Options — Лекции по «Основам информационной безопасности»

  • От :
  • Категории : Без рубрики

 

^

Flags – согласование параметров на этапе соединения

Window – размер окна –количество данных, которые могут быть переданы без подтверждения от адресата.

1 2 2 1

SYN, SN1 SYN, ACK,SN2

11

ACK

1 2

1 2

SYN,ACK,SN1 FIN

ACK
FIN – если один из хостов хочет завершить соединение, то формирует TCP- пакет, в котором установлен флаг FIN.

^

LAND: № порта отправителя =№ порта получателязацикливание

Защита: фильтры и межсетевые экраны

WinNuke Urgent Pointer: нарушитель формирует пакет, где хранятся данные TCP_00B. Причина: ошибка разработчиков при реализации стека TCP/IP.

Сбор информации по номерам открытых портов. SYN – сканирование, XMAS – сканирование.

Идентификация типа ОС. Причина: разные ОС по-разному реагируют на получаемые пакеты данных(некорректно сформированные). Пример: Nmap-сканер производит аудит типа ОС.

Сетевые атаки прикладного уровня.

Уязвимости – технологические и эксплуатационные.

Технологические – наиболее неизвестные: buffer overflow, полностью нарушает работоспособность(уязвимость – особенности реализации стека в процессорах Intel). Стек – область памяти для временного хранения служебных данных. Работа осуществляется с помощью следующих базовых регистров – SS,SP,BP.

SPДанные

SS

PUSH void test(int a, int b, int c)

{char p1[6], char p2[9]}

POP void main(){test( 1,2,3)}

Способы кодирования информации:

2B1Q – за 1 такт передает 2 бита информации

2B1Q

00

01

10

11

наличие 4-х уровней сигнала

метод избыточного кодирования – передача дополнительной информации, чтобы уменьшить число подряд идущих 0 и 1 .

FastEthenet.

Сетевые технологии входят в рамки проекта 802.X(IEEE)

  1. стандарт 802.1 – механизмы межсетевого взаимодействия (InternetWorking)
  2. 802.2 – методы доступа к физической среде передачи информации(LLC)
  3. 802.3 – технология Ethernet
  4. 802.4 – Token Bus
  5. 802.5 – Token Ring
  6. 802.6 – MAN(Metropolitan Area Network)
  7. 802.10 – Информационная безопасность сети
  8. 802.11 – беспроводные сети связи (WAN)

802.3. Технология Ethernet.

технология передачи данных с использованием единой шины в разделенной среде передачи информации. В процессе взаимодействия компьютеры используют метод множественного доступа с контролем несущей и обнаружением конфликтов(CSMA/CD – Carrier Sense Multiple Access with Collision Detection).1 этап – хост убеждается, что общая шина не занята – отсутствует несущая(определяется по частоте сигнала 10 Mhz). После завершения передачи данных – пауза 9 сек., чтобы не монополизировать общую среду. 2 хоста , одновременно передающих информацию коллизия, тогда первый хост передает jam-последовательность, которая усиливает и прекращает передачу информации. После блокировки коллизии – пауза.Разделенная среда передачи – кадры данных, формируемые отправителем, получаются всеми хостами, подключенными к разделенной среде.Технология Ethernet работает на канальном уровне, единица информации – кадр данных. Рассмотрим структуру кадра данных. Любой кадр данных начинается с преамбулы(специальная последовательность из 8 байт, которая идентифицирует начало кадра данных и позволяет компьютеру определить факт начала получения данных )-10101011. После преамбулы следует 6-байтовый адрес назначения(МАС), где первые 3 байта – производитель сетевой карты, 2-е – порядковый номер сетевой карты. 3–е поле – адрес источника(6 байтов), 4-е поле – тип данных – тип протокола, на основании которого сформированы данные, инкапсулированные в Ethernet-кадр(не зависит от конкретной среды передачи информации).5-е поле – сами данные(максимальная длина –1500 байт ). 6-е поле – поле контрольной суммы, по которой сетевой адаптер проверяет целостность данных.Основные типы сетей Ethernet:10 Base-2 — тонкий коаксиальный кабель10 Base-5 – толстый коаксиальный кабель10/100 Base-T – витая пара1000 Base-F –волоконно-оптическийкабель витой пары patch code:прямой – для подключение компьютеров к коммутаторам и концентраторамобратный(crossover) – для подключения 2-х компьютеров друг к другу, а также 2-х коммутаторов.Витая пара – 4 кабеля – 1-передает данные, 2- принимает, 3,4-свободны.В концентраторах есть порт uplink(для подключения медленных устройств к высокоскоростной магистрали), обычно это самый левый или самый правый порт. Коммутаторы, которые подключаются к uplink должны иметь crossover, хотя в новых коммутаторах порт может быть перепрограммирован.

