- •1. Мета та завдання дисципліни, її місце в навчальному процесі
- •1.1. Мета викладання дисципліни
- •1.2. Завдання вивчення дисципліни
- •1.3. Перелік дисциплін, знання яких необхідні студенту для вивчення цієї дисципліни
- •1.4. Зміст дисципліни
- •1.4.1. Лекційні заняття 32 години
- •1.4.2. Лабораторні заняття 32 години
- •1.4.3. Практичні заняття 0 годин.
- •1.4.4. Самостійна робота 56 годин
- •1.4.5. Проведення заходів поточного та семестрового контролю
- •1.5. Навчально-методичні матеріали.
- •1.6. Огляд безпеки
- •2. Загальні відомості про права доступу
- •2.1.Функції системи розмежування доступу
- •2.2. Управління доступом. Основні поняття
- •3. Методи та пристрої забезпечення захисту і безпеки
- •3.1. Методи забезпечення інформаційної безпеки.
- •3.2. Інструментальні засоби аналізу захищеності інформаційних систем.
- •Intranet Scanner
- •Internet Scanner
- •4. Захист інформації
- •4.1 Загрози інформації
- •4.2 Аспекти захисту інформації
- •4.3 Види захисту інформації
- •4.4 Комплексна система захисту інформації
- •4.4.1 Технічний захист інформації
- •4.4.2 Тзі від нсд на прикладному і програмному рівні
- •4.4.3 Тзі від нсд на апаратному рівні
- •4.4.4 Тзі на мережевому рівні
- •4.5 Засоби та заходи тзі
- •4.6 Автентифікація
- •4.6.1 Механізм Автентифікації
- •4.6.3 Способи Автентифікації
- •Парольна
- •Біометрична
- •4.7 Етапи
- •Модель захисту інформаційного процесу
- •Шифрування даних
- •7. Управління відновленням
- •Відновлення інформації
- •Несправності, що призводять до втрати даних і необхідності відновлення інформації.
- •Помилки користувачів
- •Програмно-апаратні несправності
- •Фізичні пошкодження
- •Відновлення даних з usb-флешки (карти пам’яті)
- •8. Роль криптографічних методів і систем криптографічного захисту інформації в сучасному суспільстві
- •9. Механізми та протоколи керування ключами в івк інформаційної системи
- •9.1 Компоненти івк
- •9.2 Архітектури івк
- •10. Форми атак на об'єкти інформаційних систем
- •10.1 Форми атак
- •10.2 Атаки на рівні систем керування базами даних
- •10.3 Атаки на рівні операційної системи.
- •10.4 Криптоаналіз
- •10.4.1 Основні терміни
- •10.4.2Класифікація криптосистем
- •10.4.3 Вимоги до криптосистемами.
- •11. Алгоритми з секретним та відкритим ключем
- •12. Асиметричні (відкриті) криптосистеми
- •12.1 Криптографічний аналіз rsa-системи
- •13. Протоколи аутентифікації
- •13.1 Протоколи віддаленої аутентифікації
- •13.2 Аутентифікація на основі паролів.
- •13.3 Протокол рар.
- •13.4 Протокол s/Key.
- •13.5 Протокол снар.
- •13.6 Аутентифікація на основі цифрових сертифікатів.
- •13.7 Протоколи аутентифікації
- •14. Цифрові підпси
- •14.1 Звичайний і Електронний цифровий підпис
- •14.2 Переваги використання ецп
- •14.3 Електронна цифрова печатка
- •14.4 Призначення ецп
- •14.5 Вимоги до цифрового підпису
- •14.6 Прямий і арбітражний цифрові підписи
- •14.7 Алгоритми
- •14.8 Використання хеш-функцій
- •14.9 Симетрична схема
- •14.10 Асиметрична схема
- •15. Використання паролів і механізмів контролю за доступом
- •15.6 Права доступу до файлів в Unix-системах.
