Лабораторный практикум по НСД 2013
.pdf
151
2. Какие уязвимости более всего находит «Ревизор Сети»?
a)серьезные;
b)информация; с) уязвимость.
3.Могут ли поставленные обновления отрицательно повлиять на работу системы?
a)нет, обновления всегда положительно влияют на систему, уязвимостей становится всегда меньше;
b)может, т.к. обновления обновлениям рознь;
c)не имеет значения.
4.Что предлагается сделать на этом скрин-шоте (рис.4)?
Рис. 4.
a)выбрать ОС для установки;
b)закрыть ОС после установки;
c)экран можно пропустить.
5.Для чего необходимо создание виртуального компьютера?
a)для экономии памяти на рабочем компьютере;
b)для экономии памяти на рабочем сервере;
c)для того, чтобы не мешать работе сети.
6.Для чего необходимо устанавливать важные и высокоприоритетные обновления?
a)для обеспечения безопасной и надежной работы компьютера;
b)все перечисленное;
с) для защиты от новейших интернет-угроз.
152
4.5. ЛАБОРАТОРНАЯ РАБОТА № 8: КОНТРОЛЬ МЕХАНИЗМОВ ИДЕНТИФИКАЦИИ И АУТЕНТИФИКАЦИИ ПОЛЬЗОВАТЕЛЕЙ» ПРИ РАБОТЕ СО СРЕДСТВАМИ ЗАЩИТЫ ИНФОРМАЦИИ (СЗИ) ОТ НСД «АККОРД»
И«СОБОЛЬ», А ТАКЖЕ ПРОГРАММНЫМИ ПРОДУКТАМИ «НКВД 2.2»
И«НКВД 2.3»
Введение
К СЗИ, используемым при выполнении лабораторных работ относятся аппаратный модуль доверенной загрузки «Аккорд» и электронный замок «Соболь».
СЗИ от НСД «Аккорд» (рис.15.1) – аппаратный модуль доверенной загрузки (АМДЗ) для IBM-совместимых ПК – серверов и рабочих станций локальной сети, обеспечивающий защиту устройств и информационных ресурсов от несанкционированного доступа.
Доверенная загрузка – это загрузка различных операционных систем только с заранее определенных постоянных носителей (например, только с жесткого диска) после успешного завершения специальных процедур: проверки целостности технических и программных средств ПК (с использованием механизма пошагового контроля целостности) и идентификации/аутентификации пользователя.
Рис. 15.1. АМДЗ «Аккорд»
Электронный замок «Соболь» (рис.15.2) − аппаратно-программное средство защиты компьютера от несанкционированного доступа (аппаратно-программный модуль доверенной загрузки). Электронный замок «Соболь» может применяться как устройство, обеспечивающее защиту автономного компьютера, а также рабочей станции или сервера, входящих в состав локальной вычислительной сети.
153
Рис. 15.2. Электронный замок «Соболь»
Задача 1. Работа с учетными записями и журналом регистрации событий СЗИ «Аккорд» и «Соболь»
Цель: Изучение параметров учетных записей и работа с журналом доступа к автоматизированной системе (АС)
Рабочее задание
1.Среди двух доступных идентификаторов найти зарегистрированный в системе.
2.Ввести несколько паролей для зарегистрированного ТМ-идентификатора, среди которых также будут неправильные.
3.Просмотреть системный журнал регистрации событий, найти все попытки НСД.
Описание используемых средств защиты информации от несанкционированного доступа СЗИ «Аккорд»
Программно-аппаратный комплекс средств защиты информации от несанкционированного доступа для ПЭВМ «Аккорд» предназначен для применения на IBM-совместимых ПЭВМ в целях их защиты от несанкционированного доступа (НСД), идентификации, аутентификации пользователей, регистрации их действий, контроля целостности технических и программных средств, обеспечения режима доверенной загрузки в различных операционных средах при многопользовательском режиме эксплуатации ПЭВМ.
Комплекс представляет собой совокупность технических и программных средств, обеспечивающих выполнение основных функций защиты от НСД ПЭВМ на основе:
154
−применения персональных идентификаторов пользователей;
−парольного механизма; блокировки загрузки операционной системы со съемных носителей информации;
−контроля целостности технических средств и программных средств
ПЭВМ;
−обеспечения режима доверенной загрузки установленного в ПЭВМ. Программная часть комплекса, включает средства идентификации и аутен-
тификации, средства контроля целостности технических и программных средств ПЭВМ, средства регистрации действий пользователей, а также средства администрирования (настройки встроенного ПО) и аудита (работы с регистрационным журналом) и размещается в энергонезависимой памяти (ЭНП) контроллера при изготовлении комплекса. Доступ к средствам администрирования и аудита комплекса предоставляется только администратору БИ.
Идентификация и аутентификация пользователей, контроль целостности технических и программных средств ПЭВМ (РС) выполняются контроллером комплекса до загрузки операционной системы, установленной в ПЭВМ.