Switch

crossover

hub

Switch

^

В Token Ring информация передается в одном направлении со скоростью 4/16 Mbit/s. В Token Ring в отличие от других технологий Ethernet предусмотрен механизм отказоустойчивости передачи данных. В определенный момент времени одна из станций выполняет роль активного монитора(следит за возникновением коллизий).

В сетях Ethernet всегда циркулирует Token(маркер). В маркер помещается порции данных и отправляются в сеть, маркер проходит последовательно через все хосты, если адрес получателя совпал, то копирует в буфер на обработку, проходит по кольцу до отправителя, подтверждает передачу, после этого он освобождается от данных и заново перенаправляется в сеть. В Token Ring используется параметр: время использования маркера.

Token Ring – технология с разделенной средой передачи данных. Также в сетях Token Ring поддерживается механизм приоритезации данных, в маркере указывается уровень приоритета(0-8) и каждому компьютеру, подключенному в сеть, назначается уровень приоритета. Если уровень приоритета хоста>уровня приоритета маркера, то информация передается.

Структура маркера и кадра данных Token Ring.

Маркер:

1 поле – начальный ограничитель(преамбула)

2 поле – поле управления доступом:

  1. подполе приоритета
  2. маркера
  3. бит монитора(признак получения информации одним из хостов, 0 –данные получены)
  4. резервные биты приоритета
  5. конечный ограничитель – фиксированное значение, определяющее длину маркера

Кадр данных:

^

2 поле — адрес отправителя

3 поле – адрес получателя

4 поле – данные

5 поле – поле управления кадром данных

6 поле – контрольная сумма

7 поле – конечный ограничитель

Для объединения хостов используется кабель типа «витая пара».

На основе технологии Token Ring была разработана ее модификация FDDE(File Distribution Data Environment) – тоже кольцевая топология, физическая среда – оптика, позволяет одновременно организовывать несколько колец(могут работать одновременно, либо в горячем, либо в холодном резерве), при этом информация передается нескольких направлениях, обладает повышенной отказоустойчивостью.

Протоколы для передачи данных в сетях с коммутацией пакетов: 3 базовых:

1976 – X.25 – невысокая пропускная способность, внедрен в большое количество организаций: банковские, корпоративные, служебные сети(Sprint, RosNet,Сбербанк )

Подключение к сети X.25 осуществляется при помощи терминального оборудования, устанавливаемого на стороне пользователя.

^

  1. центр коммутации пакетов(роль амортизаторов, передача информации)
  2. пакетные ассемблеры/дизассемблеры(для подключения простого асинхронного оборудования к сетям X.25)
  3. центр управления сетью(управляет центром коммутации пакетов)
  4. шлюз(организация взаимодействия 2-х сетей X.25)

Стек протоколов X.25 включает 3 уровня: физический, канальный, пакетный).

Пакетный уровень — используется протокол PLP-Packet Layer Protocol – предназначен для решения задач:

  1. организация виртуального соединения(PVC — Permanent Virtual Circuit(постоянное) , SVC –Switch Virtual Circuit(коммутируемое) )
  2. LCI (Logic Circuit Identifier) – коммутация пакетов в сети, содержат специальный адрес, который меньше IP адресата. MPLS(Multiprotocol Lable Switching)-амортизация в IP-сетях на основе меток(закрытый корпоративный протокол CISCO)
  3. контроль целостности и последовательности передачи информации(канальный уровень – протокол LAPB(Link-Access Protocol Balanced – сбалансированный протокол доступа к звену связи)-формирует последовательность кадров данных, контроль целостности, и правильности, физический уровень – RS-232,X.21, V.35)

Лекция 3.

int main (int arg c, char *arg v)

{char a1[4]=”abc”;

char a2[8]=”defghi”;

strcpy(a2,”0123456789”);

printf(“%sn”,a1);

return 0;

}

Структура стека до выполнения операции strcpy

d e f g

h i g

a b c

переносим значения

0 1 2 3

4 5 6 5

8 9

В итоге Instruction Pointer переходит на то, место, где происходит передача управления.

Уязвимость класса SQL Injection

связано с несанкционированным изменением SQL-запроса, что приводит к нарушению работы СУБД. SQL-запросы формируются на основе входных данных пользователя, если в процедуре нет проверки корректности работы, то пользователь может нарушить работу СУБД.

^

StrCheck=GetQueryResult(SQLQuery);

If strCheck=” ” then boolAuth=False else boolAuth=True

EndIf.

