, що інформаційних потоків у системі величезна кількість і їх не завжди можна ідентифікувати. Саме ці вади часто заважають її практичному використанню. МПБ прийнята всіма розвинутими державами світу. Вона розроблялася, головним чином, для збереження секретності (тобто конфіденційності) інформації у військових організаціях. Питання ж цілісності за її допомогою не розв'язуються або розв'язуються частково, як побічний результат захисту секретності. 11. Варіанти виконання міжмережевих екранів Міжмережевий екран - це напівпроникна мембрана, що розташовується між що захищається (внутрішньої) мережею і зовнішнім середовищем (зовнішніми чи мережами іншими сегментами корпоративної мережі) і контролює всі інформаційні потоки у внутрішню мережу і з її (Рис. 2.3.1). Контроль інформаційних потоків складається в їхній фільтрації, тобто у вибірковому пропущенні через екран, можливо, з виконанням деяких перетворень і повідомленням відправника про те, що його даним у пропуску відмовлено. Фільтрація здійснюється наоснові набору правил, попередньо завантажених в екран і мережні аспекти, що є вираженням, політики безпеки організації. Існують такі схеми організації міжмережевих екранів: • міжмережевий екран - маршрутизатор, що фільтрує; • міжмережевий екран на основі двупортового шлюзу; • міжмережевий екран на основі екранованого шлюзу; • міжмережевий экран-екранованапідмережа. Міжмережевий екран, заснований на фільтрації пакетівскладається змаршрутизатора, що фільтрує, розташованого між мережею, що захищається, і мережею Internet. Маршрутизатор, що фільтрує, сконфігурований для блокування або фільтрації вхідних і витікаючих пакетів на основі аналізу їх адрес і портів. Міжмережеві екрани, засновані на фільтрації пакетів, мають наступні недоліки: • складність правил фільтрації; • неможливість повного тестування правил фільтрації; це приводить до незахищеності мережі від непротестованих атак; • відсутня реєстрація подій; • кожен хост-комп'ютер, пов'язаний з мережею Internet, потребує своїх засобів посиленої аутентифікації. Міжмережевий екран на базі двупортового прикладного шлюзу включає дводомний хост-комп'ютер з двома мережевими інтерфейсами. При передачі інформації між цими інтерфейсами і здійснюється основна фільтрація. Для забезпечення додаткового захисту між прикладним шлюзом і мережею Internet зазвичай розміщують маршрутизатор, що фільтрує. В результаті між прикладним шлюзом і маршрутизатором утворюється внутрішня екранована підмережа. Цю підмережу можна використовувати для розміщення доступних ззовні інформаційних серверів. Даний варіант міжмережевого екрану реалізує політику безпеки, засновану на принципі "заборонено все, що не дозволене в явній формі", при цьому користувачеві недоступні всі служби, окрім тих, для яких визначені відповідні повноваження. Такий підхід забезпечує високий рівень безпеки, оскільки маршрути до захищеної підмережі відомі тільки міжмережевому екрану і приховані від зовнішніх систем. Міжмережевий екран на основі екранованого шлюзу об'єднує маршрутизатор, що фільтрує, і прикладний шлюз, що розміщується з боку внутрішньої мережі. Прикладний шлюз реалізується на хост-комп`ютері і має тільки один мережевий інтерфейс. Основний недолік схеми міжмережевого екрану з екранованим шлюзом полягає втому, що якщо порушник зуміє проникнути в хост-комп'ютер, то перед ним опиняться незахищені системи внутрішньої мережі. Інший недолік пов'язаний з можливою компрометацією маршрутизатора. Якщо маршрутизатор виявиться скомпрометованим, внутрішня мережа стане доступна атакуючому порушникові. Міжмережевий екран, що складається з екранованої підмережі, є розвитком схеми міжмережевого екрану на основі екранованого шлюзу. Для створення екранованої підмережі використовуються два екрануючі маршрутизатори. Зовнішній маршрутизатор розташовується між мережею Internet і підмережею, що екранується, а внутрішній-між підмережею, що екранується, і внутрішньою мережею, що захищається. Підмережа, що екранується, містить прикладний шлюз, а також може включати інформаційні сервери і інші системи, що вимагають контрольованого доступу. Зовнішній маршрутизатор захищає від мережі Internet як екрановану підмережу, так і внутрішню мережу. Він повинен пересилати трафік згідно наступним правилам: • дозволяється трафік від об'єктів Internet до прикладного шлюзу; • дозволяється трафік від прикладного шлюзу до Internet; • дозволяється трафік електронної пошти від Internet до сервера електронної пошти; • дозволяється трафік електронної пошти від сервера електронної пошти до Internet; • дозволяється трафік FTP, Gopher і так далі від Internet до інформаційного сервера; • забороняється решта трафіку. Зовнішній маршрутизатор забороняє доступ з Internet до систем внутрішньої мережі і блокує весь трафік до Internet, що йде від систем. Внутрішній маршрутизатор захищає внутрішню мережу як від Internet, так і від екранованої підмережі. Внутрішній маршрутизатор здійснює велику частину пакетної фільтрації. Він повинен пересилати трафік згідно наступним правилам: • дозволяється трафік від прикладного шлюзу до систем мережі; • дозволяється прикладний трафік від систем мережі до прикладного шлюзу; • дозволяється трафік електронної пошти від сервера електронної пошти до систем мережі; • дозволяється трафік електронної пошти від систем мережі до сервера електронної пошти; • дозволяється трафік FTP, Gopher і так далі від систем мережі до інформаційного сервера; • забороняється решта трафіку. Міжмережевий екран з екранованою підмережею має і недоліки: • пара маршрутизаторів, що фільтрують, потребує великої уваги для забезпечення необхідного рівня безпеки, оскільки із-за помилок при їх конфігурації можуть виникнути провали в безпеці всій мережі; • існує можливість доступу в обхід прикладного шлюзу. 12. Екрануючі маршрутизатори Екрануючий маршрутизатор – це спеціальний комп’ютер або електронний пристрій, який фільтрує пакети на основі встановленого адміністратором критеріїв. Він дозволяє контролювати рух даних в мережі без змін додатків клієнта або сервера. Фаєрвол мережного рівня представлений екрануючим маршрутизатором. Він контролює лише дані мережевого і транспортного рівнів службової інформації пакетів. Мінусом таких маршрутизаторів є те, що ще п'ять рівнів залишаються неконтрольованими. Нарешті, адміністратори, які працюють з екрануючими маршрутизаторами, повинні пам'ятати, що у більшості приладів, що здійснюють фільтрацію пакетів, відсутні механізми аудиту та подачі сигналу тривоги. Іншими словами, маршрутизатори можуть піддаватися атакам і відбивати велику їх кількість, а адміністратори навіть не будуть проінформовані.
