Защита инфрмации в компьютерных сетях

Защита инфрмации в компьютерных сетях

Рекомендуемая литература:

1. В.Г.Олифер, Н.А.Олифер. Сетевые операционные системы. Учебное пособие.-СПб.:БХВ-Петербург, 2006.-536с.

2. В.А.Шеховцов. Операційні системи.Підручник.-К.:Виканавча група ВНV. 2005. 576с.

3. Столлингс В. Операционные системы. М.: Вильямс, 2001. -672с.

ГЛАВА12

Сетеваябезопасность

При рассмотрении безопасности информационных систем обычно выделяют две группы проблем: безопасность компьютера и сетевая безопасность. К безопасно­сти компьютера относят все проблемы защиты данных, хранящихся и обрабаты­вающихся компьютером, который рассматривается как автономная система. Эти проблемы решаются средствами операционных систем и приложений, таких как базы данных, а также встроенными аппаратными средствами компьютера. Под сетевой безопасностью понимают все вопросы, связанные с взаимодействием уст­ройств в сети, это прежде всего защита данных в момент их передачи по линиям связи и защита от несанкционированного удаленного доступа в сеть. И хотя под­час проблемы компьютерной и сетевой безопасности трудно отделить друг от друга, настолько тесно они связаны, совершенно очевидно, что сетевая безопас­ность имеет свою специфику.

Автономно работающий компьютер можно эффективно защитить от внешних по­кушений разнообразными способами, например просто запереть на замок кла­виатуру или снять жесткий накопитель и поместить его в сейф. Компьютер, ра­ботающий в сети, по определению не может полностью отгородиться от мира, он должен общаться с другими компьютерами, возможно, даже удаленными от него на большое расстояние, поэтому обеспечение безопасности в сети является зада­чей значительно более сложной. Логический вход чужого пользователя в ваш компьютер является штатной ситуацией, если вы работаете в сети. Обеспечение безопасности в такой ситуации сводится к тому, чтобы сделать это проникнове­ние контролируемым — каждому пользователю сети должны быть четко опреде­лены его права по доступу к информации, внешним устройствам и выполнению системных действий на каждом из компьютеров сети.

Помимо проблем, порождаемых возможностью удаленного входа в сетевые ком­пьютеры, сети по своей природе подвержены еще одному виду опасности — пе­рехвату и анализу сообщений, передаваемых по сети, а также созданию «ложного» трафика. Большая часть средств обеспечения сетевой безопасности направлена на предотвращение именно этого типа нарущений.

Вопросы сетевой безопасности приобретают особое значение сейчас, когда при построении корпоративных сетей наблюдается переход от использования выделенных каналов к публичным сетям (Интернет, frame relay). Поставщики услуг публичных сетей пока редко обеспечивают защиту пользовательских данных при их транспортировке по своим магистралям, возлагая на пользователей заботы по их конфиденциальности, целостности и доступности.

Основные понятия безопасности

Классификация угроз

Универсальной классификации угроз не существует, возможно, и потому, что нет предела творческим способностям человека, и каждый день применяются новые способы незаконного проникновения в сеть, разрабатываются новые средства мо­ниторинга сетевого трафика, появляются новые вирусы, находятся новые изъяны в существующих программных и аппаратных сетевых продуктах. В ответ на это разрабатываются все более изощренные средства защиты, которые ставят пре­граду на пути многих типов угроз, но затем сами становятся новыми объектами атак. Тем не менее попытаемся сделать некоторые обобщения. Так, прежде всего угрозы могут быть разделены на умышленные и неумышленные.

Неумышленные угрозы вызываются ошибочными действиями лояльных сотруд­ников, становятся следствием их низкой квалификации или безответственности. Кроме того, к такому роду угроз относятся последствия ненадежной работы про­граммных и аппаратных средств системы. Так, например, из-за отказа диска, кон­троллера диска или всего файлового сервера могут оказаться недоступными данные, критически важные для работы предприятия. Поэтому вопросы безопас­ности так тесно переплетаются с вопросами надежности, отказоустойчивости тех­нических средств. Угрозы безопасности, которые вытекают из ненадежности работы программно-аппаратных средств, предотвращаются путем их совершен­ствования, использования резервирования на уровне аппаратуры (RAID-масси­вы, многопроцессорные компьютеры, источники бесперебойного питания, кла­стерные архитектуры) или на уровне массивов данных (тиражирование файлов, резервное копирование).

