- •Техники и технологии управления доступом План
- •1. Управление доступом на основе правил
- •2. Ограниченный пользовательский интерфейс
- •3. Матрица контроля доступа
- •Таблицы разрешений
- •Списки контроля доступа
- •4. Контентно-зависимое управление доступом
- •5. Контекстно-зависимое управление доступом
- •6. Администрирование доступа
- •6.1. Централизованное администрирование управления доступом
- •6.1.1. Radius
- •6.1.2. Tacacs
- •6.1.3.Diameter
- •6.1.4.Мобильный ip.
- •6.2. Децентрализованное администрирование управления доступом
- •7. Методы управления доступом
- •7.1. Уровни управления доступом
- •7.2. Административный уровень
- •Политики и процедуры
- •Управление персоналом
- •Структура надзора
- •Тренинги и повышение осведомленности по вопросам безопасности
- •Тестирование
- •7.3. Физический уровень
- •Сегментация сети
- •Защита периметра
- •Управление компьютерами
- •7.4. Технический уровень
- •Доступ к системам
- •Сетевая архитектура
- •Доступ к сети
- •Шифрование и протоколы
- •8. Типы управления доступом
- •8.1. Превентивные: Административные
- •8.2. Превентивные: Физические
- •8.3. Превентивные: Технические
- •9. Подотчетность
- •9.1. Анализ журналов регистрации событий
- •9.2. Мониторинг нажатия клавиш
- •9.3. Защита данных аудита и журналов регистрации событий
- •10. Практика управления доступом
- •Несанкционированное разглашение информации
- •Повторное использование объекта
- •Защита от утечки информации по техническим каналам
- •11. Мониторинг управления доступом
- •11.1. Выявление вторжений
- •Ids уровня сети
- •Ids уровня хоста
- •Выявление вторжений на основе знаний или сигнатур
- •Ids на основе состояния
- •Выявление вторжений на основе статистических аномалий
- •Ids на основе аномалий протоколов
- •Ids на основе аномалий трафика
- •Ids на основе правил
- •Сенсоры ids
- •Сетевой трафик
- •11.2. Системы предотвращения вторжений
- •Хосты-приманки
- •12. Угрозы управлению доступом
- •12.1. Атака по словарю
- •Контрмеры
- •12.2. Атака полного перебора (брутфорс-атака)
- •Контрмеры
- •12.3. Подделка окна регистрации в системе
- •Контрмеры
- •12.4. Фишинг
- •Контрмеры
- •12.5. Кража личности
- •13. Резюме
Хосты-приманки
Хост-приманка (honeypot) – это специально настроенный компьютер-жертва, на котором открыто много портов, запущено много служб. Такой компьютер должен привлечь злоумышленника больше, чем реальные системы в сети. Хост-приманка не содержит никакой реальной информации компании, и нет никаких рисков в случае его успешного взлома. Это позволяет администратору узнавать о происходящих атаках, своевременно укреплять сетевую среду, а также упрощает поиск злоумышленника. Чем больше времени хакер остается на этом компьютере, тем больше информации можно получить о его методах. Очень важно провести четкую грань между приманкой (enticement) и провокацией (entrapment) при внедрении хостов-приманок. Следует учитывать при этом особенности действующего законодательства. Если система просто имеет открытые порты и службы, которыми злоумышленник может захотеть воспользоваться – это является примером приманки. Если же система имеет интернет-страницу, на которой указано, что пользователь может бесплатно скачать некие файлы, а администратор, как только пользователь сделает это, будет пытаться привлечь его к ответственности – это уже будет примером провокации. Провокация – это когда атакующего склоняют к совершению преступления. Провокация в большинстве случаев будет являться незаконной и не может быть использована для привлечения человека к ответственности за хакерство или несанкционированные действия. Сетевые снифферы
Пакетный или сетевой сниффер – это программа или устройство, позволяющее анализировать трафик в сетевом сегменте. Трафик, который передается по сетевой среде, представляет собой электрические сигналы, закодированные с помощью двоичного представления. Сниффер должен иметь возможности для анализа протоколов, чтобы распознать различные протоколы и правильно интерпретировать их. Сниффер должен иметь доступ к сетевому адаптеру, работающему в режиме прослушивания сети (promiscuous mode), и драйверу, который захватывает данные. Объем этих данных может быть огромен, поэтому они должны надлежащим образом фильтроваться. Отфильтрованные данные сохраняются в буфере, показываются пользователю и/или сохраняется в специальном журнале. Некоторые утилиты имеют сниффер и средства модификации сетевых пакетов, что позволяет им проводить некоторые виды атак (например, спуфинг или атаки «человек-по-середине»(man-in-the-middle attack) и т.п.). Сетевые снифферы обычно используются администраторами и специалистами по безопасности («белыми шляпами») для попытки выявления проблем в сети. Но эти же средства могут использовать злоумышленники и хакеры («черные шляпы») для анализа данных, проходящих в определенном сетевом сегменте, перехвата паролей и другой критичной информации, несанкционированной модификации данных, а также для проведения различных атак.
ПРИМЕЧАНИЕ. Снифферы очень опасны, т.к. крайне сложно выявить факт их работы в сети.
12. Угрозы управлению доступом
Большинство специалистов по безопасности знают, что более высокие риски и больший ущерб для компании несут атаки внутренних злоумышленников, чем внешних. Однако многие люди не знают этого, поскольку они слышали только истории о внешних хакерах, которые делали дефейсвеб-сайтов или обходили межсетевые экраны, чтобы получить доступ к внутренней конфиденциальной информации. Внешние атакующие могут войти в сеть компании через точки удаленного доступа, пройти через межсетевые экраны и веб-серверы, взломав их, или воспользоваться коммуникационными каналами партнеров (экстранет, подключения производителей и т.д.). Аинсайдерыизначально имеют разрешенный доступ к системам и ресурсам, они могут использовать свои привилегии ненадлежащим образом или проводить реальные атаки. Опасность инсайдеров состоит в первую очередь в том, что они уже имеют широкие права доступа, а внешнему хакеру нужно постараться, чтобы получить даже небольшую часть этих прав. Кроме того, инсайдеры гораздо лучше знают внутреннюю среду компании, и, как правило, им доверяют. Мы рассмотрели много различных механизмов управления доступом, которые нужны для того, чтобы оставить внешних лиц снаружи и ограничить до минимума возможности инсайдеров, а также вести аудит их действий. Теперь мы рассмотрим несколько самых популярных в настоящее время атак, проводимых внешними и внутренними злоумышленниками.