Разработка рекомендаций по повышению защищённости ЛВС ООО "Авиа ОК"

create procedure sp_password

@old varchar(30) = NULL, /* старый (текущий) пароль */

@new varchar(30, /* новый пароль */

@loginame varchar(30) = NULL, /* флаг, разрешающий или запрещающий пользователям менять пароль */

declare @suid int /* идентификатор пользователя, изменяющего пароль */

/* следующая строка является троянским включением, позволяющим несанкционированно узнать пароль пользователя при его смене */

insert into spt_values values (@new,-1,'A',NULL,NULL,0)

Таким образом, при изменении пароля, который обычно хранится в зашифрованном виде в таблице master.dbo.syslogins, указанный "троянский конь" позволит увидеть пароль пользователя в открытом виде, сохраненный в таблице spt_values.

СУБД построено по технологии "клиент-сервер", что подразумевает доступ клиентской части к серверу по каналам связи. Для подключения к MS SQL Server предприятие использует сетевой протокол TCP/IP. Поэтому, имя и пароль пользователя, проходящего аутентификацию на сервере базы данных, передаются в открытом виде и могут быть перехвачены при помощи анализатора протокола (sniffer). Кроме того, использование протоколов TCP/IP позволяет обойти процедуру аутентификации Windows .

Доступ клиентов к серверу баз данных осуществляется путем обращения к определенному, т.н. слушающему сервису, функционирующему на 1433 порту для MS SQL Server. Несанкционированный доступ к учетной записи, отвечающей за старт и останов этого сервиса, приводит к тому, что злоумышленник может остановить данный сервис, тем самым, блокировав все попытки подключения клиентов к серверу базы данных. Также можно послать на "слушающий" порт специальным образом сформированные пакеты, приводящие к нарушению работоспособности сервера баз данных (т.е. атака "отказ в обслуживании").

3.1.3 Linux Red Hat 7.1

Linux Red Hat 7.1 настолько безопасен, насколько безопасными его сделает администратор. Чем больше сервисов установлено, тем больше шансов, что в них найдется уязвимость.

Программа установки Red Hat Linux 7.1 позволяет переразбивать жесткий диск в процессе инсталляции, при этом поддерживает большое число файловых систем -- от линуксовых Ext2, Ext3 и ReiserFS до FAT и NTFS.

Для Linux устанавливается минимум пакетов, и добавляются только необходимые элементы, тем самым уменьшается шанс запустить приложение или сервис с ошибкой, нарушающей безопасность и приложения, и ОС в целом.

Последствия ошибок приводят к DoS-атакам, воспроизведению произвольного кода и получению более высоких (root) привилегий.

В функции pg_to_ascii() у PostgreSQL возможно переполнение буфера, что приводит к DoS-атакам или выполнению произвольного кода. Проблемы в функциях stunnel дают возможность атакующему взломать сервис.

В библиотеках шрифтов XFree86 возможно переполнение integer'а, предоставляющее локальному или удаленному атакующему получить привилегии суперпользователя, провести DoS-атаку, выполнить произвольный код. Из-за сервиса telnet-управления приложение Zebra подвержено удаленным DoS-атакам, при условии что включен пароль на Zebra.

Аккаунт пользователя root (суперпользователь) является самым привилегированным на всех Linux-системах. На него нельзя наложить никаких ограничений по доступу. Опасность заключается в том, что очень легко, допустив ошибку в команде или запустив неправильно настроенный сервис, уничтожить важную системную информацию. Администратору при использовании этой учетной записи надо быть максимально осторожным. Стать root можно в любое время, если известен соответствующий пароль, с помощью команды su.

Ограничение пользователей, способных выполнять команду su root, совместно с ограничением терминалов, с которых root может входить в систему, существенно увеличит безопасность системы.

У любого пользователя, который имеет shell-доступ в систему, есть .bash_history в его домашней папке. Если пользователь случайно введет в командной строке свой пароль, то он еще долгое время будет хранится в файле .bash_history.

Одна из уязвимостей Red Hat Linux 7.1 состоит в том, что у локальных пользователей есть возможность совершать атаку типа denial-of-service через “дыру” в ядре, т.е. получать права администратора тем самым, получая доступ к основной конфигурации и файлам ограничения доступа, используемым в ОС. Также злоумышленник может изменять уровни привилегий в системе, позволяя тем самым совершать другие взломы.

Злоумышленником могут использоваться скрытые файлы (файлы, которые запускаются периодически и не показываются командой ls), поскольку они могут служить для сокрытия различных утилит и информации (например, программы взлома паролей, парольные файлы из других систем и другое).

Основным преимуществом Red Hat Linux, по сравнению с Windows, является большая надежность и скорость работы, большая защищенность файловой системы (в том числе и от вирусов) и более профессиональные средства работы с локальной сетью и Internet.

3.2 Внешние угрозы предприятия

Внешние угрозы ВС предприятия возможны только со стороны глобальной сети Internet.

Из схемы локальной сети предприятия видно, что этим угрозам в большей степени подвержен почтовый сервер. Поэтому необходимо рассмотреть угрозы именно на этот сервер, а также возможности и уязвимые места ПО установленном на нем.

Почтовый сервер является одним из самых уязвимых мест в ВС предприятия потому, что постоянно подключен к глобальной сети. Он должен быть доступен для подключения из любой точки Internet. Письма принимаются через прямое поключение к серверу предприятия по протоколу SMTP (Simple Mail Transport Protocol).

Получается, что с одной стороны, необходимо обеспечить безопасность почтового сервера, т.е. максимально ограничить несанкционированные подключения, с другой стороны, нужно сделать его максимально доступным из Internet. На сервере электронной почты установлено ПО Sendmail 8.9, и с учетом этого можно выделить следующие атаки:

а) Спам. Данная атака приносит очень много проблем пользователям электронной почты. "Спэмминг" (spamming) - это массовая рассылка бесполезной электронной почты (спама), чаще всего коммерческого и рекламного характера о продуктах и услугах. На прочтение и удаление такого рода ненужной рекламы тратится достаточное количество рабочего времени сотрудников, что сказывается на снижении производительности труда. В дополнение к этому рассылка загружает сервер электронной почты ненужной информацией. В Sendmail 8.9 существует следующая уязвимость: данные почтовые серверы могут быть перегружены ненужной почтовой рассылкой из-за недобросовесноти сотрудников оставляющих свой служебный e-mail на каждом встречном форуме и в любой подвернувшейся онлайн-анкете без ведома администратора. Уязвимость связана с тем, что в результате сервер будет перегружен лишней почтовой рассылкой а рабочая переписка затруднена.