Умышленные угрозы могут ограничиваться либо пассивным чтением данных или мониторингом системы, либо включать в себя активные действия, например нарушение целостности и доступности информации, приведение в нерабочее со­стояние приложений и устройств. Так, умышленные угрозы возникают в резуль­тате деятельности хакеров и явно направлены на нанесение ущерба предпри­ятию.

В вычислительных сетях можно выделить следующие типы умышленных угроз:

□ незаконное проникновение в один из компьютеров сети под видом легально­го пользователя;

□ разрушение системы с помощью программ-вирусов;

□ нелегальные действия легального пользователя;

□ «подслушивание» внутрисетевого трафика.

Незаконное проникновение может быть реализовано через уязвимые места в сис­теме безопасности с использованием недокументированных возможностей опе­рационной системы. Эти возможности могут позволить злоумышленнику «обой­ти» стандартную процедуру, контролирующую вход в сеть.

Другим способом незаконного проникновения в сеть является использование «чу­жих» паролей, полученных путем подглядывания, расшифровки файла паролей, подбора паролей или получения пароля путем анализа сетевого трафика. Осо­бенно опасно проникновение злоумышленника под именем пользователя, наде­ленного большими полномочиями, например администратора сети. Для того чтобы завладеть паролем администратора, злоумышленник может попытаться войти в сеть под именем простого пользователя. Поэтому очень важно, чтобы все пользо­ватели сети сохраняли свои пароли в тайне, а также выбирали их так, чтобы мак­симально затруднить угадывание.

Подбор паролей злоумышленник выполняет с использованием специальных про­грамм, которые работают путем перебора слов из некоторого файла, содержаще­го большое количество слов. Содержимое файла-словаря формируется с учетом психологических особенностей человека, которые выражаются в том, что чело­век выбирает в качестве пароля легко запоминаемые слова или буквенные соче­тания.

Еще один способ получения пароля — это внедрение в чужой компьютер «троянского коня».

«Троянский конь» - резидентная программа работающую без ведома хозяи­на данного компьютера и выполняющую действия, заданные злоумышленником.

В частности, такого рода программа может считывать коды пароля, вводимого пользователем во время логического входа в систему.

Программа-«троянский конь» всегда маскируется под какую-нибудь полезную ути­литу или игру, а производит действия, разрушающие систему. По такому прин­ципу действуют и программы-вирусы, отличительной особенностью которых яв­ляется способность «заражать» другие файлы, внедряя в них свои собственные копии. Чаще всего вирусы поражают исполняемые файлы. Когда такой испол­няемый код загружается в оперативную память для выполнения, вместе с ним получает возможность исполнить свои вредительские действия вирус. Вирусы могут привести к повреждению или даже полной утрате информации.

Нелегальные действия легального пользователя — этот тип угроз исходит от ле­гальных пользователей сети, которые, используя свои полномочия, пытаются вы­полнять действия, выходящие за рамки их должностных обязанностей. Напри­мер, администратор сети имеет практически неограниченные права на доступ ко всем сетевым ресурсам. Однако на предприятии может быть информация, до­ступ к которой администратору сети запрещен. Для реализации этих ограниче­ний могут быть предприняты специальные меры, такие, например, как шифрова­ние данных, но и в этом случае администратор может попытаться получить дос­туп к ключу. Нелегальные действия может попытаться предпринять и обычный пользователь сети. Существующая статистика говорит о том, что едва ли не по­ловина всех попыток нарушения безопасности системы исходит от сотрудников предприятия, которые как раз и являются легальными пользователями сети.

