|
Разработка предложения по защите информации от несанкционированного доступа в сетях ЭВМ объединения ВВС и ПВО
егистры границ памяти (устанавливают нижний и верхний адрес оперативной памяти для программы);"замки" защиты блоков памяти фиксированного размера в оперативной памяти (выполняемая программа заносит свой "ключ" в специальный регистр, каждая выборка и запись в оперативную память контролируется аппаратными средствами на подтверждение того, что ключ соответствует замку);сегментация памяти (использование дескрипторов для описания единиц данных в оперативной памяти. Каждый дескриптор содержит начальный адрес сегмента, его длину и указатели, определяющие вид доступа к данным этого сегмента);страничная организация памяти (каждой программе пользователя ставится в соответствие таблица страниц, отображающая виртуальные и физические адреса. Обычно защита страничной организации памяти реализуется через сегментацию).В устройствах ввода-вывода для защиты обычно используют регистры адресов и идентификаторов, регистры границ выделенной устройству памяти, регистры контроля уровня секретности канала связи, схемы контроля номера канала и т.д. Аппаратные средства защиты включают и вспомогательные устройства уничтожения информации на магнитных носителях, устройства сигнализации о нарушении регистров границ памяти.Простым примером необходимости применения аппаратных средств защиты являются недостатки использования встроенных программных средств управления защитой компьютера - BIOS. Это следующие недостатки:1. в ряде программ BIOS возможно применение встроенных (инженерных) паролей, ввод которых, вне зависимости от установленного пароля, позволяет получить доступ к настройкам способа загрузки ОС;2. с помощью специальных приёмов (отсоединение батарейки) настройки BIOS могут быть сброшены в исходное состояние, в котором по умолчанию задана критичная с точки зрения защиты системы очередность загрузки: в первую очередь загрузка производится с дисковода.Поэтому для преодоления недостатков встроенных средств защиты BIOS необходимо использование аппаратных компонент (в частности, "Электронных замков и ключей"). Эти компоненты выполнены в виде специальных плат, устанавливаемых в свободный слот или порт компьютера в состав которых входит программно-аппаратное средство расширения функций BIOS. В большинстве "Электронных замков" реализуется отключение внешних устройств на аппаратном уровне. Таким образом дисковод, CD-ROM и иные устройства ввода отключаются аппаратно. На них либо не подается питание, либо физически разорвана шина данных. Подключаются устройства внешним сигналом после завершения авторизации пользователя.При построении ЛВС военных организаций необходимо использовать специальные электронные ключи, дающие возможность контроля жестких дисков и сетевых плат рабочих станций, входящих в состав сети. Данные ключи вставляются в свободный COM или LPT. При помощи специальной программы с установочной дискеты в соответствие с ключом генерируется специальный код, который присваивается конкретной сетевой карте и жесткому диску данного компьютера и записывается в загрузочный сектор жесткого диска.При загрузке системы вначале запрашивается пароль электронного ключа, и только потом управление загрузкой передается BIOS и ОС (кроме этого в BIOS можно тоже поставить пароль на загрузку системы, что в совокупности с ключом и ОС дает трехуровневую систему авторизации). Применение таких ключей предотвращает возможность подмены жесткого диска и сетевой платы конкретного компьютера с целью НСД, т.к генерируемый программой код является уникальным для ключа, платы и диска каждого компьютера и не дает загрузится системе в случае подмены диска, платы или ключа. Так аппаратными средствами достигается наиболее эффективная защита.Но установкой только дополнительных плат защита не ограничивается. Ведь их можно так же легко удалить, имея физический доступ к компьютеру. А сделать это можно, только сняв предварительно крышку корпуса с системного блока компьютера. Противодействовать таким действиям можно используя опечатывание корпуса или реализацию объектовой защиты - пропускной режим.Применение организационных мероприятий существенно повышает защищенность объекта, но важнее защитить аппаратуру от несанкционированного вскрытия с целью удаления. Необходимо использовать метод защиты, основанный на использовании датчиков несанкционированного вскрытия корпусов защищаемых компьютеров в качестве дополнительного средства защиты системы. Вся сеть должна состоять из датчиков вскрытия аппаратуры, цепи сбора сигналов и рабочего места центрального контроля (сервера безопасности). В качестве датчиков можно использовать контактные датчики, фиксирующие открывание корпусов системных блоков.Известно, что при использовании витой пары для прокладки вычислительной сети (например, в стандарте 10 BASE-T) используются четыре из восьми линий связи для обмена информацией. Еще четыре провода остаются свободными и их надо использованы для построения системы контроля вскрытия аппаратуры.