- •1. Законодательная база по зи.
- •Законы «о гос. Тайне», «о коммерческой тайне», «о персональных данных»
- •Гост 15408, 13335, 2700.1
- •Глава 28 ук рф.
- •Глава 4 гк рф.
- •2. Классификация угроз, меры и принципы защиты.
- •3. Общие методы шифрования.
- •4. Гост 28147-89
- •Режим простой замены (ecb).
- •Режим гаммирования (ofb - output feedback).
- •Гаммирование с обратной связью (cfb).
- •Режим выработки имитовставки (cbc).
- •5. Семейство «Криптон».
- •6. Понятие Key Recovery.
- •7. Понятие ассиметричной криптографии, схемы её практического использования.
- •8. Алгоритм Диффи-Хэлмана, rsa.
- •9. Контроль целостности, хэш-функции, российский стандарт хэш-функции.
- •10. Понятие, стандарты, реализация электронной подписи.
- •11. Сертификаты, са, ssl, аутентификация с помощью сертификатов.
- •12. Стеганография(сг). Цифровые водяные знаки.
- •14. Классификация сзи по уровню контроля отсутствия недекларируемых воздействий.
- •15. Биометрические методы идентификации
- •16. Электронные идентификаторы iButton.
- •17. Secret Net5.0-c, архитектура сзи нсд, состав семейства, администрирование системы и пользователей, организация разграничения доступа, контроль целостности, аудит.
- •18. Электронные ключи.
- •20. Защита информации в Windows nt/2000/xp/2003/Win7. Объект доступа. Efs, наследование. Bitlocker.
- •21. Защита информации в Windows nt/2000/xp/2003. Аудит.
- •22. Защита реестра в Windows nt/2000/xp/2003.
- •23. Особенности зи в Windows Vista, Win7.
- •Правила для приложений
- •25. Классификация и показатели защищенности межсетевых экранов согласно руководящему документу фстэк.
- •26. Понятие vpn и схемы реализации взаимодействия с провайдером.
- •Шифрующая файловая система (Encrypting File System, efs) — компонент ntfs 5.0, с помощью которого пользователи Windows могут обеспечить конфиденциальность файлов на диске формата ntfs.
26. Понятие vpn и схемы реализации взаимодействия с провайдером.
VPN – Защищенная виртуальная сеть.
Раньше для установления удаленного соединения использовались выделенные линии, но в последнее время получил популярность при использовании глобальных сетей (интернет) для организации связи между различными подразделениями. При этом возникают 2 задачи:
Защита подключения к открытым линиям связи.
Защита информации при её передаче по открытым каналам связи.
Первая задача решается с помощью МСЭ, которые располагаются на границе корпоративной сети.
Объединение корпоративной сети и отдельных компьютеров через открытую внешнюю сеть в единую виртуальную сеть, обеспечивающая безопасность циркулирующих данных, называется VPN.
VPN используется для решения 3-х разных задач:
Для реализации связи между офисами компаниями, т.е. для реализации Intranet’а.
Для соединения частной сети компьютеров с её деловыми партнерами, т.е. Extranet.
Взаимодействие корпоративной сети для мобильного использования или для работы сотрудников дома.
Возможны 3 схемы взаимодействия при реализации VPN:
Пользовательская схема – предприятие самостоятельно защищает собственные данные передаваемые через сеть.
Тут есть: VPN клиенты и VPN шлюзы.
От провайдера получают только выход в Интернет.
«+»:
- Полный контроль над защитой сети.
- Безопасность от конца в конец.
«-»:
- заметная стоимость VPN устройств и их обслуживание.
- Хуже масштабируемость, необходимо приобретать, устанавливать и конфигурировать VPN-шлюзы в каждом новом офисе, для каждого начальника.
2. Провайдерская схема.
VPN реализуется провайдером которая устанавливает в сети свои шлюзы, которые образуют открытый канал для клиентов которые заплатили. Это хорошо масштабируемое решение. Управляемо, централизуется администратором сети провайдера. Отпадает необходимость покупки VPN шлюзов и клиентов.
«+»:
- легкость включения новых пользователей и новых офисов.
«-»:
- сомнения в надежности в защите незащищенными оказываются участники между клиентом и провайдером.
- полностью доверяете провайдеру.
Смешанная схема.
Подразумевает установку VPN устройств как со стороны провайдера так и со стороны заказчика.
Требования к VPN продуктам:
Производительность, VPN реализует шифрование и аутентификацию что требует ресурсов.
Управляемость, желательно поддерживать удаленное управление VPN устройствами, также должны поддерживаться разные уровни управления; управление VPN устройствами должно осуществляться через защищенный канал.
Совместимость.
Надежность защиты и функциональная полнота, зависит от способов и разнообразия методов шифрования, алгоритмов, использованной длины ключей. В более продвинутых версиях встроена функция обнаружения атак.
