Лекции нет

14 ноября 2012г.

Обнаружение попыток нарушения информационной безопасности — функция активного аудита, на котором остановимся отдельно.

Обычный аудит позволяет выявить подобные попытки с опозданием, но и это оказывается полезным. Выявление и анализ проблем могут помочь улучшить такой параметр безопасности как доступность. Обнаружив узкие места можно попытаться переконфигурировать или перенастроить систему, и снова измерить производительность и т.д.

Непросто осуществить организацию согласованного протоколирования и аудита в распределенной разнородной системе. Во-первых, некоторые компоненты, важные для безопасности (маршрутизаторы) могут не обладать своими ресурсами протоколирования. В таком случае их нужно экранировать, защищать другими сервисами.

Во-вторых, необходимо увязывать между собой события в разных сеансах.

Активный аудит.

Под подозрительной активностью понимается поведение пользователя или компонента автоматизированной системы, являющейся злоумышленным (в соответствии с заранее определенной политикой безопасности) или нетепичным (согласно принятым критериям). Задача активного аудита: оперативно выявлять подозрительную активность, и предоставлять средства для автоматического реагирования на нее. Активность, несоответствующую политике безопасности целесообразно разделить на атаки, направленные на незаконное получение полномочий, и на действия, выполняемы в рамках имеющихся полномочий, но нарушающие политику безопасности.

Атаки нарушают любую осмысленную политику безопасности. Другими словами, активность атакующего является разрушительной независимо от политики. Следовательно, для описания и выявления атак можно применять универсальные методы, независящие от политики безопасности, такие как сигнатуры и их обнаружение во входном потоке событий с помощью аппарата экспертных систем.

Сигнатура атаки — совокупность условий, при ввыполнении которых, атака считается имеющей место, что вызывает определенную реакцию. Простейший пример сигнатуры — «зафиксированны три последовательные неудачные попытки входа в систему с одного рабочего места». Пример ассоциированной реакции на это — блокирование данного рабочего места до прояснения ситуации. Действия, выполняемые в рамках имеющихся полномочий, но нарушающие политику безопасности, мы будем называть «злоупотреблением полномочиями». ЗП возможны из-за неадекватности разграничения средств разграничения доступа в выбранной политике безопасности.

Простейшим примером злоупотреблений является неэтичное поведение суперпользователя, просматривающего личные файлы других пользователей. Анализируя регистрационную информацию можно обнаружить подобные события и сообщить о них администратору безопасности, хотя для этого необходимо соответствующие средства выражения политики безопасности. Выделение злоупотреблений полномочиями в отдельную группу неправомерных действий, выявляемых средствами активного аудита, не является общепринятым, однако подобный подход имеет право на существование. Более радикальное решение: развитие средств разграничения доступа. Нетепичное поведение как правило выявляют стастическими методами. В простейшем случае применяют систему порогов, превышение которых является подозрительным. В более развитых системах производится сопоставление долговременных характеристик работы (долгосрочный профиль) с краткосрочными профилями.

Применительно к средствам активного аудита различаются ошибки первого и второго рода: пропуск атаки и ложная тревога. Нежелательность ошибок первого рода очевидна. Ошибки второго рода не менее неприятны, т.к. отвлекают администратора безопасности от действительно важных дел, косвенно способствуя пропуску атак.

Достоинства сигнатурного метода: высокая производительность, малое число ошибок второго рода, обоснованность решений.

Основной недостаток — неумение обнаруживать неизвестные атаки и вариации известных атак.

Основное достоинство статистического подхода: обоснованность и универсальность решений, потенциальная способность обнаруживать неизвестные атаки, то есть минимизация числа ошибок первого рода.

Недостатки: относительно высокая доля ошибок второго рода.

Средства активного аудита могут рассполагаться на всех линиях обороны автоматизированной системы. На границе контролируемой зоны они могут обнаруживать подозрительную активность в точках подключения к внешним сетям (не только попытки нелегального проникновения, но и действия по прощупыванию сервисов безопаснрсти).

В корпоративной сети, в рамках информационных сервисов и сервисов безопасности, активный аудит в состоянии обнаружить и пресечь подозрительную активность внешних и внутренних пользователей. Выявить проблемы сервиса, вызванные как нарушениями безопасности, так и аппаратно-программными ошибками. Важно отметить, что активный аудит, в принципе, способен обеспечить защиту от атак на доступность. К сожалению, формулировка «в принципе, способен обеспечить защиту от атак на доступность» неслучайна. Довольно быстро удалось реализовать распознание простых типовых атак. Однако, затем было выявлено множество проблем, связанных с обнаружением заранее неизвесиных атак, а также атак, распределенных, растянутых во времени и т.д., и было бы наивно ожидать полного решения подобных проблем в ближайшее время.

На нынешней стадии развития активный аудит полезен как набор прослоек эшелонированной обороны.

Функциональные компоненты и архитектура средств активного аудита.

