Международные стандарты информационного обмена

Перепроверка идентификатора пользователя

Администраторы сети должны нести ответственность за разработку процедуры, с помощью которой они уведомляются, что идентификатор пользователя и пароль нужно удалить из сети (например, когда служащий покинет организацию). Они должны периодически перепроверять все идентификаторы пользователей и, при необходимости, обновлять номера телефонов и почтовые адреса. Эта перепроверка должна выполняться, по крайней мере, ежегодно.

Обязанности пользователя

Изменение паролей

Для того чтобы избежать утечки пароля, необходимо изменить его. Поэтому необходимо периодически изменять пароли, чтобы предотвратить возможность невыявленной утечки паролей. Изменяйте их достаточно часто, чтобы вероятность утечки была приемлемо малой. Пользователи должны изменять свои пароли без вмешательства администратора, чтобы избежать нежелательного разглашения паролей пользователей администратору сети.

Устанавливайте максимальный срок действия для всех паролей. Для того чтобы защитить пароль от неизвестных угроз, установите максимальный срок службы пароля не более одного года. Аннулируйте пароль по истечении максимального срока. В установленный период времени до истечения срока действия пароля система должна сообщить пользователю, что пароль скоро утратит силу, затем потребовать у пользователя, который входит в систему с соответствующим идентификатором, изменить пароль перед тем, как ему будет разрешен дальнейший доступ к системе. Если пароль не изменен до истечения максимального срока службы, система должна заблокировать идентификатор пользователя.

Запоминание паролей

Поскольку пользователи должны передавать свои пароли сети во время аутентификации, им необходимо запомнить их. Пользователи должны помнить, а не записывать пароли на каком-то носителе.

Механизмы аутентификации

Аутентификация может быть обеспечена различными механизмами, многие из которых могут использоваться одновременно.

Внутреннее хранение паролей

Вы должны защищать сохраняемые пароли с помощью процедур управления доступом, предоставляемых сетью, путем шифрования паролей, или используя оба метода одновременно.

Использование шифрования

Вы должны шифровать сохраняемые пароли всякий раз, когда механизмы управления доступом, обеспечиваемые сетью, неадекватны для предотвращения разглашения паролей. Вы можете также использовать шифрование паролей даже тогда, когда считаете, что другие процедуры управления доступом адекватны. Шифрование защитит от возможного раскрытия пароля в том случае, если возможен обход процедуры управления доступом, например, при получении системных дампов. Зашифровывайте пароли немедленно после их ввода и немедленно после шифрования очищайте память, содержащую открытый текст пароля. Вы не должны расшифровывать пароли для сравнения. Система может сравнивать пароли путем шифрования пароля, введенного при входе в систему, и сравнения зашифрованной формы с зашифрованным паролем, хранящимся в базе данных паролей.

Ввод

Система должна требовать, ввод пароля после ввода идентификатора в систему. Если введенное значение правильно, система должна вывести на экран терминала дату и время последнего входа в систему этого пользователя. Система не должна отображать вводимые пользователем пароли. Когда система не может этого предотвратить, для скрытия напечатанного пароля до или после ввода пароля на том месте, где он должен появиться, система должна вывести произвольную последовательность случайных символов. Введенный пользователем пароль должен соответствовать паролю пользователя, который хранится в базе данных.

Передача

При передаче пароля из терминала пользователя на компьютер, на котором происходит аутентификация, вы должны защитить его одним из способов, адекватным ущербу, к которому может привести его разглашение. Пароли уязвимы не более чем данные, к которым они обеспечивают доступ. Таким образом, при передаче вы не должны обязательно защищать их как-то больше (например, путем шифрования), чем защищаете обычные данные.

Интенсивность попыток входа в систему

Контролируя интенсивность, с какой могут происходить попытки входа в систему (где каждая попытка состоит в угадывании пароля), вы ограничиваете количество угадываний, которое можно определить установленной верхней границей срока действия пароля. Для интенсивности попыток входа в систему устанавливается диапазон от одной в секунду до одной в минуту. Этот диапазон обеспечивает достаточно дружелюбный интерфейс для пользователя, не допуская такого большого числа попыток входа в систему, при котором системе пришлось бы устанавливать слишком большие пароли, или слишком короткий срок службы пароля. В случае неудачной попытки входа в систему допустимо использование внутреннего таймера, устанавливающего задержку до разрешения следующей попытки входа в систему. Пользователь не должен иметь возможности обойти эту процедуру.

Контрольные журналы

Система должна создать контрольный журнал применения и изменения паролей. Такой журнал не должен содержать действительных паролей или строк символов, представляющих неправильные варианты паролей, поскольку эта информация может выдать пароль законного пользователя, который ввел с ошибкой свой идентификатор пользователя или пароль. В контрольный журнал попадают следующие события: успешный вход в систему, неуспешные попытки входа в систему, использование процедуры изменения паролей и блокирование идентификатора пользователя до конца срока действия его пароля. Каждое событие фиксируется с указанием даты и времени события, типа события, идентификатора пользователя для неуспешных входов в систему или действительного идентификатора пользователя для других событий и источника события (терминал или идентификатор порта доступа). Записи контрольного журнала изменений пароля должны указывать, успешны ли изменения.

Оперативное уведомление обслуживающего персонала системы

При нескольких последовательных неудачных попытках входа в систему с одного порта доступа или с одним идентификатором пользователя должно посылаться немедленное уведомление оператору или администратору сети.

При успешном входе в систему пользователь должен быть уведомлен о следующем.

- Дате и времени последнего входа в систему пользователя.

- Расположении пользователя (определенном как можно точнее) при последнем входе в систему.

- Каждой неудачной попытке входа в систему, сделанной с идентификатором пользователя, после последнего успешного входа в систему. Такое уведомление помогает пользователю определить, использовал или пытался кто-то угадать этот идентификатор пользователя или пароль.

