- •1. Основные понятия и определения
- •Протоколирование и аудит
- •2. Источники, риски и формы атак на информацию
- •Определение понятия атаки
- •2.2 Виды атак
- •Инициаторы атак
- •Системы обнаружения атак
- •2.5 Классификация ids по используемым механизмам обнаружения атак
- •Методы анализа и корреляция данных
- •2.7 Архитектура ids
- •2.8 Перспективы развития
- •Представление данных в системах обнаружения атак.
- •Принятие решений, прогнозирование атак.
- •3. Политика безопасности
- •3.1 Суть проблемы
- •3.2 Определение
- •Формирование рекомендаций по формированию политики безопасности, необходимое по и оборудования.
- •3.4 Дискреционная политика (Discretionary policy)
- •Политика mls. (Многоуровневая политика безопасности)
- •4. Стандарты безопасности (классификация систем защиты)
- •4.1 Документы гтк по защите информации [4]
- •4.2 Классификация систем защиты по "Оранжевой книге"
- •4.2.1 Выбор класса защиты
- •Международные стандарты
- •Новый подход к безопасности
- •4.3.2 Содержание и основные идеи "Общих критериев"
- •4.3.3 Функциональные требования общих критериев
- •4.3.4 Требования гарантии "Общих критериев"
- •4.3.5 Классы безопасности компьютерных систем
- •4.3.6 Перспективы Общих критериев
- •4.3.6 Использование стандарта ”Общих критериев” в снг
- •Р ис. 5а. Схема симметричного шифрования
- •5.1 Алгоритмы с секретным ключом
- •5.1.1 Алгоритмы блочного шифрования
- •Стойкость des
- •Гост-28147-89
- •5.2 Алгоритмы с открытым ключом
- •5.2.1 Стандарт ассиметричного шифрования rsa
- •5.2.1.1 Генерация ключей
- •5.3 Комбинированный метод
- •6. Электронная цифровая подпись
- •Положение о эцп в России
- •6.2 Технология обработки и обмена электронными документами
- •7. Алгоритмы аутентификации пользователей
- •Определение и основные типы аутентификации
- •7.1.2 Общие политики аутентификации в Интернете
- •7.1.3 Политика администрирования паролей
- •7.1.4. Политика для устойчивой аутентификации
- •7.2 Протокол аутентификации Kerberos
- •7.2.1 Преимущества протокола Kerberos, версия 5
- •7.2.2 Пример работы протокола
- •7. 2.3 Особенности реализации протокола Kerberos в Windows 2000
- •7. 2.4 Условия использования протокола Kerberos
- •8. Многоуровневая защита корпоративных сетей
- •8.1 Особенности корпоративных сетей.
- •8.1.1 Наличие централизованной справочной службы
- •8.1.2 Серверы приложений
- •8.1.3 Асинхронность
- •Служба безопасности
- •9. Защита информации в сетях
- •9.1 Межсетевые экраны.
- •9.2 Коммутаторы (канальный уровень).
- •9.3 Сетевые фильтры (сетевой уровень).
- •9.4 Шлюзы сеансового уровня (сеансовый уровень).
- •9.4.1 Фильтры контроля состояния канала связи
- •9.4.2 Шлюзы, транслирующие адреса или сетевые протоколы
- •9.4.3 Посредники сеансового уровня
- •9.4.4 Общие недостатки шлюзов сеансового уровня
- •9.5 Посредники прикладного уровня (прикладной уровень).
- •9.6 Инспекторы состояния
- •9.7 Другие возможности межсетевых экранов
- •10. Средства анализа защищенности
- •10.1 Механизмы работы
- •10.2 Этапы сканирования
- •11. Виртуальные частные сети
- •11.1 Основные подходы к построению vpn
- •11.2 Классификация по типу реализации.
- •11.3 Vpn в системах Windows 2000
- •11.3.1 Аутентификация
- •11.3.2 Использование коммутируемых соединений
- •11.3.4 Создание и настройка vpn-подключения
- •12. Защищенные протоколы
- •12.1 Протокол Рoint-to-point tunneling protocol (pртр)
- •12.1.1 Особенности архитектуры
- •12.1.2 Обеспечение безопасности
- •12.2 Протокол l2f
- •12.3 Протоклы ipSec
- •12.3.1 Распределение функций между протоколами ipSec
- •12.3.2 Безопасная ассоциация
- •12.3.3 Транспортный и туннельный режимы
- •12.4 Протокол Secure Socket Layer (ssl)
- •12.4.1 Принцип работы
- •13.1 Локальная безопасность на уровне системы
- •13.1.2 Остальные субъекты локальной безопасности
- •13.2 Безопасность на уровне домена
- •13.3 Безопасность на уровне домена и локальная безопасность
- •14. Безопасность в unix
- •14.1 Система идентификации и аутентификации в unix-подобных ос
- •14.1.1 Пользователи и группы
- •Добавление пользователей
- •14.1.3 Удаление пользователей
- •14.1.4 Группы
- •14.2 Безопасность файловой системы в unix-подобных ос
- •14.2.1 Атрибуты процессов и элементов файловой системы
- •14.3 Права доступа
- •14.3.1 Команды используемые для работы с правами доступа
- •3. Назначение прав доступа по умолчанию.
- •4. Изменение владельца файла и его группы
- •14.4 Доверительные отношения
12.4.1 Принцип работы
Когда SSL-совместимый браузер (Netscape Navigator, Microsoft Internet Explorer) и Web-сервер (Apache, Microsoft Internet Information Server) устанавливают между собой связь, они удостоверяют подлинность друг друга с помощью цифровых сертификатов. Цифровые сертификаты выдаются доверенными независимыми органами и используются для формирования открытых ключей.