Можно обойти процедуру аутентификации, если strUsername=strPassword=’OR””

Если первая строка таблицы=boolAuth=True

2) Также при вводе данных используется оператор UNION

^

Уязвимость с целью несанкционированного изменения данных

SELECT Smth From Smth INTO — результаты выборки добавляются в другую таблицу.

Уязвимость типа Format String

связана с тем, что в программе не проверяется значение формата строки, он записывается в отдельную переменную и таким образом получается доступ к стеку программы

printf(,)

актуальна для Web-приложений, содержащих эту функцию

Delay of Sevice(DoS), Distributed Delay of Service(DDoS)

Нарушение работы программы путем формирования большого количества запросов

Пример атаки – SYNFlooding – объекту атаки отправляется большое количество TCP-сегментов с установленным флагом SYN, при получении такого пакета хост резервирует большое количество ОПнарушение работоспособности

^

2 документа, определяющие правила фильтрации: RFC 1918 и 2827(для снижения последствий)

Создание ложных DNS-серверов.

DNS-сервера служат для трансляции символьных имен в IP-адрес, сервер хранит информацию об определенной зоне DNS-имени.

^

Корневой домен

ru us com net

mati rnt

it service домен 1 уровня

Для определения IP-адреса формируется запрос DNS-серверам, где указывается IP-адрес, ответ – по IP- адресу отправителя. Корневой каталог – локальная база – если нет, то обращаются к корневому домену. Особенность DNS – не предусмотрено механизмов аутентификации субъектов соединения(можно давать ложный ответ от ложного сетевого объекта) .

^

  1. Система обнаружения вторжений(Intrusion Detection System)

I. датчики – устанавливаются в сегментах АС и выполняют функцию сбора информации о сетевом трафике, циркулирующем в заданном сегменте

3 основных способа подключения датчиков:

  1. к специальным SPAN(Switch Package Analyzer)-портам коммутатора – перенаправляет на себя информацию, передаваемую на другие порты
  2. подключение к концентраторам
  3. в разрыв канала связи

II. модуль анализа данных
III. модуль реагирования

IV. модуль управления СОА

2 группы методов выявления атак:

  1. поведенческие(пример — выявление атак на основе частотных отклонений)
  2. сигнатурные(описывают атаку в виде специального выражения, задаваемого специальным языком или шаблоном)

^

Модель реагирования СОА может выполнять активные(выполнение операций, позволяющих заблокировать атаку – реконфигурация межсетевого экрана(фильтры), принудительное закрытие TCP-сессии) и пассивные(оповещение администратора путем отображения сообщения на консоли или оповещением по почте) функции. Требование – наличие аутентификации администратора безопасности.

^

  1. внешние(собственный механизм сбора информации)
  2. интегрированные(базируются на механизмах, которые присутствуют в ОС хоста, где они установлены)

Коммерчески реализованные – RealSecure, NetPower.

Лекция 4.

Системы класса IDS.

Рассмотри 2 типа датчиков:

  1. сетевые(устанавливаются в определенном сегменте сети)
  2. хостовые(установлены на конкретном сервере)

Сравним их функции:

  1. возможность обработки данных, передаваемых по крипто-защищенным каналам связи(протоколы IPSec, Ipv6, SSL/TLS )

сетевые датчики не имеют возможности обрабатывать крипто- защищенные данные, они перехватывают данные на канальном уровне, хостовые могут, это достигается за счет того, что хостовой датчик может функционировать на уровне приложения, т.е. информация перехватывается на прикладном уровне(ISAPI-фильтр – функционирует на уровне сервера)

  1. обработка сетевого трафика, передаваемого по высокоскоростным каналам связи(1 Gbit). Сетевые датчики не могут(часть пакетов отбрасывается, очередь, переполнение), хостовые могут(установлены на конкретном сервере.)
  2. возможность защиты межсетевого экрана и коммутационного оборудования IS. Сетевые датчики могут путем установки их в том сегменте, где присутствует защищаемое оборудование(амортизаторы и коммутаторы).

в

СД

неш. сеть

  1. влияние на производительность IS. Сетевые датчики не влияют(пассивные режим работы, к ним поставляется копия трафика), хостовые датчики устанавливаются на конкретные сервера и отнимают часть вычислительных ресурсов в процессе работы.
  2. источники исходных данных. Сетевые датчики – пакеты, хостовые – содержание журналов аудита на хостах, где они установлены + данные в сети(Unix – журналы SYSLOG, Windows – Application,System, Security)
  3. работа датчиков в сегментах систем, состоящих из большого числа хостов. Сетевые и хостовые датчики оптимально использовать одновременно

Основные методы сбора информации датчиками:

/В UNIX штатные средства — при помощи библиотек libpcap –дают возможность работы с низкоуровневыми адаптерами , в Windows для сбора информации и обнаружения вторжений реализована WinPcap /

-непосредственно от источника(перехват события, анализ)

-опосредованно через промежуточный программный компонент(реагирование средствами ОС)

^

Методы обнаружения атак:

    1. Компания Ethernet использует свои механизмы для сбора информации о системе
    2. Intruder компании Alert

Хостовые датчики – топологии: интегрированы на уровне ядра ОС или приложения, сетевые – отдельные программы, взаимодействующие с операционным или прикладным окружением.