Заключение

Схема парольной защиты может не сработать, если пользователи, боясь забыть свои пароли, запишут их на столе или на компьютере, поместят записи в выдвижной ящик стола, используют в качестве паролей свои инициалы или дату рождения или поместят их на доске объявлений.

Но утечка пароля - это не всегда ошибка пользователя. Существуют как подпольные, так и коммерческие утилиты для нарушения парольной защиты.

Как ответственный за сохранность информации в организации, вы можете усилить защиту, усовершенствовав систему идентификации и аутентификации пользователей.

Начните с физической защиты сервера. Закройте сервер в отдельной комнате и убедитесь в том, что являетесь единственным обладателем ключа.

Просматривайте систему при поиске резидентных программ или троянских коней, предназначенных для перехвата паролей. Независимо от того, удастся вам или нет найти такие программы, примите меры для защиты системы от них. Установите требования к минимальной длине и множеству символов в паролях.

Если ваша фирма допускает удаленную обработку данных, используйте модемы с обратным дозвоном.

Если ваша фирма имеет средства, вложите их в интеллектуальные карты, опознавательные знаки, биометрические устройства управления доступом.

Активно включайтесь в управление паролями. Убедитесь, что сеть установлена корректно - в смысле периодических изменений и сроков действия паролей. Если вы вносите какие-либо изменения, проконтролируйте пользователей, бюджеты которых были активными перед изменениями, поскольку дополнительные ограничения, которые вы вносите в систему, будут влиять только на последующее определение параметров новых пользователей.

Установите процедуру для периодического изменения паролей и научите пользователей ею пользоваться. Пользователи должны отвечать за защиту своих паролей и за их изменение при подозрении утечки пароля. Найдите журнал ведения контроля под кучей бумаг на столе и обязательно просмотрите его.

Несмотря на сказанное, пароли являются только первым эшелоном обороны. Они не защищают передаваемые данные. Для обеспечения большей безопасности используются криптографические средства.

18. Защита сетей

21. Сетевые операционные системы

Типы защиты

Защита на уровне ресурсов (share-level security) выглядит просто и логично. Если вы хотите ограничить или оградить некий сетевой ресурс от несанкционированного использования, то вы назначаете два пароля для доступа к нему - один для тех пользователей, которые могут иметь полный доступ, другой - для тех, кто может только читать из этой папки или диска. Пользователь, который пытается открыть ресурс, должен внести пароль. В зависимости от введенного пароля ему будет предоставлен полный доступ или доступ только для чтения. В случае сетевого принтера доступ либо разрешен, либо нет. Пользователи, которые не знают пароля не смогут получить доступ. Такая модель защиты вполне пригодна для малых одноранговых сетей.

Чем больше сеть, тем больше видны недостатки такого подхода. Пользователь должен помнить пароли доступа ко всем устройствам. Конечно, существует кэширование паролей системой, но остается проблема отсутствия централизованного контроля. Кроме того, с защитой на уровне ресурсов не работает служба удаленного редактирования реестра (Remote Registry).

В случае защиты на уровне пользователей (user-level security) доступ к ресурсам предоставляется в зависимости от прав, которыми обладает данный пользователь в сети. Защита на уровне пользователей применяется в сетях Windows NT и Novell NetWare. Войдя в сеть, пользователь получает в соответствии со своим входным именем некий комплекс прав.

В случае защиты на уровне пользователей, если вы намерены ограничить доступ пользователей к тому или иному ресурсу на Windows-компьютере, вы можете указать конкретных пользователей (или группы пользователей), работающих в данной системе, которые имеют право доступа.

Это дает более гибкие возможности по предоставлению нрав доступа. Так в сети Window's NT администратор может предоставлять не только доступ для чтения или полный доступ к папке, но и настраиваемый (Custom) доступ, в рамках которого могут быть перечислены следующие права:

- на чтение файлов;

- на изменение файлов;

- на создание файлов;

- на просмотр списков файлов;

- на удаление файлов;

- на редактирование атрибутов файлов;

- на редактирование допусков.

Доступ к сетевым ресурсам

При использовании любых сетевых операционных систем может потребоваться разделение ресурсов компьютера пользователя Windows 95/98. Разделение ресурсов позволяет сетевому пользователю распоряжаться папками, дисками и принтерами сетевого компьютера как своими собственными - разумеется, с некоторыми ограничениями. Нельзя, например, форматировать сетевой диск. Локальный пользователь разделяемого ресурса может ограничить доступ к нему сетевых пользователей по паролю или разрешить чтение, но не редактирование.

Чтобы запустить службу разделения ресурсов, необходимо нажать на кнопку File and Print Sharing (Доступ к файлам и принтерам) в окне свойств сети. Появится окно File and Print Sharing (Организация доступа к файлам и принтерам), в котором можно установить флажки разделения файлов и принтеров. Если по умолчанию установлен обычный вход в Windows или загрузка клиента для сетей Microsoft, будет установлена служба разделения ресурсов для сетей Microsoft. Если установлен вход в сеть с клиентом Novell, будет установлена служба разделения для сетей Novell. Конкретную службу разделения можно установить, выбрав в окне установки сетевых служб производителя - Microsoft. Нельзя установить разделение для сетей Microsoft и Novell одновременно.

После того, как сервис разделения ресурсов запущен, следует выбрать конкретные ресурсы, к которым может получить доступ ведущий компьютер. Для этого существует меню окна папки File/Sharing (Файл/Доступ) или контекстное меню Sharing (Доступ). Можно разделить доступ к локальному диску, папке или принтеру. Если разделить доступ к диску, то станут доступны и все папки, находящиеся на этом диске.

