|
|
| Разработка предложения по защите информации от несанкционированного доступа в сетях ЭВМ объединения ВВС и ПВО |
|
ребование-6, 7,8. Для защиты от злоумышленных действий пользователей в О.С. применяется фильтрация, а для осуществления фильтрации пакетов в составе СЗИ ОС МСВС 3.0 работает фильтр пакетов ipchains. Он выполняет основные задачи фильтрации пакетов, трансляции сетевых адресов и прозрачного проксирования.Фильтрация пакетов - это механизм, который, основываясь на некоторых правилах, разрешает или запрещает передачу информации, проходящей через него, с целью ограждения некоторой подсети от внешнего доступа, или, наоборот, для недопущения выхода наружу. Фильтр пакетов может определять правомерность передачи информации на основе только заголовков IP-пакетов, а может анализировать и их содержимое, т.е. использовать данные протоколов более высокого уровня.Трансляция сетевых адресов (маскарад) представляет собой подмену некоторых параметров в заголовках IP-пакетов. Используется для сокрытия реальных IP-адресов компьютеров защищаемой ЛВС, а также для организации доступа из ЛВС с компьютерами, не имеющими реальных IP-адресов, к глобальной сети.Прозрачное проксирование - это переадресация пакетов на другой порт компьютера. Обычно используется для того, чтобы заставить пользователей из ЛВС пользоваться proxy-сервером маршрутизатора без дополнительного конфигурирования их клиентских программ. Ядро ОС запускается с тремя встроенными наборами правил фильтрации пакетов, которые называются входной (input), выходной (output) и пересылочный (forward). В дополнение к встроенным можно создавать новые наборы правил. Наборы правил состоят из правил, каждое из которых содержет условие и, возможно, действие, которое надо произвести с пакетом, если его параметры соответствуют заданному условию. Если пакет не соответствует условию, то проверяется следующее правило в наборе правиле. Если пакет не удовлетворяет ни одному условию, используется политика по умолчанию данного набора правил. В защищенных системах эта политика требует уничтожить или отвергнуть пакет.Еще одним важным аспектом безопасности системы является защита от сканирования портов. Это один из самых распространенных и простых способов узнать, какая ОС установлена на компьютере, какие службы запущены в данный момент и получить другую информацию о компьютере, подключенном к ЛВС. Эта информация может быть использована для взлома и проникновения в систему. Поэтому важно не только обнаружение факта сканирования портов, но и принятие адекватных мер по их пресечению. Адекватная мера может заключаться в отправке в сторону сканирующего нарушителя неправильно фрагментированного пакета, ответного сканирования портов, включения фильтра пакетов и т.д. Так же желательно, чтобы нарушитель получил недостоверную информацию об открытых портах на контролируемом компьютере.Система защиты МСВС 3.0 от сканирования портов обладает следующими основными возможностями:обнаруживает практически все известные виды сканирования: TCP connect (), SYN/half-open, Null, XMAS и т.д.;в реальном времени блокирует компьютер сканировщика посредством включения на атакуемом компьютере фильтра пакетов (для ОС МСВС 3.0 - ipchains), команду запуска которого можно задать в файле конфигурации;записывает в файл регистрации посредством syslogd информацию об атаке;вызывает любую указанную в файле конфигурации программу, в ответ на сканирование или подключение к защищенному порту, параметрами программы могут являться IP-адрес атакующего компьютера и атакуемый порт.Реализуется защита от сканирования портов посредствам программы Portsentry, для настройки которой существует множество директив в файле portsentry. conf. Режимы работы задаются в командной строке при вызове Portsentry. Одновременно можно задать только один режим работы для одного протокола. Программу можно запускать в трех режимах для каждого протокола.Существует возможность учета числа неудачных попыток входа в систему и ограничения числа этих попыток до того как она будет заблокирована.ДОПОЛНИТЕЛЬНЫЕ ТРЕБОВАНИЯ:Требование-9. Встроенных средств стирания остаточной информации нет;Требование-10. Возможность ограничения числа попыток входа в систему отсутствует, но администратор может указывает дату окончания прав доступа, даты когда необходимо сменить пароль, и за сколько дней предупреждать о смене пароля;Требование-11. В ОС МСВС 3.0 встроены механизмы мандатного, дискреционного и ролевого управления доступом.