Главная » Просмотр файлов » В.П. Мельников и др. - Информационная безопасность и защита информации

В.П. Мельников и др. - Информационная безопасность и защита информации (1022816), страница 62

Файл №1022816 В.П. Мельников и др. - Информационная безопасность и защита информации (В.П. Мельников и др. - Информационная безопасность и защита информации) 62 страницаВ.П. Мельников и др. - Информационная безопасность и защита информации (1022816) страница 622017-07-12СтудИзба
Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 62)

Однако если системный вызов ореп заканчивается неудачно в силу того, что пользователь запросил в системном вызове доступ на запись файла гип1х, не имея разрешения, то это действие классифицируется как событие «Отказ доступа» для дан- 270 ного пользователя и объекта /цшх. Следовательно, системный вызов можно отобразить в несколько типов событий в зависимости от объекта, к которому осуществляется доступ, и (или) результата вызова. Олнако следует иметь в вилу, что при включении всех событий контроля и активной работе пользователей объем записываемой информации может достигать нескольких мегабайт на одного пользователя в час.

При построении защиты процессов переработки информации на уровне сети существуют свои особенности. Во-первых, в силу возможности перехвата пакетов и передачи отдельными видами сервисов паролей в открытом виде существует необходимость дополнительной аутентификации пользователей. Во-вторых, возникает необходимость аутентификации удаленных машин. В-третьих, необходимы дополнительные срелства контроля (аиййпй) за событиями, которые возникают при работе на сетевом уровне. Необходимо констатировать, что на сетевом уровне Ь)пих не обладает столь мощными стандартными средствами зашиты, как на системном.

Поэтому, учитывая условия неоднородности сетевого окружения как на физическом, так и на системном уровнях, лля успешной защиты 13Х1Х-систем при работе в сети, как правило, требуются лополнительные средства защиты. Данный раздел посвящен описанию стандартных средств и метолов, с помощью которых можно повысить безопасность 1)Х!Х- систем при работе в сети и реализации различных функций: использования протоколов ТСР/1Р, сетевой файловой системы ХЕБ, ЕТР и т.д.

Основным недостатком семейства протоколов ТСР/1 Р с точки зрения зашиты информации является открытость информации, передаваемой по сети, т. е. сетевого графика. Анализ сетевого графика достигается путем перехвата и анализа пакетов обмена на канальном уровне. Это позволяет, во-первых, проанализировать работу ОС по сети; во-вторых, производить несанкционированный доступ к информации, передаваемой по сети. Например„анализ сетевого графика позволяет получить пароли пользователей при их работе с ГТР или се1пеп При этом ге!пег пересылает пароль по одному символу в пакете, а ЕТР— в одном пакете целый пароль. Недостатки, связанные с перехватом паролей по сети при удаленном доступе, в настоящее время вполне успешно решаются. Почти все производители БМХ-систем переработали серверные (иногда и клиентские) программы улаленного доступа. Принцип лоработки заключается в том, что на каждый сеанс связи устанавливается разовый пароль.

Различных реализаций этой идеи в настоящий момент достаточно много. 271 Однако, закрыв или обезопасив тем или иным способом перехват паролей, елинственной возможностью избавиться от перехвата всей остальной информации, передаваемой по сети, является шифрование графика. Приведем еше несколько известных недостатков в реализации зашиты семейства протоколов ТСР/1Р. Общеизвестно, что проблема назначения 1Р-адресов весьма серьезна. Если установить систему автоматического назначения 1Р-алресов, то появится большое количество сложностей при функционировании различных видов сервиса, связанных с !Р-адресом (например, ХГБ). Кроме того, упростятся попытки создания ложных серверов и рабочих станций.

Если назначать 1Р-адреса вручную, что более предпочтительно при построении защищенных систем, то возможны ошибки администрирования. При этом, как показали исследования, готовых средств выявления машин с одинаковыми или неправильными 1Р-адресами не существует, а функционирование машин с одинаковыми 1Р-адресами в сети непредсказуемо. Особенно данный факт будет критичен при построении на платформе Ь|пцх средств фильтрации или шифрования сетевого графика (межсетевых экранов). Общепринятым лаже в локальных 1Р-сетях является создание РХБ (Рогпа)п Хате Яузгегп)-серверов.

Это упрощает решение проблемы назначения 1Р-адресов и избавляет пользователей локальных станций от утомительного занятия записывания имен станций и соответствующих им 1Р-адресов в файле 1зозгк Кроме того, пользователь локальной станции не знает и не может знать все 1Р-адреса. Нормальное функционирование нескольких локальных сетей, а тем более глобальных, невозможно без ВХЯ-сервера.

