3. Служба аутентификации X.509.

Разработана ITU.

X.509v1 – 1988г.

X.509v2 – 1993г.

X.509v3 – 1995г.

Сертификаты X.509v3 (открытых ключей)

RSA, хэш-функция X.509(v1).

Убрали хэш-функцию.

Изначально стандарт для аутентификации, очень широко используются сертификаты. Сертификаты выпускаются удостоверяющим центром (УЦ) – организация либо просто сервер, которые выпускают сертификаты. Сертификат привязывается к УЦ. Внутренний документооборот – организация может создать свой УЦ в зависимости от документооборота. Сертификаты хранятся в открытом виде в службе каталогов.

Структура сертификата:

1. Версия сертификата (по умолчанию 1).

2. Порядковый номер.

3. Идентификатор алгоритма подписи.

4. Имя объекта, выдавшего сертификат.

5. Срок действия – пара значений – когда выпущен и когда заканчивается.

6. Имя субъекта – кому выдан данный сертификат, уникальный идентификатор.

7. Информация об открытом ключе – сам открытый ключ + идентификатор алгоритма.

Следующие пункты появились в v2.

8. Уникальный идентификатор объекта, выдавшего сертификат.

9. Уникальный идентификатор субъекта.

Следующие пункты появились в v3.

10. Дополнения.

11. Подписи УЦ.

Сертификат в рамках стандарта записывается в таком виде: Y <<X>>.

УЦ – Y, субъект – Х.

Есть пользователь А и В из разных УЦ. Для того, чтобы они могли взаимодействовать, выписываются сертификаты:

Y1 <<Y2>>, Y2 <<Y1>>

A  B: Y1 <<A>>

B  Y2: ? Y2 <<Y1>>

Y2  B: Y2 <<Y1>>

B: Y2 <<Y1>> Y1 <<A>>

Взаимодействие между серверами строится по сертификатам открытых ключей.

Yn <<Yn-1>> Yn-1 <<Yn-2>> … Y2 <<Y1>> Y1 <<A>>.

Пример.

W<<X>>

X<<W>>

X<<A>>

Z<<B>>

Y<<V>>

V<<Y>>

Z<<Y>>

Y<<Z>>

Z<<B>>

X<<W>>W<<V>>

V<<Y>>Y<<Z>>

Z<<B>>

Отзыв сертификатов:

1. Компрометация субъекта.

2. Компрометация УЦ.

CRL – список отзывов.

1. Одношаговая

A  B: E_A(t_A, R_A, B, [Data, E_B(K_AB)]), CERT (A)=Y<<A>>.

2. Двухшаговая.

1. -//-

2. B  A: E_B(t_B, R_B, A, R_A, [Data, E_A(K_BA)]).

3. Трёхшаговая.

1. -//-

2. -//-

3. A  B: E_A(R_B).

V3. Дополнения.

Возможны дополнения трех видов:

1. Информация о ключах и политиках.

1. Идентификатор ключа УЦ.

2. Идентификатор ключа субъекта.

Связка ключей, каждому ключу сопоставляется идентификатор.

3. Использование ключа.

4. Срок использования ключа.

5. Политики сертификации. Ограничение на использование сертификата.

6. Отображение политик – взаимодействие между центрами сертификации.

2. Субъекты сертификации и атрибуты центра.

1. Альтернативное имя субъекта.

2. Альтернативное имя центра сертификации.

3. Атрибуты каталога X.500.

3. Ограничение маршрута сертификации.

1. Основные ограничения.

2. Ограничение имен.

3. Ограничение политик.

Бит критичности – указываются, являются ли дополнения критичными или нет.

29.09.11 г.

4. Система обнаружения вторжения.

СОВ(IDS) – программно-аппаратный комплекс, обнаруживающий факто вторжения в КС по анализу контролируемых и собираемых данных.

Характеризуются двумя видами ошибок:

1 рода – ложная тревога.

2 рода – пропуск. Было вторжение, а система не сработала.

Классификация СОВ.

1. Подход к обнаружению.

- по сигнатуре.

- по аномальному поведению.

- гибридный подход – когда применяется и то, и другое.

2. Защищаемая система.

- хостовые.

- сетевые.

- гибридные.

3. По структуре.

- централизованная.

- децентрализованная.

4. По источнику данных.

- сетевые пакеты.

- записи аудита.

- объекты системы.

5. Реакция системы.

- пассивные.

- активные.

6. Время анализа.

- в реальном времени (real-time).

- отложенный анализ (interval-based).

7. По этапу обнаружения атаки.

- системы анализа защищенности.

- в процессе осуществления атаки.

- совершённые атаки.

Дополнительный тип СОВ – обманные системы.

Виды «обмана»:

1. Сокрытие – дополнительные меры, для того, чтобы злоумышленник не мог обнаружить данные.

2. Камуфляж – один объект КС выдается за другой КС (либо ПО).

3. Дезинформация – сообщение о том, чего нет.

Атаки на СОВ:

1. Обнаружение самой системы обнаружения вторжения.

2. Ослепление датчика – подать большой поток ложной информации, чтобы датчик не успевал её обнаруживать.

3. Отказ в обслуживании.

Меры уклонения от СОВ.

1. Фрагментация пакетов – пакеты разбиваются на части, а собираются за СОВ.

2. Отказ от значений по умолчанию.

3. Подмена адреса.

4. Изменение шаблона атаки.

5. Проблемы UNICODE.

Пример: ‘A’ – 30 способов.

‘E’ – 34;

‘I’ – 36;

‘O’ – 39;

‘U’ – 58.

“AEIOU” – 83060640 способов кодировки.

Модели систем обнаружения вторжений.

1. Модель Д. Деннинг (IDES). По записям аудита. Предполагается дискреционное разделение доступа.

Предположение: все нарушения безопасности могут быть обнаружены в результате просмотра записи аудита.

Компоненты модели:

1. Субъекты – инициаторы какой-либо активности.

2. Объекты – ресурсы системы.

3. Записи аудита – строка со следующими полями <Subject, Action, Object, Exception-Condition, Resource-Usage, Time-Stamp>.

4. Профили – структуры, характеризующие поведение субъектов по отношению к объектам. Профили записываются в терминах метрик и моделей деятельности.

Метрики:

- счетчик событий.

- временной интервал – промежуток времени между двумя связанными событиями.

- измерение ресурса – использованные ресурсы за некоторое время.

На основе метрик строится модель поведения. Х – метрика, то Х1,…,Хn – случайные величины. Должны подчиняться некоторому распределению f(x). X_n+1 – предсказывается. X_n+1 – наступившее. Xn+1 принадлежит [x_n+1 – d, x_n+1 + d].

Структура профиля.

1. Имя переменной;

2. Образец действия;

3. Образец исключения (условия);

4. Образец использования ресурса;

5. Период;

6. Тип переменной;

7. Пороговые значения;

8. Образец субъекта;

9. Образец объекта;

10. Значение переменной.

5. Записи об аномалиях. <событие, временная метка, профиль>.

6. Правила активности.

- запись аудита.

- обновление параметров.

- запись аномалий.

- периодический контроль аномалий.