63. Аутентификация одношаговая, двухшаговая, трехшаговая. Преимущества и недостатки.

В стандарте ISO 7498-2 определяется два типа услуг аутентификации: достоверность происхождения (источника) данных и достоверность собственно источника соединения или объекта коммуникации (peer-entity).

Достоверность источника данных предполагает подтверждение того, что "источник полученных данных именно тот, который указан или объявлен". Эта услуга существенна для коммуникации без установления связи, при которой каждый пакет является независимым от других, и единственное, что может быть гарантировано с точки зрения аутентификации - это то, что источник пакета именно тот, который указан в заголовке пакета. Эта услуга очень близка к обеспечению целостности данных в сетях без установления связи, когда установление подлинности источника не очень существенно, если нарушена целостность данных.

В системах с установлением связи, аутентификация объекта коммуникаций является необходимой функцией, определенной как "подтверждение того, что объект коммуникации при соединении именно тот который объявлен". Эта форма аутентификации подразумевает установление своевременности или фактора времени за счет включению идентификации объекта коммуникации для конкретного случая соединения, которые недостижимы при помощи простой проверки происхождения данных. Т.о., атака, использующая воспроизведение данных, связанных с другим сеансом связи, даже между теми же объектами коммуникации, может быть нарушена/предотвращена, благодаря использованию этой услуги.

Как было сказано выше аутентификация источника (происхождения) данных часто обеспечивается использованием механизма целостности совместно с шифрованием. Для широковещательных применений такие же функции может обеспечить цифровая подпись. Логическая аутентификация пользователя компьютерной системы выполняется на основе пароля.

Аутентификация объекта коммуникации обычно выполняется посредством двойного или тройного подтверждения связи ("рукопожатия"), аналогичного механизмам синхронизации нумерации последовательности пакетов в протоколах с установлением связи. Односторонний (однократный) обмен обеспечивает только однократный аутентификацию и не может гарантировать своевременность обмена. Двухсторонний (двукратный) обмен обеспечивает взаимную аутентификацию источника и приемника, но не обеспечивает своевременность обмена без специальных средств синхронизации. Троекратный обмен позволяет достичь полной взаимной аутентификации систем без дополнительной синхронизации. Тут также аутентификация использует специальные механизмы управления криптографическими ключами. Вариант одно-, двух- или трехстороннего обмена для аутентификации источника и приемника реализован в стандарте распределенной службы директорий Х.500 (в частности, Х.509). При одно- и двукратном обмене аутентификационными сообщениями обычно используются временные метки, но для распределенных приложений синхронизация системных времен является проблемой.

64. Протокол аутентификации PAP.

Протокол парольной аутентификации РАР, согласно которому пароли передаются по линии связи в незашифрованном виде, необходимо применять только совместно с протоколом, ориентированным на аутентификацию, по одноразовым паролям, например, совместно с протоколом S/Key. В противном случае пароль, передаваемый по каналу связи, может быть перехвачен злоумышленником и использован повторно в целях маскировки под санкционированного удаленного пользователя.

В процессе аутентификации участвуют две стороны — проверяемая и проверяющая. В качестве стороны, чья подлинность проверяется, как правило, выступает удаленный пользователь, а в качестве проверяющей стороны – сервер удаленного доступа. Чтобы инициировать процесс аутентификации с использованием протокола РАР, сервер удаленного доступа после установления сеанса связи выслать удаленному компьютеру пакет LCP, указывающий о необходимости применения протокола РАР. Далее осуществляется обмен пакетами РАР. Удаленный компьютер передает по каналу связи проверяющей стороне идентификатор и пароль, введенные удаленным пользователем. Сервер удаленного доступа по по-

лученному идентификатору пользователя выбирает эталонный пароль из базы данных системы защиты и сравнивает его с полученным паролем. Если они совпадают, то аутентификация считается успешной, что сообщается удаленному пользователю.

Формат пакета протокола РАР

Код (Code) - Идентификатор(Identifier) - Длина (Length) - Данные (Data)

Поле Код (Code) указывает тип пакета. Определены РАР-пакеты трех типов:

· запрос аутентификации (Authenticate-Request);

· подтверждение аутентификации (Authenticate-Ack);

· отказ в аутентификации (Authenticate-Nak).

В поле Идентификатор (Identifier) содержится уникальное число, которое

позволяет определить, какому запросу соответствует полученный ответ. Поле Длина (Length) содержит длину пакета в байтах. Длина и формат поля Данные (Data) определяются типом пакета РАР.

64. Протокол аутентификации CHAP.

В протоколе CHAP, как и в протоколе РАР, используется секретный статический пароль. Однако, в отличие от протокола РАР, пароль каждого пользователя для передачи по линии связи шифруется на основе случайного числа, полученного от сервера. Такая технология обеспечивает не только защиту пароля от хищения, но и защиту от повторного использования злоумышленником перехваченных пакетов с зашифрованным паролем. Шифрование пароля в соответствии с протоколом CHAP является необратимым и выполняется с помощью криптографического алгоритма хэширования. В качестве стандартного алгоритма хэширования, который должен поддерживаться во всех реализациях протокола CHAP, определен

алгоритм MD5

Для активизации процесса аутентификации по протоколу CHAP, сервер уда-

ленного доступа после установления сеанса связи должен выслать удаленному компьютеру пакет LCP, указывающий о необходимости применения протокола CHAP, а также требуемого алгоритма хэширования. Если удаленный компьютер поддерживает предложенный алгоритм хэширования, то он должен ответить пакетом LCP о согласии с предложенными параметрами. В противном случае выполняется обмен LCP пакетами для согласования алгоритма хэширования. После этого начинается аутентификация на основе обмена пакетами протокола CHAP.

64. Протокол Kerberos. От чего не защищает?

Kerberos предоставляет средства проверки подлинности субъектов, работающих в открытой (незащищенной) сети, то есть сети, не исключающей возможности перехвата, модификации и пополнения пересылаемой информации. Kerberos

не полагается на средства аутентификации, реализованные в операционных системах сетевых компьютеров, на подлинность сетевых адресов, на физическую защищенность сетевых компьютеров (кроме тех, на которых работает сервер Kerberos).

С точки зрения реализации Kerberos — это один или несколько серверов проверки подлинности, функционирующих на физически защищенных компьютерах. Серверы поддерживают базу данных субъектов и их секретных ключей. Здесь не рассматривается протокол администрирования, позволяющий безопасным образом изменять базу данных субъектов, а также протокол репликации этой базы

Kerberos не защищает от:

• атак на доступность. Отражение подобных атак (как и реакция на "нормаль-

ные" отказы) возлагается на пользователей и администраторов;

• кражи секретных ключей. Субъекты должны сами заботиться о секретности

своих ключей;

• угадывания паролей. Плохо выбранный пароль может не устоять против

подбора с помощью словаря, вычисления по паролю секретного ключа с по-

следующей попыткой расшифровать полученную от Kerberos информацию.

Соответствующим образом измененная программа ввода пользовательского

пароля ("троянский конь") позволит злоумышленнику узнать пароли многих

пользователей. Таким образом, Kerberos все же предполагает некоторый

уровень защищенности обслуживаемых компьютеров;

• повторного использования идентификаторов субъектов. В принципе возможна ситуация, когда новый субъект Kerberos получит тот же идентифика-

тор, что был у ранее выбывшего субъекта. Возможно, что этот идентифика-

тор остался в списках управления доступом какой-либо системы в сети. В

таком случае новый субъект унаследует права доступа выбывшего;

• рассогласования часов на компьютерах. Kerberos полагается на приблизи-

тельную согласованность часов сетевых компьютеров. Подобное предполо-

жение упрощает обнаружение воспроизведения (дублирования) информа-

ции. Допустимая погрешность часов может устанавливаться индивидуально

для каждого сервера. Если синхронизация часов выполняется сетевыми

средствами, соответствующий протокол должен сам заботиться о безопас-

ности.