В составе средств активного аудита можно выделить следующие функциональные компоненты:

1. Компоненты генерации регистрационной информации. Они находятся на стыке между средствами активного аудита и контролируемыми объектами.
2. Компоненты хранения сгенерированной регистрационной информации.
3. Компоненты извлечения регистрационной информации (сенсоры). Обычно различают сетевые и хостовые сенсоры, имея в виду под первыми выделенные компьютеры, сетевые карты которых установлены на прослушивание. Под вторыми понимают программы, читающие регистрационные журналы ОС.
4. Компоненты просмотра регистрационной информации. Они могут помочь при принятии решения на подозрительную активность.
5. Компоненты анализа информации, поступившие от сенсоров. В соответствии с данным выше определением средств активного аудита, выделяют пороговый анализатор, анализатор нарушений политики безопасности, экспертную систему, выявляющую сигнатуры атак, а также статистический анализатор, обнаруживающий нетепичное поведение.
6. Компоненты хранения информации, участвующей в хранении информации. Такое хранение необходимо для выявления атак, протяженных во времени.
7. Компоненты принятия решения и реагирования (решатели). Решатель может получать информацию не только от локальных, но и от внешних анализаторов, проводя кореляционный анализ событий.
8. Компоненты хранения информации о контролируемых объектах. Здесь могут храниться как пассивные данные, так и методы, необходимые для извлечения из объекта регистрационной информации.
9. Компоненты, играющие роль организующей оболочки для менеджеров активного аудита, называемые мониторами, и объединящие анализаторы, решатели, хранилище описаний объектов и интерфейсные компоненты. В число последних входят компоненты интерфейса с другими мониторами, как с равноправными, так и с входящими в иерархию. Такие интерфейсы необходимы для выявления широкомасштабных, распределенных атак.
10. Компоненты интерфейса с администратором безопасности.

При этом основными агентскими компонентами являются сенсоры, а анализ и принятие решений — функции менеджеров. Очевидно, что между менеджерами и агентами должны быть сформированы доверенные каналы. Подчеркнем важность интерфейсных компонентов. Они полезны как с внутренней для средств активного аудита точки зрения (обеспечивают расширяемость подключения различных компонентов) так и с внешней точки зрения. Между компонентами анализа и решателями могут существовать горизонтальные связи, необходимые для анализа распределенной активности. Возможно формирование иерархии средств активного аудита с вынесением на верхние уровни информации о наиболее масштабной активности. Можно отметить архитектурную общность средств активного аудита и управления, являющуюся следствием общности выполняемых функций. Продуманные интерфейсные компоненты могут существенно облегчить совместную работу этих средств.

Тема: Криптографические методы защиты информации.

Шифрование.

Рассмотрим криптографические сервисы, начав с элементарных сведений. Криптография необходима для реализации трех сервисов безопасности:

1. Шифрование
2. Контроль целостности
3. Аутентификация.

Шифрование — наиболее мощное средство обеспечения конфиденциальности. Во многих случаях, оно занимает центральное место среди программно-технических регуляторов безопасности, являясь основой для реализации многих из них. В то же время последним (иногда единственным) защитным рубежом.

Например, для ноутбуков, только шифрование позволяет обеспечить конфиденциальность даже в случае кражи.

В большинстве случаев, и шифрование и контроль целостности играют глубоко инфраструктурную роль и для приложений и для пользователей. Типичное место этих сервисов безопасности на сетевом и транспортных уровнях реализации стека сетевых протоколов. Различают два основных метода шифрования: симетричный и асиметричный. В первом один и тот же ключ (хранящийся в секрете) используется и для шифрования и для расшифрования данных. Разработаны быстрые и надежные методы симетричного шифрования.

21 ноября 2012г.

Существует национальный стандарт на подобные методы — ГОСТ 28147-89. Существует новый вариант этого ГОСТа «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования» — Р.28147-2001

Для определенности мы будем говорить о защите сообщений, хотя события могут развиваться не только в пространстве, но и во времени, когда зашифровывается и расшифровываются никуда не перемещающиеся файлы.

Основным недостатком симметричного шифрования является то, что ключ должен быть известен не только отправителю, но и получателю. С одной стороны это создает новую проблему распространения ключей. С другой стороны, получатель на основании наличия зашифрованного и расшифрованного сообщения не может доказать, что он получил это сообщение от конкретного отправителя, т.к. такое же сообщение он может сгенерировать и самостоятельно.

В ассиметричных системах используются два ключа, один из них открытый, несекретный — ключ отправителя (может публиковаться вместе с другими открытыми сведениями о пользователе). Применяется для шифрования. Другой, секретный, известный только получателю, используется для расшифрованиясамым популярным из асиметричных является метод RSA. Этот метод основан на операциях с большими простыми числами и их произведениями.

Существенным недостатком ассиметричных методов шифрования является их низкое быстродействие, поэтому данные методы приходится сочетать с симметричными (ассиметричные методы на 3-4 порядка медленнее симметричных). Так, для решения задачи эффективного шифрования с передачей секретного ключа, использованного отправителем, сообщение сначала симметрично зашифровывают случайным ключом, затем сам этот ключ зашифровывают открытым ассиметричным ключом получателя, после чего и сообщение и ключ отправляются по сети.

