Что такое findslide.org?

FindSlide.org - это сайт презентаций, докладов, шаблонов в формате PowerPoint.

Для правообладателей

Обратная связь

Email: Нажмите что бы посмотреть 

Яндекс.Метрика

Презентация на тему Проблемы обеспечения безопасности сетевых

Содержание

Корпоративная сетьВнутренние серверыРабочие местаМЭ
Проблемы обеспечения безопасности сетевых операционных системЛепихин В. Б.УЦ «Информзащита» Корпоративная сетьВнутренние серверыРабочие местаМЭ Уровни информационной инфраструктуры Уровни информационной инфраструктурыTCP/IPNetBEUIIPX/SPX Уровни информационной инфраструктуры Уровни информационной инфраструктуры Уровни информационной инфраструктурыOffice 2000 Уровни информационной инфраструктуры Уровни информационной инфраструктуры Уязвимости по уровню в информационной инфраструктуреУровень сетиУровень операционной системыУровень баз данныхУровень персоналаУровень приложений Причины возникновения уязвимостей ОСошибки проектирования (компонент ядра, подсистем) ошибки реализации Источники информации о новых уязвимостяхwww.cert.org - координационный Дополнительные источники информации о безопасности NT/2000 www.microsoft.com/security www.winternals.comwww.ntsecurity.com BUGTRAQ Vulnerability Database StatisticsBUGTRAQ Vulnerability Database Statistics Источник возникновения: ошибки реализацииОписание: проблема одной из функций ядра ОС Windows Источник возникновения: ошибки реализацииОписание: в реестре Windows NT/2000 указан относительный путь http://cve.mitre.org/cveЕдиная система наименований для уязвимостейСтандартное описание для каждой уязвимостиОбеспечение совместимости баз данных уязвимостей http://cve.mitre.org/cveCAN-1999-0067CVE-1999-0067Кандидат CVEИндекс CVE Ситуация без CVEISS RealSecureBindviewMicrosoftMS:MS01-008 Bugtraq Database20010207 Local promotion vulnerability in NT4's Поддержка CVECVE-2001-0016 vulnerability in NTLM Security Support ProviderCVEMicrosoftBindviewISS RealSecureBugtraq Database CVE entryНомерОписаниеСсылкиCVE-2001-0016 NTLM Security Support Provider (NTLMSSP) service does not properly check Ошибки проектированияОшибки, допущенные при проектировании алгоритмов и принципов работы компонент ядра, подсистем: Ошибки реализацииint i, offset=OFFSET;if (argv[1] != NULL)offset = atoi(argv[1]);buff = malloc(BSIZE);egg = Ошибки реализацииПереполнение буфера – наиболее распространённая техника использования ошибок реализацииПереполнение буфера Переполнение стекаадрес возвратаlocal[2]local[1]local[0]СтекБуферf_vulner(){char local[3]……} int f_vulner (char arg){ char local[100] //обработка int f_vulner (char arg){ char local[100] //обработка Данные [200]«Переполнение стека»Вызов функций ядра (программное прерывание INT 0x80)Вызов функций из модулей Исправление ошибок реализацииПроблема аутентификации обновленийПроизводитель ПОКлиент Исправление ошибок реализацииПроблема аутентификации обновлений Цифровая подпись не используется вообще Нет Аутентификация обновлений Использование отозванных сертификатов Sun Microsystems (CERT® Advisory CA-2000-19) Исправление ошибок реализацииСпособы получения обновлений PGP (GnuPG) HTTPS SSH Ошибки обслуживанияОшибки использования встроенных в ОС механизмов защиты Защитные механизмы идентификация и аутентификация разграничение доступа (и авторизация) регистрация событий (аудит) Субъекты и объекты Субъекты и объектыОбъект доступа - пассивная сущность операционной системы (файл, каталог, блок Пример субъекта доступаСубъект доступа = Маркер безопасного доступа + Процесс (поток)Субъект доступа в ОС Windows NTПользовательMaster… Субъект доступаПроцессСубъект доступа в LinuxВ роли субъектов доступа в Linux выступают процессы Идентификация и аутентификацияИдентификация (субъекта или объекта): 1) именование (присвоение имен-идентификаторов); 2) Сетевая аутентификация Передача пароля в открытом виде Передача хэша пароля Механизм «запрос/отклик»КлиентСерверЗапрос пароляУстановление связи Сетевая аутентификацияКлиентСерверМеханизм «запрос/отклик»Запрос пароляЗашифрованный запросУстановление связиАналогичная операция и сравнение Уязвимости аутентификации (по паролю)Возможность перехвата и повторного использования пароля (получение доступа к Сетевая аутентификацияПредсказуемый запрос f(t)=k*t+cСерверЗапрос на аутентификацию«Случайный» запрос пароля… Сетевая аутентификацияПредсказуемый запрос f(t)=k*t+cЗапрос пароля от имени сервераОткликСерверКлиентИмя – user1 Сетевая аутентификацияПредсказуемый запрос f(t)=k*t+cСерверЗапрос на аутентификацию«Случайный» запрос пароляСовпалс предсказаннымПолученный ранее от клиента отклик