Допустим, вы хотите предоставить в распоряжение коллег диск С:. Вызовите меню Sharing для диска С: - появится окно свойств этого диска, раскрытое на вкладке Sharing - Доступ. Переключатель Access Type (Тип доступа) позволяет установить как доступ только для чтения (Read-Only), так и полный доступ (Full), а также сделать степень доступа зависящей от пароля, введенного сетевым пользователем. Соответственно можно ввести пароль. Позволяющий только чтение (Read-Only Password), и пароль для полного доступа (Full Access Password).

Windows NT

Основные компоненты системы безопасности

Windows NT 4.0 не имеет сертификата безопасности по классу С 2 и даже не находится на этапе рассмотрения. Сертификацию по классу С 2 в классе "операционные системы" (то есть как одиночный компьютер без сетевой поддержки) имеет операционная система Windows NT 3.5.

Основная цель системы безопасности Windows NT - контроль доступа. Для этого в системе поддерживается информация безопасности (security information), связанная как с субъектом доступа (пользователи, группы), так и с объектами (файлы, принтеры и т.д.).

Система безопасности Windows NT включает в себя несколько основных компонент:

Рис. 1. Компоненты системы безопасности

Процессы входа в систему (logon processes) обрабатывают запросы пользователей о входе в систему. Сюда включается начальный интерактивный вход в систему (interactive logon), осуществляемый через диалоговое окно входа пользователя, и процессы удаленного входа (remote logon), открывающие доступ к серверу Windows NT с удаленных компьютеров.

Центральная часть - Локальный администратор безопасности (Local Security Authority, LSA) - проверяет наличие необходимых полномочий для входа в систему. Он создает маркеры доступа, управляет локальными правилами безопасности (local security policy), обеспечивает службы интерактивной проверки подлинности. LSA также контролирует правила аудита и записывает в журнал аудита сообщения, полученные от Монитора безопасности. При старте ОС вначале запускается подсистема win32, которая инициирует процесс winlogon.exe, запускающий LSA (lsass.exe), после чего выводится диалоговое окно "Press Ctrl+Alt+Del to logon". Окно входа в систему можно изменить: для этого необходимо модифицировать библиотеку MSGINA.DLL.

Журнал аудита (Security Log) содержит информацию о входах пользователей, изменениях в базе учетных записей и системной политике, событиях доступа пользователей к секретным файлам.

Пакет проверки подлинности (Authentication package) проверяет подлинность пользователя. По умолчанию используется пакет MSV1_0, но Windows NT может поддерживать несколько пакетов, выполненных как динамические библиотеки dll. Пакет MSV1_0 обращается к Диспетчеру учетных записей, который может находиться как на локальном, так и на удаленном компьютере. Это достигается разбиением пакета на 2 части: одна выполняется на компьютере, где осуществляется вход пользователя и, если учетная база расположена на удаленном компе, что проверяется по имени домена, то первая часть передает туда запрос, и там вторая часть проверяет подлинность. Этот процесс называется сквозной проверкой подлинности (pass-through authentication).

Диспетчер учетных записей (Security Account Manager, SAM) поддерживает базу данных учетных записей (Security Account Database). В ней хранятся все учетные записи пользователей и групп. Эта база является частью реестра ОС. SAM обеспечивает службы подтверждения подлинности пользователя, используемые LSA.

Монитор безопасности (Security Reference Monitor, SRM) проверяет, имеет ли пользователь достаточные права для доступа к объекту. В обличие от других компонентов системы безопасности он работает в режиме ядра. Компоненты ядра и пользовательские процессы обращаются к нему, чтобы выяснить, имеют ли право пользователи и процессы получить доступ к объекту.

Основные управляющие настройки Windows NT

Управляющая информация для Windows NT хранится в специальной базе данных, которая называется реестром (Windows NT registry). Он включает в себя информацию по конфигурации аппаратуры, системного и прикладного программного обеспечения, настройки рабочего стола, профили пользователя, ассоциации, а также другую служебную информацию. Реестр заменяет файлы с расширением ".INI, которые использовались в предыдущих версиях Windows.

Реестр имеет иерархическую структуру, напоминающую структуру файловой системы. Каждый уровень иерархии имеет свое специальное название. Рассмотрим их подробнее.

1. Поддерево (subtree) реестра аналогично корневой директории файловой системы. Реестр Windows NT включает 5 деревьев:

- HKEY_LOCAL_MACHINE. Включает все параметры конфигурации компьютера. Операционная система, драйверы и приложения используют данные этого поддерева. Ряд данных используются в процессе запуска для определения номенклатуры загружаемых драйверов;

- HKEY_USERS. Включает информацию по безопасности для каждого пользователя и настройки системы для него по умолчанию;

- HKEY_CURRENTUSER. Содержит данные по пользователю, зарегистрированному в настоящее время на данной рабочей станции;

- HKEY_CLASSES_ROOT. Содержит информацию по конфигурации программного обеспечения;

- HKEY_CURRENT_CONFIG. Содержит информацию о текущем профиле оборудования.

2. Улей (hive) представляет собой набор ключей, подключей и параметров.

3. Ключ аналогичен директориям файловой системы. Включает подключи и параметры.

4. Параметры аналогичны файлам в файловой системе. Представляют собой самый нижний уровень в иерархической системе. Параметры состоят из 3 частей:

- имени;

- типа данных;

- значения параметра.

Компьютер (сервер или рабочая станция) под управлением Windows NT может занимать одно из следующих мест в сети:

- Станция в составе рабочей группы. Ресурсы каждой рабочей станции доступны другим рабочим станциям в составе группы. Информация безопасности, управляющая допуском пользователей к ресурсам рабочей станции, хранится на этой станции.

- Член домена. В домене предусмотрено централизованное управление безопасностью через базу данных, хранящуюся на одном из серверов домена, который называется первичным контроллером домена (Primary Domain Controller - РОС).

