- •Программно-аппаратные системы обеспечения информационной безопасности.
- •Аутентификация.
- •2.Некоторые протоколы аутентификации.
- •Служба аутентификации X.509.
- •Система обнаружения вторжения.
- •(События)
- •(Анализатор)
- •Многоагентные системы.
- •5.Интеллектуальные системы анализа в сов.
- •1. Продукционные системы.
- •2.Байесовские фильтры.
- •3.Нейронные сети.
- •4.Метод опорных векторов (svm).
- •6.Межсетевые экраны.
- •Фильтрация пакетов.
- •7.Защита электронных платежных систем.
- •8.Универасальная электронная платежная система ueps.
- •Платежные транзакции.
- •9.Протокол защищенных электронных транзакций set.
- •10. Микроплатежные системы.
- •11.Классификация компьютерных преступлений.
- •13.Оценка защищенности информационной системы.
- •Аутентификация.
- •Совместимость на уровне электронной почты.
- •Сегментация.
-
Служба аутентификации X.509.
Разработана ITU.
X.509v1 – 1988г.
X.509v2 – 1993г.
X.509v3 – 1995г.
Сертификаты X.509v3 (открытых ключей)
RSA, хэш-функция X.509(v1).
Убрали хэш-функцию.
Изначально стандарт для аутентификации, очень широко используются сертификаты. Сертификаты выпускаются удостоверяющим центром (УЦ) – организация либо просто сервер, которые выпускают сертификаты. Сертификат привязывается к УЦ. Внутренний документооборот – организация может создать свой УЦ в зависимости от документооборота. Сертификаты хранятся в открытом виде в службе каталогов.
Структура сертификата:
-
Версия сертификата (по умолчанию 1).
-
Порядковый номер.
-
Идентификатор алгоритма подписи.
-
Имя объекта, выдавшего сертификат.
-
Срок действия – пара значений – когда выпущен и когда заканчивается.
-
Имя субъекта – кому выдан данный сертификат, уникальный идентификатор.
-
Информация об открытом ключе – сам открытый ключ + идентификатор алгоритма.
Следующие пункты появились в v2.
-
Уникальный идентификатор объекта, выдавшего сертификат.
-
Уникальный идентификатор субъекта.
Следующие пункты появились в v3.
-
Дополнения.
-
Подписи УЦ.
Сертификат в рамках стандарта записывается в таком виде: Y <<X>>.
УЦ – Y, субъект – Х.
Есть пользователь А и В из разных УЦ. Для того, чтобы они могли взаимодействовать, выписываются сертификаты:
Y1 <<Y2>>, Y2 <<Y1>>
A B: Y1 <<A>>
B Y2: ? Y2 <<Y1>>
Y2 B: Y2 <<Y1>>
B: Y2 <<Y1>> Y1 <<A>>
Взаимодействие между серверами строится по сертификатам открытых ключей.
Yn <<Yn-1>> Yn-1 <<Yn-2>> … Y2 <<Y1>> Y1 <<A>>.
Пример.
W<<X>>
X<<W>>
X<<A>>
Z<<B>>
Y<<V>>
V<<Y>>
Z<<Y>>
Y<<Z>>
Z<<B>>
X<<W>>W<<V>>
V<<Y>>Y<<Z>>
Z<<B>>
Отзыв сертификатов:
-
Компрометация субъекта.
-
Компрометация УЦ.
CRL – список отзывов.
-
Одношаговая
A B: EA(tA, RA, B, [Data, EB(KAB)]), CERT (A)=Y<<A>>.
-
Двухшаговая.
-
-//-
-
B A: EB(tB, RB, A, RA, [Data, EA(KBA)]).
-
Трёхшаговая.
-
-//-
-
-//-
-
A B: EA(RB).
V3. Дополнения.
Возможны дополнения трех видов:
-
Информация о ключах и политиках.
-
Идентификатор ключа УЦ.
-
Идентификатор ключа субъекта.
Связка ключей, каждому ключу сопоставляется идентификатор.
-
Использование ключа.
-
Срок использования ключа.
