- •Федеральное агентство по образованию
- •Редактор м.Е. Цветкова
- •390005, Рязань, ул. Гагарина, 59/1.
- •Введение
- •1. Функции, процедуры и объекты администрирования ис
- •1.1. Элементы ис, подвергаемые администрированию
- •1.2. Функции администрирования в сетевых ис
- •1.3. Задачи, решаемые при администрировании ис
- •1.4. Планирование и реализация эффективной рабочей среды
- •1.5. Технические и организационные службы администрирования
- •1.6. Администрирование ис на основе сетевых ос
- •2. Сетевые и коммуникационные службы
- •2.1. Основы протокола tcp/ip
- •2.1.2. Маска подсети
- •2.2. Служба dhcp
- •2.2.1. Назначение службы dhcp
- •2.2.2. Выделение ip-адреса
- •2.2.3. Компоненты dhcp
- •2.2.4. Процесс выдачи ip-адреса
- •2.2.5. Алгоритм выбора адреса
- •2.2.6. Обнаружение конфликтов ip-адресации
- •2.2.7. Обновление ip-адреса
- •2.2.8. Отклонение обновления и негативное подтверждение
- •2.2.9. Установка и настройка dhcp-сервера
- •2.2.10. Авторизация серверов dhcp
- •2.2.11. Создание области действий dhcp
- •2.2.12. Настройка конфигурационных параметров службы dhcp
- •2.2.13. Активация и деактивация dhcp
- •2.2.14. Документирование информации в журнале
- •2.2.15. Проверка и обновление конфигурации клиентов dhcp
- •2.3. Домены и разрешение имен
- •2.3.1. Система доменных имен
- •2.3.2. Dns и разрешение имен
- •2.3.3. Зоны dns
- •2.3.4. Серверы dns
- •2.3.5. Отказоустойчивость и распределение нагрузки
- •2.3.6. Установка первичного, вторичного и кэширующего серверов dns
- •2.3.7. Создание и трансферты зоны
- •2.3.8. Записи о ресурсах
- •3. Службы аудита и управления безопасностью
- •3.1. Необходимость защиты
- •3.2. Причины существования угроз
- •3.3. Каналы утечки информации
- •3.4. Способы защиты информации
- •3.5. Работа протокола Kerberos
- •3.6. Организация безопасности сети
- •4. Служба учета
- •4.1. Настройка аудита в зависимости от событий, для которых настройка аудита необходима, она может быть одно- или двухэтапным процессом.
- •4.2. Проверка отчетов, полученных при аудите
- •4.3. Управление аудитом
- •5. Службы контроля характеристик
- •5.1. Счетчики производительности
- •5.2. Мониторинг системы
- •5.3. Накладные расходы мониторинга
- •6. Архивирование и восстановление данных
- •6.1. Архивирование и его виды
- •6.2. Восстановление данных
- •6.3. Требования к архивированию и восстановлению
- •Библиографический список
- •Оглавление
3.3. Каналы утечки информации
Существует четыре основных канала утечки информации.
-
Ввод данных. Данные становятся уязвимыми для атаки и захвата непосредственно с того момента, как введены имя пользователя и пароль. Если злоумышленник увидит вводимый пароль, он может воспользоваться информацией для входа в систему под вашим именем и паролем. Для повышения скрытности пароля используют smapt-карты. На них установлены специальные микросхемы, в которых хранятся цифровой сертификат, секретный ключ пользователя и другие сведения, необходимые для контроля доступа, защиты данных и безопасности.
-
Передача данных. Операционная система компьютера или устройство ввода данных передает информацию в сеть через сетевой интерфейс контроллера домена. Во время выполнения этой операции данные легко перехватить, если они не зашифрованы или зашифрованы слабо. Для исключения этого необходимо использовать технологии шифрования.
-
Внешняя среда. Не так давно единственным способом нанесения вреда организации и людям был какой-либо физический акт. В настоящее время “хакеру” намного проще и дешевле попытаться организовать атаку через портал удаленного соединения или Internet-соединение. Атакующим не нужно точно определять свои цели. Они создают код “троянского коня”, который загружается из Internet и запускается любым способом: от обычной перезагрузки компьютера до разархивирования файла. Затем этот код находит необходимые сведения и посылает их своему создателю.
