Добавил:

Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.

Вуз:

Казахский национальный технический университет им. К. И. Сатпаева

Предмет:

[НЕСОРТИРОВАННОЕ]

Файл:

ПСЗБИ Зертханалык жумыс.doc

Скачиваний:

Добавлен:

01.05.2025

Размер:

3.76 Mб

Скачать

☆

1 / 101 2 3 4 5 6 7 8 9 10 > Следующая >>>

Псзби Лабораторная работа: 1 парольдік қорғау механизмін жүзеге асыру

Парольдік қорғау, парольдік қорғау механизмдері, функционалдың қызметі

Парольдік кіру функционалдық қызметі бойынша жүйені жүктеуді бақылау үшін, қызметін бақылау үшін, компьютерді тұйықтау үшін қолданылады. Жүктеуді бақылау мақсатында жүйені жүктер алдында қолданушыны идентификациялау және аутентификациялау процедурасы орнатылуы мүмкін. Мысалы, BIOS тіркелген жүйесімен. Бұл жағдайда жүйені тек рұқсаты бар қолданушы ғана жүктей алады. Жүктеу режимін беруге қатынас BIOS-тың штаттағы жабдықтарымен бақыланады, мұнда қолданушы аутентификациядан кейін жүйенің қайдан жүктелетінін орната алады - қаты дискіден бе, әлде сыртқы тасымалдағыштан ба, сонымен қатар жүктеу жабдықтарын таңдау кезектестігін көрсетеді. Қатынасты бақылау үшін парольді қолданудың маңызы зор. Мысалы, Windows NT/2000/XP операциялық жүйелерінде Safe Mode режимінде жүктеу үшін міндетті түрде қолданушы авторизациядан өтуі керек.

UNIX операциялық жүйелерінде осы іспеттес қауіпсіз режимде жүктеуді авторизациядан кейін “root” құқықты қолданушы ғана жүзеге асыра алады. Есептеу жүйесінің қызметін бақылау тапсырмаларын шешу үшін мынадай жіктеу ұсынылады:

Жүйеге қатынас қатынас құру кезінде қолданушыны бақылау. Сонымен қатар оны штаттық жабдықтармен де жүзеге асыруға болады.

Процесті жұмысқа қосу кезіндегі бақылау. Осының арқасында кейбір қосымшаларды жұмысқа қосқан кезде парольдік қорғау орнатылуы мүмкін.

Локальды ресурстарға қатынас құру кезіндегі бақылау. Мысалы, локальды баспа құрылғысына және басқа қатынас құруда, сонда-ақ жауапты тұлғаны аутентификациялауда қолданылуы мүмкін.

Желілік ресурстарға қатынас құру кезіндегі бақылау. Мысалы, ресурстарға қатынасты парольмен бөлуге болады. Windows ұяластықты операциялық жүйелер үшін METBIOS хаттамасы бойынша жалпы ресурстарға желілік қатынас осылай жүзеге асырылады.

Қолданушылардың рұқсатсыз қатынас құруынан қорғану үшін кейбір функциялар (қорғау жүйесі арқылы) тұйықталып тасталады, мысалы:

- Жүйені жүктеу

- Жүйеге қатынас құру

- Қолданушылар тіркеу жазбасы (идентификаторлар)

- Белгілі бір қосымшаларды жұмысқа қосу

Тұйықтауды алып тастау үшін қауіпсіздік администраторын немесе жауапты тұлғаны авторизациялау қажет.

Сонымен қатар, қолданушының өзі жүйеге қатынасты тұйықтау мақсатында пароль қоя алады. Қосымшадан тұйықтауды алып тастау үшін ағымдық қолданушы авторизациядан өту керек.

Осы жіктеулерді ескере отырып парольдік қорғау механизмдерін қолданудың функционалдық қызметі туралы мынадай қортынды жасалуы мүмкін.

Жүктеуді бақылау мақсатында жүйені жүктер алдында қолданушыны бақылау мүмкіндігін орнатуға болады. Сонымен қатар, қолданушыны бақылауды жүктеу тәсілін беру кезінде, жүктеу режимін беруге рұқсат беруде де жүзеге асыруға болады.
Қатынас құруды бақылау мақсатында қолданушыны жүйеге қатынас құру кезінде бақылауға болады. Сонымен қатар, процесті жұмысқа қосу кезінде (жауапты тұлғаның паролін орнату), сондай-ақ локальды және желілік ресурстарға қатынас құру кезінде бақылау мүмкіндігі бар.
Тұйықтауды алып тастау мақсатында қауіпсіздік бойынша администраторды немесе жауапты тұлғаны бақылау қолданылады. Сонымен қатар, қолданушы кейбір қосымшаларға тұйықтау қоя алады. Ол тұйықтауларды алып тастау үшін қолданушыны бақылау жүзеге асырылады.

Парольдік қорғаудың ерекшеліктері

Парольдік қажеттілік тұрғысынан қарағанда жіктелімде “қолданушы” деген ұғым бар, оған жататындар:

- жүйенің қолданбалы қолданушысы;

- администратор

- “жауапты тұлға”, оған бөлімше бастығын тағайындауға болады.

