- •Техники и технологии управления доступом План
- •1. Управление доступом на основе правил
- •2. Ограниченный пользовательский интерфейс
- •3. Матрица контроля доступа
- •Таблицы разрешений
- •Списки контроля доступа
- •4. Контентно-зависимое управление доступом
- •5. Контекстно-зависимое управление доступом
- •6. Администрирование доступа
- •6.1. Централизованное администрирование управления доступом
- •6.1.1. Radius
- •6.1.2. Tacacs
- •6.1.3.Diameter
- •6.1.4.Мобильный ip.
- •6.2. Децентрализованное администрирование управления доступом
- •7. Методы управления доступом
- •7.1. Уровни управления доступом
- •7.2. Административный уровень
- •Политики и процедуры
- •Управление персоналом
- •Структура надзора
- •Тренинги и повышение осведомленности по вопросам безопасности
- •Тестирование
- •7.3. Физический уровень
- •Сегментация сети
- •Защита периметра
- •Управление компьютерами
- •7.4. Технический уровень
- •Доступ к системам
- •Сетевая архитектура
- •Доступ к сети
- •Шифрование и протоколы
- •8. Типы управления доступом
- •8.1. Превентивные: Административные
- •8.2. Превентивные: Физические
- •8.3. Превентивные: Технические
- •9. Подотчетность
- •9.1. Анализ журналов регистрации событий
- •9.2. Мониторинг нажатия клавиш
- •9.3. Защита данных аудита и журналов регистрации событий
- •10. Практика управления доступом
- •Несанкционированное разглашение информации
- •Повторное использование объекта
- •Защита от утечки информации по техническим каналам
- •11. Мониторинг управления доступом
- •11.1. Выявление вторжений
- •Ids уровня сети
- •Ids уровня хоста
- •Выявление вторжений на основе знаний или сигнатур
- •Ids на основе состояния
- •Выявление вторжений на основе статистических аномалий
- •Ids на основе аномалий протоколов
- •Ids на основе аномалий трафика
- •Ids на основе правил
- •Сенсоры ids
- •Сетевой трафик
- •11.2. Системы предотвращения вторжений
- •Хосты-приманки
- •12. Угрозы управлению доступом
- •12.1. Атака по словарю
- •Контрмеры
- •12.2. Атака полного перебора (брутфорс-атака)
- •Контрмеры
- •12.3. Подделка окна регистрации в системе
- •Контрмеры
- •12.4. Фишинг
- •Контрмеры
- •12.5. Кража личности
- •13. Резюме
Ids уровня хоста
IDS уровня хоста (HIDS – host-based IDS) может быть установлена на отдельные рабочие станции и/или серверы для выявления нежелательных или аномальных действий. HIDS обычно используются для обеспечения уверенности, что пользователи не удаляют системные файлы, не изменяют важные настройки или подвергают систему риску иными способами. Так, если NIDS понимает и контролирует сетевой трафик, средства HIDS ограничиваются только самим компьютером. HIDS не понимает и не отслеживает сетевой трафик, а NIDS не контролирует действия внутри системы. Каждое из этих средств имеет свои задачи и выполняет их своими способами. В большинстве сред системы HIDS устанавливаются только на критичные серверы, а не на каждый компьютер в сети, поскольку это могло бы вызвать существенное повышение нагрузки на компьютеры и на администраторов. Чтобы сделать жизнь немного проще, HIDS и NIDS могут быть одного из следующих типов:
Сигнатурные (signature based)
Отслеживающие шаблоны (pattern matching)
Отслеживающие состояние (stateful matching)
Основанные на аномалиях (anomaly based)
Основанные на статистических аномалиях (statistical anomaly-based)
Основанные на аномалиях протоколов (protocol anomaly-based)
Основанные на аномалиях трафика (traffic anomaly-based)
Основанные на правилах (rule-based) или эвристические (heuristic-based)
Выявление вторжений на основе знаний или сигнатур
Знания об отдельных атаках накапливаются производителями IDS и хранятся в виде моделей, отражающих процесс их выполнения. Эти модели называются сигнатурами. Как только выявляется новый вид атаки, производитель сигнатурного IDS создает соответствующую сигнатуру, которая в последующем используется при проверке сетевого трафика для обнаружения такой же атаки. Разрешаются любые действия, которые не были идентифицированы как атака.
ПРИМЕЧАНИЕ. Выявление атак на основе сигнатур также называют обнаружением по шаблонам (pattern matching).
Примером сигнатуры является сетевой пакет, в котором адрес отправителя и получателя совпадают – это, так называемая, Land-атака. В Land-атаке хакер изменяет заголовок пакета и когда система получателя отправляет отправителю ответ, она отправляет его на свой же адрес. Сейчас это выглядит довольно безобидно, но все еще есть уязвимые системы, не имеющие программного кода, позволяющего распознать такую ситуацию, которая приводит к их «зависанию» или перезагрузке. Сигнатурные IDS являются наиболее популярными IDS в наше время, но их эффективность напрямую зависит от регулярности обновления баз сигнатур, как в антивирусном программном обеспечении. Этот тип IDS практически не защищает от новых атак, так как он не может их распознать до появления их сигнатур в его базе данных. Атаки или вирусы, обнаруженные в реальных средах, называются «дикими» (in the wild). Атаки или вирусы, существующие, но не выпущенные в реальный мир, называются «в зоопарке» (in the zoo). Это не шутка.
Ids на основе состояния
Перед тем, как углубиться в изучение работы IDS на основе состояния, вам следует понять, что представляет собой состояние системы. Каждое изменение в работе системы (вход пользователя, запуск приложения, взаимодействие приложений, ввод данных и т.д.) приводит к изменению состояния. С технической точки зрения, все операционные системы и приложения представляют собой просто множество строк команд, написанных для выполнения определенных функций над данными. Команды работают с переменными, которые содержат данные. Когда вы, например, используете утилиту «Калькулятор» и вводите цифру «5», специальная пустая переменная сразу же получает это значение. Введя эту цифру, вы изменяете состояние приложения. Когда приложения взаимодействуют друг с другом, они заполняют пустые переменные специальными наборами команд. Таким образом, переход состояния – это когда меняется значение переменной, что происходит постоянно в любой системе. При проведении атак, происходят соответствующие изменения состояний (действия). Например, если атакующий выполняет удаленное переполнение буфера, происходят следующие изменения состояний.
Удаленный пользователь подключается к системе.
Удаленный пользователь отправляет данные приложению (объем передаваемых данных превышает выделенный для них буфер в соответствующей пустой переменной).
Данные принимаются, перезаписывая при этом буфер и, возможно, другие сегменты памяти.
Выполняется вредоносный код.
Таким образом, состояние – это «снимок» (snapshot) значений операционной системы в оперативной, полупостоянной и постоянной областях памяти. В IDS на основе состояния первоначальным состоянием является состояние перед началом атаки, а скомпрометированным состоянием – состояние после успешного вторжения. IDS имеет правила, которые описывают последовательность переходов состояния, свидетельствующих о происходящей атаке. Действия, которые происходят между первоначальным и скомпрометированным состояниями – это именно то, что ищет данный тип IDS. Он отправляет сигнал опасности, если любая последовательность переходов состояния совпадает с предварительно настроенными правилами. Этот тип IDS осуществляет поиск сигнатур атак в контексте потока действий, а не просто смотрит отдельные пакеты. Он также может выявить только известные атаки и требует частого обновления своих сигнатур.