Подслушивание внутрисетевого трафика — это незаконный мониторинг сети, захват и анализ сетевых сообщений. Существует много доступных программных и аппаратных анализаторов трафика, которые делают эту задачу достаточно три­виальной. Еще более усложняется защита от этого типа угроз в сетях с глобаль­ными связями. Глобальные связи, простирающиеся на десятки и тысячи кило­метров, по своей природе являются менее защищенными, чем локальные связи (больше возможностей для прослушивания трафика, более удобная для злоумыш­ленника позиция при проведении процедур аутентификации). Такая опасность одинаково присуща всем видам территориальных каналов связи и никак не зави­сит от того, используются собственные, арендуемые каналы или услуги общедос­тупных территориальных сетей, подобных Интернету.

Однако использование общественных сетей (речь в основном идет об Интерне­те) еще более усугубляет ситуацию. Действительно, использование Интернета добавляет к опасности перехвата данных, передаваемых по линиям связи, опас­ность несанкционированного входа в узлы сети, поскольку наличие огромного числа хакеров в Интернете увеличивает вероятность попыток незаконного про­никновения в компьютер. Это представляет постоянную угрозу для сетей, под­соединенных к Интернету.

Интернет сам является целью для разного рода злоумышленников. Поскольку Интернет создавался как открытая система, предназначенная для свободного об­мена информацией, совсем не удивительно, что практически все протоколы стека TCP/IP имеют «врожденные» недостатки защиты. Используя эти недос­татки, злоумышленники все чаще предпринимают попытки несанкционирован­ного доступа к информации, хранящейся на узлах Интернета.

Политика безопасности

Важность и сложность проблемы обеспечения безопасности требует выработки политики информационной безопасности, которая подразумевает ответы на сле­дующие вопросы:

□ Какую информацию защищать?

□ Какой ущерб понесет предприятие при потере или при раскрытии тех или иных данных?

□ Кто или что является возможным источником угрозы, какого рода атаки на безопасность системы могут быть предприняты?

□ Какие средства использовать для защиты каждого вида информации?

Специалисты, ответственные за безопасность системы, формируя политику без­опасности, должны учитывать несколько базовых принципов. Одним из таких принципов является предоставление каждому сотруднику предприятия того ми­нимально уровня привилегий на доступ к данным, который необходим ему для выполнения его должностных обязанностей. Учитывая, что большая часть нару­шений в области безопасности предприятий исходит именно от собственных со­трудников, важно ввести четкие ограничения для всех пользователей сети, не на­деляя их излишними возможностями.

Следующий принцип — использование комплексного подхода к обеспечению без­опасности. Чтобы затруднить злоумышленнику доступ к данным, необходимо предусмотреть самые разные средства безопасности, начиная с организационно-административных запретов и кончая встроенными средствами сетевой аппара­туры. Административный запрет на работу в воскресные дни ставит потенциаль­ного нарушителя под визуальный контроль администратора и других пользовате­лей, физические средства защиты (закрытые помещения, блокировочные ключи) ограничивают непосредственный контакт пользователя только приписанным ему компьютером, встроенные средства сетевой ОС (система аутентификации и авторизации)~предотвращают вход в сеть нелегальных пользователей, а для легального пользователя ограничивают возможности только разрешенными для него операциями (подсистема аудита фиксирует его действия). Такая система защиты с многократным резервированием средств безопасности увеличивает ве­роятность сохранности данных.

Используя многоуровневую систему защиты, важно обеспечивать баланс надеж­ности защиты всех уровней. Если в сети все сообщения шифруются, но ключи легкодоступны, то эффект от шифрования нулевой. Или если на компьютерах установлена файловая система, поддерживающая избирательный доступ на уров­не отдельных файлов, но имеется возможность получить жесткий диск и устано­вить его на другой машине, то все достоинства средств защиты файловой систе­мы сводятся на нет. Если внешний трафик сети, подключенной к Интернету, проходит через мощный брандмауэр, но пользователи имеют возможность свя­зываться с узлами Интернета по коммутируемым линиям, используя локально установленные модемы, то деньги (как правило, немалые), потраченные на бранд­мауэр, можно считать выброшенными на ветер.