Отметим, что ассиметричные методы позволили решить важную проблему выработки секретных ключей (это особенно важно если стороны недоверяют друг другу), обслуживающих сеанс взаимодействия при изначальном отсутствии общих секретов. Для этого используется алгоритм Диффи-Хелмана. Определенное распространение получила разновидность симметричного шифрования, основанная на использовании составных ключей. Идея в том, что секретный ключ делится на две части, хранящиеся отдельно. Каждая часть не позволяет сама по себе выполнить расшифрование.

Если у правоохранительных органов появляются подозрения относительно некоторого лица, использующего ключ, они могут в установленном порядке получить половинки ключа и дальше действовать обычным, для симметричного расшифрования, образом. Порядок работы составными ключами — хороший пример следования принципу разделения обязанностей. Он позволяет сочетать права на разного рода тайны (персональную, коммерческую, и т.д.) с возможностью эффективно следить за нарушителями закона.

Многие криптографические алгоритмы в качестве одного из параметров требуют псевдослучайное значение, в случае предсказуемости которого в алгоритме появляется уязвимость. По этой причине генерация псевдослучайных последовательностей — важный аспект криптографии.

Классификация криптографических алгоритмов.

В зависимости от блока шифруемой информации, криптоалгоритмы делятся на блочные и поточные шифры. Единицей кодирования в потоковых шифрах является один бит. Результат кодирования не зависит от прошедшего ранее входного потока. Такая схема применяется в системах передачи потоков информации, т.е. в тех случаях, когда передача информации начинается и заканчивается в произвольные моменты времени, и может случайно прерываться.

Для блочных шифров единицей кодирования является блок, состоящий из нескольких байтов. Результат кодирования зависит от всех исходных байтов этого блока. Такая схема применяется при пакетной передаче информации и кодировании файлов.

Еще одним критерием классификации является тип выполняемых преобразований над блоками открытого текста. По этому критерию криптоалгоритмы делятся на подстановочные и перестановочные.

В перестановочных, блоки информации не изменяются сами по себе, но изменяется порядок их следования, что делает информацию недоступной постороннему наблюдателю.

Подстановочные шифры сами изменяют блоки информации по определенным законам.

Деление криптоалгоритмов на моноалфавитные и многоалфавитные, характерно для подстановочных шифров. Моноалфавитные заменяют блок входного текста (символ входного алфавита) на один и тот же блок шифротекста (символ выходного алфавита).

В многоалфавитных шифрах одному и тому же блоку входного текста могу соответствовать разные блоки шифротекста, что существенно затрудняет криптоанализ.

По степени секретности криптоалгоритмы делятся на абсолютно стойкие, и практически стойкие.

Абсолютно стойкие шифры невозможно вскрыть. На практике этого можно добиться если размер используемого ключа шифрования превышает размер кодируемого сообщения, и при этом ключ используется однократно.

Практически стойким называется шифр, для которого несуществует более эффективного способа взлома, кроме как перебор.

Говоря об атаках на шифры, можно выделить следующие виды атак:

1. Атака на основе шифротекста
2. На основе известного открытого текста
3. На основе выборочного открытого текста

При атаке на основе шифротекста, криптоаналитику известен только закодированный текст, и на его основе он должен узнать секретный ключ шифрования.

Атака на основе открытого текста предполагает, что криптоаналитику известны одна или несколько пар «открытый текст — шифротекст», зашифрованных на одном ключе, и на основе этой информации он проводит свой анализ.

Выполняя атаку на основе выборочного открытого текста, злоумышленник имеет возможность подать на вход шифрующего устройства произвольный открытый текст, и получить на его основе шифротекст.

Чтобы называться практически стойким, криптоалгоритм должен успешно противостоять любому из перечисленных типов атак.

Контроль целостности.

Криптографические методы позволяют надежно контролировать целостность как отдельных порций данных, так и их наборов, таких как поток сообщений. Они позволяют также определять подлинность источника сообщений и гарантировать невозможность отказаться от совершенных действий. В основе криптографического контроля целостности лежат 2 понятия:

1. Хэш-функция
2. ЭЦП

Хэш-функция — труднообратимое преобразование данных (односторонняя функция, реализуемая как правило средствами симметричного шифрования со связыванием блоков). То, что получается после шифрования последнего блока (зависящий от всех предыдущих) и служит результатом хэш-функции. Пусть имеются данные, целостность которых нужно проверить. Имеются также хэш-функция и ранее вычисленный результат ее применения к исходным данным (т.н. дайджест). Обозначим через h хэш-функцию. Обозначим через t исходные данные. Проверяемые данные обозначим через t'. Должно выполняться условие:

h(t)=h(t')

Если условие выполнено, считается, что t'=t.