64. Требования к протоколу Kerberos.

В первом из опубликованных сообщений о системе Kerberos были

перечислены следующие требования, выдвигаемые в отношении Kerberos.

• Защита. Противник, перехватывающий сообщения в сети, не должен nолу-

чить информацию, необходимую для того, чтобы имитировать другого

пользователя. В общем, система Kerberos должна быть достаточно сильной,

чтобы потенциальный противник не имел оснований считать ее слабым зве-

ном сети.

• Надежность. Для всех опирающихся на Kerberos служб контроля доступа

недоступность системы Kerberos означает недоступность соответствующей

службы. Поэтому система Kerberos должна быть исключительно надежной

и использовать распределенную архитектуру сервера, где одна система

способна подменить другую.

• Прозрачность. В идеале пользователь не должен замечать процедуры иден-

тификации, кроме тех случаев, когда от него требуется ввести пароль.

• Масштабируемость. Система должна быть способной поддерживать

большое число клиентов и серверов. Это предполагает модульную распре-

деленную архитектуру.

Чтобы выполнить все эти требования, общая схема Kerberos строится на

основе функций аутентификации, выполняемых надежной третьей стороной, ис-

пользующей протокол, построенный по схеме Нидхэма-Шредера. Надежность здесь означает то, что клиенты и серверы доверяют системе Kerberos посредничество в осуществлении их взаимной идентификации. В предположении, что протокол Kerberos не содержит ошибок реализации, сервис аутентификации оказывается защищенным, если только защищен сам сервер Kerberos.

64. Сценарий аутентификации по протоколу Kerberos.

В незащищенной сетевой среде любой клиент может обратиться за услугой к любому серверу. При этом очевидным риском является возможность представиться другим лицом. Поэтому необходимо использование сервера аутентификации, которому известны пароли всех пользователей и который сохраняет их в централизованной базе данных. Кроме того, сервер аутентификации для обмена данными с любым другим сервером использует еще и уникальный секретный ключ. Секретные ключи предполагается распределять физически или некоторым другим надежно защищеным способом. Рассмотрим следующий гипотетический диалог:

(1) C → AS: IDC || РC || IDV

(2) AS → С: Мандат

(3) C → V: IDC || Мандат

Мандат = EKv[IDC || ADC || IDV]

В этом сценарии пользователь входит в систему рабочей станции и запра-

шивает доступ к серверу V. Модуль клиента С на рабочей станции пользователя

запрашивает пароль пользователя, а затем посылает сообщение серверу аутентификации AS, включающее идентификатор пользователя, идентификатор сервера и пароль пользователя. Система AS использует свою базу данных, чтобы проверить, предоставил ли пользователь пароль, соответствующий данному идентификатору, и разрешен ли этому пользователю доступ к серверу V. Если оба параметра проходят проверку успешно, AS считает пользователя идентифицированным и теперь должен убедить в этом сервер. Для этого AS создает мандат, содержащий идентификатор пользователя и его сетевой адрес, а также идентификатор сервера.

Мандат шифруется секретным ключом, который используется сервером аутенти-

фикации AS с данным сервером. Этот мандат отправляется обратно системе С.

Ввиду того что мандат шифруется, он не может быть изменен C или противником.

С этим мандатом С может теперь обратиться к V за сервисом. Для этого С

посылает сообщение V, содержащее идентификатор С и полученный мандат. Система V дешифрует мандат и убеждается, что идентификатор пользователя в мандате совпадает с незашифрованным идентификатором в сообщении. Если эти два идентификатора совпадают, сервер считает пользователя идентифицированным предоставляет затребованный сервис.

Мандат шифруется, чтобы сделать невозможными модификацию и фальсификацию. Идентификатор сервера (IDV) включается в мандат, чтобы сервер мог проверить, что мандат дешифрован должным образом. Идентификатор IDC включается в мандат для того, чтобы показать, что этот мандат был выдан по запросу С. Наконец, ADC присутствует в мандате для того, чтобы противостоять следующей угрозе. Противник может перехватить мандат, пересылаемый с сообщением (2), а затем, используя имя IDC, передать сообщение формы (3) с другой рабочей станции. Сервер при этом получит правильный мандат, в котором совпадают идентификаторы

пользователя, и поэтому сервер разрешит доступ этому пользователю с другой рабочей станции. Чтобы предотвратить возможность такой атаки, система AS включает в мандат сетевой адрес, с которого пришел исходный запрос. Теперь мандат будет действителен, только если он передан с той же рабочей станции, с которой этот мандат был изначально запрошен.

64. Служба аутентификации X.509; сертификаты.

Документ Х.509 определяет каркас схемы предоставления услуг аутентификации каталогом Х.500 своим пользователям. Этот каталог может служить хранилищем сертификатов открытых ключей. Каждый сертификат содержит открытый ключ пользователя и подписывается с помощью секретного ключа надежного центра сертификации. Кроме того, Х.509 определяет альтернативные протоколы аутентификации, построенные на использовании сертификатов открытых ключей. Стандарт не вынуждает использовать конкретный алгоритм, но рекомендует применять RSA. Схема цифровой подписи предполагает использование функции хэширования.

Главным элементом схемы Х.509 являются сертификаты открытых ключей, связываемые с каждым пользователем. Предполагается, что эти сертификаты пользователя выдаются некоторым надежным центром сертификации и размещаются в каталоге либо центром сертификации, либо пользователем. Сервер каталогов непосредственно не отвечает за создание открытых ключей или функции сертификации; а просто предоставляет легко Доступное пользователям место получения сертификатов.

Формат сертификата, который включает следующие элементы.

• Версия (V). Указывает версию формата сертификата; по умолчанию выбирается версия 1. При наличии уникального идентификатора инициатора (Initiator Unique Identifier) или уникального идентификатора субъекта (Subject Unique Identifier) значением версии должно быть 2. Если имеется одно или несколько расширений, должна быть указана версия 3.

• Порядковый номер (SN). Целое значение, уникальное для данного центра сертификации, однозначно связываемое с данным сертификатом.

• Идентификатор алгоритма подписи (AI). Алгоритм, служащий для создания подписи сертификата, вместе со всеми необходимыми параметрами. Ввиду того, что эта информация дублируется в поле подписи в конце удостоверения, данное поле оказывается не слишком полезным.

• Имя объекта, выдавшего сертификат (CA). Имя по стандарту Х.500 центра сертификации, создавшего и подписавшего сертификат.

• Срок действия (TA). Включает две даты: начала и окончания срока действия сертификата.

• Имя субъекта (A). Имя пользователя, которому направляется сертификат, т.е. данный сертификат удостоверяет открытый ключ субъекта, которому принадлежит соответствующий личный ключ.

• Информация об открытом ключе субъекта (Ap). Открытый ключ субъекта плюс идентификатор алгоритма, с которым должен использоваться этот ключ, а также все необходимые параметры.

• Уникальный идентификатор объекта, выдавшего сертификат. Необязательная строка битов, используемая для однозначной идентификации центра сертификации, выдавшего сертификат, в случае, когда имя Х.500 требуется использовать для различных объектов.

• Уникальный идентификатор субъекта. Необязательная строка битов, которая служит для однозначной идентификации субъекта в случае, когда имя Х.500 требуется использовать для различных объектов.

• Расширения. Одно или больше полей расширения. Расширения были добавлены в версии 3 и рассматриваются в этом разделе ниже.