Следующим универсальным принципом является использование средств, кото­рые при отказе переходят в состояние максимальной защиты. Это касается самых различных средств безопасности. Если, например, автоматический пропускной пункт в какое-либо помещение ломается, то он должен фиксироваться в таком положении, чтобы ни один человек не мог пройти на защищаемую территорию. А если в сети имеется устройство, которое анализирует весь входной трафик и отбрасывает кадры с определенным, заранее заданным обратным адресом, то при отказе оно должно полностью блокировать вход в сеть. Неприемлемым следова­ло бы признать устройство, которое бы при отказе пропускало в сеть весь внеш­ний трафик.

Принцип единого контрольно-пропускного пункта — весь входящий во внутрен­нюю сеть и выходящий во внешнюю сеть трафик должен проходить через един­ственный узел сети, например через межсетевой экран (firewall). Только это позволяет в достаточной степени контролировать трафик. В противном случае, когда в сети имеется множество пользовательских станций, имеющих независи­мый выход во внешнюю сеть, очень трудно скоординировать правила, ограничи­вающие права пользователей внутренней сети по доступу к серверам внешней сети и обратно — права внешних клиентов па доступу к ресурсам внутренней сети.

Принцип баланса возможного ущерба от реализации угрозы и затрат на ее пре­дотвращение. Ни одна система безопасности не гарантирует защиту данных на уровне 100 %, поскольку является результатом компромисса между возможны­ми рисками и возможными затратами. Определяя политику безопасности, адми­нистратор должен взвесить величину ущерба, которую может понести предприятие в результате нарушения защиты данных, и соотнести ее с величиной за­трат, требуемых на обеспечение безопасности этих данных. Так, в некоторых случаях можно отказаться от дорогостоящего межсетевого экрана в пользу стан­дартных средств фильтраций обычного маршрутизатора, в других же можно пой­ти на беспрецедентные затраты. Главное, чтобы принятое решение было обосно­вано экономически.

При определении политики безопасности для сети, имеющей выход в Интернет, специалисты рекомендуют разделить задачу на две части: выработать политику доступа к сетевым службам Интернета и выработать политику доступа к ресур­сам внутренней сети компании.

Политика доступа к сетевым службам Интернета включает следующие пункты:

□ Определение списка служб Интернета, к которым пользователи внутренней сети должны иметь ограниченный доступ.

□ Определение ограничений на методы доступа, например на использование протоколов SLIP (Serial Line Internet Protocol) и РРР (Point-to-Point Proto­col). Ограничения методов доступа необходимы для того, чтобы пользователи не могли обращаться к «запрещенным» службам Интернета обходными путями. Например, если для ограничения доступа к Интернету в сети устанавлива­ется специальный шлюз, который не дает возможности пользователям рабо­тать в системе WWW, они могут устанавливать с Web-серверами РРР-соединения по коммутируемой линии. Во избежание этого надо просто запретить использование протокола РРР.

□ Принятие решения о том, разрешен ли доступ внешних пользователей из Ин­тернета во внутреннюю сеть. Если да, то кому. Часто доступ разрешают толь­ко Для некоторых, абсолютно необходимых для работы предприятия служб, например электронной почты.

Политика доступа к ресурсам внутренней сети компании может быть выражена в одном из двух принципов:

□ запрещать все, что не разрешено в явной форме;

□ разрешать все, что не запрещено в явной форме.

В соответствии с выбранным принципом определяются правила обработки внеш­него трафика межсетевыми экранами или маршрутизаторами. Реализация защи­ты на основе первого принципа дает более высокую степень безопасности, одна­ко при этом могут возникать большие неудобства у пользователей, а кроме того, такой способ защиты обойдется значительно дороже. При реализации второго принципа сеть окажется менее защищенной, однако пользоваться ею будет удоб­нее и потребуется меньше затрат.

Шифрование

Шифрование — это краеугольный камень всех служб информационной безопас­ности, будь то система аутентификации или авторизации, средства создания за­щищенного канала или способ безопасного хранения данных.