Разграничение доступа Разграничение доступаизбирательное управление доступомполномочное управление доступом Разграничение доступаДиспетчер доступаСубъект доступаОбъект доступаПравила разграничения доступаЖурнал регистрации Разграничение доступаДиспетчер доступа (Security reference monitor)Режим ядраРежим пользователяПроцесс пользователя Матрица избирательного управления доступомобъектысубъекты12JN1I2............KRWRW-RWXRJ+1-RПрава доступаi-го субъекта к j-му объекту Списки управления доступом в Windows NT (NTFS)-R-ХR-RWХC:\Program FilesРеализация матрицы доступа «по столбцам»Access Control List (ACL)AuditUser 1BuchgAdministrator Списки управления доступом в UNIXRWXR-Х---/home/wwwВладелец Группа ОстальныеotherwebgroupalexПрава Полномочное управление доступом Иерархия меток (грифов) конфиденциальности: «Особой важности» «Совершенно секретно» «Секретно» Механизм регистрации и аудита событийДиспетчер доступаСубъект доступаОбъект доступаЖурнал регистрации Механизм регистрации и аудита событий (Windows NT)Локальный администратор безопасности (LSA)ЖурналаудитаМонитор безопасности (SRM)Режим ядраРежим пользователя Система регистрации событий в UNIXlogintelnetdrloginsyslogd/var/log/logins/var/log/noticesyslog.conf Контроль целостностиМеханизм контроля целостности предназначен для своевременного обнаружения фактов модификации (искажения, подмены) Контроль целостностиКонтролируемые ресурсы: - файлы и каталоги - элементы реестра - сектора дисковКонтролируемые параметры: - содержимое Контроль целостности (Windows 2000)Подсистема Windows File ProtectionПовреждённый системный файл заменяется копией из Затирание остаточной информацииУдаление информации с дискаОчистка области памяти Затирание остаточной информацииОчистка файла подкачкиHive: HKEY_LOCAL_MACHINE Key: System\CurrentControlSet\Control\ \Session Manager\Memory ManagementName: ClearPageFileAtShutdownType: REG_DWORD Value: 1 Политика безопасности и ОСПолитикабезопасностиДругие ОСUNIXWindows NTОбщие стандартыРуководства по настройке Политика безопасности и ОСПолитикабезопасностиДругие ОСUNIXWindows NTОбщие стандартыРуководства по настройкеОбщие рекомендации по различным Структура стандарта BS7799 Политика в области безопасности Организация системы безопасности Классификация ресурсов Политика безопасности и ОСПолитикабезопасностиДругие ОСUNIXWindows NTОбщие стандартыРуководства по настройкеДетальные рекомендации по настройке NT Security GuidelinesСтруктура документаLevel 1Level 2Level 1 – незначительная модификация установок по NT Security GuidelinesВведениеОбзор документаПроцесс инсталляцииОсобенности клонирования операционной системыОтключение неиспользуемых подсистем HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\SubsystemsОтключение ненужных устройств…19 частей NT Security GuidelinesДомены и ограничение доступаDomain&Trust (деление на домены и доверительные отношения)Logon NT Security GuidelinesGeneral Policies (общие рекомендации)Ограничение доступа к FDD и СDОграничение удалённого 19 частейNT Security GuidelinesЖурнал безопасностиСлужбы Доступ к общим ресурсамСетевые возможностиУдалённый доступАтакиРекомендации для пользователей Утилиты для настройкиАнализ текущего состояния системыАвтоматизация процесса настройки системы Утилиты для настройкиC2 Config - Windows NT Resource KitSecurity Configuration Manager (SCM)Security Дополнительные средстваСредства анализа защищённостиСредства обнаружения и блокировки вторженийДополнительные средства защиты Дополнительные средстваДополнительные средства защитыСредства, расширяющие возможностивстроенных механизмов защитыСредства, реализующие дополнительные механизмы защиты Дополнительные средстваУсиление процедуры аутентификацииДополнительные требования к паролям Фильтр passfilt.dll для Windows NT Модули PAM для Linux Фильтр для паролейPassfilt.dll Длина пароля не менее 6 знаков Обязательные символы Дополнительные средстваУтилита Passprop Включение режима усложнения пароля Управление блокировкой учётной записи «Administrator» Агенты для различных ОСАнализ защищенности на уровне операционной системы Дополнительные средстваСредства обнаружения и блокировки вторжений Системы обнаружения атак на базе узла Персональные МЭ Системы обнаружения атак на базе узлаИсточники данных: Журналы аудита Действия пользователейНеобязательно:Сетевые Рекомендации по выбору ОСКритерии выбора Доступность исходных текстов Уровень квалификации персонала Варианты Вопросы?Учебный Центр «ИНФОРМЗАЩИТА» (www.infosec.ru/edu)Лепихин Владимир (lepikhin@infosec.ru)Телефон: (095) 937-3385Факс: (095) 289-4232
Слайды презентации

