- •ЛЕКЦИЯ 9. СРЕДСТВА ЗАЩИТЫ
- •Содержание лекции
- •Разграничение доступа к
- •Структура каталога
- •Вектор доступа
- •Виды доступа к объекту
- •Надежность разграничения
- •Дополнительные биты в
- •Дополнительные биты в
- •SUID
- •Защита от угрозы
- •Дополнительные биты в
- •Права доступа к вновь
- •Назначение аудита
- •Основные требования политики
- •Аудит безопасности в ОС
- •Аудит безопасности в ОС
- •Аудит безопасности в ОС
- •Аудит безопасности в ОС
- •Другие параметры аудита
- •Аудит доступа к объектам
- •Расширенная политика
- •аудита (Windows 7 и
- •Администраторы и
- •Администраторы и
- •Аудит событий безопасности в
- •Аудит событий безопасности в
- •Сообщение аудита в ОС
- •Параметры аудита в ОС Unix
- •Расширение аудита в ОС
- •Защита информации в
- •Межсетевые экраны
- •Межсетевые экраны
- •Фильтрующие
- •Шлюзы сеансового уровня
- •Шлюз сеансового уровня
- •Шлюзы сеансового уровня
- •Шлюзы прикладного
- •уровня
- •Общие недостатки МЭ
- •Сканеры уязвимости
- •Сканеры уязвимости
- •Классификация сканеров
- •Сканеры уязвимости
- •Системы обнаружения
- •Системы обнаружения
- •Системы обнаружения
- •Системы контроля
- •Системы контроля
Аудит доступа к объектам
•Используется системный список контроля доступа SACL, содержимое которого формируется администратором системы.
•Элементы ACE списка SACL имеют один и тот же тип и содержат заголовок ACE, маску регистрируемых в журнале аудита прав доступа и SID пользователя или группы, чьи попытки доступа к объекту должны регистрироваться (если в ACE не указан SID, то регистрируются попытки доступа к объекту всех пользователей).
Расширенная политика
аудита (Windows 7 и старше)
Пример. Изменение аудита использования прав:
•Использование прав, не затрагивающее конфиденциальные данные.
•Использование прав, затрагивающее конфиденциальные данные.
•Аудит других событий использования прав.
аудита (Windows 7 и
старше)
Пример. Изменение аудита доступа к объектам:
•Файловой системы.
•Общих папок.
•Объектов ядра.
•Реестра.
•Диспетчера учетных записей безопасности.
•Других событий доступа к объектам.
•И другие параметры.
Администраторы и
аудиторы
• Для обеспечения безопасности информации в КС целесообразно разделить полномочия администраторов КС и аудиторов (пользователей с правами доступа к файлу аудита). Если этого не сделать, то возникнет ситуация, при которой установка параметров политики безопасности и проверка ее соблюдения сосредоточатся в одних руках.
Администраторы и
аудиторы
• В ОС Windows можно сделать так, что просматривать и очищать журнал аудита, а также управлять списками SACL объектов доступа смогут только члены группы аудиторов компьютерной системы (право «Управление аудитом и журналом безопасности»).
• Но полномочия на изменение значений параметров политики аудита при этом сохранятся у членов группы администраторов компьютерной системы.
Аудит событий безопасности в
ОС Unix
Системные журналы в Unix-системах сохраняются в каталогах /usr/adm (старые версии), /var/adm (более современные версии) или /var/log (некоторые версии Solaris, Linux и др.) в файлах:
•acct – регистрация команд, выполненных пользователем;
•loginlog – регистрация неудачных попыток входа;
•sulog – регистрация использования команды su;
•wtmp – регистрация входов и выходов пользователей, загрузки и завершения работы ОС;
•security – сообщения подсистемы безопасности;
•vold.log – регистрация ошибок внешних устройств и др.
Аудит событий безопасности в
ОС Unix
•Для регулярного архивирования и сохранения файлов системных журналов могут использоваться командные сценарии.
•В других Unix-системах каждый файл системного журнала из каталога /var/log обновляется в соответствии со своим набором правил.
•Многие Unix-системы имеют средства централизованного сбора информации о событиях (сообщениях) безопасности (сервис syslog).
Сообщение аудита в ОС
Unix
• имя программы, при выполнении которой было сгенерировано сообщение;
• источник сообщения (модуль операционной системы);
• приоритет (важность) сообщения;
• содержание сообщения.
Параметры аудита в ОС Unix
Каждая строка конфигурационного файла /etc/syslog.conf состоит из двух частей, разделяемых символом табуляции:
•селектора, в котором указываются приоритеты и источники регистрируемых сообщений (например, все сообщения об ошибках или все отладочные сообщения ядра системы);
•описания действия, которое должно быть выполнено при поступлении сообщения указанного типа (например, записать в системный журнал или отослать на терминал указанного пользователя).
Расширение аудита в ОС
Linux
В ОС Linux, начиная с версии ядра 2.6, существует возможность аудита попыток доступа к файлам и выполнения системных вызовов (демон auditd). Основные дополнительные возможности этой службы:
•Ротация файла аудита (его перезапись при переполнении).
•Задание максимального размера файла аудита.
•Аудит попыток доступа к файлам.
•Утилиты для определения параметров аудита, фильтрации записей аудита, формирования отчетов на основе журналов аудита.