Бройдо В.Л., Ильина О.П. Архитектура ЭВМ и систем (2006) (1186249), страница 156
Текст из файла (страница 156)
Создавать, модифицировать учетные записи и управлять ими администратор может с помощью программы Пзег Мапаяег 1ог Поща1пз. При создании новой учетной записи администратор может определить следующие параметры: пароль и правила его модификации, локальные и глобальные группы, в которые входят: пользователь, профиль пользователя, имена рабочих станций, с которых он мо- 687 Брандмауэр как средство контроля межсетевого трвфнкв жет регистрироваться, рззрешенные часы работы, срок действия учетной записи и др.
Пароль играет одну из самых важных ролей при регистрации пользователя в сети, так как именно путем подбора пароля может происходить незаконный доступ к сетевым ресурсам. Поэтому тттшйотез ХТ/2000 содержит ряд мощных механизмов, связанных с паролем пользователя. Это: О уникальность пароля и хранение истории паролей; О максимальный срок действия, после которого пароль необходимо изменить; О минимальная длина и минимальный срок хранения пароля; О блокировка учетной записи при неудачной регистрации.
Учетные записи обычно объединяются в группы, так что администратор может оперировать правами большого числа пользователей с помощью одной учетной записи. Изменение в учетной записи группы приводит к автоматическому изменению учетных записей всех пользователей, входящих в эту группу. Полномочия (возможности) пользователя в системе определяются набором его прав. Права пользователей бывают стандартные и расширенные. К стандартным относятся такие права, как возможность изменять системное время, выполнять резервное копирование файлов, загружать драйверы устройств, изменять системную конфигурацию, выполнять выключение сервера и т. и. Расширенные права во многом являются специфичными для операционной системы или приложений.
Механизмы защиты Ю|пдотчз ХТ/2000 позволяют гибко ограничивать права пользователей или предоставлять им доступ к любым ресурсам системы. Права на доступ к файлам и каталогам определяют, может ли пользователь осуществлять к ним обращение, и если да, то как.
Владение файлом или каталогом позволяет пользователю изменять права на доступ к нему. Администратор может вступить во владение файлом или каталогом без согласия владельца. Предоставление прав на доступ к файлам и каталогам — основа защиты ттттпооткз ХТ/2000 и важнейшего механизма файловой системы ХТгЯ. В ттгшдовгз ХТ/2000 поддерживается заполнение трех журналов регистрации: систлемгтого зкттрпала, который содержит информацию о компонентах ОС; журнала безопасности, куда заносится информация о входных запросах в систему и другая информация, связанная с безопасностью, н журнала приложений, регистрирующего все события, записываемые приложениями.
По умолчанию аудит выключен и журнал безопасности не ведется, но он может быть подключен администратором сети. Брандмауэр как средство контроля межсетевого трафика Брандмауэр, или межсетевой экран, — это кполупроницаемая мембранак, которая располагается между защищаемым внутренним сегментом сети и внешней 688 Глава 30. Безопасность информационных систем сетью или другими сегментами сети интранет и контролирует все информационные потоки во внутренний сегмент и из него. Контроль трафика состоит в его фильтрации, то есть выборочном пропускании через экран, а иногда и с выполнением специальных преобразований и формированием извещений для отправителя, если его данным в пропуске было отказано.
Фильтрация осуществляется на основании набора условий, предварительно загруженных в брандмауэр и отражающих концепцию информационной безопасности корпорации. Брандмауэры могут быть выполнены в виде как аппаратного, так и программного комплекса, записанного в коммутирующее устройство или сервер доступа (сервер-шлюз, прокси-сервер, хост-компьютер и т. д.), встроенного в операционную систему, или представлять собой работающую под ее управлением программу. Работа брандмауэра заключается в анализе структуры и содержимого информационных пакетов, поступающих из внешней сети, и в зависимости от результатов анализа пропуска пакетов во внутреннюю сеть (сегмент сети) или полное их отфильтровывание.
Эффективность работы межсетевого экрана, работающего под управлением %1пт)оцз, обусловлена тем, что он полностью замещает реализуемый стек протоколов ТСР/1Р, и поэтому нарушить его работу с помощью искажения протоколов внешней сети (что часто делается хакерами) невозможно. Межсетевые экраны обычно выполняют следующие функции: О физическое отделение рабочих станций и серверов внутреннего сегмента сети (внутренней подсети) от внешних каналов связи; О многоэтапную идентификацию запросов, поступающих в сеть (идентификация серверов, узлов связи и прочих компонентов внешней сети); О проверку полномочий и прав доступа пользователей к внутренним ресурсам сет и; О регистрацию всех запросов к компонентам внутренней подсети извне; О контроль целостности программного обеспечения и данных; О экономию адресного пространства сети (во внутренней подсети может использоваться локальная система адресации серверов); О сокрытие 1Р-адресов внутренних серверов с целью загциты от хакеров.