- Клиентская рабочая станция в составе гетерогенной вычислительной сети (например, IntranetWare и Windows NT). Удаленный доступ к ресурсам данной рабочей станции невозможен.

В модели рабочей группы пользователи совместно используют ресурсы локальных компьютеров. Эта модель не требует наличия центрального сервера. Управление безопасностью распределено по сети. Данная модель применима для небольшого числа рабочих станций (не более 10 в рабочей группе). Понятие домена было введено для того, чтобы довести модель рабочей группы до масштаба предприятия. Домен представляет собой логическую группу серверов и рабочих станций.

В состав домена входит сервер Windows NT, который содержит основную копию базы данных (директории), включающую описания пользователей, групп и рабочих станций, входящих в состав домена. Таким образом, администрирование безопасности становится централизованным. Для повышения надежности база данных домена копируется на другие серверы домена, которые называются резервными контроллерами домена (Backup Domain Controller - BDC).

Домен обеспечивает единую систему идентификации и аутентификации пользователей, когда пользователь может регистрироваться в домене с любой разрешенной рабочей станции.

В доменной структуре Windows NT определены понятия глобальных и локальных пользователей и групп. Глобальным группам и пользователям могут быть предоставлены права и допуски в пределах всего домена, локальным только на данном сервере или рабочей станции. Глобальные группы могут быть включены в локальные. По умолчанию определены две глобальные группы:

- Domain Administrators;

- Domain Users.

В группу Administrators на каждом компьютере домена по умолчанию включается группа Domain Administrators.

Эта структура носит название NT Directory Services (NTDS). Для управления доступом пользователей к объектам NTDS используются следующие возможности:

- Система ограничений, содержащихся в описании пользователей. Поскольку аутентификация в NTDS выполняется только в момент регистрации, эти ограничения действуют только в период первичной регистрации пользователей в домене и не распространяются на весь сеанс работы.

- Права пользователя на выполнение определенных действий. Перечень основных действий был дан при описании групп Windows NT. Обычно права пользователя выполнять эти действия определяются принадлежностью его к определенным группам.

- Допуск пользователей к объектам файловой системы. Определены права доступа пользователей и групп к объектам файловой системы на локальном компьютере (при использовании NTFS), и права доступа пользователей и групп к этим же объектам удаленно. При доступе пользователей к ресурсам рабочей станции по сети эффективные права определяются методом пересечения.

- Создание профилей пользователя.

- Определение системных политик.

Профили пользователя представляют собой набор параметров, определяющих:

- настройки рабочего стола пользователя (положение значков, обои и т.д.);

- автоматические подключения сетевых дисков при входе в сеть;

- приложения, которые запускаются при старте операционной системы.

Различают следующие типы профилей пользователя:

- локальный профиль, хранящийся на рабочей станции;

- блуждающий, хранящийся на сервере - первичном контроллере домена - и изменяющийся пользователем;

- мандатный, хранящийся на сервере - первичном контроллере домена - и не изменяющийся пользователем.

Системная политика (System Policy) в Windows NT представляет собой некоторый набор значений, который присваивается соответствующим параметрам реестра в момент аутентификации пользователя в сеть. Системная политика определяется для пользователя, группы пользователей, и для компьютера. В случае, если какой-то параметр системной политики противоречит настройкам профиля пользователя, используется настройка системной политики.

Использование профилей и системных политик позволяет создать замкнутую рабочую среду, облегчающую выполнение пользователем производственных.

Для контроля за работой пользователей на персональных компьютерах, работающих под управлением Windows NT, администратор может задать политику аудита. При этом регистрации подлежат следующие события:

- регистрация пользователей и окончание сеансов их работы в сети; аудиту подлежат как локальная, так и удаленная регистрация;

- доступ к файлам и объектам (относится только к файлам, директориям на NTFS разделе);

- управление пользователями и группами; создание, удаление, изменение и переименование пользователей и групп, блокировка и разблокировка описаний пользователей, любые изменения паролей;

- изменения политики безопасности; любые изменения прав пользователей или политики аудита;

- выключение и перезагрузка системы на локальной рабочей станции;

- слежение за процессами активации программ, опосредованного доступа к объектам и окончания работы процессов.

Стандартные настройки Windows NT с точки зрения специалистов фирмы Microsoft не соответствуют требованиям безопасности, предъявляемым по классу С 2. Это сделано по той причине, что большинство организаций - пользователей Windows NT нуждается в более открытой структуре операционной системы, и ограничения, обусловленные требованиями безопасности, только мешают их нормальной работе.

Специалисты Microsoft рекомендуют осуществлять дополнительные настройки серверов и рабочих станций Windows NT для достижения повышенного уровня безопасности. Описание этих настроек приведено в Табл. 3 В этой таблице к типу 1 отнесены рабочие станции и серверы Windows NT, не являющихся контроллерами доменов, а к типу 2 - контроллеры доменов.

Табл. 3. Настройки серверов и рабочих станций, обеспечивающие повышенный уровень безопасности

Права	Тип 1	Тип 2
пользователей	Стандартные настройки	Рекомендованные изменения	Стандартные настройки	Рекомендованные изменения
Регистрация локально. Позволяет пользователям регистрироваться локально, с клавиатуры рабочей станции	Administrators, Everyone, Guests, Power Users, Users	Удалить Everyone и Guests	Account Operators, Administrators, Backup Operators, Server Operators, Print Operators	Без изменения
Выключение системы. Предоставляет возможность выгружать Windows NT	Administrators, Everyone, Guests, Power Users, Users	Удалить Everyone, Guests, Users	Account Operators, Administrators, Backup Operators, Server Operators, Print Operators	Без изменения
Доступ к компьютеру по сети	Administrators, Everyone, Power Users	Administrators, Power Users, Users	Administrators, Everyone	Administrators, Backup Operators, Server Operators, Print Operators, Users, Guests

Для ограничения удаленного доступа к реестру Windows NT рекомендуется создать ключ HKEY_LOCAL_MACHINE\ System\ CurrentcontrolSet\ SecurePipeServers\ winreg\ AllowedPaths, куда необходимо вписать директории реестра, разрешенные для удаленного доступа. Кроме того, следует сделать настройки, приведенные в Табл.5.

