2915
.pdf
сетевые сервисы:
-файловые сервер (NFS-сервер, компьютер с разделяемыми дисками и директориями);
-FTP-сервер; -WWW-сервер.
Большая часть программ, которые работают на домашних компьютерах - это клиенты; но в последнее время на них появляется все больше программ-серверов. Программасервер, которая работает в фоновом режиме, называется демоном. Имеется много программ-демонов для работы в Интернет, например "inetd"(интернет-демон) или "talkd" (демон диалогов). В ходе своей работы эти программы ждут запросов от клиентов по сети на выполнение каких-либо операций.
Существует четыре важных вещи, о которых следует помнить, чтобы правильно решить проблемы с безопасностью из-за работы сервисов на домашнем компьютере:
Если ПК неправильно сконфигурирован, он очень уязвим к атакам через сеть. Жизненно важно при запуске сервисов знать, как их правильно сконфигурировать.
Все программы имеют ошибки, и эти ошибки могут быть использованы для проникновения в ПК. При обнаружении ошибки, связанной с безопасностью нужно либо прекратить им пользоваться, либо применить к нему "обновления" (или заплатки), которые приводят к исчезновению этой ошибки.
Некоторые сервисы начинают работать без предупреждения. Существуют WWW-браузеры и TELNETклиенты, которые автоматически запускают FTP-сервер. В принципе любая программа МОЖЕТ запустить сетевой демон. Единственный способ защититься от этого - знать те программы, которые вы используете.
Домашний пользователь, запускающий программу удаленного подключения к своей машине, подвергает себя серьезному риску. Этот сервис позволяет домашнему пользователю подключаться к своему домашнему компьютеру с других компьютеров в Интернет и может быть очень
247
удобным. Но есть опасность того, что кто-то может скрыто наблюдать за подключением пользователя, а затем, замаскировавшись под него, также подключиться к домашнему компьютеру и сделать с ним, что ему нужно.
ПСБ интернет-браузеров (почтовых клиентов).
К функциям безопасности броузеров (почтовых
клиентов) относятся обычно: |
|
Настройки обращение |
с cookies: принимать все / |
принимать выборочно / не принимать.
Настройки загрузки изображений: загружать / не загружать / не загружать в почтовых сообщениях.
Сохранение паролей: сохранять / не сохранять. Шифрование: управление возможностью загрузки
шифрованных страниц, выдача предупреждений. Использование сертификатов: механизм запрашивания /
обработки сертификата; проверка подлинности сертификата. Настройка выполнение сценариев и скриптов. Персональные брандмауэры (firewalls)
Рассмотрим, прежде всего, интегрированный пакет
―Norton Internet Security‖ for Win 95/98/NT4.0/2000. фирмы
Symantec Corp. Он включает в себя: |
|
|
|
|||
-Personal Firewall – персональный брандмауэр; |
|
|||||
-Privacy |
Control |
- управление |
защитой |
личных |
||
данных; |
|
|
|
|
|
|
-Parental Control – управление списком |
―запрещенных‖ |
|||||
сайтов и действий (защита детей); |
|
|
|
|
||
-Application |
Control - |
управление |
возможностью |
|||
установленных на ПК приложений работать с Интернет; |
||||||
-Internet |
Zone |
Control |
- |
управление |
списком |
|
доверенных и запрещенных компьютеров в Сети; |
|
|||||
-Antivirus – антивирусный компонент пакета. |
|
|||||
Norton Personal Firewall
Из основного окна программы можно обратиться к ее четырем основным разделам:
1) "Internet Status" - отображает краткую статистическую информацию: количество блокированных
248
запросов, Java аплетов, и т.п.
2) "Security" -устанавливает уровень защиты от хакеров и уровень доступа к личным данным. Регулирование происходит посредством передвижения бегунка по шкале с тремя делениями: ―Minimal", "Medium" и "High".