• Подпись. Охватывает все остальные поля сертификата, содержит хэш-код остальных полей, шифрованный с помощью личного ключа центра сертификации. Это поле включает и идентификатор алгоритма подписи. Поля уникальных идентификаторов были включены в версию 2, чтобы обеспечить возможность многократного применения имен субъекта и/или объекта, выдавшего сертификат. Эти поля используются редко

Сертификат пользователя, генерируемый центром сертификации, имеет следующие свойства.

• Любой пользователь, имеющий открытый ключ центра сертификации, может восстановить сертифицированный открытый ключ пользователя.

• Никто, кроме уполномоченного центра, не может изменить сертификат без того, чтобы это было обнаружено

Одношаговая аутентификация

Одношаговая аутентификация предполагает передачу одного сообщения от одного пользователя (А) другому (В), в котором устанавливается следующее.

1. Аутентичность А и то, что сообщение было создано А.

2. Что сообщение предназначалось для В.

3. Целостность и оригинальность сообщения (что оно не посылается второй раз).

Заметим, что данная процедура устанавливает только аутентичность источника, а не аутентичность получателя.

Двухшаговая аутентификация

Помимо трех указанных выше элементов аутентификации, двухшаговая аутентификация устанавливает дополнительно следующие факты.

1. Аутентичность В и то, что ответное сообщение было создано В.

2. Что сообщение предназначалось для А.

3. Целостность и оригинальность ответа.

Двухшаговая аутентификация, таким образом, позволяет обеим взаимодействующим сторонам проверить аутентичность друг друга.

Каталог центра сертификации включает два типа сертификатов.

• Прямые сертификаты. Сертификаты X, выданные другими центрами сертификации.

• Возвратные сертификаты. Сертификаты, выданные X для сертификации

других центров сертификации

64. Принципы межсетевого экранирования.

Межсетевой экран или сетевой экран — комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача — не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации.

Сетевые экраны подразделяются на различные типы в зависимости от следующих характеристик:

• обеспечивает ли экран соединение между одним узлом и сетью или между двумя или более различными сетями;

• на уровне каких сетевых протоколов происходит контроль потока данных;

• отслеживаются ли состояния активных соединений или нет.

В зависимости от уровня, на котором происходит контроль доступа, существует разделение на сетевые экраны, работающие на:

• сетевом уровне, когда фильтрация происходит на основе адресов отправителя и получателя пакетов, номеров портов транспортного уровня модели OSI и статических правил, заданных администратором;

• сеансовом уровне (также известные как stateful) — отслеживающие сеансы между приложениями, не пропускающие пакеты нарушающих спецификации TCP/IP, часто используемых в злонамеренных операциях — сканировании ресурсов, взломах через неправильные реализации TCP/IP, обрыв/замедление соединений, инъекция данных.

• уровне приложений, фильтрация на основании анализа данных приложения, передаваемых внутри пакета. Такие типы экранов позволяют блокировать передачу нежелательной и потенциально опасной информации на основании политик и настроек.

Типичные возможности

• фильтрация доступа к заведомо незащищенным службам;

• препятствование получению закрытой информации из защищенной подсети, а также внедрению в защищенную подсеть ложных данных с помощью уязвимых служб;

• контроль доступа к узлам сети;

• может регистрировать все попытки доступа как извне, так и из внутренней сети, что позволяет вести учёт использования доступа в Internet отдельными узлами сети;

• регламентирование порядка доступа к сети;

• уведомление о подозрительной деятельности, попытках зондирования или атаки на узлы сети или сам экран;

Проблемы, не решаемые файрволом

• не защищает узлы сети от проникновения через «люки» (англ. back doors);

• не обеспечивает защиту от многих внутренних угроз, в первую очередь — утечки данных;

• не защищает от загрузки пользователями вредоносных программ, в том числе вирусов;

64. Архитектура межсетевого экрана.

Организации должны проанализировать свой профиль риска и выбрать соответствующую архитектуру. Ниже описываются типичные архитектуры межсетевого экрана и приводят примеры политик безопасности для них.

Хост, подключенный к двум сегментам сети

Это такой хост, который имеет более одного интерфейса с сетью, причем каждый интерфейс с сетью подключен физически к отдельному сегменту сети. Самым распространенным примером является хост, подключенный к двум сегментам.

Межсетевой экран на основе хоста, подключенного к двум сегментам сети - это межсетевой экран с двумя сетевыми платами, каждая из которых подключена к отдельной сети. Например, одна сетевая плата соединена с внешней или небезопасной сетью, а другая - с внутренней или безопасной сетью. В этой конфигурации ключевым принципом обеспечения безопасности является запрет прямой маршрутизации трафика из не доверенной сети в доверенную – межсетевой экран всегда должен быть при этом промежуточным звеном.

Маршрутизация должна быть отключена на межсетевом экране такого типа, чтобы IP-пакеты из одной сети не могли пройти в другую сеть.

Такая конфигурация, наверное, является одной из самых дешевых и распространенных при коммутируемом подключении ЛВС организации к сети Интернет. Берется машина, на которую устанавливается FreeBSD, и на ней запрещается маршрутизация, кроме того соответствующим образом конфигурируется встроенный в ядро пакетный фильтр (ipfw).

Экранированный хост

При архитектуре типа экранированный хост используется хост (называемый хостом-бастионом), с которым может установить соединение любой внешний хост, но запрещен доступ ко всем другим внутренним, менее безопасным хостам. Для этого фильтрующий маршрутизатор конфигурируется так, что все соединения с внутренней сетью из внешних сетей направляются к хосту-бастиону.

Если шлюз с пакетной фильтрацией установлен, то хост-бастион должен быть сконфигурирован так, чтобы все соединения из внешних сетей проходили через него, чтобы предотвратить прямое соединение между компьютерной сетью организации и сети Интернет.

Экранированная подсеть

Архитектура экранированной сети по существу совпадает с архитектурой экранированного хоста, но добавляет еще одну линию защиты, с помощью создания сети, в которой находится хост-бастион, отделенной от внутренней сети.

Экранированная подсеть должна внедряться с помощью добавления сети-периметра для того, чтобы отделить внутреннюю сеть от внешней. Это гарантирует, что даже при успехе атаки на хост-бастион, атакующий не сможет пройти дальше сети-периметра из-за того, что между внутренней сетью и сетью-периметром находится еще один экранирующий маршрутизатор.

64. Структура web-приложения.

WEB приложения гипотетически намного уязвимее других. Причин тому несколько:

- Выполнение в среде, разнесенной в пространстве (приложение состоит из различных компонент, которые выполняются на различных компьютерах и возможно под различными операционными системами).

- Передача информации по неконтролируемым каналам.

- Исполнение внутри стороннего приложения – контейнера (и клиентской и

серверной частей)( к дефектам и уязвимостям приложения добавляются уязвимости и дефекты контейнера.)

- Доступность посторонним лицам исходного кода клиентской части по.

- Доступ к прямой навигации (пользователь может запрашивать ресурс, зная его точный адрес, в обход логики приложения)

Типичное веб приложение имеет следующую структуру

Проблемы добавляют еще и используемые протоколы. Например, HTTP не

содержит никаких средств для сокрытия данных. Вся информация передается в

открытом виде.

64. Распространенные угрозы безопасности web-приложений.

Инъекция SQL— один из распространённых способов взлома сайтов и программ, работающих с базами данных, основанный на внедрении в запрос произвольного SQL-кода.

Внедрение в строковые параметры

Использование UNION

SELECT id_news, header, body, author FROM news WHERE id_news = -1

UNION SELECT 1,username,password,1 FROM admin

Зачастую, SQL-запрос, подверженный инъекции, имеет структуру, усложняющую или препятствующую использованию union. В таких случаях, злоумышленниками используется метод экранирования части запроса при помощи символов комментария(/* или -- в зависимости от типа СУБД).