Идея рассматриваемого механизма защиты состоит в следующем. К концентратору подключается дополнительное устройство, подающее напряжение в контур, замыкаемый через выключатель контура, который помещается в защищаемом компьютере. В случае снятии крышки компьютера (либо выдергивании витой пары канала связи из розетки компьютера) размыкается контур и устройство отключает компьютер от ресурсов ЛВС. Использование незадействованных в передаче данных проводов также не создает помехи передачи данных, что не уменьшает производительности сети в целом. Пример такой сети представлен на рисунке.Рис.2. Схема контроля вскрытия аппаратурыКроме всего необходимо при построении сети по возможности использовать маршрутизаторы, мосты, коммутаторы и концентраторы. Особенно если ЛВС состоит из отдельных сегментов, или необходимо организовать выход во внешнюю сеть. Все в зависимости от размеров и требований к степени защищенности сети.Использование этих устройств дает возможность элементарной защиты передаваемой информации: блокировки некоторых портов без применения межсетевого экран, осуществления фильтрации трафика по различным условиям, в том числе и задаваемым пользователем, изолирования трафика одного сегмента сети от другого и т.п. Все эти устройства снижают коэффициент загрузки сегментов сети но и уменьшают возможности несанкционированного доступа благодаря исключению возможности прослушивания пакетов данных.Примером такой защиты сети может служить наиболее простой способ защиты в разделяемых средах, заложенный в концентратор. Нарушителю для прослушивания сети достаточно подключить свой компьютер к свободному разъему концентратора или вместо какого-либо другого компьютера. Для защиты от таких действий концентратор имеет возможность назначения разрешенных MAC-адресов конкретным своим портам. При попытке злоумышленника с незнакомым MAC-адресом подключить свой компьютер к концентратору производится фильтрация кадров, отключение порта и фиксация факта нарушения прав доступа. Т.о. этот способ может служить "ещё одним кирпичиком в крепкой стене безопасности ЛВС".Таким образом, перед решением задач обеспечения безопасности в сети необходимо разобраться в вопросе защиты информации. Для защиты с помощью дополнительного ПО очень важно прежде проанализировать возможные программные и аппаратные способы НСД и в соответствие с ними выработать предложение по защите теми или иными программными средствами. Кроме программных средств необходимо не забывать и аппаратные. Использование тех и других средств вместе повышает степень защищенности ЛВС.2. Анализ возможностей различных операционных систем по защите и разграничению доступа к информации и выбор наиболее защищенной2.1 Анализ руководящих документов в области защиты информацииТаким образом для создания полной системы защиты информации от НСД в сети необходимо точно и четко составить план защиты, предусмотреть все мелочи. Но для того, чтобы план и построенная на его основе система защиты отвечали требованиям к построению защиты, их надо строить на основе общепринятых документов.Основным документом при построении защиты является ГОСТР 50922-96 (защита информации). Установленные в стандарте термины расположены в систематизированном порядке и отражают систему понятий в данной области знания. Для каждого понятия установлен один стандартизованный термин.Определения можно при необходимости изменять, вводя в них производные признаки, раскрывая значения используемых в них терминов, указывая объекты, входящие в объем определяемого понятия. Изменения не должны нарушать объем и содержание понятий, определенных в данном стандарте.Данный стандарт устанавливает основные термины и определения понятий в области защиты информации. Термины, установленные этим стандартом, обязательны для применения во всех видах документации и литературы по защите информации, входящих в сферу работ по стандартизации и (или) использующих результаты этих работ.Существует и другой ГОСТ. (ГОСТ Р Сертификация средств защиты)Основными направлениями защиты которого являются:защита информации от технических средств разведки;защита информации от несанкционированного доступа к информации и/или ее носителю;защита информации от различных видов воздействий на информацию и/или ее носитель.Мероприятия по защите АС обеспечивают предупреждение возникновения факторов, воздействующих на информацию и/или ее носители, и блокирования каналов утечки информации и несанкционированного доступа к информации и ее носителям, соответствуют современному состоянию развития науки и техники и экономически оправданными.