- •Техники и технологии управления доступом План
- •1. Управление доступом на основе правил
- •2. Ограниченный пользовательский интерфейс
- •3. Матрица контроля доступа
- •Таблицы разрешений
- •Списки контроля доступа
- •4. Контентно-зависимое управление доступом
- •5. Контекстно-зависимое управление доступом
- •6. Администрирование доступа
- •6.1. Централизованное администрирование управления доступом
- •6.1.1. Radius
- •6.1.2. Tacacs
- •6.1.3.Diameter
- •6.1.4.Мобильный ip.
- •6.2. Децентрализованное администрирование управления доступом
- •7. Методы управления доступом
- •7.1. Уровни управления доступом
- •7.2. Административный уровень
- •Политики и процедуры
- •Управление персоналом
- •Структура надзора
- •Тренинги и повышение осведомленности по вопросам безопасности
- •Тестирование
- •7.3. Физический уровень
- •Сегментация сети
- •Защита периметра
- •Управление компьютерами
- •7.4. Технический уровень
- •Доступ к системам
- •Сетевая архитектура
- •Доступ к сети
- •Шифрование и протоколы
- •8. Типы управления доступом
- •8.1. Превентивные: Административные
- •8.2. Превентивные: Физические
- •8.3. Превентивные: Технические
- •9. Подотчетность
- •9.1. Анализ журналов регистрации событий
- •9.2. Мониторинг нажатия клавиш
- •9.3. Защита данных аудита и журналов регистрации событий
- •10. Практика управления доступом
- •Несанкционированное разглашение информации
- •Повторное использование объекта
- •Защита от утечки информации по техническим каналам
- •11. Мониторинг управления доступом
- •11.1. Выявление вторжений
- •Ids уровня сети
- •Ids уровня хоста
- •Выявление вторжений на основе знаний или сигнатур
- •Ids на основе состояния
- •Выявление вторжений на основе статистических аномалий
- •Ids на основе аномалий протоколов
- •Ids на основе аномалий трафика
- •Ids на основе правил
- •Сенсоры ids
- •Сетевой трафик
- •11.2. Системы предотвращения вторжений
- •Хосты-приманки
- •12. Угрозы управлению доступом
- •12.1. Атака по словарю
- •Контрмеры
- •12.2. Атака полного перебора (брутфорс-атака)
- •Контрмеры
- •12.3. Подделка окна регистрации в системе
- •Контрмеры
- •12.4. Фишинг
- •Контрмеры
- •12.5. Кража личности
- •13. Резюме
Л.2 БИС НСД. Управление доступом. .
Техники и технологии управления доступом План
1. Управление доступом на основе правил………………………………..2
2. Ограниченный пользовательский интерфейс…………………………..3
3. Матрица контроля доступа………………………………………………5
4. Контентно-зависимое управление доступом……………………………7
5. Контекстно-зависимое управление доступом…………………………..7
6. Администрирование доступа…………………………………………….9
6.1. Централизованное администрирование управления доступом…….10
6.1.1. RADIUS……………………………………………………………….11
6.1.2. TACACS………………………………………………………………12
6.1.3. Diameter……………………………………………………………….18
6.1.4. Мобильный IP………………………………………………………..19
6.2. Децентрализованное администрирование управления доступом….22
7. Методы управления доступом…………………………………………..24
7.1. Уровни управления доступом……………………………………………24
7.2. Административный уровень……………………………………………..25
7.3. Физический уровень………………………………………………………28
7.4. Технический уровень……………………………………………………..31
8. Типы управления доступом…………………………………………………35
8.1. Превентивные: Административные……………………………………..38
8.2. Превентивные: Физические………………………………………………38
8.3. Превентивные: Технические……………………………………………..39
9. Подотчетность………………………………………………………………41
9.1. Анализ журналов регистрации событий…………………………………45
9.2. Мониторинг нажатия клавиш……………………………………………46
9.3. Защита данных аудита и журналов регистрации событий…………….48
10. Практика управления доступом………………………………………….50
11. Мониторинг управления доступом………………………………………53
11.1. Выявление вторжений…………………………………………………..53
11.2. Системы предотвращения вторжений…………………………………68
12. Угрозы управлению доступом……………………………………………71
12.1. Атака по словарю………………………………………………………..72
12.2. Атака полного перебора (брутфорс-атака)…………………………….73
12.3. Подделка окна регистрации в системе…………………………………74
12.4. Фишинг…………………………………………………………………..75
12.5. Кража личности………………………………………………………….79
13. Резюме………………………………………………………………………80
После того как компания решит, какой тип модели управления доступом она собирается использовать, она должна определить и усовершенствовать свои техники и технологии для поддержки этой модели.
Рассмотрим различные существующие технологии, поддерживающие различные модели управления доступом.
1. Управление доступом на основе правил
Управление доступом на основе правил (Rule-based Access Control) использует определенные правила, указывающие на то, что субъект может и что не может делать с объектом.
Это основано на простых правилах (типа: если комбинация атрибутов А доступна (запрещена) пользователю Х в зависимости от условия В, то каждая подкомбинация А также доступна (запрещена) пользователю Х по условию В), которые могут использоваться для обеспечения более детального управления доступом к ресурсам.
Чтобы субъект получил доступ к объекту, должен быть выполнен набор предустановленных правил.
Эти правила могут быть простыми и прямолинейными (например, «если идентификатор пользователя соответствует аналогичному идентификатору в предъявленном им цифровом сертификате, пользователю разрешается доступ»), либо может использоваться целый ряд сложных правил, которые должны быть выполнены, чтобы пользователь получил доступ к объекту (например, «если пользователь входит в систему с понедельника по пятницу и между 9:00 и 18:00, если допуск безопасности пользователя равен или превышает класс объекта, если пользователь имеет необходимую категорию «должен знать», тогда пользователю разрешается доступ»).
Управление доступом на основе правил не обязательно основано на идентификации.
Например, правило, что вложение в электронном сообщении не должно превышать 5МВ, действует на всех пользователей, независимо от их идентификатора. Однако это же правило можно связать с конкретными пользователями, индивидуально установив для них максимальный объем вложения, но это гораздо менее удобно и более трудоемко. Использование правил, затрагивающих всех пользователей, позволяет упростить управление доступом. Управление доступом на основе правил позволяет разработчикам подробно описать конкретные ситуации, в которых субъект может (или не может) получить доступ к объекту, а также определить, что субъект сможет делать с объектом, получив к нему доступ. Традиционно управление доступом на основе правил используется в системах, использующих модель MAC, в качестве механизма ее реализации. Однако в настоящее время он используется и в других системах и приложениях. Примером могут быть системы контентной фильтрации, кроме того управление доступом на основе правил часто используется в межсетевых экранах и маршрутизаторах.