рефераты конспекты курсовые дипломные лекции шпоры

Реферат Курсовая Конспект

АНАЛИЗ ЗАЩИЩЕННОСТИ ОС

АНАЛИЗ ЗАЩИЩЕННОСТИ ОС - Реферат, раздел Информатика, Защищенные информационные технологии в экономике Анализ Защищенности Ос. Для Анализа Защищенности Ос Разрабатываются Специализ...

АНАЛИЗ ЗАЩИЩЕННОСТИ ОС. Для анализа защищенности ОС разрабатываются специализи¬рованные средства. Средства данного класса позволяют произво¬дить ревизию перечисленных выше механизмов защиты ОС: под¬системы разграничения доступа, механизмов идентификации и ау¬тентификации, средств мониторинга, аудита и других компонент с точки зрения соответствия их конфигурации требуемому уровню защищенности системы.

Кроме этого, производится контроль це¬лостности ПО (включая неизменность программного кода и сис¬темных установок с момента предыдущего анализа) и проверка наличия уязвимостей системных и прикладных служб. Такая про¬верка производится с использованием базы данных об уязвимостях сервисных служб или определенных версий программного обеспе¬чения, которая входит в состав средств анализа.

Кратко рассмотрены в [2] некоторые средства анализа защищенности ОС. ASET (Automated Security Tool) — это программное средство администратора ОС Solaris, обеспечивающее автоматизированное выполнение задач мониторинга и контроля уровня безопасности указанной ОС. ASET поддерживает три уровня безопасности, накладывающие определенные требования к защищенности системы в целом: низ¬кий, средний и высокий.

Низкий уровень после последовательных проверок гарантирует, что атрибуты всех системных файлов соот¬ветствуют стандартным установкам. ASET выдает отчет о потен¬циальных уязвимостях системы, но на данном уровне не произво¬дит каких-либо действий по устранению обнаруженных уязвимо¬стей. Средний уровень обеспечивает контроль большинства объек¬тов системного окружения. ASET модифицирует некоторые атри¬буты системных файлов и переменных окружения, а также ограничивает доступ в систему, уменьшая таким образом возможность успешного проведения атак. ASET выдает отчет об обнару¬женных уязвимостях, о произведенных изменениях атрибутов файлов и об введенных ограничениях доступа в систему.

Измене¬ния сервисных служб на данном уровне не производятся. При вы¬соком уровне гарантируется высокая защищенность системы и мо¬дифицируются атрибуты всех системных файлов и переменных окружения. Большинство системных приложений и команд про¬должает функционировать в обычном режим, но задачи обеспече¬ния безопасности обладают наивысшим приоритетом над систем¬ными и пользовательскими задачами.

ASET выполняет семь основных задач по мониторингу и управлению уровнем безопасности системы. Для каждой из задач производятся свои специфические проверки и модификации, а также генерируются отчеты по обнаруженным уязвимостям и вы¬полненным изменениям в системных файлах. Проверке подвер¬гаются: • атрибуты доступа и использования системных файлов; • соответствие системных файлов их описаниям в шаблонах безопасности: • бюджеты пользователей и групп; • файлы конфигурации системы; • переменные окружения; • уровень защиты низкоуровневой конфигурации eeprom; • уровень защищенности при использовании системы в каче¬стве МЭ. ASET можно использовать как в интерактивном режиме с вы¬зовом из командной строки, так и в автоматическом режиме с оп¬ределенной периодичностью. Пакет программ COPS (Computer Oracle and Password System) Д. Фармера — свободно распространяемое средство администра¬тора безопасности Unix-систем для обнаружения уязвимостей в подсистеме безопасности ОС SunOS, FreeBSD, IRIX, AIX, 4.3BSD, Ultrix, HP-Unix, NeXT и некоторых других.

Ядро системы - это собрание приблизительно десятка программ, каждая из которых находит различные проблемы в Unix-безопасности.