- •15.7 Мережевий доступ до Windows xp Pro
- •16. Питання безпеки та брандмауери
15. Використання паролів і механізмів контролю за доступом
15.1. Захист на базі VLAN
Це простий варіант організації віртуальної LAN (локальної мережі - ЛМ). Використання VLAN забезпечує найвищий рівень керованості й безпеки. Пристрої зв'язуються у віртуальні мережі на основі портів комутатора, до яких ці пристрої фізично підключені. Пакети від абонента не виходять за межі відповідної VLAN і є повністю захищеними від небажаного втручання.
15.2. Захист на базі фіксування MAC-адрес
Фіксування MАС-адрес надає можливість "прив'язати" MАС-адресу до окремого порта комутатора, до якого під'єднане абонентське обладнання. Для одержання доступу до мережі абонентський пристрій повинен мати MAC-адресу, відомий комутатору.
15.3. Захист на мережевому рівні
Віртуальні ЛМ мережевого рівня (VPN) дозволяють об'єднати віддалені офіси в єдину захищену корпоративну мережу з повним спектром телекомунікаційних послуг і з гарантованим якісним обслуговуванням. Для захисту віртуальної ЛМ використовують стійкі до взлому алгоритми криптування.
15.4. Аутентифікація сервером RADіUS
Для керування доступом у мережі клієнт взаємодіє із сервером RADіUS. При цьому клієнт повинен ввести свої: системне ім'я і пароль. У такий спосіб аутентифікується сам кліент мережі, а не його пристрій, що дозволяє забезпечувати мобільність клієнтів і вирішує проблему з можливим розкриттям загального ключа у випадку крадіжки чи втрати клієнтського пристрою. Використання складних паролів із сервером RADіUS забезпечує досить високий рівень електронної безпеки.
15.5. FireWall
До переліку методів захисту варто додати міжмережевий екран (брандмауер або FireWall). За його допомогою реалізується захист на протокольному рівні. Таким чином абонент, який знаходиться за FireWall-ом, є належним чином захищеним від небезпечної активності в Інтернеті (віруси, атаки зловмисників). FireWall також може бути встановлений і на стороні абонента.
На сьогоднішній день у зв’язку з розвитком мережевих та Інтернет технологій, коли все більша кількість, як простий, так і критично важливою інформації людина довіряє комп’ютерів і мережі, особливої актуальності набуває проблема безпеки в комп’ютерному світі. Багато хто вже помітили, що поки комп’ютери не були об’єднані в мережу, про безпеку ходили лише чутки.
У першому випадку, якщо ваша мережа, наприклад, побудована на основі систем Windows NT і Windows 95, ваш співробітник-шпигун протягом двох-трьох діб елементарними загальнодоступними засобами зламає всю вашу з великої літери корпоративну мережу, включаючи паролі адміністраторів та інших працівників і далеко не в одиничному екземплярі. Після вдалого декодування паролів, а пароль нашого помічника адміністратора з чотирьох символів розшифровувався за лічені частки секунди, зловмисник отримає доступ до всіх без обмеження інформаційних ресурсів вашої мережі, включаючи бухгалтерію, облік кадрів, звіти та іншу недоступну для нього раніше інформацію.
У другому випадку, якщо ви, наприклад, маєте комутований доступ до постачальнику послуг мережі Інтернет, або якщо ви адміністратор локальної мережі в освітньої організації, студент настільки ж елементарними і загальнодоступними засобами вкраде ваш пароль. В результаті ви будете втрачати кровні зароблені гроші і не зможете додзвонюватися до постачальника послуг Інтернет або під загрозою опиняться довгі години, дні, а може і місяці роботи інших студентів чи викладачів.
Багато зустрічали оголошення в комп’ютерній газеті з заголовками типу “Продам пароль …” і, на основі цього, будували різні припущення. На Насправді все виявляється настільки просто, що вкрасти чужий пароль зможе навіть тямущий школяр на одному з перших занять з інформатики.