Брандмауэры могут работать на разных уровнях протоколов модели 051. На сетевом уровне выполняется фильтрация поступающих пакетов, основанная на 1Р-адресах (например, не пропускать пакеты из Интернета, направленные на те серверы, доступ к которым снаружи запрещен; не пропускать пакеты с фальшивыми обратными адресами или с 1Р-адресами, занесенными в «черный список» и т.
д.). На транспортном уровне фильтрация допустима еще и по номерам портов ТСР н флагов, содержащихся в пакетах (например, запросов на установление соединения). На прикладном уровне может выполняться анализ прикладных протоколов (РТР, НТТР, ЯМТР и т. д.) и контроль содержания потоков данных (запрет внутренним абонентам на получение каких-либо типов файлов: рекламной информации или исполняемых программных модулей, например). Можно в брандмауэре создавать и экспертную систему, которая, анализируя трафик, диагностирует события, могущие представлять угрозу безопасности внутренней сети, и извещает об этом администратора. Экспертная система способна Криптографическое закрытие информации также в случае опасности (спам, например) автоматически ужесточать условия фильтрации и т.
д. В качестве популярных эффективных брандмауэров можно назвать Хесзсгееп 100 (фирмы !т!егзсгееп ТесЬпо!ой!ез) и СуЬегбцагг! Е!гецз!! (фирмы СуЪегйцагг! Согр.). КриптограФическое закрытие информации Активно развиваются и внедряются криптографические компьютерные технологии, направленные на обеспечение конфиденциальности и работоспособности таких комплексных сетевых приложений, как электронная почта (е-ша!!), электронный банк (е-Ьап!ипй), электронная торговля (е-сопппегсе), электронный бизнес (е-ЪцяПЕ55).
Криптографическое закрытие информации выполняется путем преобразования информации по специальному алгоритму с использованием шифров (ключей) и процедур шифрования, в результате чего по внешнему виду данных невозможно, не зная ключа, определить их содержание. С помощью криптографических протоколов можно обеспечить безопасную передачу информации по сети, в том числе и регистрационных имен, паролей, необходимых для идентификации программ и пользователей. На практике используется два типа шифрования: симметричное и асимметричное.
При симметричном шифровании для шифровки и дешифровки данных применяется один и тот же секретный ключ. При этом сам ключ должен быть передан безопасным способом участникам взаимодействия до начала передачи зашифрованных данных. В симметричном шифровании применяются два типа шифров: блочные и поточные.
В первом случае исходное сообщение делится на блоки постоянной длины, каждый из которых преобразуется по определенным правилам в блок зашифрованного текста. В качестве примера блочного шифра можно привести алгоритмы РЕЯ, 1РЕА (автор Джеймс Мэсси), ЕЕАЕ (Разе г!ага Епс!рЬеппепс АЕйопгЬгп). Наиболее популярен алгоритм РЕЯ (Р!8!Ы Епсгург1оп Яапг!агг!), являющийся национальным стандартом шифрования США. Алгоритм РЕЯ оперирует блоками длиной 64 бита и 64-битовым ключом, в котором 8 бит являются контрольными, вычисляемыми по специальному правилу (по аналогии с контрольными разрядами корректирующих кодов). В последние годы для увеличения криптостойкости алгоритма все чаще используются 128-битовые ключи, найти которые перебором кодов практически невозможно даже при сверхвысокой производительности современных компьютеров (напомним, что число секунд, которое прошло с момента образования планеты Земля, не превышает 10'а, а 2'ж ы 10~~).
В нашей стране для блочного шифрования информации рекомендован симметричный алгоритм, предложенный ГОСТ 28.147 — 89 «Системы обработки информации. Зашита криптографическаям 690 Глава 30. Безопасность информационных систем Поточные шифры оперируют с отдельными битами и байтами исходного сообщения и ключа. Поточные шифры имеют более высокую криптостойкость, но должны использовать длинные ключи, обычно равные длине передаваемого сообшения.
В качестве примеров поточных алгоритмов можно привести в первую очередь алгоритмы КС (КС2, КС4, КС5) корпорации КБА Вага Яесцпгу (США) и алгоритмы Веста (Веста-2, Веста-2М, Веста-4) фирмы «ЛАН Крипто» (Россия). Если при симметричном шифровании ключ стал известен третьему лицу (хакеру), последний, используя этот ключ, имеет возможность перехватить сообшение и подменить его своим собственным, а затем, получив доступ ко всей информации, передаваемой между абонентами, манипулировать ею в своекорыстных целях. Для зашиты от подобных событий можно использовать систему цифровых сертификатов, то есть документов, выдаваемых сертификационной службой СА (сегййсаге ацгпогйу) и содержащих информацию о владельце сертификата, зашифрованную с помощью закрытого ключа этой организации.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