Слайд 2 Корпоративная сеть





Внутренние серверы
Рабочие места
МЭ

Корпоративная сетьВнутренние серверыРабочие местаМЭ

Слайд 3 Уровни информационной инфраструктуры

Уровни информационной инфраструктуры

Слайд 4 Уровни информационной инфраструктуры


TCP/IP
NetBEUI
IPX/SPX

Уровни информационной инфраструктурыTCP/IPNetBEUIIPX/SPX

Слайд 5 Уровни информационной инфраструктуры



Уровни информационной инфраструктуры

Слайд 6 Уровни информационной инфраструктуры






Уровни информационной инфраструктуры

Слайд 7 Уровни информационной инфраструктуры



Office 2000

Уровни информационной инфраструктурыOffice 2000

Слайд 8 Уровни информационной инфраструктуры


Уровни информационной инфраструктуры

Слайд 9 Уровни информационной инфраструктуры

Уровни информационной инфраструктуры

Слайд 10 Уязвимости по уровню в информационной инфраструктуре
Уровень сети
Уровень операционной

Уязвимости по уровню в информационной инфраструктуреУровень сетиУровень операционной системыУровень баз данныхУровень персоналаУровень приложений

системы
Уровень баз данных
Уровень персонала
Уровень приложений

Слайд 11 Причины возникновения уязвимостей ОС
ошибки проектирования (компонент ядра, подсистем)

Причины возникновения уязвимостей ОСошибки проектирования (компонент ядра, подсистем) ошибки реализации (кода)


ошибки реализации (кода)
ошибки эксплуатации (неправильная настройка, неиспользуемые компоненты, слабые пароли)

Слайд 12 Источники информации
о новых уязвимостях
www.cert.org

Источники информации о новых уязвимостяхwww.cert.org - координационный центр CERT/CC

- координационный центр CERT/CC
www.iss.net/xforce -

база данных компании ISS

А также:

Слайд 13 Дополнительные источники информации о безопасности NT/2000
www.microsoft.com/security
www.winternals.com
www.ntsecurity.com

Дополнительные источники информации о безопасности NT/2000 www.microsoft.com/security www.winternals.comwww.ntsecurity.com

Слайд 14 BUGTRAQ Vulnerability Database Statistics
BUGTRAQ Vulnerability Database Statistics

BUGTRAQ Vulnerability Database StatisticsBUGTRAQ Vulnerability Database Statistics

Слайд 15 Источник возникновения: ошибки реализации
Описание: проблема одной из

Источник возникновения: ошибки реализацииОписание: проблема одной из функций ядра ОС Windows

функций ядра ОС Windows NT, позволяющая злоумышленнику повысить привилегии

обычного пользователя до привилегий администратора

Примеры уязвимостей

Слайд 16 Источник возникновения: ошибки реализации
Описание: в реестре Windows

Источник возникновения: ошибки реализацииОписание: в реестре Windows NT/2000 указан относительный путь

NT/2000 указан относительный путь к файлу explorer.exe (Windows shell)

вместо абсолютного пути.

Примеры уязвимостей

Слайд 17 http://cve.mitre.org/cve
Единая система наименований для уязвимостей
Стандартное описание для каждой

http://cve.mitre.org/cveЕдиная система наименований для уязвимостейСтандартное описание для каждой уязвимостиОбеспечение совместимости баз данных уязвимостей

уязвимости
Обеспечение совместимости баз данных уязвимостей

Слайд 18 http://cve.mitre.org/cve
CAN-1999-0067

CVE-1999-0067
Кандидат CVE
Индекс CVE


http://cve.mitre.org/cveCAN-1999-0067CVE-1999-0067Кандидат CVEИндекс CVE

Слайд 19 Ситуация без CVE
ISS RealSecure
Bindview
Microsoft

MS:MS01-008
Bugtraq Database
20010207 Local promotion

Ситуация без CVEISS RealSecureBindviewMicrosoftMS:MS01-008 Bugtraq Database20010207 Local promotion vulnerability in NT4's

vulnerability in NT4's NTLM Security Support Provider
ntlm-ssp-elevate-privileges(6076)
'NTLMSSP'

Privilege Escalation Vulnerability




Уязвимость в NTLM Security Support Provider

Слайд 20 Поддержка CVE
CVE-2001-0016 vulnerability in NTLM Security Support Provider
CVE
Microsoft
Bindview


ISS

Поддержка CVECVE-2001-0016 vulnerability in NTLM Security Support ProviderCVEMicrosoftBindviewISS RealSecureBugtraq Database

RealSecure
Bugtraq Database


Слайд 21 CVE entry
Номер
Описание
Ссылки
CVE-2001-0016

NTLM Security Support Provider (NTLMSSP) service

CVE entryНомерОписаниеСсылкиCVE-2001-0016 NTLM Security Support Provider (NTLMSSP) service does not properly

does not properly check the function number in an

LPC request, which could allow local users to gain administrator level access.