Однако, как только возникает какое-либо соединение между рабочей станцией и сервером, необхолима реализация идентификации и аутентификации этой связи. В случае реализации 0ХЯ- сервера, видимо, считалось, что для обеспечения зашиты его функционирования достаточно средств протоколов семейства! Р. Идея реализации ложного РХБ-сервера достаточно проста— прослушивание по сети РХБ запроса и формирование ложного РХЯ-ответа.

При этом вместо искомого 1Р-адреса в ответе на запрос подставляется адрес ложного 1Р-сервера. Реализация этой идеи реальна по двум причинам. Во-первых, в силу существования определенной иерархии РХЯ- серверов (лля больших сетей она может быть весьма большой и неизвестной) время выполнения !)Х$-запроса может существенно превышать время обработки прослушанного запроса и посылки ответа ложным ОХЯ-сервером; Во-вторых, если первичный !)Х5-сервер не нашел искомого имени у себя, то он пересылает РХЯ-запрос следующему РХБ- серверу, и т.д. Для адресации в Ег)зегпег-сети используется протокол АКР, который позволяет установить взаимно-однозначное соответствие 1Р- и Ег)зегпег-адресов.

Идея подмены маршрутизатора основана на свойствах реализации протокола АКР. Любая рабочая станция, подключаясь к сети, рассылает широковещательный АКР-запрос для получения ЕГ)зегпег-адресов. Прослушивая сеть, ложный маршрутизатор выдает в сеть АКР ответ, в котором указывает свой Ег!зегпег-адрес. Известно, что можно написать соответствуюшие программы для сетевой карты для установки любого Ейегпег-адреса.

Реализация этой подмены возможна в силу того, что все станции, получившие АКР-запрос, сначала заносят Ег!зегпег-адрес рабочей станции в свои АКР-таблицы, а затем посылают ответ. В рамках межсетевого обшения в 13Х1Х-сетях применяют методологию доверительных отношений. Доверительные отношения представляют собой одно из самых удобных средств межсетевого общения в 1)МХ-сетях. Вместе с тем установление доверительных отношений в 131ч1Х-сетях приводит к полной их открытости. Существует два способа установления доверительных отношений в 1ЛЧ1Х-сетях. Первый способ — через создание файла /его/Ьозгз.ег)шн. В файле /егс/)зозгз.еошч прописываются имена компьютеров, пользователи которых могут входить на данную машину без ввода пароля при эквивалентности имен.

Это удобно для пользователей как при регистрации на других ИМ1Х-машинах в сети, так и при удаленном выполнении команд 1г!оя)п, гз)з и т.д.). Тем не менее это является большой брешью в зашите 1)Х!Х- систем, так как не составляет особого труда подменить доверенную машину, сформировав ложной машине соответствуюшие имя и 1Р- алрес. При круглосуточной работе сети это возможно при сбоях или отключении от сети ловеренной машины. В противном случае доверенной машиной станет та, которая будет подключена первой. Второй способ — создание каждым пользователем всвоем ломашнем справочнике файла .гпозгз. В этом файле пользователь может прописать имена доверенных машин, с которых он может входить на данную машину или выполнять удаленные команды без ввода пароля. Угрозы безопасности от создания файлов .гпозгз аналогичны с той лишь разницей, что количество файлов .гпозгз может быть весьма значительным и трудно будет проконтролировать их содержимое.

Особое положение занимает технология работы 13Х1Х с сетевой файловой системой, Сетевая файловая система (ХГБ — ХеПног1с Р11е Бузгеш) предназначена для «прозрачного» доступа пользователей к файловым системам 1ЛМ1Х-машин по сети. 273 Эта удобная возможность имеет несколько недостатков с точки зрения безопасности. Администратор может сделать доступными ваши файлы, не спрашивая вас. Рассмотрим некоторые аспекты обеспечения безопасности при использовании ХРЯ. Файл /его/ехроп1в является одним из основных файлов в конфигурации ХРВ. В этом файле описываются экспортируемые (доступные) по сети каталоги.

Для каждого имени каталога могут быть указаны дополнительные ограничения на доступ: 1) имена машин (< 1О), с которых может осуществляться доступ; 2) флаг только чтения; 3) специальное ключевое слово «гооь>, которое позволяет с указанных после него имен машин осуществлятьлоступ к экспортируемому справочнику суперпользователю.

Дело в том, что лля )ч)РК суперпользователь является последним по правам доступа среди всех пользователей. Это, видимо, связано с попыткой ограничения работы суперпользователей в сети. Существенным недостатком )ч)РБ с точки зрения безопасности является возможность администратора предоставить доступ по сети к любому справочнику файловой системы независимо от его владельца. Если хоть один справочник смонтирован на запись, то это в любой момент может привести к неконтролируемому переполнению файловой системы. Это может закончиться плачевно для системыы, так как в руководстве по любой ОС 1)Х1Х не рекомендуется заполнять файловую систему больше чем на 90 ... 95%. Данное требование вполне объяснимо, учитывая такие особенности построения 1))ч)1Х-систем, как широкое использование потоков, программных каналов, именованных программных каналов, пол которые требуются временные и специальные файлы в рабочих справочниках.