Совпадание дайджестов для различных данных называется коллизией. Они возможны т.к. мощность множества дайджестов меньше чем мощность множества хэшируемых данных. То, что функция h односторонняя, за приемлимое время специально организовать коллизию невозможно.

Рассмотрим применение ассиметричного шифрования для выработки ЭЦП.

Пусть E(T) означает результат шифрования текста T с помощью некоторого открытого ключа. А D(T) обозначает результат расшифрования текста T с помощью секретного ключа. Чтобы ассиметричный метод мог применяться для реалиции ЭЦП необходимо выполнение условия:

E(D(T))=D(E(T)).

Таким образом, ЭЦП защищает целостность источника данных и удостоверяет личность отправителя, то есть защищает подлинность источника данных и служит основой неотказуемости.

28 ноября 2012г.

//Продолжение…

Для контроля целостности последовательности сообщений (т.е. для защиты от кражи, дублирования и переупорядочивания сообщений) применяют временные штампы и нумерацию элементов последовательности. При этом штампы и номера включают подписываемый текст.

Тема: «Цифровые сертификаты».

При использовании ассиметричных методов шифрования и в частности ЭЦП, необходимо иметь гарантию подлинности пары (имя пользователя-открытый ключ пользователя). Для решения этой задачи в спецификациях Х.509 вводятся понятия цифрового сертификата и удостоверяющего центра. Удостоверяющий центр — компонент, глобальной сети каталогов, отвечающий за управление криптографическими ключами пользователей. Открытые ключи и другая информация о пользователях, хранится удостоверяющими центрами в виде цифровых сертификатов, имеющих следующую структуру:

a) порядковый номер сертификата

b) идентификатор алгоритма ЭЦП

c) имя удостоверяющего центра

d) срок годности

e) имя владельца сертификата (имя пользователя, которому принадлежит сертификат)

f) открытые ключи владельца (их м.б. несколько)

g) идентификаторы алгоритмов, ассоциированных с открытыми ключами владельца сертификата

h) ЭЦП, сгенерированная с использованием секретного ключа удостоверяющего центра (подписывается результат хеширования всей информации, хранящейся в сертификате).

Цифровые сертификаты обладают следующими свойствами:

1. любой пользователь, знающий открытый ключ удостоверяющего центра может узнать открытые елючи других пользователей, и проверить целостность сертификата.
2. никто кроме удостоверяющего центра не может модифицировать информацию о пользователе без нарушения целостности сертификата.

В спецификации Х.509 не описывается конкретная процедура генерации криптографических ключей и управления ими, однако даются некоторые общие рекомендации. В частности, оговаривается, что пары ключей могут порождаться одним из следующих способов:

1. Ключи может генерировать сам пользователь. В таеом случае секретный ключ не попадает в руки третьих лиц, однако нужно решать задачу безопасной связи с удостоверяющим центром.
2. Ключи генерирует доверенное лицо. В таком случае приходится решать задачу безопасной доставки секретного ключа владельцу.
3. Ключи генерируются удостоверяющим центром. В таком случае остается только задача безопасной передачи ключей владельцу.

Цифровые сертификаты в формате спецификации Х.509 стали не столько формальным, но и фактически стандартом.

Тема: «Экранирование».

Формальная постановка задачи экранирования состоит в следующем: пусть имеется два множества информационных систем: экран — средство разграничения доступа клиентов из одного множества к серверам из другого множества.

Экран осуществляет свои функции контролируя все информационные потоки между двумя множествами информационных систем. Контроль потоков состоит в фильтрации этих потоков, с выполнением некоторых преобразований. На следующем уровне детализации экран удобно представлять как последовательность фильтров. Каждый из фильтров, проанализировав данные может задержать, не пропустить, а может и сразу перебросить через экран. Кроме того допускается преобразование данных, передача порции данных на следующий фильтр..., возврат результата отправителю. Помимо функций разграничения доступа экраны осуществляют протоколирование обмена информации. Обычно экран не является симметричным. Для него определены понятия «внутри» и «снаружи». При этом задача экранирования формулируется как задача защиты внутренней области от потенциально враждебной внешней. Так, межсетевые экраны чаще всего устанавливают для защиты корпоративной сети организации. Экранирование помогает поддерживать доступность сервисов внутренней области, уменьшая нагрузку, вызванную внешней активностью. Уменьшается уязвимость внутренних сервисов безопасности, т.к. первоначально злоумышленник должен преодолеть экран, где защитные механизмы сконфигурированы особенно тщательно. Кроме того, экранирующие системы в отличии от универсальной, может быть устроена более простым, а следовательно более безопасным образом. Экранирование дает возможность контролировать также информационные потоки, направленные во внешнюю область, что способствует поддержанию режима конфиденциальности информационной системы.

Экранирование может использоваться как сервис безопасности не только в сетевой, но и в любой другой среде, где происходит обмен сообщениями. Важнейший пример подобной среды — объектно-ориентированные программные системы, когда для активизации методов обДъектов выполняется передача сообщений. Экранирование может быть частичным, защищающим определенные информационные сервисы. Ограничивающий интерфейс также можно рассматривать как разновидность экранирования. На невидимый объект трудно нападать. В этом смысле, вэб-интерфейс обладает естественной защитой.