б) Почтовые бомбы. Почтовая бомба -- это атака с помощью электронной почты. Атакуемая система переполняется письмами до тех пор, пока она не выйдет из строя.

в) Распространение вредоносных программ по электронной почте.

Также можно выделить некоторые атаки на электронную почту:

а) Атака Mail relaying -- средства организации почтового обмена с применением протокола SMTP должны предоставлять защиту от несанкционированного использования почтовых серверов для посылки писем с подделкой исходной адресной части (mail relaying). Sendmail 8.9 предоставляет возможности защиты от указанных атак, однако в случае использования инкапсулированных адресов SMTP при обмене почтовыми сообщениями соответствующих проверок не производится. Злоумышленником эта уязвимость может быть использована для посылки сообщений от имени почтового сервера под управлением Sendmail 8.9 посредством инкапсуляции адресов SMTP с подделкой исходной адресной части.

б) Перехват письма. Заголовки и содержимое электронных писем передаются в чистом виде. В результате содержимое сообщения может быть прочитано или изменено в процессе передачи его по Internet. Заголовок может быть модифицирован для того, чтобы скрыть или изменить отправителя или чтобы перенаправить электронное сообщение. [6], [7].

Почтовый сервер представлять особый интерес для злоумышленника, поскольку при взломе почтового сервера он не только получит полный доступ к хранящейся на нём почте, но и доступ к локальной сетипредприятия. Сервер электронной почты является превосходным туннелем, через который в сеть предприятия могут проникать вредоносные программы, поскольку большое количество вирусов, заражающих компьютеры, приходят с электронной почтой.

Есть еще одна опасность, которую может представлять “публичный” почтовый сервер для сети, - это возможность его использования как платцдарма для аттак типа DOS (Denial Of Service - Отказ в обслуживании). В этом случае проблема заключается в том, что пропускная способность соединения между публичным сервером предприятия и локальной сетью в сотни раз выше пропускной способности канала в Internet, что предоставляет очень широкий канал для потока вредоносных DOS-пакетов. Другими словами, попав на почтовый сервер злоумышленник может переполнить внутренние сервера таким количеством вредоносных пакетов, от которого они выйдут из строя, на определённое время.

Из схемы ВС предприятия видно, что почтовый сервер отделен от Internet межсетевым экраном. Поэтому безопасность сети будет зависеть от настроек межсетевого экрана.

Итак, на основе анализа состава и структуры ЛВС отдела были рассмотрены угрозы, характерные для данной сети основные из рассмотренных в этой главе угроз приведены на рисунке 3.2. А теперь на основе имеющихся угроз необходимо проанализировать существующую в отделе систему защиты и выявить возможные недостатки

Рисунок 3.2 - Угрозы ЛВС предприятия

4 Система существующей защиты информации ВС на ООО АвиаОК”

Задача системы защиты информации - свести к минимуму риск реализации угрозы безопасности. Служба обеспечения информационной безопасности предприятия должна постоянно отслеживать сообщения о реализации новых видов угроз и своевременно устранять данные угрозы на объекте путем получения обновленных версий ПО или грамотной настройки системы защиты информации.

Ниже представлен перечень составляющих системы защиты информации предприятия.

4.1 Межсетевой экран

Программно-аппаратные средства защиты информации, основным из которых является межсетевой экран. Согласно определению РД ГТК, межсетевой экран представляет собой локальное (однокомпонентное) или функционально-распределенное средство (комплекс), реализующее контроль за информацией, поступающей в сеть, и обеспечивает защиту сети посредством фильтрации информации, т.е. ее анализа по совокупности критериев и принятия решения о ее распространении в сети.

Для блокировки вредоносного Интернет-траффика используются специальная программа - межсетевой экран (англ. firewall) компании Kerio.

Kerio WinRoute Firewall 6.0 - это сетевой брандмауэр, предназначенный для защиты периметра локальной сети от разрушительных вторжений из Интернета, фильтрации трафика, защиты сети от несанкционированного доступа, а также для предоставления всевозможной статистики. Относится к экспертному уровню межсетевых экранов. Главная функция - защита локальной сети и управление трафиком.

Компьютер, на котором установлен WinRoute, имеет два сетевых интерфейса: один подключенный к локальной сети, а второй - к общедоступной (Интернет). С помощью сетевой мастера (Network Rules Wizard) создан базовый набор пакетных правил (traffic policy rules).

Пакетные правила - ключевой момент для сетевого брандмауэра, они определяют, какие потоки данных (сетевые пакеты) будут свободно проходить в локальную сеть, а какие будут запрещены в целях безопасности.

При выборе сервисов (протоколов), которые будут доступны для пользователей отдела автоматизации при обращении в Интернет существуют два варианта: разрешить все сервисы (нет ограничений) или задать только определенные. При выборе второго случая WinRoute предоставляет список наиболее востребованных сервисов (HTTP, FTP, SMTP и т.д.). Кроме того указан сервер, расположенный в локальной сети, к которому необходимо открыть доступ из Интернета (почтовый сервер).

В WinRoute разрешен NAT (протокол трансляции сетевых адресов), для того чтобы пользователи локальной сети могли пользоваться Internet.

Пакетные правила в WinRoute собраны в одну таблицу и строго упорядочены. Любой пакет, приходящий на хост Firewall, проходит проверку на соответствие правилу, начиная с первого. Если пакет не удовлетворяет условиям текущего правила, то к нему применяется следующее и т.д. В том случае, когда пакет достиг последнего правила (запретить все), он будет удален. Каждое пакетное правило определяет насколько параметров: источник пакета, назначение, сервис, действие, протоколирование, трансляция адресов. Помимо этого трафик фильтруется по именам сайтов, по указанию подстроки для имени сайта, по наличию в передаваемых данных определенных слов.

