- •Техники и технологии управления доступом План
- •1. Управление доступом на основе правил
- •2. Ограниченный пользовательский интерфейс
- •3. Матрица контроля доступа
- •Таблицы разрешений
- •Списки контроля доступа
- •4. Контентно-зависимое управление доступом
- •5. Контекстно-зависимое управление доступом
- •6. Администрирование доступа
- •6.1. Централизованное администрирование управления доступом
- •6.1.1. Radius
- •6.1.2. Tacacs
- •6.1.3.Diameter
- •6.1.4.Мобильный ip.
- •6.2. Децентрализованное администрирование управления доступом
- •7. Методы управления доступом
- •7.1. Уровни управления доступом
- •7.2. Административный уровень
- •Политики и процедуры
- •Управление персоналом
- •Структура надзора
- •Тренинги и повышение осведомленности по вопросам безопасности
- •Тестирование
- •7.3. Физический уровень
- •Сегментация сети
- •Защита периметра
- •Управление компьютерами
- •7.4. Технический уровень
- •Доступ к системам
- •Сетевая архитектура
- •Доступ к сети
- •Шифрование и протоколы
- •8. Типы управления доступом
- •8.1. Превентивные: Административные
- •8.2. Превентивные: Физические
- •8.3. Превентивные: Технические
- •9. Подотчетность
- •9.1. Анализ журналов регистрации событий
- •9.2. Мониторинг нажатия клавиш
- •9.3. Защита данных аудита и журналов регистрации событий
- •10. Практика управления доступом
- •Несанкционированное разглашение информации
- •Повторное использование объекта
- •Защита от утечки информации по техническим каналам
- •11. Мониторинг управления доступом
- •11.1. Выявление вторжений
- •Ids уровня сети
- •Ids уровня хоста
- •Выявление вторжений на основе знаний или сигнатур
- •Ids на основе состояния
- •Выявление вторжений на основе статистических аномалий
- •Ids на основе аномалий протоколов
- •Ids на основе аномалий трафика
- •Ids на основе правил
- •Сенсоры ids
- •Сетевой трафик
- •11.2. Системы предотвращения вторжений
- •Хосты-приманки
- •12. Угрозы управлению доступом
- •12.1. Атака по словарю
- •Контрмеры
- •12.2. Атака полного перебора (брутфорс-атака)
- •Контрмеры
- •12.3. Подделка окна регистрации в системе
- •Контрмеры
- •12.4. Фишинг
- •Контрмеры
- •12.5. Кража личности
- •13. Резюме
11. Мониторинг управления доступом
Мониторинг управления доступом – это метод отслеживания тех, кто пытается получить доступ к определенным ресурсам компании. Это важный детективный механизм, для реализации которого существуют различные технологии, такие как IDS,IPS, сетевыеснифферы,хосты-приманки(honeypot). Недостаточно просто вложить деньги в антивирус и межсетевой экран, компаниям необходим контроль своих собственных внутренних сетей.
11.1. Выявление вторжений
Системы выявления вторжений (IDS – intrusion detection system) отличаются от традиционных межсетевых экранов, т.к. они созданы для выявления недостатков в системе безопасности – несанкционированного использования или атак компьютеров, сетей или телекоммуникационной инфраструктуры. IDS позволяют снизить ущерб от хакерских атак, взлома критичных компьютеров и сетевых устройств. Основная задача средства IDS – отмечать подозрительные действия в сети и своевременно уведомлять о них администратора (посредством подачи звукового сигнала, передачи сообщения на консоль управления, отправки SMS-сообщения на мобильный телефон и т.п.), либо даже автоматически вносить изменения в настройки ACL межсетевого экрана. Средства IDS могут просматривать потоки данных, находя в них последовательности битов, которые могут свидетельствовать о сомнительных действиях или событиях, либо осуществлять мониторинг системных журналов и иных файлов журналирования деятельности. Следует выявлять любое ненормальное поведение, которое может свидетельствовать о вторжении (или попытке вторжения). Хотя существуют различные разновидности IDS, все они имеют три общих компонента: сенсоры, анализаторы и административные интерфейсы. Сенсоры собирают трафик или данные о действиях пользователей и отправляют их анализаторам, которые ищут в них подозрительные действия. В случае выявления анализатором таких действий (на которые он запрограммирован), он отправляет соответствующие сообщение в административный интерфейс. Существует два основных типа IDS: уровня сети (network-based), которые отслеживают весь сетевой трафик, и уровня хоста (host-based), которые анализируют действия в рамках одной компьютерной системы. IDS могут быть настроены для выявления атак, анализа журналов аудита, прерывания соединений, уведомления администратора о происходящих атаках, защиты системных файлов, указания на уязвимости, которые должны быть учтены, а также для помощи в отслеживании действий отдельных хакеров.
Ids уровня сети
IDS уровня сети (NIDS – network-based IDS) используют сенсоры, являющиеся отдельными компьютерами с установленным на них специальным программным обеспечением, либо специальными выделенными устройствами (appliance). Каждый сенсор имеет сетевую карту (NIC – network interface card), работающую в режимепрослушивания сети(promiscuous mode). Обычные сетевые карты получают только сетевые пакеты, адресованные этой сетевой карте,широковещательные(broadcast) имногоадресные(multicast) пакеты. Драйвер сетевой карты копирует данные из передающей среды и отправляет и отправляет его стеку сетевых протоколов для обработки. Если сетевая карта находится в режиме прослушивания, драйвер сетевой карты захватывает весь трафик, делает копии всех пакетов, а затем передает одну копию в стек TCP, а вторую копию – анализатору, для поиска определенных шаблонов (сигнатур). NIDS контролирует сетевой трафик и не может увидеть действия, происходящие внутри отдельного компьютера. Для отслеживания таких действий следует использовать IDS уровня хоста.