По окончании процедуры первичной аутентификации браузер посылает серверу секретный код длиной 48 байт (это «главный секрет»), зашифрованный с помощью открытого ключа сервера. Web-сервер расшифровывает переданный ему секретный код, используя свой закрытый ключ.
Затем генерируется набор симметричных ключей, которые применяются браузером и сервером для шифрования и дешифрования данных во время сеанса. Алгоритмы шифрования можно явным образом настраивать или согласовывать для каждого сеанса; наиболее употребительные стандарты шифрования — Data Encryption Standard и RC4.
По завершении описанного начального процесса в сети устанавливается безопасный туннель, после чего можно приступать к передаче конфиденциальных данных.
Описанные процедуры первичной аутентификации и генерации ключей прозрачны для пользователей, но отнюдь не прозрачны для Web-серверов. Начальный процесс должен выполняться для каждого пользовательского сеанса, а это тяжелым бременем ложится на ресурсы центрального процессора сервера и приводит к серьезным перегрузкам. По данным компании Meta Group, при установленных защищенных сеансах SSL стандартный Web-сервер способен обработать лишь от 1 до 10% своей обычной нормы обращений.
Снижение производительности при обработке SSL влечет за собой ряд малоприятных последствий:
транзакции электронной коммерции проводятся медленнее, поэтому повышается вероятность того, что клиент аннулирует заказ и обратится на сайт конкурента;
для того чтобы полностью справиться с нагрузкой, приходится устанавливать дополнительные Web-серверы;
информация, нуждающаяся в защите, оказывается незащищенной, что увеличивает риск;
для передачи секретной информации приходится использовать более дорогие схемы организации частных сетей.
Таким образом, компаниям следует тщательно выбрать, для каких из Web-страниц организовывать такую защиту.
Для решения проблем быстродействия, вызываемых интенсивным потреблением процессорных ресурсов протоколом SSL, была предложена концепция специализированных устройств — SSL-ускорителей. Это особые компоненты сетевой инфраструктуры, предназначенные для выполнения функции SSL, при этом не обременяя Web-сервер. Благодаря оптимизации аппаратного и программного обеспечения специализированный ускоритель SSL может обслуживать в 10–40 раз больше сеансов SSL, чем стандартный Web-сервер. К тому же ускорители SSL позволяют высвободить ресурсы сервера для более рациональной обработки логики приложений и выполнения операций просмотра баз данных, тем самым ускоряя работу всего сервера.
Интегрировать SSL-ускоритель в сеть довольно просто. Коммутатор, с функцией балансировки нагрузки настраивается на переадресацию запросов к порту 443 (HTTPS) в ускоритель. После этого ускоритель берет на себя все обязанности по обработке SSL, и нагрузка на Web-серверы тут же падает. По мере роста объемов безопасного трафика можно развертывать дополнительные устройства ускорения обработки SSL — для администратора это не составит особого труда.
Недавно было предложено интегрировать функции SSL-ускорителей в устройства кэширования информационного наполнения Web, ускоряющие доставку Web-страниц. Главное преимущество такого подхода в том, что подобный кэширующий сервер выполняет и обработку SSL, и доставку объектов информационного наполнения.
Предположим, что пользователь обратился к Web-странице, содержащей 30 встроенных объектов. Серверный ускоритель с интегрированной поддержкой SSL выполнит начальную подготовку сеанса, установит безопасный туннель и передаст клиенту все объекты. Перед Web-серверами ставится только задача получить динамические элементы данных, например, стоимость портфеля ценных бумаг или медицинские записи. В итоге пользователь получает страницу в несколько раз быстрее, чем обычно.
Серверный ускоритель с поддержкой SSL дает возможность широко использовать протокол SSL для безопасного обмена информацией в инфраструктуре Web. В итоге посетителям Web-сайтов гарантируется быстрая доставка защищенных страниц и быстрое выполнение защищенных транзакций.
SSL защищает данные при их передаче от точки к точке, чаще всего между Web-браузером и Web-сервером. Как только данные появляются в пункте назначения, за их безопасность SSL больше не отвечает.
13. Безопасность в Windows 2000
Как известно, надежность цепи определяется самым слабым ее звеном. Если говорить о системе безопасности организации, здесь самым слабым звеном является элементарное незнание принципов защиты Windows NT. Даже если произошел переход на платформу Windows 2000, все равно — знание основ системы безопасности NT послужит неоценимым подспорьем для работы с Windows 2000.
Многие ошибочно полагают, что система безопасности NT является централизованной и что основной контроллер домена (PDC) целиком и полностью контролирует безопасность домена. Но, к сожалению, система безопасности NT — децентрализованная. Она представляет собой сложную комбинацию тесно связанных между собой «зон ответственности», таких, как политика учетных записей, права пользователей, политики аудита, списки контроля доступа, административные полномочия и системные службы. Причем все еще больше усложняется при работе в домене и при установлении доверительных отношений. Хотя политика безопасности на уровне домена влияет на каждую систему, входящую в состав домена, тем не менее рабочие станции NT и серверы, не являющиеся контроллерами домена (DC), функционируют как вполне самостоятельные единицы со своими настройками безопасности. И более того, можно говорить об управлении локальной безопасностью на нескольких уровнях (системном и объектном).
Чтобы сконфигурировать систему безопасности домена, нужно ясно понимать алгоритм взаимовлияния политики безопасности на уровне домена и локальной системы безопасности рабочей станции. Кроме того, необходимо знать, как работает система безопасности на каждом уровне.