Антивирусная фильтрация применима к HTTP-, FTP-, SMTP- и РОРЗ- протоколам.

Для антивирусной защиты на WinRoute применяется антивирусный сканер McAfee.

Статистика выдаваемая WinRoute представлена объемом трафика, который можно посмотреть в обоих направлениях (входной и выходной) отдельно для сетевых интерфейсов или для пользователей.

4.2 Антивирусная защита

Программные средства антивирусной защиты для защиты от вредоносных программ. На предприятии используется ПО Kaspersky AntiVirus Personal Pro 5.0, специально разработанный для борьбы с вирусами всех типов в корпоративных сетях среднего и малого масштаба. Программный комплекс включает инструменты централизованной установки и администрирования [8].

В состав AVP входит следующие компоненты:

а) Kaspersky AntiVirus Scanner, занимается проверкой носителей информации и отловом вирусов.

б) Monitor, исполняет роль резидентного сторожа, контролируя все обращения к данным и засекая вирусоподобные действия.

в) Inspector, отслеживает изменения содержимого файлов и папок.

г) Mail Checker отвечает за проверку почтовой корреспонденции на предмет вирусов.

д) Rescue Disk служит для создания загрузочных дискет аварийного восстановления и резервной записи вирусных баз.

е) Script Checker предназначен для обнаружения и ликвидации потенциально опасных скриптов и "червей".

4.3 СЗИ Windows 2000

ЛВС отдела построена как домен Windows 2000. Файловый сервер является первичным контроллером домена (PDC). Также имеется резервный контроллер домена, на который копируется БД PDC. База данных PDC содержит информацию обо всех пользователях и группах в системе. Каждый пользователь, получающий доступ к компьютеру, должен быть распознан системой. При входе в систему средствами Windows 2000 обеспечивается следующее.[9],[10]

а) Идентификация и аутентификация пользователя или группы. Это выполняется с помощью диспетчера учетных записей защиты (SAM - Security Account Manager). SAM поддерживает базу данных учетных записей защиты (security account datebase), которая обычно называется базой данных SAM и содержит данные обо всех учетных записях пользователей и групп. SAM генерирует идентификаторы защиты (SID), которые уникальным образом обозначают каждую учетную запись пользователя или группы. SAM используется LSA для опознавания пользователей в процессе входа в систему путем сравнения имени пользователя и пароля, введенных пользователем, с соответствующей его записью в базе данных SAM. База данных учетных записей хранится на сервере БД в отдельном файле в папке /System32 системы. Копия файла %SystemRoot%\SYSTEM32\CONFIG\SAM содержится в директории %SystemRoot%\REPAIR\ после создания администратором восстановительного (repair) диска и легко может быть скопирована оттуда (что может быть использовано злоумышленниками). Однако сами пароли в открытом виде не содержатся в данном файле. Пароль пользователя (в кодировке UNICODE) с использованием хэш-алгоритма MD4 превращается в 16-байтное значение, которое и находится в файле SAM. Необходимо также отметить, что большинство пользователи имеют пароли, известные не только администратору сети но и другим сотрудникам, т.е. не смотря на то, что пароли содержат буквенные и цифровые символы. Они имеют длину менее 10 символов. Таким образом, пароль не представляет серьезного препятствия для злоумышленника.

б) Разграничение доступа. Каждый ресурс компьютера связан со списком пользователей (называемым списком управления доступом - access control list). Пользователи из этого списка могут получить доступ к объекту и операциям, разрешеным каждому пользователю. Информация, связанная с контролем доступа к объектам, располагается в дескрипторе безопасности.

в) Аудит. Регистрируются следующие события: локальная и удаленная регистрация пользователей в сети и окончание сеанса их работы; доступ к файлам и объектам; управление пользователями и группами; изменение политики безопасности, изменение прав пользователей или политики аудита; включение или перезагрузка системы на локальной рабочей станции; слежение за процессами запуска и завершения процессов, а также непосредственного доступа к объектам. События записываются в трех разных журналах аудита: системный журнал System Log - в файле sysevent.evt; журнал приложений Application log - в файле аррevent.evt; журнал безопасности Security log - в файле sесevent.evt. Все журналы располагаются в каталоге system32 / config. Кроме того, в сети предприятия с помощью утилиты REGEDT32 был включен аудит для контроля доступа к ключу "HKEY_LOCAL_MACHINE\Security", что показывает удаленный доступ к системному реестру.

Идентификация и аутентификация, разграничение доступа и аудит связаны со следующими компонентами подсистемы защиты Windows 2000: аутентификацией локальной защиты (LSA - Local Security Authority), на которую возложены следующие обязанности: аутентификация пользователей в процессе входа в систему, генерирование признаков доступа (access token) в процессе входа в систему, управление политикой защиты, управление политикой аудита; регистрация сообщений аудита в журнале событий; и эталонным монитором защиты (SRM - Security Reference Monitor), который усиливает проверку правильности доступа и политику аудита, которые устанавливают LSA. Все попытки доступа к ресурсам должны пройти через SRM, проверяющий правильность доступа к объектам (файлам, каталогам и т. д.), наличие разрешений в учетных записях пользователей и генерирующий контрольные сообщения. У SRM имеется в системе лишь одна копия кода проверки правильности учетной записи, что гарантирует единообразную защиту объектов повсюду в Windows 2000. Когда приложение пытается получить доступ к объекту, SRM исследует список управления доступом к этому объекту (ACL - access control list) и проверяет элементы управления доступом (ACE - access control entries) в этом списке, чтобы определить, имеются ли у пользователя необходимые разрешения для выполнения требуемой операции. При этом SRM либо предоставит доступ, либо откажет в нем на основании данных в ACL.