^

Преимущества интегрированных датчиков:

  1. меньший размер используемого кода – используют ресурсы существующих приложений
  2. меньший объем ОП
  3. доступ к большему объему данных, необходимых для обнаружения атак

Комбинированное использование целесообразно.

Пример контекстного поиска:

Задан шаблон SET */etc/ passwd HTTP10.

Атака LAND. N-code NFR.

If (ip.src==ip.dest)

{system time, ip.src to land_record;}

Метод анализа состояния.

В рамках метода определяется множество состояний, в которых может находится IS и каждая сигнатура атаки представляет собой последовательность таких состояний, наличие которых представляет собой определение атаки.

^

2. метод выявления, базирующийся на экспертных системах(каждая сигнатура описывается на специальном языке с высоким уровнем абстракции, анализатор включает 2 компьютера-база знаний и база правил)

  1. методы, основанные на биологических моделях(базируются на моделировании нейронных сетей, генетических алгоритмов, иммунных систем /Лаборатория Гарадецкого, Питер, финансирует ВВС США/)
  2. основной и наиболее распространенный – поведенческий метод выявления атак – статистические метод.

Примеры статической модели:

  1. штатный процесс функционирования системы описывается в терминах статических параметров, если превышается пороговое значение- атака
  2. модель среднего значения и среднеквадратичного значения – для каждого статического параметра определяется доверительный интервал на основе математического ожидания и дисперсии, выход за рамки – признак атаки
  3. многовариационная модель – основана на предыдущих 2-х, но учитывает корреляцию между большим количеством статических показателей
  4. методы, базирующиеся на экспертных системах

С точки зрения теории на разных логических уровнях функционирования системы оптимально применять разные методы. Практически 90% существующих систем используют сигнатурный метод.

^

Базовый метод пассивного реагирования – оповещение администратора о выявленной атаке.

Типы: вывод сообщения на консоль, посылка почтовых сообщений, посылка SNMPTrap-сообщений(сообщения, свидетельствующие о нештатной ситуации). Сообщение о выявлении атаки формируется в соответствии со стандартом IDMET, разработанном компанией IETF: сообщение должно включать в себя следующую информацию –дата и время выявления атаки, общее описание атаки с возможными ссылками на внешние источники информации, символизирующие о уязвимости. Существует 2 основных классификатора: CVE(Common Vulnerability Explosion),CERT(Computer Emergence Response Team).

^

Рекомендации по устранению уязвимости:

  1. блокирование TCP-соединения, по которому выявлена атака
  2. реконфигурация межсетевого экрана(блокировка опасных пакетов)
  3. блокировка учетной записи пользователя, от имени которого проводится атака
  4. запуск внешней программы

До последнего времени СОА носили пассивный характер.

2001 г. Gartner Research опубликовала отчет, где описывалась гибель пассивных методов ОА. Вышла IPS –система обнаружения и предотвращения атак,

Критерии фильтрации TCP-трафика, позволяющие выявлять и обнаруживать атаки:

  1. IP-адрес отправителя и получателя HTTP-трафика
  2. номера TCP-портов Web-сервера
  3. методы формирования HTTP-запросов
  4. информационные ресурсы Web-сервера
  5. параметры HTTP-запросов(ограничения на имена параметров и их значения содержатся в теле HTTP-запросов)

На системном уровне – блокировка приложений, нарушающих заданные положения безопасность(Комплекс «Урядник», StaffView, NetIQ).

Методы тестирования СОА(основаны на определении количества ошибок 1-го и 2-го рода, которые возникают в процессе работы системы):

^

2 род – СОА не выявляет атаки на систему

Лекция 5.

Межсетевые экраны.

— средства контроля за информацией, поступающей(выходящей) из ИС и обеспечение защиты ИС посредством фильтрации информации, т.е. ее анализа по совокупности критериев и принятие решений о ее распространении в/из ИС.

^

Сетевой уровень – IP-адреса, тип протокола.

