Общие понятия безопасности ос
Безопасная система должна обладать свойствами конфиденциальности, доступности и целостности. Любое потенциальное действие, которое направлено на нарушение конфиденциальности, целостности и доступности информации, называется угрозой. Реализованная угроза называется атакой.
Конфиденциальная (confidentiality) система обеспечивает уверенность в том, что секретные данные будут доступны только тем пользователям, которым этот доступ разрешен (такие пользователи называются авторизованными). Под доступностью (availability) понимают гарантию того, что авторизованным пользователям всегда будет доступна информация, которая им необходима. И наконец, целостность (integrity) системы подразумевает, что неавторизованные пользователи не могут каким-либо образом модифицировать данные.
Умышленные угрозы подразделяются на активные и пассивные. Пассивная угроза – несанкционированный доступ к информации без изменения состояния системы, активная – несанкционированное изменение системы. Пассивные атаки труднее выявить, так как они не влекут за собой никаких изменений данных. Защита против пассивных атак базируется на средствах их предотвращения.
Типы угроз: 1. Проникновение в систему под видом легального пользователя. 2. Нежелательные действия легальных пользователей. 3. Функционирование вирусов и прочих червей.
Базовые принципы проектирования системы безопасности ОС (по Зальтцер (Saltzer) и Шредер (Schroeder)):
-
Проектирование системы должно быть открытым. Нарушитель и так все знает (криптографические алгоритмы открыты). Не должно быть доступа по умолчанию. Ошибки с отклонением легитимного доступа будут обнаружены скорее, чем ошибки там, где разрешен неавторизованный доступ.
-
Нужно тщательно проверять текущее авторство. Так, многие системы проверяют привилегии доступа при открытии файла и не делают этого после. В результате пользователь может открыть файл и держать его открытым в течение недели и иметь к нему доступ, хотя владелец уже сменил защиту.
-
Давать каждому процессу минимум возможных привилегий.
-
Защитные механизмы должны быть просты, постоянны и встроены в нижний слой системы, это не аддитивные добавки (известно много неудачных попыток "улучшения" защиты слабо приспособленной для этого ОС MS-DOS).
-
Важна физиологическая приемлемость. Если пользователь видит, что защита требует слишком больших усилий, он от нее откажется. Ущерб от атаки и затраты на ее предотвращение должны быть сбалансированы.
Система безопасности операционной системы windows nt
Внешний урованеь защиты ОС:
-
возможность для администратора настраивать доступ к тем или иным ресурсам пользователей и групп пользователей;
-
настройка параметров учетных записей, парметров авторизации;
-
настройка пользователями прав доступа к соответствующим данным.
Глубинный уровень безопасности:
-
шифрование в системе данных, подлежащих защите;
-
разделение физической и виртуальной памяти для предотвращения доступа к данным не имеющими на это права пользователями и приложениями.
Функции безопасности Windows NT:
-
Информация о доменных правилах безопасности и учетная информация хранятся в каталоге Active Directory.
-
В Active Directory поддерживается иерархичное пространство имен пользователей, групп и учетных записей машин (учетные записи могут быть сгруппированы по организационным единицам).
-
Административные права на создание и управление группами учетных записей пользователей могут быть делегированы на уровень организационных единиц (возможно установление дифференцированных прав доступа к отдельным свойствам пользовательских объектов).
-
Тиражирование Active Directory позволяет изменять учетную информацию на любом контроллере домена, а не только на первичном (копии Active Directory, хранящиеся на других контроллерах домена, обновляются и синхронизируются автоматически).
-
Доменная модель изменена и использует Active Directory для поддержки многоуровневого дерева доменов (управление доверительными отношениями между доменами упрощено в пределах всего дерева доменов).
-
В систему безопасности включены новые механизмы аутентификации, такие как Kerberos v5 и TLS (Transport Layer Security), базирующиеся на стандартах безопасности Интернета.
-
Протоколы защищенных каналов (SSL 3.0/TLS) обеспечивают поддержку надежной аутентификации клиента (осуществляется сопоставление мандатов пользователей в форме сертификатов открытых ключей с существующими учетными записями Windows NT).
В состав Windows NT входит Microsoft Certificate Server, позволяющий выдавать сотрудникам и партнерам (т.е. локальным и удалённым пользователям) сертификаты по протоколу Х.509. Системные администраторы могут указывать, сертификаты каких пользователей являются насколько доверяемыми в системе и, таким образом, контролировать аутентификацию доступа к ресурсам.
Напрашивается вопрос – зачем эта система, ведь она на первый взгляд дублирует базовую систему аутентификации на основе учётных записей. Дело в том, что сертификаты соотносятся с существующими в домене/системе учётными записями, через которые, согласно сертификату, могут быть авторизованы пользователи, не имеющие учетных записей
В распоряжении пользователей находятся простые средства управления парами закрытых (открытых) ключей и сертификатами, используемые для доступа к ресурсам системы.
Потоки же, инициируемые различными пользователями, получают цифровые подписи согласно их сертификатам, что позволяет осуществлять текущую проверку прав доступа.