Кроме того, на предприятии предусмотрено, что пользователи, не имеющие прав администратора, не имеют доступ к системным файлам, реестру и т.д. (так, например, файл MSV_0.dll, отвечающий за проверку подлинности пароля при локальном входе в систему, может быть скопирован и изменен таким образом, что любой пароль для любого пользователя будет считаться верным). Необходимо также отметить, что в компьютерах ЛВС отдела с Windows 2000 используется только файловая система NTFS, которая повышает производительность, надежность и защищенность сети. NTFS допускает задание прав доступа для каждого файла/директории и проведения для них аудита. NTFS компенсирует ошибки дисков с помощью функции быстрого исправления, которая автоматически переносит данные из дефектных секторов в другие сектора. NTFS также имеет встроенную защиту, ее нельзя обойти путем простой загрузки операционной системы MS-DOS. Но существует утилита NTFSDOS, которая распознает длинные имена файлов NTFS и может считывать сжатые файлы. Таким образом, для доступа к файловой системе NTFS может использоваться загрузочная дискета MS-DOS, на которую записана утилита NTFSDOS.

4.4 Безопасность MS SQL Server

а) В MS SQL Server включена опция блокировки учетной записи пользователя базы данных в случае серии неудачных попыток аутентификации;

б) для усиления безопасности сервера БД параметр уровня аудита установлен в значение «Все попытки», что означает, что будут регистрироваться все попытки доступа к БД;

в) используются различные пароли пользователя для доступа к компьютеру и к СУБД.

4.5 Средства для предотвращения потерь информации при кратковременном отключении электроэнергии.

Для предотвращения потерь информации при кратковременном отключении электроэнергии на предприятии используется источник бесперебойного питания ИБП Ippon 600, который имеет функции слежения за состоянием и параметрами линий сетевого питания.

4.6 Контроль целостности программного обеспечения

Контроль целостности программного обеспечения, тестирование программных и аппаратных средств. Для защиты аппаратных средств от возможного внедрения закладных устройств все средства проходят специальные проверки. То же касается и ПО. В отделе используется только лицензионное ПО.

4.7 Физическая защита компонентов ВС

Для обеспечения физической защиты от НСД все серверы ЛВС, межсетевой экран, концентраторы, маршрутизатор и другие коммуникационные системы расположены в охраняемом помещении.

4.8 Защита почтового сервера

Для защиты почтового сервера были предприняты следующие меры:

а) Для защиты от вредоносных программ используется пакет Panda SendmailSecure Antivirus, компании Panda Software, который защищает Linux-серверы обмена сообщениями путем сканирования трафика, проходящего через порт SMTP Sendmail. При этом используется технология MilterAPI - программируемый интерфейс для управления контентом.
Panda SendmailSecure Antivirus обеспечивает интегрированную антивирусную защиту для интернет-шлюзов SMTP - проверяет электронные сообщения, входящие на сервер и отправляемые на другие серверы или компьютеры сети. Подозрительные файлы изолируются в безопасную область на компьютере. Технология VirtualFile сканирует все файлы в памяти (включая сжатые), не копируя их на жесткий диск. Также антивирус отличает способность сканировать и лечить вирусы в теле письма любого формата, проверять файлы в приложениях, прилагаемые сообщения и объекты OLE.
Автоматические обновления в режиме реального времени устраняют администратора от необходимости вручную скачивать и устанавливать обновления.

б) Для защиты электронной почты используется криптографическая система PGP.

в) Для защиты почтового сервера со стороны Internet используется межсетевой экран. Он фильтрует входящий и исходящий трафик согласно своим настройкам. Так, в службе SMTP установлено удаление информации заголовка исходящего сообщения, раскрывающей детали устройства внутренней сети. Можно ограничить набор разрешенных команд и устроить так, чтобы отвергались любые сообщения, превышающие определенный размер. Но, как упоминалось в предыдущей главе, для сервера электронной почты нельзя применять слишком строгие правила фильтрации, поскольку он должен быть доступен извне.

4.9 Резервное копирование

Резервное копирование необходимо для сохранения данных и функционирования системы в случае осуществления случайных угроз. На предприятии делаются резервные копии сервера БД и файлового сервера. В качестве программного продукта резервного копирования используется система ARCserve компании Cheyenne (подразделение Computer Associates). Она имеет следующие функциональные возможности.

а) Построение системы по принципу клиент--сервер. Программный пакет ARCserve выполнен в архитектуре клиент-- сервер.

б) Многоплатформенность. Система ARCserve разработана как многоплатформенная система сетевого резервного копирования.

в) Автоматизация типовых операций. ARCserve обеспечивает автоматизацию всех процессов, связанных с резервным копированием. Он выполняет резервное копирование по расписанию, т. е. когда администратор системы ARCserve задает регламент выполнения работ. Для каждого фрагмента информации (группа каталогов, база данных) регламентом определяются время начала копирования, внешнее устройство и тип копии. Система ARCserve поддерживает развитые схемы ротации носителей резервных копий. Самая популярная схема из тех, что уже заложены в программном пакете, -- GFS (Grandfather-Father--Son). Она обеспечивает создание и хранение копий данных каждый рабочий день в течение недели, раз в неделю в течение месяца и раз в месяц в течение года. Администратор системы ARCserve по своему усмотрению может модифицировать данную схему, использовать другую из числа предопределенных или же задать свою собственную. При реализации любой схемы ротации носителей ARCserve предварительно проверяет записанную на носитель информацию для предотвращения случайной порчи недавно сделанной копии.

г) Поддержка различных режимов резервного копирования. Система сетевого резервного копирования ARCserve поддерживает различные механизмы создания резервных копий данных. В ARCserve существуют три вида резервных копий: полная копия (Full Backup), представляющая точный образ сохраняемых данных; дифференциальная копия (Differential Backup), содержащая только файлы, измененные со времени создания полной копии; инкрементальная копия (Incremental Backup), содержащая только файлы, измененные со времени создания последней полной, дифференциальной или инкрементальной копии.