Пользователи и группы

Система безопасности в Windows NT ориентирована на использование стандартных описаний пользователей и стандартных групп, которые создаются в процессе инсталляции. К стандартным пользователям относятся Administrator (администратор) и Guest (гость). Данного пользователя нельзя удалить из системы, но можно (и настоятельно рекомендуется) переименовать. Administrator обладает полным контролем над системой и может выполнять следующие действия:

- управлять доступом пользователей к ресурсам сети;

- изменять конфигурацию сетевой операционной системы;

- создавать и иметь полной доступ к общим сетевым директориям;

- инсталлировать принтеры;

- создавать разделы на жестком диске и форматировать его.

Пользователь Guest имеет ограниченный администратором доступ к объектам файловой системы. Может быть использован для организации доступа относительно большого количества пользователей к некоторым файлам и директориям компьютера под управлением Windos NT как локально, так и удаленно.

К стандартным группам относятся (приводятся названия, принятые для NT Server и для английской версии NT Workstation):

- Administrators;

- Backup Operators;

- Users;

- Guests;

- Replicator;

- Power Users (только для NT Workstation);

- Server Operators (только для NT server);

- Print Operators (только для NT server).

Помимо перечисленных выше групп определена группа Everyone. Эта группа включает по умолчанию в себя всех пользователей Windows NT. Список членов этой группы не может быть изменен. Стандартные группы не могут быть переименованы.

Чтобы однозначно идентифицировать пользователя или группу, Windows NT использует идентификатор безопасности (Security Identifier, SID). При создании новой учетной записи Windows NT генерирует очередной уникальный SID, который будет применяться как идентификатор учетной записи в маркере доступа и списках контроля доступа.

Среди преимуществ использования учетных записей - возможность переименования учетных записей (SID не меняется, следовательно, права и привилегии остаются), и наоборот, при создании новой записи с именем, совпадающим со старым и уже удаленным, гарантированно права не перейдут к новому пользователю.

Права и допуски

Для Windows NT определены такие понятия как права (rights) и допуски (permissions). Права определены для действий, а допуски - для объектов файловой системы.

Списки пользователей и групп, которым предоставлены те или иные права, хранятся в защищенной части реестра внутри куста HKEY_LOCAL_MACHINE\SECURITY и применяются LSA в процессе создания маркера допуска.

4 права (Logon locally, Access this computer from the network, Logon as a service, Logon as a batch job) действуют особо - определяют, какого типа вход в систему разрешен пользователю. Остальные являются в действительности системными привилегиями. Привилегии пользователя заносятся в маркер доступа. В дальнейшем, прежде чем выполнить некоторый привилегированный запрос, ос проверит, что маркер доступа, связанный с издавшим запрос процессом, содержит соответствующую привилегию. В момент запуска ОС все привилегии регистрируются, и им присваивается локально уникальный идентификатор (Local Unique Identifier, LUID) - это 8-байтовое число, "локально уникальный" - т.е. уникальность обеспечивается только в пределах одного компьютера и на время работы ОС. Перед выполнением привилегированных действий система проверяет наличие в марке доступа именно LUID, соответствующего требуемой привилегии.

При входе пользователя в систему LSA создает маркер доступа, который связывается с каждым запускаемым пользователем процессом. Монитор безопасности использует маркер доступа при попытке процесса получить доступ к объекту. SID из маркера связываются с имеющимися в списке контроля доступа, связанном с объектом.

Табл. 4. Допуски пользователей к системным файлам

Директории и файлы	Допуски пользователей
\WINNT и все поддиректории	Administrators: Full Control Creator Owner: Full Control Everyone: Read SYSTEM: Full Control
\WINNT\ REPAIR	Administrators: Full Control
\WINNT\SYSTEM32\CONFIG	Administrators: Full Control Creator Owner: Full Control Everyone: List SYSTEM: Full Control
\WINNT\SYSTEM32\SPOOL	Administrators: Full Control Creator Owner; Full Control Everyone: Read Power Users: Change SYSTEM: Full Control
\WINNT\COOKIES \WINNT\FORMS \WINNT\HISTORY \WINNT\OCCACHE \WINNT\ PROFILES \WINNT\SENDTO \WINNT\Temporary Internet Files	Administrators: Full Control Creator Owner: Full Control Everyone: Special Directory Access - Read, Write, Execute. Special File Access - None Add Power Users: Change SYSTEM: Full Control
\Boot.ini \Ntdetect.com \Ntldr	Administrators: Full Control SYSTEM: Full Control
\autoexec.bat \Config.sys	Everyone: Read Administrators: Full Control SYSTEM: Full Control
\Temp	Administrators: Full Control SYSTEM: Full Control Creator Owner: Full Control Everyone: Special Directory Access - Read, Write, Execute. Special File Access - None Add

19. Межсетевой экран (МЭ), Firewall, брандмауэр. Основные компоненты МЭ

Получить удаленный доступ к вычислительной сети не сложнее, чем снять трубку с телефона. Возникает вопрос: так ли хорошо, когда доступ к корпоративной вычислительной сети (и ко всему, что в ней содержится) осуществляется настолько легко? Вычислительные сети, а также входящие в их состав серверы файлов и приложений стали основной инфраструктурой, обеспечивающей нормальную работу организаций, и злоумышленники легко могут воспользоваться телефонными линиями для входа в сеть, получив таким образом доступ практически ко всей информации компании.