Архитектурные аспекты экранирования.

Бороться с угрозами, присущими сетевой среде средствами универсальных операционных систем, не представляется возможным. Современные технологии программирования не позволяют сделать столь большие программы безопасным. Кроме того администратор, имеющий дело со сложной системой далеко не всегда в состоянии учесть все последствия производимых изменений. В универсальной многопользовательской системе бреши безопасности постоянно создаются самими пользователями. Единственный перспективный путь связан с разработкой специализированных сервисов безопасности, которые в силу своей простоты допускают формальную или неформальную верификацию. Межсетевой экран как раз и является таким средством, допускающим дальнейшую декомпозицию, связанную с обслуживанием различных сетевых протоколов. Межсетевой экран размещается между внутренней, защищаемой сетью, и внешней средой (сетями). В первом случае говорят о внешнем межсетевом экране, а во втором о внутреннем. В зависимости от точки зрения, внешний межсетевой экран можно считать первой, или последней (но не единственной) линией обороны. Первой, если смотреть на мир глазами внешнего злоумышленника. Последней, если стремится к защищенности всех компонентов корпоративной сети и пресечению неправомерных действий пользователей.

Межсетевой экран - идеальное средство для встаривания средств активного аудита. С одной стороны, и на первом, и на последнем защитном рубеже выявление подозрительной активности по своему важно. С другой стороны, он способен реализовать сколь угодно мощную реакцию на подозрительную активность вплоть до разрыва с внешней средой в необходимых случаях. Нужно отдавать себе отчет в том, что соединение двух сервисов безопасности может создавать брешь, способствующую атакам на доступность. На межсетевые экраны целесообразно возложить идентификацию и аутентификацию внешних пользователей, нуждающихся в доступе к корпоративным ресурсам (с поддержкой концепции единого входа в сеть). В силу принципов эшелонированности обороны для защиты внешних подключений применяется двухкомпонентное экранирование. Покажем схематично.

Первичная фильрация (например, блокирование пакетов управляющего протокола или с определенными адресами из "черного списка") осуществляется граничным маршрутизатором, за которым располагается ДМЗ (сеть с умеренным доверием безопасности, куда выносятся внешние ИС организации). Далее следуетс основной межсетевой экран, защищающий внутреннюю часть корпоративной сети. Теоретически, межсетевой экран, особенно внутренний, должен быть многопротокольным. Но на практике доминирование TCP/IP (чем сложнее сервис, тем он более уязвим). Вообще говоря, экраны могут стать узким местом, поскольку объем сетевого трафика имеет тенденцию быстрого роста. Один из подходов к решению этой проблемы предполагает разбиение межсетевого экрана на несколько аппаратных частей и организацию специализированных серверов-посредников. Основной межсетевой экран может проводить грубую классификацию уходящего трафика по видам и передоверять фильтрацию соответствующим посредникам. Исходящий трафик также сначала обрабатывается сервером посредником, который может выполнять и фунционально полезные действия, такие как кэширование внешних вэб-серверов, что снижает нагрузку на сеть вообще и основной межсетевой экран в частности. Ситуации, когда корпоративная сеть содержит лишь один внешний канал, является скорее исключением, чем правилом. Напротив, типична ситуация, при который корпоративная сеть состоит из нескольких территориально разнесенных сегментов, каждая из которых подключена к Интернету. В этом случае каждое подключение должно защищаться своим экраном, точнее говоря, можно считать, что корпоративный внешний межсетевой экран является составным и требуется решить задачу согласованного администрирования всех компонентов.

Противоположностью составным корпоративным межсетевым экранам является персональные межсетевые экраны и персональные экранирующие устройства. Первые - программные продукты для установки на ПК и защищают только их. Вторые реализуются на отдельных устройствах и защищают небольшую локальную сеть.

При развертывании межсетевых экранов следует соблюдать рассмотренные принципы архитектурной безопасности. В первую очередь следует позаботиться о простоте и управляемости, эшелонированности обороны, а также невозможности перехода в небезопасное состояние.

5 декабря 2012г.

Классификация межсетевых экранов.

При рассмотрении любого вопроса, касающегося сетевых технологий, основой служит семиуровневая эталлонная модель ISO/OSI.

Межсетвые экраны целесообразно классифицировать по уровню фильтрации: канальному, сетевому, транспортному или прикладному. Соответственно, можно говорить об экранирующих концентраторах, мостах, коммутаторах (уровень 2), маршрутизаторах (уровень 3), о транспортном экранировании (уровень 4) и о прикладных экранах (уровень 7). Существуют также комплексные экраны, анализирующие информацию на нескольких уровнях. Фильтрация информационных потоков осуществляется межсетевыми экранами на основе набора правил, являющихся выражением сетевых аспектов политики безопасности организации. В этих правилах помимо информации, содержащейся в фильтруемых потоках, могут фигурировать также данные, полученные из окружения. Например, текущее время, количество активных соединений, порт, через который поступил сетевой запрос, и т.д. Таким образом, в межсетевых экранах используется мощный логический подход разграничения доступа.