Reference: BINDVIEW:20010207 Local promotion vulnerability in NT4's NTLM Security Support Provider
Reference: MS:MS01-008 Reference: BID:2348 Reference: XF:ntlm-ssp-elevate-privileges(6076)

Слайд 22 Ошибки проектирования
Ошибки, допущенные при
проектировании алгоритмов и принципов

Ошибки проектированияОшибки, допущенные при проектировании алгоритмов и принципов работы компонент ядра,


работы компонент ядра, подсистем:

отсутствие ограничений на количество создаваемых

объектов
особенности шифрования (хэширования) и хранение паролей

Слайд 23 Ошибки реализации
int i, offset=OFFSET;
if (argv[1] != NULL)
offset =

Ошибки реализацииint i, offset=OFFSET;if (argv[1] != NULL)offset = atoi(argv[1]);buff = malloc(BSIZE);egg

atoi(argv[1]);
buff = malloc(BSIZE);
egg = malloc(EGGSIZE);
addr = get_sp() - offset;
printf("Using

address: 0x%x\n", addr);
ptr = buff;
addr_ptr = (long *) ptr;
for (i = 0; i < BSIZE; i+=4)
*(addr_ptr++) = addr;
/* Now it fills in the egg */
ptr = egg;
for (i = 0; i < EGGSIZE –

Ошибки кода ОС

Слайд 24 Ошибки реализации
Переполнение буфера – наиболее распространённая техника использования

Ошибки реализацииПереполнение буфера – наиболее распространённая техника использования ошибок реализацииПереполнение буфера

ошибок реализации
Переполнение буфера – манипуляции с данными без проверок

соответствия их размера выделенному для них буферу

Если буфер расположен в стеке, возможна перезапись адреса возврата из функции

Слайд 25 Переполнение стека
адрес возврата
local[2]
local[1]
local[0]
Стек

Буфер
f_vulner()
{
char local[3]


}

Переполнение стекаадрес возвратаlocal[2]local[1]local[0]СтекБуферf_vulner(){char local[3]……}

Слайд 26 int f_vulner (char arg)
{
char local[100]

int f_vulner (char arg){ char local[100] //обработка return

//обработка
return 0
}
void main()
{


char arg[200]
gets (arg)
.
.
f_vulner (arg)
printf(arg)
return 0
}

адрес возврата


[100]

local









Стек





Обычный ход выполнения программы

«Переполнение стека»

Переменная arg [100]

strcpy(local, arg)

Слайд 27 int f_vulner (char arg)
{
char local[100]

int f_vulner (char arg){ char local[100] //обработка return

//обработка
return 0
}
void main()
{


char arg[200]
gets (arg)
.
.
f_vulner (arg)
printf(arg)
return 0
}

адрес возврата


[100]

local






Данные
[200]


Переполнение стека

«Переполнение стека»

Стек

strcpy(local, arg)
Ошибка !

Вместо возврата запуск кода


Слайд 28 Данные
[200]
«Переполнение стека»

Вызов функций ядра (программное прерывание INT

Данные [200]«Переполнение стека»Вызов функций ядра (программное прерывание INT 0x80)Вызов функций из

0x80)
Вызов функций из модулей DLL (например, KERNEL32.DLL)
Использование функции «WinExec»
Использование

переполнения стека

Слайд 29 Исправление ошибок реализации
Проблема аутентификации обновлений
Производитель ПО
Клиент

Исправление ошибок реализацииПроблема аутентификации обновленийПроизводитель ПОКлиент

Слайд 30 Исправление ошибок реализации
Проблема аутентификации обновлений
Цифровая подпись не

Исправление ошибок реализацииПроблема аутентификации обновлений Цифровая подпись не используется вообще Нет

используется вообще
Нет прямого пути, чтобы проверить, что используемый

ключ действительно принадлежит производителю ПО
Цифровая подпись, используемая в оповещении о выходе обновлений, не аутентифицирует само обновление

Слайд 31 Аутентификация обновлений
Использование отозванных сертификатов Sun Microsystems

Аутентификация обновлений Использование отозванных сертификатов Sun Microsystems (CERT® Advisory CA-2000-19)

(CERT® Advisory CA-2000-19)
Троянский конь в одной из

версий «TCP Wrappers» (CERT® Advisory CA-1999-01)
Троянский конь в пакете «util-linux-2.9g» (securityfocus)

Примеры инцидентов

Слайд 32 Исправление ошибок реализации
Способы получения обновлений
PGP (GnuPG)
HTTPS

Исправление ошибок реализацииСпособы получения обновлений PGP (GnuPG) HTTPS SSH

Слайд 33 Ошибки обслуживания
Ошибки использования встроенных в ОС
механизмов защиты