Любая процедура шифрования, превращающая информацию из обычного «по­нятного» вида в «нечитабельный» зашифрованный вид, естественно, должна быть дополнена процедурой дешифрирования, которая, будучи примененной к за­шифрованному тексту, снова приводит его в понятный вид. Пара процедур — шифрование и дешифрирование — называется криптосистемой.

Информацию, над которой выполняются функции шифрования и дешифрирова­ния, будем условно называть «текст», учитывая, что это может быть также чи­словой массив или графические данные.

В современных алгоритмах шифрования предусматривается наличие парамет­ра — секретного ключа. В криптографии принято правило Керкхоффа: «Стой­кость шифра должна определяться только секретностью ключа». Так, все стан­дартные алгоритмы шифрования (например, DES, PGP) широко известны, их детальное описание содержится в легко доступных документах, но от этого их эффективность не снижается. Злоумышленнику может быть все известно об алгоритме шифрования, кроме секретного ключа (следует отметить, однако, что существует немало фирменных алгоритмов, описание которых не публикуется).

Алгоритм шифрования считается раскрытым, если найдена процедура, позволяю­щая подобрать ключ за реальное время. Сложность алгоритма раскрытия явля­ется одной из важных характеристик криптосистемы и называется криптостойкостъю.

Существуют два класса криптосистем — симметричные и асимметричные.

В сим­метричных схемах шифрования (классическая криптография) секретный ключ зашифровки совпадает с секретным ключом расшифровки.

В асимметричных схе­мах шифрования (криптография с открытым ключом) открытый ключ зашиф­ровки не совпадает с секретным ключом расшифровки.

Криптоалгоритм RSA

В 1978 году трое ученых (Ривест, Шамир и Адлеман) разработали систему шиф­рования с открытыми ключами RSA (Rivest, Shamir, Adleman), полностью отве­чающую всем принципам Диффи-Хеллмана. Этот метод состоит в следующем:

1. Случайно выбираются два очень больших простых числа р и q.

2. Вычисляются два произведения n=pxq и nv=(p-l)x(q-l).

3. Выбирается случайное целое число Е, не имеющее общих сомножителей с т.

4. Находится D, такое, что DE-1 по модулю т.

5. Исходный текст, X, разбивается на блоки таким образом, чтобы 0<Х<п.

6. Для шифрования сообщения необходимо вычислить С=Х^Е по модулю п.

7. Для дешифрирования вычисляется X=C^D no модулю п.

Таким образом, чтобы зашифровать сообщение, необходимо знать пару чисел (Е, п), а чтобы Дешифрировать — пару чисел (D, п). Первая пара — это открытый ключ, а вторая — закрытый.

Зная открытый ключ (Е, п), можно вычислить значение закрытого ключа D. Не­обходимым промежуточным действием в этом преобразовании является нахож­дение чисел р и q, для чего нужно разложить на простые множители очень боль­шое число п, а на это требуется очень много времени. Именно с огромной вычислительной сложностью разложения большого числа на простые множите­ли связана высокая криптостойкость алгоритма RSA. В некоторых публикациях приводятся следующие оценки: для того чтобы найти разложение 200-значно-го числа, понадобится 4 миллиарда лет работы компьютера с быстродействием миллион операций в секунду. Однако следует учесть, что в настоящее время ак­тивно ведутся работы по совершенствованию методов разложения больших чи­сел, поэтому в алгоритме RSA стараются применять числа длиной более 200 де­сятичных разрядов.

Программная реализация криптоалгоритмов типа RSA значительно сложнее и менее производительна, чем реализация классических криптоалгоритмов типа DES. Вследствие сложности реализации операций модульной арифметики крип­тоалгоритм RSA часто используют только для шифрования небольших объемов информации, например для рассылки классических секретных ключей или в алгоритмах цифровой подписи, а основную часть пересылаемой информации шифруют с помощью симметричных алгоритмов.

В табл. 11.1 приведены некоторые сравнительные характеристики классического криптоалгоритма DES и криптоалгоритма RSA.