3) "Privacy" - устанавливает защиту личных данных, таких как e-mail адрес, номера кредитных карт. Регулировка
уровня защиты происходит так же, как и в разделе |
"Security". |
||||||
4) "Options", который реализует функции: |
|
|
|
||||
-работы с |
журналами |
- "View |
Event |
Log", |
"View |
||
Statistics" и "Clear Statistics"; |
|
|
|
|
|
||
-создания списка Web-серверов и установить, что |
|||||||
каждому из них можно делать с компьютером, |
а чего делать |
||||||
не положено – "Web"; |
|
|
|
|
|
||
-конфигурирования режимов работы с портами и |
|||||||
протоколами – "Firewall"; |
|
|
|
|
|
||
-тестирования установленных настроек - "Test". |
|
||||||
Другие известные брандмауэры: |
|
|
|
|
|||
LockDown |
2000 - довольно известный в |
России и |
|||||
простой в управлении. |
|
|
|
|
|
||
Функции: |
|
|
|
|
|
|
|
-распознает |
большое |
количество |
сигнатур |
троянских |
|||
программ и умеет |
сканировать диск на их наличие; |
|
|||||
- утилиты TraceRoute и Whois позволяют |
узнать кто вас |
||||||
атакует и проследить путь, по которому происходила |
атака; |
||||||
- имеет |
возможность |
просмотра |
открытых |
в сети |
|||
директорий и соединений с ними.
LanGuard (GFI FAX & VOICE) - состоит из трех частей:
Network monitor, LanGuard Configuration, Log Viewer: |
|
|||
Первая |
часть - |
Network monitor |
визуализирует |
|
результаты |
мониторинга. Пакеты, проходящие через |
|||
компьютер, наглядно представлены посредством |
цветных |
|||
диаграмм. Различными |
цветами обозначаются |
пакеты |
||
различных протоколов. |
|
|
|
|
Вторая часть - LanGuard Configuration. В ней |
||||
настраивается |
конфигурация программы. |
Все настройки |
||
|
|
249 |
|
|
поделены на три группы:
-контроль доступа из Интернет (Internet access control) -
позволяет добавлять и |
убирать протоколы для мониторинга; |
||
-обнаружение вторжений (Intrusion detection) - можно |
|||
настроить программу на поиск |
снифиров и установить |
||
действия, которые она |
выполнит, |
если поиск |
увенчается |
успехом; |
|
|
|
-общие настройки (General configuration) - |
сопоставить |
||
любому протоколу любой порт или несколько портов, затем прописать IP адрес своей машины и маску подсети, а также указать адрес прокси-сервера, установить стандартный режим оповещения.
Black ICE (Ice Network)
Black ICE имеет стандартное окошко, в которое выводятся все события, возникающие во время работы компьютера. Вы можете установить любой из четырех уровней защиты:
-‖Доверчивый" - вы не блокируете никакой трафик,
кроме того, который |
|
отдельно указан в списке адресов, |
|||
трафик с которых подлежит |
блокировке; |
|
|
||
-"Беспокойный" - |
|
помимо трафика |
с |
адресов из |
|
"черного" списка блокируются некоторые |
подозрительные |
||||
пакеты; |
|
|
|
|
|
-"Нервный" |
- |
|
блокируются |
большинство |
|
подозрительных пакетов; |
|
|
|
|
|
-"Параноидальный" |
- |
отсеиваются все подозрительные |
|||
пакеты.
Кроме "черного" списка, существует еще "белый"
список, то, есть, |
список адресов, с которых пакеты вообще не |
||
фильтруются. |
В |
этот |
список попадают адреса тех |
компьютеров, содержимому которых вы доверяете. |
|||
Об атаке |
на компьютер Black ICE предупреждает |
||
мерцанием своей иконки в углу панели задач.
250
17. СПЕЦИАЛИЗИРОВАННЫЕ ПРОГРАММНЫЕ СРЕДСТВА ДЛЯ ЗАЩИТЫ ИНФОРМАЦИИ В ЛОКАЛЬНЫХ СЕТЯХ
Локальные сети с точки зрения информационной безопасности характеризуются ограниченностью в пространстве (как правило, в пределах контролируемой зоны внутри одного здания), отсутствием прямых соединений с другими ЛС, единой транспортной средой (кабель, протоколы, интерфейсы).
Специализированные программные СЗИ для локальных сетей являются, как правило, надстройками над сетевыми ОС и обеспечивают более удобное управление их подсистемами безопасности (ПСБ), усиливают их штатные средства безопасности и (или) добавляют некоторые дополнительные функции безопасности. Специализированные программные средства для защиты информации в локальных сетях выполняют в основном следующие задачи:
-аутентификацию пользователей; -защиту от несанкционированного чтения/копирования;
-защиту от несанкционированных действий, изменяющих состояние КС (модификации, удаления, запуска программ);
-централизованное управление ПСБ ОС.