Основными направлениями и видами работ по обеспечению ЗИ при создании АС в защищенном исполнении являются:категорирование (класс защищенности) АС в зависимости от важности защищаемой информации, обрабатываемой в АС;обоснование требований по ЗИ в АС;разработка и осуществление мероприятий по ЗИ в АС;обоснование требований к проведению различных видов испытаний на соответствие требованиям по ЗИ;разработка документации по ЗИ в АС для всего жизненного цикла;проведение экспертизы различных видов документации АС с точки зрения и реализуемости требований по ЗИ;проведение сертификации средств защиты информации и компонентов АС на соответствие требованиям стандартов и/или иных нормативных документов по ЗИ;проведение аттестации АС в защищенном исполнении;контроль эффективности защиты информации на всех стадиях создания АС.К основным стандартам и нормативным техническим документам в области защиты информации от НСД относится комплект руководящих документов Гостехкомиссии России (1992 г), которые в соответствии с Законом "О стандартизации" можно отнести к отраслевым стандартам, в том числе "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности СВТ", "Автоматизированные системы. Защита от НДС к информации. Классификация АС и требования по защите информации", "Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от НСД в АС и СВТ".Кроме того есть типовая методика испытания безопасности информации. Настоящая методика определяет условия, порядок и объем проведения испытаний объектов информатики в соответствии с требованиями "Положения по аттестации объектов информатики по требованиям безопасности информации".Существует, например, и положение о сертификации средств защиты информации. Настоящее Положение устанавливает порядок сертификации средств защиты информации в Российской Федерации и ее учреждениях за рубежом. Технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации являются средствами защиты информации.Указанные средства подлежат обязательной сертификации, которая проводится в рамках систем сертификации средств защиты информации.2.2 Разработка требований к сетевым ОСИсходя из анализа руководящих документов, а также различных методов НСД к информации в ЛВС, для построения защищенной компьютерной сети объединения и предотвращения НСД к информации в ЛВС необходимо чтобы ОС соответствовали следующим требованиям:Сертификация для использования в определенных условиях (например, в военных учреждениях);Возможность идентификации, аутентификации и авторизации пользователя при входе в систему (при регистрации);Возможность создания учетных записей пользователей, рабочих групп с разными правами доступа и наделения конкретных пользователей определенными привилегиями;Криптографическое закрытие данных, хранимых на локальных машинах и передаваемых по каналам передачи данных;Защита от несанкционированных воздействий разного ПО и драйверов устройств, установленных на локальных компьютерах и других компьютерах сети, а так же возможность контроля целостности программного и информационного обеспечения (создание баз данных с первоначальной информацией о создаваемых, изменяемых файлах, установленном ПО и т.д.);Защита от злоумышленных действий пользователей;Возможность учета, регистрации, отображения и документирования фактов атак;Возможность блокирования процесса, устройства, пользователя, совершающего НСД;Возможность стирания остаточной информации из оперативной памяти и жесткого диска;Возможность ограничения числа попыток входа в систему;Одновременная реализация мандатной и дискреционной моделей доступа к информации;Выполнение эргономических требований.Требования с 1 по 8 являются основными, выполнение которых является обязательным при выборе защищенной ОС, а с 9 по 12 дополнительными (вспомогательными), выполнение которых желательно, но не обязательно.Таким образом анализ ОС необходимо проводить исходя из вышеперечисленных требований.2.3 Анализ сетевых ОС2.3.1 WindowsОБЯЗАТЕЛЬНЫЕ ТРЕБОВАНИЯ:Требование-1. Данная ОС не сертифицирована для использования в военных организациях, но довольно часто используется при построении ЛВС (а именно используется Windows NT);Требование-2. Операционные системы этого семейства имеют богатый набор средств защиты, основными из этих средств и методов обеспечения безопасности являются физическая защита и администрирование учетных записей. ОС поддерживают идентификацию, аутентификацию и авторизацию пользователя, разграничение прав доступа к ресурсам, в основе которого лежит реализация дискреционной модели доступа (отдельно к объектам файловой системы, к устройствам, к реестру ОС, к принтерам и др.). Однако для лучшей защиты компьютера необходимо использовать встроенные в BIOS возможности идентификации пользователя;Требование-3. ОС семейства Windows обладают широкими возможностями по созданию и изменению учетных записей пользователей и групп с разными правами. Значительную роль в обеспечении безопасности информации играет поддержка файловой системы NTFS, которая обеспечивает защиту файлов и каталогов при локальном доступе. При использовании NTFS управление доступом к файлам и каталогам возлагается не на администратора, а на владельца ресурса и контролируется системой безопасности. Однако ряд объектов доступа (в частности, устройства, реестр ОС и т.