Жауапты тұлғаны авторизациялау қолданушының ресурстарға қатынас құруын (бәрінен бұрын процесті қосуға қатынасын) физикалық бақылау үшін орнатылуы мүмкін6 мұндағы бір ерекшелік, жауапты тұлғаны авторизациялау жүйеге қатынас құру кезінде емес, ағымдық қолданушының қызметін реттеу процесінде жүзеге асырылады.

Мысалы, сыртқы желіге , мысалы, Internet желісіне физикалық бақыланатын қатынас құруды қамтамасыз ету талабы қойылсын.Сәйкес қосымшаны жұмысқа қосуға жауапты тұлғаны авторизациялау механизмі орнатылады (оның тіркеу деректері қорғау жүйесінде сақталады). Олай болса, сәйкес қосымшаны жұмысқа қосу кезінде жауапты тұлғаны авторизациялау терезесі пайда болады, және қосымша сәтті орындалған авторизациядан кейін ғана орындалуға жіберілуі мүмкін және қосымша тек бір сеансқа ғана қосылады.

Осылайша,қосымша қорғалатын обьектінің локальды консолынан жауапты тұлға арқылы жұмысқа қосылады. Нәтижесінде, жауапты тұлға кімнің және қашан Internet желісіне қатынас құру мүмкіндігін сұрағанын біліп отыратын болады, себебі қатынас құруға рұқсат беруді және бермеуді өзі ғана шешеді. Егер қатынас құруға рұқсат берілсе, жауапты тұлға бұл процесті толық бақылауында ұстай алады, себебі қосымшаны жұмысқа қосу оның өзінің қатысумен ғана мүмкін болмақ.

Тіркеу жазбасы қажеттіліктерінің жіктелуімен сәйкес, тіркеу деректерін беру тәсілдерінің жіктелімі (идентификатолар мен парольдерді беру) де енгізілген.

Тіркеу деректерін белгілеуді тіркеу жазбасының егесі де, администратор да жүркізе алады.

Парольдік қорғау механизмдерін жүзеге асыру

Идентификатор мен парольді енгізуді компьютердің штаттық жабдықтары – кілтжиын, енгізу құрылғыларын (мысалы, дискорнатқыш – дискілерден), сондай ақ аутентификациялаудың мамандандырылған құрылғыларын да (барлық мүмкін болатын аппараттық кілттер, параметрлерді енгізудің биометриялық құрылғылары және т.б.) қолданып жүзеге асыруға болады. Енгізілетін және эталондық ақпаратты салыстыру үшін, қолданушылардың эталондық тіркеу деректері бір жерде сақталып тұру керек. Эталондық тіркеу деректері тікелей сол қорғалатын обьектіде сақталуы да мүмкін. Мұндай жағдайда, тіркеу деректерін енгізу кезінде жадыдан эталондық мәндер оқылады және енгізілетін деректермен салыстырылады. Сондай-ақ, эталондық деректер серверде де орналасуы мүмкін. Онда эталондық мәндер қорғалатын обьектіде сақталмайды, ал енгізілетін деректер серверге беріледі де, сол жерде эталонмен салыстырылады және тіркеу деректерін енгізген субьектіге қатынас құру мүмкіндігін беру немесе тыйым салу серверден жүзеге асырылады.

Таң қаларлығы, эталондық парольді қорғалатын обьектіде де, серверде де ашық түрде сақтау мүмкін емес, сондықтан парольді сақтау үшін қайтарымсыз түрлендіру (Хеш - функция) қолданылады,бұл парольдің қандай да бір образын құруға мүмкіндік береді – тура түрлендіру.

Бұл образ парольге сәйкес келеді, бірақ кері түрлендіруге мүмкіндік бермейді, яғни образдан пароль қалпына келмейді. Пароль образдары қорғалатын обьектіде сақтала беретін болады, себебі оларды білу қаскүнемге бастапқы парольді қалыпқа келтіруге мүмкіндік бермейді. Қайтарымсыз түрлендіруді жүзеге асыру үшін қазіргі таңда MD5 хештеу алгоритмі жиі пайдаланылады.

Парольдік қорғауды айналып өту қауіптері

Парольдік қорғауға төнетін негізгі қауіптердің жалпылама жіктелуі, 8.1-суретте көрсетілген. Бұл жіктелімге танымал қауіптер мен, потенциалды мүмкін болатын қауіптер статистикасына сәйкес мәліметтер жинақталған.

Енді қауіптерге түсінік берелік. Ашық қауіптердің бірі физикалық болып табылады - тасымалдағыштарды ұрлау (мысалы, парольдері бар дискілерді, парольдік ақпаратты қамтитын электрондық кілтті және т.б), сонымен қатар енгізу кезінде визуальды түсіріп алу да қауіп түрлеріне жатады, ұзын да күрделі парольдерді қолданған кезде қолданушылар ұмытып қалмас үшін оны сол сәтте жазып алады, бұл да физикалық ұрлау обьектісі болып табылады.