В данной лекции будут рассмотрены в основном отечественные разработки для защиты локальных сетей, что связано с их доминированием на рынке и наличием
соответствующих сертификатов. |
Первоначально |
продукты |
||
рассматриваемого класса СЗИ |
строились для |
ОС фирмы |
||
NOWELL, однако, с повсеместным распространением сетей на |
||||
основе |
Windows |
NT/2000 |
произошла |
постепенная |
переориентация фирм-производителей, и сейчас в их последних версиях упоминания о NOWELL почти нет. А производители, оставшиеся на старой платформе, фактически были вытеснены с рынка. Это отностися, например, к компании ―Атоминформ‖ - производителю комплекса "СнегЛВС", предназначавшегося для защиты от НСД локальных вычислительных сетей NetWare (до версии 4.1). Основой
251
―СНЕГ-ЛВС‖ являлся комбинированный комплекс средств защиты, включающий защищенную версию ОС MS DOS ("Снег") и дополнительные сетевые средства обеспечения безопасности ("Снег-ЛВС"), устанавливавшиеся на все рабочие станции и файл-серверы ЛВС. "Снег" обеспечивал разделение ресурсов каждой рабочей станции (дисков, каталогов, файлов) между несколькими пользопатслями от полного изолирования до общего использования, функции управления безопасностью ЛВС выполняюлись с рабочей станции администратора.
Дополнительно будет рассмотрено средство управления безопасностью сетей на основе ОС LINUX - WEBMIN.
17.1. Программные компоненты сетевых СЗИ
Программный комплекс “Рубеж” (версия 1.4)
ПК ―Рубеж‖ предназначен для использования на автономных ПЭВМ, функционирующих под управлением Windows NT, а также в вычислительных сетях с сетевой операционной системой Windows NT server 4.0 и содержит:
-Подсистему управления доступом. -Подсистему регистрации и учета (аудит). -Подсистему обеспечения целостности.
-Подсистему изоляции программной среды, предоставляемой каждому отдельному пользователю.
-Подсистему удаленного централизованного управления настройками системы защиты.
Комплекс обеспечивает: -защиту от НСД к ПЭВМ;
-идентификацию и усиленную аутентификацию пользователей;
- контроль целостности программ и данных, их защиту от несанкционированных модификаций;
-создание индивидуальной для каждого пользователя изолированной рабочей программной среды;
-запрет запуска неразрешенных программ;
252
-разграничение доступа пользователей к массивам данных и программам с помощью дискреционного контроля доступа;
-разграничение доступа пользователей и процессов к массивам данных с помощью мандатного контроля доступа, управление потоками информации;
-автоматическое ведение протокола регистрируемых событий;
-удаленное централизованное управление настройками системы защиты.
Механизмы аутентификации входа в ОС Windows NT и доступа к объектам ее файловой системы основаны на применении персональных ТМ-идентификаторов пользователей (устройств ―touch memory‖).
Объектами защиты, построенной на базе комплекса, являются:
-каталоги с файлами данных; -исполняемые файлы и динамические библиотеки
Windows NT.
Множество прав доступа пользователей к объектам защиты состоит из двух элементов:
-доступ разрешен - возможно открытие каталога с файлами данных или исполнение файла;
-доступ запрещен - использовать файл невозможно никаким образом.
Разграничение доступа пользователей к массивам данных осуществляется на уровне каталогов, доступ к которым может быть разрешен избирательно с помощью матрицы доступа (дискреционный контроль доступа), а также с помощью меток конфиденциальности, присваиваемых директориям, и уровням допуска, присваиваемых пользователям или процессам (мандатный контроль доступа). Механизм мандатного контроля доступа обеспечивает также управление потоками информации.
Контроль целостности критичных данных и используемого ПО производится до загрузки ОС (статический
253
контроль на основе программного кода в аппаратной части комплекса), а для программных модулей - перед их исполнением (динамический контроль с помощью ТМидентификаторов). Создание изолированной программной среды базируется как на статическом и динамическом контроле целостности объектов ОС, а также на механизме контроля запуска только разрешенных задач. Защита объектов выполняется по принципу ―белых списков‖ для пользователей
иосуществляется двумя путями:
-для файлов данных путем формирования прав доступа к содержащим их каталогам;
-для исполняемых файлов и динамических библиотек путем фиксации их целостности на основе вычисления хешфункций, зависящих от ключей доступа пользователей.