Эти програм¬мы проверяют: • файлы, директории и устройства по разрешенному доступу; • надёжность паролей методом перебора с использованием словаря; • содержание, формат и безопасность паролей и групп паролей; • файлы с атрибутом смены идентификатора пользователя; • программы и файлы, запускаемые в /etc/rc/*; • наличие root - SUID файлов, возможность их записи, и яв¬ляются ли они подлинными; • контрольные суммы ключевых файлов, чтобы выявлять любые изменения; • целостность исполнимого кода системных программ; • возможность записи файлов пользователей и файлов запус¬ка (.profile, cshrc и т.д.); • анонимную установку ftp; • неограниченный ftp, вымышленное имя в sendmail; • конфигурации протокола NFS; • проводит различные проверки root; • наличие отношений доверия с удаленными системами; • права доступа к домашним каталогам и стартовым файлам пользователей; • конфигурации почтовой службы; • наличие сервисных служб; • даты ознакомления с материалами CERT по безопасности; • содержит набор правил и попыток для определения того, как может быть скомпрометирована система.

Результатом работы COPS является отчет, который может быть представлен в виде текстового файла либо автоматически отправ¬лен заданному адресату по электронной почте.

Устранения обна¬руженных уязвимостей данным продуктом не производятся. Вме¬сто этого по результатам сканирования создается командный файл, содержащий последовательность команд по ликвидации выявлен¬ных уязвимостей.

COPS может быть запущено от лица пользователя, не обла¬дающего привилегированными правами, однако в данном случае тестирование системы будет неполным.

Среди недостатков можно отметить следующее. Работа COPS приводит к уменьшению производительности системы. При про¬ведении оценки стойкости паролей значительно увеличиваются вычислительные и временные затраты, поэтому запуск COPS ре¬комендуется производить в часы наименьшей загрузки системы. Система System Security Scanner (SSS) фирмы Internet Security Systems Inc. — средство разового или регулярного анали¬за степени безопасности ОС Solaris 2.x, SunOS 4.1.x, Linux 1.2/1.3, AIX 3.2.5, HP-UX 9.05, 10.Х (beta) и управления защищенностью этих систем в соответствии с политикой безопасности организа¬ции. SSS осуществляет контроль прав доступа к файлам, проверку владельцев файлов, анализ конфигурации сетевых служб, настрой¬ку пользовательских и системных бюджетов.

Кроме этого, иссле¬дуется возможность наличия закладок и других следов проникно¬вения злоумышленников. Отчеты о результатах анализа содержат детализированное описание найденных уязвимостей и последова¬тельностей действий администратора по их устранению.

SSS не производит запуск корректирующего сценария самостоятельно, а только предлагает возможность его применения. Хранение резуль¬татов тестирования производится в специальной базе данных, со¬держащей информацию об известных уязвимостей (их более 250) и способах их устранения. Система SSS позволят производить распределенное сканирова¬ние нескольких удаленных систем с одной управляющей рабочей станции. При этом, конфигурация механизмов сканирования уда¬ленных систем и обработка результатов производится на управ¬ляющем ПК, а на удаленных системах запускается только скани¬рующий агент.

Результаты сканирования удаленных систем пере¬даются по протоколу TCP в закодированном виде. Возможности тестирования системы определяются выбранны¬ми для сканирования уязвимостями. SSS позволяет производить сканирование системы с различными специально созданными конфигурациями сканирования, что позволяет заранее настраивать через несколько файлов конфигурации разноуровневое сканирова¬ние для периодического тестирования системы.

Все обнаруженные уязвимости рассортированы по типам, соответствующим областям системы, и выделены определенным цветом, обозначающим уро¬вень важности.[1] Пакет программ Internet Scanner SAFEsuite (ISS) предназначен для проведения комплексной оценки эффективности политики безопасности на уровне сетевых сервисов. Он предоставляет возможности для идентификации и коррекции более 140 известных слабых мест и постоянного наблюдения за состоянием безопасности для широкого диапазона сетевых устройств - от Web-узлов и брандмауэров до серверов и рабочих станций, работающих в средах UNIX, Windows 95, Windows NT, и всех других устройств, работающих с протоколом TCP/IP. Пакет ISS состоит из трех программ: Web Security Scanner, Firewall Scanner, Intranet Scanner.