Доступ по телефонной линии к корпоративной сети (dial-in access) необходим четырем основным категориям пользователей: мобильным пользователям, надомным работникам, сотрудникам удаленных филиалов, а также пользователям, у которых время от времени возникает необходимость обратиться к корпоративной сети из собственного дома. На Рис. 2 представлены типичные конфигурации доступа к вычислительной сети по телефонным линиям. Удаленные пользователи набирают телефонный номер при помощи модема. Если пользователь подключен к локальной сети, то для соединения можно использовать коммуникационный сервер. В противном случае абонент использует общедоступную телефонную сеть для соединения либо с модемом на рабочей станции в офисе компании, либо с устройством удаленного доступа в локальной сети.

Программное обеспечение удаленного узла позволяет злоумышленнику просматривать и копировать на свой компьютер конфиденциальную информацию, распространять по сети данные и вирусы, а также портить файлы и сетевые ресурсы.

Сформулируем 4 основных проблемы защиты информации в системах удаленного доступа:

1. Идентификация пользователя - в системе должны иметься средства верификации того, что абонент на линии действительно является тем, за кого себя выдает. Одно из средств защиты - раздать персональные устройства идентификации (аппаратные ключи).

2. Конфиденциальность обмена сообщениями - необходимо позаботиться о кодировании передаваемых данных.

3. Управление доступом к сети - прежде чем пользователь получит доступ к системе, необходимо установить его личность, поэтому система управления доступом должна представлять собой устройство, подключаемое к телефонной линии перед коммуникационным устройством.

4. Обнаружение несанкционированного доступа - если злоумышленник все-таки проник в сеть, необходимо иметь возможность определить, как был осуществлен доступ и какой урон понесет компания от несанкционированного входа.

Система защиты данных оказывается надежной лишь тогда, когда она обеспечивает решение всех четырех проблем. На Рис. 3 представлен пример системы удаленного доступа по телефонным линия с защитой. Пользователи получили аппаратные ключи для входа в систему, сеть оборудована устройством управления доступом, включенным перед устройством удаленного доступа. Кроме того, система оснащена сервером защиты, в задачу которого входит управление и мониторинг системы защиты.



Рис. 2.

Рис. 3.

Наиболее простым является метод идентификации пользователя при помощи пароля, что обеспечивает так называемую однофакторную идентификацию. Достоинства, недостатки и слабые места парольной защиты мы уже рассматривали ранее, поэтому подробно останавливаться на этом методе не будем. Другой метод однофакторной идентификации состоит в том, чтобы система перезванивала пользователю, пытающемуся войти в систему (ответный вызов, обратный дозвон, callback). Получив звонок от пользователя, система отключается и сама перезванивает пользователю по тому номеру, с которого ему разрешено входить в систему. Недостаток здесь в том, что злоумышленник может, (воспользовавшись технологией переключения телефонного вызова) перехватить звонок, адресованный на зарегистрированный номер пользователя. Кроме того, ответный вызов совершенно не пригоден для мобильных пользователей, которым приходится входить в систему с разных телефонных номеров.

Двухфакторная система идентификации позволяет повысить надежность защиты системы. Этот метод предполагает применение пароля или персонального идентификационного номера (personal identification number - PIN) и персонального устройства идентификации пользователя - аппаратного ключа. Примером двухфакторной оптимизации может служить система доступа к банкоматам - для получения доступа к счету клиент должен иметь банковскую карточку (аппаратный ключ) и правильно ввести свой идентификационный номер.

В основе идентификации пользователя при помощи аппаратных ключей лежит процедура типа "запрос-ответ" (challenge-response). Обмен сообщениями начинается в тот момент, когда пользователь, имеющий аппаратный ключ, набирает номер для входа в систему. Главное (master) устройство идентификации пользователя перехватывает звонок и требует ввода идентификационного номера, который по пути проходит через аппаратный ключ и запоминается. Если идентификационный номер принадлежит к числу зарегистрированных, устройство идентификации генерирует случайное число и пересылает его пользователю; получив его, аппаратный код генерирует на основе этого числа, идентификационного номера пользователя и уникального кода аппаратного ключа ответ на запрос и передает обратно в систему. Система, в свою очередь, самостоятельно генерирует ответ, и если получившийся ответ совпадает с присланным по линиям связи, то удаленная система получает доступ к сети.

Эта процедура хороша еще и тем, что ответ, однажды признанный корректным, не может быть использован повторно: каждый раз как пользователь входит в систему, генерится новое число-запрос, а следовательно, меняется и ответ. Другое преимущество систем такого типа состоит в том, что при формировании запроса и ответа используется алгоритм кодирования, поэтому оба числа передаются по телефонной сети в закодированной форме. В числе основных недостатков такой системы следует оказать дороговизну, так как каждому удаленному пользователю придется выдать собственное устройство. Кроме того, достаточно сложно бывает настроить и согласовать ключи и систему даже при сравнительно небольшом количестве пользователей.

Кодирование сигнала важно и при идентификации пользователя, и при обеспечении конфиденциальности связи. При работе в глобальных сетях применяются практически все рассмотренные нами выше средства криптографии.

Мониторинг системы и генерация отчетов, позволяющие выявлять необычные запросы на доступ к сети и странности при работе с сетью, осуществляются с помощью специального программного обеспечения, которое обычно входит в комплекс программного обеспечения по поддержке работы сети либо поставляется отдельными пакетами.

Безопасная связь с внешним миром: Брандмауэры

При выходе абонентов локальной сети предприятия во внешнюю сеть (такую как, например, Интернет) возникают новые проблемы: как защитить локальную сеть от несанкционированного доступа со стороны злоумышленников, как скрыть информацию о структуре сети и ее компонентов от внешних пользователей, какими средствами разграничить права доступа внешних пользователей, обращающихся извне к серверу компании, а также своих пользователей, запрашивающих ресурсы внешней сети. Для решения этих (и множества других) проблем все чаще используют брандмауэры (firewalls - экраны, межсетевые фильтры, блокираторы).