Расщепление SQL-запроса

Для разделения команд в языке SQL используется символ ';' (точка с запятой), внедряя этот символ в запрос, злоумышленник получает возможность выполнить несколько команд в одном запросе

Методика атак инъекций SQL

Поиск скриптов, уязвимых для атаки. На данном этапе злоумышленником изучается поведение скриптов сервера при манипуляции входными параметрами с целью обнаружения их аномального поведения. Манипуляция происходит всеми возможными параметрами:

• Данными передаваемыми через методы POST и GET

• Значениями [HTTP-Cookie]

• HTTP_REFERER (для скриптов )

• AUTH_USER и AUTH_PASSWORD (при использовании аутентификации)

Как правило, манипуляция сводится к подстановке в параметры символа

одинарной (реже двойной или обратной) кавычки.

Защита от атак инъекции SQL

Для защиты от инъекции SQL необходимо тщательно фильтровать входные

параметры, значения которых будут использованы для построения SQL-запроса

Наиболее частые примеры аномального поведения:

• выводится сообщение о различных ошибках;

• при запросе данных (например, новости или списка продукции) запрашиваемые данные не выводятся вообще, хотя страница отображается и т. д.

64. Уязвимости серверов и браузеров.

Обнаружено, что 8% от общего количества уязвимостей Web, составляют

уязвимости Web-броузеров и 2% – уязвимости Web-серверов. Уязвимости в коде

коммерческих Web-приложений составляют 90% от общего числа Web

уязвимостей.

Инф. утечки и незащ. данных (Information Leaks and Exposures)

Транзакции во время обычного выполнения Web-приложения могут содержать чувствительную информацию, принадлежащую другим пользователям.

Межсайтовый скриптинг ( Cross-Site Scripting)

Позволяет удаленному нападающему нарушить целостность кода приложения вставляя злонамеренные скрипты собственно в приложение, часто в базу данных. Атака типа межсайтовый скриптинг может позволить злоумышленнику украсть пользовательские сессионные куки, сфабриковать контент или перенаправить пользователя на зловредные сайты.

Слабости авторизации и аутентиф. (Authorization and Authentic Flaws )

Недостаточная аутентификация происходит, когда уязвимость в приложении Web позволяет пользователю войти, не предоставляя правильные аутентфикационные данные например, с помощью известного метода

нападения или эксплуатируя недостатки дизайна. Один пример такого условия(состояния) – плохо осуществленная схема аутентификации, которая показывает допустимые имена пользователя и пароли, позволяя применить методы грубой силы (полного перебора – brute force).

Управление сессией (Session Management)

Web-приложения управляют пользовательскими сессиями для отслеживания состояния и позиции пользователя в пределах Web-приложения. Уязвимость в управлении сессией может позволить нападавшему перехватить сеанс пользователя, угадав допустимый ID или маркер сессии, или многократно используя сеcсионный ID закэшированный в журнале промежуточным звеном, регистрирующим устройством, или сохраненный в журнале регистрации сервера HTTP.

Выполнение удаленного кода (Remote Code Execution)

Переполнение буфера, переполнение целого, атака на форматированные строки могут позволить нападавшему получить непосредственный контроль над WEB-приложением и базовой операционной системой. В некоторых случаях эти уязвимости могут позволить нападавшему вызвать отказ в обслуживании, обрушив уязвимое WEB-приложение.

Атаки типа инъекции SQL (SQL Injection Attacks)

Инъекции SQL позволяют нападавшему выполнять команды на основной

базе данных Web-приложения, получая доступ к содержанию базы данных

Неправомочный доступ к каталогу (Unauthorized Directory Access)

Неправильные разрешения доступа к каталогам могут позволить нападавшему обращаться к областям Web Site или Web-приложения, которые должны быть защищены. В других случаях возможно непосредственно просмотреть содержание каталога и перечислить все ресурсы, которые он содержит. Эти типы уязвимости помогают нападавшему собирать информацию

и планировать дальнейшие нападения против сервера.

Межсайтовая подделка запроса (Cross-Site Request Forgery)

Данный тип атак направлен на имитирование запроса пользователя к

стороннему сайту. Межсайтовая подделка запроса (CSRF) – нападение, которое заставляет жертву загрузить страницу, которая содержит зловредный запрос. Злономеренность состоит в том, что запрос наследует идентичность и привилегии жертвы для того, чтобы исполнить нежеланную функцию – изменение профиля жертвы, отправку электронной почты третьему лицу, покупка чего-либо. Таким образом эксплуатируется доверие пользователя сайту.

Защита от фишинга

Фишинг в Интернете – это способ обманным путем получить с

компьютеров пользователей личную или финансовую информацию через

мошенническое сообщение электронной почты или веб-узел.

64. Слабости авторизации и аутентификации, опасное местоположение ресурса.

Слабости авторизации и аутентификации (Authorization and

Authentication Flaws)

Недостаточная аутентификация происходит, когда уязвимость в

приложении Web позволяет пользователю войти, не предоставляя правильные аутентфикационные данные например, с помощью известного метода нападения или эксплуатируя недостатки дизайна. Один пример такого условия(состояния) – плохо осуществленная схема аутентификации, которая показывает допустимые имена пользователя и пароли, позволяя применить методы грубой силы (полного перебора – brute force). Недостатки аутентификации могут позволить пользователю получать доступ через приложения к ресурсам, который должен быть ограничен в соответствии с ролью пользователя. Количество приложений с этой уязвимостью сильно выросло по сравнению с предыдущим периодом

Опасное Местоположение Ресурса (Insecure Resource Location)

Важные файлы или другая информация могут быть сохранены в опасных

каталогах или иным способом выставлена в Интернет. Информация,

сохраненная в файлах электронной таблицы, текстовых файлах, или документах слова может быть расположена в небезопасных каталогах на Сайте. Например, заданная по умолчанию конфигурация некоторых приложений электронной коммерции хранит операционную информацию, включая данные кредитной карточки в доступных каталогах. Наблюдается снижение приложений с этой уязвимостью

64. Защита от атак типа SQL-инъекция и межсайтовый скриптинг (XSS).

Межсайтовый скриптинг ( Cross-Site Scripting)

Позволяет удаленному нападающему нарушить целостность кода приложения вставляя злонамеренные скрипты собственно в приложение, часто в базу данных. Атака типа межсайтовый скриптинг может позволить злоумышленнику украсть пользовательские сессионные куки, сфабриковать контент или перенаправить пользователя на зловредные сайты, для внедрения эксплоита использующего уязвимости броузера.

XSS (англ. Сross Site Sсriрting — «межсайтовый скриптинг») — тип

уязвимости интерактивных информационных систем в вебе. XSS возникает,

когда в генерируемые сервером страницы по какой-то причине попадают

пользовательские скрипты. Специфика подобных атак заключается в том, что

вместо непосредственной атаки сервера они используют уязвимый сервер в качестве средства атаки на клиента.

По механизму исполнения атаки:

Пассивные. Пассивные XSS подразумевают, что скрипт не хранится на

сервере уязвимого сайта, либо он не может автоматически выполниться в браузере жертвы. Для срабатывания пассивной XSS требуется некое

дополнительное действие.

Активные. При активных XSS вредоносный скрипт хранится на сервере, и срабатывает в браузере жертвы при открытии какой-либо страницы

заражённого сайта.

64. Потенциальные проблемы с электронной почтой.

протоколы

Случайные ошибки

Можно легко допустить ошибку при работе с электронной почтой. Письмо

может быть случайно послано. Простое нажатие клавиши или щелчок мышкой

могут послать письмо по неправильному адресу.