Ошибки обслуживанияОшибки использования встроенных в ОС механизмов защиты

Слайд 34 Защитные механизмы
идентификация и аутентификация
разграничение доступа (и

Защитные механизмы идентификация и аутентификация разграничение доступа (и авторизация) регистрация событий

авторизация)
регистрация событий (аудит)
контроль целостности
затирание остаточной информации

криптографические механизмы

…встроенные в большинство сетевых ОС

Слайд 35 Субъекты и объекты


Субъекты и объекты

Слайд 36 Субъекты и объекты
Объект доступа - пассивная сущность операционной

Субъекты и объектыОбъект доступа - пассивная сущность операционной системы (файл, каталог,

системы (файл, каталог, блок памяти)
Субъект доступа - активная сущность

операционной системы (процесс, программа)

Слайд 37 Пример субъекта доступа

Субъект доступа = Маркер безопасного доступа

Пример субъекта доступаСубъект доступа = Маркер безопасного доступа + Процесс (поток)Субъект доступа в ОС Windows NTПользовательMaster…

+ Процесс (поток)
Субъект доступа в ОС Windows NT




Пользователь
Master





Слайд 38 Субъект доступа
Процесс
Субъект доступа в Linux
В роли субъектов доступа

Субъект доступаПроцессСубъект доступа в LinuxВ роли субъектов доступа в Linux выступают

в Linux выступают процессы
Процессы :
Получают доступ к файлам
Управляют

другими процессами



файл

процесс



Пример субъекта доступа

Слайд 39 Идентификация и аутентификация
Идентификация (субъекта или объекта): 1) именование

Идентификация и аутентификацияИдентификация (субъекта или объекта): 1) именование (присвоение имен-идентификаторов); 2)

(присвоение имен-идентификаторов); 2) опознавание (выделение конкретного из множества).
Аутентификация (субъекта или

объекта) - подтверждение подлинности (доказательство того, что он именно тот, кем представился).

Слайд 40 Сетевая аутентификация

Передача пароля в открытом виде
Передача

Сетевая аутентификация Передача пароля в открытом виде Передача хэша пароля Механизм «запрос/отклик»КлиентСерверЗапрос пароляУстановление связи

хэша пароля
Механизм «запрос/отклик»
Клиент
Сервер
Запрос пароля
Установление связи

Слайд 41 Сетевая аутентификация
Клиент
Сервер
Механизм «запрос/отклик»
Запрос пароля
Зашифрованный запрос
Установление связи
Аналогичная операция и

Сетевая аутентификацияКлиентСерверМеханизм «запрос/отклик»Запрос пароляЗашифрованный запросУстановление связиАналогичная операция и сравнение

сравнение

Слайд 42 Уязвимости аутентификации (по паролю)
Возможность перехвата и повторного использования пароля

Уязвимости аутентификации (по паролю)Возможность перехвата и повторного использования пароля (получение доступа

(получение доступа к файлам с паролями)
«Троянские кони» в процедуре

входа в систему
Социальная инженерия
Повторяющийся запрос при сетевой аутентификации

Слайд 43 Сетевая аутентификация
Предсказуемый запрос
f(t)=k*t+c
Сервер
Запрос на аутентификацию
«Случайный» запрос пароля

Сетевая аутентификацияПредсказуемый запрос f(t)=k*t+cСерверЗапрос на аутентификацию«Случайный» запрос пароля…

Слайд 44 Сетевая аутентификация
Предсказуемый запрос
f(t)=k*t+c
Запрос пароля от
имени сервера
Отклик
Сервер
Клиент
Имя

Сетевая аутентификацияПредсказуемый запрос f(t)=k*t+cЗапрос пароля от имени сервераОткликСерверКлиентИмя – user1

– user1

Слайд 45 Сетевая аутентификация
Предсказуемый запрос
f(t)=k*t+c
Сервер
Запрос на аутентификацию
«Случайный» запрос пароля
Совпал
с

Сетевая аутентификацияПредсказуемый запрос f(t)=k*t+cСерверЗапрос на аутентификацию«Случайный» запрос пароляСовпалс предсказаннымПолученный ранее от клиента отклик

предсказанным
Полученный ранее от клиента отклик

Слайд 46 Разграничение доступа


Разграничение доступа

Слайд 47 Разграничение доступа
избирательное управление доступом
полномочное управление доступом

Разграничение доступаизбирательное управление доступомполномочное управление доступом

Слайд 48 Разграничение доступа


Диспетчер доступа
Субъект доступа
Объект доступа
Правила разграничения доступа
Журнал регистрации

Разграничение доступаДиспетчер доступаСубъект доступаОбъект доступаПравила разграничения доступаЖурнал регистрации

Слайд 49 Разграничение доступа
Диспетчер доступа
(Security reference monitor)
Режим ядра
Режим пользователя
Процесс

Разграничение доступаДиспетчер доступа (Security reference monitor)Режим ядраРежим пользователяПроцесс пользователя