E
МЭ

ЛВС

xternal Internal

DMZ

демилитаризованная зона

содержит информацию, которая

должна быть доступна внутренним и

внешним пользователям

буферная зона

Межсетевой экран настраивается таким образом, что нельзя отправить запрос из сегмента DMZ в корпоративную ЛВС.

Транспортный уровень –номера портов. Средства разграничения доступа.

^

  1. пакетные фильтры(на основе параметров сетевого и транспортного уровня, рассматривает каждый пакет в отдельности)
  2. StateFall Firewall – МЭ с контролем функции состояния(позволяет выполнить дефрагментацию дейтаграмм и сборку TCP-сегментов и после и затем применяет кр. фильтр к целому пакету )
  3. фильтрация пакетов данных на прикладном уровне (команды и параметры отфильтровываются с помощью метода get)

Кр. фильтр задается с помощью 2-х типов политики безопасности:

  1. что явно не запрещено –разрешено
  2. все, что явно не разрешено – запрещено

В ряде случаев межсетевой экран выполняет функции прокси-сервера.

Функция проксирования позволяет выполнять

  1. кэширование информации(все запросы и ответы фиксируются в определенные промежутки времени и затем анализируются прокси)
  2. проксирование – сокрытие внутренней топологии ИС(во вне передается IP-адрес прокси-сервера)
  3. защиту ресурсов, доступ к которым осуществляется через прокси-сервер

Основные игроки на рынке:

^

CheckPoint – программный комплекс, более широкие возможности

^

Документы РФ по МЭ: 5 классов в зависимости от степени секретности информации(5-й – наименьшая важность).

МЭ, выполняющие функции прокси-сервера, могут быть использованы для аутентификации пользователя. Современные межсетевые экраны позволяют передавать информацию по каналам связи со скоростью до Гб. МЭ – краеугольный камень защиты. СОА дополняет свойства МЭ по более детальной защите на прикладном уровне. Функция МЭ – трансляция межсетевых адресов – 2-х типов: статический(каждый реальный IP-адрес транслируется в определенный виртуальный IP-адрес ), динамический(множество IP-адресов транслируется в один виртуальный адрес, цель – сокращение внутренней топологии сети подменой номеров портов отправителя).

Все современные МЭ могут управляться не только локально, но и удаленно, для этого существует специальный протокол, обеспечивающий не только фильтрацию, но и шифрование информации(протоколы CCL, CCH). Информация, проходящая через МЭ, записывается в журнал аудита. Современные МЭ поддерживают функцию кластеризации(2 экрана, при блокировке одного /Failoverlay/ включается другой, причем 2 экрана имеют 1 виртуальный адрес ).

Средства анализа защищенности.

— средства, предназначенные для выявления уязвимости в ПО АС.

^

  1. анализ исходных текстов программы(выделяются блоки опасных сегментов – уязвимостей)
  2. анализ исполнительности программы(анализ уязвимости исполняемого кода – запуск в контрольной среде – на входе большое количество данных )
  3. проверка настроек программы(настройки аппаратного обеспечения системы)
  4. имитация атак на систему и анализ результата(реализуется с помощью сканеров безопасности, формируется последовательность пакетов данных с целью имитации атаки)

В настоящее время из зарубежных систем наиболее распространены(SS-System Scanner , IS-Information Scanner ).

Средства криптографической защиты.

применяются как на уровне сети (конфиденциальность и целостность данных, работают на уровне протоколов – определяют установку параметров –алгоритмы, ключи), так и на уровне хостов(защита данных на определенном носителе).Криптографические алгоритмы могут функционировать на разных уровнях стека(прикладной – SSL,TSL, сетевой – стандартом де-факто является IP-Server – контроль целостности и аудит, канальный уровень – LRTP/Cisco/,PITP/Microsoft/).Средства, функционирующие на уровне сети принято называть VPN(Virtual Private Network)-шлюзы – набор хостов, взаимодействующих между собой по защищенному каналу связи, поверх транспортной сети.VPN-шлюзы строятся на основе:

  1. МЭ
  2. отдельных программно-аппаратных комплексов
  3. аппаратных плат(высокоскоростные каналы)
  4. на основе интегрированных функций ОС

Информация, передаваемая по VPN-каналам, может транслироваться 2 способами:1. туннельный — защищаемый пакет целиком инкапсулируется в новый пакет и при этом целиком шифруется. Шифрование осуществляется при помощи 2-х способов:

  1. асимметричный(шифрование на основе одного ключа – стандарт AES/Advanced Encryption Standard/, ГОСТ 28.14789(256-битный ключ)-медленный для Гб-протоколов )
  2. симметричный(наличие 2-х ключей – открытого и закрытого(public, private)), причем 1) одному открытому ключу соответствует только один закрытый, 2) доступ к открытому ключу не позволяет вычислить значение закрытого, 3) открытый ключ может свободно распространяться по каналам связи, закрытый хранится в секрете