Персональное использование

Так как письмо обычно используется для обеспечения деятельности организации, как телефон и факс, использование его в личных целях должно быть ограничено или запрещено (это зависит от организации). Маркетинг

Угрозы, связанные с электронной почтой

Основные протоколы передачи почты(SMTP, POP3,IMAP4) обычно не осуществляют надежной аутентификации, что позволяет легко создать письма с фальшивыми адресами. Ни один из этих протоколов не использует криптографию, которая могла бы гарантировать конфиденциальность электронных писем. Хотя существуют расширения этих протоколов, решение использовать их должно быть явно принято как составная часть политики администрации почтового сервера.

Фальшивые адреса отправителя

Адресу отправителя в электронной почте Интернета нельзя доверять, так

как отправитель может указать фальшивый обратный адрес, или заголовок может

быть модифицирован в ходе передачи письма, или отправитель может сам соединиться с SMTP-портом на машине, от имени которой он хочет отправить письмо.

Защита от фальшивых адресов

От этого можно защититься с помощью использования шифрования для

присоединения к письмам электронных подписей. Одним популярным методом

является использование шифрования с открытыми ключами.

Перехват письма

Заголовки и содержимое электронных писем передаются в чистом виде. В

результате содержимое сообщения может быть прочитано или изменено в процессе передачи его по Интернету.

Защита от перехвата

От него можно защититься с помощью шифрования содержимого сообщения или канала, по которому он передается.

Почтовая бомба - это атака с помощью электронной почты. Атакуемая система переполняется письмами до тех пор, пока она не выйдет из строя.

Угрожающие письма

Так как любой человек в мире может послать вам письмо, может оказаться

трудным заставить его прекратить посылать их вам.

64. Основные положения политики безопасности электронной почты.

Низкий риск

Пользователь: Использование служб электронной почты для целей, явно противоречащий интересам организации или противоречащих политикам безопасности организации явно запрещено, также как и чрезмерное использование ее в личных целях. Организация предоставляет своим сотрудникам электронную почту для выполнения ими своих обязанностей. Ограниченное использование ее в личных целях разрешается, если оно не угрожает организации. Использование электронной почты таким образом, что это помогает получать личную коммерческую выгоду, запрещено.

Менеджер: Все сотрудники должны иметь адреса электронной почты. Справочники электронных адресов должны быть доступны для общего доступа. Если организация обеспечивает доступ к электронной почте внешних пользователей, таких как консультанты, контрактные служащие или партнеры, они должны прочитать политику доступа к электронной почте и расписаться за это. Содержимое почтовых сообщений считается конфиденциальным, за исключением случая проведения расследований органами внутренних дел.

Сотрудник отдела автоматизации: POP-сервер должен быть сконфигурирован так, чтобы исключать использование незашифрованных паролей с локальных машин.

Средний риск

Пользователь: Электронная почта предоставляется сотрудникам организации только для выполнения ими своих служебных обязанностей. Использование ее в личных целях запрещено. Конфиденциальная информация или информация, являющаяся собственностью организации, не может быть послана с помощью электронной почты. Могут использоваться только утвержденные почтовые программы. Служащим запрещено использовать анонимные ремэйлеры.

Менеджер: Конфиденциальная информация или информация, являющаяся собственностью организации, не может быть послана с помощью электронной почты. Если будет установлено, что сотрудник неправильно использует электронную почту с умыслом, он будет наказан.

Сотрудник отдела автоматизации: Почтовая система должна обеспечивать только один внешний электронный адрес для каждого сотрудника. Этот адрес не должен содержать имени внутренней системы или должности Должен вестись локальный архив MIME-совместимых программ для просмотра специальных форматов и быть доступен для внутреннего использования.

Высокий риск

Пользователь: Электронная почта предоставляется сотрудникам организации только для выполнения своих служебных обязанностей. Все электронные письма, создаваемые и хранимые на компьютерах организации, являются собственностью организации и не считаются персональными. Организация оставляет за собой право получить доступ к электронной почте сотрудников, если на то будут веские причины. Содержимое электронного письма не может быть раскрыто, кроме как с целью обеспечения безопасности или по требованию правоохранительных органов. Пользователи не должны позволять кому-либо посылать письма, используя их идентификаторы. Это касается их начальников, секретарей, ассистентов или других сослуживцев. Организация оставляет за собой право осуществлять наблюдение за почтовыми отправлениями сотрудников. Электронные письма могут быть прочитаны организацией даже если они были удалены и отправителем, и получателем. Такие сообщения могут использоваться для обоснования наказания.

Менеджер: Справочники электронных адресов сотрудников не могут быть сделаны доступными всем. Если с помощью электронного письма должна быть послана конфиденциальная информация или информация, являющаяся собственностью организации, она должна быть зашифрована так, чтобы ее мог прочитать только тот, кому она предназначена, с использованием утвержденных в организации программ и алгоритмов. Никто из посетителей, контрактников или временных служащих не имеет права использовать электронную почту организации. Должно использоваться шифрование все информации, классифицированной как критическая или коммерческая тайна, при передаче ее через открытые сети, такие как Интернет. Выходящие сообщения могут быть выборочно проверены, чтобы гарантировать соблюдение политики.

Сотрудник отдела автоматизации: Входящие письма должны проверяться на вирусы или другие РПС. Почтовые сервера должны быть сконфигурированы так, чтобы отвергать письма, адресованные не на компьютеры организации. Журналы почтовых серверов должны проверяться на предмет выявления использования неутвержденных почтовых клиентов сотрудниками организации, и о таких случаях должно докладываться. Почтовые клиенты должны быть сконфигурированы так, чтобы каждое сообщение подписывалось с помощью цифровой подписи отправителя.

64. Классификация и способы распространения зловредного по.

В соответствии с кодификатором компьютерных преступлений Генерального Секретариата Интерпола, вирусы относятся к категории QD -изменение компьютерных данных, внутри которой они классифицируются следующим образом:

QDL — логическая бомба,

QDT — троянский конь,

QDV — компьютерный вирус,

QDW — компьютерный червь,

QDZ — прочие виды изменения данных.

Логическая бомба осуществляет тайное встраивание в программу набора команд, который должен сработать лишь однажды, но при определенных условиях.

Троянский конь осуществляет введение в чужую программу таких команд, которые позволяют осуществлять иные, не планировавшиеся владельцем программы функции, но одновременно сохранять и прежнюю работоспособность.

Компьютерный вирус это специально написанная программа, которая может "приписывать" себя к другим программам (т.е. "заражать" их), размножаться и порождать новые вирусы для выполнения различных нежелательных действий на компьютере.

Червь представляет собой специальную самостоятельно распространяющуюся программу, осуществляющую изменение компьютерных данных или программ, без права на это, путем передачи, внедрения или распространения через компьютерную сеть.

Способы распространения:

Дырами принято называть логические ошибки в программном обеспечении, в результате которых жертва приобретает возможность интерпретировать исходные данные как исполняемый код.

Открытые системы: открытыми мы будем называть такие системы, которые беспрепятственно позволяют всем желающим исполнять на сервере свой собственный код.

Человеческий фактор, Слабые пароли

64. Способы борьбы с вирусами.

Наиболее известными приемами борьбы с вирусами является следующие:

резервирование файловой системы – один из наиболее простых и эффективных методов защиты от вирусов, заключающийся в регулярном копировании файловой системы, ведении ежедневных архивов измененных файлов,

профилактика раздельное хранение вновь полученных и уже эксплуатируемых программ, разбиение дисков на зоны с установленным режимом "только для чтения", хранение неиспользуемых программ в специализированных архивах, использование специальной "инкубационной" зоны для записи новых программ, систематическая проверка ВООТ-секторов используемых машинных носителей информации и др.,

анализ — регулярная ревизия вновь полученных программ специальными средствами и их запуск в контролируемой среде, проверка программ компетентными специалистами по меньшей мере на известные виды компьютерных вирусов.