-----------------------------------------------------------------------------------------------------------
AppLocker - это новый компонент в Windows 7 и Windows Server 2008 R2, при помощи которого можно указать, какие пользователи и группы в организации могут запускать определенные приложения в зависимости от уникальных идентификаторов файлов. При использовании AppLocker можно создать правила, разрешающие или запрещающие запуск приложений.
Современные организации сталкиваются со множеством трудностей в управлении выполнением приложений. Им приходится отвечать в том числе и на такие вопросы:
К каким приложениям должен иметь доступ пользователь?
Каким пользователям нужно разрешить устанавливать новое программное обеспечение?
Какие версии приложений следует разрешить?
Как управлять лицензированными приложениями?
Чтобы решить эти задачи, AppLocker позволяет администраторам указать, какие пользователи могут запускать конкретные приложения. При помощи средства AppLocker администраторы могут управлять следующими типами приложений: исполняемыми файлами (.exe и .com), сценариями (.js, .ps1, .vbs, .cmd и .bat), файлами установщика Windows (.msi и .msp) и файлами DLL (.dll и .ocx). Это помогает сократить затраты организации на управление вычислительными ресурсами, благодаря снижению числа обращений в службу поддержки, поступающих от пользователей, которые запускают недопустимые приложения.
------------------------------------------------------------------------------------------------------------
Аутентификация пользователей при входе в систему.
Пользователь при входе в систему указывает свое имя и пароль. Они могут сравниваться с базой учетных записей, которые могут находится либо на компьютере, входа при использовании локальной учетной записи ,либо выбрать домена. После успешной аутентификации становятся доступны ресурсы компьютера или домена.
Процесс интерактивного входа в систему состоит из этапов:
Пользователь нажимает Ctrl+Alt+Del , даже если поле ввода пароля уже есть на экране. Это защищает от программ которые пытаются себя выдать за ОС и нелегально зафиксировать имя и пароль.
Процесс входа вызывает подсистему локального администратора(LSA-Local Security Administration).
Локальный администратор безопасности обращается к пакету аутентификации.
Пакет аутентификации разбит на 2 части: одна выполняется на компьютере входа, вторая на компьютере базы учетной записи. По имени домена определяется, где находится база учетной записи. Если база далеко ,то с помощью пакета пересылается запрос на удаленный компьютер, где вторая часть пакета аутентификации производит проверку подлинности. Проверка проводится диспетчером учетной записи. Аутентификация проводится на базе учетной записи. Диспетчер учетной записи возвращает идентификатор безопасности пользователя и групп в который он входит.
Пакет аутентификации создает сеанс входа и передает её ,а также все идентификаторы безопасности по локальному сайту безопасности. Тут проверяет администратор данный тип входа. Если не разрешается, сессия уничтожается, если разрешается то, создается маркер пользователя содержащий группы и привилегии. Передается на процесс входа.
Процесс входа вызывает подсистему win32 и присоединяет полученный от LSA маркер доступа к созданному процессу, создавая маркер доступа.
До начала интерактивной сессии подсистема win32 создает контроль пользователя.
Идентификатор безопасности (SID).
Создаются при создании учетной записи и используются как уникальный идентификатор в маркере доступа и списке контроля доступа. При переименовании учетной записи сведения изменяются.
При создании нового пользователя с именем ранее удаленного пользователя будет сгенерирован новый шифр и новый пользователь не получит прав старого пользователя.
Структура SID:
SI-X-Y1-YN
(RID)
SU – номер версии. N- число подразделений (не указывается в поле), X- номер ведомства.
Y1…Yn – число подразделений.
Для уникальности SID используют текущую дату и время и исходную информацию.
SID учетной записи одного домена отличается последним подразделением.
Кроме обычных SID существую предопределенные (известные) SID.
К общеизвестным относятся SID с предопределенным подразделением : например, встроенная учетная запись администраторов имеет ранг 500.
Привилегии пользователей.
Разрешение на выполнение действия выдается после сравнения идентификатора безопасности.
Некоторые действия пользователя не связаны с объектом. Возможность резервного копирования не зависит от возможного разрешения на них.
Предоставляются специальные права пользователя:
Привилегия. Заносятся в маркер доступа. Могут выполнять ряд специфичных операций (резерв. копирование).
Вход в систему. Возможность пользователя входить в систему. Позволяют создавать маркер доступа. Локальный вход: вход по сети, в качестве службы, пакетного задания.
Начиная с Windows XP появилась пара прав связанных с терминальным доступом.
Маркер доступа(MD)
При входе пользователя в систему локальный администратор безопасности создает MD. В нем указываются поля:
SID пользователя и групп, в которые он входит.
Набор привилегий пользователя.
SID владельца и редакционный список контроля доступа (DACL) , который будет присваиваться вновь созданному объекту.
Уникальный локальный идентификатор, маркер, сессии и версии маркера.
Тип маркера (первичный, в процесс олицетворения).
Уровень олицетворения.
Признак ограниченного маркера, идентификатор терминального сеанса.
Монитор безопасности – единственная система безопасности, которая работает на уровне ядра. Использует MD при попытке пользователя получить доступ.
Олицетворение.