СЕРВЕР АУТЕНТИФИКАЦИИ KERBEROS
Kerberos – это программный продукт, разработанный в середине 1980-х гг. в Массачусетском технологическом институте и претерпевший с тех пор ряд принципиальных изменений. Клиентские компоненты Kerberos присутствуют в большинстве современных операционных систем.
Kerberos предназначен для решения следующей задачи. Имеется открытая (незащищенная) сеть, в узлах которой сосредоточены субъекты – пользователи, а также клиентские и серверные программные системы. Каждый субъект обладает секретным ключом. Чтобы субъект C мог доказать свою подлинность субъекту S (без этого S не станет обслуживать C), он должен не только назвать себя, но и продемонстрировать знание секретного ключа. C не может просто послать S свой секретный ключ, во-первых, потому, что сеть открыта (доступна для пассивного и активного прослушивания), а, во-вторых, потому, что S не знает (и не должен знать) секретный ключ C. Требуется менее прямолинейный способ демонстрации знания секретного ключа.
Система Kerberos представляет собой доверенную третью сторону (т.е. сторону, которой доверяют все), владеющую секретными ключами обслуживаемых субъектов и помогающую им в попарной проверке подлинности.
Чтобы с помощью Kerberos получить доступ к S (обычно это сервер), C (как правило – клиент) посылает Kerberos запрос, содержащий сведения о нем (клиенте) и о запрашиваемой услуге. В ответ Kerberos возвращает так называемый билет, зашифрованный секретным ключом сервера, и копию части информации из билета, зашифрованную секретным ключом клиента. Клиент должен расшифровать вторую порцию данных и переслать ее вместе с билетом серверу. Сервер, расшифровав билет, может сравнить его содержимое с дополнительной информацией, присланной клиентом. Совпадение свидетельствует о том, что клиент смог расшифровать предназначенные ему данные (ведь содержимое билета никому, кроме сервера и Kerberos, недоступно), т.е. продемонстрировал знание секретного ключа. Значит, клиент – именно тот, за кого себя выдает.
Рис. 3. Проверка сервером S подлинности клиента C.
Протокол аутентификации Kerberos определяет взаимодействие между клиентом и сетевым сервисом аутентификации, известным как KDC (Key Distribution Center). В Windows NT KDC используется как сервис аутентификации на всех контроллерах домена. Домен Windows NT эквивалентен области Kerberos, но к ней обращаются как к домену. Реализация протокола Kerberos в Windows NT основана на определении Kerberos в RFC1510, клиент Kerberos реализован в виде ПФБ (поставщика функций безопасности) Windows NT. Начальная аутентификация Kerberos интегрирована с процедурой WinLogon. Сервер Kerberos (KDC) интегрирован с существующими службами безопасности Windows NT, исполняемыми на контроллере домена. Для хранения информации о пользователях и группах он использует службу каталогов Active Directory.
В системе безопасности Windows NT протокол Kerberos берёт на себя следующие функции:
1) повышенние скорости аутентификации при установлении начального соединения (сервер приложений не обращается к контроллеру домена для аутентификации клиента);
2) делегирование аутентификации в многоярусных архитектурах клиент-сервер (при подключении клиента к серверу, последний представляет клиента в этой системе, но если серверу для завершения транзакции нужно выполнить сетевое подключение к другому серверу, протокол Kerberos позволяет делегировать аутентификацию первого сервера и подключиться ко второму от имени клиента);
3) транзитивные доверительные отношения для междудоменной аутентификации (т.е пользователь может быть аутентифицирован в любом месте дерева доменов) упрощают управление доменами в больших сетях с несколькими доменами.
-
Web.
Веб-сервер — это серверное приложение, работающее на основе протокола HTTP.
Основные веб-сервера:
|
Название |
Автор и год создания |
Распространение |
Open Source |
Лицензия |
Особенности |
|
Apache HTTP Server |
Apache Software Foundation, 1995 |
бесплатно |
Да |
Apache License |
Упор на надёжность и гибкость. |
|
Internet Information Services |
Microsoft, 1995 |
вкл. в Win NT |
Нет |
Microsoft EULA |
Является частью пакета IIS. Единственный, кто поддерживает .NET |
|
Jetty |
Mort Bay Consulting, 1995 |
бесплатно |
Да |
Apache License 2.0 |
Реализован полностью на Java. |
|
Apache Tomcat |
Sun Microsystems, ? Apache Software Foundation, 1999 |
бесплатно |
Да |
Apache License 2.0 |
Реализован полностью на Java. |
|
lighttpd |
Jan Kneschke, февраль 2003 |
бесплатно |
Да |
Вариант BSD |
Использование на сильно нагруженных серверах обеспечивая быстроту и защищённость. |
|
Tornado |
FriendFeed/Facebook, 2009 |
бесплатно |
Да |
Apache License |
Асинхронный сервер. Написан на Python. |
Наиболее распространёнными являются IIS и Apache. Из 6 представленных серверов 4 имеют одинаковую структуру.