Возможности межсетевых экранов определяются тем, какая информация может использоваться в правилах фильтрации, и какова может быть мощность набора правил. Вообще говоря, чем выше уровень модели ISO/OSI на котором функционирует межсетевой экран, тем более содержательная информация ему доступна. Следовательно, тем тоньше и надежнее он может быть сконфигурирован.

Экранирующие маршрутизаторы и концентраторы имеют дело с отдельными пакетами данных. Поэтому их иногда называют пакетными фильтрами. В решениях о том, пропустить или задержать данные, принимаются для каждого пакета независимо, на основании анализа адресов и других полей заголовков: сетевого, канального, и быть может транспортного уровней.

Еще один важный компонент анализируемой информации — порт, через который поступил пакет. Экранирующие концентраторы являются не столько средством разграничения доступа, сколько оптимизации работы локальной сети, за счет организации так называемых виртуальных локальных сетей. Последние можно считать важным результатом применения внутреннего межсетевого экранирования. Современные маршрутизаторы позволяют связывать с каждым портом несколько десятков правил, и фильтровать пакеты как на входе, так и на выходе. В качестве пакетного фильтра может использоваться и универсальный компьютер, снабженный несколькими сетевыми картами.

К достоинствам экранирующих маршрутизаторов относят доступную цену (на границе сетей маршрутизатор нужен практически всегда, вопрос лишь в том, как задействовать его экранирующие возможности), прозрачность для более высоких уровней модели OSI.

Основной недостаток: ограниченностььанализируемой информации, и как следствие относительная слабость обеспечиваемой защиты.

Транспортное экранирование позволяет контролировать процесс установления виртуальных соединений и передачу информации по ним. С точки зрения реализации, экранирующий транспорт представляет собой довольно простую, а значит надежную программу. По сравнению с пакетными фильтрами, транспортное экранирование обладает большей информацией, поэтому соответствующий межсетевой экран может осуществлять более тонкий контроль за виртуальными соединениями (например, он способен отслеживать количество передаваемой информации и разрывать соединение после превышения определенного порога, препятствуя тем самым несанкционированному экспорту информации. Аналогично возможно накопление более содержательной регистрационной информации. Главный недостаток, это сужение области применения, т.к. вне контроля остаются диаграмные протоколы. Обычно, транспортное экранирование применяют в сочетании с другими подходами, как важный дополнительный элемент. Межсетевой экран, функционирующий на прикладном уровне, способен обеспечивать более надежную защиту. Подобный межсетевой экран представляет собой универсальный компьютер, на котором функционируют экранирующие агенты, интерпретирующие протоколы прикладного уровня, в той степени, в которой необходимо для обеспечения защиты. При использовании прикладных межсетевых экранов, помимо фильтрации реализуется еще один важнейший аспект экранирования. Субъекты из внешней среды видят только шлюзовой компьютер. Соответственно, им доступнаитолько та информация из внутренней сети, которую он считает нужным экспортировать. Прикладной межсетевой экран на самом деле экранирует, то есть заслоняет внутреннюю сеть от внешнего мира. В то же время субъектам внутренней сети кажется, что они напрямую общаются с объектами внешнего мира.

Недостаток прикладных межсетевых экранов — отсутствие полной прозрачности, требующее специальных действий для поддержки каждого прикладного протокола. Если организация рассполагает исходными текстами прикладного межсетевого экрана, и в состоянии эти тексты модифицировать, то перед ней открываются чрезвычайно широкие возможности по настройке экрана с учетом собственных нужд. Дело в том, что при разработке систем клиент-сервер, в многозвенной архитектуре появляются специфические прикладные протоколы, нуждающиеси в защите не меньше стандартных. Подход, основанный на использовании экранирующих агентов позволяет построить такую защиту не снижая безопасности и эффективности других приложений, и не усложняя структуру связи в межсетевом экране.

Комплексные межсетевые экраны, охватывающие уровни от сетевого до прикладного, соединяют в себе лучшие свойства одноуровневых межсетевых экранов разных видов. Защитные функции выполняются комплексными межсетевыми экранами, прозрачным для приложений образом, не требуя внесения каких-либо изменений ни в существующее программное обеспечение, ни в действия, ставших для пользователя привычными.

12 декабря 2012г.

Лекции, к сожалению, нет

26 декабря 2012г.

//...

Иерархия взаимодействующих менеджеров и агентов может иметь несколько уровней. При этом элементы промежуточных уровней играют двоякую роль. По отношению к вышестоящим элементам они являются агентами, а к нижестоящим менеджерами. Многоуровневая архитектура менеджер-агент — ключ к распределенному масштабируемому управлению большими системами. Логически связанной с многоуровнейвой архитектурой является конструкция доверенного или делегированного управления.

