Реализация идентификации и аутентификации
Особенностью и, несомненно, преимуществом комплекса «Аккорд». является проведение на аппаратном уровне процедур идентификации и аутентификации до загрузки операционной системы. Это обеспечивается при помощи программного обеспечения, записанного в энергонезависимой флэш-памяти платы контроллера «Аккорд-АМДЗ» из состава комплекса «Аккорд». Встроенное ПО «Аккорд-АМДЗ» из состава комплекса «Аккорд» получает управление на себя во время так называемой процедуры ROM-Scan, суть которой заключается в следующем:
В процессе начального старта после проверки основного оборудования BIOS компьютера начинает поиск внешних ПЗУ в диапазоне от С800:0000 до Е000:0000 с шагом в 2К. Признаком наличия ПЗУ является наличие слова AA55H в первом слове проверяемого интервала. Если данный признак обнаружен, то в следующем байте содержится длина ПЗУ в страницах по 512 байт. Затем вычисляется контрольная сумма всего ПЗУ, и если она корректна – будет произведен вызов процедуры, расположенной в ПЗУ со смещением 3. Такая процедура обычно используется для инициализации BIOS плат расширения. СЗИ «Аккорд» в этой процедуре проводит идентификацию и аутентификацию пользователя, контроль целостности аппаратной части СВТ, программ и данных. При любой ошибке возврат из процедуры не происходит, т.е. загрузка выполняться не будет.
|
|
Реализация разграничения доступа
Разграничение доступа к ресурсам СВТ в комплексе «Аккорд», (разграничение ресурсов – в терминах СЗИ НСД «Аккорд») реализовано при помощи резидентной программы, которая перехватывает на себя обработку функций дискового ввода/вывода. Смысл работы данного резидентного модуля в том, что при получении от пользовательской программы запроса, например, на удаление файла сначала производится проверка наличия таких полномочий у пользователя. Если такие полномочия есть – управление передается обычному обработчику ОС для исполнения операции. Если таких полномочий нет – имитируется выход с ошибкой.
Реализация управления потоками информации
В комплексе «Аккорд» реализован механизм управления потоками информации, основанный на принципах мандатного разграничения доступом. При такой реализации механизма управления потоками информации, обработка информации определённого уровня конфиденциальности выполняется только с помощью выделенных программ (процессов). Как для каталогов, так и для отдельных файлов может быть установлена метка конфиденциальности, а каждому пользователю присваивается метка уровня доступа.
Реализация регистрации событий
Как для каталогов, так и для отдельных файлов может быть установлена опция регистрации доступа к каталогу и его содержимому в регистрационном журнале. Регистрация осуществляется в следующем порядке: • для каждого пользователя администратор БИ устанавливает уровень детальности журнала – низкая, средняя, высокая; • для любого уровня детальности в журнале отражаются параметры регистрации пользователя, доступ к устройствам, запуск задач, попытки нарушения ПРД, изменения ПРД (в частности, изменение паролей
|
|
Реализация дискретного механизма доступа
Реализация мандатного механизма доступа
Пользователям и процессам (опционально) присваиваются категории доступа (уровни допуска), также изменяющиеся от 0 до 15. Доступ пользователя или процесса возможен тогда и только тогда, когда его уровень допуска не ниже грифа объекта доступа.
10. Основные подходы к построению систем обнаружения и предотвращения вторжений. Snort, Prelude, Рубикон.
Снорт:
IDS Snort (Martin Roesch, 1998г.) – свободно распространяемая сетевая система обнаружения вторжений, написанная на языке С, которая способна выполнять регистрацию пакетов и в реальном времени осуществлять анализ трафика в IP-сетях. На основе множества правил, IDS Snort может выявлять подозрительную активность и генерировать предупреждения. Обычно система анализирует данные из сети и применяет к ним свои правила. Таким образом, основной принцип функционирования IDS Snort строится на основе правил.
Snort использует правила, хранящиеся в текстовых конфигурационных файлах системы. Правила, относящиеся к разным категориям, хранятся в отдельных файлах. Эти файлы подключаются в основной конфигурационный файл snort.conf. Система по умолчанию имеет сформированный набор базовых правил, но чтобы обнаружить несанкционированную деятельность с конкретными, характерными требованиями пользователя, можно разрабатывать и добавлять собственные правила.