фильтрация – использование лицензионных резидентных программ для обнаружения попыток выполнить несанкционированные действия,

вакцинирование – специальная обработка файлов, дисков, каталогов, запуск специальных резидентных программ-вакцин, имитирующих сочетание условий, которые используются данным типом вируса, для определения заражения программы или всего диска,

терапия — деактивация конкретного вируса в зараженных программах с помощью специальной антивирусной программы или восстановление первоначального состояния программ путем уничтожения всех экземпляров вируса в каждом из зараженных файлов или дисков.

Системы антивирусной защиты должны реализовывать следующие основные функции:

• регулярное обновление программного обеспечения и баз образов вирусов,

• управление распространением и контроль за эксплуатацией антивирусного программного обеспечения,

• контроль за работой системы антивирусной защиты в целом на уровне подразделений, управление локальными группами пользователей, обновление антивирусного программного обеспечения и баз образов вирусов конечных пользователей,

• обеспечение автоматической антивирусной защиты данных пользователей.

По уровням объектов защиты система антивирусной защиты должна обеспечивать:

• на первом уровне — защиту подключений в Интернет или к сетям поставщиков услуг связи (имеются ввиду прежде всего межсетевые экраны и почтовые шлюзы),

• на втором уровне — защиту файл-серверов, серверов баз данных и серверов систем коллективного пользования, поскольку именно они содержат наиболее ценную информацию (в этой связи необходимо подчеркнуть, что анти-ирусная защита является дополнением, но не заменой средствам резервного копирования данных),

• на третьем уровне – защиту рабочих станций.

При этом системы антивирусной защиты должны обеспечивать:

• возможность управления ее работой с одного рабочего места (например, с рабочей станции администратора или руководителя службы защиты),

• ведение регистрационных журналов,

• отправку оповещений о происходящих нежелательных с точки зрения задач антивирусной защиты событиях,

• функционирование в штатном режиме эксплуатации защищаемого объекта (рабочая станция/сервер) без нарушения логики и производительности работы других используемых приложений,

• регулирование уровня нагрузки от антивирусной защиты, контроль за использованием вычислительных ресурсов для рассматриваемой цели,

• непрерывный антивирусный контроль исполняемых файлов, макросов документов и т.п. (в т.ч. проверка файлов при их открытии и записи на диск на рабочих станциях),

• автоматическое обновление баз образов вирусов на рабочих станциях.

Программно-технические компоненты системы антивирусной защиты должны обеспечивать формирование интегрированной вычислительной среды, удовлетворяющей следующим основным принципам:

• надежность — система в целом должна обладать продолжать функционировать независимо от работоспособности отдельных узлов системы и должна обладать средствами восстановления после отказа,

• масштабируемость – система антивирусной защиты должна формироваться с учетом перспективы роста числа и модификации защищаемых объектов,

• открытость – система должна формироваться с учетом возможности пополнения и обновления ее функций и состава,

• совместимость – необходимо обеспечивать поддержку антивирусным программным обеспечением максимально возможного количества сетевых ресурсов,

• однородность – компоненты системы должны представлять собой стандартные и унифицированные системы и средства.

81. Социальная инженерия посредством сети Internet.

Социальная инженерия — это метод управления действиями человека без использования технических средств. Метод основан на использовании слабостей человеческого фактора и считается очень разрушительным.

Беседы через Internet

Для выявления паролей через IRC злоумышленники используют два или более одновременно открытых клиента IRC. Желательно иметь права оператора канала, но необязательно. Один из клиентов представляет собой bot (робот-исполнитель), а другой - это сам злоумышленник (например, ВОВ). Как происходит СИ:

ВОВ: Для получения прав оператора просто пошли сообщение роботу капала, но сначала необходимо проидентифицировать свой DNS. Если ты не знаешь, как это сделать, напиши /msg bot identify твой_пароль. Робот должен запомнить имя, DNS и впоследствии аутентифицировать тебя по набранному паролю.

После чего действительному оператору канала желательно сказать, что нет времени, и необходимо убегать. Все это для того, чтобы не появилось подозрения в соучастии.

Как только "пациент" посылает роботу такое сообщение, для создания полной иллюзии необходимо ответить от имени робота что-нибудь вроде такой фразы:

Имя_пациента: Клиент аутентифицирован. Установка прав оператора.

Теперь злоумышленник имеет пароль пользователя. Конечно, совсем необязательно, что это пароль применялся еще где-либо, но люди, не искушенные в безопасности, по привычке пишут везде один и тот же пароль.

Электронная почта

Работа с помощью электронной почты почти не отличается от работы с телефоном, но есть некоторые особенности:

• в случаях переписки с незнакомыми людьми письма должны иметь соответствующий вид. Например, подпись в конце письма должна быть стандартной для больших компаний: следует указать имя, фамилию, должность, название организации, адрес и телефон;

• при переписке со "знакомыми" людьми необходимо выдерживать дружеский стиль;

• желательно не посылать письмо напрямую, а использовать поддельный адрес и/или скрывать IP-адрес, откуда пришло письмо.

Программа-пейджер

Вот, наконец, добрались и до ICQ (I seek you). Как мы уже упоминали, ICQ - это некоторое подобие электронной почты, а значит, с ней можно делать почти все, что и с e-mail. Кроме того, ICQ похожа на IRC, соответственно - те же комментарии. Чем же это средство общения отличается от описанных выше, и как его можно реально использовать в социальной инженерии?

Программа разработана не так давно, но уже широко используется, несмотря на множество ее недостатков. В последнее время в Internet стали появляться программы, которые способны тем или иным образом нарушить работу ICQ. Что же можно сделать с их помощью? Послать сообщение от чужого имени, дать возможность постороннему лицу увидеть список друзей, узнать пароль пользователя или просто удаленно вывести программу из строя. Не надо обладать особой проницательностью, чтобы придумать, как применить все это на практике. Да и отличить подделанное сообщение в ICQ значительно труднее, чем в e-mail. Для того чтобы исправить эти недостатки, фирма Mirabilis, разработчик ICQ, время от времени выпускает новые версии.

Все приведенные выше примеры не выдуманы, а взяты из реальной жизни. Они показывают, что наибольшую опасность для организаций представляют люди, а не слабая защита операционных систем.

82.Организация управления доступом и защиты ресурсов операционных систем (ОС).

Основные механизмы безопасности подсистемы защиты операционной системы:

1.  Разграничения доступа. Каждый пользователь системы имеет доступ только к тем объектам операционной системы, к которым ему предоставлен доступ в соответствии с текущей политикой безопасности.

2.  Идентификации и аутентификации. Ни один пользователь не может начать работу с операционной системой, не идентифицировав себя и не предоставив системе аутентифицирующую информацию, подтверждающую, что пользователь действительно является тем, за кого он себя выдает.

3.  Аудита. Операционная система регистрирует в специальном журнале события, потенциально опасные для поддержания безопасности системы. Записи об этих событиях могут просматривать в дальнейшем только администраторы операционной системы.

4.   Управления политикой безопасности. Политика безопасности должна постоянно поддерживаться в адекватном состоянии, т.е. должна гибко реагировать на изменения условий функционирования операционной системы, требований к защите информации, хранимой и обрабатываемой в системе, и т.д. Управление политикой безопасности осуществляется администраторами системы с использованием соответствующих средств, встроенных в операционную систему.

5.   Криптографический. В настоящее время защита информации немыслима без использования криптографических средств защиты. В операционных системах шифрование используется при хранении и передаче по каналам связи паролей пользователей и некоторых других данных, критичных для безопасности системы.

83. Основные механизмы безопасности: средства и методы аутентификации в ОС.

Идентификация субъекта доступа заключается в том, что субъект сообщает операционной системе идентифицирующую информацию о себе (имя, учетный номер и т.д.) и таким образом идентифицирует себя.