Т. е. одновременно реализуется мандатная и дискреционная модели доступа к информации. Данные механизмы реализуются посредствам интерактивной графической среды KDE;Требование-12. Эргономические требования в основном аналогичны ОС UNIX. Но для улучшения и упрощения пользовательского интерфейса устанавливается интегрированная графическая среда KDE.2.3.5 NetWareОБЯЗАТЕЛЬНЫЕ ТРЕБОВАНИЯ:Требование-1. Данная ОС не сертифицирована для использования в военных организациях, но уже долгое время занимает важное место среди сетевых операционных систем благодаря широким возможностям администрирования;Требование-2. В версии NetWare 4. x используется надежная схема идентификации пользователя при входе в сеть. Она основанная на использовании технологии защиты RSA public key/private key. При использовании этой технологии пароль и личный ключ пользователя никогда не передаются по кабелям, что полностью исключает возможность узнать чужой пароль. В службу каталогов NDS введен новый уровень управления доступом, который может быть введен в действие администратором в любой части сети.С точки зрения защиты ОС NetWare не делает различия между операционными системами рабочих станций. Станции, работающие под управлением DOS, Windows, OS/2, Macintosh и Unix, обслуживаются совершенно одинаково, и все функции защиты применяются ко всем операционным системам, которые могут использоваться в сети NetWare. И это конечно является плюсом, т.к комплексное использование разных ОС повышает степень защищенности сети (организации) в целом;Требование-3. Версии выше 3. х имеют многоуровневую систему защиты каталогов и файлов, а также осуществляют контроль доступа пользователей к сети. В NetWare 4.0х предусмотрены дополнительные уровни безопасности. В частности, в предыдущих версиях обязательно есть пользователь с именем "суперпользователь", обладающий всеми административными полномочиями в сети. Поэтому постороннему лицу достаточно подобрать пароль, чтобы затем войти в сеть под именем "суперпользователь". Это является довольно слабым местом в операционной системе. В версиях NetWare 4.0х существует возможность назначить администратору сети любое имя, что уменьшает риск входа взломщика в сеть под видом администратора;Требование-4. Криптографической защите, как и в других ОС, в NetWare уделяется важная роль. Начиная с версии NetWare 3.12 пароли хранятся на сервере в зашифрованном виде, а пароль, задаваемый пользователем, передается по кабелю также в зашифрованном виде. Это обеспечивает защиту от попыток узнать пароль путем "прослушивания" сети. В версиях выше 4.0х используется новая технология передачи пароля по сети, основанная на разделении ключей. При входе пользователя в сеть сервер направляет рабочей станции запрос на идентификацию, зашифрованный с помощью пароля пользователя, случайного ключа и личного ключа пользователя. Рабочая станция расшифровывает этот запрос, используя случайный ключ и пароль, и получает значение личного ключа пользователя, который в дальнейшем используется при доступе ко всем сетевым ресурсам. Таким образом, ни личный ключ пользователя, ни пароль не передаются в явном виде по сети, что исключает возможность их перехвата и подделки;Требование-5. Важной особенностью является повышающая безопасность - возможность контролировать изменения в файловой системе. Пользователь может, например, следить за тем, кто создает и модифицирует сетевые объекты, кто и как использует те или иные файлы.В системах NetWare предусмотрен ряд функций, обеспечивающих надежность системы и целостность данных. Они обеспечивают защиту всех частей сервера: от устройств хранения данных до критичных файлов прикладных программ. Наличие таких функций позволяет NetWare обеспечить очень высокий уровень надежности сети. Существуют так же три уровня средств обеспечения надежности (SFT I, SFT II, SFT III).Средства обеспечения надежности SFT I:Проверка чтением после записи. После записи на диск каждый блок данных немедленно считывается в память для проверки читаемости. Первоначальное содержание блока не стирается до окончания проверки. Если данные не читаются, они записываются в другой блок диска, а первый блок помечается как дефектный;Дублирование каталогов.netWare хранит копию структуры корневого каталога. Если портится основная структура, то начинает использоваться резервная;Дублирование таблицы размещения файлов FAT.netWare хранит копию FAT и использует ее при порче основной таблицы FAT;Оперативное исправление 1. Запись или перезапись данных из дефектных блоков в специальную резервную область диска;Контроль UPS;Средства обеспечения надежности SFT II:Зеркальное отображение дисков, подключенных к одному дисковому контроллеру;Дуплексирование дисков, подключенных к различным дисковым контроллерам;Оперативное исправление 2. Повторное выполнение операции чтения на отраженном диске и запись данных в резервную область;Система отслеживания транзакций;Средства обеспечения надежности SFT III заключаются в полном динамическом зеркальном отображении двух серверов, которые могут находится на значительном удалении друг от друга (при использовании оптоволоконного кабеля для межсерверной связи - до 4 км).Средства обеспечения надежности уровней SFT I и SFT II реализованы в NetWare v3.11, NetWare v3.12 и NetWare v4. x. Уровень надежности SFT III реализован пока только в NetWare SFT III v3.11;Требование-6. Средства защиты информации встроены в NetWare на базовых уровнях операционной системы, а не являются надстройкой в виде какого-либо приложения. Поскольку NetWare использует на файл-сервере особую структуру файлов, то пользователи не могут получить доступ к сетевым файлам, даже если они получат физический доступ к файл-серверу. В NetWare существуют механизмы защиты следующих уровней:защита информации о пользователе;защита паролем;защита каталогов;защита файлов;межсетевая защита.