Тема 4. Защита информации в ОС и сетях
1. Дискреционное управление доступом к объектам компьютерных систем.
2. Мандатное управление доступом к объектам компьютерных систем.
3. Способы аутентификации пользователей.
4. Аутентификация пользователей на основе паролей и модели «рукопожатия».
5. Аутентификация пользователей по их биометрическим характеристикам.
6. Двухфакторная аутентификация.
7. Политика сетевой безопасности.
8. Фильтрующие маршрутизаторы.
9. Шлюзы сетевого уровня.
10. Шлюзы прикладного уровня.
11. Межсетевой экран - фильтрующий маршрутизатор.
12. Межсетевой экран на основе двухпортового шлюза.
13. Межсетевой экран на основе экранированного шлюза.
14. Межсетевой экран - экранированная подсеть.
15. Основы работы защищенных криптопротоколов.
2. ПРОГРАММНЫЕ СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ
2.1. Указания к выбору варианта задания
1. Данная часть работы включает 2 задания. Номера конкретных вариантов заданий для выполнения определяются по таблице 2. Первое число в ячейке таблицы– номер варианта из первого задания, второе число – номер варианта из второго задания.
Таблица 2
Варианты практических заданий
Предпоследняя цифра номера студенческого билета | Последняя цифра номера студенческого билета | |||||||||
1, 2 | 2,3 | 3,4 | 4,5 | 5,6 | 6,7 | 7,8 | 8,9 | 9,10 | 10, | |
11, 12 | 12, 13 | 13, 14 | 14, 15 | 15, 16 | 16, 17 | 17, 18 | 18, 19 | 19, 20 | 20,1 | |
2, 1 | 3, 2 | 4, 3 | 5, 4 | 6, 5 | 7, 6 | 8, 7 | 9, 8 | 10, 9 | 11, 10 | |
12, 11 | 13, 12 | 14, 13 | 15, 14 | 16, 15 | 17, 16 | 18, 17 | 19, 18 | 20, 19 | 1, 20 | |
1, 1 | 2, 2 | 3, 3 | 4, 4 | 5, 5 | 6, 6 | 7, 7 | 8, 8 | 9, 9 | 10, 10 | |
11, 11 | 12, 12 | 13, 13 | 14, 14 | 15, 15 | 16, 16 | 17, 17 | 18, 18 | 19, 19 | 20, 20 | |
1, 3 | 2, 4 | 3, 5 | 4, 6 | 5, 7 | 6, 8 | 7, 9 | 8, 10 | 9, 11 | 10, 12 | |
11, 13 | 12, 14 | 13, 15 | 14, 16 | 15, 17 | 16, 18 | 17, 19 | 18, 20 | 19, 1 | 20, 3 | |
8, 1 | 9, 2 | 10, 3 | 11, 4 | 12, 5 | 13, 6 | 14, 7 | 15, 8 | 16, 9 | 17, 10 | |
18, 11 | 19, 12 | 20, 13 | 9, 3 | 10, 4 | 11, 5 | 12, 6 | 13, 7 | 14, 8 | 15, 9 |
2.2. Общие методические указания по выполнению
задания № 1 «Программный генератор паролей»
Цель задания – изучение назначения парольной защиты информации, реализация простейшего генератора паролей.
В результате выполнения задания студенты должны знать:
1) назначение парольной системы идентификации / аутентификации в системах защиты информации;
2) требования, предъявляемые к паролю и подсистеме парольной аутентификации.
Указания по оформлению отчета: отчет должен содержать задание; листинг программы, реализующей простейший генератор паролей.
2.3. Теоретический материал к заданию № 1
Подсистемы идентификации и аутентификации пользователя играют очень важную роль в системах защиты информации.
Стойкость подсистемы идентификации и аутентификации пользователя в системе защиты информации (СЗИ) во многом определяет устойчивость к взлому самой СЗИ. Данная стойкость является гарантией того, что злоумышленник не сможет пройти аутентификацию, присвоив чужой идентификатор или украв его.
Парольные системы идентификации / аутентификации являются одними из основных и наиболее распространенных в СЗИ методов пользовательской аутентификации. В данном случае, информацией, аутентифицирующей пользователя, является некоторый секретный пароль, известный только легальному пользователю.
Модуль аутентификации по паролю наиболее часто подвергается атакам со стороны злоумышленника. Цель злоумышленника в данном случае - подобрать аутентифицирующую информацию (пароль) легального пользователя.
Методы парольной аутентификации пользователя являются наиболее простыми методами аутентификации и при несоблюдении определенных требований к выбору пароля являются достаточно уязвимыми.
Основными минимальными требованиями к выбору пароля и к подсистеме парольной аутентификации пользователя являются следующие.
1. Минимальная длина пароля должна быть не менее 6 символов.
2. Пароль должен состоять из различных групп символов (малые и большие латинские буквы, цифры, специальные символы '(\, ')', '#' и т.д.).
3. В качестве пароля не должны использоваться реальные слова, имена, фамилии и т.д.
Требования к подсистеме парольной аутентификации.
1. Администратор СЗИ должен устанавливать максимальный срок действия пароля, после чего, он должен быть сменен.
2. В подсистеме парольной аутентификации должно быть установлено ограничение числа попыток ввода пароля (как правило, не более 3).
3. В подсистеме парольной аутентификации должна быть установлена временная задержка при вводе неправильного пароля.
Как правило, для генерирования паролей в СЗИ, удовлетворяющих перечисленным требованиям к паролям, используются программы - автоматические генераторы паролей пользователей.
При выполнении перечисленных требований к паролям и к подсистеме парольной аутентификации, единственно возможным методом взлома данной подсистемы злоумышленником является прямой перебор паролей (brute forcing).