32. Що таке політика безпеки?

Політика безпеки організації - сукупність керівних принципів, правил, процедур і практичних прийомів в області безпеки, які регулюють управління, захист і розподіл цінної інформації.

Політика безпеки залежить:

• від конкретної технології обробки інформації;

• від використовуваних технічних і програмних засобів;

• від розташування організації;

Політика безпеки - це набір налаштовуваних правил, яким слідує середовищу CLR при визначенні дозволів, що надаються кодом. Код визначається своїм файлом збірки, який є або виконуваним файлом (з розширенням EXE), або бібліотекою динамічної компонування (з розширенням DLL). Середовище виконання перевіряє характеристики збірки, наприклад веб-сайт або зону походження коду, щоб визначити можливість доступу коду до ресурсів. Ці характеристики визначаються об'єктом System.Security.Policy.Evidence, пов'язаним із збіркою. Для об'єкта Evidence збірки, як правило, встановлюються значення Url, Zone, StrongName і Hash. Під час виконання середовище виконання використовує Evidence з метою надання кодом доступу тільки до тих ресурсів, для яких він отримав дозвіл.

Політика безпеки визначає кілька груп коду і призначає кожному з них набір дозволів. Система безпеки використовує клас Evidence для визначення груп коду, до яких належить складання. Після розгляду всіх свідоцтв збірка зв'язується з однією або декількома групами коду, і результуючий набір наданих дозволів складається з усіх наборів дозволів, пов'язаних з відповідними групами коду.

Збірки, розташовані на комп'ютері, з якого вони повинні запускатися, за замовчуванням належать зоні MyComputer. Завдяки свідченням зони MyComputer код поміщається в групу коду My_Computer_Zone і отримує дозвіл повної довіри. Набір дозволів повної довіри дозволяє не виконувати перевірки безпеки і надає кодом доступ до всіх захищених ресурсів. З цієї причини настійно рекомендується встановлювати на комп'ютері програми лише з повністю довірених джерел. У платформі. NET Framework версії 3.5 з пакетом оновлень 1 (SP1), повна довіра поширюється не тільки на збірки, встановлені на комп'ютері, але і на код, що запускається з інтрамережі. І в цьому випадку запускатися повинні тільки повністю довірені додатки інтрамережі. Адміністратори політик безпеки можуть відновити раніше застосовувалася політику надання додаткам інтрамережі статусу частково довірених.

Хоча політика безпеки за замовчуванням підходить для більшості ситуацій, адміністратори можуть змінити або налаштувати її відповідно до вимог конкретної організації. Середа виконання надає дозволи як для зборок, так і для доменів додатків, заснованих на політиці безпеки.

Рис. Локальная политика безопасности

32. Як забезпечується безпека в мережах Wi-Fi

Методи шифрування у бездротових мережах

1) Протокол WEP (Wired Equivalent Privacy). Даний протокол заснований на потоковому шифрі RC4. У даний час в шифрі RC4 були знайдені численні уразливості, тому, з точки зору безпеки, використовувати WEP не рекомендується. WEP шифрування може бути статичним або динамічним. При статичному WEP-шифруванні ключ не змінюється. При динамічному, після певного періоду, відбувається зміна ключа шифрування.

2) Протокол WPA (Wi-Fi Protected Access). Даний протокол є тимчасовим стандартом, про який домовилися виробники устаткування, поки не набув чинності стандарт IEEE 802.11i. По суті, WPA = 802.1X + EAP + TKIP + MIC, де: EAP (Extensible Authentication Protocol) – протокол розширеної аутентифікації, TKIP (Temporal Key Integrity Protocol) – протокол інтеграції тимчасового ключа (безпосередньо протокол шифрування), MIC (Message Integrity Check) – технологія перевірки цілісності повідомлень. Аутентифікація може реалізуватись за допомогою RADIUS (Remote Authentication Dial-In User Service) сервера (WPA-Enterprise) та за допомогою попередньо встановленого ключа (WPA-PSK).

Згаданий протокол TKIP використовує той же шифр RC4 що і WEP, але тепер IV має довжину 48 біт, крім цього доданий протокол Michael для перевірки цілісності повідомлень (MIC). Якщо протягом хвилини буде надіслано понад два пакети, що не пройшли перевірку, то бездротовий клієнт буде заблокований на одну хвилину. Тепер RC4 вже використовується не у «чистому вигляді» як у WEP, містить заходи проти відомих атак на цей шифр. Однак, оскільки RC4 залишається уразливим шифром, то відповідно і TKIP вважається уразливим.

3) Протокол WPA2 (Wi-Fi Protected Access 2). Даний протокол є згаданим раніше стандартом IEEE 802.11i. У якості основного шифру був обраний стійкий блоковий шифр AES. Система аутентифікації, у порівнянні з WPA, зазнала мінімальних змін. Як і у його попередники, аутентифікація може реалізуватись двома методами (WPA2-Enterprise та WPA2-PSK). Для криптографічної обробки використовується стандарт AES-CCMP, тобто для шифрування – AES, а розподіл ключів та перевірка цілісності виконана у одному компоненті CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol).

Методи обмеження доступу до бездротових мереж

Взагалі, методів обмеження доступу по суті є два – це відключення широкомовного розсилання ESSID (ідентифікатор точки доступу, а фактично – ім’я бездротової мережі) та фільтрація MAC-адрес.

У першому випадку AP не передає у відкриту свій ESSID. Для підключення до такої мережі потрібно знати її ESSID, у іншому випадку підключення неможливе.

У другому випадку можливі такі три варіанти конфігурації:

• AP приймає з'єднання з всіма бездротовими пристроями, незалежно від їх MAC-адреси;

• AP не приймає з'єднання з бездротовими пристроями, MAC-адреси яких задані у списку безпосередньо на самому пристрої. Усі інші пристрої можуть підключатися;

• AP приймає з'єднання лише з тими пристроями, MAC-адреси яких задані у списку безпосередньо на самому пристрої. Усі інші пристрої не можуть підключатися

З точки зору безпеки рекомендується завжди використовувати 3 режим.

Основні способи захисту бездротових мереж:

• Фільтрація MAC-адрес. У цьому випадку адміністратор складає список MAC-адрес мережевих карт клієнтів. У разі декількох АР необхідно передбачити, щоб MAC-адреса клієнта існувала на усіх, щоб він міг безперешкодно переміщатися між ними. Проте, цей метод захисту дуже легко подолати, так що поодинці його використовувати не рекомендується.

• ESSID – використання системи мережевих ідентифікаторів. При спробі клієнта підключитися до АР на нього передається семизначний алфавітно-цифровий код. Використовуючи мітку SSID, можна бути упевненим, що до мережі зможуть під'єднатися тільки клієнти, що знають його.

• Firewall. Доступ до мережі повинен здійснюватися за допомогою IPSec, Secure Shell або VPN, брандмауер повинен бути налаштований на роботу саме з цими мережевими з'єднаннями.

• AP треба налаштувати на фільтрацію MAC-адрес, крім того, фізично сам пристрій необхідно ізолювати від оточуючих. Рекомендується також конфігурувати точку тільки по telnet (мережевий протокол для реалізації текстового інтерфейсу по мережі), відключивши можливість конфігурації через браузер або SNMP (Simple Network Management Protocol – простий протокол керування мережею).