пользователя

Слайд 50 Матрица избирательного управления доступом


объекты
субъекты
1
2
J
N
1
I
2
...
...
...
...
K
RW
RW
-
RWX
R
J+1
-
R
Права доступа
i-го субъекта к j-му объекту

Матрица избирательного управления доступомобъектысубъекты12JN1I2............KRWRW-RWXRJ+1-RПрава доступаi-го субъекта к j-му объекту

Слайд 51 Списки управления доступом в Windows NT (NTFS)
-
R-Х
R-
RWХ
C:\Program Files
Реализация

Списки управления доступом в Windows NT (NTFS)-R-ХR-RWХC:\Program FilesРеализация матрицы доступа «по столбцам»Access Control List (ACL)AuditUser 1BuchgAdministrator

матрицы доступа «по столбцам»
Access Control List (ACL)
Audit
User 1
Buchg
Administrator

Слайд 52 Списки управления доступом в UNIX
RWX
R-Х
---
/home/www
Владелец Группа

Списки управления доступом в UNIXRWXR-Х---/home/wwwВладелец Группа ОстальныеotherwebgroupalexПрава доступа хранятся в служебной информации файла

Остальные
other
webgroup
alex
Права доступа хранятся в служебной информации файла

Слайд 53 Полномочное управление доступом

Иерархия меток (грифов) конфиденциальности: «Особой важности» «Совершенно секретно» «Секретно» «Строго

Полномочное управление доступом Иерархия меток (грифов) конфиденциальности: «Особой важности» «Совершенно секретно» «Секретно»

конфиденциально» «Конфиденциально»
Неиерархическая система меток конфиденциальности: «Геология» «Математика» «Физика» «Строительство» и др.
Уровень допуска: «Совершенно секретно»
Уровни допуска: «Геология»

«Физика»

Слайд 54 Механизм регистрации и аудита событий


Диспетчер доступа
Субъект доступа
Объект доступа
Журнал регистрации

Механизм регистрации и аудита событийДиспетчер доступаСубъект доступаОбъект доступаЖурнал регистрации

Слайд 55 Механизм регистрации и аудита событий (Windows NT)
Локальный
администратор

Механизм регистрации и аудита событий (Windows NT)Локальный администратор безопасности (LSA)ЖурналаудитаМонитор безопасности (SRM)Режим ядраРежим пользователя

безопасности (LSA)
Журнал
аудита
Монитор безопасности (SRM)
Режим ядра
Режим пользователя

Слайд 56 Система регистрации событий в UNIX
login
telnetd
rlogin
syslogd



/var/log/logins
/var/log/notice


syslog.conf

Система регистрации событий в UNIXlogintelnetdrloginsyslogd/var/log/logins/var/log/noticesyslog.conf

Слайд 57 Контроль целостности
Механизм контроля целостности предназначен для своевременного обнаружения

Контроль целостностиМеханизм контроля целостности предназначен для своевременного обнаружения фактов модификации (искажения,

фактов модификации (искажения, подмены) ресурсов системы (данных, программ и

т.п).

Слайд 58 Контроль целостности
Контролируемые ресурсы:
- файлы и каталоги
- элементы реестра
-

Контроль целостностиКонтролируемые ресурсы: - файлы и каталоги - элементы реестра - сектора дисковКонтролируемые параметры: -

сектора дисков
Контролируемые параметры:
- содержимое ресурса
- списки управления доступом
- атрибуты

файлов
Алгоритмы контроля:
- сравнение с эталоном
- вычисление контрольных сумм (сигнатур)
- формирование ЭЦП и имитовставок
Время контроля:
- до загрузки ОС
- при наступлении событий
- по расписанию

Слайд 59 Контроль целостности (Windows 2000)
Подсистема Windows File Protection
Повреждённый системный файл

Контроль целостности (Windows 2000)Подсистема Windows File ProtectionПовреждённый системный файл заменяется копией

заменяется копией
из каталога %systemroot%\system32\dllcache
sfc [/scannow] [/scanonce]

[/scanboot] [/cancel] [/quiet] [/enable] [/purgecache] [/cachesize=x]

Настройка – при помощи утилиты System File Checker (sfc.exe)

Слайд 60 Затирание остаточной информации
Удаление информации с диска
Очистка области памяти

Затирание остаточной информацииУдаление информации с дискаОчистка области памяти

Слайд 61 Затирание остаточной информации
Очистка файла подкачки
Hive: HKEY_LOCAL_MACHINE

Key: System\CurrentControlSet\Control\ \Session

Затирание остаточной информацииОчистка файла подкачкиHive: HKEY_LOCAL_MACHINE Key: System\CurrentControlSet\Control\ \Session Manager\Memory ManagementName: ClearPageFileAtShutdownType: REG_DWORD Value: 1

Manager\Memory Management

Name: ClearPageFileAtShutdown

Type: REG_DWORD

Value: 1

Слайд 62 Политика безопасности и ОС

Политика
безопасности
Другие ОС
UNIX
Windows NT
Общие стандарты
Руководства по

Политика безопасности и ОСПолитикабезопасностиДругие ОСUNIXWindows NTОбщие стандартыРуководства по настройке