д.) не являются объектами файловой системы и к ним нельзя применить возможности файловой системы NTFS [15].Требование-4,5. ОС семейства Windows обладает развитыми средствами шифрования данных с открытым ключом. Кроме того, в Windows широко применяется шифрование при использовании цифровой подписи и сертификатов, которые позволяют пользователю убедиться в подлинности программного обеспечения и драйверов. Однако ОС семейства Windows не обладают в полном объеме возможностью контроля целостности файловой системы. Встроенные механизмы системы позволяют контролировать только собственные системные файлы, не обеспечивая контроль целостности файлов пользователя. Они не решают важнейшую задачу - контроль целостности программ (приложений) перед их запуском, контроль файлов данных пользователя и др.В ОС семейства Windows так же невозможно в общем случае обеспечить замкнутость (или целостность) программной среды (т.е. реализацию механизма, обеспечивающего возможность пользователям запускать только санкционированные программы). Причиной является невозможность задания списка разрешенных к запуску процессов с предоставлением возможности пользователям запускать процессы только из этого списка и невозможность разрешения запуска пользователями программ только из заданных каталогов при невозможности модернизации этих каталогов. Некорректность данного подхода связана с отсутствием возможности установки атрибута "исполнение" на устройства ввода (дисковод или CD-ROM). Что может привести к НСД.Есть возможность шифрования передаваемых по сети данных и установления обмена только зашифрованными данными. Так же следует заметить, что пароли не хранятся в текстовом виде. Они защищены процедурой хеширования. Но это не значит, что, не зная пароля в текстовом виде, невозможно проникнуть в систему. При сетевом подключении не обязательно знать текст пароля, достаточно хешированного пароля. Поэтому достаточно получить копию базы данных SAM, где хранятся пароли и извлечь из нее хешированный пароль;Требование-6. Средства защиты от злоумышленных действий пользователей существуют только в современных версиях Windows XP. Они обладают встроенными межсетевыми экранами, которые позволяют закрыть на компьютере слабые места и производят фильтрацию входной и выходной информации;Требование-7. Еще одним средством ОБИ в Windows является аудит. С его помощью можно отслеживать действия пользователей и ряд системных событий в сети.Фиксируются следующие параметры, касающиеся действий, совершаемых пользователями: выполненное действие; имя пользователя, выполнившего действие; дата и время выполнения. Эта информация помогает выявить нарушителя и пресечь в дальнейшем противоправные действия. Регистрация выдачи документов на "твердую копию", а также некоторые другие требования к регистрации событий и механизм управления доступом к гостам в полном объеме в ОС семейства Windows (NT/2000/XP) не обеспечивается;Требование-8. Возможность блокировки процесса или пользователя совершающего НСД не реализована.ДОПОЛНИТЕЛЬНЫЕ ТРЕБОВАНИЯ:Требование-9. Встроенные средства стирания остаточной информации отсутствуют. Информация из оперативной памяти стирается только при перезагрузке, а с жесткого диска вообще не стирается, что создает предпосылки для использования злоумышленником этой информации в своих целях. То есть невозможно встроенными средствами гарантированно удалять остаточную информацию;Требование-10. У администратора есть возможность ограничения числа попыток входа в систему и ряда других показателей с целью пресечь возможность подбора пароля;Требование-11. В ОС семейства Windows одновременно не реализованы мандатная и дискреционная модели доступа к информации. Не возможна в общем случае реализация централизованной схемы администрирования механизмов защиты или соответствующих формализованных требований; не в полном объеме реализуется дискреционная модель доступа (в частности, не могут разграничиваться права доступа для пользователя "Система");Требование-12. Возможности операционных систем по эргономическим требованиям очень высоки, т.к ОС семейства Windows обладают удобным и информативным пользовательским интерфейсом;Таким образом основными механизмами защиты, как уже был сказано, являются: идентификация, аутентификация, разграничение прав доступа и аудит. Явно выделяется возможность разграничений прав доступа к файловым объектам (для NTFS) - расширенные атрибуты доступа, устанавливаемые на различные иерархические объекты файловой системы (логические диски, каталоги, файлы). В полном объеме управлять доступом к разделяемым ресурсам возможно только при установленной на всей компьютерах ЛВС файловой системы NTFS. Иначе невозможно запретить запуск несанкционированной программы с удаленного компьютера, т.