- •Техники и технологии управления доступом План
- •1. Управление доступом на основе правил
- •2. Ограниченный пользовательский интерфейс
- •3. Матрица контроля доступа
- •Таблицы разрешений
- •Списки контроля доступа
- •4. Контентно-зависимое управление доступом
- •5. Контекстно-зависимое управление доступом
- •6. Администрирование доступа
- •6.1. Централизованное администрирование управления доступом
- •6.1.1. Radius
- •6.1.2. Tacacs
- •6.1.3.Diameter
- •6.1.4.Мобильный ip.
- •6.2. Децентрализованное администрирование управления доступом
- •7. Методы управления доступом
- •7.1. Уровни управления доступом
- •7.2. Административный уровень
- •Политики и процедуры
- •Управление персоналом
- •Структура надзора
- •Тренинги и повышение осведомленности по вопросам безопасности
- •Тестирование
- •7.3. Физический уровень
- •Сегментация сети
- •Защита периметра
- •Управление компьютерами
- •7.4. Технический уровень
- •Доступ к системам
- •Сетевая архитектура
- •Доступ к сети
- •Шифрование и протоколы
- •8. Типы управления доступом
- •8.1. Превентивные: Административные
- •8.2. Превентивные: Физические
- •8.3. Превентивные: Технические
- •9. Подотчетность
- •9.1. Анализ журналов регистрации событий
- •9.2. Мониторинг нажатия клавиш
- •9.3. Защита данных аудита и журналов регистрации событий
- •10. Практика управления доступом
- •Несанкционированное разглашение информации
- •Повторное использование объекта
- •Защита от утечки информации по техническим каналам
- •11. Мониторинг управления доступом
- •11.1. Выявление вторжений
- •Ids уровня сети
- •Ids уровня хоста
- •Выявление вторжений на основе знаний или сигнатур
- •Ids на основе состояния
- •Выявление вторжений на основе статистических аномалий
- •Ids на основе аномалий протоколов
- •Ids на основе аномалий трафика
- •Ids на основе правил
- •Сенсоры ids
- •Сетевой трафик
- •11.2. Системы предотвращения вторжений
- •Хосты-приманки
- •12. Угрозы управлению доступом
- •12.1. Атака по словарю
- •Контрмеры
- •12.2. Атака полного перебора (брутфорс-атака)
- •Контрмеры
- •12.3. Подделка окна регистрации в системе
- •Контрмеры
- •12.4. Фишинг
- •Контрмеры
- •12.5. Кража личности
- •13. Резюме
Списки контроля доступа
Списки контроля доступа (ACL – access control list) используются во многих операционных системах, приложениях и маршрутизаторах. Это списки субъектов, которым разрешен доступ к определенному объекту, с указанием уровня разрешенного доступа. Разграничение доступа может выполняться на уровне пользователей или на уровне групп. ACL являются отображением значений матрицы контроля доступа на отдельный объект. Тогда как разрешения являются строкой в матрице контроля доступа, ACL соответствует столбцу в этой матрице.
4. Контентно-зависимое управление доступом
В системе контентно-зависимого управления доступом (content-dependent access control) доступ к объекту определяется на основании содержимого самого объекта. Например, содержимое поля базы данных может указывать, какие пользователи могут иметь к нему доступ. Контентно-зависимая фильтрация используется в корпоративных фильтрах электронной почты, которые ищут в тексте сообщения определенные строки (например, «конфиденциально», «номер паспорта», «совершенно секретно» и другие словосочетания, которые компания считает подозрительными). Также компании используют это для контроля доступа в Интернет, аналогичным образом отслеживая в трафике определенные слова, например, с целью выявления сотрудников, играющих в азартные игры или занимающихся поиском работы.
5. Контекстно-зависимое управление доступом
Контекстно-зависимое управление доступом (context-dependent access control) отличается от контентно-зависимого, при контекстно-зависимом управлении доступом решение о возможности доступа принимается не на основе критичности данных, а на основе контекста собранной информации. Система, использующая контекстно-зависимое управление доступом, сначала «анализирует ситуацию», а затем принимает решение о возможности доступа. Например, ряд межсетевых экранов может принимать контекстно-зависимое решение, собрав информацию о состоянии пакета, перед тем, как пропустить его в сеть. Межсетевой экран с контролем состояния (stateful firewall) «знает» необходимые шаги для коммуникаций по определенным протоколам и проверяет, что они были соблюдены. Например, при использовании соединения TCP, отправитель отправляет пакет SYN, получатель отправляет SYN/ACK, и затем отправитель направляет пакет ACK (подтверждение). Межсетевой экран с контролем состояния понимает эти шаги и не пропускает пакеты, нарушающие эту последовательность. Если, к примеру, такой межсетевой экран получает SYN/ACK, однако перед ним не было соответствующего (в рамках этого соединения) пакета SYN, межсетевой экран понимает, что это неправильно и уничтожает этот пакет.
Это пример контекстно-зависимого управления доступом – в нем межсетевой экран учитывает контекст при принятии решения о возможности доступа.
Техники управления доступом. Для поддержки модели управления доступом используются техники управления доступом.
Матрица контроля доступа. Таблица субъектов и объектов, которая описывает возможности их взаимодействия.
Список контроля доступа (ACL). Ограничивает права доступа к объекту, указывая, какие субъекты могут получить доступ к нему.
Таблица разрешений. Ограничивает права доступа субъекта, указывая, к каким объектам он может получить доступ.
Доступ на основе контента. Решения о возможности доступа принимаются на основе критичности данных, а не только на основе идентификатора субъекта.
Доступ на основе контекста. Решения о возможности доступа принимаются в зависимости от ситуации, а не только на основе идентификатора субъекта или критичности данных.
Ограниченный интерфейс. Ограничения пользовательской среды в системе, посредством чего ограничивается доступ к объектам.
Доступ на основе правил. Ограничивает доступ субъектов по заранее определенным правилам.