Отметим некоторые общие характеристики пакета ISS. 1. Автоматизированное и конфигурируемое сканирование: • автоматическая идентификация и создание отчетов по слабым местам; • плановое периодическое сканирование или сканирование после определенных событий; • конфигурация сканирования по адресам IP, типам слабых мест, рискам и другим устанавливаемым пользователями критериям; • автоматическая коррекция ключевых слабых мест; • надежность и повторяемость. 2. Обеспечение безопасности: • возможность управления рисками; • инвентаризация всех сетевых устройств и идентификация существующих базовых слабых мест; • распределение приоритетов по степеням риска (высокий, средний, низкий); • анализ и сравнение базовых отчетов для использования в будущих оценках; • создание цепи обратной связи при реализации политики безопасности. 3. Простота пользования: • графические интерфейсы пользователя Windows NT и Motif UNIX; • создание отчетов в формате HTML с упорядочением по типам слабых мест, классам рисков, host-именам и адресам IP; • двухмерная сетевая карта, облегчающая поиск слабых мест; • централизация процедур сканирования, управления и мониторинга.[5] Программа Web Secure Scanner предназначена для поиска слабых мест безопасности на Web-серверах.

Обеспечивает аудит ОС, под управлением которой работает Web-сервер, программ приложений, установленных на Web-сервере, и сценариев CSI в Web-приложениях.

Проводит тестирование конфигурации Web-сервера, оценивает уровень безопасности основной файловой системы и просматривает сценарии CSI на наличие слабых мест. По итогам тестирования создается отчет с описанием обнаруженных слабых мест и рекомендациями по корректирующим действиям.

Программа Firewall Scanner обеспечивает поиск слабых мест в брандмауэрах, прежде всего в их конфигурации, и предоставляет рекомендации по их коррекции.

Проводит тестирование реакции брандмауэров на различные типы попыток нарушения безопасности. Выполняет сканирование сервисов – идентификацию всех сетевых сервисов, доступ к которым осуществляется через брандмауэр. Программу Firewall Scanner рекомендуется сделать частью установки брандмауэра и составной частью программы обеспечения безопасности.

Программа Intranet Scanner предназначена для автоматического обнаружения потенциальных слабых мест внутри сетей с использованием различных тестов для проверки реакции на несанкционированные проникновения. Обеспечивает проверку различных сетевых устройств, включая UNIX-компьютеры, системы, работающие под управлением ОС Windows NT/95 фирмы Microsoft, маршрутизаторы, Web-серверs и X-терминалы. 1.3. Защита каналов связи в Internet В июле 1997 г. вышел руководящий документ " Средства вы¬числительной техники.

Межсетевые экраны. Защита от несанк¬ционированного доступа к информации. Показатели защищенно¬сти от несанкционированного доступа" Гостехкомиссии при Пре¬зиденте РФ (полный текст можно найти в информационном бюл¬летене "Jet Info" № 17-18 1997 г. и на узле http://www.infotecs.ru/gtc/RD_ekran.htm ). В этом документе дана классификация МЭ в зависимости от степени обеспечиваемой ими защиты от НСД. Определение самого МЭ таково: МЭ - это ло¬кальное (однокомпонентное) или функционально-распределенное средство (комплекс), реализующее контроль за информацией, по¬ступающей в автоматизированную систему (АС) и/или выходящей из АС, и обеспечивает защиту АС посредством фильтрации ин¬формации, т.е. ее анализа по совокупности критериев и принятия решения о ее распространении в (из) АС. Устанавливается пять классов защищенности МЭ: 5 (самый низкий) — применяется для безопасного взаимодействия АС клас¬са 1 Д с внешней средой, 4 — для 1 Г, 3 — 1 В, 2 — 1 Б, 1 (самый вы¬сокий) — для 1А. (Напомним, что Гостехкомиссией РФ установ¬лено девять классов защищенности АС от НСД, каждый из кото¬рых характеризуется определенной совокупностью требований к средствам защиты. Классы подразделяются на три группы, отли¬чающиеся спецификой обработки информации.