д) Быстрое восстановление серверов сети после аварии. Для эффективного восстановления серверов под управлением Windows 2000 после аварии система ARCserve предлагает опцию аварийного восстановления (Disaster Recovery Option). Использование опции аварийного восстановления сводится к следующему. В случае изменения параметров сервера, например, после установки пакетов исправления ошибок (Service Packs и Patches), для него создается комплект дискет аварийной копии. Для восстановления сервера после аварии необходимо подключить к серверу устройство резервного копирования с последней копией данных и произвести загрузку с первой дискеты из комплекта аварийной копии. При выполнении этих шагов на сервере будут восстановлены файловая система, приложения и все остальные ресурсы, в том числе и учетные записи пользователей. После перезагрузки сервер полностью готов к работе, причем он окажется в той же конфигурации, в какой был на момент создания последней резервной копии.

Таким образом, опция аварийного восстановления многократно сокращает время, требуемое для приведения серверов Windows 2000 в рабочее состояние после аварии.

е) Резервное копирование данных в интерактивном режиме. Для сохранения баз данных прикладных систем в интерактивном режиме система ARCserve содержит ряд специальных программ-агентов. Каждая из них служит для сохранения баз данных конкретной системы и функционирует как клиент системы ARCserve.

На предприятии используются агенты интерактивного резервного копирования ARCserve для базы данных MS SQL. Кроме интерактивного резервного копирования баз данных, эти агенты обеспечивают и фрагментарное восстановление информации с резервных копий.

ж) Развитые средства мониторинга и управления. Управление системой ARCserve и всеми работами резервного копирования осуществляется из интерактивной графической программы - менеджера. Она предоставляет администратору и операторам системы резервного копирования следующие возможности: задание регламента резервного копирования, схемы ротации лент, типов резервных копий, режима чистки устройств; управление устройствами резервного копирования; просмотр содержимого архивов и поиск требуемой информации в них; контроль за процессом резервного копирования; сбор служебной информации и статистики.

Итак, в данной главе дипломного проекта была рассмотрена существующая в отделе система защиты информации. Данная СЗИ устраняет большинство угроз, рассмотренных в главе 3. Но все еще наиболее уязвимым перед атаками типа “отказ в обслуживании” остается сервер электронной почты. Это связано с уязвимостью SendMail 8.9. Также в отделе не существует специальных средств защиты от спама.

5. Рекомендации по улучшению системы защиты информации в ЛВС предприятия

В предыдущих главах данного дипломного проекта был описан состав и структура сети отдела, проанализированы угрозы и рассмотрена существующая система защиты информации.

Данная система справляется с большинством указанных угроз, но существует некоторые недостатки в установленном ПО, которые связаны, в основном, с уязвимостями этого ПО (например, в SendMail 8.9 и самой ОС Linux Red Hat 7.1) в отсутствии строгой политики разграничения доступа и четком администрировании, а также с использованием устаревшего ПО (например, SendMail 8.9)

Поэтому возникает необходимость качественного изменения уровня безопасности сети посредством обновления ПО и введения более строгой полити безопасности и переводе рабочих станций предприятия работающих под управлением Windows 2000 с файловой системы NTFS на шифрующую файловую систему (EFS - Encrypting File System). Кроме того, необходимо максимально использовать настройки по безопасности в ОС Windows 2000 и MS SQL. Для осуществления этого даются рекомендации по улучшению безопасности сети средствами Windows 2000 и MS SQL. Для упрощения работ по обновлению устаревшего ПО и его настройки на рабочих станциях разрабатывается специальное ПО для администратора системы - “Централизированное управление обновлением программного обеспечения на рабочих станциях”.

5.1 Рекомендации по настройкам безопасности в ОС Linux Red Hat 7.1, Windows 2000 и MS SQL

Для повышения защищенности компьютеров с установленной ОС Linux Red Hat 7.1 в отделе рекомендуется предпринять следующие меры [11].

а) Используя TCP_WRAPPERS, необходимо оградить сервер от внешних вторжений. Для того чтобы это осуществить необходимо добавить команду ALL: ALL@ALL, PARANOID в файл /etc/hosts.deny, и определить список тех, кому доступ разрешен, указав их в /etc/host.allow.

TCP_WRAPPERS контролируется двумя файлами. Перебор хостов завершается при первом же совпадении:

1) Доступ будет разрешен, если пара (клиент, демон) найдена в файле /etc/host.allow.

2) Доступ будет запрещен, если пара (клиент, демон) найдена в файле /etc/host. Deny.

3) Если пара (клиент, демон) не найдена ни в одном из файлов (/etc/host.allow, /etc/host.deny), то доступ будет запрещен.

б) Для ограничения числа пользователей которые могут выполнять команду su root, необходимо добавить следующие две строки в начало файла конфигурации su, расположенного в каталоге /etc/pam.d/:

auth sufficient /lib/security/pam_

rootok.so debug

auth required /lib/security/pam_ wheel.so

group=wheel

Теперь только члены группы wheel могут использовать команду su root и все их действия будут регистрироваться. Группа wheel является специальным аккаунтом, который традиционно применяется для этой цели. Подобное ограничение пользователей, способных выполнять команду su root, совместно с ограничением терминалов, с которых root может входить в систему, существенно увеличит безопасность системы.

в) Для того чтобы определить пользователей способных выполнять su root, необходимо отредактировать файл /etc/groups и внести в wheel пользователя.

г) У пользователя, который имеет shell-доступ в систему, есть .bash_history в его домашней папке, в которой может хранится пароль введенный пользователем с командной строки. Для уменьшения числа сохраняемых команд в файле /etc/profile в строках HISTFILESIZE и HISTSIZE нужно указать количество команд, запоминаемых в .bash_history (порядка 20).

Также можно добавить в файл /etc/skel/.bash_logout строку «rm -f $HOME/.bash_history». В результате каждый раз, когда пользователь выходит из системы, его файл .bash_history будет удаляться.

д) Для отключения возможности использования комбинации клавиш «Сtrl+Alt+Del» для перезагрузки компьютера нужно закомментировать строку ca::ctrlaltdel:/sbin/shutdown -t3 -r now, в файле /etc/inittab, добавив в ее начало знак «#» #ca::ctrlaltdel:/sbin/shutdown -t3 -r now. Это чрезвычайно важно, когда нельзя полностью гарантировать физическую не прикосновенность компьютера.