При доверенном управлении менеджер промежуточного уровня может управлять объектами использующими собственные протоколы, в то время как»наверху» опираются исключительно на стандартные средства. Обязательным условием при любом числе промежуточных уровней является управляющая консоль. С точки зрения изучения возможностей систем управления следует учитывать разделение введеное X.701. Согласно X.701 управления подразделяются на следующие аспекты:

1. Информационный (атрибуты, операции и извещения управляемых объектов).

2. Функциональный (управляющие действия и необходимая для них информация)

3. Коммуникационный обмен управляющей информацией.

4. Организационный (разбиение на области управления).

Ключевую роль играет модель управляющей информации. Она описывается рекомендациями стандарта X.720. Модель является объектно-ориентированной с поддержкой инкапсуляции и наследования. Дополнительно вводится понятие пакета, как совокупности атрибутов, операций, извещений и соответствующего поведения. Класс объектов определяется позицией в дереве наследования, набором включеных пакетов и внешним интерфейсом, то есть видимыми снаружи атрибутами, операциями, извещениями, демонстрируемым поведением.

К числу концептуально важных можно отнести понятие проактивного, т.е. упреждающего управления — основано на предсказании поведения системы на основе текущих данных и ранее накопленной информации. Простой пример: выдача сигнала о возможных проблемах с диском после серии программно-нейтрализуемых ошибок чтения/записи. В более сложном случае, определенный характер рабочей нагрузки и действий пользователей может предшествовать резкому замедлению работы системы. Адекватным управляющим воздействием могло бы стать понижение приоритетов некоторых заданий и извещение администратора о приближении кризиса.

Возможности типичных систем управления.

Совершенные системы управления имеют двумерную настраиваемость на нужды конкретных организаций и на изменения в информационных технологиях. Системы управления живут долго. За это время в различных предметных областях наверняка появятся решения, превосходящие изначально заложенные в управляющие комплект. Никакая жесткая монолитная система такого не выдержит. Единственный выход — наличие каркаса, с которого можно снимать старое, и навешивать новое, не теряч при этом эффективности управления. Каркас, как самостоятельный продукт, необходим для достижения следующих целей:

1. Сглаживание разнородности управляемых информационных систем. Предоставление унифицированных программных интерфейсов для быстрой разработки управляющих приложений.

2. Создание инфраструктуры управления, обеспечивающей наличие таких свойств как поддержка распределенных технологий, информационная безопасность, масштабируемость.

3. Предоставления функционально полезных универсальных сервисов, таких как планирование заданий, генерация отчетов и т.д.

Вопрос о том, что, помимо каркаса, должно входить в систему управления, является сложным. Во-первых, многие системы управления имеют фреймовое прошлое, и попросту унаследовали некоторую функциональность, которая перестала быть необходимой. Во-вторых, для ряда функциональных задач появились отдельные высококачественные решения, превосходящие по назначению штатные компоненты. С развитием объектного подхода многоплатформенности важнейших сервисов и их взаимной совместимости, системы управления действительно превратятся в каркас. Пока жеина их долю остается достаточно важных областей, а именно:

1. Управление безопасностью
2. Упраавление событиями
3. Управление проблемными ситуациями
4. Управление загрузкой
5. Управление хранением данных
6. Генерация отчетов

На уровне инфраструктуры присутствует решение еще одной функциональной задачи обеспечения автоматического обнаружения управляемых объектов, связи между ними.

Управление безопасностью, в совокупности соответствующим программным интерфейсам, позволяет реализовать платформонезависимое разграничение доступа к объеатам произвольной природы и вынести функции безопасности из прикладных систем. Чтобы выяснить, возможен ли доступ текущей политикой безопасности, приложению достаточно обратиться к менеджеру безопасности системы управления. Менеджер безопасности осуществляет идентификацию/аутентификацию пользователей, контроль доступа, протоколирование неудачных попыток доступа. Менеджер безопасности встраивается в ядро ОС контролируемых элементов информационной системы, перехватывает соответствующие обращения и осуществляет свои проверки перед проверками, выполняемыми информационными системами. Так что он создает еще один защитный рубеж, дополняя защиту, реализуемую средствами операционной системы. Развитые системы управления располагают централизованной базой, в которой хранится информация о контролируемой ИС, и в частности некоторое представление о политике безопасности. Можно считать, что при каждой попытке доступа выполняется просмотр сохраненных в базе правил, в результате которого выясняется наличие у пользователя необходимых прав. Тем самым для проведения единой политики безопасности в рамках корпоративной информационной системы, закладывается прочный фундамент.

Для обеспечения высокой доступности информационных сервисов используется управление загрузкой, которое можно подразделить на управление прохождением задания и контроль производительности. В понятие контроля производительности входит и оценка быстродействия компьютеров и анализ пропускной способности сетей, обслуживание числа одновременно обслуживаемых пользователей, накопление статистики использования ресурсов. Обычно в распределенной системе соответствующие данные доступны. Они поставляются точечными средствами управления, но проблема получения целостной картины как текущей так и перспективной, остается весьма сложной. Решить ее способна только система управления корпоративного уровня. Средства контроля производительности целесообразно разбить на две категории:

1. Выявление случаев неадекватного функционирования компонентов информационной системы, и автоматическое реагирование на эти событие.
2. Анализ тенденций изменения произволительности системы.

