Аутентифікація, авторизація, аудит
Аутентифікація та авторизація це фундаментальний атрибут інформаційної безпеки.
Аутентифікація користувача - це процедура доказів користувачем того, що він і є той, за кого себе видає. Найчастіше доказами користувача є пароль. Але є можливість викриття пароля, для цього використовують "прослуховування" пароля, шляхом аналізу мережевого трафіку. Для пониження загрози адміністратори мереж використовують влаштовані програмні засоби, які формують політику використання паролів (задання максимального та мінімального часу існування паролів, збереження списків вже використаних паролів, керування діями системи пілся декількох невдалих спроб входу.
Авторизація - це процедура контролю доступу легальних користувачів до ресурсів системи і надання кожному із них саме тих повноважень, які були визначені адміністратором. На відміну від аунтетифікації, авторизація має справу лише з легальними користувачами успішно пройшовшими процедуру аутентифікації. Засоби авторизації наділяють користувача можливостями виконувати визначені дії по відношенню до визначених ресурсів. Для цього використовуються різні форми надання правил доступу, які поділяють на 2 класи :
- Вибірковий доступ
Широко використовується в комп'ютерних мережах. В цьому підході деякі операції з деяким ресурсом дозволяються або забороняються користувачам або групам користувачів з явно вказаними своїми ідентифікаторами, наприклад : "користувачу user дозволено читати і записувати в файл file1"
- Мандатний підхід
Вся інформація ділиться на рівні в залежності від її таємності, а користувачі діляться на групи з різним рівнем допуску до таємної інформації. такий підхід дозволяє класифікувати дані на інформацію для службового користування, а також на таємну і абсолютно таємну інформацію. Користувачі, при такому підході, не мають право змінювати рівень доступності інформації.
Аудит - набір процедур моніторингу та обліку всіх подій, які можуть створити загрозу для системи. Аудит дозволяє слідкувати за вибраними об'єктами та видавати повідомлення про небезпеку, коли який-небудь користувач намагатиметься прочитати чи модифікувати системний файл. Для "надбезпечних" систем встановлюють аудіо та відеосигнали тривоги.
Антивірусний захист
Антивірусний захист використовується для профілактики та діагностики вірусного зараження, а також для відновлення працездатності заражених вірусами систем. Більшість антивірусних програм використовують немало ресурсів тестованої системи. Інколи це може замітно понизити швидкість виконання програм користвача. Для захисту від вірусів використовують 3 групи методів:
- Методи, які базуються на аналізі даних в файлі. До цього методу відноситься сканування сигнатур вірусів, а також перевірка цілісності та сканування підозрілих команд.
- Методи, засновані на відслідковуванні поведінки програм при їх виконанні. Ці методи заключаються в протоколюванні всіх подій, які загрожують безпекі системи.
- Методи регламентації порядку роботи з файлами та програмами. Тобто, виконуються тільки ті програми, які присутні в спискі виконуючихся програм.
Сканування сигнатур - унікальна послідовність байтів, яка завжди наявна в певному коді вірусів і по якій цей вид віруса можна з ймовірністю розпізнати. Для кожного знайденого вірусу спеціалістами виконується аналіз коду. Отриманий кодовий фрагмент поміщають в базу даних вірусних сигнатур, з якими працює антивірусна програма.
Метод контролю цілісності оснований на тому, що кожне безпричинне змінення даних на диску являється підозрілою подією, яка вимагає уваги антивірусної програми. Факт змінення даних - порушення цілісності - легко виявити шляхом порівняння контролньої суми раніше підрахованої для коду та контрольної суми теперішнього стану. Якщо вони не співпадають, то цілісність порушено.
Сканування підозрілих команд. В арсеналі вірусних програм є особливо небезпечні засоби. Прикладом такого засобу може слугувати код, ціль якого - форматування жорстокго диску. Кожен стан знаходження такого коду повинен викликати у системи сигнал тривоги.
Відслідковування поведінки програм.
Принципіально іншим шляхом в порівнянні з методами сканування даних в файлах є методи, засновані на аналізі поведінки програм в час їх виконання. Тестовану програму, яка виконується, перевіряють крок за кроком і всі її підозрілі дії контролюються антивірусною системою. Якщо програма намагається виконати яку-небудь потенційно небезпечну команду, наприклад записати якісь дані в файл іншої програми, то її робота зупиняється, і антивірусна система запитує у користувача які дії їй потрібно виконати. Антивірусні властивості даного типу часто вимагають активної участі користувача в тестуванні програми, який повинен реагувати на різні запити системи, велика частина яких може виявитись лише зайвою тривогою.