Windows разрешает одному процессу взять атрибуты другого процесса по средствам олицетворения.
Сервер обычно использует контекст безопасности тех, чьи запросы выполняются.
При установки связи с сервером клиент может указать уровень олицетворения, которое следует использовать серверу.
Сервер создает новый маркер доступа.
Значения уровня олицетворения:
Security Anonymous - процесс сервера не имеет права получать информацию впреть.
Security Identification – разрешает серверу запросить маркер доступа, связанный с клиентом и узнать SID пользователя и групп, но не позволяет серверу производить олицетворение.
Security Impersonation – сервер может пользоваться практически всеми правилами привилегиями клиента, но не может установить от имени пользователя новое сетевое соединение с другим компьютером.
Security Delegation – серверному процессу разрешено вступать от имени клиента как на локальном, так и на удаленном компьютере.
Редактор шаблонов.
Появилось с Windows 2000 для создания и редактирования конфигураций безопасности.
Шаблон настраивает следующие: компонент политика учетной записи, компонент локальной политики, журнал событий, настройка групп с ограниченным доступом, настройка системных служб, системного реестра, безопасности файловой системы.
Applocker.
При построении защиты РС пользователем используется только доверенное ПО.
В Windows XP Server необходимо реализовать замкнутую программную среду.
В Windows 2003 это достигается политикой ограничения использования программ (файл для сертификата – наиболее надежный вид файла, ограничение доступа на основе ЭЦП).
Недостаток: границы широки.
TMP.
Модуль доверенной платформы. Микросхема устанавливается на матплате компьютера. Он обеспечивает доверенную загрузку компьютера. Он используется начиная с Vista. Обеспечивает хранение шифра ключей.
При использовании главного модуля необходимо выполнить инициализацию ключей. Создается пароль владельца и при необходимости его сброс. Пароль можно сохранить в виде файла .TMP
Модуль можно отключить.
Система шифрования диска появилась начиная с Vista Interprise. Она позволяет зашифровать весь логический диск.
Групповые политики безопасности.
Для настройки безопасности используется средства анализа безопасности (настраивают на отдельно взятом компе). При необходимости применить взаранее настроенные политики безопасности на всех компах корпоративной сети, вы можете использовать групповые политики. Они появились, начиная с W2000 и пришли на смену системным политикам, которые использовались в W9x и WNT. Групповая политика создается централизованно и применяется как к компам, так и к пользователям, работающим в сети. Выделяют компьютерные настройки и пользовательские настройки. Настроенная политика называется GROUP POLICY OBJEKT (GPO/объект групповой политики она применяется к контроллеру групповой политики. Роль контроллера может играть узел или сайт).
DOS атаки и способы защиты от них
DoS-атаки или атаки, вызывающие отказ в обслуживании, – это атаки, в результате которых атакуемая система приводится в нестабильное либо полностью нерабочее состояние. Последствиями такого типа атак может стать отсутствие возможности использовать информационные ресурсы, на которые они направлены (например, невозможность доступа в интернет).
Они следуют за подтверждением связи между клиентом и сервером и определяют, является ли сеанс допустимым. Используют информацию из заголовков пакетов TCP. Процедура проверки:
Когда авторизуемый клиент запрашивает сервер, МЭ принимает запрос. Он проверяет, удовлетворяет ли клиент базовым условиям фильтрации. МЭ экран передает запрос на сервер и следит за процедурой обмена пакетами с флагами синхронизации и подтверждения.
"SYN" – пакет содержит произвольное число, и является запросом клиента на открытие сеанса (ответом является флаг подтверждения). А также является подтверждением принятия запроса от клиента, после чего осуществляется обратная процедура.
Сервер посылает клиенту пакет с флагом "SYN", содержащие произвольное число и клиент отвечает пакетом подтверждения "ACK".
Если сеанс связи уже установлен МЭ просто перенаправляет пакеты без проверки.
МЭ сеансового уровня способны бороться с DoS атаками.
DoS атаки – например SYN flooding – атака пакетами с флагами SYN. При получении пакета сервер выделяет память для установки нового соединения. В большинстве ОС существуют ограничения на число соединений либо на объем памяти. И пока сервер не получит пакет с флагом ACK и с флагом RST, он будет продолжать резервировать память. Злоумышленник посылает много пакетов SYN от несуществующего компьютера. При этом память быстро исчерпывается и сервер не может обслуживать запросы.
Защита – SYN Defender – за счет быстрого ответа память сервера, выделяемая по установление нового соединения, никогда не переполниться. После этого МЭ ждет ответа от клиента и передает или блокирует передачу на сервер, если пакет ACK от клиента не поступает.
МЭ подает на сервер пакет с RST.
EFS. Особенности применения.
Существовавшие ранее утилиты имели ряд недостатков
1.Ручные шифрование и расшифровка
2.Возможна утечка через файл подкачки, где могут оставаться ключи шифрования и временные файлы.
3.Необходимость запоминания большого числа паролей
4.Невозможность восстановления данных авторизованными пользователями в экстренных ситуациях.