Управление событиями — базовой механизм, позволяющие контролировать состояние информационной системы в реальном времени. Система событий позволяют классифицировать события и назначать для некоторых из них автоматическое реагирование.

Очевидно, что задачи контроля производительности и управления событиями, равно как и методы их решения в системах управления, близки к аналогичным аспектам систем активного аудита. Это еще одно свидетельство концептуального единства области знаний, под названием информационная безопасность.

Тема: Защита компьютерных систем от вредоносных программ.

Классификация вредоносных программ.

К вредоносным программам относят компьютерные вирусы и программные закладки.

Вирус — автономно функционирующая программа, обладающая тремя свойствами:

1. Способностью включения своего кода в тела других файлов и системной памяти.
2. К последующему самостоятельному управлению.
3. К самостоятельному распространению в компьютерных системах.

Программной закладкой называют внешнюю или внутреннюю по отношению к атакуемой системе программу, обладающую определенными разрушительными функциями по отношению к этой системе:

1. Уничтожение/внесение изменений в функционирование ПО компьютерной системы, уничтожение/изменение обрабатываемых в ней данных после выполнения некоторого условия или после получения некоторого сообщения из вне компьютерной системы.
2. Превышение полномочий пользователя с целью несанкционированного копирования конфиденциальной информации других пользователей, или создание условий для такого копирования (трояны).
3. Подмена отдельных функций подсистемы защиты сисиемы или создание люков в ней, для организации угроз безопасности (например, подмена средств шифрования путем эмуляции работы, установленный в компьютерной системы платы аппаратного шифрования.
4. Перехват паролей пользователей компьютерной системы с помощью имитации приглашения его к вводу, либо перехват всего ввода.
5. Перехват потока информации (мониторы)
6. Распространение в распределенных системах той или иной угрозы (черви)

Bиpycы клaccифициpyютcя пo cлeдyющим пpизнaкaм:

1. Пo cпocoбy pacпpocтpaнeния в KC:

· фaйлoвыe - зapaжaют фaйлы oднoгo или нecкoлькиx типoв;

· зaгpyзoчныe - зapaжaют зaгpyзoчныe ceктopa жecткиx диcкoв;

· кoмбиниpoвaнныe - cпocoбнocти a) и б);

1. Пo cпocoбy зapaжeния дpyгиx oбъктoв KC:

· peзидeнтныe - чacть кoдa нaxoдитcя в OП и зapaжaeт дpyгиe oбъeкты KC;

· нepeзидeнтныe - зapaжaют дpyгиe oбъeкты KC в мoмeнт oткpытия yжe зapaжeнныx ими oбъeктoв;

1. Пo дecтpyктивным вoзжнocтям:

· бeзвpeдныe - coздaны в цeляx oбyчeния, нo cнижaющиe эффeктивнocть paбoты cиcтeмы зacчeт пoтpeблeния ee pecypcoв;

· нeoпacныe виpycы - coздaнют paзличныe звyкoвы и видeo эффeкты;

· oпacныe и oчeнь oпacныe - вызывaют cбoи в paбoтe пpoгpaммныx и aппapaтныx cpeдcтв ЭBM, пoтepю пpoгpaмм и дaнныx, a пoтeнциaльнo и вывoд из cтpoя aппapaтypы кoмпьютepнoй cиcтeмы или нaнeceниe вpeдa здopoвья пoльзoвaтeлeй (эффeкт 25 кaдpa);

1. Пo ocoбeннocтям peaлизyeмoгo aлгopитмa:

· виpycы-cпyтники - coздaют для зapaжaeмыx фaйлoв oднoимeнныe c кoдoм виpycы, пepeимeнoвывaющиe пpи этoм иcxoдныe;

· пapaзитичecкиe - oбязaтeльнo измeняют coдepжимoe зapaжaeмыx oбъктoв;

· виpycы-нeвидики - пyтeм пepexвaтa oбpaщeний OC к зapaжeнным oбъктaм и вoзвpaтa вмecтo ниx opигинaльныx нeзapaжeнныx дaнныx cкpывaeтcя фaкт пpиcyтcтвия виpyca в KC (пpи coбcтвeннoм oбpaщeнии к диcкoвoй пaмяти oни тaкжe иcпoльзyют нecтaндapтныe cpeдcтвa для oбxoдa aнтивиpycнoй зaщиты);

· виpycы-пpизpaки (пoлимopфныe) - кaждaя cлeдyющaя кoпия в зapaжeнныx oбъeктax oтличaeтcя oт пpeдыдyщиx (нe coдepжит oдинaкoвыx цeпoчeк кoмaнд зacчeт пpимeнeния шифpoвaния нa paзличныx ключax бaзoвoгo кoдa виpyca.