- •Передмова
- •Вступ. Вимоги до спеціалізованої комп’ютерної лабораторії
- •Архітектура комп’ютерної мережі лабораторії
- •Апаратне забезпечення
- •Програмне забезпечення
- •Підсистема розмежування доступу
- •Підсистема реєстрації
- •Характерні вразливості системи Unix
- •Хід роботи
- •Ознайомимося з довідковою документацією системних команд
- •Ознайомимось з форматом та змістом конфігів
- •Створимо політику безпеки кс, що регламентувала б питання контролю доступу, права на виконання певних програм та на адміністрування системи
- •Визначаємо місцезнаходження та ім'я файлу системного журналу аудиту
- •Створимо кілька користувачів та груп і призначте їм атрибути, що відповідають політиці безпеки
- •Створимо декілька файлових об’єктів (включаючи каталоги та посилання), відредагуэмо їх власників, групи та права доступу
- •Хід роботи Хід роботи
- •Контрольні запитання
- •Лабораторна робота №3. Захист реєстру операційної системи Windows nt Мета роботи
- •Теоретичні відомості
- •Огляд стандартних прав доступу в Windows 2000
- •Найбільш важливі ключі реєстру Windows nt/2000, яким потрібний захист
- •Захист вуликів sam і Security
- •Sam у мережі
- •Адміністративні рекомендації з захисту Windows nt/2000
- •Хід роботи
- •Лабораторна робота №4. Підсистема ідентифікації й автентифікації Мета роботи
- •Теоретичні відомості
- •Хід роботи
- •Хід роботи
- •Контрольні запитання
- •Лабораторна робота №6. Підсистема реєстрації Мета роботи
- •Теоретичні відомості
- •Хід роботи
- •Контрольні запитання
- •Список рекомендованої літератури
Архітектура комп’ютерної мережі лабораторії
Для виконання повного циклу лабораторних робіт мережа лабораторії повинна складатись щонайменше з двох сегментів, між якими встановлено комп’ютер, що відіграє функції міжмережевого екрана (брандмауера). Використання виділеного сервера не є обов’язковим. Будь-який сучасний жорсткий диск здатний вмістити повний набір програмного забезпечення і довідкової інформації. Комп’ютери, що відіграють роль міжмережевих екранів, також можуть використовуватись в якості робочих станцій.
В кожному сегменті мережі повинна існувати можливість прослуховування трафіка з усіх робочих станцій, для чого мережа повинна бути побудована за технологією Ethernet 10/100baseТ (топологія “зірка”) з використанням концентраторів (хабів). Можливо також застосування керованих комутаторів, які підтримують можливість дзеркалювання трафіку з одних портів на інші (таке рішення значно дорожче, складніше і має певні обмеження у використанні). Використання технології Ethernet 10base2 (топологія “загальна шина” з використанням коаксіального кабелю) не рекомендується через її застарілість.
Мережа лабораторії з міркувань безпеки не повинна мати вихід у зовнішню мережу, або повинна існувати можливість надійно заблокувати такий вихід (мова іде про безпеку зовнішньої мережі від впливів зсередини лабораторії в разі помилок при моделюванні атак).
Апаратне забезпечення
Апробоване рішення – комп’ютери на процесорах Celeron 667, оперативна пам’ять 128 МБ, НЖМД 10 ГБ, звукові карти не потрібні, вимоги до відеокарти не висуваються, НГМД не використовуються, 2 CD-ROM і 1 НГМД на всю лабораторію, мережеві карти – по одній в кожній робочій станції (можуть бути інтегрованими на системній платі) і по 2 в кожному міжмережевому екрані, монітори 15”.
Програмне забезпечення
За змістом лабораторних робіт частина робіт виконується в операційному середовищі UNIX, а частина – Windows NT (2000). Оптимальним варіантом з точки зору використання обладнання є інсталяція обох операційних систем на кожній робочій станції, що легко реалізується на будь-якому сучасному комп’ютері. При цьому для вибору режиму завантаження краще використовувати boot-manager системи UNIX.
Апробоване рішення – використання на всіх робочих станціях операційних систем Windows 2000 professional і FreeBSD UNIX 4.9. Не рекомендується на робочих станціях використовувати ОС Windows 95/98/МЕ, оскільки при цьому не буде можливості вивчати прийоми адміністрування систем лінійки Windows NT. За відсутності виділеного сервера для спрощення задач адміністрування слід передбачити виділену робочу станцію адміністратора з еталонною конфігурацією ПЗ і засобами для копіювання його на інші комп’ютери (наприклад, Norton Ghost).
Для ОС Windows рекомендується такий набір програмного забезпечення:
текстовий редактор, або програма, що дозволяє переглядати документи;
антивірусне програмне забезпечення;
мережевий сканер XSpider версії 6.50, або новішої (за можливості);
система виявлення вторгнень Snort (версія для Windows) з графічною оболонкою керування IDScenter;
середовище розробки програмного забезпечення, як мінімум, Borland C++ 3.1;
додаткове програмне забезпечення (за наявності), а саме: міжмережеві екрани, мережеві сканери, спеціалізовані “хакерські” утіліти, тощо.
Для ОС UNIX рекомендується такий набір програмного забезпечення і конфігурація системних засобів :
задіяні сервери DNS, telnet, ftp, ssh;
ipfirewall;
tcpdump, nmap;
середовище розробки програмного забезпечення, як мінімум, gcc;
система виявлення вторгнень Snort.