S1  S2, S2(открытый ключ) S2, S1 (информация на основе открытого ключа)S2, S2 расшифровывает информацию на основе закрытого ключа. Дополнительный механизм, защищающий обмен открытыми ключами PKI(открытый ключ хранится в виде цифрового сертификата –содержит информацию о ключе и владельце ключа, подписывается удостовер. центром/3-я сторона, которой доверяют все участники электронно-цифрового обмена/).Как правило используются одновременно асимметричные и симметричные способы шифрования.2. транспортный – заголовок защищаемого пакета не меняется, а просто шифруется его содержание.

Лекция 6.

Разграничение доступа к информационным ресурсам.

Механизмы разграничения доступа предполагают выполнение 3-х задач:

  1. регистрация пользователя в системе – каждому пользователю присваивается параметры аутентификации и/или идентификации
  2. идентификация – попытка пользователя получить доступ к определенным информационным ресурсам
  3. аутентификация – проверяет параметры аутентификации пользователя(пароли, симметрический ключ, биометрический параметр)
  4. авторизация – конкретные права доступа у системе

Примеры механизма аутентификации – 1) аутентификация на основе сетевых адресов(в качестве идентификатора и аутентификатора выступает IP-адрес, в настройках указываются адреса хостов, которые могут получить доступ к ресурсам/Windows Web-Server, File-Server/ , слабый и простой метод, IP-адреса подменяются, нельзя обеспечить 2-стороннюю аутентификацию, на практике не используется); 2) аутентификация пользователя на основе паролей; 3) система сравнивает хэш пароля со значением в локальной базе данных(SAM)Процедура удаленной аутентификации(PAP/password authentication protocol/):

  1. пользователь отсылает запрос серверу
  2. сервер отправляет пользователю случайно сгенерированное число(challenge)
  3. пользователь отсылает серверу число, зашифрованное на основе хэша пароля
  4. сервер сравнивает
  5. CHAP/MS-CHAP, NTLM/- аутентификация, после аутентификации, данные передаются в открытом виде(недостаток, от имени пользователя могут перехвачены нарушителем, неустойчивость к атакам, направленным на подбор пароля)

Геометрический аутентификатор основан на использовании параметров аутентификации, неотделимых от человека(отпечатки пальцев, сетчатка глаза, радужная оболочка, очертания лица, голос/наибольшая погрешность/).Аутентификация по клавиатурному почерку.Аутентификация на основе симметричных ключей. Пример – Kerberos Domain Controller (разработан в Массачусетском Технологическом Университете в 80 гг. в рамках проекта «Афины») – предусматривается, что в сети есть один сервер(KDC), на котором хранятся все ключи пользователя. Пользователь заходит в систему, вводит логин и пароль, после чего программа посылает сообщение:

Имя пользователя, Имя KDC TimeStam

открытый вид шифруется на основе хэша пароля пользователя

проверяется время, отсылается сеансовый ключ:

Сеансовый ключ Срок действия ключа Имя пользователя шифруется на основе хэша пароля пользователя на основе закрытого ключа ответ:TimeStam Сервер, к которому обращался пользователь TGTСеансовый ключ Срок действия ключа Имя пользователя Ключ Срок для связи с сервером действия ключа после этого пользователь напрямую обращается к ресурсу.Сеансовый ключ(имя пользователя, ресурс).Аутентификация на основе инфрастуктуры открытых ключей(PKI-инфрастуктура). Открытый ключ содержит цифровой сертификат. Основные поля сертификата:

  1. версия (определяет версию стандарта Х.509, которая использовалась для формирования сертификата)
  2. алгоритм подписи(указывается аутентификатор алгоритма, на основе которого была сформирована подпись)
  3. издатель – имя удостоверяющего центра, подписавшего сертификат
  4. срок действия сертификата
  5. субъект – имя субъекта, которому принадлежит открытый ключ сертификата
  6. открытый ключ
  7. связь открытого ключа с цифровым сертификатом(3 поля:1. область применения ключа, 2. политика сертификации/числовой идентификатор цифровой политики/, 3. точка распространения списка отозванных сертификатов)

Основные этапы жизненного цикла сертификата:

  1. издание сертификата
  2. публикация сертификата
  3. отзыв
  4. уничтожение

клиент отсылает серверу сообщениеclient-error: текущая версия протокола, отметка о времени, список алгоритмов шифрования/протокол SSL /, сервер может направить клиенты сообщение Certificate Request, после этого осуществляется обмен симметричными ключами(шифруются на основе открытого ключа клиента и сервера, для усиления безопасности используется механизм двухфакторной аутентификации: вводится пин-код для доступа к Smart-карте, где хранится USB-ключ, зашифрованный на основе хэша пароля) между клиентом и сервером, Аутентификация на основе одноразовых паролей:Пользователю выдается генератор паролей и выделяется защитный сектретный ключ, при новой аутентификации пароль вычисляется путем хэширования секретного ключа, а также значения времени и значения счетчика.

