31880

Захист інформації в комп’ютерних системах

Книга

Информатика, кибернетика и программирование

Огляд стандартних прав доступу в Windows 2000. Частина перша охоплює питання захисту інформації на рівні операційних систем і базових складових будьякої системи захисту – підсистем ідентифікації й автентифікації розмежування доступу і реєстрації подій. Теоретичні відомості Підсистема ідентифікації та автентифікації У системі Unix єдиними можливими суб'єктами доступу є користувачі идентифікуючою інформацією яких є login який іноді називають userid ім'яідентифікатор з одного слова а...

Украинкский

2013-09-01

288.5 KB

49 чел.

имоги до спеціалізованої комп’ютерної лабораторії

Міністерство освіти і науки України

Національний технічний університет України
"Київський політехнічний інститут"

Фізико-технічний інститут

СУЧАСНІ ТЕХНОЛОГІЇ ЗАХИСТУ ІНФОРМАЦІЇ
В КОМП’ЮТЕРНИХ СИСТЕМАХ І МЕРЕЖАХ 

ЧАСТИНА 1

ЗАХИСТ В ОПЕРАЦІЙНИХ СИСТЕМАХ

Методичні вказівки до виконання лабораторних робіт
для студентів спеціальностей “Інформатика” і
“Захист інформації в комп’ютерних системах”

Укладачі: М. В. Грайворонський, І. С. Івченко

Затверджено Методичною радою НТУУ “КПІ”

Київ

“Політехніка”

2004


Сучасні технології захисту інформації в комп’ютерних системах і мережах. Частина 1. Захист в операційних системах:
 Метод. вказівки до виконання лабораторних робіт для студ. спец. “Інформатика” і “Захист інформації в комп’ютерних системах” / Укладачі: М. В. Грайворонський, І. С. Івченко. – К.: ІВЦ “Політехніка”, 2004. – 42 с.

Навчальне видання

СУЧАСНІ ТЕХНОЛОГІЇ ЗАХИСТУ ІНФОРМАЦІЇ
В КОМП’ЮТЕРНИХ СИСТЕМАХ І МЕРЕЖАХ.

ЧАСТИНА 1. ЗАХИСТ В ОПЕРАЦІЙНИХ СИСТЕМАХ

Методичні вказівки до виконання лабораторних робіт для студентів спеціальностей “Інформатика” і “Захист інформації в комп’ютерних системах”.

Укладачі:  Грайворонський Микола Владленович

Івченко Ірина Сергіївна

Відповідальний
редактор

Рецензент

Редактор

Темплан 2004 р., поз. 000


Зміст

[1] Передмова

[2] Вступ. Вимоги до спеціалізованої комп’ютерної лабораторії

[2.1] Архітектура комп’ютерної мережі лабораторії

[2.2] Апаратне забезпечення

[2.3] Програмне забезпечення

[3] Лабораторна робота №1. Механізми захисту операційної системи Unix

[3.1] Мета роботи

[3.2] Теоретичні відомості

[3.2.1] Підсистема ідентифікації та автентифікації

[3.2.2] Підсистема розмежування доступу

[3.2.3] Підсистема реєстрації

[3.2.4] Характерні вразливості системи Unix

[3.3] Хід роботи

[3.4] Звіт має містити:

[3.5] Контрольні запитання

[4] Лабораторна робота №2. Механізми захисту операційної системи Windows NT

[4.1] Мета роботи

[4.2] Теоретичні відомості

[4.3] Хід роботи

[4.4] Звіт має містити:

[4.5] Контрольні запитання

[5] Лабораторна робота №3. Захист реєстру операційної системи Windows NT

[5.1] Мета роботи

[5.2] Теоретичні відомості

[5.2.1] Огляд стандартних прав доступу в Windows 2000

[5.2.2] Найбільш важливі ключі реєстру Windows NT/2000, яким потрібний захист

[5.2.3] Захист вуликів SAM і Security

[5.2.4] Хеш-коди паролів у пам'яті

[5.2.5] SAM у мережі

[5.2.6] Адміністративні рекомендації з захисту Windows NT/2000

[5.3] Хід роботи

[6] Лабораторна робота №4. Підсистема ідентифікації й автентифікації

[6.1] Мета роботи

[6.2] Теоретичні відомості

[6.3] Хід роботи

[6.4] Звіт має містити:

[6.5] Варіанти

[6.6] Контрольні запитання

[7] Лабораторна робота №5. Підсистема керування доступом

[7.1] Мета роботи

[7.2] Теоретичні відомості

[7.3] Хід роботи

[7.4] Звіт має містити:

[7.5] Варіанти

[7.6] Контрольні запитання

[8] Лабораторна робота №6. Підсистема реєстрації

[8.1] Мета роботи

[8.2] Теоретичні відомості

[8.3] Хід роботи

[8.4] Звіт має містити

[8.5] Контрольні запитання

[9] Список рекомендованої літератури


Передмова

Лабораторний практикум розроблено як складову частину курсу “Захист інформації в комп’ютерних системах і мережах”, який вже протягом 4-х років читається у Фізико-технічному інституті НТУУ “КПІ” для студентів 5-го курсу (спеціалістів і магістрів) спеціальностей “Інформатика” і “Захист інформації в комп’ютерних системах”. Лабораторний практикум ставить за мету закріплення знань, що отримані студентами з лекційного матеріалу і самостійної роботи з літературою, шляхом застосування їх для побудови захищених систем і активної протидії змодельованим руйнуючим впливам.

Для успішного виконання робіт студенти повинні бути ознайомлені з:

  •  основними поняттями з захисту інформації в інформаційно-телекомунікаційних (автоматизованих) системах;
  •  основними загрозами, що існують при обробці інформації в інформаційно-телекомунікаційних (автоматизованих) системах;
  •  теоретичними моделями політики безпеки інформації;
  •  діючими нормативними документами в галузі захисту інформації в інформаційно-телекомунікаційних системах;
  •  сучасними операційними системами, які є основою при побудові інформаційно-телекомунікаційних систем;
  •  методами і засобами захисту інформації на рівні операційних систем;
  •  особливостями побудови і специфічними вразливостями розподілених систем;
  •  сучасними і перспективними технологіями захисту інформації в інформаційно-телекомунікаційних системах.

Крім того, студенти повинні мати навички програмування систем клієнт-сервер з використанням сокетів і володіти сучасними мережевими технологіями, зокрема, знати принципи роботи протоколів стеку TCP/IP.

Практикум поділено на дві великі тематичні частини. Частина перша охоплює питання захисту інформації на рівні операційних систем і базових складових будь-якої системи захисту – підсистем ідентифікації й автентифікації, розмежування доступу і реєстрації подій. До її складу входять роботи: “Механізми захисту операційної системи Unix”, “Механізми захисту операційної системи Windows NT”, “Захист реєстру операційної системи Windows NT”, “Підсистема ідентифікації й автентифікації”, “Підсистема керування доступом”, “Підсистема реєстрації”.

Частина друга присвячена питанням захисту інформації в комп’ютерних мережах. До її складу входять роботи: “Перехоплення мережевого обміну”, “Сканування TCP/IP мереж”, “Засоби аналізу захищеності”, “Міжмережеві екрани”, “Системи виявлення атак”.

До практикуму не включені такі питання захисту цілісності апаратних і програмних ресурсів автоматизованих систем, як технології і процедури створення резервних копій, антивірусний захист, захист програмного забезпечення від несанкціонованого копіювання, а також методи криптографічного захисту. Всі ці питання студенти Фізико-технічного інституту вивчають за програмою інших курсів, в яких також передбачено лабораторний практикум.

Укладач висловлює щиру подяку професору Новікову О. М., Чаінському В. І., аспіранту Кащенко С. Л., а також студентам ФТІ НТУУ “КПІ” Гальчинському Я., Гулє А., Трішину О., Пилипцю А., Бутовському А., Маняченко О., Савченко С., Бандуряну А., Багаєву Д., які на різних етапах становлення лабораторного практикуму із захисту інформації в комп’ютерних системах внесли значний вклад в розробку завдань і описів лабораторних робіт, монтаж і введення в дію комп’ютерної мережі і робочих станцій, відбір, інсталяцію і настроювання програмного забезпечення.


Вступ. Вимоги до спеціалізованої комп’ютерної лабораторії

Для постановки і проведення лабораторного практикуму необхідна спеціалізована комп’ютерна лабораторія. Специфіка пов’язана з тим, що для оволодіння навичками захисту автоматизованих систем від загроз безпеці інформації студенти повинні виконувати певні дії в умовах моделювання атак на автоматизовану систему. Тобто, в лабораторії повинно виконуватись моделювання атак, як, наприклад, перехоплення мережевого трафіка, сканування портів, аналіз захищеності систем, DoS-атаки, що безумовно заборонено політикою безпеки в будь-якій іншій комп’ютерній лабораторії. Крім того, для виконання завдань багатьох лабораторних робіт на кожному робочому місці студенти повинні мати повноваження адміністратора.

Рекомендації щодо апаратного і програмного забезпечення такої лабораторії викладені за досвідом експлуатації протягом трьох років спеціалізованої лабораторії комп’ютерної безпеки у Фізико-технічному інституті НТУУ “КПІ”.

Архітектура комп’ютерної мережі лабораторії

Для виконання повного циклу лабораторних робіт мережа лабораторії повинна складатись щонайменше з двох сегментів, між якими встановлено комп’ютер, що відіграє функції міжмережевого екрана (брандмауера). Використання виділеного сервера не є обов’язковим. Будь-який сучасний жорсткий диск здатний вмістити повний набір програмного забезпечення і довідкової інформації. Комп’ютери, що відіграють роль міжмережевих екранів, також можуть використовуватись в якості робочих станцій.

В кожному сегменті мережі повинна існувати можливість прослуховування трафіка з усіх робочих станцій, для чого мережа повинна бути побудована за технологією Ethernet 10/100baseТ (топологія “зірка”) з використанням концентраторів (хабів). Можливо також застосування керованих комутаторів, які підтримують можливість дзеркалювання трафіку з одних портів на інші (таке рішення значно дорожче, складніше і має певні обмеження у використанні). Використання технології Ethernet 10base2 (топологія “загальна шина” з використанням коаксіального кабелю) не рекомендується через її застарілість.

Мережа лабораторії з міркувань безпеки не повинна мати вихід у зовнішню мережу, або повинна існувати можливість надійно заблокувати такий вихід (мова іде про безпеку зовнішньої мережі від впливів зсередини лабораторії в разі помилок при моделюванні атак).

Апаратне забезпечення

Апробоване рішення – комп’ютери на процесорах Celeron 667, оперативна пам’ять 128 МБ, НЖМД 10 ГБ, звукові карти не потрібні, вимоги до відеокарти не висуваються, НГМД не використовуються, 2 CD-ROM і 1 НГМД на всю лабораторію, мережеві карти – по одній в кожній робочій станції (можуть бути інтегрованими на системній платі) і по 2 в кожному міжмережевому екрані, монітори 15”.

Програмне забезпечення

За змістом лабораторних робіт частина робіт виконується в операційному середовищі UNIX, а частина – Windows NT (2000). Оптимальним варіантом з точки зору використання обладнання є інсталяція обох операційних систем на кожній робочій станції, що легко реалізується на будь-якому сучасному комп’ютері. При цьому для вибору режиму завантаження краще використовувати boot-manager системи UNIX.

Апробоване рішення – використання на всіх робочих станціях операційних систем Windows 2000 professional і FreeBSD UNIX 4.9. Не рекомендується на робочих станціях використовувати ОС Windows 95/98/МЕ, оскільки при цьому не буде можливості вивчати прийоми адміністрування систем лінійки Windows NT. За відсутності виділеного сервера для спрощення задач адміністрування слід передбачити виділену робочу станцію адміністратора з еталонною конфігурацією ПЗ і засобами для копіювання його на інші комп’ютери (наприклад, Norton Ghost).