И, наконец, никем не контролируемое чтение экспортированных справочников любым пользователем сети не может рассматриваться как положительное явление при построении безопасных систем. По крайней мере, одна из систем анализа безопасности Вагап считает, что экспортирование хоть одного справочника даже на чтение является «дыркой». Интерес также представляют технические роботы 1ЛМ1Х с протоколами передачи файлов. Протокол передачи файлов (ГТР— Р11е Тгапв1ег Ргогосо!) позволяет пользователям обмениваться файлами с помощью сети со скоростью, существенно превышающей МРБ.

Характеристики

Список файлов книги

Свежие статьи
Популярно сейчас
Зачем заказывать выполнение своего задания, если оно уже было выполнено много много раз? Его можно просто купить или даже скачать бесплатно на СтудИзбе. Найдите нужный учебный материал у нас!
Ответы на популярные вопросы
Да! Наши авторы собирают и выкладывают те работы, которые сдаются в Вашем учебном заведении ежегодно и уже проверены преподавателями.
Да! У нас любой человек может выложить любую учебную работу и зарабатывать на её продажах! Но каждый учебный материал публикуется только после тщательной проверки администрацией.
Вернём деньги! А если быть более точными, то автору даётся немного времени на исправление, а если не исправит или выйдет время, то вернём деньги в полном объёме!
Да! На равне с готовыми студенческими работами у нас продаются услуги. Цены на услуги видны сразу, то есть Вам нужно только указать параметры и сразу можно оплачивать.
Отзывы студентов
Ставлю 10/10
Все нравится, очень удобный сайт, помогает в учебе. Кроме этого, можно заработать самому, выставляя готовые учебные материалы на продажу здесь. Рейтинги и отзывы на преподавателей очень помогают сориентироваться в начале нового семестра. Спасибо за такую функцию. Ставлю максимальную оценку.
Лучшая платформа для успешной сдачи сессии
Познакомился со СтудИзбой благодаря своему другу, очень нравится интерфейс, количество доступных файлов, цена, в общем, все прекрасно. Даже сам продаю какие-то свои работы.
Студизба ван лав ❤
Очень офигенный сайт для студентов. Много полезных учебных материалов. Пользуюсь студизбой с октября 2021 года. Серьёзных нареканий нет. Хотелось бы, что бы ввели подписочную модель и сделали материалы дешевле 300 рублей в рамках подписки бесплатными.
Отличный сайт
Лично меня всё устраивает - и покупка, и продажа; и цены, и возможность предпросмотра куска файла, и обилие бесплатных файлов (в подборках по авторам, читай, ВУЗам и факультетам). Есть определённые баги, но всё решаемо, да и администраторы реагируют в течение суток.
Маленький отзыв о большом помощнике!
Студизба спасает в те моменты, когда сроки горят, а работ накопилось достаточно. Довольно удобный сайт с простой навигацией и огромным количеством материалов.
Студ. Изба как крупнейший сборник работ для студентов
Тут дофига бывает всего полезного. Печально, что бывают предметы по которым даже одного бесплатного решения нет, но это скорее вопрос к студентам. В остальном всё здорово.
Спасательный островок
Если уже не успеваешь разобраться или застрял на каком-то задание поможет тебе быстро и недорого решить твою проблему.
Всё и так отлично
Всё очень удобно. Особенно круто, что есть система бонусов и можно выводить остатки денег. Очень много качественных бесплатных файлов.
Отзыв о системе "Студизба"
Отличная платформа для распространения работ, востребованных студентами. Хорошо налаженная и качественная работа сайта, огромная база заданий и аудитория.
Отличный помощник
Отличный сайт с кучей полезных файлов, позволяющий найти много методичек / учебников / отзывов о вузах и преподователях.
Отлично помогает студентам в любой момент для решения трудных и незамедлительных задач
Хотелось бы больше конкретной информации о преподавателях. А так в принципе хороший сайт, всегда им пользуюсь и ни разу не было желания прекратить. Хороший сайт для помощи студентам, удобный и приятный интерфейс. Из недостатков можно выделить только отсутствия небольшого количества файлов.
Спасибо за шикарный сайт
Великолепный сайт на котором студент за не большие деньги может найти помощь с дз, проектами курсовыми, лабораторными, а также узнать отзывы на преподавателей и бесплатно скачать пособия.
Популярные преподаватели
Добавляйте материалы
и зарабатывайте!
Продажи идут автоматически
6439
Авторов
на СтудИзбе
306
Средний доход
с одного платного файла
Обучение Подробнее