Техникалық анық қауіпке парольді іріктеуді жатқызуға болады –автоматтандырылған (қолданушы қолмен жасайды), немесе автоматты түрде арнайы программаның көмегімен парольдерді іріктеуге болады. Сонымен қатар, енгізілген және эталондық пароль мәндерін салыстыру үшін, парольдің эталондық мәні қолданатын обьектіде (немесе желідегі серверде) сақталуы керек. Бұл эталондық мән парольді сақтауға арналған сәйкес шараларды сақтамаған жағдайда (хештеу, пароль сақталған жады аумағына немесе реестрге қатынас құру мүмкіндігін шектеу) қаскүнемнің қолына оңай түсуі мүмкін. Ең қауіптісі, жасырын қауіптер болып табылады, мысалы:

- еңгізу кезінде парольді техникалық түсіріп алу;

- парольдік қорғау механизмін модификациялау;

- қорғалатын обьектідегі тіркеу деректерін модификациялау.

Сурет 8.1 Парольді қорғауды айналып өту қауіптерінің жалпы жіктелуі

Бірінші топқа жататын қауіптер ерекше. Пароль қандай да бір жолмен клавиатурадан, тіркелген немесе қосымша енгізу құрылғысынан, желіден (байланыс арнасы бойынша) жүйеге енгізілуі керек, және қаскүнем қорғалатын обьектіге келіп түсетін ақпаратты ұстауға мүмкіндік беретін сәйкес программаны орнату керек. Мұндай программалар ұсталған ақпаратты белгілі бір белгілері бойынша (оның ішіндегі парольді табу мақсатындағы да бар) автоматты түрде сүзгіден өткізуге мүмкіндік береді. Бұл программаларға кілтжиын снифері және байланыс арнасы мысал бола алады. Мысалы, кілтжиын снифері кілтжиында басылған пернелердің барлығын есте сақтап (пароль енгізілген кезде), сонан соң қосымша типтері бойынша оқиғаларды сүзгіден өткізуге мүмкіндік береді.

Қаскүнем осы іспеттес программаны орнатып, режимін беріп, жүйеге кірер кезде қандай да бір қолданушының ашық түрде паролін алатын болады.

Сонан соң, мысалы, трояндық программа бұл парольді желі арқылы басқа жұмыс станциясына бере алады. Осылайша, егер жүйеде бірнеше қолданушы тіркелген болса, онда бір қолданушы басқа бір қолданушының паролін біле алады да, жүйеге соңғысының паролімен қатынас құруға мүмкіндік алады және т.с.с.

Жасырын қауіптің екінші түрі – қаскүнем арқылы парольдік қорғау механизмін ажыратып тастау мүмкіндігі, мысалы, жүйені сыртқы тасымалдауыштан (CD-ROM немесе дискі орнатқыш) жүктеу. Егер парольдік қорғау механизмі қандай да бір процесс болатын болса (үстемелік қорғау жүйесінде), онда осы процесті жүйелік монитор жабдықтарымен, немесе қосымшалар мониторының жабдықтарымен тоқтатуға болады, мысалы, Far сұлбасында тіркелген жабдықтармен. Мұндай мүмкіндік Windows 9x/Me ОЖ-де бар.

Жасырын қауіптердің үшінші түрі - қорғалатын обьектідегі тіркеу деректерін модификациялауға негізделген. Бұл оларды ауыстырумен, немесе қорғау механизмінің баптауларын бастапқы күйге өзгертумен жүзеге асырылады. Бұған мысал ретінде BIOS-қа шабуылдайтын танымал программаны алуға болады - BIOS бақылау суммасын өзгерту арқылы BIOS баптауларын бастапқы күйге қайтару.

Осы айтылғандардан мынандай қорытынды жасауға болады:

Парольдік қорғау механизмі қанша сенімді болса да, ол өзі жеке басқа қорғау менханизмін қолданусыз, қорғалатын обьектінің жоғары деңгейлі қауіпсіздігін қамтамасыз ете алмайды.

1 / 101 2 3 4 5 6 7 8 9 10 > Следующая >>>

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]

#
13.03.201517.54 Кб31противовыбросовое.doc
#
24.11.201924.78 Кб6Профессиональная переподготовка может рассматри...docx
#
13.03.2015456.19 Кб12Профессиональная практика 5B050900.doc
#
01.05.2025342.62 Кб0прр курсак.docx
#
21.04.201530.43 Кб25ПРЯ.docx
#
01.05.20253.76 Mб0ПСЗБИ Зертханалык жумыс.doc
#
23.03.2016457.22 Кб131психология полный семестр семинары.doc
#
20.08.201916.45 Mб37ПТЦА ч2 КЛ.doc
#
20.08.20192.37 Mб27ПТЦА-2-2004.doc
#
01.05.20259.17 Mб0Путешествие в гештальт.doc
#
13.03.2015281.24 Кб10РІС Ерторе.docx