-
Внутренняя среда. Источник угроз изнутри часто связывают с сотрудниками, которые бывают злоумышленниками или просто безответственными работниками. Угроза проявляется как угодно: от неправильного использования привилегий до полного их игнорирования или необдуманных поступков. Иногда пользователи игнорируют обновление антивирусного программного обеспечения и загружают из Internet все подряд, предоставляя сведения о содержании сети внешнему окружению.
3.4. Способы защиты информации
Для защиты информации в компьютерных системах применяются следующие методы.
1. Шифрование с использованием ключа. Криптографический ключ известен только людям, отправляющим и получающим информацию.
Известны следующие виды ключей:
а) секретные ключи. Шифрование с использованием секретного ключа также известно как шифрование с использованием симметричного ключа. При таком методе шифрования для зашифровки и расшифровки данных используется один и тот же ключ. Применяется для систем шифрования, не обеспечивающих надежного уровня шифрования, так как при развитой системе шифрования ключ должен быть известен многим сторонам;
б) открытые ключи. Шифрование с использование открытого ключа подразумевает использование двух ключей: один открытый, другой – секретный. Открытый ключ используется для шифрования данных, а для их дешифровки применяется только секретный ключ. Для получения обоих ключей используется сложный математический процесс, поэтому они неразрывно связаны между собой. Механизм шифрования следующий: несколько передающих станций, обладая открытым ключом, шифруют информацию и передают ее. Ни один из отправителей не может расшифровать то, что передает другой. Когда получатель примет сообщение, он сможет расшифровать его только с помощью закрытого ключа, математически связанного с открытым ключом;
в) сеансовые ключи. Это ключи, которые выделяются на определенный промежуток времени. Основная проблема, связанная с распространением открытых ключей, состоит в том, что алгоритмы вычислений, используемые для получения ключей, слишком медленны для современных коммуникаций. Поэтому используется сеансовый ключ, с помощью которого создается ключ расшифровывания зашифрованных данных.
Алгоритм использования сеансовых ключей следующий.
-
Сеансовые ключи создаются при каждом соединении, требующем шифрования.
-
Данные зашифровываются с помощью сеансового ключа.
-
Сеансовый ключ зашифровывается с помощью открытого ключа получателя. Шифрование данных с помощью сеансового ключа происходит быстрее, чем с помощью открытого ключа.
-
Зашифрованные данные и зашифрованный сеансовый ключ отправляются получателю, который сначала расшифровывает сеансовый ключ с помощью секретного ключа, а затем расшифровывает данные с помощью сеансового ключа;
г) Сертификаты ключей – это контейнеры открытых ключей. В них обычно содержатся открытый ключ для получателя, такой же ключ для создания сообщений, сведения о времени создания ключа, список цифровых подписей.
2. Цифровые подписи. Не всегда обязательно зашифровывать сообщения, так как это отнимает много ресурсов компьютера. Иногда информация, содержащаяся в данных, большой ценности не представляет. Однако следует проконтролировать, чтобы передаваемые сведения не были умышленно искажены. Цифровые подписи используются для проверки подлинности отправителя, связывания двух сторон при обмене данными, проверки подлинности содержания, подтверждения того, что данные не были изменены при передаче.
-
Протокол Kerberos. Данный протокол значительно упрощает использование всех перечисленных механизмов шифрования. Он был создан в рамках среды Windows 2000, но благодаря ему проверка подлинности и защиты данных становится возможной и во всех других операционных системах. Протокол базируется на системе билетов – пакетов зашифрованных данных, выдаваемых центром распределения ключей KDC (Key Distribution Center). Билет выступает в роли “паспорта”, вместе с которым передается масса секретной информации.
Протокол Kerberos работает следующим образом. При входе в систему локальный сервер защиты производит проверку подлинности атрибутов клиента, предоставляя ему билет TGT (Ticket Granting Ticket - билет для получения билета), выступающий в качестве пропуска. Если клиенту требуется доступ к ресурсу сети, он предоставляет свой билет TGT контроллеру домена и запрашивает билет для получения доступа к ресурсу. Билет для доступа к определенному ресурсу известен как билет службы ST (Service Ticket). Когда необходимо получить доступ к ресурсу, данный билет ST предоставляется серверу ресурса. Права по работе с ресурсом определяются списком контроля доступа к ресурсу.