Класс с цифрой "1" включает многопользовательские АС, в которых одновременно обрабатывается и/или хранится информация разных уровней кон¬фиденциальности, и не все пользователи имеют равные права дос¬тупа.) В [2] приведена некоторая справочная информация, где даны описания не¬скольких систем МЭ. Список сертифицированных Гостехкомиссией РФ МЭ на июнь 1999 г. состоял из десяти наименований: 1) автоматизированная система разграничения доступа Black Hole (Milkyway Networks) версии BSDI-OS; 2) средство защиты от НСД в сетях передачи данных по про¬токолу TCP/IP "ПАНДОРА" на базе Gauntlet 3.1.Н (Trusted Information Systems) и компьютера 02 (Silicon Graphics) под управлением IRIX 6.3; 3) аппаратно-программный комплекс "Застава-Джет" компа¬нии Jet Infosystems и ЦНИИ-27 Министерства обороны РФ; 4) МЭ "Застава" FortE+ фирмы ЭЛВИС+; 5) партия средств программного обеспечения межсетевого эк¬рана FireWall-1 фирмы Checkpoint Software Technologies; 6) комплекс защиты информации от НСД "Data Guard/24S"; 7) программный продукт SKIP для регулирования доступа на интерфейсе локальная/глобальная сеть под управлением ОС Windows 3.11 и Solaris 2.4; 8) единичные образцы программного обеспечения МЭ AltaVista Firewall 97 фирмы AltaVista Internet Software; 9) партия из 20 экземпляров МЭ "Cyber Guard" версия 4.0, по¬зволяющего создавать защищенные корпоративные сети на базе протокола Х.25 и Frame Relay; 10) Firewall/Plus фирмы Network-1 Software and Technologies.

Список МЭ, сертифицированных Международной ассоциацией компьютерной безопасности, можно найти по адресу http://www.icsa.net. Ниже более подробно описаны функции одного из них. Межсетевой экран защиты интрасети ПАНДОРА на базе Gauntlet 3.1.1i фирмы Trusted Information Systems и компьютера 02 фирмы Silicon Graphics под управлением IRIX 6.3 надежно ре¬шает проблему безопасности сети и позволяет: • скрыть от пользователей глобальной сети структуру интра¬сети (IP-адреса, доменные имена и т.д.); • определить, каким пользователям, с каких хостов, в на¬правлении каких хостов, в какое время, какими сервисами можно пользоваться; • описать для каждого пользователя, каким образом он дол¬жен аутентифицироваться при доступе к сервису; • получить полную статистику по использованию сервисов, попыткам НСД, графику через ПАНДОРУ и т.д. ПАНДОРА устанавливается на компьютер с двумя Ethernet-интерфейсами на выходе между интраеетью и сетью общего поль¬зования.

ПАНДОРА построена на серверах протоколов прикладного уровня (proxy) и поддерживает следующие сервисы: TELNET, Riogin (терминалы); FTP (передача данных); SMTP, POP3 (почта); HTTP (WWW); Gopher; XI 1 (X Window System); LP (сетевая пе¬чать); Rsh (удаленное выполнение задач); Finger; NNTP (новости Usenet); Whois; RealAudio. Кроме того, в состав ПАНДОРЫ входит сервер общего назначения TCP-уровня, который позволяет безо¬пасно транслировать через ПАНДОРУ запросы от базирующихся на TCP протоколов, для которых нет proxy-серверов, а также сер¬вер сетевого доступа, который позволяет запускать различные программы в зависимости от того, откуда пришел запрос.