настройке

Слайд 63 Политика безопасности и ОС

Политика
безопасности
Другие ОС
UNIX
Windows NT
Общие стандарты
Руководства по

Политика безопасности и ОСПолитикабезопасностиДругие ОСUNIXWindows NTОбщие стандартыРуководства по настройкеОбщие рекомендации по

настройке
Общие рекомендации
по различным областям
Связующее звено между
политикой безопасности


и процедурой настройки
системы

Пример:
British Standard BS7799


Слайд 64 Структура стандарта BS7799

Политика в области безопасности

Структура стандарта BS7799 Политика в области безопасности Организация системы безопасности Классификация

Организация системы безопасности
Классификация ресурсов и управление
Безопасность и

персонал
Физическая и внешняя безопасность
Менеджмент компьютеров и сетей
Управление доступом к системе
Разработка и обслуживание системы
Обеспечение непрерывности работы

109
элементов

Слайд 65 Политика безопасности и ОС

Политика
безопасности
Другие ОС
UNIX
Windows NT
Общие стандарты
Руководства по

Политика безопасности и ОСПолитикабезопасностиДругие ОСUNIXWindows NTОбщие стандартыРуководства по настройкеДетальные рекомендации по

настройке
Детальные рекомендации
по настройке различных ОС
Пошаговые руководства
типа «Step-by-step»
Пример: Руководство


Стива Саттона
по настройке Windows NT


Слайд 66 NT Security Guidelines

Структура документа
Level 1
Level 2

Level 1 –

NT Security GuidelinesСтруктура документаLevel 1Level 2Level 1 – незначительная модификация установок

незначительная модификация установок по умолчанию
Level 2 – для узлов

с повышенными требованиями к безопасности

Слайд 67 NT Security Guidelines
Введение
Обзор документа
Процесс инсталляции
Особенности клонирования операционной системы
Отключение

NT Security GuidelinesВведениеОбзор документаПроцесс инсталляцииОсобенности клонирования операционной системыОтключение неиспользуемых подсистем HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\SubsystemsОтключение ненужных устройств…19 частей

неиспользуемых подсистем HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\Subsystems
Отключение ненужных устройств


19
частей

Слайд 68 NT Security Guidelines

Домены и ограничение доступа
Domain&Trust (деление на

NT Security GuidelinesДомены и ограничение доступаDomain&Trust (деление на домены и доверительные

домены и доверительные отношения)
Logon Rights (Log on locally, Logon

Remote)
Ограничение входа только с определённых узлов
Привилегии администратора
Бюджет администратора
Группа администраторов
Domain Operators&Power Users

19
частей

Слайд 69 NT Security Guidelines
General Policies (общие рекомендации)
Ограничение доступа к

NT Security GuidelinesGeneral Policies (общие рекомендации)Ограничение доступа к FDD и СDОграничение

FDD и СD
Ограничение удалённого доступа к реестру
Утилиты SYSKEY, C2Config….
ACL

для файловой системы и реестра
Установка приложений и пользовательские каталоги
Бюджеты пользователей и групп
Пароли
Редактор системной политики
Права пользователей

19
частей

Слайд 70 19
частей
NT Security Guidelines
Журнал безопасности
Службы
Доступ к общим

19 частейNT Security GuidelinesЖурнал безопасностиСлужбы Доступ к общим ресурсамСетевые возможностиУдалённый доступАтакиРекомендации для пользователей

ресурсам
Сетевые возможности
Удалённый доступ
Атаки
Рекомендации для пользователей

Слайд 71 Утилиты для настройки
Анализ текущего состояния системы
Автоматизация процесса настройки

Утилиты для настройкиАнализ текущего состояния системыАвтоматизация процесса настройки системы

системы

Слайд 72 Утилиты для настройки
C2 Config - Windows NT Resource

Утилиты для настройкиC2 Config - Windows NT Resource KitSecurity Configuration Manager

Kit

Security Configuration Manager (SCM)

Security Configuration Tool Set

Windows NT

(2000)

Слайд 73
Дополнительные средства

Средства анализа
защищённости
Средства обнаружения и
блокировки вторжений
Дополнительные

Дополнительные средстваСредства анализа защищённостиСредства обнаружения и блокировки вторженийДополнительные средства защиты

средства защиты

Слайд 74 Дополнительные средства
Дополнительные средства защиты
Средства, расширяющие возможности
встроенных механизмов защиты
Средства,

Дополнительные средстваДополнительные средства защитыСредства, расширяющие возможностивстроенных механизмов защитыСредства, реализующие дополнительные механизмы защиты

реализующие дополнительные
механизмы защиты

Слайд 75 Дополнительные средства
Усиление процедуры аутентификации
Дополнительные требования к паролям
Фильтр