Брандмауэр - это система или комбинация систем, позволяющая разделить сеть на 2 или более частей и реализовать набор правил, определяющих условия прохождения пакетов из одной части в другую. Брандмауэр пропускает через себя весь трафик и для каждого проходящего пакета принимает решение, пропускать его или отбросить. Для того, чтобы брандмауэр мог принимать эти решения, ему необходимо определить набор правил.

Как правило, в операционную систему, под управлением которой работает брандмауэр, вносятся изменения, цель которых - повышение защиты самого брандмауэра. На самом брандмауэре не разрешается иметь разделов пользователей, а следовательно, и потенциальных дыр - только раздел администратора. Некоторые брандмауэры работают только в однопользовательском режиме, а многие имеют систему проверки целостности программных кодов. При этом контрольные суммы программных кодов хранятся в защищенном месте и сравниваются при старте программы во избежание подмены программного обеспечения.

Все брандмауэры можно разделить на три типа:

- пакетные фильтры (packet filter);

- серверы (шлюзы) прикладного уровня (application gateways);

- серверы (шлюзы) уровня соединения (circuit gateways).

Все типы могут одновременно встретиться в одном брандмауэре.

Пакетные фильтры

Брандмауэры с пакетными фильтрами принимают решение о том, пропускать пакет или отбросить, просматривая заголовки пакетов (IP-адреса, флаги или номера TCP-портов).

К положительным качествам пакетных фильтров следует отнести следующие:

- относительно невысокая стоимость;

- гибкость в определении правил фильтрации;

- небольшая задержка при прохождении пакетов.

Недостатки у данного типа брандмауэров следующие:

- локальная сеть видна (маршрутизируется) извне;

- правила фильтрации пакетов трудны в описании, поэтому требуется хорошее знание соответствующих форматов, протоколов и технологий;

- при нарушении работоспособности брандмауэра все компьютеры за ним становятся полностью незащищенными либо недоступными;

- аутентификацию с помощью IP-адреса можно обмануть при помощи IP-спуфинга, когда атакующая система выдает себя за другую, используя ее IP-адрес;

- отсутствует аутентификация на пользовательском уровне.

Шлюзы прикладного уровня

Брандмауэры этого типа используют серверы конкретных сервисов (TELNET, FTP, proxy server и т.д.), запускаемые на брандмауэре и пропускающие через себя весь трафик, относящийся к данному сервису. Таким образом, между клиентом и сервером образуются соединения: от клиента до брандмауэра и от брандмауэра до места назначения. Полный набор поддерживаемых серверов различается для каждого конкретного брандмауэра, однако чаще всего встречаются серверы для следующих сервисов: терминалы (Telnet, Rlogin), передача файлов (FTP), электронная почта (SMTP, POP3), WWW (HTTP), Gopher, Finger, новости (NNTP) и т.д.

Использование шлюзов прикладного уровня позволяет решить важную задачу - скрыть от внешних пользователей структуру локальной сети, включая информацию в заголовках почтовых пакетов или службы доменных имен. Другим положительным качеством является возможность аутентификации.

При описании правил доступа используются такие параметры, как название сервиса, имя пользователя, допустимый период времени использования сервиса, компьютеры, с которых можно обращаться к сервису, схемы аутентификации. Шлюзы протоколов прикладного уровня позволяют обеспечить наиболее высокий уровень защиты - взаимодействие с внешним миром реализуется через небольшое число прикладных программ, полностью контролирующих весь входящий и выходящий трафик.

К преимуществам серверов прикладного уровня следует отнести следующие:

- локальная сеть невидима извне;

- при нарушении работоспособности брандмауэра пакеты перестают проходить через брандмауэр, тем самым не возникает угрозы для защищаемых им машин;

- защита на уровне приложений позволяет осуществлять большое количество дополнительных проверок, снижая тем самым вероятность взлома с использованием дыр в программном обеспечении;

- при организации аутентификации на пользовательском уровне может быть реализована система немедленного предупреждения о попытке взлома.

Недостатками этого типа шлюзов являются:

- более высокая, чем для пакетных фильтров стоимость;

- невозможность использования ряда протоколов (RPC, UDP);

- производительность ниже, чем для пакетных фильтров.

Шлюзы уровня соединения

Шлюз уровня соединения представляет из себя транслятор TCP-соединения. Пользователь устанавливает соединение с определенным портом на брандмауэре, который производит соединение с местом назначения по другую от себя сторону. Во время сеанса этот транслятор копирует байты в обоих направлениях, действуя как провод. Как правило, пункт назначения задается заранее, в то время как источников может быть много. Используя различные порты, можно создавать различные конфигурации. Данный тип сервера позволяет создавать транслятор для любого определенного пользователем сервиса, базирующегося на TCP, осуществлять контроль доступа к этому сервису и сбор статистики по его использованию.

Ряд брандмауэров позволяют также организовывать виртуальные корпоративные сети (Virtual Private Network), объединяющие несколько локальных сетей, включенных в Интернете в одну локальную сеть. VPN позволяют организовать прозрачное для пользователей соединение локальных сетей, сохраняя секретность и целостность передаваемой информации с помощью шифрования. При этом во время передачи данных шифруется не только пользовательская, но и сетевая информация - сетевые адреса, номера портов и т.д. Рис. 4.

Рис. 4.

Для подключения брандмауэров используются различные схемы. Брандмауэр может работать в качестве внешнего маршрутизатора, используя поддерживаемые типы устройств для подключения к внешней сети (Рис. 5а). Иногда используется схема, изображенная на Рис. 5б, однако пользоваться ей следует только в крайнем случае, поскольку требуется очень аккуратная настройка маршрутизаторов, и даже небольшие ошибки могут образовать серьезные дыры в защите.

