- •Техники и технологии управления доступом План
- •1. Управление доступом на основе правил
- •2. Ограниченный пользовательский интерфейс
- •3. Матрица контроля доступа
- •Таблицы разрешений
- •Списки контроля доступа
- •4. Контентно-зависимое управление доступом
- •5. Контекстно-зависимое управление доступом
- •6. Администрирование доступа
- •6.1. Централизованное администрирование управления доступом
- •6.1.1. Radius
- •6.1.2. Tacacs
- •6.1.3.Diameter
- •6.1.4.Мобильный ip.
- •6.2. Децентрализованное администрирование управления доступом
- •7. Методы управления доступом
- •7.1. Уровни управления доступом
- •7.2. Административный уровень
- •Политики и процедуры
- •Управление персоналом
- •Структура надзора
- •Тренинги и повышение осведомленности по вопросам безопасности
- •Тестирование
- •7.3. Физический уровень
- •Сегментация сети
- •Защита периметра
- •Управление компьютерами
- •7.4. Технический уровень
- •Доступ к системам
- •Сетевая архитектура
- •Доступ к сети
- •Шифрование и протоколы
- •8. Типы управления доступом
- •8.1. Превентивные: Административные
- •8.2. Превентивные: Физические
- •8.3. Превентивные: Технические
- •9. Подотчетность
- •9.1. Анализ журналов регистрации событий
- •9.2. Мониторинг нажатия клавиш
- •9.3. Защита данных аудита и журналов регистрации событий
- •10. Практика управления доступом
- •Несанкционированное разглашение информации
- •Повторное использование объекта
- •Защита от утечки информации по техническим каналам
- •11. Мониторинг управления доступом
- •11.1. Выявление вторжений
- •Ids уровня сети
- •Ids уровня хоста
- •Выявление вторжений на основе знаний или сигнатур
- •Ids на основе состояния
- •Выявление вторжений на основе статистических аномалий
- •Ids на основе аномалий протоколов
- •Ids на основе аномалий трафика
- •Ids на основе правил
- •Сенсоры ids
- •Сетевой трафик
- •11.2. Системы предотвращения вторжений
- •Хосты-приманки
- •12. Угрозы управлению доступом
- •12.1. Атака по словарю
- •Контрмеры
- •12.2. Атака полного перебора (брутфорс-атака)
- •Контрмеры
- •12.3. Подделка окна регистрации в системе
- •Контрмеры
- •12.4. Фишинг
- •Контрмеры
- •12.5. Кража личности
- •13. Резюме
9.3. Защита данных аудита и журналов регистрации событий
Если воры ограбили квартиру, они стараются не оставлять следов (например, отпечатков пальцев), которые позволят связать произошедшее преступление с ними. То же самое происходит при компьютерном мошенничестве и нелегальной деятельности. Злоумышленник старается скрыть следы своей деятельности. Часто атакующие удаляют журналы регистрации событий, которые содержат компрометирующую их информацию, либо удаляют из журналов регистрации событий только информацию о своем присутствии (scrubbing). Это может привести к тому, что администратор не узнает о произошедшем инциденте безопасности. Поэтому данные журналов регистрации событий должны быть защищены посредством строгого управления доступом к ним. Только определенные лица (администраторы и персонал подразделения безопасности) должны иметь доступ на просмотр, изменение или удаление журналов регистрации событий. Никакие другие люди не должны иметь возможность просматривать данные журналы и, тем более, изменять или удалять их. Целостность этих данных может быть обеспечена средствами ЭЦП, хэш-функциями и строгим управлением доступом. Их конфиденциальность может быть защищена с помощью шифрования и управления доступом. Кроме того, целесообразно сохранять данные журналов регистрации событий на внешних носителях информации с однократной записью (например, компакт-дисках) для предотвращения потери или модификации информации. Все попытки несанкционированного доступа к журналам регистрации событий должны фиксироваться и своевременно анализироваться. Журналы регистрации событий могут использоваться в качестве доказательств или улик, а также для демонстрации процесса атаки или подтверждения факта инцидента. Целостность и конфиденциальность этих журналов должна постоянно контролироваться.
10. Практика управления доступом
Итак, мы рассмотрели, как идентифицировать пользователей, провести их аутентификацию, авторизацию и как контролировать их действия. Это необходимые части здоровой и безопасной сетевой среды. Но вы также хотите предпринять определенные шаги, чтобы убедиться в отсутствии ненужных открытых "дверей", а также в том, что среда остается на том же уровне безопасности, над достижением которого вы упорно трудились? Для этого необходимо внедрить хорошие практики управления доступом. Конечно, трудно устранять все проблемы в сети, бороться в политических баталиях, выполнять все запросы пользователей, и при этом своевременно выполнять все небольшие задачи по текущему обслуживанию. Тем не менее, невыполнение этих небольших задач вызывает больше всего проблем и уязвимостей. Список задач, которые следует выполнять на регулярной основе, чтобы безопасность оставалась на достаточном уровне:
Запретить доступ к системам пользователям, не прошедшим аутентификацию, и анонимным учетным записям.
Огранить и контролировать использование административных и иных привилегированных учетных записей.
Блокировать учетную запись или вносить задержку после нескольких неудачных попыток регистрации.
Удалять учетные записи уволенных сотрудников сразу же после их ухода из компании.
Блокировать учетные записей, которые не использовались 30 – 60 дней.
Внедрить строгие критерии доступа.
Применять принцип «должен знать» и принцип минимальных привилегий.
Отключить ненужные функции системы, службы и порты.
Заменить пароли «по умолчанию» для встроенных учетных записей.
Ограничить и контролировать правила глобального доступа.
Убедиться, что названия учетных записей не раскрывают должностных обязанностей пользователей, которым они принадлежат.
Удалить излишние правила использования ресурсов учетными записями и группами.
Удалить из списков доступа к ресурсам излишние идентификаторы пользователей, учетные записи и роли.
Организовать периодическую смену паролей.
Установить требования к паролям (по длине, содержимому, сроку действия, распространению, хранению и передаче).
Организовать журналирование системных событий и действий пользователей, а также периодический просмотр журналов.
Обеспечить защиту журналов регистрации событий.
Но даже если все перечисленные выше контрмеры внедрены и надлежащим образом контролируются, несанкционированный доступ к данным по-прежнему возможен. В следующем разделе будет подробнее рассказано об этих проблемах и соответствующих контрмерах.