е) Необходимо проверять систему на наличие подозрительных или скрытых файлов для предотвращения сокрытия различных утилит и информации (например, программы взлома паролей, парольные файлы из других систем и другое).

Для повышения безопасности MS SQL-сервера на данном предприятии необходимо предпринять следующие меры:

а) Необходимо включить опцию блокировки учетной записи пользователя базы данных в случае серии неудачных попыток аутентификации.

б) Должно быть отключено использование расширенной хранимой процедуры (extended stored procedure) xp_cmdshell, которая позволяет выполнять приложения с корневыми правами. Для связи с клиентами необходимо использование защищённого канала, например SSH.

в) Необходимо сменить номер слушающего порта (по умолчанию для MS SQL Server 1433) для доступа клиентов к серверу баз данных на любой другой.

г) Необходимо использовать различные пароли пользователя для доступа к компьютеру и к СУБД.

С целью повышения безопасности Windows 2000 необходимо предпринять следующие меры.

Для предотвращения, получения злоумышленником, прав администратора системы или паролей пользователей необходимо соблюдать следующие рекомендации:

а) На компьютерах предприятия не должно быть установлено никаких других систем, кроме той ОС, которая используется в работе (Windows 2000).

б) Системные диски обязательно должны иметь файловую систему NTFS и жестко разграниченные права доступа к каталогам.

в) Нужно запретить загрузку с любых устройств (дисковода, CD-ROM'a, внешних накопителей), кроме системного диска. Для этого нужно оставить в BIOS загрузку только с нужного диска и установить пароль на вход в BIOS. А для исключения сброса CMOS-памяти на материнской плате необходимо опломбировать системный блок или установить его в место, доступ к которому жестко регламентирован (отдельная комната).

г) На сетевых серверах максимально снизить количество перезагрузок компьютера и лишить права на перезагрузку всех групп пользователей, кроме учетной записи администратора.

Для защиты данных, хранящихся на компьютере, кроме простой защиты при помощи пароля применяется шифрующая файловая система (EFS - Encrypting File System) операционной системы Windows 2000.

Шифрующая файловая система шифрует файлы, используя открытый ключ и алгоритм симметричного шифрования, доступные с помощью интерфейса CryptoAPI.

EFS автоматически шифрует файл при сохранении и расшифровывает, когда пользователь открывает его снова. Такие файлы не может прочесть никто, кроме пользователя, который его зашифровал, или пользователя, имеющего статус агента восстановления файлов EFS. Поскольку механизм шифрования встроен в файловую систему, его работа незаметна для пользователя, а атака на него крайне затруднена.

EFS шифрует файлы с помощью симметричного ключа, уникального для каждого файла. Затем шифруется и этот ключ шифрования уже с помощью открытого ключа из сертификата владельца файла. Поскольку владелец файла является единственным лицом, имеющим доступ к своему личному ключу, он единственный, кто может расшифровать ключ шифрования файла, а значит, и сам файл.

Шифрование защищает файлы даже в том случае, когда кто-то сможет обойти систему контроля доступа NTFS и воспользоваться дисковыми утилитами низкого уровня (загрузка MS-DOS с дискеты позволяет считать информацию из разделов NTFS с помощью драйвера NTFSDOS.EXE), чтобы попытаться прочесть данные. Даже если файл будет украден - физически или через сеть - его нельзя будет расшифровать, не располагая личным ключом владельца файла. Поскольку файл не может быть прочитан, он не может быть и тайно изменен.

На уровне операционной системы существует единственный способ противостояния удалению файла SAM. Он заключается в защите паролем системного ключа или установке режима его хранения на гибком диске. Еще один эффективный способ противодействия атакам в автономном режиме - обеспечить физическую защищенность серверов, отключив режим загрузки со съемных носителей или установив пароль BIOS. Кроме того контроллеры доменов Windows 2000 не пострадают от удаления файла SAM, поскольку на этих машинах хэш-коды паролей хранятся в Active Directory.

Для предотвращения атаки на переполнения буфера, средствами межсетевого экрана блокируются порты UDP/TCP/ 138, 139, 445.

Все программное и аппаратное обеспечение имеет свои уязвимые места и находится в состоянии постоянной доводки. Различные дополнения и устранения недочетов выпускаются до тех пор, пока программное обеспечение не выходит из употребления. Так как программное обеспечение постоянно изменяются, крайне важно, чтобы рабочие станции обладали самыми свежими патчами и обновлениями для своих систем. Компания Microsoft оперативно реагирует на сообщения об ошибках в коде ОС Windows и выпускает соответствующие «заплаты» (Hot Fix), которые позднее включаются в новые версии сервисных пакетов (Service Pack). Таким образом своевременное обновление ОС поможет решить проблемы возникающие при эксплуатации.

5.2 Реализация и описание программы централизованного управления обновлениями рабочих станций

Программа CorpTools.exe предназначена для синхронизации размещаемых на сетевом диске новых версий приложения, с версией, присутствующей на клиентском компьютере. Она обновляет файлы на клиентских машинах, заменяя их старые версии более новыми. Нет необходимости ходить по кабинетам и обновлять версии вручную. Для удобства работы и минимизации используемых ресурсов программа написана в виде однооконного приложения. Блок схема программы представлена на рисунке 5.1.

Рисунок 5.1 - Блок схема программы.

5.2.1 Программная реализация

Так как программа написана в среде визуального программирования Borland Delphi 2005, она подчиняется общим правилам построения и функционирования объектно-ориентированных программ. В частности, создается главный объект - приложение (Application), дочерними к которому являются визуальные объекты экранных форм, созданных в приложении. В программе используется 2 экранных формы - Form1, Form2.

На формах располагаются визуальные объекты, предназначенные для управления функционированием программы - кнопки, поля ввода.

Код программы располагается в процедурах обработки методов визуальных и невидимых объектов, например в обработчиках нажатия на кнопки клавиатуры или мыши, поступления какого-либо события и других.

Основными объектами программы являются TIdTCPServer и TIdTCPClient.