Аутентификация субъекта доступа заключается в том, что субъект предоставляет операционной системе помимо идентифицирующей информации еще и аутентифицирующую информацию, подтверждающую, что он действительно является тем субъектом доступа, к которому относится идентифицирующая информация.

Аутентификация с помощью пароля

Для идентификации и аутентификации пользователей в подавляющем большинстве операционных систем используются имя и пароль. Для идентификации пользователь должен ввести свое имя, а для аутентификации ввести пароль - текстовую строку, известную только ему. Имя пользователя, как правило, назначается ему администратором системы.

Процедура идентификации и аутентификации с использованием имени и пароля предельно проста. Пользователь вводит с клавиатуры имя и пароль, операционная система ищет в списке пользователей запись, относящуюся к этому пользователю, и сравнивает пароль, хранящийся в списке пользователей, с паролем, введенным пользователем. Если запись, относящаяся к входящему в систему пользователю, присутствует в списке пользователей и содержащийся в этой записи пароль совпадает с введенным, считается, что идентификация и аутентификация прошли успешно. В противном случае пользователь получает отказ в доступе. Если идентификация и аутентификация пользователя происходят в процессе входа пользователя на удаленный сервер, имя и пароль пользователя пересылаются по сети (как правило) в зашифрованном виде.

Методы подбора паролей

1. Тотальный перебор;

2. Тотальный перебор, оптимизированный по статистике встречаемости символов;

3. Тотальный перебор, оптимизированный с помощью словарей;

4. Подбор пароля с использованием знаний о пользователе;

5. Подбор образа пароля.

Аутентификация с помощью внешних носителей ключевой информации

В этом случае информация, идентифицирующая и аутентифицирующая пользователя, хранится на внешнем носителе информации, который может представлять собой обычную дискету, электронный ключ, пластиковую карту и т.д. При входе в систему пользователь подключает к компьютеру носитель ключевой информации, и операционная система считывает с него идентификатор пользователя и соответствующий ему ключ. При этом идентификатор пользователя используется в качестве имени, а ключ - в качестве пароля.

Поскольку ключ, хранящийся на внешнем носителе, может быть сделан гораздо более длинным, чем пароль, подобрать такой ключ практически невозможно. Однако угроза утери или кражи ключевой информации по-прежнему остается актуальной. Если процедура аутентификации не предусматривает дополнительных мер защиты, любой обладатель носителя ключевой информации, в том числе и злоумышленник, укравший этот носитель у легального пользователя системы, может войти в систему с правами пользователя, которому принадлежит носитель.

Поэтому данный механизм аутентификации используется в совокупности с паролем. При этом пользователь, входя в систему, должен не только "предъявить" компьютеру носитель ключевой информации, но и ввести соответствующий этому носителю пароль. Ключевая информация на носителе информации хранится зашифрованной на этом пароле, что не позволяет случайному обладателю ключа воспользоваться им.

Аутентификация с помощью биометрических характеристик пользователей.

Каждый человек обладает своим неповторимым набором биометрических характеристик, к которым относятся отпечатки пальцев, рисунок сетчатки, рукописный и клавиатурный почерк и т.д. Эти характеристики могут быть использованы для аутентификации пользователя.

83. Модели разграничения доступа ОС.

1. Избирательное разграничение доступа. Система правил изби­рательного или дискреционного разграничения доступа (discretionary ac­cess control) формулируется следующим образом.

1.  Для любого объекта операционной системы существует владе­лец.

2.  Владелец объекта может произвольно ограничивать доступ дру­гих субъектов к данному объекту.

3.  Для каждой тройки субъект-объект-метод возможность доступа определена однозначно.

2. Изолированная программная среда. Изолированная или замк­нутая программная среда представляет собой расширение модели изби­рательного разграничения доступа. Здесь правила разграничения доступа формулируются следующим образом.

1. Для любого объекта операционной системы существует владе­лец.

2. Владелец объекта может произвольно ограничивать доступ дру­гих субъектов к данному объекту.

3. Для каждой четверки субъект-объект-метод-процесс возможность доступа определена однозначно.

4. Существует хотя бы один привилегированный пользователь (ад­министратор), имеющий возможность обратиться к любому объекту по лю­бому методу.

5. Для каждого субъекта определен список программ, которые этот субъект может запускать.

3. Полномочное разграничение доступа без контроля информа­ционных потоков. Полномочное или мандатное разграничение доступа (mandatory access control) обычно применяется в совокупности с избира­тельным. При этом правила разграничения доступа формулируются следующим образом.

1.  Для любого объекта операционной системы существует владе­лец.

2.  Владелец объекта может произвольно ограничивать доступ дру­гих субъектов к данному объекту.

3.  Для каждой тройки субъект-объект-метод возможность доступа определена однозначно.

4.  Существует хотя бы один привилегированный пользователь (ад­министратор), имеющий возможность удалить любой объект.

5.  В множестве объектов доступа операционной системы выделяется подмножество объектов полномочного разграничения доступа. Каж­дый объект полномочного разграничения доступа имеет гриф секретно­сти.

6.  Каждый субъект доступа имеет уровень допуска. 

7.  Если:

•          объект является объектом полномочного разграничения доступа,

•          гриф секретности объекта строго выше уровня допуска субъекта, обращающегося к нему,

•          субъект   открывает   объект   в    режиме,   допускающем    чтение информации,

то доступ субъекта к объекту запрещен независимо от состояния матрицы доступа.

4. Полномочное разграничение доступа с контролем информа­ционных потоков. Как и в предыдущем случае, мы будем рассматривать данную модель разграничения доступа в совокупности с избирательным разграничением доступа. Правила разграничения доступа в данной моде­ли формулируются следующим образом.

1), 2) аналогичны полномочному разграничению доступа без контроля информа­ционных потоков

3.             Для каждой четверки субъект-объект-метод-процесс возможность доступа определена однозначно в каждый момент времени.

4), 5), 6) аналогичны полномочному разграничению доступа без контроля информа­ционных потоков

7.             Если:

•          объект является объектом полномочного разграничения доступа,

•          гриф секретности объекта строго выше уровня допуска субъекта, обращающегося к нему,

•          субъект   открывает   объект   в   режиме,    допускающем   чтение информации,

то доступ субъекта к объекту должен быть запрещен независимо от со­стояния матрицы доступа. Это - так называемое правило NRU (Not Read Up - не читать выше).

8.  Каждый процесс операционной системы имеет уровень конфи­денциальности, равный максимуму из грифов секретности объектов, от­крытых процессом на протяжении своего существования.

9.  Если:

•     объект является объектом полномочного разграничения доступа,

•       гриф секретности объекта строго ниже уровня конфиденциальности процесса, обращающегося к нему,

•       субъект собирается записывать в объект информацию,

то доступ субъекта к объекту должен быть запрещен независимо от со­стояния матрицы доступа.

10. Понизить гриф секретности объекта полномочного разграниче­ния доступа может только субъект, который:

•          имеет доступ к объекту согласно правилу 7;

Свойства мо­дели	Избиратель­ное разгра­ничение доступа	Изолиро­ванная програм­мная среда	Полномочное разграничение доступа
			без контро­ля потоков	с контролем потоков
Защита       от утечки   инфор­мации	Отсутствует	Отсутствует	Отсутствует	Имеется
Защищенность от   разрушаю­щих  воздейст­вий	Низкая	Высокая	Низкая	Низкая
Сложность реализации	Низкая	Средняя	Средняя	Высокая
Сложность администриро­вания	Низкая	Средняя	Низкая	Высокая
Затраты ресур­сов  компьюте­ра	Низкие	Низкие	Низкие	Высокие
Использование программного обеспечения, разработанного для других сис­тем	Возможно	Возможно	Возможно	Проблематич­но

83. Архитектура системы безопасности ОС семейства Windows

Windows NT с самого начала планировалась как многопользовательская система, поэтому средства аутентификации пользователей и авторизации доступа к ресурсам встроены в систему, в том числе, и на уровне ядра.