Таблица 11.1. Сравнительные характеристики алгоритмов шифрования
Характеристика	DES	RSA
Скорость шифрования	Высокая	Низкая
Используемая функция шифрования	Перестановка и подстановка	Возведение в степень
Длина ключа	56 бит	Более 500 бит
Наименее затратный криптоанализ (его сложность определяет стойкость алгоритма)	Перебор по всему ключевому пространству	Разложение числа на простые множители
Время генерации ключа	Миллисекунды	Минуты
Тип ключа	Симметричный	Асимметричный

Аутентификация

Аутентификация (authentication) предотвращает доступ к сети нежелательных лиц и разрешает вход для легальных пользователей. Термин «аутентификация» в переводе с латинского означает «установление подлинности». Аутентифика­цию следует отличать от идентификации. Идентификаторы пользователей ис­пользуются в системе с теми же целями, что и идентификаторы любых других объектов, файлов, процессов, структур данных, но они не связаны непосредст­венно с обеспечением безопасности. Идентификация заключается в сообщении пользователем системе своего идентификатора, в то время как аутентифика­ция — это процедура доказательства пользователем того, что он есть тот, за кого себя выдает, в частности, доказательство того, что именноему принадлежит вве­денный им идентификатор.

В процедуре аутентификации участвуют две стороны: одна сторона доказывает свою аутентичность, предъявляя некоторые доказательства, а другая сторона — аутентификатор — проверяет эти доказательства и принимает решение. В каче­стве доказательства аутентичности используются самые разнообразные приемы:

□ аутентифицируемый может продемонстрировать знание некоего общего для обеих сторон секрета: слова (пароля) или факта (даты и места события, про­звища человека и т. п.);

□ аутентифицируемый может продемонстрировать, что он владеет неким уни­кальным предметом (физическим ключом), в качестве которого может высту­пать, например, электронная магнитная карта;

□ аутентифицируемый может доказать свою идентичность, используя собст­венные биохарактеристики: рисунок радужной оболочки глаза или отпечатки пальцев, которые предварительно были занесены в базу данных аутентифика-тора.

Сетевые службы аутентификации строятся на основе всех этих приемов, но ча­ще всего для доказательства идентичности пользователя используются пароли. Простота и логическая ясность механизмов аутентификации на основе паролей в какой-то степени компенсирует известные слабости паролей. Это, во-первых, возможность раскрытия и разгадывания паролей, а во-вторых, возможность «подслушивания» пароля путем анализа сетевого трафика. Для снижения уров­ня угрозы от раскрытия паролей администраторы сети, как правило, применяют встроенные программные средства для формирования политики назначения и использования паролей: задание максимального и минимального сроков дейст­вия пароля, хранение списка уже использованных паролей, управление поведе­нием системы после нескольких неудачных попыток логического входа и т. п. Перехват паролей по сети можно предупредить путем их шифрования перед пе­редачей в сеть.

Легальность пользователя может устанавливаться по отношению к различным системам. Так, работая в сети, пользователь может проходить процедуру аутен­тификации и как локальный пользователь, который претендует на использование ресурсов только данного компьютера, и как пользователь сети, который хо­чет получить доступ ко всем сетевым ресурсам. При локальной аутентификации пользователь вводит свои идентификатор и пароль, которые автономно обраба­тываются операционной системой, установленной на данном компьютере. При логическом входе в сеть данные о пользователе (идентификатор и пароль) пере­даются на сервер, который хранит учетные записи обо всех пользователях сети. Многие приложения имеют свои средства определения, является ли пользова­тель законным. И тогда пользователю приходится проходить дополнительные эта­пы проверки.

В качестве объектов, требующих аутентификации, могут выступать не только поль­зователи, но и различные устройства, приложения, текстовая и другая информа­ция. Так, например, пользователь, обращающийся с запросом к корпоративному серверу, должен доказать ему свою легальность, но он также должен убедиться сам, что ведет диалог действительно с сервером своего предприятия. Другими словами, сервер и клиент должны пройти процедуру взаимной аутентификации. Здесь мы имеем дело с аутентификацией на уровне приложений. При установле­нии сеанса связи между двумя устройствами также часто предусматриваются про­цедуры взаимной аутентификации на более низком, канальном уровне. Приме­ром такой процедуры является аутентификация по протоколам РАР и CHAP, входящим в семейство протоколов РРР. Аутентификация данных означает дока­зательство целостности этих данных, а также того, что они поступили именно от того человека, который объявил об этом. Для этого используется механизм элек­тронной подписи.