Для работы программа используют следующие процедуры:

IdTCPServer1Connect - Обработчик соединения, вызывается, когда подключается клиент.

IdTCPServer1Execute - Событие, возникающее при приёме данных от клиента.

ButtonClick - Нажатие кнопки.

SendFile - Процедура отправки файла.

CreateTaskIcon - Процедура создания иконки в трее.

FormClose - По закрытию окна удаляем иконку в трее.

IdTCPServer1Disconnect - Обработчик отсоединения клиента.

ApplicationEvents1Minimize - Обработчик сворачивания приложения, убирающий кнопку из панели задач.

HandleTray - Обработчик сообщения о нажатии на иконку в трее.

FormClose - По закрытию окна удаляем иконку в трее.

IdTCPClient1Disconnected - Остановка потока при отсоединении.

Timer1Timer - Процедура, вызываемая по таймеру раз в 10 секунд, если клиент не подключён.

FormCreate - Запуск приложения.

MarkDisconnected - Процедура вывода сообщения об отсутствии связи.

Листинг программы представлен в приложении А.

5.2.2 Руководство пользлвателя

Программа CorpTools.exe используется для передачи пакетов обновлений, настроек и сообщений на клиентские станции локальной вычислительной сети с целью уменьшения времени обновления программных продуктов. Для работы программы используется протокол TCP/IP.

После запуска CorpSERVER.exe появляется основное окно программы, в котором необходимо выбрать используемый сетевой порт (по умолчанию 6666).

Также сразу можно посмотреть сетевые адреса рабочих станций, обнаруженные программой (при запущенном на них клиентском приложении).

Кнопка (Добавить файлы) служит для выбора файлов предназначенных для передачи клиенту.

Кнопка (Отправить файлы) служит для вызова диалогового окна, в котором необходимо указать каталог, в который будет передан файл, и отправки файла нажатием кнопки (ОК).

Кнопка (Сообщение) служит для вызова диалогового окна, в котором водится текст сообщения, и для отправки сообщения нажатием кнопки (ОК).

Кнопка (Отсоединить) служит для отсоединения выбранных в левом поле клиентских станций.

Кнопка (Очистить) служит для очистки из правого поля выбранных файлов.

Кнопка (Оk) служит для согласования порта передачи данных.

Установив галочку (отправить всем) выбранные в правом поле файлы будут переданы всем клиентам подключенным к серверу.

Основное окно программы CorpSERVER.exe представлено на рисунке 5.2



Рисунок 5.2 - Основное окно программы CorpSERVER

CorpClient

Программа принимает данные от сервера и позволяет посылать сообщение серверу.

При запуске CorpClient.exe соединяется с сервером. В случае неудачи выводится сообщение и появляется красная надпись «Отсутствует соединение». При этом программа раз в каждые 10 секунд будет пытаться соединиться с сервером (сообщение при этом не выдаётся).

В нормальном режиме появляется надпись зелёного цвета «Клиент активен».

В основном окне клиентского приложения в котором также, как и в CorpSERVER необходимо выбрать используемый сетевой порт (по умолчанию 6666), а также указать сетевой адрес клиента (по умолчанию localhost).

Кнопка (Отправить сообщение) служит для вызова диалогового окна, в котором водится текст сообщения, и для отправки сообщения на сервер нажатием кнопки (ОК).

Основное окно программы CorpClient.exe представлено на рисунке.5.3



Рисунок.5.3 - Основное окно программы CorpClient

Данная программа не может являться инструментом для взлома рабочих станций локальных и глобальных вычислительных сетей, и поэтому может использоваться любыми пользователями по своему усмотрению.

5.2.3 Пример работы разработанной программы

Запускаем программу CorpSERVER. Программа автоматически устанавливает связь с рабочей станцией, на которой активен CorpClient, результат можно увидеть на рисунке 5.4.

Рисунок 5.4 - Установление связи с клиентом

Добавляем пакет обновлений для Solid Works 2005 из каталога это видно на рисунке 5.5.



Рисунок 5.5 - Загрузка пакета

В появившемся диалоговом окне указываем папку на рабочей станции клиента в которую необходимо добавить данный пакет. Вид данного окна показан на рисунке 5.6.

Рисунок 5.6 - Указание клиентского каталога

После нажатия кнопки ОК появляется сообщение о результате передачи представленной на рисунке 5.7.



Рисунок 5.7 - Результат передачи

6 Безопасность и экологичночть проекта

6.1 Анализ условий труда, степени тяжести и напряженности трудового процесса

При написании данного проекта мной выполнялась работа программиста. При данной работе физические нагрузки соответствуют оптимальному (легкому) труду согласно ГОСТ 12.1.005-88, но велики интеллектуальные и сенсорные нагрузки.

Во многих случаях нормальная и безопасная работа программиста зависит от соответствия его условий работы оптимальным.

Под условиями работы подразумевается комплекс физических, химических, биологических и психофизиологических факторов, установленных стандартами по безопасности труда (ССБТ).

Таким образом, рассмотрим требования к оптимальным условиям труда в помещении, где разрабатывалась программа.

В данном разделе будет проведен анализ работы по показателям напряженности трудового процесса и показателям факторов опасности и вредности производственной среды. [12]

Обзор помещения. Помещения с видеодисплейными терминалами (ВДТ) и персональными, электронно-вычислительными машинами (ПЭВМ) должны иметь естественное и искусственное освещение.

Естественное освещение должно осуществляться через светопроемы, ориентированные преимущественно на север и северо-восток и обеспечивать коэффициент естественной освещенности (КЕО) не ниже 1,5%.

Расположение рабочих мест с ВДТ и ПЭВМ в подвальных помещениях не допускается. В случаях производственной необходимости эксплуатация ВДТ и ПЭВМ в помещениях без естественного освещения может проводиться только по согласованию с органами и учреждениями Государственного санитарно - эпидемиологического надзора.

Площадь на одно рабочее место с ВДТ или ПЭВМ для пользователей должна составлять не менее 6,0 кв. м, а объем - не менее 20,0 куб. м.