е. обеспечить замкнутость программной среды в этой части.Существуют принципиальные недостатки защиты ОС семейства Windows, напрямую связанные с возможностью НСД к информации. В ОС Windows невозможна в общем случае реализация централизованной схемы администрирования механизмов защиты, т.к принята иная концепция реализации разграничительной политики доступа к ресурсам (для NTFS). В рамках этой концепции разграничения для файла приоритетнее, чем для каталога, а в общем случае - разграничения для включаемого файлового объекта приоритетнее, чем для включающего. Это приводит к тому, что пользователь (которому назначил права доступа "владелец") может обратиться к файлу вне зависимости от установленных администратором атрибутов доступа на каталог, в котором пользователь (владелец) создал файл. Данная проблема непосредственно связана с реализуемой в ОС Windows концепцией защиты информации. Можно отметить еще один недостаток - это невозможность разграничить доступ к устройствам ввода "на исполнение", что позволяет пользователю запускать любые программы с внешних носителей.Что касается разделяемых сетевых ресурсов, то фильтрации подвергается только входящий доступ к разделяемому ресурсу, а запрос доступа на компьютере, с которого он осуществляется, фильтрации не подлежит. Это принципиально, т.к не могут подлежать фильтрации приложения, которыми пользователь осуществляет доступ к разделяемым ресурсам. Благодаря этому, очень распространенными являются атаки на протокол NETBIOS.2.3.2 UNIX - подобные ОС2.3.2.1 ОС UNIXПрежде всего, стоит отметить, что UNIX-подобные ОС значительно отличаются от ОС семейства Windows. Они распространяются свободно, имеют открытый код, что позволяет дорабатывать систему под себя. ОС позволяет разделять ресурсы компьютера с другими пользователями без уменьшения производительности благодаря использованию метода разделением времени.В UNIX используется многозадачное окружение, которое позволяет выполнять более одного задания в одно и тоже время. Весь процесс работы с файлами, программами и системой в целом представляет собой работу в командной строке, для чего необходимо знать огромное количество команд и хорошо в них ориентироваться. Это большой минус для пользователей, привыкших к работе в Windows.Причин уязвимости UNIX-система достаточно много и поэтому есть целесообразность рассмотреть основные из них, на которые приходится до 90% всех случаев вскрытия UNIX-хостов:Наличие демонов;Механизм SUID/SGID-процессов. (эти механизмы, являющиеся неотъемлемой частью идеологии UNIX, были и будут лакомым кусочком для хакеров, т.к в этом случае пользователь всегда взаимодействует с процессом, имеющим большие привилегии, чем у него самого, и поэтому любая ошибка или недоработка в нем автоматически ведет к возможности использования этих привилегий);Излишнее доверие (в UNIX достаточно много служб, использующих доверие, и они могут быть обмануты тем или иным способом);Человеческий фактор (наличия прав, никому не подконтрольного. Выходом является распределение прав суперпользователя среди несколькими администраторами).Существует несколько причин, по которым оказываются уязвимы демоны и SUID/SGID-процессы:возможность возникновения непредусмотренных ситуаций, связанных с ошибками или недоработками в программировании;наличие скрытых путей взаимодействия с программой, называемых "люками" (оставленная разработчиком недокументированная возможность взаимодействия с системой либо возникшая вследствие ошибки или остатков отладочного кода);возможность подмены субъектов и объектов различным образом.ОБЯЗАТЕЛЬНЫЕ ТРЕБОВАНИЯ.Требование-1. Данная ОС не сертифицирована для использования в военных организациях, но все больше приобретает популярность при построении ЛВС;Требование-2,3. Поскольку ОС UNIX с самого своего зарождения задумывалась как многопользовательская операционная система, в ней всегда была актуальна проблема идентификации, аутентификации и авторизации доступа различных пользователей к файлам файловой системы, т.е. проверка подлинности пользователя, наделение его правами доступа и привилегиями. Поэтому данные требования в UNIX выполняются в полном объеме. Схема авторизации доступа, примененная в ОС UNIX очень проста, удобна и одновременно мощна.Существует условная иерархия пользователей (уровни привилегий):Суперпользователь - неограниченные права.Обычный пользователь - права, ограниченные ему суперпользователем.Специальный пользователь - права, ограниченные ему суперпользователем для работы с конкретным приложением.Псевдопользователь - нет никаких прав, он вообще не идентифицируется системой.