Требование-7. Существуют средства обнаружения нарушений защиты и блокировки действий нарушителя. Они извещают администратора о попытках несанкционированного доступа;Требование-8. Возможность блокировки процесса, устройства или пользователя совершающего НСД так же не реализована.ДОПОЛНИТЕЛЬНЫЕ ТРЕБОВАНИЯ:Требование-9. Встроенных средств стирания остаточной информации нет, для выполнения данного требования необходимо дополнительное ПО;Требование-10. Возможность ограничения числа попыток входа в систему отсутствует;Требование-11. В NetWare обеспечивает широкий набор функций по управлению сложной сетью, позволяющих контролировать доступ к файлам, каталогам, очередям, томам, генерировать разнообразные отчеты о событиях, происходящих в сети;Требование-12. С точки зрения эргономики ОС очень удобна благодаря внешне схожести пользовательского интерфейса с интерфейсом Windows. Командная строка при работе используется редко, поэтому нет необходимости знать большое число команд как в Unix-подобных системах.2.4 Обоснование и выбор защищенной операционной сетиИсходя из изложенного материала по данным операционным системам можно сделать вывод, что пока на сегодняшний день не создано полностью защищенной ОС. Да, есть серьезные системы с четкой политикой безопасности, разграничением доступа (это UNIX подобные ОС), но и они не без минусов. Вообще создать полностью защищенную операционную систему невозможно т.к всех "дыр" заранее не предусмотришь. С каждой минутой появляются новые пути атаки ОС, ранее неизвестные, обнаруживаются новые уязвимые места и т.д.Но если произвести выбор наиболее защищенной операционной системы из рассмотренных в данной работе, то бесспорно первое место держат UNIX подобные ОС, а именно МСВС 3.0 Все благодаря высокой стабильности работы, открытости кодов и четкой политике защиты и разграничения доступа к информации, одновременной реализации мандатной и дискреционной моделей. Кроме того, МСВС 3.0 единственная сертифицированная ОС для использования в военных организациях, но несмотря на это подавляющее большинство организаций отказываются от её использования в силу ряда недостатков. Минусом таких ОС является первоначальная непривычность и сложность в обращении, ведь здесь принципы построения и интерфейс совершенно другие по сравнению с Windows. В МСВС 3.0 есть строгий перечень поддерживаемого оборудования и драйверов, с которыми система может работать и которые считаются проверенными и безопасными.С учетом сказанного можно сделать важный вывод относительно того, что большинством современных универсальных ОС не выполняются в полном объеме требования к защите от НСД. Это значит, что они не могут применяться для защиты конфиденциальной информации без использования добавочных средств защиты. При этом основные проблемы защиты здесь вызваны не невыполнимостью ОС требований к отдельным механизмам защиты, а принципиальными причинами, обусловленными реализуемой в ОС концепцией защиты. Эта концепция основана на реализации распределенной схемы администрирования механизмов защиты, а не централизованной. Это само по себе является невыполнением требований к основным механизмам защиты.Таким образом, в данной работе был проведен краткий анализ возможностей разных ОС по защите информации от несанкционированного доступа и разграничению доступа.Исходя из возможностей рассмотренных ОС можно с уверенностью утверждать, что давно установившаяся монополия Windows ставится под вопрос. Сегодня все большее распространение и признание получают UNIX-подобные и другие ОС. Но особое внимание стоит уделять именно UNIX-подобным системам, т.к в них реализована четкая политика безопасности и разграничения доступа к информации, работают они намного стабильнее Windows, что не маловажно. И все же UNIX-подобные системы не получают достаточного развития потому, что принципиально отличаются от привычного нам Windows, а так же слишком сложны в обращении, требуют времени, усилий и настойчивости в освоении. Но начало в освоении и применении этих ОС в организациях, требующих обеспечение защиты их конфиденциальной информации, уже положено.
Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9
|
|
|
|
© 2003-2013
Рефераты бесплатно, курсовые, рефераты биология, большая бибилиотека рефератов, дипломы, научные работы, рефераты право, рефераты, рефераты скачать, рефераты литература, курсовые работы, реферат, доклады, рефераты медицина, рефераты на тему, сочинения, реферат бесплатно, рефераты авиация, рефераты психология, рефераты математика, рефераты кулинария, рефераты логистика, рефераты анатомия, рефераты маркетинг, рефераты релиния, рефераты социология, рефераты менеджемент. |
|
|