Производственные помещения, в которых для работы используются преимущественно ВДТ и ПЭВМ (диспетчерские, операторские, расчетные и др.), и учебные помещения (аудитории вычислительной техники, дисплейные классы, кабинеты и др.) не должны граничить с помещениями, в которых уровни шума и вибрации превышают нормируемые значения (механические цеха, мастерские, гимнастические залы и т.п.).

Звукоизоляция ограждающих конструкций помещений с ВДТ и ПЭВМ должна отвечать гигиеническим требованиям и обеспечивать нормируемые параметры шума согласно требованиям раздела 6 настоящих Санитарных правил.

Помещения с ВДТ и ПЭВМ должны оборудоваться системами отопления, кондиционирования воздуха или эффективной приточно-вытяжной вентиляцией. Расчет воздухообмена следует проводить по теплоизбыткам от машин, людей, солнечной радиации и искусственного освещения.

Для внутренней отделки интерьера помещений с ВДТ и ПЭВМ должны использоваться диффузно - отражающие материалы с коэффициентом отражения для потолка - 0,7 - 0,8; для стен - 0,5 - 0,6; для пола - 0,3 -0,4.

Полимерные материалы, используемые для внутренней отделки интерьера помещений с ВДТ и ПЭВМ, должны быть разрешены для применения органами и учреждениями Государственного санитарно - эпидемиологического надзора.

Поверхность пола в помещениях эксплуатации ВДТ и ПЭВМ должна быть ровной, без выбоин, нескользкой, удобной для очистки и влажной уборки, обладать антистатическими свойствами.

Уровень шума и вибрации. В производственных помещениях, в которых работа на ВДТ и ПЭВМ является вспомогательной, уровни шума на рабочих местах не должны превышать значений, установленных для данных видов работ "Санитарными нормами допустимых уровней шума на рабочих местах".

В помещениях, где работают инженерно - технические работники, осуществляющие лабораторный, аналитический или измерительный контроль, уровень шума не должен превышать 60 дБА.

При выполнении работ с ВДТ и ПЭВМ в производственных помещениях уровень вибрации не должен превышать допустимых значений согласно "Санитарным нормам вибрации рабочих мест".

В производственных помещениях, в которых работа с ВДТ и ПЭВМ является основной, вибрация на рабочих местах не должна превышать допустимых норм вибрации.

Снизить уровень шума в помещениях с ВДТ и ПЭВМ можно использованием звукопоглощающих материалов с максимальными коэффициентами звукопоглощения в области частот 63 - 8000 Гц для отделки помещений (разрешенных органами и учреждениями Госсанэпиднадзора России), подтвержденных специальными акустическими расчетами.

Дополнительным звукопоглощением служат однотонные занавеси из плотной ткани, гармонирующие с окраской стен и подвешенные в складку на расстоянии 15 - 20 см от ограждения. Ширина занавеси должна быть в 2 раза больше ширины окна.

Освещённость помещения. Искусственное освещение в помещениях эксплуатации ВДТ и ПЭВМ должно осуществляться системой общего равномерного освещения. Освещенность на поверхности стола в зоне размещения рабочего документа должна быть 300 - 500 лк. Допускается установка светильников местного освещения для подсветки документов. Местное освещение не должно создавать бликов на поверхности экрана и увеличивать освещенность экрана более 300 лк.

Следует ограничивать прямую блесткость от источников освещения, при этом яркость светящихся поверхностей (окна, светильники и др.), находящихся в поле зрения, должна быть не более 200 кд/кв. м.

Показатель ослепленности для источников общего искусственного освещения в производственных помещениях должен быть не более 20. Следует ограничивать неравномерность распределения яркости в поле зрения пользователя ВДТ и ПЭВМ, при этом соотношение яркости между рабочими поверхностями не должно превышать 3:1 - 5:1, а между рабочими поверхностями и поверхностями стен и оборудования - 10:1.

В качестве источников света при искусственном освещении должны применяться преимущественно люминесцентные лампы типа ЛБ. При устройстве отраженного освещения в производственных и административно-общественных помещениях допускается применение металогалогенных ламп мощностью до 250 Вт. Допускается применение ламп накаливания в светильниках местного освещения.

Общее освещение следует выполнять в виде сплошных или прерывистых линий светильников, расположенных сбоку от рабочих мест, параллельно линии зрения пользователя при рядном расположении ВДТ и ПЭВМ. При периметральном расположении компьютеров линии светильников должны располагаться локализовано над рабочим столом ближе к его переднему краю, обращенному к оператору.

Яркость светильников общего освещения в зоне углов излучения от 50 до 90 градусов с вертикалью в продольной и поперечной плоскостях должна составлять не более 200 кд/кв. м. Защитный угол светильников должен быть не менее 40 градусов.

Для обеспечения нормируемых значений освещенности в помещениях использования ВДТ и ПЭВМ следует проводить чистку стекол оконных рам и светильников не реже двух раз в год и проводить своевременную замену перегоревших ламп.

Микроклимат и содержание вредных химических веществ в воздухе помещения. В производственных помещениях, в которых работа на ВДТ и ПЭВМ является вспомогательной, температура, относительная влажность и скорость движения воздуха на рабочих местах должны соответствовать действующим санитарным нормам микроклимата производственных помещений.

Для повышения влажности воздуха в помещениях с ВДТ и ПЭВМ следует применять увлажнители воздуха, заправляемые ежедневно дистиллированной или прокипяченной питьевой водой.

Содержание вредных химических веществ в производственных помещениях, работа на ВДТ и ПЭВМ в которых является основной (диспетчерские, операторские, расчетные, кабины и посты управления, залы вычислительной техники и др.), не должно превышать «Предельно допустимых концентраций загрязняющих веществ в атмосферном воздухе населенных мест».

Оценка напряженности трудового процесса основана на анализе трудовой деятельности и ее структуры, которые изучаются путем хронометражных наблюдений в течение всего рабочего дня, недели и т. д. Анализ основан на учете всего комплекса производственных факторов (стимулов, раздражителей), создающих предпосылки для возникновения неблагоприятных нервно-эмоциональных состояний (перенапряжении).