Все пользователи по отношению к файлу делятся на три категории: владелец, член группы владельца и все остальные. Определены также три вида доступа к файлу: чтение, запись и выполнение. Привилегии доступа к каждому файлу определяются для каждой из трех категорий пользователей и для каждой из трех операций доступа. Каждый файл содержит код защиты, который присваивается файлу при его создании. Код защиты располагается в индексном дескрипторе файла и содержит десять символов, причем первый символ определяет тип файла, а последующие девять - право на доступ к нему. Три вида операций и три категории доступа дают в совокупности девять возможных вариантов разрешений или запретов на доступ к файлу. Первые три символа определяют возможности чтения, записи и выполнения на уровне владельца, следующие три - на уровне группы, в которую входит владелец, и последние три - на уровне остальных пользователей [16, 17].Начальные значения прав доступа к файлу устанавливаются при его создании операционной системой и могут изменяться его владельцем или суперпользователем. Суперпользователь имеет неограниченные права (UID и GID у него равны специальному значению 0). Процесс, с которым связан нулевой идентификатор пользователя, считается привилегированным. Независимо от кода защиты файла привилегированный процесс имеет право доступа к файлу для чтения и записи. Если в коде защиты хотя бы одной категории пользователей (процессов) есть разрешение на выполнение файла, привилегированный процесс тоже имеет право выполнять этот файл.Обычный пользователь, имеет права на доступ в рамках своего идентификатора (UID) и членства в группе (GID) (в UNIX каждый пользователь в текущий момент может быть членом только одной группы, он имеет только один UID и один GID).Специальные пользователи обычно имеют зарезервированные имена (например, guest, bin, uucp, anonymous, и. т.д.) и номера UID и GID (например, они всегда меньшие 100). Специальный пользователь имеет еще меньшие права, чем обычный, им обычно нельзя зайти в систему нормальным образом.Условно к категории пользователей можно отнести человека, удаленно подключившегося к машине и взаимодействующего с одной из программ сервера. Они обычно стартуют при загрузке машины, чаще всего от имени суперпользователя и всегда активны как процессы. Это позволяет пользователю в любой момент времени удаленно подключаться к ним, но при этом он не имеет никаких прав на чтение/запись информации на компьютере, он вообще не идентифицируется системой UNIX. Однако может исполнять некоторые команды-запросы к тому домену, к которому он подключен.Последний тип пользователя является, чуть ли не самым важным для рассмотрения, т.к, не обладая никакими правами (от него не требуется аутентификация), он взаимодействует с программами, которые практически всегда имеют полномочия суперпользователя. Почти любой пользователь интернета всегда имеет привилегии уровня 3 на любом компьютере, а также, если поддерживается соответствующий сервис, привилегии уровня 2.UNIX обладает собственной файловой системой, которая поддерживает логическую организацию файла в виде последовательности байтов. По функциональному назначению различаются обычные файлы, каталоги и специальные файлы, содержащие соответственно системную и пользовательскую информацию, служебную информацию файловой системы, и специальную информацию. В каталог могут входить обычные, специальные файлы и каталоги более низкого уровня, специальный файл используется для унификации механизма доступа к файлам и внешним устройствам.В UNIX для файла существует три типа имени: краткое, полное и относительное. Файловая система имеет иерархическую структуру, в которой уровни создаются за счет каталогов, содержащих информацию о файлах более низкого уровня. Каталог самого верхнего уровня называется корневым, имеет имя root и располагается на системном диске, остальные файлы могут содержаться на разных дисках, но все они иерархически связаны. Иерархическая структура удобна для безопасной многопользовательской работы: каждый пользователь локализуется в своем каталоге или поддереве каталогов, и вместе с тем все файлы в системе логически связаны. Элементами файловой системы являются также все устройства, подключаемые к защищаемому компьютеру (монтируемые к файловой системе). Поэтому разграничение доступа к ним осуществляется через файловою систему.Вся необходимая операционной системе информация о файле, кроме его символьного имени, хранится в специальной системной таблице, называемой индексным дескриптором файла. Она содержит данные о типе файла, расположении на диске, размере в байтах, дате создания, последней модификации, обращению к файлу, привилегиях доступа и некоторую другую информацию. Индексные дескрипторы пронумерованы, хранятся в специальной области файловой системы и их номера является уникальными именами файлов.