В вычислительных сетях процедуры аутентификации часто реализуются теми же программными средствами, что и процедуры авторизации. В отличие от аутенти­фикации, которая распознает легальных и нелегальных пользователей, система ав­торизации имеет дело только с легальными пользователями, которые уже успешно прошли процедуру аутентификации. Цель подсистем авторизации состоит в том, чтобы предоставить каждому легальному пользователю именно те виды доступа и к тем ресурсам, которые были для него определены администратором системы.

Авторизация доступа

Средства авторизации (authorization) контролируют доступ легальных пользовате­лей к ресурсам системы, предоставляя каждому из них именно те права, которые ему были определены администратором. Кроме предоставления прав доступа поль­зователям к каталогам, файлам и принтерам система авторизации может контроли­ровать возможность выполнения пользователями различных системных функций, таких как локальный доступ к серверу, установка системного времени, создание ре­зервных копий данных, выключение сервера и т. п.

Система авторизации наделяет пользователя сети правами выполнять определен­ные действия над определенными ресурсами. Для этого могут быть использова­ны различные формы предоставления правил доступа, которые часто делят на два класса:

□ избирательный доступ;

□ мандатный доступ.

Избирательные права доступа реализуются в операционных системах универ­сального назначения. В наиболее распространенном варианте такого подхода определенные операции над определенным ресурсом разрешаются или запреща­ются пользователям или группам пользователей, явно указанным своими иден­тификаторами. Например, пользователю, имеющему идентификатор User_T, может быть разрешено выполнять операции чтения и записи по отношению к файлу Filel. Модификацией этого способа является использование для идентификации пользователей их должностей, или факта их принадлежности к персоналу того или иного производственного' подразделения, или еще каких-либо других пози­ционирующих характеристик. Примером такого правила может служить следую­щее: файл бухгалтерской отчетности BUCH могут читать работники бухгалте­рии и руководитель предприятия.

Мандатный подход к определению прав доступа заключается в том, что вся ин­формация делится на уровни в зависимости от степени секретности, а все поль­зователи сети также делятся на группы, образующие иерархию в соответствии • с уровнем допуска к этой информации. Такой подход используется в известном делении информации на информацию для служебного пользования, •«секретно», «совершенно секретно». При этом пользователи этой информации в зависимо­сти от определенного для них статуса получают различные формы допуска: пер­вую, вторую или третью. В отличие от систем с избирательными правами доступа в системах с мандатным подходом пользователи в принципе не имеют возмож­ности изменить уровень доступности информации. Например, пользователь более высокого уровня не может разрешить читать данные из своего файла пользо­вателю, относящемуся к более низкому уровню. Отсюда видно, что мандатный подход является более строгим, он в корне пресекает всякий волюнтаризм со стороны пользователя. Именно поэтому он часто используется в системах воен­ного назначения.

Процедуры авторизации реализуются программными средствами, которые могут быть встроены в операционную систему- или в приложение, а также могут по­ставляться в виде отдельных программных продуктов. При этом программные системы авторизации могут строиться на базе двух схем:

□ централизованная схема авторизации, базирующаяся на сервере;

□ децентрализованная схема, базирующаяся на рабочих станциях.

В первой схеме сервер управляет процессом предоставления ресурсов пользова­телю. Главная цель таких систем — реализовать «принцип единого входа». В со­ответствии с централизованной схемой пользователь один раз логически входит в сеть и получает на все время работы некоторый набор разрешений по досту­пу к ресурсам сети. Система Kerberos с ее сервером безопасности и архитекту­рой клиент-сервер является наиболее известной системой этого типа. Системы TACACS и RADIUS, часто применяемые совместно с системами удаленного доступа, также реализуют этот подход.