Для установки системы защиты на сложные программные комплексы (например, microsoft office), вызывающие большое число различных исполняемых модулей (дочерних процессов), необходимо составление исчерпывающих списков запускаемых задач. Для решения данной проблемы используются входящие в состав системы средства автоматизированного набора статистики запускаемых задач.
В комплекс входят также:
-подсистема аудита, осуществляюжая регистрацию попыток НСД;
-подсистема удаленного централизованного управления, позволяющая изменять настройки системы защиты с консоли Администратора системы.
Комплекс прошел испытания на соответствие требованиям РД Гостехкомиссии РФ "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации". Имеется сертификат Гостехкомиссии РФ (№ 282 от 30.11.99г.) о соответствии классу защищенности 1В.
254
Комплекс защиты от НСД к информации и ресурсам вычислительных сетей АккордСеть-NDS
Комплекс АккордСеть-NDS обеспечивает защиту сетевых ресурсов в гетерогенных вычислительных сетях с операционными системами: Nowell Netware (версии 4.11- 5); Windows NT Server 4.0; UNIX (HP-UX, Sun Solaris); Linux (Red Hat).
Комплекс АккордСеть-NDS использует и усиливает защитные функции, предоставляемые службами каталогов novell directory services (NDS). Выбор NDS в качестве основы защиты обусловлен тем, что это решение позволяет объединить функции управления и защиты сетевых ресурсов
для нескольких |
сетевых |
платформ. |
Сервер безопасности |
комплекса функционирует |
в среде |
netware5. Защита |
|
устанавливается не на все компьютеры сети, а только на те серверы и рабочие станции, защита которых необходима с точки зрения политики безопасности.
Для усиления защитных функций NDS комплекс АккордСеть-NDS содержит следующие подсистемы:
-Электронный замок при входе пользователя в рабочую станцию, в сеть, в консоль Серверов.
-Усиленные (по сравнению с NDS) программноаппаратные процедуры идентификации и аутентификации пользователей с использованием труднокопируемых идентификаторов-паролей на базе устройств touch memory.
-Программно-аппаратную процедуру подтверждения целостности среды рабочих станций и Серверов сети из гарантированно проверенного кода.
-Создание и поддержание изолированной программной среды на рабочих станциях и Серверах сети.
-Систему запрета запуска программ с несанкционированных носителей.
Управление мандатным доступом к сетевым ресурсам. Защищаемые сетевые ресурсы (пользователи, тома,
принтеры и т.д.) размещаются в разделах деревьев NDS. После этого защита указанных сетевых ресурсов реализуется как
255
защита указанных разделов NDS. Как правило, эти разделы
содержат |
пользователей |
|
одного |
функционального |
|
подразделения. |
Далее, |
в |
каждом |
функциональном |
|
подразделении управление системой защиты осуществляет
специально назначенный администратор |
безопасности. Для |
||
администраторов |
в |
комплексе |
АккордСеть-NDS |
предусмотрено рабочее место ―Консоль администратора‖.
Защита Серверов баз данных (oracle, informix, sql server )
осуществляется подсистемой, устанавливаемой на Сервере безопасности комплекса. При этом, доступ пользователей к Серверам баз данных разрешается только после прохождения ими процедур усиленной аутентификации в NDS.
После установки комплекса АккордСеть-NDS пользователи гетерогенной сети входят в сеть и получают доступ к назначенным им сетевым ресурсам (включая базы данных unix-серверов и NT-серверов) через вызов процедур усиленной идентификации и аутентификации в NDS. Попытки несанкционированного доступа (НСД) к сетевым ресурсам вызывают разрыв сетевого соединения и блокирование рабочей станции, с которой эта попытка НСД осуществлялась. Сообщение о попытке НСД в режиме реального времени поступает на консоль администратора безопасности и фиксируется в сетевом журнале NDS. Доступ к сетевому журналу NDS имеет только специально назначенный аудитор.
Управление системой защиты производится с одной или нескольких консолей администратора и включает следующие действия:
-управление разграничением доступа пользователей к сетевым ресурсам;
-получение в режиме реального времени сообщений о всех событиях НСД к сетевым ресурсам;
-просмотр журнала событий НСД; -управление системами защиты рабочих станций сети; -ревизия ПО рабочих станций сети.
Каждый защищаемый Сервер сети, каждая консоль администратора и каждая защищаемая рабочая станция
256