Процесс работы оператора (пользователя) на ПЭВМ, защищенной от несанкционированного доступа с использованием комплекса «Аккорд-АМДЗ», можно разделить на 3 этапа:
1). Выполнение контрольных процедур при запуске ПЭВМ.
2). Работа оператора (пользователя) в соответствии с функциональными обязанностями и правами доступа.
3). Выход из системы.
Контрольные процедуры делятся на обязательные – выполняемые при каждом запуске ПЭВМ и необязательные – устанавливаются администратором БИ при регистрации пользователей в соответствии с их правами по доступу к ПЭВМ, выполняются при наличии определенных условий (установленных администратором БИ ограничений по доступу).
К обязательным процедурам контроля относятся:
−процедура идентификации оператора (пользователя);
−процедура аутентификации (подтверждение достоверности) оператора (пользователя);
−контроль целостности аппаратной части ПЭВМ;
−проверка целостности системных областей диска и системных файлов;
−проверка целостности программ и данных.
К необязательным процедурам контроля относятся:
155
−процедура смены пароля, выполняемая, когда время жизни пароля превысило установленный администратором БИ интервал времени;
−проверка ограничения на время входа оператора (пользователя) в систему.
Процедура идентификации оператора (пользователя)
При включении ПЭВМ, защищенной комплексом «Аккорд-АМДЗ», управление загрузкой передается контроллеру комплекса, при этом вверху экрана вы-
водится сообщение: «Access system BIOS v…. copyright OKB SAPR …», после че-
го на экран выводится сообщение на синем фоне (рис.15.3).
Рис. 15.3. Диалог для идентификации
Окно остается на мониторе до момента контакта ТМ-идентификатора пользователя и съемника информации. В правом нижнем углу окна выводится отсчет времени, отведенного пользователю для предъявления своего ТМ-идентифика- тора. Если за отведенное время ТМ-идентификатор не предъявлен, на экран выводится сообщение на красном фоне «Таймаут». Возобновить процедуру идентификации можно только после перезагрузки ПЭВМ.
В случае если идентификатор пользователя не зарегистрирован в базе данных программно-аппаратного комплекса СЗИ НСД «Аккорд» (в память ТМидентификатора не записан секретный ключ пользователя), или, если пользователь недостаточно плотно приложил персональный ТМ-идентификатор к контактному устройству съемника информации, то на экран выводится сообщение (на красном фоне), сопровождаемое звуковым сигналом (рис.15.4).
Рис. 15.4. Сообщение об ошибке идентификации
Пользователю предлагается повторить процедуру идентификации. При успешном завершении процедуры идентификации оператора (пользователя) происходит выполнение процедуры аутентификации (подтверждения достоверности), для чего на экран монитора выводится запрос на введение пароля пользователя.
156
Процедура аутентификации
После идентификации оператора (пользователя), при условии, что ему при регистрации был задан пароль для входа в систему, на экран выводится сообщение на синем фоне (рис.15.5).
Рис. 15.5. Диалог для аутентификации
По этой команде необходимо набрать свой личный пароль, при этом буквы пароля выводятся на экран в виде звездочек, и нажать клавишу <Enter>. Время, отведенное для ввода пароля, отображается в правом нижнем углу сообщения так же, как при запросе персонального ТМ-идентификатора оператора (пользователя).
Если процедура аутентификации успешно завершилась, на экран выводится надпись на зеленом фоне (рис.15.6).
Рис. 15.6. Сообщение об успешной аутентификации
Контроллер переходит к следующему этапу – проверке целостности аппаратной части ПЭВМ. При неправильно введенном пароле на экран выводится надпись на красном фоне (рис.15.7)
Рис. 15.7. Сообщение об ошибке аутентификации
Оператору (пользователю) предлагается снова пройти процедуры идентификации и аутентификации (подтверждения достоверности). При троекратном неправильном вводе пароля ПЭВМ блокируется (выводится сообщение на красном фоне «Таймаут»). Продолжить работу можно только после перезагрузки ПЭВМ.
В случае если пользователю не назначен пароль, процедура аутентификации не выполняется и контроллер сразу переходит к проверке целостности аппаратной части ПЭВМ (при условии успешного выполнения идентификации). Если в процессе идентификации предъявлен идентификатор оператора (пользователя), который инициализирован в СЗИ «Аккорд» (в память ТМ-идентификатора записан секретный ключ пользователя), но на данной ПЭВМ этот ТМ-идентификатор не
157
зарегистрирован, то в этом случае все равно происходит запрос пароля пользователя. После ввода пароля выводится сообщение «Доступ не разрешен!», а номер ТМ-идентификатора заносится в системный журнал с пометкой «НСД». Такой алгоритм работы СЗИ повышает надежность защитных функций комплекса – злоумышленник не может определить причину отказа в доступе.