Дополнительные средстваУсиление процедуры аутентификацииДополнительные требования к паролям Фильтр passfilt.dll для Windows NT Модули PAM для Linux

passfilt.dll для Windows NT
Модули PAM для Linux

Слайд 76 Фильтр для паролей
Passfilt.dll
Длина пароля не менее 6

Фильтр для паролейPassfilt.dll Длина пароля не менее 6 знаков Обязательные символы

знаков
Обязательные символы (верхний/нижний регистр, числа, спецсимволы)

Пароль не должен содержать имя пользователя

Слайд 77 Дополнительные средства
Утилита Passprop
Включение режима усложнения пароля
Управление

Дополнительные средстваУтилита Passprop Включение режима усложнения пароля Управление блокировкой учётной записи «Administrator»

блокировкой учётной записи «Administrator»

Слайд 78






Агенты для различных ОС




Анализ защищенности на уровне операционной системы

Агенты для различных ОСАнализ защищенности на уровне операционной системы

Слайд 79 Дополнительные средства

Средства обнаружения и
блокировки вторжений
Системы обнаружения

Дополнительные средстваСредства обнаружения и блокировки вторжений Системы обнаружения атак на базе узла Персональные МЭ

атак на базе узла
Персональные МЭ

Слайд 80
Системы обнаружения атак на базе узла
Источники данных:

Журналы

Системы обнаружения атак на базе узлаИсточники данных: Журналы аудита Действия пользователейНеобязательно:Сетевые

аудита

Действия пользователей

Необязательно:
Сетевые пакеты (фреймы),
направленные к узлу и от

узла

Слайд 81 Рекомендации по выбору ОС
Критерии выбора

Доступность исходных текстов

Рекомендации по выбору ОСКритерии выбора Доступность исходных текстов Уровень квалификации персонала

Уровень квалификации персонала
Варианты осуществления технической поддержки

Требования к ОС и цели её использования
Стоимость «железа», программного обеспечения и сопровождения
  • Имя файла: problemy-obespecheniya-bezopasnosti-setevyh.pptx
  • Количество просмотров: 413
  • Количество скачиваний: 0
- Предыдущая Конституция Республики Казахстан
Следующая - Производство стекла в Венеции

Похожие презентации

История развития вычислительной техники История развития вычислительной техники 159
Подготовка к контрольной работе Подготовка к контрольной работе 150
MSC.Mvision - 01-2 MSC.Mvision - 01-2 111
Персональный компьютер Персональный компьютер 179
Строительство презентаций Строительство презентаций 127
Адресация в сети Интернет Адресация в сети Интернет 111
Информационные ресурсы Информационные ресурсы 117
Занятие по информатике в рамках организации внеурочной занятости Редактирование текста презентация к уроку по информатике (2 класс) Занятие по информатике в рамках организации внеурочной занятости Редактирование текста презентация к уроку по информатике (2 класс) 169
Система учета электроэнергии “Меркурий SPRINT” Система учета электроэнергии “Меркурий SPRINT” 126
Информационные ресурсы Интернета Информационные ресурсы Интернета 115
Библиотека Московского государственного областного университета Библиотека Московского государственного областного университета 127
Презентация информатикадан баяндама 7 модуль 7 сынып Презентация информатикадан баяндама 7 модуль 7 сынып 201
Микропроцессор Микропроцессор 131
Способы общения в Интернете Способы общения в Интернете 160
Информация в памяти компьютера Информация в памяти компьютера 131
Спецэффекты в компьютерных презентациях Спецэффекты в компьютерных презентациях 122
Файлы и папки Файлы и папки 129
Алгоритмы и графика Алгоритмы и графика 109
Дискретные ансамбли и источники Дискретные ансамбли и источники 132
Презентация по теме:Объекты и их свойства 3 класс презентация к уроку по информатике (3 класс) по теме Презентация по теме:Объекты и их свойства 3 класс презентация к уроку по информатике (3 класс) по теме 159
Система бизнес-аналитики Система бизнес-аналитики 134
ЗНАКОМСТВО С ЯЗЫКОМ ПРОГРАММИРОВАНИЯ VISUAL BASIC FOR APPLICATION ЗНАКОМСТВО С ЯЗЫКОМ ПРОГРАММИРОВАНИЯ VISUAL BASIC FOR APPLICATION 130
Микрокомпьютер NXT Микрокомпьютер NXT 122
Аналогичная закономерность Аналогичная закономерность 111
Электронная коммерция Электронная коммерция 111
3 кита информатики 3 кита информатики 121
Абзац - форматирование текстового документа Абзац - форматирование текстового документа 123
Периферийные устройства. Устройства ввода информации Периферийные устройства. Устройства ввода информации 121
Архитектура ПО Архитектура ПО 139
Язык Паскаль. Лекция 6. Символы и строки. Процедуры и функции работы со строками. Запис Язык Паскаль. Лекция 6. Символы и строки. Процедуры и функции работы со строками. Запис 144