Если брандмауэр может поддерживать два Ethernet-интерфейса - так называемый dual-homed брандмауэр, то чаще всего подключение осуществляется через внешний маршрутизатор (Рис. 5в). При этом между внешним маршрутизатором и брандмауэром имеется только один путь, по которому идет весь трафик. Обычно маршрутизатор настраивается таким образом, что брандмауэр является для него единственной видимой снаружи машиной. Эта схема является наиболее предпочтительной с точки зрения безопасности и надежности защиты.

На Рис. 5г представлена другая схема подключения брандмауэра, который защищает только одну подсеть из нескольких выходящих из маршрутизатора. В незащищаемой области часто располагают серверы, видимые снаружи: WWW, FTP и т.п. Некоторые брандмауэры предлагают разместить эти серверы на них самих - это решение, далеко не лучшее с точки зрения загрузки машины и безопасности самого брандмауэра.

Существуют решения (Рис. 5д.), которые позволяют организовать из видимых снаружи серверов третью сеть, что позволяет обеспечить контроль за доступом при сохранении необходимого уровня защиты машин в основной сети. При этом достаточно много внимания уделяется тому, чтобы пользователи внутренней сети не могли случайно или умышленно открыть дыру в локальную сеть через эти видимые снаружи серверы.

Для повышения уровня защищенности возможно также использовать в одной сети несколько брандмауэров, стоящих друг за другом.

Еще одним важным компонентом брандмауэра является система сбора статистики и предупреждения об атаке. Информация обо всех событиях - отказах, входящих, выходящих соединениях, числе переданных байт, использовавшихся сервисах, времени соединения и т.д. - накапливается в файлах статистики. Многие брандмауэры позволяют гибко определять подлежащие протоколированию события, описывать порядок действия при атаках или попытках несанкционированного доступа: сообщение на консоль, почтовое послание администратору системы и т.д. В состав многих брандмауэров входят генераторы отчетов, служащие для обработки статистику по использованию ресурсов конкретными пользователями, по использованию сервисов, отказам, источникам, с которых проводились попытки несанкционированного доступа и т.д.

Одним из самых важных компонентов брандмауэров является аутентификация. Прежде чем пользователю будет предоставлено право получить тот или иной сервис, необходимо убедиться, что он действительно тот, за кого себя выдает (предполагается, что этот сервис для данного пользователя разрешен: процесс определения, какие сервисы разрешены, называется авторизацией; авторизация обычно рассматривается в контексте аутентификации - как только пользователь аутентифицирован, для него определяются разрешенные ему сервисы). При получении запроса на использование сервиса от имени какого-либо пользователя, брандмауэр проверяет, какой способ аутентификации определен для данного пользователя и передает управление серверу аутентификации. После получения положительного ответа брандмауэр формирует запрашиваемое пользователем соединение.

При аутентификации используется, как правило, принцип, получивший название "что он знает" - пользователь знает некоторое секретное слово, которое он посылает серверу аутентификации в ответ на его запрос. Одной из схем аутентификации является использование стандартных паролей. Эта схема является наиболее уязвимой с точки зрения безопасности - пароль может быть перехвачен и использован другим лицом. Чаще всего используются схемы с применением одноразовых паролей. Даже будучи перехваченным, этот пароль будет бесполезен при следующей регистрации, а получение следующего пароля из предыдущего является крайне трудной задачей. Для генерации одноразовых паролей используются как программные, так и аппаратные генераторы.



Рис. 5.

Основные принципы безопасной работы в интернете

Интернет страдает от серьезных проблем с безопасностью, которые, если их игнорировать, могут привести к серьезным последствиям для неподготовленных сетей. Ошибки при проектировании сервисов TCP/IP, сложность конфигурирования хостов, уязвимые места, появившиеся в ходе написания программ, и ряд других причин в совокупности делают неподготовленные сети открытыми для деятельности злоумышленников и уязвимыми к связанными с этим проблемам.

Основные проблемы обеспечения безопасности сетей в Интернете

Слабая аутентификация

Большинство инцидентов произошло из-за использования слабых, статических паролей. Пароли в Интернете могут быть "взломаны" рядом способов, но двумя самыми распространенными являются взлом зашифрованной формы пароля и наблюдение за каналами передачи данных с целью перехвата пакетов с паролями. ОС Unix обычно хранит пароли в зашифрованной форме в файле, который может быть прочитан любым пользователем. Этот файл паролей может быть получен простым копированием его или одним из других способов, используемых злоумышленниками. Как только файл получен, злоумышленник может запустить легко доступные программы взлома паролей для этого файла. Если пароли слабые, то есть меньше, чем 8 символов, являются словами, и т.д., то они могут быть взломаны и использованы для получения доступа к системе.

Другая проблема с аутентификацией возникает из-за того, что некоторые службы TCP и UDP могут аутентифицировать только отдельный хост, но не пользователя. Например, сервер NFS (UDP) не может дать доступ отдельному пользователю на хосте, он может дать его всему хосту. Администратор сервера может доверять отдельному пользователю на хосте и дать ему доступ, но администратор не может запретить доступ других пользователей на этом хосте и поэтому автоматически должен предоставить его всем пользователям или не давать его вообще.

Легкость наблюдения за передаваемыми данными

Следует отметить, что когда пользователь установил сеанса с удаленным хостом, используя TELNET или FTP, то пароль пользователя передается по Интернету в незашифрованном виде. Поэтому другим способом проникновения в системы является наблюдение за соединением с целью перехвата IP-пакетов, содержащих имя и пароль, и последующее использование их для нормального входа в систему. Если перехваченный пароль является паролем администратора, то задача получения привилегированного доступа становится гораздо легче. Как уже ранее отмечалось, сотни и даже тысячи систем в Интернете были скомпрометированы в результате перехвата имен и паролей.