Для аутентификации пользователей ПАНДОРА позволяет при¬менять следующие схемы аутентификации: • обычный Unix-пароль; • S/Key, MDauth (одноразовые пароли). • РОРЗ-ргоху дает возможность использовать АРОР-авторизацию и тем самым избежать передачи по сети открытого пароля. • FTP-proxy позволяет ограничить применение пользователями отдельных команд (например RETR, STOR и т.д.) • HTTP-proxy позволяет контролировать передачу через ПАНДОРУ фреймов; описаний на языке Java; описаний на языке JavaScript; html-конструкций, не попадающих под стандарт HTML версии 2 и т.д. Система сбора статистики и генерации отчетов позволяет со¬брать и обработать информацию обо всех соединениях, включая время, количество байт, адрес источника, адрес назначения, ID пользователя (если есть), а также аномалии в самой системе.

ПАНДОРА не требует ни внесения изменений в клиентское ПО, ни использования специального ПО. Прозрачный режим работы proxy-серверов позволяет внутрен¬ним пользователям соединяться с нужным хостом за один шаг (т.е. без промежуточного соединения с ПАНДОРОЙ). Система контроля целостности позволяет контролировать безопасность модулей самой системы. Графический интерфейс управления служит для настройки, администрирования и просмотра статистики ПАНДОРЫ. ПАНДОРА поставляется вместе с исходными текстами основ¬ных программ, для того чтобы можно было убедиться в отсутствии закладок и разобраться, как он работает.

ПАНДОРА сертифицирована Государственной Технической Комиссией при Президенте России.

Сертификат N 73 выдан 16 ян¬варя 1997 г. и действителен до 16 января 2000 г: " система защи¬ты информации от НСД в сетях передачи данных по протоколу TCP/IP - межсетевой экран "ПАНДОРА" (ТУ N 1-97) на базе меж¬сетевого экрана "Gauntlet" версии 3.1.Н функционирующая на платформе операционной системы IRIX v.6.3 фирмы Silicon Graphics, является средством зашиты информации и обеспечивает защиту участка интрасети от доступа извне, не снижая уровня за¬щищенности участка интрасети, соответствует техническим усло¬виям № 1-97 и требованиям Руководящего документа Гостехко-миссии России "Автоматизированные системы.

Защита от несанк¬ционированного доступа к информации.

Классификация автомати¬зированных систем и требования по защите информации" в части администрирования для класса ЗБ". Задача выбора МЭ для каждого конкретного применения -это, главным образом, вопрос верного соотношения требований пользователей к доступу и вероятности несанкционированного доступа.

В идеале система должна предотвращать всякое несанк¬ционированное вторжение.

Однако, учитывая широкий спектр не¬обходимых пользователям сервисов (Web, ftp, telnet, SNMP, NFS, телефония и видео в Internet, электронная почта и др.), наряду с изначальной открытостью комплекта протоколов TCP/IP этого идеала достигнуть очень тяжело. В действительности, мерой эф¬фективности МЭ служит вовсе не его способность к отказу в пре¬доставлении сервисов, но его способность предоставлять сервисы пользователям в эффективной, структурированной и надежной среде.

МЭ должны уметь анализировать приходящий и исходящий сетевой трафик и правильно определять, какие действия санкцио¬нированы без ненужного замедления работы системы.[2] И в заключение данного раздела приведем некоторые рекомен¬дации по выбору МЭ, которые выработала Ассоциация "Конфидент". 1). Цена. Она колеблется существенно — от 1000 до 15000 долл. при покупке непосредственно у фирм-производителей, большинство которых находится в США; у российских дилеров эти цифры значительно выше из-за таможенных и налоговых сборов.

Интересна и такая цифра - цена МЭ для Windows NT в сред¬нем составляет 6000 долл. К этой цене надо добавить расходы на аппаратную платформу и ОС, которые могут быть весьма значи¬тельными и соизмеримыми со стоимостью самого МЭ — напри¬мер, как в случае использования компьютеров Sun под управлени¬ем ОС Solaris.

Поэтому с точки зрения экономии разумно приме¬нять МЭ, ориентированные на Intel-платформу и ОС DOS, Windows NT, Novel 1 NetWare. 2). Фильтрация.

Большинство МЭ работает только с семейст¬вом протоколов TCP/IP, что связано с ориентацией разработчиков на потребности западного рынка.

