- •Техники и технологии управления доступом План
- •1. Управление доступом на основе правил
- •2. Ограниченный пользовательский интерфейс
- •3. Матрица контроля доступа
- •Таблицы разрешений
- •Списки контроля доступа
- •4. Контентно-зависимое управление доступом
- •5. Контекстно-зависимое управление доступом
- •6. Администрирование доступа
- •6.1. Централизованное администрирование управления доступом
- •6.1.1. Radius
- •6.1.2. Tacacs
- •6.1.3.Diameter
- •6.1.4.Мобильный ip.
- •6.2. Децентрализованное администрирование управления доступом
- •7. Методы управления доступом
- •7.1. Уровни управления доступом
- •7.2. Административный уровень
- •Политики и процедуры
- •Управление персоналом
- •Структура надзора
- •Тренинги и повышение осведомленности по вопросам безопасности
- •Тестирование
- •7.3. Физический уровень
- •Сегментация сети
- •Защита периметра
- •Управление компьютерами
- •7.4. Технический уровень
- •Доступ к системам
- •Сетевая архитектура
- •Доступ к сети
- •Шифрование и протоколы
- •8. Типы управления доступом
- •8.1. Превентивные: Административные
- •8.2. Превентивные: Физические
- •8.3. Превентивные: Технические
- •9. Подотчетность
- •9.1. Анализ журналов регистрации событий
- •9.2. Мониторинг нажатия клавиш
- •9.3. Защита данных аудита и журналов регистрации событий
- •10. Практика управления доступом
- •Несанкционированное разглашение информации
- •Повторное использование объекта
- •Защита от утечки информации по техническим каналам
- •11. Мониторинг управления доступом
- •11.1. Выявление вторжений
- •Ids уровня сети
- •Ids уровня хоста
- •Выявление вторжений на основе знаний или сигнатур
- •Ids на основе состояния
- •Выявление вторжений на основе статистических аномалий
- •Ids на основе аномалий протоколов
- •Ids на основе аномалий трафика
- •Ids на основе правил
- •Сенсоры ids
- •Сетевой трафик
- •11.2. Системы предотвращения вторжений
- •Хосты-приманки
- •12. Угрозы управлению доступом
- •12.1. Атака по словарю
- •Контрмеры
- •12.2. Атака полного перебора (брутфорс-атака)
- •Контрмеры
- •12.3. Подделка окна регистрации в системе
- •Контрмеры
- •12.4. Фишинг
- •Контрмеры
- •12.5. Кража личности
- •13. Резюме
12.1. Атака по словарю
Некоторые программы позволяют атакующему (или проактивному администратору) подобрать пароли пользователей по словарю. Такие программы имеют список (словарь) наиболее часто используемых в качестве паролей слов или комбинаций символов, они последовательно хэшируют их и сравнивают с перехваченнымхэшемпароля или системным файлом с паролями, который также хранит не сами пароли, а результаты односторонних хэш-функций над ними. Если хэш-значения совпадают, это означает, что пароль успешно подобран. Полученный таким способом пароль атакующий может использовать для аутентификации от имени уполномоченного пользователя. Однако, поскольку многие системы ограничивают количество неудачных попыток регистрации, такой подбор возможен только в случае перехвата передаваемого по сети хэша пароля или получения системного файла с паролями. Файлы базовых словарей поставляются вместе с программами взлома паролей, а расширенные варианты словарей можно найти в сети интернет.
ПРИМЕЧАНИЕ. Пароли никогда не должны храниться или передаваться в виде открытого текста. Большинство операционных систем и приложений обрабатывает пароли с помощью алгоритмов хэширования, которые выдают в результате значения хэшей, называемые также значениями дайджестов сообщений.
Контрмеры
Для надлежащей защиты систем от взлома паролей по словарю (или другими методами подбора паролей), необходимо обеспечить следующее:
Не допускайте отправки паролей открытым текстом
Шифруйте или хэшируйте пароли
Используйте токены для генерации одноразовых паролей
Используйте сложно угадываемые пароли
Чаще меняйте пароли
Используйте IDSдля выявления подозрительных действий
Самостоятельно используйте средства взлома паролей для нахождения слабых паролей, выбранных пользователями
Используйте специальные символы, цифры, заглавные и строчные буквы в пароле
Защищайте файлы, в которых хранятся пароли
12.2. Атака полного перебора (брутфорс-атака)
Атака полного перебора (брутфорс-атака - brute force attack) – это последовательный перебор всех возможных комбинаций символов до нахождения комбинации, подходящей в качестве пароля. Наиболее эффективны гибридные атаки, совмещающие в себе атаки по словарю с брутфорс-атаками. Если атака по словарю (или сам атакующий) определяет, что пароль начинается со слова Dallas, брутфорс-атака пытается добавлять к нему различные символы, пока не будет подобран подходящий пароль. Такие атаки применяются при проведении атак wardialing, при которых атакующий вставляет длинный список телефонных номеров (или целые диапазоны номеров) в специальную программу автоматического обзвона, в надежде найти номера модемов (по их отклику), которые можно использовать для несанкционированного доступа в сеть. При этом из таких списков обычно заранее исключаются заведомо известные голосовые номера (например, номера справочных служб), а также известные номера факс-машин. Получив номера, с которых ответили модемы, атакующий пытается использовать их для несанкционированного доступа к сети или системам. Таким образом, брутфорс-атака представляет собой определенный вид деятельности с различными входными параметрами, выполняющейся пока не будет достигнута цель.