А все дисковое пространство файловой системы UNIX делится на четыре области: (рис.3)загрузочный блок, в котором хранится загрузчик операционной системы;суперблок - содержит самую общую информацию о файловой системе: размер файловой системы, размер области индексных дескрипторов, число индексных дескрипторов, список свободных блоков и список свободных индексных дескрипторов, и другую административную информацию;область индексных дескрипторов, порядок расположения индексных дескрипторов в которой соответствует их номерам;область данных, в которой расположены обычные файлы и файлы-каталогиРис.3. Расположение файловой системы на дискеДоступ к файлу осуществляется путем последовательного просмотра всей цепочки каталогов, входящих в полное имя файла, и соответствующих им индексных дескрипторов. Отсюда и значительный минус файловой системы. Получив права на доступ к одному файлу, злоумышленник автоматически получает права прочитать все по пути всей цепочки каталогов. Однако доступ к любому файлу производится через его дескриптор (положительное целое число).В UNIX для каждого процесса существует таблица всех портов, к которым он имеет доступ. Эта таблица хранится в ядре и пользователь не может получить к ней доступ. Процесс ссылается на порты, указывая номер их позиции в этой таблице, например, 1, 2 и так далее. Входы же таблицы содержат указатели на порты, определяют разрешенные над ними действия, и называются мандатами. Каждый процесс имеет только один список прав доступа. Права определяются по отношению к трем возможным операциям: получить, послать и послать один раз.Право получить дает возможность прочитать сообщение из порта. В любой момент только один процесс может иметь право получить порт. Таким образом, для каждого порта имеется только один потенциальный получатель.Мандат с правом послать позволяет отсылать сообщения определенному порту. Таким правом могут обладать многие процессы.Право послать один раз также позволяет отослать сообщение, но только однократно. Этот механизм используется для протоколов типа запрос-ответ.Имена прав доступа имеют действие только внутри процесса. Два процесса могут иметь доступ к одному и тому же порту, но использовать для этого разные имена. Список прав доступа привязан к определенному процессу. Когда этот процесс завершается или уничтожается, его список удаляется;Требование-4. Криптографическая защита применяется во всех современных ОС В UNIX информация о пароле пользователей храниться в файле passwd в зашифрованном виде. При первоначальном задании или изменении пользовательского пароля операционная система UNIX генерирует два случайных байта, к которым добавляются байты пароля. Полученная в результате байтовая строка шифруется при помощи специальной криптографической процедуры Crypt2 (в качестве ключа которой используется пароль пользователя) и в зашифрованном виде вместе с двумя случайными байтами записывается в файл /etc/passwd. Однако это не гарантирует полной защиты пароля. Если злоумышленник имеет доступ к парольному файлу операционной системы, то он может скопировать этот файл на свой компьютер и затем воспользоваться одной из программ для взлома парольной защиты UNIX. Для защиты хранимых данных в составе ОС Unix имеется специальная утилита crypt, которая читает данные со стандартного ввода, шифрует их и направляет на стандартный вывод. Шифрование применяется при необходимости предоставления абсолютного права владения файлом. Зашифрованный файл можно прочитать лишь по предъявлении пароля;Требование-5. Примечательно, что в ОС семейства UNIX, вследствие реализуемой ею концепции администрирования (не централизованной), невозможно обеспечить замкнутость (или целостность) программной среды, т.к невозможно установить атрибут "исполнение" на каталог (для каталога данный атрибут ограничивает возможность "обзора" содержимого). Поэтому при разграничении администратором доступа пользователей к каталогам, "владелец" создаваемого файла, может занести в свой каталог исполняемый файл и, как его "владелец", установить на файл атрибут "исполнение". Эта проблема непосредственно связана с реализуемой в ОС концепцией защиты информации.Необходимо также отметить, что большинство ОС данного семейства не обладают возможностью контроля целостности файловой системы, то есть не содержат соответствующих встроенных средств. В лучшем случае дополнительными утилитами может быть реализован контроль конфигурационных файлов ОС по расписанию, в то время, как важнейшей возможностью данного механизма надо считать контроль целостности программ (приложений) перед их запуском, контроль файлов данных пользователя и др.;Требование-6. Защита ОС семейства UNIX в общем случае базируется на трех основных механизмах: идентификации и аутентификация пользователя при входе в систему, разграничении прав доступа к файловой системе, регистрации событий (т.е. аудит). Поддерживается единообразный механизм контроля доступа к файлам и справочникам файловой системы. Любой процесс может получить доступ к некоторому файлу только в том случае, если права доступа, описанные при файле, соответствуют возможностям данного процесса. Защита файлов от несанкционированного доступа в ОС UNIX основывается на трех фактах.