Перш ніж читати далі, слід врахувати, що всі матеріали в сьогоденні документі представлені тільки з метою інформації і не є яким би то не було спонуканням до дії або бездіяльності. Автор статті в будь-якому випадку не несе відповідальності ні перед ким, за якої б то не було прямої, непрямий, фактичний або непрямий збиток, отриманий в результаті використання цього матеріалу і матеріалів, на які зроблені посилання в даній статті.
Для початку розглянемо різні види контролю доступу за паролем для того, щоб пізніше зрозуміти, наскільки прості методи крадіжки паролів. Серед сучасних комп’ютерних технологій існують кілька видів контролю доступу за паролем або ключу, які з технічних методів можна розділити на три основні види.
Для всіх видів характерно, коли, при початку роботи з інформаційним ресурсом, під час запиту доступу до нього, програмним забезпеченням у користувача в діалоговій формі запитується введення пароля з пристрою введення або клавіатури. Під час введення пароля в найбільш відсталих, з технологічної точки зору, програмах пароль відображається на екрані прямим текстом, в більш просунутому програмному забезпеченні він ховається символами замінниками, наприклад, зірочками, або не відображається зовсім. До паролю зазвичай додається ім’я користувача або найменування системного профілю (Рахунки) користувача. На деяких системах імені користувача не вимагається, але такі системи вже застаріли. Подібний алгоритм використовується тепер в основному тільки при захисті ліцензійного програмного забезпечення від копіювання, наприклад, серійні номери.
Отже, перший вид контролю доступу, коли отриманий пароль відправляється або пересилається через мережу або програмі клієнту у вигляді чистого тексту. Такий вид контролю, наприклад, використовується, в таких програмах як TELNET, FTP, POP3, IMAP та інших, в основному програмах низького рівня зв’язку. Злом тут не потрібно зовсім і крадіжка таких паролів не вимагає ніяких хитрощів.
Другий вид контролю доступу, коли отриманий пароль пересилається на сервер у зашифрованому вигляді. Такий вид контролю доступу використовують, наприклад, Windows NT, Windows 95 і інші. Зокрема додатковими прикладами можуть послужити види контролю доступу до ресурсів серверів WWW у Інтернет. У цьому випадку доведеться пошукати кошти для злому і розшифровки паролів, який можуть зайняти час, хоча і не настільки тривалий, як це описують в рекламі.
Існує ще й третій вид контролю доступу, коли пароль є доповненням до багаторівневої системи безпеки на основі сертифікатів (Прості і багаторівневі). Природно, що сертифікати, як і сам пароль, передаються в зашифрованому вигляді. Таких систем досить багато. З однією з таких систем Я постійно маю справу з обов’язку служби. Це сімейство продуктів фірми Lotus – Notes / Domino. Система Notes / Domino (тип клієнт-сервер) використовує ієрархічну структуру сертифікатів, і відповідає специфікації стандарту безпеки C2. При встановленні з’єднання з такою системою перевіряється не тільки пароль, але і проводиться пошук однакових сертифікатів. Після цього ви отримуєте доступ тільки до тих ресурсів, які відповідають цьому сертифікату або сертифікату, що знаходиться на більш низькому рівні.
Існують також види контролю доступу, які є комбінаціями простіших видів контролю доступу і засновані на трьох описаних вище і інших методах.
При крадіжці пароля і зломі мережі зловмисники також як і адміністратори при захисті мереж повинні обов’язково враховувати фактор операційних систем. Цей фактор полягає в тому, що за допомогою імені користувача та пароль, які призначені для доступу до одного інформаційного ресурсу, можна також отримати доступ до самої операційної системі та інших інформаційних ресурсів. Прикладом може служити одержання електронної пошти по протоколу POP3. В результаті за допомогою перехопленого поштового пароля можна отримати доступ до інших інформаційних ресурсів. Саме з цієї причини у таких грамотних постачальників послуг мережі Інтернет, як, наприклад, Відкритий Контакт, використовуються різні паролі на доступ до комутованому з’єднанню і поштовою скринькою. Далі я буду мати на увазі під Windows системами Windows 95, Windows 98 і Windows NT, а під UNIX системами ті, з якими я працював або працюю в даний час, а це такі системи як Linux, AIX, Solaris та FreeBSD.