Этого достаточно, если МЭ при¬меняется в классическом варианте — для контроля графика между интрасетью и Internet.

Но в России, согласно имеющейся статисти¬ке, 90 % рынка сетевых ОС составляет Novell Netware и поэтому важна фильтрация IPX-трафика. Кроме того, совершенно необхо¬димой для внутреннего МЭ является способность фильтрации на уровне соединения — например, фильтрации Ethernet-фреймов.

К сожалению, эта возможность реализована в очень немногих про¬дуктах (например. Firewall Plus и Eiron Firewall). 3). Построение интрасети — при объединении сети организа¬ции с Internet в качестве транспортной магистрали нужно исходить из имеющейся инфраструктуры. С этой точки зрения много воз¬можностей, имеется в Netware: службы каталогов, управления, пе¬чати, защиты и работы с файлами; GroupWise и ManageWise управляют электронным документооборотом и сетью; входящий в состав IntranetWare шлюз IPX/IP организует прозрачный доступ с IPX-станций к сервисам TCP/IP с помощью Winsock-совместимого клиентского ПО. Тогда IPX-сервер и IPX-станция не имеют IP-адресов и из Internet в принципе не видны.

Поэтому организация атаки на их информационные ресурсы практически невозможна и защита IP-хостов гетерогенной сети IP-IPX решается проще, так как шлюз выполняет по отношению к ним функции МЭ. Примеры таких МЭ: BorderManager фирмы Novell и NetRoad FireWALL фирмы UkiahSoft. 4). Простота эксплуатации. Чтобы снизить текущие эксплуа¬тационные расходы, лучше отдать предпочтение простым в экс¬плуатации продуктам с интуитивно понятным графическим ин¬терфейсом, иначе богатые возможности по настройке МЭ могут оказаться невостребованными.

Этому критерию хорошо соответ¬ствуют два продукта — Firewall Plus фирмы Network-1 и NetRoad FireWALL фирмы UkiahSoft. 1.4

– Конец работы –

Эта тема принадлежит разделу:

Защищенные информационные технологии в экономике

Соответственно, под защитой информации подразумевается комплекс мероприятий, проводимых с целью предотвращения от действий угроз безопасности… Когда говорят об информационной безопасности, то имеют в виду широкий спектр … Обеспечение безопасности такой системы требует проведения целого комплекса мероприятий в соответствии с разработанной…

Если Вам нужно дополнительный материал на эту тему, или Вы не нашли то, что искали, рекомендуем воспользоваться поиском по нашей базе работ: АНАЛИЗ ЗАЩИЩЕННОСТИ ОС

Что будем делать с полученным материалом:

Если этот материал оказался полезным ля Вас, Вы можете сохранить его на свою страничку в социальных сетях:

Все темы данного раздела:

ОТЕЧЕСТВЕННЫЕ ЗАЩИЩЕННЫЕ СИСТЕМЫ
ОТЕЧЕСТВЕННЫЕ ЗАЩИЩЕННЫЕ СИСТЕМЫ. Российский стандарт шифрования данных ГОСТ 28147-89 Единственный в настоящее время коммерческий российский алгоритм ГОСТ 28147-89 является универсальным алгоритмом

ИНТЕГРАЛЬНЫЕ УСТРОЙСТВА ЗАЩИТЫ ИНФОРМАЦИИ
ИНТЕГРАЛЬНЫЕ УСТРОЙСТВА ЗАЩИТЫ ИНФОРМАЦИИ. Очень важным вопросом защиты информации является интеграция программно – аппаратных средств обеспечения информационной безопасности. По мнению В. С. Барсу

Хотите получать на электронную почту самые свежие новости?
Education Insider Sample
Подпишитесь на Нашу рассылку
Наша политика приватности обеспечивает 100% безопасность и анонимность Ваших E-Mail
Реклама
Соответствующий теме материал
  • Похожее
  • Популярное
  • Облако тегов
  • Здесь
  • Временно
  • Пусто
Теги