Рисунок 5.3 Система безопасности Windows NT

Процесс входа в систему обеспечивает начало работы с системой как интерактивных пользователей, так и удаленных клиентов, обращающихся к серверу. Этот компонент не связан с безопасностью непосредственно, но обращается к Распорядителю локальной безопасности, который организует аутентификацию пользователя по имени и паролю. Бюджеты всех зарегистрированных пользователей сохраняются в Базе данных бюджетов, доступ к которой осуществляется только через Диспетчер бюджета безопасности. Кроме того, Распорядитель локальной безопасности управляет политикой локальной безопасности - разрешениями на доступ и ведет Базу данных локальной безопасности, а также управляет политикой контроля и регистрирует контрольные сообщения в Журнале безопасности.

Основную работу выполняет Менеджер безопасности в составе Исполнительной системы. Этот модуль проверяет права доступа к объектам по запросам других модулей Исполнительной системы (прежде всего - Менеджера объектов) и генерирует контрольные сообщения. Для получения информации о правах и передачи контрольных сообщений Менеджер безопасности взаимодействует с Распорядителем локальной безопасности.

83. Организация управления доступом ОС семейства Windows

Система управления доступом в ОС Windows NT отличается высокой степенью гибкости, которая достигается за счет большого разнообразия субъектов и объектов доступа, а также детализации операций доступа. Проверка прав доступа для объектов любого типа выполняется централизованно с помощью монитора безопасности (Security Reference Monitor), работающего в привилегированном режиме. Windows NT поддерживает три класса операций доступа, которые отличаются типом субъектов и объектов, участвующих в этих операциях.

• Разрешения (permissions) — это множество операций, которые могут быть определены для субъектов всех типов по отношению к объектам любого типа: файлам, каталогам, принтерам, секциям памяти и т. д.

• Права (user rights) — определяются для субъектов типа группа на выполнение некоторых системных операций: установку системного времени, архивирование файлов, выключение компьютера и т. п. В этих операциях участвует особый объект доступа — операционная система в целом.

• Возможности пользователей (user abilities) определяются для отдельных пользователей на выполнение действий, связанных с формированием их операционной среды

При входе пользователя в систему для него создается так называемый токен доступа (access token), включающий идентификатор пользователя и идентификаторы всех групп, в которые входит пользователь. В токене также имеются: список управления доступом (ACL) по умолчанию, который состоит из разрешений и применяется к создаваемым процессом объектам; список прав пользователя на выполнение системных действий.

В Windows NT администратор может управлять доступом пользователей к каталогам и файлам только в разделах диска, в которых установлена файловая система NTFS. Разделы FAT не поддерживаются средствами защиты Windows NT, так как в FAT у файлов и каталогов отсутствуют атрибуты для хранения списков управления доступом. Доступ к каталогам и файлам контролируется за счет установки соответствующих разрешений.

Разрешения в Windows NT бывают индивидуальные и стандартные. Индивидуальные разрешения относятся к элементарным операциям над каталогами и файлами, а стандартные разрешения являются объединением нескольких индивидуальных разрешений.

В представленной ниже таблице показано шесть индивидуальных разрешений (элементарных операций), смысл которых отличается для каталогов и файлов.

Разрешение	Для каталога	Для файла
Read (R)	Чтение имен файлов и каталогов, входящих в данный каталог, а также атрибутов и владельца каталога	Чтение данных, атрибутов, имени владельца и разрешений файла
Write (W)	Добавление файлов и каталогов, изменение атрибутов каталога, чтение владельца и разрешений каталога	Чтение владельца и разрешений файла, изменение атрибутов файла, изменение и добавление данных файла
Execute (X)	Чтение атрибутов каталога, выполнение изменений в каталогах, входящих в данный каталог, чтение имени владельца и разрешений каталога	Чтение атрибутов файла, имени владельца и разрешений. Выполнение файла, если он хранит код программы
Delete (D)	Удаление каталога	Удаление файла
Change Permission (P)	Изменение разрешений каталога	Изменение разрешений файла
Take Ownership (O)	Стать владельцем каталога	Стать владельцем файла

Существует ряд правил, которые определяют действие разрешений.

• Пользователи не могут работать с каталогом или файлом, если они не имеют явного разрешения на это или же они не относятся к группе, которая имеет соответствующее разрешение.

• Разрешения имеют накопительный эффект, за исключением разрешения No Access, которое отменяет все остальные имеющиеся разрешения.

87. Управление пользователями и группами ОС семейства Windows. В операционных системах Windows для проверки подлинности (аутентификации) пользователя используются учетные записи. Они хранятся в специальной базе данных на локальных компьютерах и на сервере (для сети с выделенным сервером). Каждый раз при аутентификации пользователя, происходит сравнение введенных им данных с данными из базы, и при совпадении пользователь получает доступ к компьютеру или в локальную сеть. Windows XP использует три типа учетных записей пользователей: Локальные учетные записи пользователей для регистрации пользователей локального компьютера. Индивидуальная база учетных записей локальных пользователей хранится на каждом компьютере, и содержит информацию о пользователях данного компьютера. *Встроенные учетные записи пользователей создаются автоматически при установке Windows XP Professional. В состав встроенных учетных записей входят две основные записи - Администратор и Гость. Встроенные учетные записи хранятся в той же базе, что и локальные учетные записи. *Учетные записи пользователей домена хранятся на выделенном сервере и содержат личные данные о пользователях локальной сети. Если пользователь, работая за компьютером, имеет доступ к локальной сети, он должен иметь две учетные записи, одну для доступа к компьютеру (локальная), другую для доступа к сети (пользователь домена). Эти записи могут отличаться (например, могут быть разные пароли). Независимо от того, подключен ваш компьютер к локальной сети или нет, он содержит локальную базу данных безопасности. Это позволяет создавать на рабочих станциях локальные учетные записи пользователей и локальные группы, а так же управлять ими. Локальные пользователи - это люди, которые будут пользоваться вашим компьютером, либо работая непосредственно за ним, либо подключаясь по сети. Для каждого из них можно создать отдельную учетную запись, которая будет содержать индивидуальные сведения о пользователе и настройках операционной системы Windows. Кроме того, администратор данного компьютера, может установить отдельно для каждого пользователя свою политику безопасности и предоставить индивидуальные права доступа к ресурсам компьютера. Для удобства управления локальными пользователями, их можно объединять в группы и управлять группами, не устанавливая одни и те же настройки для каждого пользователя в отдельности.

Windows поддерживает ролевую модель, делегирование прав управления безопасностью, групповую политику, а также предоставляет определенный набор функций управления различными политиками и характеристиками безопасности.

Представление ролей в рамках Windows реализовано через механизм назначения учетной записи пользователя определенных привилегий или включение ее в состав участников группы. При осуществлении доступа к Windows, пользователю присваивается определенная роль, для которой определено членство в группах и установлены привилегии.

Windows поддерживает ряд локальных и доменных групп безопасности.

Локальные группы используются для предоставления их членам прав на

выполнение действий на локальном компьютере. Доменные группы

безопасности являются частью Active Directory и характеризуются областью

действия, которая описывает пределы применения группы в дереве доменов или

в лесу.

Примеры локальных группы безопасности, создаваемых в момент установки Windows: Администраторы, Операторы архива, Гости, Операторы настройки сети, Опытные пользователи, Пользователи удаленного рабочего стола, Клиенты Telnet

Удаленный доступ и др.