Можливе, але не обов’язкове і не апробоване використання графічної багатовіконної системи з будь-яким додатковим програмним забезпеченням, таким, як міжмережеві екрани, мережеві сканери, спеціалізовані “хакерські” утіліти, тощо.
Лабораторна робота №1. Механізми захисту операційної системи Unix
Мета роботи
ознайомлення з підсистемою захисту ОС Unix.
Теоретичні відомості
Підсистема ідентифікації та автентифікації
У системі Unix єдиними можливими суб'єктами доступу є користувачі, идентифікуючою інформацією яких є login, який іноді називають userid (ім'я-ідентифікатор з одного слова), а автентифікуючою – пароль (рядок символів, на який у залежності від конфігурації накладаються деякі обмеження). Пароль є однією з найбільш важливих частин забезпечення безпеки системи, оскільки заволодівши паролем користувача, зловмисник може працювати в системі з повноваженнями легального користувача. Тому дуже важливі правила вибору пароля. Існують засоби, що дозволяють адміністраторам:
задавати обмеження на пароль (наприклад, мінімальна припустима довжина, наявність у паролі заголовних букв і цифр, також можливе використання тільки паролів, згенерованих системою);
задавати обмеження по часу зміни пароля;
блокувати доступ користувача в систему при закінченні терміну дії паролю і при визначеному числі неуспішних спроб введення пароля;
задавати інші обмеження.
У явному вигляді паролі ніде в системі не зберігаються, а зберігаються їхні образи – результат виконання над рядком пароля деякої функції. Звичайно використовують одну з відомих криптографічно-стійких хеш-функцій – легкообчислювану функцію, для якої зворотна не може бути обчислена в прийнятний термін (у даний час найбільше поширення одержав алгоритм md5). Односторонність функції не дозволяє відновити пароль по його образу, але дозволяє одержати образ пароля, обчисливши значення хеш-функції, і таким чином перевірити правильність введеного користувачем пароля. Образи паролів і ідентифікатори користувачів разом з деякою додатковою інформацією зберігаються у файлі /etc/master.passwd (в деяких системах – /etc/shadow), доступ на читання і запис до якого має тільки суперкористувач (root). В сучасних версіях файл /etc/master.passwd взагалі не видимий для звичайних користувачів, що підвищує рівень захищеності системи. Та ж сама інформація, але без образу паролю, міститься у файлі /etc/passwd, що доступний для читання усім. Цим досягається те, що ніхто, крім суперкористувача, не може отримати образ паролю, тому що знання образу паролю дозволяє спробувати підібрати пароль методом перебору.
Формат файлу /etc/passwd стандартний для всіх систем Unix. Файл текстовий, його можна переглядати за допомогою текстового редактора або утіліт cat, more та інших. Оскільки структура файлу подібна до бази даних, кожний рядок називається записом. Він визначає дані стосовно одного користувача. Кожний запис має 7 полів, що розділені символами “:”. Значення полів такі:
login (ідентифікатор користувача),
символ “*” (колись це поле займав образ паролю),
UID (числовий ідентифікатор користувача, який використовується системою),
GID (числовий ідентифікатор первинної групи користувача),
додаткова текстова інформація про користувача, яку система може виводити,
“домашній” каталог користувача, в якому користувач розпочинає роботу,
програма, яку система запускає від імені користувача, для того, щоби він розпочав роботу в системі.
Файл /etc/master.passwd в системі FreeBSD Unix відрізняється від /etc/passwd лише тим, що в ньому в другому полі містяться образи паролів. В інших системах аналогічний файл може мати іншу назву (наприклад, в системі Solaris від Sun Microsystems для цього існує файл /etc/shadow) і інший формат (інші значення всіх полів, крім першого і другого).
Редагування файлу /etc/passwd можливо в звичайному текстовому редакторі, але може мати непередбачувані наслідки. При редагуванні не змінюється файл /etc/master.passwd (або інший, властивий конкретній системі). Отже, таким чином не можна додавати або видаляти користувачів. При редагуванні файлу /etc/master.passwd зміни можуть мати ефект, але слід подбати, щоби інформація в /etc/passwd була синхронізована з /etc/master.passwd. Для цього існують спеціальні утіліти, наприклад, є утіліта vipw, доступна суперкористувачу. В системі FreeBSD Unix вона запускає редактор vi для редагування файлу /etc/master.passwd, а при спробі збереження файлу перевіряє коректність змін і автоматично вносить відповідні зміни до /etc/passwd. В системі Solaris (Sun Microsystems) вона, навпаки, редагує файл /etc/passwd, а для поновлення інформації в файлі /etc/shadow існують додаткові системні засоби. В інших системах процедура може відрізнятись.
Стандартна процедура идентификації-автентификації полягає в тому, що у відповідь на запит системи користувач уводить свій ідентифікатор і пароль, а система, використовуючи інформацію, що зберігається у файлі /etc/master.passwd перевіряє відповідність паролю. За цю процедуру відповідає системна утіліта login. Якщо пароль правильний, відбувається авторизація користувача, що для Unіх'а полягає в запуску програми, яка вказана в останньому полі запису для даного користувача в файлі /etc/master.passwd. Як правило, це один з наявних в системі shell – програмних оболонок, що дозволяють користувачеві запускати програми і керувати їх виконанням. Уся робота користувача в системі відбувається в межах shell, вихід із нього – це вихід із системи.