Тепер розглянемо методи крадіжки паролів. Як всім відомо, самий простий спосіб крадіжки паролів це просте підглядання. Крім підглядання ще існує кілька найпростіших методів крадіжки паролів і різних їх комбінацій. За технікою виконання методи крадіжки паролів можна розділити на: підглядання, перехоплення і метод троянського коня. Минулий метод також входить використання так званих програм “exploit”, що в перекладі з англійської означає “розробляти копальні”. Природно ми виключили метод риття в сміттєвих корзинах, оскільки на папір паролі записують тільки воістину дурні, і метод підслуховування стуку клавіатури, оскільки не всі мають дуже хорошим слухом і великим досвідом використання клавіатури.
Перший метод на перший погляд простий, але з прогресом техніки і людського розуму деякі шкідливі програмісти придумали ховати паролі під зірочками та іншими символами, що ускладнило завдання хакерів, а й хакери виявилися на висоті. Тепер хакери крім очей використовують спеціалізоване програмне обеспечение. Це програмне забезпечення в стані записати пароль на доступ до Інтернет в файл і відіслати його по електронною поштою. При цьому пароль “підглядає” такою програмою прямо в віконці для введення пароля під зірочками, прочитавши пароль безпосередньо з пам’яті. Зокрема достатньо поширена і відома програма HOOKDUMP, як написано в інструкції, призначена для запису всього, що набрано на клавіатурі, у файл, визначає назва вікна і програми, де набирається текст, і є оптимальною для стеження та визначення чужих паролів під управлінням операційних систем Windows. Для UNIX систем також існують аналогічні засоби.
Другий метод теж простий для тих, хто знайомий хоча б теоретично з теорією комп’ютерних мереж та мережевих протоколів пакетного типу. В основі цього протоколу лежить спосіб передачі інформації по ентропії мережі. У мережі Token Ring, наприклад, за замовчуванням інформація переходить безпосередньо від клієнта до сервера, в мережі Ethernet інформація в момент передачі від клієнта до серверу проходить по всім мережевим інтерфейсам, в мережі Інтернет, що складається з безлічі мереж з різними топологіями, інформація передається від клієнта до серверу минувши ланцюжок проміжних вузлів. Але є і виключення, наприклад, при передачі інформації по Token Ring до інших кілець, при передачі інформації з мережі Ethernet через хороші і дуже дорогі “розумні” пристрої маршрутизації, при пересиланні інформації з мережі Інтернет до найближчого вузла. У будь-якому випадку інформацію у вигляді пакетів даних можуть перехоплювати проміжні вузли у вигляді мостів, комутаторів, маршрутизаторів і клієнтів мережі Ethernet. Особливо вразливою у цьому плані є мережа Ethernet, навіть при використанні сполук на основі мережних пристроїв, кручений пари і оптико-волоконних перетворювачів. Таким чином, спеціальне програмне забезпечення, яке використовують хакери, в змозі відслідковувати і перехоплювати як прості паролі у вигляді гладкого тексту, так і паролі в зашифрованому вигляді. В основному такі програми написані для Linux і Solaris, але оскільки C / C + + мова переносимий компілюються практично на будь-якій UNIX системі. Для Windows таких програм трохи і однією з найвідоміших є спочатку написана для Solaris програма під назвою L0phtCrack. Програма L0phtCrack особливо небезпечна, оскільки, навіть при використанні розумною мережної апаратури, залишається можливість перехоплення паролів при зчитуванні файлів по мережі, наприклад, адміністратором з локального жорсткого диска комп’ютера, на якому встановлена програма L0phtCrack. При роботі в звичайному Ethernet L0phtCrack в змозі не тільки красти зашифрований пароль Windows з реєстру, а й перехоплювати паролі інших користувачів при їх вході в систему, oepeohq {b `mhh фалів по мережі і мережевого друку. Для розшифровки Windows паролів L0phtCrack потрібні лише лічені частки секунди. Також L0phtCrack здійснює так звану атаку грубої сили, в перекладі від brute force attack, коли пароль Windows зламується методом підбору. Для UNIX систем таким засобом є, наприклад, дуже відома програма LINUX SNIFFER, яка перехоплює паролі під час їх введення користувачами при з’єднаннях через TELNET, FTP, POP3, IMAP, WWW BASIC AUTHENTICATION і багатьом іншим протоколам. Це означає, що пароль для доступу до відомого платного ресурсу з фінансової інформації http://www.finance.minsk.by/, а також до інших інформаційних ресурсів для дилерів відомих російських компаній може бути легко перехоплений при втраті обережності.