Мережеві екрани
Мережевий екран - це комплекс програмно-апаратних засобів, який забеспечує інформаційний захист однієї частини комп'ютерної мережі від іншої шляхом аналізу трафіку, який проходить між ними. Для мережевих екранів також існують інші терміни: брандмауер, Фаєрвол. Для мережевого екрану одна частина мережі є внутрішньою, а інша зовнішньою. Мережевий екран захищає внутрішню мережу(як приклад локальну мережу фірми або комп'ютер користувача) від загроз, які йдуть від зовнішньої мережі(Інтернет). Мережевий екран захищає мережу не тільки від зовнішнішніх зловмисників, а також від помилкових дій користувача мережі, яка захищається, наприклад таких як передача в зовнішню мережу конфіденційної інформації. Щоб здійснювати контроль доступу, мережевий екран повинен виконувати такі функції:
- аналізувати, контролювати і регулювати трафік.
- виконувати роль логічного посередника між внутрішніми клієнтами і зовнішніми серверами.
- фіксувати всі події, пов'язані з безпекою.
Поряд з базовими функціями в мережевий екран можуть бути вкладені:
- антивірусний захист.
- шифрування трафіку.
- фільтрація повідомлень по їх змісту.
- попередження і знаходження вторгнень і мережевих атак.
- трансляція мережевих адрес.
Типи мережевих екранів різних рівнів.
Мережеві екрани мережевого рівня. Називаються також екранами з фільтрацією пакетів, в повній відповідності з своєю назвою вирішують задачу фільтрації пакетів по IP-адресам. Фільтрація на основі статичних правил при якій не відслідковується стан з'єднань, називається простою фільтрацією. Цьому типу мережевих екранів відповідають маршрутизатори. Цей тип мережевих екранів поступається іншим типам. Перевагами брандмауерів мережевого типу є простота та мінімальний вплив на продуктивність мережі.
Мережеві екрани сеансового рівня. Вони відслідковують стан з'єднань, фіксують підозрілу активність, направлену на сканування портів і збір іншої інформації про мережу. Відслідковування стану з'єднань заключається в тому, що мережевий екран перевіряє наскільки відповідає послідовність обміну повідомленнями по контрольованому протоколу. Для того, щоб контролювати з'єднання, мережевий екран повинен фіксувати для себе поточний стан з'єднання, тобто запам'ятовувати, яке останнє повідомлення відправив клієнт і яке повідомлення він очікує отримати. Такий підхід, коли пропускаються лише ті пакети, які задовольняють логіці роботи відповідного протоколу, називають фільтрацією з урахуванням контексту. Мережеві екрани прикладного рівня. Можуть інтерпретувати, контролювати і аналізувати зміст повідомлень, якими будуть обмінюватися програми. До цього рівня відносять проксі-сервери. Поксі-сервер перехвачує запроси клієнтів до зовнішніх серверів з тим, щоб потім відправити їх від свого імені. Цей тип мережевих екранів забезпечує найвищий рівень захисту, хоч і має свої недоліки, вимагає великих обчислювальних витрат.
Проксі-сервери.
Проксі-сервер - це особливий тип програми, яка виконує функції посередника між клієнтними і серверними частинами розподілених мережевих програм. Вважається, що клієнти належать внутрішній(захищаємій) мережі, а серевери - зовнішній(небезпечній) мережі. Подібно до мережевого екрану проксі-сервер може ефективно виконувати свої функції тільки при умові, що контрольований трафік не піде іншими обхідними шляхами. В якості правил, на які посилається проксі-сервер можуть виступати умови пакетної фільтрації. Правила можуть бути досить складними, наприклад в робочі години блокується доступ до певних вузлів або програм. а доступ до інших вузлів дозволяється лише певним користувачам. Проксі-сервери можуть також фільтрувати почтові повідомлення по типу пересилаємого файла(наприклад заборонити отримання повідомлень файлів з форматом mp3). Розрізняють проксі-сервери прикладного рівня та рівня з'єднань. Проксі-сервер прикладного рівня вміє укорінюватися в процедуру взаємлдії клієнта та сервера по одному з прикладних протоколів, наприклад по http, smtp, ftp, telnet і т.д. Щоб виступати в ролі посередника на прикладному рівні, проксі-сервер повинен розуміти сенс команд, знати формати і послідовності повідомлень, якими обмінюється клієнт та сервер відповідної служби. Це дає можливість проксі-серверу проводити аналіз змісту повідомлень, робити висновки про підозрілий характер того чи іншого сеансу. Проксі-сервер рівня з'єднань виконує місію посередника та транспортному рівні, контролюючи TCP-з'єднання. Працюючи на нижчому рівні, проксі-сервер має менший інтелект і має менше можливостей для знаходження і попередження про атаку. Але він володіє досить хорошою перевагою перед проксі-сервером прикладного рівня - універсальністю, тобто він може бути використаний будь-якими програмами, які працюють по протоколу TCP(в деяких випадках і UDP).