Для ОС Windows рекомендується такий набір програмного забезпечення:

  •  текстовий редактор, або програма, що дозволяє переглядати документи;
  •  антивірусне програмне забезпечення;
  •  мережевий сканер XSpider версії 6.50, або новішої (за можливості);
  •  система виявлення вторгнень Snort (версія для Windows) з графічною оболонкою керування IDScenter;
  •  середовище розробки програмного забезпечення, як мінімум, Borland C++ 3.1;
  •  додаткове програмне забезпечення (за наявності), а саме: міжмережеві екрани, мережеві сканери, спеціалізовані “хакерські” утіліти, тощо.

Для ОС UNIX рекомендується такий набір програмного забезпечення і конфігурація системних засобів :

  •  задіяні сервери DNS, telnet, ftp, ssh;
  •  ipfirewall;
  •  tcpdump, nmap;
  •  середовище розробки програмного забезпечення, як мінімум, gcc;
  •  система виявлення вторгнень Snort.

Можливе, але не обов’язкове і не апробоване використання графічної багатовіконної системи з будь-яким додатковим програмним забезпеченням, таким, як міжмережеві екрани, мережеві сканери, спеціалізовані “хакерські” утіліти, тощо.


Лабораторна робота №1. Механізми захисту операційної системи Unix

Мета роботи

ознайомлення з підсистемою захисту ОС Unix.

Теоретичні відомості

Підсистема ідентифікації та автентифікації

У системі Unix єдиними можливими суб'єктами доступу є користувачі, идентифікуючою інформацією яких є login, який іноді називають userid (ім'я-ідентифікатор з одного слова), а автентифікуючою – пароль (рядок символів, на який у залежності від конфігурації накладаються деякі обмеження). Пароль є однією з найбільш важливих частин забезпечення безпеки системи, оскільки заволодівши паролем користувача, зловмисник може працювати в системі з повноваженнями легального користувача. Тому дуже важливі правила вибору пароля. Існують засоби, що дозволяють адміністраторам:

  •  задавати обмеження на пароль (наприклад, мінімальна припустима довжина, наявність у паролі заголовних букв і цифр, також можливе використання тільки паролів, згенерованих системою);
  •  задавати обмеження по часу зміни пароля;
  •  блокувати доступ користувача в систему при закінченні терміну дії паролю і при визначеному числі неуспішних спроб введення пароля;
  •  задавати інші обмеження.

У явному вигляді паролі ніде в системі не зберігаються, а зберігаються їхні образи – результат виконання над рядком пароля деякої функції. Звичайно використовують одну з відомих криптографічно-стійких хеш-функцій – легкообчислювану функцію, для якої зворотна не може бути обчислена в прийнятний термін (у даний час найбільше поширення одержав алгоритм md5). Односторонність функції не дозволяє відновити пароль по його образу, але дозволяє одержати образ пароля, обчисливши значення хеш-функції, і таким чином перевірити правильність введеного користувачем пароля. Образи паролів і ідентифікатори користувачів разом з деякою додатковою інформацією зберігаються у файлі /etc/master.passwd (в деяких системах – /etc/shadow), доступ на читання і запис до якого має тільки суперкористувач (root). В сучасних версіях файл /etc/master.passwd взагалі не видимий для звичайних користувачів, що підвищує рівень захищеності системи. Та ж сама інформація, але без образу паролю, міститься у файлі /etc/passwd, що доступний для читання усім. Цим досягається те, що ніхто, крім суперкористувача, не може отримати образ паролю, тому що знання образу паролю дозволяє спробувати підібрати пароль методом перебору.

Формат файлу /etc/passwd стандартний для всіх систем Unix. Файл текстовий, його можна переглядати за допомогою текстового редактора або утіліт cat, more та інших. Оскільки структура файлу подібна до бази даних, кожний рядок називається записом. Він визначає дані стосовно одного користувача. Кожний запис має 7 полів, що розділені символами “:”. Значення полів такі:

  1.  login (ідентифікатор користувача),
  2.  символ “*” (колись це поле займав образ паролю),
  3.  UID (числовий ідентифікатор користувача, який використовується системою),
  4.  GID (числовий ідентифікатор первинної групи користувача),
  5.  додаткова текстова інформація про користувача, яку система може виводити,
  6.  “домашній” каталог користувача, в якому користувач розпочинає роботу,
  7.  програма, яку система запускає від імені користувача, для того, щоби він розпочав роботу в системі.

Файл /etc/master.passwd в системі FreeBSD Unix відрізняється від /etc/passwd лише тим, що в ньому в другому полі містяться образи паролів. В інших системах аналогічний файл може мати іншу назву (наприклад, в системі Solaris від Sun Microsystems для цього існує файл /etc/shadow) і інший формат (інші значення всіх полів, крім першого і другого).

Редагування файлу /etc/passwd можливо в звичайному текстовому редакторі, але може мати непередбачувані наслідки. При редагуванні не змінюється файл /etc/master.passwd (або інший, властивий конкретній системі). Отже, таким чином не можна додавати або видаляти користувачів. При редагуванні файлу /etc/master.passwd зміни можуть мати ефект, але слід подбати, щоби інформація в /etc/passwd була синхронізована з /etc/master.passwd. Для цього існують спеціальні утіліти, наприклад, є утіліта vipw, доступна суперкористувачу. В системі FreeBSD Unix вона запускає редактор vi для редагування файлу /etc/master.passwd, а при спробі збереження файлу перевіряє коректність змін і автоматично вносить відповідні зміни до /etc/passwd. В системі Solaris (Sun Microsystems) вона, навпаки, редагує файл /etc/passwd, а для поновлення інформації в файлі /etc/shadow існують додаткові системні засоби. В інших системах процедура може відрізнятись.

Стандартна процедура идентификації-автентификації полягає в тому, що у відповідь на запит системи користувач уводить свій ідентифікатор і пароль, а система, використовуючи інформацію, що зберігається у файлі /etc/master.passwd перевіряє відповідність паролю. За цю процедуру відповідає системна утіліта login. Якщо пароль правильний, відбувається авторизація користувача, що для Unіх'а полягає в запуску програми, яка вказана в останньому полі запису для даного користувача в файлі /etc/master.passwd. Як правило, це один з наявних в системі shell – програмних оболонок, що дозволяють користувачеві запускати програми і керувати їх виконанням. Уся робота користувача в системі відбувається в межах shell, вихід із нього – це вихід із системи.

Підсистема розмежування доступу

Як було зазначено вище, у системі Unix єдиними можливими суб'єктами доступу є користувачі. Для більш гнучкого розмежування доступу всі користувачі поєднуються у групи. Один користувач може брати участь у декількох групах. Розрізняють також первинну групу, членом якої користувач є безпосередньо після входу в систему. Належність до груп визначається у файлах /etc/passwd і /etc/group, формат яких описаний у сторінках довідкової системи man passwd(5) і group(5).

Як об'єкти доступу в Unіх'і виступають файли і тільки файли. Вони бувають різних типів: звичайні файли, каталоги, посилання (link), канали (pipe) і спеціальні файли (що відповідають пристроям вводу-виводу). Різні операційні системи, які узагальнюються під назвою Unix, можуть мати різні файлові системи. Однак всі ці файлові системи мають спільні особливості і практично однакову логічну структуру.

Розглянемо особливості файлової системи Unix, які мають значення для роботи системи розмежування доступу. Вся файлова система поєднується в єдине дерево каталогів, які починаються з кореневого каталогу, що має позначення "/". Всі зовнішні файлові системи (змінні носії інформації, мережеві диски і таке інше) монтуються у визначенні місця загальної файлової системи (команда mount), як правило, для цього використовується каталог /mnt. Для зміни носія або відключення мережевого диску їх необхідно спочатку розмонтувати (команда umount). Вся детальна інформація про файл, що включає тип файлу, ідентифікатори власника файлу та його групи, розмір файлу, час останнього звернення до файлу, інформацію щодо прав доступу до файлу, а також про його розміщення (номери блоків), міститься не в каталогах, як це зроблено в багатьох інших файлових системах, в тому числі FAT-12, FAT-16, FAT-32, NTFS (MS-DOS, Windows), а в системній таблиці так званих індексних дескрипторів (i-node). Безпосереднє звернення до цієї таблиці заборонене. Каталоги, в свою чергу, містять лише ім'я файлу та посилання на відповідний запис в таблиці індексних дескрипторів. Завдяки такій організації, кожний файл в файловій системі Unix може мати кілька абсолютно рівноправних імен, що в загальному випадку містяться в різних каталогах. При знищенні файлу, ми фактично знищуєм відповідний запис в каталозі, і зменшуєм на одиницю кількість імен, що має файл. Фізично файл знищується тільки тоді, коли в нього більше не залишилось імен. Перегляд вмісту каталогів здійснюється за допомогою команди ls, а розширений варіант цієї команди ls -l дає також інформацію з таблиці індексних дескрипторів.

Unix реалізує дискреційну модель розмежування доступу, тобто для кожного об'єкта доступу (файлу) визначається для всіх суб'єктів доступу (користувачів), по яких методах вони мають доступ до об'єкта. Для цього з кожним файлом асоціюється спеціальна інформація, що утримує ідентифікатор власника файлу, ідентифікатор групи файлу і права доступу до файлу, що складаються з 12 біт. Права доступу поділяються на 3 частині: права власника, права групи і права всіх інших. У кожному класі користувачів виділено по 4 біти. Перші три біти відповідають правам читання, запису й виконання. Для каталогів право виконання трактується як право доступу до таблиці індексних дескрипторів на читання і запис, не маючи цього права неможливо зробити поточним цей каталог чи будь-який з його підкаталогів, неможливо ознайомитись і змінити права доступу до об'єктів цього каталогу, можна тільки переглядати його вміст, якщо є право читання (деякі версії Unix не дозволяють і це). Навіть маючи право запису, без права виконання не можна змінити вміст каталогу. Четвертий біт має різне значення в залежності від того, в якій групі прав доступу він установлений. Для групи прав власника цей біт називається SUID (Set-User-ID-on-execution bit), і якщо він установлений для файлу, що виконується, то цей файл виконується для будь-якого користувача із правами власника цього файлу (як правило, це root – див. далі). Якщо четвертий біт встановлений у групі прав доступу членів групи (SGID — Set-Group-ID-on-execution bit), то дана програма виконується для будь-якого користувача із правами членів групи цього файлу. Для каталогів SGID визначає, що для усіх файлів, створюваних у цьому каталозі, ідентифікатор групи буде встановлений такий же, як у каталогу (ці правила залежать від версії Unix). Четвертий біт у групі прав доступу всіх інших користувачів називається Sticky, на сьогоднішній день він використовується тільки для каталогів і визначає, що користувачі, які мають право на запис в каталог, не мають права видаляти чи перейменовувати файли інших користувачів у цьому каталозі. Це необхідно для каталогів загального використання, наприклад /tmp.

В класичній системі Unix існує суперкористувач (root), який має ідентифікатор користувача 0. За визначенням, суперкористувач має необмежені права в системі, власне, для нього просто ігноруються вимоги розмежування доступу. В сучасних системах це не зовсім так, але суперкористувач дійсно має можливість здійснити в системі будь-які дії.

В захищених системах рекомендується обмежувати або взагалі забороняти доступ rootа до системи. Наприклад, якщо в файлі /etc/default/login вказати CONSOLE=/dev/console, то root зможе завантажуватись до системи лише з системної консолі, і не зможе з віддалених терміналів або через мережу. Якщо ж цей параметр задати у вигляді CONSOLE=, root взагалі не зможе завантажуватись до системи. В такому випадку для виконання задач керування системою адміністратори повинні завантажуватись в систему як звичайні користувачі, а потім здійснювати перехід до облікового запису root’а. Для цього існує команда suswitch user. Перевага такої процедури в тому, що система відслідковує як ефективний, тимчасовий ідентифікатор користувача (в нашому випадку – 0 – ідентифікатор root’а), так і ідентифікатор, під яким користувач здійснив вхід до системи. Це сприяє підвищенню спостереженості системи, оскільки дозволяє розрізняти, хто саме виконував дії як root. Ще більш гнучкий механізм надає утіліта sudo, яка дозволяє користувачу тимчасово отримувати ти чи інші привілеї. При цьому повноваження окремих користувачів налаштовуються за допомогою файлу /etc/sudoers.

Підсистема реєстрації

Система Unix має розвинену систему реєстрації, яка має назву syslog. Основу цієї системи складає програма-демон syslogd та її конфігураційний файл /etc/syslog.conf. Також до складу системи входять бібліотечні програми openlog, syslog, closelog, які використовуються для обміну даними з програмою syslogd, а також програма logger. Програми, які використовують систему syslog, записують реєстраційні дані за допомогою системного виклику syslog() в спеціальний файл /dev/log. В деяких системах існує також файл пристрою /dev/klog, з якого система syslog читає повідомлення ядра операційної системи.

Файл /etc/syslog.conf має дуже простий формат. Це текстовий файл (як і переважна більшість конфігураційних файлів Unix), кожна строка якого має вигляд:

<селектор> <Tab> <дія>

<селектор> має формат:

<засіб>.<рівень>,

де <засіб> – це система, від якої надходить повідомлення (наприклад, mail – система електронної пошти, kern – ядро, та інші), <рівень> – це ступінь критичності повідомлення (наприклад, info, warning, alert). <засіб> і <рівень> вибирають із досить невеликого списку ключових слів. <дія> – це ім'я файлу, до якого слід зробити запис, або ідентифікатор користувача, якого слід повідомити про подію, або мережеве ім'я віддаленого комп'ютера, на який слід переслати цю інформацію (останнє є досить ефективним засобом захисту журналу реєстрації від модифікації його зловмисником). Дозволяється в одному записі конфігураційного файлу розміщувати список селекторів, або в одному селекторі використовувати список засобів та/або список рівнів.

Файли системних журналів реєстрації можуть знаходитись в різних місцях, їх місцезнаходження легко визначити з конфігураційного файлу /etc/syslog.conf.

Система syslog надає всім програмам зручний механізм реєстрації системних подій. Якщо програма вносить зміни до конфігураційного файлу, вона має примусити syslogd перечитати конфігураційний файл, щоб зміни вступили в дію. Для цього треба надіслати процесу syslogd сигнал HUP, для чого потрібен ідентифікатор цього процесу. Його можна знайти в файлі /etc/syslog.pid (в деяких системах /var/run/syslog.pid). Деякі програми можуть нехтувати системою syslog, встановлюючи свої правила реєстрації подій та свої файли реєстрації.

Крім syslog, існує окрема система реєстрації невдалих спроб завантаження в систему (файл /var/adm/loginlog), система реєстрації спроб su (файл /var/adm/sulog), а також система реєстрації подій входу/виходу користувачів (файл /var/adm/wtmp, команда last).

Характерні вразливості системи Unix

Системі Unix вже більше 30 років. За цей час вона пройшла великий шлях розвитку і підвищення ступеню безпеки. Однак і по цей день система має певні притаманні їй недоліки, які досить часто виявляються причиною знайдених вразливостей системи. Розглянемо тільки ті потенційні вразливості, які не пов'язані з роботою в мережі.

Одним з принципових недоліків системи Unix є наявність в ній суперкористувача, тобто користувача, для якого ігноруються правила розмежування доступу. Фактично, суперкористувач має доступ по любому методу до всіх файлів в системі. В деяких сучасних Unix'ах забороняється безпосередній вхід суперкористувача в систему, і підтримується розподіл ролей адміністраторів системи.

Небезпечною є наявність в системі багатьох конфігураційних файлів, вміст яких є критичним для безпеки системи. Захист цих файлів здійснюється штатними засобами розмежування доступу, що не завжди достатньо. Великим кроком по підвищенню безпеки Unix'у стало впровадження "невидимого" файлу /etc/shadow (або /etc/master.passwd).

Дуже серйозну загрозу безпеці становлять програми з встановленими флагами SUID або SGID. Саме через помилки в таких програмах, або в функціях ядра системи, які роблять виклики таких програм, і з'являється переважна більшість вразливостей системи, що дозволяють звичайному користувачеві отримати повноваження суперкористувача. На жаль, повністю відмовитись від таких програм неможливо, оскільки під час роботи звичайний користувач час від часу має звертатись до системних файлів або таблиць, довільний доступ до яких йому заборонено. Хрестоматійним прикладом є зміна власного паролю, що вимагає доступу на запис до файлу /etc/master.passwd.

Базова система розмежування доступу на основі 12-бітного вектору вважається на теперішній час недостатньо гнучкою. Крім того, кількість методів доступу, що розрізняються підсистемою розмежування доступу Unix (читання, запис, виконання) теж не є достатньою. Наприклад, запис в файл зі зміною даних, що містяться в ньому, і додавання інформації в кінець файлу без права на модифікацію даних, що були записані раніше, — це фактично різні види доступу. При цьому сама система Unix на рівні системних викликів при відкриванні файлу розрізняє ці види доступу, а підсистема розмежування доступу — ні. В деяких сучасних системах з сімейства Unix на додаток до базової системи розмежування доступу додається система зі списками прав доступу, подібна до реалізованої в системі Windows NT. Також в ряді випадків добудовують систему нормативного (mandatory) керування доступом, підвищуючи клас захищеності системи за "Оранжевою книгою" до групи В.

Ряд недоліків має система реєстрації. Найголовнішим з них є те, що журнали аудиту є звичайними файлами, що захищені від модифікації стандартними засобами розмежування доступу. Якщо в результаті успішної атаки зловмисник отримав права суперкористувача, він має можливість знищити або модифікувати в журналі аудиту всі записи, що стосуються його атаки.

До загальних недоліків комплексу засобів захисту системи Unix відносять також погану структурованість, розпорошення окремих засобів, що мають суттєве значення для безпеки системи, в різних її частинах (зокрема, розкиданість конфігураційних файлів по файловій системі), відсутність чітко обмеженого ядра безпеки.

Однак взагалі позитивні риси Unix'у мають перевагу над її недоліками. Незважаючи на безпрецедентно довгий вік, операційна система Unix продовжує розвиватись, задовольняючи все жорсткіші вимоги безпеки для систем загального призначення. Дороблені системи Unix атестовані на класи В1 (Trusted Irix, Trusted Solaris) та В2 (Trusted Xenix) за "Оранжевою книгою".

Хід роботи

  1.  Ознайомтесь з документацією (довідкова система man):

login, telnet, ssh, su, sudo, passwd, chmod, chown, umask, syslog, openlog, closelog, logger, last.

  1.  Ознайомтесь із форматом та змістом конфігураційних файлів:

/etc/passwd, /etc/master.passwd (/etc/shadow), /etc/group, /etc/syslog.conf, /etc/sudoers, /etc/default/login, /var/adm/loginlog, /var/adm/sulog.

  1.  Створіть політику безпеки КС, що регламентувала б питання контролю доступу, права на виконання певних програм та на адміністрування системи (sudo), аудит.
  2.  Здійсніть вхід у систему. Користуючись sudo, отримайте права на конфігурування системи.
  3.  Визначте місцезнаходження та ім'я файлу системного журналу аудиту. Проаналізуйте останні записи.
  4.  Створіть кілька користувачів та групп і призначте їм атрибути, що відповідають політиці безпеки.
  5.  Створіть декілька файлових об’єктів (включаючи каталоги та посилання), відредагуйте їх власників, групи та права доступу. Щонайменше один каталог повинен мати заборону на виконання для певних користувачів. В створені каталоги перемістіть (скопіюйте) кілька утіліт та скриптів.
  6.  Cконфігуруйте систему реєстрації у відповідності до політики безпеки.
  7.  Послідовно здійснюючи вхід в систему, користуючись обліковими записами створених користувачів і намагаючись отримати доступ до створених об’єктів (ознайомлення, запис, запуск на виконання, знищення об'єктів та створення нових), переконайтеся у дотриманні вимог політики безпеки стосовно контролю доступу.
  8.  Проаналізуйте журнал аудиту.
  9.  Оформіть звіт.

Звіт має містити:

  1.  неформально задану політику безпеки для не менш ніж 3 користувачів і 2 груп та не менш ніж 6 файлових об’єктів;
  2.  протокол спроб отримати доступ з п.9 ходу роботи;
  3.  роздрук фрагментів журналу реєстрації.

Контрольні запитання

  1.  Які типи об'єктів доступу підтримує Unix ?
  2.  Яку модель розмежування доступу реалізує Unix ?
  3.  Яку небезпеку становлять права доступу SetUID і SetGID ?


Лабораторна робота №2. Механізми захисту операційної системи Windows NT

Мета роботи

ознайомити студентів з підсистемою захисту ОС Windows NT.

Теоретичні відомості

Windows NT/2000 — це єдине сімейство операційних систем Microsoft, при розробці якого з самого початку було поставлено завдання створити операційну систему, що відповідає вимогам рівня захищеності С2 за «Критеріями оцінювання захищених комп’ютерних систем» (TCSEC) Міністерства оборони США, що відомі як «Оранжева книга».

Захищеність операційної системи по класу С2 вимагає відповідність наступним вимогам:

1. Обов'язкова ідентифікація й автентифікація всіх користувачів операційної системи.

2. Розмежувальний контроль доступу — надання користувачам можливості захисту даних, що їм належать.

3. Системний аудит — здатність системи вести докладний аудит усіх дій, що виконують користувачі й сама операційна система.

4. Захист об'єктів від повторного використання — здатність системи запобігти доступу користувача до ресурсів, з якими до цього працював інший користувач (наприклад, забезпечення неможливості повторного використання звільненої пам'яті або читання інформації з файлів, що були вилучені).

2 грудня 1999 року уряд США оголосив, що операційні системи Windows NT 4.0 Workstation і Windows NT 4.0 Server успішно пройшли сертифікацію по класу С2. Для Windows 2000 подібна процедура сертифікації відбулась в 2002 році, але вже не за «Критеріями оцінювання захищених комп’ютерних систем» (TCSEC) Міністерства оборони США, а за міжнародним стандартом ISO 15408, що введено в дію з 1999 року.

Розглянемо детальніше можливості засобів захисту операційної системи Windows NT. Система підтримує 4 типи суб’єктів та 13 типів об’єктів доступу.

Автентифікація та ідентифікація відбуваються за допомогою процеса WinLogon, що перевіряє істинність користувача за допомогою інших модулів підсистеми авторизації (LSA, MSV) та запускає в разі успіху процес UserInit.exe. Останній виконується з повноваженнями даного користувача і створює для останнього робоче середовище – підключає відповідний користувачеві ключ реєстру, настройки з user profile, та запускає програмну оболонку (explorer.exe). Архітектура підсистеми авторизації досить гнучка і дозволяє використовувати будь-які способи перевірки істинності. Проте в стандартній конфігурації використовується лише проста парольна автентифікація. Образи паролів зберігаються в спеціальному розділі реєстру, при цьому використовуються два типи хеш-функцій: за алгоритмом MD4 (NT-hash) та менш стійка з використанням DES (LM-hash), остання для сумісності з клієнтами попередньої серверної ОС Microsoft — Lan Manager. Важливою особливістю є те, що авторизація користувача може відбуватися як локально, так і делегуватися контролерові домену NT.

За допомогою утіліти User Manager Windows NT забезпечує широкі можливості по керуванню обліковими записами користувачів. Так, для кожного користувача може бути задано ряд атрибутів, таких як належність до груп, місцезнаходження user profile, робочі години, повноваження на доступ по комутованих лініях і т.д. Крім того, може бути задана політика керування обліковими записами, що регламентує:

  1.  мінімальний та максимальний терміни життя паролю;
  2.  мінімальну довжину паролю;
  3.  унікальність паролю як вимога не належати до заданої кількості востаннє використаних;
  4.  кількість невдалих спроб автентифікації, після яких обліковий запис блокується, та відрізок часу, протягом якого вони мають відбутися;
  5.  тривалість блокування облікового запису.