Третій спосіб обговорювати не буду, так як більшість стандартів стосуються третього способу є закритими, можливо, тільки крім Pretty Good Privacy (PGP). Також більшість систем такого роду мають параноїдальну систему захисту на базі багаторівневого шифрування на основі симетричних і несиметричних ключів, сертифікатів, електронного підпису та паролів. Наприклад, до цих пір жоден сервер на базі Lotus Domino Server НЕ був зламаний хакерами.
Перейдемо до теми захисту від крадіжки паролів. Для того щоб ваш пароль ніхто не дізнався, і він залишився з вами навіть в могилі необхідно слідувати правилам і принципам, які описані нижче, і намагатися прищепити ці правила і принципи так, щоб, вони були у вас в крові.
Перший принцип, один з головних в тому, що ви повинні встановити паролі на все що можна. Це можуть бути паролі на доступ до установок BIOS, на включення, комп’ютера, на жорсткий диск, на Інтернет, на пошту, на програму заставки, на кожен окремий вхід в систему і на багато інших речей, включаючи мережеві пристрої. Пароль повинен бути не менше восьми символів і бути складений з великих, малих, спеціальних і цифрових символів одночасно. На кожне окремо взяте пристрій, системний рахунок або інший ресурс необхідно встановити неоднакові і несхожі паролі, не є синонімами або паліндромом, а також простими словосполученнями або словами. До речі, при використанні PGP навіть при перехопленні вашої пошти злодії не зможуть її прочитати, не маючи вашого ключа, який при отриманні вашого пароля на ваш комп’ютер можна легко впізнати.
Стати параноїком щодо комп’ютерної безпеки, навіть якщо пізніше доведеться лікуватися, і міняйте всі паролі як мінімум щотижня. Змінюйте всі паролі негайно при найменшому порушенні наведених принципів.
Ніде, ніколи і ні за яких умов не записуйте свій пароль на папір, не гравірують його на годиннику, кришці столу і так далі. У випадку ж необхідності замкніть пароль в самий надійний сейф в межах будинку вашої фірми, не довіряючи сейфу банку.
Ніде, ніколи і ні за яких обставин не вводите свій пароль на чужому комп’ютері або робочої станції значно віддаленій від сервера по мережевої топології. Особливо якщо вас про це попросить людина, у якої доступу до інформаційного ресурсу немає або доступ більш обмежений, ніж ваш.
Якщо користуєтеся послугами постачальника послуг Інтернет і, наприклад, оновлюєте свій сервер WWW через FTP, то робите оновлення категорично тільки через пряме постійне або комутоване з’єднання з сервером постачальника послуг. Це також відноситься до зміни паролів, отриманню електронної пошти та іншим захищеним паролем службам Інтернет.
Огляд систем доступу в Unix- та Windows-подібних системах