Системный журнал
При загрузке компьютера с установленным комплексом СЗИ НСД «Аккорд» справами администратора, на экран выводится стартовое меню (рис.15.8).
Рис. 15.8. Стартовое меню администратора
ВСЗИ «Аккорд-АМДЗ» ведется системный журнал, размещенный в энергонезависимой памяти контроллера. В журнал заносится информация о сеансах работы пользователей с указанием номера TM-идентификатора и все попытки несанкционированного доступа к компьютеру.
Вглавном меню выберите команду <Журнал> раздела администрирования
инажмите <Enter>. На экран выводится окно системного журнала. В левой колонке выводится дата и время начала сеанса работы, а для остальных событий этого сеанса выводится только время в виде смещения от начала работы. Во второй колонке выводится наименование выполненной операции. В третьей – серийный номер ТМ-идентификатора. В четвертой – результат операции. В самой верхней строке экрана после имени пользователя выводится процент заполнения области памяти контроллера, отведенной под системный журнал (рис.15.9). Выход из режима просмотра журнала по клавише <Esc>.
158
Рис. 15.9. Системный журнал регистрации событий Наименование и результат операций в системном журнале.
В табл.15.1 приведена сокращенная таблица обозначений в системном журнале, необходимая для выполнения лабораторных работ.
|
Таблица 15.1 |
|
|
|
|
Сокращение |
Название операции |
|
НС |
Начало сеанса |
|
ИА |
Идентификация\аутентификация |
|
ОК |
Успешное завершение |
|
ITM |
Незарегистрированный ТМ- |
|
|
идентификатор |
|
ТТМ |
Истекло время прикладывания ТМ- |
|
|
идентификатора к считывателю |
|
IPSW |
Неправильный пароль |
|
TPSW |
Истекло время ввода пароля |
|
КА |
Контроль аппаратуры |
|
СЗИ «Соболь»
Комплекс «Соболь» предназначен для предотвращения несанкционированного доступа посторонних лиц к ресурсам защищаемого компьютера. Комплекс «Соболь» реализует следующие основные функции:
– Идентификация и аутентификация пользователей компьютера при их входе в систему с помощью персональных электронных идентификаторов iButton,
eToken PRO, iKey 2032, Rutoken S, Rutoken RF S.
159
–Защита от несанкционированной загрузки операционной системы со съемных носителей – дискет, оптических дисков, ZIP-устройств, магнитооптических дисков, USB-устройств и др.
–Блокировка компьютера при условии, что после его включения управление не передано расширению BIOS комплекса «Соболь».
–Контроль целостности файлов и физических секторов жесткого диска до загрузки операционной системы;
–Контроль работоспособности основных компонентов комплекса – датчика случайных чисел, энергонезависимой памяти, персональных электронных идентификаторов.
–Регистрация событий, имеющих отношение к безопасности системы.
–Совместная работа с системами защиты семейства Secret Net, АПКШ «Континент», средствами защиты информации «Континент-АП» и «КриптоПро
CSP».
Комплекс «Соболь» может использоваться в качестве средства защиты от НСД к конфиденциальной информации, не содержащей сведения, составляющие государственную тайну, а также к информации, содержащей сведения, составляющие государственную тайну со степенью секретности «совершенно секретно» включительно.
Действие комплекса «Соболь» состоит в проверке полномочий пользователя на вход в систему. Если предъявлены необходимые атрибуты – персональный идентификатор и пароль, то пользователь получает право на вход. При их отсутствии вход в систему данного пользователя запрещается.
В комплексе «Соболь» реализованы следующие основные защитные механизмы:
–Идентификация и аутентификация пользователей.
–Блокировка загрузки ОС со съемных носителей.
–Контроль целостности файлов и секторов жесткого диска.
–Сторожевой таймер.
–Регистрация событий, имеющих отношение к безопасности системы.
Процедура идентификации оператора (пользователя)
Перед входом в систему отключите от USB-портов компьютера все устройства класса USB Mass Storage Device (flash-накопители, кардридеры, съемные жесткие диски и т. п.).
После включения ПЭВМ на экране появится окно с запросом персонального идентификатора (рис.15.10).
160
Рис. 15.10. Приглашение для идентификации
Если идентификатор предъявлен неправильно, то окно запроса останется на экране.
Процедура аутентификации
После успешного считывания информации из идентификатора на экране появится диалог для ввода пароля: пароль (рис.15.11).
Рис. 15.11. Приглашение для аутентификации
Этот диалог не появится на экране в том случае, когда пароль имеет нулевую длину (пустой пароль) или содержится в персональном идентификаторе.
Если введенный пароль не соответствует предъявленному идентификатору, в строке сообщений появится сообщение: «Неверный персональный идентификатор или пароль».
При успешном завершении тестирования на экране появится информационное окно, подобное рис.15.12.