Во-первых, с любым процессом, создающим файл, ассоциирован некоторый уникальный в системе идентификатор пользователя (UID), который является идентификатором владельца вновь созданного файла.Во-вторых, с каждым процессом, пытающимся получить некоторый доступ к файлу, связана пара идентификаторов - текущие идентификаторы пользователя и его группы.В-третьих, каждому файлу однозначно соответствует его описатель - i-узел. Примечательно, что имена файлов и файлы как таковые - это не одно и то же. При наличии нескольких жестких связей с одним файлом несколько имен файла реально представляют один и тот же файл и ассоциированы с одним и тем же i-узлом. Любому используемому в файловой системе i-узлу всегда однозначно соответствует только один файл.I-узел содержит достаточно много разнообразной информации позволяющей файловой системе оценить правомочность доступа данного процесса к данному файлу в требуемом режиме. Информация i-узла включает UID и GID текущего владельца файла. Кроме того, в i-узле файла хранится шкала, в которой отмечено, что может делать с файлом его владелец, пользователи, входящие в ту же группу, что и владелец, и что могут делать с файлом остальные пользователи.Для пользователей можно устанавливать различные ограничения, такие как максимальный размер файла, максимальное число сегментов разделяемой памяти, максимально допустимое пространство на диске и т.д. Общие принципы защиты одинаковы для всех существующих вариантов системы;Требование-7. Возможность учета, регистрации, отображения и документирования фактов атак реализована посредствам аудита. Но не обеспечивается регистрация выдачи документов на "твердую копию", а также некоторые другие требования к регистрации событий;Требование-8. Возможность блокировки процесса, устройства или пользователя совершающего НСД так же не реализована.ДОПОЛНИТЕЛЬНЫЕ ТРЕБОВАНИЯ:Требование-9. В ОС семейства UNIX невозможно встроенными средствами гарантированно удалять остаточную информацию. Для этого в системе абсолютно отсутствуют соответствующие механизмы;Требование-10. Возможность ограничения числа попыток входа в систему отсутствует.Требование-11. В ОС UNIX реализована только дискреционная модель доступа, на основе которой производится разграничение прав доступа к информации. Однако реализуется она не в полном объёме, в частности не могут разграничиваться права доступа для суперпользователя (UID=0).Т. е. данный субъект доступа исключается из схемы управления доступом к ресурсам. Соответственно все запускаемые им процессы имеют неограниченный доступ к защищаемым ресурсам. Поэтому с этим недостатком системы защиты связано множество атак (большинство из которых основано на несанкционированном получение прав суперпользователя, запуске от его имени исполняемого файла);Требование-12. По эргономическим требованиям О.С. UNIX отстаёт от Windows. Основная причина в кардинальном отличии пользовательского интерфейса в UNIX, который основан на командной строке. Все действия производятся в командной строке, поэтому надо знать много команд, их параметров и хорошо в них ориентироваться, что проблемно для привыкших к Windows пользователей.2.3.2.2 Направления атак и типовые сценарии их осуществления в ОС UNIXПервоначальной целью хакера обычно являться несанкционированное получение привилегий высокого уровня (т.е. привилегий суперпользователя)Эту задачу он может решить различными путями: либо получить сразу требуемые привилегии, либо постепенно наращивать их. Поэтому для правильного администрирования ОС семейства UNIX необходимо знать типовые сценарии НСД:1. "Повышение привилегий". Имея привилегии уровня 3, хакер получает права суперпользователя. Такой прыжок возможен "благодаря" механизму программ-серверов UNIX, отвечающих за обработку удаленных запросов.Т. к. эти программы выполняются от имени суперпользователя, то все, что надо сделать хакерам - это знать "дыры" или ошибки в этих демонах, которые позволят эксплуатировать их запрещенным образом. Обычно это сводится к возможности удаленно выполнить от их имени любую команду на атакуемом хосте. Иногда это может быть создание ошибочной ситуации, приводящей к аварийному завершению программы с выдачей информации на диск, являющейся весьма полезную для хакера.Существует еще один способ повышения привилегий. Этот сценарий похож на описанный выше, только для хакера требуются начальные привилегии уровня 2. В этом случае злоумышленник всегда проходит некую идентификацию и, возможно, аутентификацию. Привилегии уровня 2 могут дать возможность хакеру читать некоторые файлы и, что самое главное, записывать свои файлы на чужой компьютер. А при регистрации пользователя на компьютере, в его файлах-протоколах остается некоторая информация о подключении. Типичным примером атаки по данному сценарию является атака, которая по протоколу tftp получает файл паролей /etc/passwd, и затем с его помощью подбираются пароли пользователей.Т. е. желаемые привилегии будут получены постепенно;
Страницы: 1, 2, 3
|
|