-
Политики сертификации. Ограничение на использование сертификата.
-
Отображение политик – взаимодействие между центрами сертификации.
-
Субъекты сертификации и атрибуты центра.
-
Альтернативное имя субъекта.
-
Альтернативное имя центра сертификации.
-
Атрибуты каталога X.500.
-
Ограничение маршрута сертификации.
-
Основные ограничения.
-
Ограничение имен.
-
Ограничение политик.
Бит критичности – указываются, являются ли дополнения критичными или нет.
29.09.11 г.
-
Система обнаружения вторжения.
СОВ(IDS) – программно-аппаратный комплекс, обнаруживающий факто вторжения в КС по анализу контролируемых и собираемых данных.
Характеризуются двумя видами ошибок:
1 рода – ложная тревога.
2 рода – пропуск. Было вторжение, а система не сработала.
Классификация СОВ.
-
Подход к обнаружению.
- по сигнатуре.
- по аномальному поведению.
- гибридный подход – когда применяется и то, и другое.
-
Защищаемая система.
- хостовые.
- сетевые.
- гибридные.
-
По структуре.
- централизованная.
- децентрализованная.
-
По источнику данных.
- сетевые пакеты.
- записи аудита.
- объекты системы.
-
Реакция системы.
- пассивные.
- активные.
-
Время анализа.
- в реальном времени (real-time).
- отложенный анализ (interval-based).
-
По этапу обнаружения атаки.
- системы анализа защищенности.
- в процессе осуществления атаки.
- совершённые атаки.
Дополнительный тип СОВ – обманные системы.
Виды «обмана»:
-
Сокрытие – дополнительные меры, для того, чтобы злоумышленник не мог обнаружить данные.
-
Камуфляж – один объект КС выдается за другой КС (либо ПО).
-
Дезинформация – сообщение о том, чего нет.
Атаки на СОВ:
-
Обнаружение самой системы обнаружения вторжения.
-
Ослепление датчика – подать большой поток ложной информации, чтобы датчик не успевал её обнаруживать.
-
Отказ в обслуживании.
Меры уклонения от СОВ.
-
Фрагментация пакетов – пакеты разбиваются на части, а собираются за СОВ.
-
Отказ от значений по умолчанию.
-
Подмена адреса.
-
Изменение шаблона атаки.
-
Проблемы UNICODE.
Пример: ‘A’ – 30 способов.
‘E’ – 34;
‘I’ – 36;
‘O’ – 39;
‘U’ – 58.
“AEIOU” – 83060640 способов кодировки.
Модели систем обнаружения вторжений.
-
Модель Д. Деннинг (IDES). По записям аудита. Предполагается дискреционное разделение доступа.
Предположение: все нарушения безопасности могут быть обнаружены в результате просмотра записи аудита.
Компоненты модели:
-
Субъекты – инициаторы какой-либо активности.
-
Объекты – ресурсы системы.
-
Записи аудита – строка со следующими полями <Subject, Action, Object, Exception-Condition, Resource-Usage, Time-Stamp>.
-
Профили – структуры, характеризующие поведение субъектов по отношению к объектам. Профили записываются в терминах метрик и моделей деятельности.
Метрики:
- счетчик событий.
- временной интервал – промежуток времени между двумя связанными событиями.
- измерение ресурса – использованные ресурсы за некоторое время.
На основе метрик строится модель поведения. Х – метрика, то Х1,…,Хn – случайные величины. Должны подчиняться некоторому распределению f(x). Xn+1 – предсказывается. Xn+1 – наступившее. Xn+1 принадлежит [xn+1 – d, xn+1 + d].
Структура профиля.
-
Имя переменной;
-
Образец действия;
-
Образец исключения (условия);
-
Образец использования ресурса;
-
Период;
-
Тип переменной;
-
Пороговые значения;
-
Образец субъекта;
-
Образец объекта;
-
Значение переменной.
-
Записи об аномалиях. <событие, временная метка, профиль>.
-
Правила активности.
- запись аудита.
- обновление параметров.
- запись аномалий.
- периодический контроль аномалий.