Також ця утіліта дозволяє призначати користувачам привілеї (права на всю систему, а не на конкретний об’єкт, наприклад входити в систему локально або змінювати системний час) та задавати політику аудиту.

Windows NT реалізує дискреційну модель розмежування доступу. Керування доступом здійснюється в Windows NT за допомогою спеціального модулю, що носить назву reference monitor та реалізується викликом функції SeAccessCheck ядра ОС при будь-якій спробі суб’єкта отримати доступ. При цьому використовуються дві структури даних – маркер доступу суб’єкта, що є носієм його повноважень, та дескриптор захисту об’єкта, що містить ідентифікатори власника об’єкта та його первинної групи, список контролю доступу (ACL) та список аудиту (SACL). Матриця доступу в даній ОС, таким чином, зберігається у вигляді множини списків контролю доступу об’єктів. Останні, на відміну від ОС Unix, мають нефіксовану довжину і можуть містити довільну кількість елементів контролю доступу (Access Control Entry, ACE). Кожен з АСЕ містить ідентифікатор суб’єкта та список методів (прав), за якими йому дозволено або заборонено доступ до даного об’єкта. АСЕ, що забороняють доступ, мають більший пріоритет. У випадку відсутності АСЕ, що визначає потрібні права, у доступі буде відмовлено. Основними правами є R-читання, W-запис, X-виконання, D-видалення, P-зміна прав доступу до даного об’єкта, O-право стати власником об’єкту.

Задати права доступу до файлових та принтерних об´єктів можна за допомогою Windows NT Explorer. Для цього необхідно виділити об’єкт, за допомогою правої кнопки миші викликати меню, в якому вибрати пункт “Properties” (в російській локалізації “Свойства”), далі у діалоговому вікні вибрати вкладку “Security” (“Безопасность”). У вікні, що відкривається, для кожного суб’єкта доступу (користувача, псевдокористувача або групи) можна вибрати так звані “відображувані” права. Відображувані права фактично є попередньо сформованими наборами елементарних прав. Якщо є необхідність, можна керувати безпосередньо елементарними правами доступу, яких для деяких видів об’єктів є більше 20. Для цього слід натиснути кнопку “Advanced...” (Дополнительно...”). У вікні, що відкривається, можна переглядати і змінювати власника об’єкта, керувати наслідуванням прав доступу до підкталогів і файлів, викликати додаткове вікно для перегляду і заміни всіх прав доступу для кожного суб’єкта, а також задавати параметри аудита цього об’єкта (див. далі).

Реєстрація подій у Windows NT здійснюється шляхом виклику спеціальних функцій ядра ОС, що додають записи у файли *.evt директорії \winnt\system32\config. Усього є три журнали системний, прикладного ПО та безпеки. Реєстрацію подій, таким чином, може здійснювати будь-який компонент робочого середовища, проте сама ОС забезпечує її шляхом виклику цих функцій з модулю reference monitor. Для цього використовується список аудиту, що носить дещо неправильну назву “системний список контролю доступу” (SACL) та визначає для кожного об’єкту, що саме буде реєструватися при спробах отримати доступ тим чи іншим суб’єктом. На додаток до цього, можна фільтрувати записи реєстрації шляхом визначення так званої “політики аудиту”.

Перегляд журналів реєстрації за звичай здійснюється утілітою Event Viewer, що надає досить широкі можливості задання фільтрів відображення записів, зокрема за часом реєстрації, типом, категорією та джерелом події. У Windows 2000 адміністратори мають доступ до перегляду журналів реєстрації через Control Panel (в російській локалізації “Панель управления”), що доступна через стартове меню, а також через пункт меню “Administrative tasks” (в російській локалізації “Администрирование”). Списки аудиту об’єктів можна задати за допомогою Windows NT Explorer: “Properties”  Security”  “Advanced…”  Auditing” (в російській локалізації “Свойства”  “Безопасность”  “Дополнительно...”  “Параметры аудита”). Політику аудиту задають окремо – за допомогою User Manager в Windows NT 4.0 або “Administrative tasks”  “Local security policy” (“Администрирование”  “Локальная политика безопасности”) в Windows 2000.

Хід роботи

  1.  Створіть політику безпеки КС, що регламентувала б вимоги до керування паролями, контролю доступу та реєстрації.
  2.  Здійсніть вхід у систему як адміністратор. Очистіть журнали реєстрації.
  3.  Ознайомтеся з можливостями User Manager, створивши декілька користувачів та групп і призначивши їм відповідні політиці атрибути. Реалізуйте вимоги політики безпеки у відповідних меню.
  4.  Ознайомтеся з можливостями Windows NT Explorer по керуванню доступом та реєстрацією, створивши декілька файлових об’єктів та відредагувавши їх ACL і SACL.
  5.  Послідовно здійснюючи вхід в систему в якості створених користувачів і намагаючись отримати доступ до створених об’єктів, переконайтеся у дотриманні вимог політики безпеки стосовно керування паролями та контролю доступу.
  6.  Ознайомтеся з можливостями Event Viewer, здійснивши перегляд зареєстрованих подій.
  7.  Оформіть звіт.

Звіт має містити:

  1.  неформально задану політику безпеки для не менш ніж 3 користувачів і 2 груп та не менш ніж 6 файлових об’єктів;
  2.  протокол спроб отримати доступ з п.5 ходу роботи;
  3.  роздрук фрагментів журналу реєстрації.

Контрольні запитання

  1.  Які особливості має архітектура ОС Windows NT? Яке значення це має для властивостей системи?
  2.  Які суб’єкти доступу існують в Windows NT?
  3.  Яка архітектура системи ідентифікації і автентифікації Windows NT? В чому переваги такої архітектури?
  4.  Де і в якому вигляді зберігаються образи паролів? Які вразливості обраної системи?
  5.  Назвіть деякі типові об’єкти доступу Windows NT. Доступ до яких об’єктів контролює система розмежування доступу?
  6.  Які існують методи доступу, що їх розрізняє система розмежування доступу Windows NT? Які з них спільні для всіх видів об’єктів?
  7.  Які стандартні групи користувачів існують в Windows NT?. Які їхні повноваження?
  8.  Яким чином Windows NT перевіряє можливість доступу?
  9.  В чому різниця в інтерпретації прав доступу для файла і директорії?
  10.  Як відбувається в Windows NT тимчасове підвищення повноважень?
  11.  Де зберігає система журнал реєстрації? Які можливості і недоліки системи захисту журналу реєстрації від НСД?


Лабораторна робота №3. Захист реєстру операційної системи Windows NT

Мета роботи

ознайомити студентів з захистом реєстру ОС Windows NT.

Теоретичні відомості

Випадки несанкціонованого втручання в роботу комп'ютерних мереж — реальність сьогоднішнього життя. Але набагато частіше шкоду, причому ненавмисну, наносять самі користувачі, що знають ще занадто мало, щоб вважатися грамотними, але вже досить, щоб нашкодити. Відповідно до результатів опитування суспільної думки, проведеного за замовленням корпорації Oracle, 51% співробітників фірми думає, що порушення внутрішньої безпеки – набагато більш серйозна проблема, ніж спроби проникнення в мережу ззовні. Згідно даним дослідження Інституту комп'ютерної безпеки (Computer Security Institute), середній внутрішній витік інформації коштує компанії 2,7 млн. доларів, тоді як середня атака хакера приносить шкоду усього лише в 57 тисяч. Практично в кожній організації є аматори, що запускають усі файли, що виконуються, і якщо їм на очі потрапить один з редакторів реєстру – Regedit.exe чи Regedt32.exe, то й ці файли не стануть виключенням. Якщо заходи для безпеки не прийняті, то результатом таких експериментів з великою ймовірністю стануть проблеми з завантаженням системи.

Розглянемо деякі практичні рекомендації з захисту серверів і робочих станцій, що працюють під керуванням Windows NT/2000, від спроб несанкціонованого доступу.

Огляд стандартних прав доступу в Windows 2000

Стандартні налаштовування системи безпеки Windows 2000 визначаються правами за замовчуванням (default), що призначаються наступним групам:

Administrators (в російській локалізації системи – Администраторы). Користувачі з цієї групи мають повний набір прав на локальному комп'ютері чи в домені.

Users (в російській локалізації – Пользователи). За умови, що нова копія Windows 2000 була встановлена на розділі NTFS, стандартне налаштовування системи безпеки таке, що користувачам із групи Users не дозволяється порушувати цілісність операційної системи і встановлених програм. Користувачі з цієї групи не можуть установлювати програми, що використовувалися б іншими членами цієї групи (це одна з мір захисту проти «троянських коней»). Крім цього, користувачі не можуть одержати доступ до даних інших користувачів. Однак слід пам’ятати, що коли відбувається перехід на нову версію ОС з попередньої, зокрема, інсталяція Windows 2000 зверху раніше встановленої Windows NT 4 (так зване оновлення операційної системи), то система зберігає більшість налаштовувань, що були зроблені раніше. В цьому випадку ймовірні суттєві недоліки в системі безпеки ОС Windows.

Power Users (в російській локалізації – Опытные пользователи). Ця група має менший набір прав, ніж члени групи Administrators, але істотно більш широкий, ніж набір прав, що надані групі Users. Зокрема, вони можуть інсталювати програмне забезпечення, хоча деякі програми вимагають для інсталяції прав адміністратора.

Для побудови захищеної системи Windows 2000 Microsoft рекомендує налаштовувати систему так, щоб усі кінцеві користувачі були членами тільки однієї групи (Users); а програмне забезпечення, необхідне для роботи, встановлювати так, щоб його міг запускати будь-який член групи Users.

Стандартні параметри налаштовування системи безпеки встановлюються на етапі інсталяції, при початку графічної фази процесу інсталяції Windows 2000 чи оновлення операційної системи з Windows 9x до Windows 2000. Якщо виконується оновлення версії операційної системи з попередніх версій Windows NT до Windows 2000, то, як було зазначено вище, зберігаються параметри системи безпеки, що існували в попередній системі. Параметри налаштовування безпеки для об'єктів файлової системи можуть застосовуватися тільки у випадку, якщо диск відформатований для використання NTFS.

Найбільш важливі ключі реєстру Windows NT/2000, яким потрібний захист

Microsoft офіційно рекомендує адміністраторам обмежувати доступ користувачам до цілого ряду вкладених ключів, що входять до складу ключа HKEY_LOCAL_MACHINE\SOFTWARE. Основна мета цих операцій – запобігання доступу некваліфікованих користувачів до параметрів налаштовування встановленого в системі ПЗ. Рекомендується обмеження доступу до наступних ключів реєстру:

  •  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\
    CurrentVersion
  •  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
    CurrentVersion

Для групи Everyone досить мати права доступу Query Value, Enumerate Subkeys, Notify і Read Control до ключа реєстру HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion і наступним вкладеним підключам, що існують в його складі: AeDebug, Compability, Drivers, Embedding, FontDrivers, FontCache, FontMapper, Fonts, FontSubstitutes, GRE_Initialize, MCI, MCI Extensions, Ports (і усім вкладеним ключам у складі ключа Ports), Type I Installer, Windows 3.1 MigrationStatus (і усім вкладеним ключам у складі цього ключа), WOW (і вкладеним ключам у складі цього ключа).

Microsoft також рекомендує обмежити доступ користувачів до ключа реєстру, що керує даними про продуктивність системи, – HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\Perflib
. Доступ до цього ключа повинні мати тільки операційна система (SYSTEM), творці ключа (CREATOR_OWNER), члени групи Administrators і користувачі, що зареєструвалися в системі інтерактивно (Interactive).

Група Everyone повинна мати обмежені права доступу (тільки права типу Query Value, Enumerate Subkeys, Notify, Read Control) і до деяких інших ключів реєстру. Такий захист необхідно забезпечити для ключа HKEY_CLASSES_ROOT і всіх його вкладених ключів, а також для ключа HKEY_USERS\.DEFAULT. Захищаючи їх, ви захищаєте систему від зміни ряду системних параметрів і параметрів налаштовування робочого столу.

Для заборони несанкціонованого використання розділюваних ресурсів системи і застосування параметра ImagePath у складі ключа UPS для запуску небажаного програмного забезпечення доступ типу Full Control до ключів HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\LanmanServer\Shares і HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\UPS повинні мати тільки операційна система (SYSTEM) і члени групи Administrators.

При роботі із сервісом віддаленого доступу система виводить діалогові вікна, у яких користувачі повинні ввести реєстраційну інформацію – логін і пароль. У цих діалогових вікнах є прапорці, встановлення яких дозволяє запам'ятати пароль. Хоча збереження паролів дуже зручно для користувача, така практика являє собою небезпеку, оскільки паролі зберігаються так, щоб система могла швидко їх витягти. Таким чином, одержати цей пароль буде нескладно і зломщику. Щоб не дати йому такої можливості, розкрийте ключ реєстру HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ RemoteAccess\Parameters і додайте в нього параметр DisableSavePassword з типом даних REG_DWORD. Тепер система ніколи не буде пропонувати користувачу зберегти введений пароль для доступу до сервера RAS.

Захист вуликів SAM і Security

Інформація безпеки Windows NT/2000 зберігається у вуликах реєстру SAM (Security Accounts Manager) і Security. Вулик SAM містить користувацькі паролі у вигляді таблиці хеш-кодів, а вулик Security – інформацію про безпеку локального комп'ютера. Існує цілий набір утиліт, за допомогою яких можна здійснити злом вулика SAM. Найбільш відомі з них – PWDUMP, NT Crack, L0phtCrack+.

Microsoft стверджує, що кращий спосіб захисту Windows NT/2000 – це захист адміністративних паролів, але цього явно недостатньо. Доступ до вуликів SAM і Security одержують багато користувачів (наприклад, користувачі з групи Backup Operators). Вулики SAM і Security зберігаються на диску точно так само, як і інші файли, і єдине, що потрібно для злому, – це роздобути копії цих вуликів. У складі програмних продуктів існують утиліти (Regback у Windows NT 4.0; Resource Kit і REG – у Windows 2000 Resource Kit), за допомогою яких користувачі, що входять до складу груп адміністраторів чи операторів резервного копіювання, можуть одержувати копії реєстру системи, що працює.

Якщо Windows NT/2000 установлена на томі FAT, то потенційну небезпеку представляє будь-який користувач, що володіє правом на виконання перезавантаження системи і що одержав фізичний доступ до комп'ютера. Якщо ж Windows NT/2000 установлена на томі NTFS, то для копіювання можна скористатися утилітою NTFS-DOS (http://www.sysinternals.com/ntfs30.htm), що дозволяє монтувати том NTFS у DOS.

Оскільки найбільшу цінність для злому мають сервера мережі, то для забезпечення належного захисту файлів SAM і Security від незаконного копіювання варто установити комп'ютери, що захищаються, (сервера) в приміщенні, що охороняється, а також позбавити користувачів груп Power Users і Users права на перезавантаження комп'ютера. У Windows 2000 Server право перезавантаження за замовчуванням мають групи Administrators, Backup Operators, Power Users. У системах Windows 2000 Professional цим правом володіють ті ж групи, плюс Users.

Щоб відредагувати права користувачів у Windows 2000, виконайте таку послідовність дій:

  •  зареєструйтеся в системі від імені користувача з правами адміністратора;
  •  розкрийте вікно Control Panel;
  •  виконайте подвійне клацання мишею на значку Administrative Tools;
  •  виберіть опцію Local Security Policy; 
  •  розгорніть дерево консолі ММС; 
  •  виберіть опцію User Rights Assignment.

У правій частині вікна з'явиться список користувацьких прав, що доступні для редагування.

Для запобігання доступу рядових користувачів домена до файлів SAM і Security необхідно:

  •  використовувати файлову систему NTFS;
  •  позбавити кінцевих користувачів права локальної реєстрації на серверах;
  •  забезпечити належний фізичний захист для серверів;
  •  у системах Windows NT 4.0 і тих системах Windows 2000, де операційна система встановлювалася як поновлення попередньої версії Windows NT, посилити права доступу до каталогу %SystemRoot%\Repair;
  •  забезпечити безпечні умови збереження резервних копій і дисків аварійного відновлення (Windows NT 4.0), а також копій даних з набору System State Data (Windows 2000).

Для злому викрадених вуликів SAM і Security великих зусиль не потрібно. Для цього можуть використовуватись утиліти:

  •  PWDUMP
  •  PWDUMP2
  •  NT Locksmith (http://www.winternals.com)
  •  L0phtCrack+ (http://www.l0pht.com/l0phtcrack).

Успіх атаки залежить, в основному, від якості використовуваного для злому словника – чим більше кількість слів, дат, чисел, словосполучень, що використовуються як пароль найчастіше, міститься в цьому файлі, тим вище шанси вдалого злому.

Для захисту каталогу \repair призначайте права таким чином, щоб зловмисники не могли одержати доступ до даного каталогу і файлів, що містяться в ньому, особливо до файлу sam._, у якому знаходиться база даних SAM. В системі Microsoft Windows NT Server 4.0 для захисту файлів у каталозі \repair використовуйте утиліту calcs.exe, що входить до складу Microsoft Windows NT Server 4.0 Resource Kit, чи іншу аналогічну програму. Для цього:

  •  у вікні Command Prompt перейдіть у каталог %systemroot% (звичайно це C:\WINNT);
  •  виконайте команду cads repair /g administrators:F system:F /t.

Або, використовуючи програму Windows Explorer, зробіть наступне:

  •  відкрийте Windows Explorer;
  •  перейдіть у каталог repair (звичайно це C:\WINNT\repair);
  •  натисніть праву клавішу миші і виберіть в меню, що відкрилося, Properties;
  •  виберіть закладку Security;
  •  виберіть Permissions;
  •  відзначте Replace Permissions on Subdirectories і Replace Permissions on Existing Files;
  •  видаліть зі списку всіх користувачів, крім Administrators і SYSTEM;
  •  переконайтеся, що і Administrators, і SYSTEM мають права Full Control;
  •  натисніть «OK».

Тепер ви призначили користувачам Administrators і SYSTEM права Full Control на даний каталог і на усі файли, що містяться в ньому. Оскільки режим редагування ACL обраний не був, права всіх інших користувачів вилучені системою.

У залежності від конфігурації системи, крім каталогів \repair і \config NT може записувати інформацію, що має відношення до SAM, у наступні файли: pagefile.sys, memory.dmp чи user.dmp. NT використовує файл pagefile.sys для організації віртуальної пам'яті. Файл memory.dmp створюється при аварійному завершенні роботи операційної системи, якщо в конфігурації NT обраний режим запису образу пам'яті на диск. Файл user.dmp створюється при аварійному завершенні роботи якої-небудь прикладної програми, якщо в конфігурації програми Dr. Watson обраний режим запису образу пам'яті у файл.

При роботі з цими файлами NT переписує визначену порцію даних з пам'яті на диск. У деяких випадках ці дані можуть містити паролі, що зберігаються резидентно в пам'яті. Відповідно, одержавши доступ до цих файлів, зломщик може без особливої праці заволодіти важливою інформацією, що дозволяє пробити пролом у системі безпеки.

Щоб зменшити небезпеку, пов'язану з використанням файлів user.dmp і memory.dmp, вам необхідно зробити одну з наступних дій:

  •  написати командний файл, що буде видаляти зазначені файли при вході в систему;
  •  встановити права для цих файлів таким чином, щоб доступ до них мали тільки адміністратори;
  •  установити в реєстрі ключ, що вказує на необхідність видалення системного файлу pagefile.sys при завершенні роботи операційної системи;
  •  у конфігурації програми Dr. Watson відключити режим створення файлів.

Найкраще налаштувати параметри системи так, щоб зазначені два файли не створювалися. Однак при цьому може виникнути ситуація, коли програмісти, що повинні досліджувати проблему аварійного завершення роботи системи, не будуть мати необхідних їм даних.

Щоб відключити створення файлів user.dmp, програмою Dr. Watson запустіть утиліту drwtsn32.exe, відключіть параметр Create Crash Dump File і закрийте програму.

Щоб відключити в параметрах налаштовування NT створення файлу memory.dmp, запустіть в Панелі Керування програму System і виберіть закладку Startup/Shutdown. Потім відключіть параметр Write debugging information to. Якщо вам усе-таки необхідно мати образи пам'яті на момент аварійного завершення роботи NT, постарайтеся налаштувати параметри ОС і програми Dr. Watson таким чином, щоб файли, що містять образ пам'яті, розміщувалися в захищеному каталозі, що доступний лише адміністраторам.

Що стосується файлу pagefile.sys, то його відкриває і захищає від спроб безпосереднього доступу з боку зломщиків тільки операційна система. Однак варто згадати інцидент, коли клієнтська служба NetWare для Windows NT поміщала в пам'ять паролі користувачів NetWare у відкритому вигляді. Ці паролі могли бути записані у файл pagefile.sys при переписуванні відповідної сторінки пам'яті на диск. Кожен, хто мав копію файлу pagefile.sys і текстовий редактор, міг без зусиль одержати паролі. Розроблювачі Novell вирішили цю проблему. Тепер паролі, перш ніж бути поміщеними в pagefile, шифруються з використанням недокументованого API-інтерфейсу. Однак винахідливі зломщики можуть пробити цей захист, знайшовши спосіб розшифровки інформації, одержуваної з файлу pagefile.sys (за деякими відомостями, це вже вдалося російським програмістам).

Щоб захиститися від подібних атак, налаштовуйте NT таким чином, щоб файл pagefile.sys видалявся при завершенні роботи системи. І не забувайте про необхідність фізичного захисту комп'ютера з метою запобігання небажаного доступу до файлу pagefile.sys. Але у такий спосіб ви забезпечите захист тільки від тих зломщиків, що копіюють чи змінюють файл, завантажившись з іншої копії ОС (тобто використовуючи завантажувальний диск чи завантаживши NT з іншого системного каталогу). Більшість зломщиків розуміють, що в такому випадку в них є можливість одержання доступу до системи шляхом переміщення бази даних SAM – отже, злом файлу pagefile.sys стає взагалі не потрібним.

Незважаючи на це, у ситуаціях, коли умови експлуатації системи вимагають установки і використання декількох копій ОС, видалення файлу pagefile.sys при нормальному завершенні роботи можна вважати достатньою мірою безпеки. Варто мати на увазі – якщо NT налаштована так, щоб видаляти pagefile під час завершення роботи системи, то неминуча деяка затримка в процесі початкового завантаження й зупинки ОС. Однак ця затримка несуттєва, якщо взяти до уваги рівень безпеки, якого ми в результаті досягаємо. Для того щоб включити режим видалення файлу pagefile.sys під час нормального завершення роботи ОС, варто модифікувати (чи створити) у системному реєстрі у ключі HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session
Manager\Memory Management
параметр ClearPageFileAtShutdown (типу REG_SZ) , присвоївши йому значення 1.

Хеш-коди паролів у пам'яті

За замовчуванням NT кешує необхідні для реєстрації атрибути для десяти останніх користувачів, що входили в систему інтерактивно. Це робиться для того, щоб користувач зміг зареєструватися, навіть якщо ви відключите комп'ютер від мережі чи контролер домену виявиться недоступним. NT забезпечує деякий захист інформації, що кешується. Однак якщо ваші задачі вимагають більш високого рівня безпеки, ви можете цілком відключити кешування, щоб виключити спроби атак на дані в кеш-пам'яті. Потрібно враховувати, що кешовані дані містять хеш-коди інших хеш-кодів паролів. Тому їх дуже складно зламати і використовувати для несанкціонованого входу в систему. Поки що в практиці не було жодного випадку використання хакерами таких даних з кеш-пам'яті. Щоб відключити кешування, змініть на нуль значення параметра реєстру CachedLogonsCount (типу REG_DWORD) у ключі HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon.

SAM у мережі

ОС Windows NT використовує протокол SMB (Server Message Block – блок серверних повідомлень), розроблений спільно фірмами Microsoft, IBM і Intel. Даний протокол визначає алгоритми функціонування файлової служби в мережевому середовищі. Неважко припустити, що під час сеансу SMB по мережі повинні передаватися пакети, що містять інформацію конфіденційного характеру. Серед іншого, ці пакети звичайно містять у собі зашифровані дані протоколу NTLM, передані NT під час фази автентифікації.

Зломщики, використовуючи існуючі мережні аналізатори, можуть легко перехоплювати дані, що передані по мережі. Задача перехоплення потрібних пакетів і одержання з них інформації про паролі завжди вважалася нелегкою. Але ситуація в корені змінилася з появою продукту SMB Packet Capture, випущеного компанією L0pht Heavy Industries. SMB Packet Capture – це мережевий аналізатор, що тісно інтегрований із програмою L0phtCrack. Маючи у своєму розпорядженні L0phtCrack, можна легко «вихоплювати» з мережі хеш-коди паролів, передані відповідно до протоколу SMB.

Вбудований у L0phtCrack мережевий аналізатор непомітно перехоплює хеш-коди паролів і запам'ятовує їх з метою розшифровки. Після розшифровки паролів зловмиснику нічого не варто добратися до будь-якого мережевого ресурсу, до якого мав доступ відповідний користувач. Ризик тут очевидний, але і методи захисту прості.

Для захисту від подібних атак потрібно використовувати протокол NTLMv2, що поставляється в складі пакетів відновлення SP4 і SP5, або застосовувати механізм створення віртуальних приватних мереж (VPN – Virtual Private Network) типу Microsoft PPTP. Протокол NTLMv2 дозволяє захистити дані, передані по внутрішній локальній мережі, а PPTP забезпечує захист інформації, переданої через такі «небезпечні» мережі, як наприклад Інтернет. Якщо ви реалізуєте PPTP, то обов'язково встановіть останні сервісні пакети, включаючи доповнення і виправлення до них (hotfix). Microsoft внесла необхідні коректування, що усувають недоліки PPTP. Але ці коректування будуть вам недоступні, якщо ви не встановите hotfix до пакета SP3 чи більш пізнього відновлення.

Варто мати на увазі, що при відсутності у вашій системі механізму VPN і технології підписів SMB зломщик може використовувати сеанс SMB для одержання несанкціонованого доступу в систему. Microsoft реалізувала технологію підписів SMB у пакеті відновлення SP3 і також включила її в усі наступні. При використанні підписів пакетів SMB операційна система перевіряє дійсність кожного з них, перш ніж прийняти його до виконання. Однак реалізація підписів SMB не завжди безпечна. Для одержання більш докладної інформації обов'язково прочитайте статті Microsoft «How to Enable SMB Signing in Windows NT» (http://support.microsoft.com/support/kb/articles/q161/3/72.asp).

Для боротьби з засобами злому типу L0phtCrack можна заборонити NT посилати в мережу хеш-коди паролів, формовані за протоколом LAN Manager (LM). Останні є більш простими, чим коди NTLM, що дозволяють задіяти паролі, що враховують регістр. Крім того, NTLM припускає можливість застосування додаткових символів клавіатури. Це розширює діапазон символів ключа шифрування на 26. Помітимо, що складні паролі сутужніше піддаються розшифровці навіть при наявності таких інструментів, як L0phtCrack.

Доцільно включати в пароль символ «повернення каретки» (Return), тому що L0phtCrack не вміє нормально обробляти цей символ. Щоби вставити «повернення каретки», натисніть клавіші Alt+0+1+3 на цифровій панелі клавіатури.

Дослідження стійкості паролів до злому програмним забезпеченням L0phtCrack+, що виконувалось на комп'ютері Pentium III/550 з обсягом застосовуваного словника 9 Мб, дало такі результати:

• якщо пароль складається зі стандартних слів англійської (російської) мови, то час злому складе не більш 2 хвилин (у залежності від величини словника);

• при застосуванні паролів довжиною не менш 8 символів і складених з цифр і букв англійського алфавіту час злому – до 40 діб;

• при застосуванні паролів довжиною не менш 8 символів і складених з букв, цифр і спецсимволів час, відповідно, збільшується до 100 діб.

Для рішення цієї проблеми Microsoft реалізувала в складі доповнень і виправлень до сервісного пакета SP3 новий ключ реєстру. Він був включений в усі сервісні пакети, що вийшли після SP3. Новий параметр реєстру, LMCompatibilityLevel, має тип REG_DWORD і розміщається в HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa.

При використанні NTLMv2 можна установити значення цього параметра рівним 0,1, 2, 3, 4 чи 5:

• якщо це значення дорівнює 0, то NT при автентифікації мережного з'єднання передає по мережі паролі як у форматі NTLM, так і у форматі LM (цей метод автентифікації забезпечує сумісність з іншими системами і використовується в NT за замовчуванням);

• якщо значення дорівнює 1, то NT передає обидва типи хеш-кодів тільки тоді, коли цього вимагає сервер;

• якщо значення дорівнює 2, то хеш-коди паролів у форматі LM не використовуються ні при яких обставинах;

• якщо значення дорівнює 3, застосовується тільки автентифікація за протоколом NTLMv2;

• значення параметра, рівне 4, забороняє контролеру домена використовувати автентифікацію LM;

• значення 5 указує на необхідність застосування при автентифікації тільки протоколу NTLMv2. Найбільш безпечною є встановлення значення цього параметра рівним 2. Але варто мати на увазі, що системи, що підтримують тільки протокол LM (тобто Windows 95 і Windows for Workgroups), не зможуть установити з'єднання з даною системою NT. Повний перелік особливостей конфігурації описаний у статті «How to Disable LM Authentication on Windows NT».

Ще один спосіб злому системи може мати місце, якщо зломщик має у своєму розпорядженні можливість фізичного доступу до комп'ютера. Використовуючи такі засоби, як NT Locksmith чи ERD Commander (обидва можна знайти на http://www.winintemals.com), нічого не варто одержати доступ у систему з правами будь-якого користувача. Для захисту від цього методу злому варто вжити заходів, що перешкоджають фізичному доступу до комп'ютера

Адміністративні рекомендації з захисту Windows NT/2000

Далі наведені основні ідеї й особливості конфігурації, які варто враховувати при установці і супроводі ОС Windows NT\2000 і її системи безпеки. Адміністративні рекомендації:

1. Обмежити фізичний доступ до сервера (станції) Windows NT. Сервер повинний встановлюватися в закритій кімнаті із сигналізацією, виведеною на пульт чергового. Кімната повинна бути обладнана двома замками чи замком із двома різними ключами, що ніколи не повинні зберігатися разом. Один з них повинний зберігатися в системного адміністратора, інший – у відповідного співробітника служби безпеки. Розкриватися кімната повинна тільки цими співробітниками разом.

2. Обмежити можливість завантаження з гнучких дисків, CD-ROM – або шляхом фізичного відключення накопичувача на гнучких дисках і CD-ROM, або установкою в BIOS завантаження тільки з твердого диска і закриття BIOS паролем супервізора з одночасним фізичним відключенням клавіатури.

3. Бажано один із гвинтів на корпусі сервера обладнати «гвинтом із секретом», що виключить можливість підключення стороннього HDD з ОС Windows NT. Дуже ефективний спосіб опечатування комп'ютера – заливання одного з гвинтів на корпусі звичайним лаком для нігтів, якого на сьогодні існує більш 400 000 відтінків.

4. Комплект дискет відновлення повинен знаходитися в сейфі, обов'язково окремо від самого сервера (тобто в іншому приміщенні).

Хід роботи 

  1.  Увійдіть у систему з адміністративними правами.
  2.  Запустіть програму User Manager. Виберіть у меню:

Policies => Audit і відзначте Audit These Events.

  1.  Виділіть для аудита (по мінімуму) події з успішним (Success) і невдалим (Failure) результатом виконання; включіть аудит спроб входу в систему і виходу з неї (Logon, Logoff). Закрийте діалогове вікно, щоб активізувати аудит системи.
  2.  Відкрийте програму Services у «Панелі Керування», встановіть для служби «Планувальник NT» (NT Scheduler) режим запуску від імені системи (System account). Запустіть службу «Планувальника» (якщо вона вже була запущена – перезапустіть її).
  3.  Відкрийте вікно DOS і перевірте поточний системний час.
  4.  Додайте до поточного часу 1-2 хвилини (так, якщо час 11:30, використовуйте 11:32) і введіть команду: at 11:32 /interactive “regedt32.exe”. Ця команда вставляє в список «Планувальника» подію, за якою в 11:32 на консолі буде запущена утиліта regedt32 із правами SYSTEM.

Якщо з якихось причин у Вас виникли труднощі з «Планувальником», можна діяти іншим чином. Знайдіть у каталозі WinNT\SYSTEM32 файл logon.scr. Для нього в цьому каталозі система не показує розширення, але його тип (Screensaver) легко впізнати по стандартній іконці для екранних заставок. Ця заставка – системна, вона автоматично запускається системою з правами SYSTEM, якщо після перезавантаження проходить визначений в реєстрі час (як правило, 900 секунд, тобто 15 хвилин). Тимчасово збережіть де-небудь цей файл (наприклад, на Desktop). Далі знайдіть в цьому ж каталозі файл regedt32.exe і зробіть його копію з ім’ям logon.scr. Далі залишається лише почекати після перезавантаження заданий час, не торкаючись консолі, і все – редактор реєстру з правами SYSTEM у ваших руках (або в руках того, хто знаходиться в цей момент біля консолі). Не забудьте потім вернути на місце справжній logon.scr!

  1.  Дочекайтеся визначеного часу, коли «Планувальник NT» запустить редактор реєстру. При цьому ви одержите доступ до всього реєстру, включаючи базу даних SAM. Будьте уважні при редагуванні реєстру — помилка може вивести з ладу систему.
  2.  Виберіть HKEY_LOCAL_MACHINE, знайдіть дерево SAM і виділіть його в лівій панелі екрана.
  3.  Виберіть у меню: Security => Auditing (Безопасность => Аудит)
  4.  У діалоговому вікні Auditing виберіть Add => Show Users.
  5.  Додайте обліковий запис SYSTEM, групу Domain Admins, всі облікові записи користувачів, що мають адміністративні права, а також всі інші облікові записи, яким привласнені наступні права (User Rights):
    •  Take ownership of files or other objects (контроль над файлами чи іншими об'єктами);
    •  Back up files and directories (створення архівних копій файлів і каталогів);
    •  Manage auditing and security log (керування аудитом і журналом безпеки);
    •  Restore files and directories (відновлення файлів і каталогів);
    •  Add workstations to domain (додавання робочих станцій до домену);
    •  Replace a process-level token (заміна маркера рівня процесу).
  6.  Відзначте Audit Permission on Existing Subkeys
  7.  Відзначте Success і Failure для наступних полів:

Query Value, Set Value, Write DAC, Read Control.

  1.  Натисніть кнопки OK, Yes.
  2.  Повторіть кроки з 10 по 14 для ключа SECURITY, якщо це необхідно. Це не потрібно, якщо вам потрібно активізувати аудит тільки ключів, що містять паролі.
  3.  Вийдіть з редактора реєстру. Зупиніть службу «Планувальника» і змініть його конфігурацію так, щоб він працював від імені користувача, що вживалося раніше (до кроку 4). Якщо ви не застосовуєте в звичайній роботі системи «Планувальник NT», то просто зупиніть його чи, ще краще, заблокуйте (варіант disabled).
  4.  Оформіть звіт, який повинен містити протокол ваших дій, значення параметрів, які були до вашого втручання, і ті, які ви встановили.


Лабораторна робота №4. Підсистема ідентифікації й автентифікації

Мета роботи

ознайомити студентів з місцем, задачами та принципами побудови підсистеми ідентифікації та автентифікації у системах захисту інформації від несанкціонованого доступу.

Теоретичні відомості

Однією з основних функцій систем захисту від несанкціонованого доступу є ідентифікація та автентифікація. Вона полягає в тому, що жоден суб’єкт (сутність обчислювальної системи, здатна ініціювати виконання операцій) не може отримати доступ до об’єктів (сутностей обчислювальної системи, що захищаються) без надання системі захисту певного обсягу інформації про себе.

При цьому ідентифікація суб’єкта полягає в тому, що суб’єкт повідомляє системі захисту свій унікальний ідентифікатор в обчислювальній системі; автентифікація суб'єкта полягає в тому, що суб’єкт надає системі захисту окрім ідентифікуючої інформації ще й певну інформацію, за допомогою якої система перевіряє, що він дійсно є тим суб’єктом, якого стосується ідентифікуюча інформація; авторизація суб’єкта відбувається після вдалих ідентифікації та автентифікації і полягає в тому, що обчислювальна система виконує дії, необхідні для того, щоб суб’єкт мав можливість почати роботу.

Таким чином, щоб отримати доступ в обчислювальну систему, користувач має спочатку ідентифікувати себе, а механізми захисту, в свою чергу, мають підтвердити істинність користувача, тобто підтвердити, що він дійсно є тим, кого з себе удає. Існує три групи способів підтвердження істинності користувача. Відповідно, для кожної групи механізми підсистеми ідентифікації та автентифікації мають перевірити:

  1.  щось, що користувач знає (паролі, ідентифікаційні коди, інші відомості);
  2.  щось, що користувач має (ключі, магнітні чи смарт-картки і т.п.);
  3.  щось, чим користувач є (особисті характеристики користувача: відбитки пальців, малюнок сітківки ока, характеристики голосу, особливості користування клавіатурою та маніпуляторами).

Далі розглядатимуться способи, що належать до першої групи, як найбільш поширені.

Якщо перевіряється істинність тільки користувача, то таку процедуру називають одностороннім (peer-entity) підтвердженням істинності. В іншому випадку, тобто коли користувач має підтвердити свою істинність системі, а система, в свою чергу, має підтвердити свою істинність користувачеві, така процедура носить назву двосторонньої (peer-to-peer) автентифікації.

В разі використання автентифікації за простим паролем кожен користувач обчислювальної системи отримує пару значень – ідентифікатор (ім'я в системі) та пароль. Користувач отримує доступ, якщо вказаний ним в процесі входу в систему ідентифікатор є зареєстрованим, а відповідний пароль – вірним.

Така схема вразлива щодо втрати або розголошення пароля, внаслідок чого одні користувачі можуть видавати себе за інших, тим самим здійснюючи несанкціонований доступ.

Іншим способом є автентифікація на основі списку паролів. При цьому користувачеві разом з ідентифікатором надається список паролів. Перший пароль використовується при першому входів систему, другий – при другому і т. д. Незважаючи на те, що така схема є більш стійкою до втрати окремих паролів, вона має суттєві недоліки, а саме:

  •  користувачеві незручно запам'ятовувати список паролів;
  •  у випадку помилки або збою при автентифікації користувач не знає, користуватись йому поточним чи наступним паролем.

Ще одним способом автентифікації є використання необоротних функцій.

Необоротною (односторонньою) функцією називається таке відображення F деякої множини на саму себе, що:

  •  досить легко можна обчислити F(x) для заданого x;
  •  для заданого y практично неможливо обчислити таке х, що y = F(x).

При цьому на початку роботи користувач має певну послідовність, наприклад:

F999(x), …, F(F(F(x))), F(F(x)), F(x), x.

При цьому в системі в цей час зберігається значення F1000(x), на першому кроці в якості паролю користувач використовує значення F999(x). Отримавши його, система обчислює F(F999(x)) та перевіряє його на відповідність F1000(x), що зберігається. В разі відповідності користувач отримує доступ до системи, а в системі в якості поточного починає зберігатись значення F999(x). На другому кроці перевіряється F(F999(x)) = F999(x) і так далі. Таким чином, пароль, що вже був використаний, а також всі інші, що знаходяться у списку перед ним, стають недійсними. При цьому у випадку порушення синхронізації користувач має можливість перейти до наступного в списку значення, або навіть “перескочити” через один чи кілька паролів, а система вираховує F(F(…Fn(x)…)) поки не отримає значення, відповідне тому, що зберігається.

Перевірити істинність користувача також можна за допомогою методу рукостискання (handshake). При цьому існує процедура f, що відома лише користувачеві та обчислювальній системі. При вході в систему генерується випадкове значення х і обчислюється f(x). Користувач, отримавши х, також обчислює y = f(x) та надсилає його системі. Система порівнює власне значення з отриманим від користувача і робить висновок про його (користувача) істинність. При використанні методу рукостискання ніякої конфіденційної інформації між користувачем і обчислювальною системою не передається взагалі, навіть у шифрованому вигляді. Щодо самої функції f(x), то вона має бути досить складною, щоб зловмисник не міг її вгадати, навіть накопичивши велику кількість пар (x, f(x)). В якості процедури f(x) можна використовувати шифрування x на таємному ключі, який є спільним секретом (або шифрування таємного “магічного рядка” на ключі x).

Хід роботи

  1.  Ознайомтеся з бібліотекою Windows Sockets, або з відповідними бібліотеками С++ для UNIX.
  2.  Бригадою з двох студентів напишіть програму, що реалізує автентифікацію згідно наданому варіанту. При цьому один студент з бригади створює серверну частину програми (ту, що перевіряє), а другий – клієнтську (ту, яку перевіряють). Клієнтська та серверна частини будуть здійснювати взаємодію за протоколом TCP/IP. Бригада може обрати платформу, на якій буду працювати програма: Windows 2000 – серверна частина, Windows 98 або 2000 — клієнтська частина, або UNIX (FreeBSD або Linux) – клієнтська та серверна частини.
  3.  Відладьте програму, користуючись інтерфейсом "зворотної петлі" (loopback), IP-адреса 127.0.0.1.
  4.  Виконайте програму з фізично розподіленими по двох комп'ютерах клієнтом і сервером. Перехопіть обмін клієнта з сервером за допомогою програми tcpdump, та проаналізуйте стійкість своєї схеми автентифікації до такого роду атак.
  5.  Для варіанту з простою парольною автентифікацією модифікуйте клієнтську частину з тим, щоб зробити можливим перебирання паролів та здійснити атаку на серверну частину вичерпним перебором та перебором зі словником.
  6.  Оформіть звіт.

Звіт має містити:

  1.  вихідні тексти клієнтської та серверної частин програми;
  2.  протокол роботи з клієнтською частиною для випадків вдалої та невдалої автентифікації
  3.  роздруківку перехопленого за допомогою tcpdump обміну для обох випадків;
  4.  висновки.

Варіанти

Номер варіанту

Тип автентифікації

1

Проста парольна

2

Проста парольна, підсилена біометричною за характеристиками вводу з клавіатури

3

На основі списку паролів

4

З використанням необоротних функцій

5

З використанням методу "рукостискання"

Контрольні запитання

  1.  Оцініть стійкість своєї схеми автентифікації до загрози перехоплення обміну між суб'єктами процесу автентифікації. Запропонуйте шлях покращення стійкості.
  2.  Оцініть стійкість своєї схеми автентифікації відповідно загрози підміни системи (серверної частини). Запропонуйте шлях покращення.
  3.  Оцініть рівень автентифікації в розробленій вами системі згідно НД ТЗІ 2.5-004-99


Лабораторна робота №5. Підсистема керування доступом

Мета роботи

ознайомити студентів з місцем та задачами підсистеми керування доступом в системах захисту інформації від несанкціонованого доступу.

Теоретичні відомості

Задачею підсистеми керування доступом в системах захисту інформації є виконання політики безпеки як певного набору правил розмежування доступу (ПРД).

Згідно матричної моделі безпеки, запропонованої Д. Деннінг, обчислювальну систему з точки зору безпеки можна описати у вигляді кортежу <S,O,A>, де S-множина суб'єктів системи, О-множина об'єктів системи, А-матриця доступу. Суб'єкти S є активними сутностями, здебільшого це користувачі або процеси. Об'єкти О є пасивними сутностями, тобто такими, що потребують захисту. Це можуть бути, наприклад, файли, записи баз даних, сегменти оперативної пам’яті. У деяких операціях доступу суб'єкти можуть виступати як пасивні сутності, до яких здійснюють доступ інші суб'єкти, тому SO. У матриці доступу А кожен рядок відповідає певному суб'єктові Si, а кожен стовпчик – об'єктові Оі. Елементом матриці А(Si,Оі) є список прав доступу, або повноважень суб'єкта Si стосовно об'єкта Оі. Ці права, власне, і визначають, що може робити суб'єкт з об'єктом.

Оскільки матриця доступу, як правило дуже розріджена (і, отже, неефективна з точки зору використання пам'яті), вона практично не використовується в реальних системах у повному вигляді. Замість того використовуються її наявні представлення, а саме списки доступу та списки повноважень. Список доступу асоціюється з кожним захищеним об'єктом в системі і містить в собі ідентифікатори різних суб'єктів разом з їх правами доступу до даного об'єкту (список доступу, таким чином, відповідає стовпчику матриці доступу). На відміну від списку доступу, список повноважень асоціюється з кожним суб'єктом в системі і містить в собі ідентифікатори об'єктів разом з повноваженнями цього суб'єкта стосовно цих об'єктів. Список повноважень, таким чином, відповідає рядкові матриці доступу.

При використанні матричної моделі безпеки політика безпеки інформації набуває вигляду обмежень, що накладаються на спосіб модифікації матриці доступу. Так, у випадку довірчого управління доступом (згідно НД ТЗІ 1.1-003-99) всі права на зміну прав доступу до об'єкту надаються суб'єктові, що є власником цього об'єкту. Тобто, якщо список прав доступу суб'єкта Si до об'єкта Оі містить право власника, то суб'єкт Si отримує повний контроль над стовпчиком матриці доступу, що відповідає Оі.

У випадку адміністративного управління доступом (НД ТЗІ 1.1-003-99) система захисту сама визначає можливість доступу суб'єктів до об'єктів, базуючись на певних мітках або атрибутах доступу, які може встановлювати або змінювати лише спеціально призначений адміністратор. Так, наприклад, в класичній моделі Белла-ЛаПадула такими атрибутами є рівень конфіденційності L та категорія C. При цьому мають виконуватись два правила: просте правило безпеки та *-правило. Просте правило безпеки встановлює, що суб'єкт S може читати об'єкт О тоді і тільки тоді, коли рівень конфіденційності lslo та категорія csÍco. *правило встановлює, що суб'єкт S може писати в об'єкт О тоді і тільки тоді, коли рівень конфіденційності ls£lo та категорія coÍcs.

Подальшим розвитком моделі Белла-ЛаПадула є модель ватерлінії (Low Water Mark, LWM). В цій моделі атрибути доступу об'єктів та суб'єктів можуть змінюватись у процесі роботи системи. Так, якщо суб'єкт S читає об'єкт O, рівень конфіденційності якого ls<lo, то рівень конфіденційності суб'єкта підвищується, так що ls=lo. І навпаки, якщо суб'єкт пише в об'єкт, коли ls>lo, то рівень конфіденційності об'єкта підвищуеться таким чином, що ls=lo.

Моделі Белла-ЛаПадула та ватерлінії сконцентровані на питаннях захисту обчислювальних систем від загрози конфіденційності інформації.

Інша група моделей безпеки (адміністративного управління доступом) розглядає питання захисту обчислювальних систем від загроз цілісності інформації. Так, в моделі Біба існують рівні цілісності І та категорії С. при цьому доступ суб'єкту до об'єкту на читання можливий тоді, коли іsіо та сsÍсо. Доступ на запис, в свою чергу, можливий тоді і лише тоді, коли іsіо та соÍсs. Ці два правила, по аналогії з моделлю Белла-ЛаПадула, носять назву просте правило цілісності та *-правило цілісності. Існують також моделі Біба з пониженням рівня цілісності об'єкта та Біба з пониженням цілісності суб'єкта. В першій після операції запису суб'єктом S в об'єкт О рівень цілісності об'єкта падає до рівня цілісності суб'єкта (іs=іо). В другій внаслідок операції читання рівень цілісності падає до рівня цілісності прочитаного об'єкта (іs=іо).

Композитна модель адміністративного управління доступом об'єднує в собі модель конфіденційності Белла-ЛаПадула та модель цілісності Біба.

Хід роботи

  1.  Користуючись програмою, розробленою в ході Лабораторної роботи №4, розробіть програму, що давала б можливість працювати клієнту з об'єктами даних, що знаходиться на "серверному" боці. В якості об'єктів можуть виступати рядки символів або текстові файли. При цьому програма має реалізувати одну з політик контролю доступу згідно наданому варіанту. Кількість прав доступу не повинна бути менше 4-х (враховуючи право власника).
  2.  Відлагодьте програму, користуючись інтерфейсом "зворотної петлі" (loopback), а потім – в спеціалізованій комп’ютерній лабораторії з реальними мережевими інтерфейсами.
  3.  Запротоколюйте роботу програми для не менш ніж трьох користувачів та не менш ніж десяти об'єктів даних.
  4.  Оформіть звіт.

Звіт має містити:

  1.  вихідні тексти клієнтської та серверної частин програми;
  2.  протокол роботи програми;
  3.  висновки.

Варіанти

Номер варіанту

Політика контролю доступу

1

Довірче (дискреційне) керування доступом

2

Модель Белла-ЛаПадула без категорій

3

Модель Белла-ЛаПадула з категоріями

4

Модель ватерлінії

5

Модель Біба без категорій

6

Модель Біба з категоріями

7

Модель Біба з пониженням рівню суб'єктів та об'єктів

8

Композитна модель

Контрольні запитання

  1.  Проаналізуйте недоліки довірчого управління доступом.
  2.  Оцініть позитивні та негативні сторони реалізованої політики безпеки.
  3.  Опишіть на рівні структур даних, як у Вашій роботі реалізовано матрицю доступу.
  4.  Охарактеризуйте рівень контролю доступу в реалізованій системі згідно НД ТЗІ 2.5-004-99. Що можна зробити, щоб його підвищити?
  5.  Проаналізуйте взаємодію підсистеми управління доступом автентифікації в розробленій системі.


Лабораторна робота №6. Підсистема реєстрації

Мета роботи

ознайомити студентів з місцем та задачами підсистеми реєстрації в системах захисту інформації від несанкціонованого доступу.

Теоретичні відомості

Підсистема реєстрації є сукупністю таких механізмів захисту, що здійснюють реєстрацію всіх подій в обчислювальній системі, які прямо чи опосередковано стосуються її безпеки. Використання механізмів реєстрації обумовлено такими чинниками:

  1.  оскільки обчислювальні системи складаються з великої кількості компонентів та мають дуже складну структуру, практично неможливо гарантувати відсутність помилок при їх розробці, а також адміністративних помилок під час їх експлуатації;
  2.  побудовані за допомогою криптографічних механізмів захисту системи є вразливими внаслідок можливості розкриття засобами криптоаналізу, а системи, що використовують паролі, – внаслідок можливості підбору паролю;
  3.  використання систем розмежування доступу обмежує користувачів системи певними правилами, дотримання яких не завжди можна забезпечити організаційними заходами;
  4.  навіть найдосконаліша система розмежування доступу є вразливою від дій користувачів, що зловживають своїми повноваженнями.

В якості прикладів подій, що реєструються, можна навести включення та виключення системи, вхід у систему та вихід з неї користувачів, невдалі спроби автентифікації, доступ суб'єктів до об'єктів, зміну повноважень суб’єктів по відношенню до об'єктів та інші. Реєстрація має відбуватися як на рівні системного (операційна система), так і на рівні прикладного (наприклад сервер бази даних) програмного забезпечення.

Для реєстрації подій створюється спеціальний файл (або група файлів), що носить назву журналу реєстрації. Журнал реєстрації, як правило, містить інформацію про час, дату, місце, тип та результати кожної зареєстрованої події. Система захисту інформації від несанкціонованого доступу повинна забезпечити захист своїх журналів реєстрації від несанкціонованого доступу, знищення або спотворення.

Хід роботи

  1.  Доповніть програму, розроблену в ході Лабораторних робіт №№ 4, 5 механізмом реєстрації подій. Обов'язково повинні реєструватися вдалі та невдалі спроби автентифікації та вдалі і невдалі спроби доступу до об'єктів.
  2.  Відлагодьте програму та запротоколюйте її роботу у вигляді таблиці з двох стовпчиків. Перший має містити дії користувача, другий – їх відображення в журналі аудиту.
  3.  Оформіть звіт.

Звіт має містити

  1.  вихідні тексти серверної частини програми.
  2.  протоколи роботи програми.
  3.  висновок.

Контрольні запитання

  1.  Спробуйте ідентифікувати ознаки тих чи інших порушень безпеки, спираючись на отриманий вами журнал реєстрації. Охарактеризуйте труднощі, що виникають при рішенні цієї задачі.
  2.  Проаналізуйте взаємодію підсистеми реєстрації з підсистемами автентифікації та управління доступом в розробленій системі.
  3.  Оцініть рівень реєстрації в розробленій системі згідно НД ТЗІ 2.5-004-99. Що можна зробити, щоб його підвищити?


Список рекомендованої літератури

  1.  Зегжда Д. П., Ивашко А. М. Как построить защищенную информационную систему. – СПб: НПО “Мир и семья – 95”, 1997. – 312 с.
  2.  Зегжда Д. П., Ивашко А. М. Как построить защищенную информационную систему. Технология создания безопасных систем. – СПб: НПО “Мир и семья – 95”, ООО “Интерлайн”, 1998. – 256 с.
  3.  Проскурин В. Г., Крутов С. В., Мацкевич И. В. Программно-аппаратные средства обеспечения информационной безопасности. Защита в операционных системах. – М.: Радио и связь, 2000. – 168 с.
  4.  Теоретические основы компьютерной безопасности / П. Н. Девянин, О. О. Михальский, Д. И. Правиков и др. – М.: Радио и связь, 2000. – 192 с.
  5.  Щербаков А. Ю. Введение в теорию и практику компьютерной безопасности. – М.: издатель Молгачева С. В., 2001, 352 с.
  6.  НД ТЗИ 1.1-002-99. Общие положения по защите информации в компьютерных системах от несанкцонированного доступа. – “Безопасность информации”, №1(10), 1999. С.5.
  7.  НД ТЗИ 1.1-003-99. Терминология в области защиты информации в компьютерных системах от несанкцонированного доступа. – “Безопасность информации”, №1(10), 1999. С.19.
  8.  НД ТЗИ 2.5-004-99. Критерии оценки защищенности информации в компьютерных системах от несанкцонированного доступа. – “Безопасность информации”, №1(10), 1999. С.43.
  9.  НД ТЗИ 2.5-005-99. Классификация автоматизированных систем и стандартные функциональные профили защищенности обрабатываемой информации в компьютерных системах от несанкцонированного доступа. – “Безопасность информации”, №1(10), 1999. С.87
  10.  Володимир БЕЗМАЛИЙ. Комп’ютери + Програми. №4 – 2002
  11.  Кокорева О. Реєстр Windows 2000.— Санкт-Петербург: Видавничий будинок «BHV», 2000.

3


Передмова


Вступ


Вимоги до спеціалізованої лабораторії

3


Лабораторна робота №1


Механізми захисту операційної системи Unix

3

3


Лабораторна робота №2


Механізми захисту операційної системи Windows NT

3


Лабораторна робота №3


Захист реєстру операційної системи Windows NT


Лабораторна робота №4


Підсистема ідентифікації й автентифікації


Лабораторна робота №5


Підсистема керування доступом


Лабораторна робота №6


Підсистема реєстрації


 

А также другие работы, которые могут Вас заинтересовать

80663. Менеджмент и производственный потенциал предприятия 71 KB
  Для выбора эффективной стратегии действий менеджер должен дать оценку экономическому потенциалу предприятия - совокупности трудовых, материальных, финансовых и других ресурсов, имеющихся в распоряжении предприятия, а также способности работников к использованию ресурсов с целью создания товаров, услуг и получения максимальной прибыли.
80664. Кадры управления. Стиль управления 497.5 KB
  Стиль руководства. Стиль руководства Человеческий фактор на предприятии становится всё больше интеллектуальным дополнением к технологии и современной организации различной деятельности. При этом эффективность его работы во многом определяется стилем руководства. Общая схема использования различных методов менеджмента в зависимости от стиля руководства: Параметры взаимодействия Стили руководства Менеджера с коллективом Авторитарный автократический Демократический.
80665. Методологические аспекты менеджмента 150 KB
  Менеджмент - это искусство ведения дел, управления тем или иным объектом, это владение профессиональным мастерством с помощью эффективных принципов управления, чувство хозяина, сочетающееся как с чутким, бережным отношением к людям, так и с использованием приемов, позволяющих исключить жесткое администрирование, добиваясь при этом успешного выполнения поставленных целей.
80667. Товар и товарная политика в маркетинге 754.5 KB
  Понятие товара и его слагаемые. Концепция жизненного цикла товара. Разработка и реализация концепции нового товара. Итак, первооснова эффективности рыночной экономики и БАЗИС маркетинга - удовлетворение потребностей потребителей. Не случайно маркетологи всего мира считают крылатой фразу неизвестного автора: Бизнес появился, чтобы давать счастье (удовлетворение), а не копить миллионы
80668. Комплексный анализ и прогнозирование товарных рынков методами маркетинга 953 KB
  Цели и задачи исследования рынка методами маркетинга. Методы изучения рынка. Цели и задачи исследования рынка методами маркетинга Первый шаг менеджера отвечающего за разработку стратегии маркетинга получить информацию о рынке основном инструменте жизни общества который человечество знает со времен первоначальных прямых обменов. РЫНОК место где встречаются продавец и покупатель отличающиеся следующими свойствами: Для развития рынка необходимо: Четкое полное своевременное изучение рынка обеспечивает: ясность целей знание...
80669. Цены и ценовая политика в маркетинге 84 KB
  Именно цены определяют структуру производства оказывают решающее воздействие на движение материальных потоков распределение товарной массы уровень благосостояния населения. Для успешной работы на рынке очень важно правильно учесть многочисленные факторы влияющие на уровень цены. Цены конкурентов-экспортеров в данную страну.
80670. Коммуникационная политика в маркетинге 76.5 KB
  Планирование и контроль мероприятий ФОССТИС. Цель задачи и правила ФОССТИС Воздействие на покупателя заключающееся в убеждении последнего в том что приобретение именно данного товара выгодно и целесообразно осуществляется различными методами: рекламными посланиями проспекты объявления телевизионные фильмы и т. Все эти средства называются КОММУНИКАЦИОННОЙ ПОЛИТИКОЙ и известны в специальной литературе как средства ФОССТИС формирования спроса и стимулирования сбыта.