Лекция 7.

Нормативно-правовые аспекты защиты информации.

ФАПСИ(Старовойтов) 90 гг. , сейчас перешло в ФСБ(центр ЦСБ).Стандарты, документы дляа ) лицензийб) подготовки документов для сертификацииаттестация только для АСУSWIFT(международная сеть по банковскому взаимодействию) — базируется на криптографической защитеГТКМЭ – с начала 90-х, подчинены президентуРД(ГТК) – руководящие документы – пакет требований для сертификации, аттестации объекта.В настоящее время можно выделить следующие документы:

  1. по защите от несанкционированного доступа(скопирован с американского стандарта TCSEC или «Оранжевая книга», разработанном в 81 г. МО США – описывает защиту отдельных компьютеров ), согласно этому документы все АСУ делятся на 3 класса:
  1. многопользовательские АС, где все пользователи имеют одинаковые права доступа
  1. многопользовательские АС, в которых пользователи имеют различные права доступа

Каждый из 3-х типов разделяется на 5 подклассов(1г, 1д – системы, в которых обрабатывается конфиденциальная информация, с увеличением «буквы» увеличивается состав требований, 1в – секретная, 1 б – СС, 1а — ОВ).Требования к аудиту – требования к составу информации, которая регистрируется в процессе функционирования системы(журнал аудита).

  1. требования к криптографической защите данных – защита информации от сокрытия
  2. требования к разграничению доступа(мандат на основе мето-кофиденциальности)

Требования к контролю целостности информации(Колондайлов gosteh.com.ru)РД, определяющий требования к отсутствию не декларированных возможностей.Требования к МЭ – определяют функциональные требования, по которым сертифицированы экраны.В 99г. в США принят стандарт ISO15408(Common Criteria), переведен и принят в качестве ГОСТа в России(RISO 458.2) , стандарт разделен на 3 части:

  1. критерии оценки безопасности ИТ – вводная часть – понятия, термины, подходы
  2. функциональные требования безопасности – приведены классы требований к функциям средств защиты
  3. требования доверия к безопасности – дополнительный пакет требований соответствия средств защиты принятым стандартам.

Сертификация:

  1. профиль защиты – утверждается ГТК, 3 части
  2. задание по безопасности – конкретный вариант профиля защиты(требования к классу продуктов)
  3. сертификат

Структура профиля защиты:

  1. введение в профили защиты
  2. описание объекта оценок
  3. среда безопасности объекта оценки:
    1. угрозы ИТ, защита от которых должна быть реализована средствами объекта оценки
    2. политика безопасности организации, в которой планируется использование объекта оценки

4.цели безопасности – задачи, которые должны быть решены объектом оценки

  1. требования безопасности ИТ
    1. функциональные
    2. требования доверия к безопасности
  2. обоснование

Функциональные требования разделены на классы:/Класс:Имя классаПредставлениеФункциональное семействоСемейство:ИмяКомпоненты(пакеты требований)/

  1. аудит безопасности: расположение, запись, хранение и анализ информации, связан с действиями, относящимися к безопасности семейства:
    1. автоматическая реакция Аудита Безопасности
    2. генерация данных АБ
    3. анализ АБ
    4. просмотр АБ
    5. хранение данных АБ(формат : открытый/зактрытый)
  1. связь – класс: учет идентичности сторон, участвующих в информационном обмене; семейство: 1)неотказуемость отправителя данных(серевер хранит хэш и подпись отправителя), 2) неотказуемость получателя,
  2. криптографическая поддержка – семейства: а) управление криптографическими ключами, б) криптографические операции
  3. защита данных пользователя – семейство: а) политика управления доступом(указаны требования к модели, в соответствии с которой будет осуществлено ограничение доступа), б) аутентификация данных(электронная подпись), в) экспорт данных за пределы объекты оценки,г) передача данных в пределах объекта оценки, д) защита остаточной информации(остается на диске после удаления), е)откат – требования к предоставлению возможности пользователям отменить ранее выполненные операции
  4. идентификация и аутентификация – семейства: а) идентификация пользователя(логин, пароль), б) аутентификация (ключи), в) отказы аутентификации: требования к ограничению количества неправильных попыток ввода пароля
  5. управление безопасностью – семейства: а) роль управления безопасностью, б) управление атрибутами безопасности: служебная информация, при помощи которой определяется функционирование системы безопасности, в)приватность – требования к возможности анонимной работы пользователя с использованием псевдонима
  6. защита данных объекта оценки – содержит требования к защите служебной информации объекта оценки
  7. использование ресурсов –требования к доступности объекта оценки – объем памяти, вычислительная мощность
  8. доступ к объекту оценки – требования у управлению сеансом работы пользователя
  9. доверенный маршрут/канал связи – обеспечение свойства неотказуемости

3 часть стандарта — требования у доверию безопасности, классы:

  1. оценка профиля защиты(правила)
  2. оценка задания по безопасности
  3. поставка и эксплуатация
  4. требования к документации на продукт, установке, запуске объекта оценки
  5. разработка – требования к процессу разработки объекта оценки
  6. руководство – требования к составу руководства администратора и пользователя
  7. тестирование
  8. оценка уязвимости

Лекция 8.

Средства аудита.

    1. вопрос аудита почтовых сообщений
    2. аудит доступа у интернет-ресурсам

Аудит почтовых сообщений.Сервера аудита почтовых сообщений:1) пассивные2)активные(заблокировать, удалить, поместить в корзину –менее надежен, если упадет…)

Сервер аудита

почт.с.

POP3- сервер

Профессор Гарадецкий – стегано-анализReseach the water marking – для фильмов, средства защиты:Dozor, jet , МЭ, средства криптографической защиты3 типа аудита:

  1. penetration testing – тест на вторжение
  2. base-line security — базовый аудит –проверка соответствия текущего уровня безопасности стандартам
  3. аудит, основанный на анализе риска ИБ
  4. полноценный анализ риска ИБ:
    1. определение границ аудита
    2. процедура инвентаризации
    3. путем анализа информации и интервьюирования
    4. заказчик определяет уровень ущерба, который может быть нанесен в случае нарушения конфиденциальности, целостности или доступности ресурсов
    5. риск=вероятность реализации угрозы Р=В(вероятность)*У(ущерб: количественный, качественный), обычно составляется матрица риска

Нормативно-правовая база:Перечень международных стандартов: ISO-17799 –2002г., разработан на основе британского стандарта BS7799(представлен в 99г.), состоит из 12 частей(первые две- вводные).IT Code Of Practice For Information Security and Management:

  1. политика информационной безопасности
  2. организационная безопасность –требования к распределению полномочий среди лиц, отвечающих за обеспечение безопасности
  3. классификация ресурсов(открытая, конфиденциальная, чувствительная)
  4. ИБ персонала(правильный набор кадров)
  5. физическая безопасность(помещения, системы, видео-наблюдение…)
  6. управление коммуникациями и операциями
  7. контроль доступа
  8. разработка и сопровождение системы
  9. требования к непрерывному ведению бизнеса
  10. требования к соответствующему международному и национальному законодательству

Еще один стандарт – COBOT, разработан ISACA – проверка соответствия целям ведения бизнеса и информационной структуры, которая его поддерживает.ITIL – британский стандарт, очень популярен в мире.

Комментариев нет

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Планы мероприятий
Игра викторина по ЭКОЛОГИИ-10 класс

  Цель игры «Викторина по экологии» : углубить экологические знания Весь класс разбит на четыре команды по 6 человек. Время обдумывания ответа -1 минута. Ведущий читает высказывания великих людей с паузами , там , где пропущены слова. Команды должны вставить эти слова «Оценивать … только по стоимости её материальных богатств- …

Задания
Хирургия и Реаниматология. Тесты. Методическое пособие

Тестовые задания. Хирургия и Реаниматология.   Профилактика хирургической инфекции. Инфекционная безопасность в работе фельдшера   Обезболивание   Кровотечение и гемостаз   Переливание крови и кровозаменителей, инфузионная терапия   Десмургия   Ведение больных в полеоперационном периоде   Синдром повреждения. Открытые повреждения мягких тканей. Механические повреждения костей, суставов и внутренних органов   …

Планы занятий
Профориентационный тест Л.А. Йовайши на определение склонности человека к тому или иному роду деятельности

ПРОФЕССИЯ – это вид трудовой деятельности человека, который требует определенного уровня знаний, специальных умений, подготовки человека и при этом служит источником дохода. Профессиональная принадлежность – одна из важнейших социальных ролей человека так как, выбирая профессию, человек выбирает себе не только работу, но и определенные нормы, жизненные ценности и образ жизни, …