1. Мониторинг трафика сети;
2. Сканирование системы (порты, операционные системы (ОС), пользователи и т.д.);
3. Обнаружение атак на такие службы как Telnet, FTP, DNS;
4. Выявление атак, связанных с Web серверами, атаки на базы данных SQL, Oracle;
6. Обнаружение вирусов.
Разработчики выделяют три режима работы Snort: 1. Режим снифера; 2. Режим регистратора пакетов; 3. Режим выявления атак. 7 В режиме снифера IDS Snort выводит в стандартный поток вывода частичное или полное содержание пакетов, которые перехватываются в сети. В режиме регистратора пакетов Snort сохраняет перехваченные пакеты в указанном каталоге файловой системы. В режиме сетевой системы выявления атак производится анализ трафика сети на соответствие правилам, предварительно сформулированными администратором, и выполняет определенные администратором действия в случае обнаружения атаки.
Прелюд
Prelude-IDS – универсальная OpenSource система обнаружения вторжений. Система собирает, фильтрует и анализирует данные из системных журналов. Важной особенностью данной IDS является контроль и сопоставление событий как на сетевом уровне, так и на уровне хоста (сервера). Кроме того, система способна работать с базами данных, что существенно расширяет её функционал.
Составляющие Prelude: 1. Подсистема управления Prelude-manager, предназначенная для управления сенсорами и сбора событий, связанных с безопасностью защищаемой системы. 2. Подсистема анализа Prelude-lml, предназначенную для выявления атак и подозрительных действий посредством заданных правил. 3. Хранилище MySQL DataBase, обеспечивающее накопление результатов анализа и первичных событий. 4. Интерфейс Prewikka, позволяющий управлять настройками Prelude и удобным просмотром из базы данных.
Рубикон
Аппаратно-программный комплекс «РУБИКОН» выполняет функции межсетевого экранирования (МЭ) и системы обнаружения вторжений (СОВ). На основе АПК "РУБИКОН" возможно построение однонаправленного шлюза (ОШ) и криптошлюза (КШ). Предназначен для использования в информационных системах обрабатывающих Персональные данные, и Конфиденциальную информацию.
|
|
Фильтрация информационных потоков; Идентификация и аутентификация фильтруемых пакетов, путем установления защищенного соединения между компьютерами; Регистрация пакетов – записи о пакетах в спец. Журналы, Идентификация и аутентификация админа – необходимо для для разграничения доступа пользователей к функциям системы, Регистрация событий администратора в специальном журнале, а также это система обнаружения вторжений – база правил, описывающих атаки, тем самым фильтр рубикон распознает злоумышленные намерения в приходящих потоках и препятствует им.
А так же – Проверка целостности, и восстановление системы.
11. Основные способы защиты в системах IP телефонии.
Существует несколько классических методов защиты сервера от атак.
Метод защиты | Описание |
Применение политики сложных паролей | Получение учетных данных методом перебора (bruteforce) требует значительных затрат времени и вычислительных ресурсов, усложнение паролей позволит сделать данный метод атак нецелесообразным |
Отключение гостевых звонков | Разрешение на совершение исходящих звонков имеют только пользователи системы. Этой настройкой можно отсечь попытки позвонить извне без предварительной авторизации |
Использование систем блокировки доступа после неудачных попыток регистрации | Просмотр отчетов системы на предмет обнаружения попыток взлома позволят выделить и блокировать IP-адрес атакующего. |
Ограничение направлений звонков, доступных абонентам, применение схемы «запрещено все, кроме разрешенного» | В случае получения злоумышленником учетных данных пользователя системы, он сможет совершать звонки только по определенным направлениям. Это позволит избежать несанкционированного совершения дорогостоящих международных звонков |
Регулярные проверки системы на предмет попыток взлома, контроль параметров | Организация системы мониторинга состояния системы позволит улучшить качество IP-телефонии и отметить типовые для данной конфигурации параметры. Отклонения этих параметров от полученных типовых значений поможет выявить проблемы с оборудованием, каналами связи и выявить попытки вторжения злоумышленников |
|
|