При втором подходе рабочая станция сама является защищенной — средства защиты работают на каждой машине, и сервер не требуется. Рассмотрим рабо­ту системы, в которой не предусмотрена процедура однократного логического входа. Теоретически доступ к каждому приложению должен контролироваться средствами безопасности самого приложения или же средствами, существующи­ми в той операционной среде, в которой оно работает. В корпоративной сети ад­министратору придется отслеживать работу механизмов безопасности, исполь­зуемых всеми типами приложений — электронной почтой, службой каталогов локальной сети, базами данных хостов и т. п. Когда администратору приходится добавлять или удалять пользователей, то часто требуется вручную конфигури­ровать доступ к каждой программе или системе.

В крупных сетях часто применяется комбинированный подход предоставления пользователю прав доступа к ресурсам сети: сервер удаленного доступа ограни­чивает доступ пользователя к подсетям или серверам корпоративной сети, то есть к укрупненным элементам сети, а каждый отдельный сервер сети сам по себе ограничивает доступ пользователя к своим внутренним ресурсам: разделяемым каталогам, принтерам или приложениям. Сервер удаленного доступа предостав­ляет доступ на основании имеющегося у него списка прав доступа пользователя (Access Control List, ACL), а каждый отдельный сервер сети предоставляет до­ступ к своим ресурсам на основании хранящегося у него списка прав доступа, например ACL файловой системы.

Подчеркнем, что системы аутентификации и авторизации совместно выполняют одну задачу, поэтому необходимо предъявлять одинаковый уровень требований к системам авторизации и аутентификации. Ненадежность одного звена здесь не может быть компенсирована высоким качеством другого звена. Если при аутен­тификации используются пароли, то требуются чрезвычайные меры по их защи­те. Однажды украденный пароль открывает двери ко всем приложениям и дан­ным, к которым пользователь с этим паролем имел легальный доступ.

Аудит

Аудит (auditing) — фиксация в системном журнале событий, связанных с досту­пом к защищаемым системным ресурсам.

Подсистема аудита современных ОС позволяет дифференцированно задавать перечень интересующих администра­тора событий с помощью удобного графического интерфейса. Средства учета и наблюдения обеспечивают возможность обнаружить и зафиксировать важные события, связанные с безопасностью, или любые попытки создать, получить до­ступ или удалить, системные ресурсы. Аудит используется для того, чтобы засе­кать даже неудачные попытки «взлома» системы.

Учет и наблюдение означает способность системы безопасности «шпионить» за выбранными объектами и их пользователями и выдавать сообщения тревоги, когда кто-нибудь пытается читать или модифицировать системный файл. Если кто-то пытается выполнить действия, определенные системой безопасности для отслеживания, то система аудита пишет сообщение в журнал регистрации, иден­тифицируй пользователя. Системный менеджер может создавать отчеты о без­опасности, которые содержат информацию из журнала регистрации. Для «сверх­безопасных» систем предусматриваются аудио- и видеосигналы тревоги, устанав­ливаемые на машинах администраторов, отвечающих за безопасность.

Поскольку никакая система безопасности не гарантирует защиту на уровне 100 %, то последним рубежом в борьбе с нарушениями оказывается система аудита.

Действительно, после того как злоумышленнику удалось провести успешную атаку, пострадавшей стороне не остается ничего другого, как обратиться к служ­бе аудита. Если при настройке службы аудита были правильно заданы события, которые требуется отслеживать, то подробный анализ записей в журнале может дать много полезной информации. Эта информация, возможно, позволит найти злоумышленника или по крайней мере предотвратить повторение подобных атак путем устранения уязвимых мест в системе защиты.

Технологии аутентификации

Синхронизация по времени

Механизм аутентификации в значительной степени зависит от производителя. Одним из наиболее популярных механизмов является схема, разработанная ком­панией Security Dynamics (рис. 11.8). Схема синхронизации основана на алго­ритме, который через определенный интервал времени (изменяемый при жела­нии администратором сети) генерирует случайное число. Алгоритм использует два параметра: