Отчет по практике в ОАО «ММЗ»

Snort использует специальный  язык правил, которыми дается  описание потенциально опасного  сетевого трафика. Формат правил  похож на формат пакетных межсетевых экранов под Linux. В правилах можно задать реакцию на подозрительное содержимое любой части IP-пакета. Snort обладает модульной архитектурой и может контролировать сетевую активность на любом уровне сетевого интерфейса, начиная с канального и заканчивая прикладным. При обнаружении трафика, подпадающего под заданные правила, snort может разорвать соединение с компьютером, от которого он исходит, заблокировать его IP-адрес и внести запись в журнал.

Защита  почтового сервера

Работа в качестве mail-сервера - одно из самых распространенных применений серверов под управлением Linux. Проблема безопасности сообщений электронной почты появилась одновременно с введением достаточно небезопасных протоколов обмена mail-сообщениями, таких как POP3 и SMTP. Во времена их создания мало кто задумывался, что передача такой информации, как имя пользователя, пароль, да и содержания письма в открытом виде является не самой лучшей реализацией схемы обмена информацией. В обоих протоколах не было предусмотрено возможности точной идентификации отправителя и его обратного адреса. Отсюда основные проблемы электронной почты - анонимные спам-сообщения, рассылка вирусов и перехват почтового трафика.

Главным средством реализации почтового сервера на базе Linux является программный пакет Sendmail. Можно сказать, что на сегодняшний момент Sendmail - лучший инструмент для построения системы управления почтовой корреспонденцией. При помощи Sendmail можно организовать практически любую теоретически возможную схему управления почтой. Приятной особенностью его архитектуры является реализованный в нем интерфейс работы с внешними модулями - milter. Благодаря milter появляется возможность отправлять почтовые сообщения на обработку внешним программам, поддерживающим взаимодействие по этому интерфейсу. Такими программами могут быть различные антивирусные пакеты и фильтры содержимого сообщений. Из популярных программных решений, выполненных как модули Sendmail, можно упомянуть из антивирусов, например, антивирусный пакет DrWeb for Unix, а также открытую разработку - антивирус Clamav. Для борьбы с нежелательными сообщениями часто применяется пакет анализа содержимого Spamassassin. Для обеспечения закрытости почтовой переписки существует отечественное криптографическое решение, выполненное также в виде модуля milter к пакету Sendmail, - комплекс «Криптон-почта».

 

3.  Встроенные средства защиты в операционной системе Windows

 

Существуют четыре основных составляющих защиты компьютера:

Брандмауэр должен быть всегда включен.

Программное обеспечение  и операционная система должны быть обновлены.

Необходимо использовать антивирусное программное обеспечение.

Необходимо использовать антишпионское программное обеспечение.

	Брандмауэр	Автоматическое обновление	Антивирус	Антишпионские технологии
Windows 7	Да, включен автоматически	Да, включено автоматически	Нет, попробуйтеMicrosoft Security Essentials	Нет, попробуйтеMicrosoft Security Essentials
Windows Vista с пакетом обновления 2 (SP2)	Да, включен автоматически	Да, включено автоматически	Нет, попробуйтеMicrosoft Security Essentials	Нет, попробуйтеMicrosoft Security Essentials
Windows XP с пакетом обновления 3 (SP3)	Да, включен автоматически	Да, включено автоматически	Нет, попробуйтеMicrosoft Security Essentials	Нет, попробуйтеMicrosoft Security Essentials
Windows Vista без пакетов обновления	Да, включен автоматически	Поддержка закончилась, установите бесплатный пакет обновления SP2, чтобы получать обновления для безопасности	Нет, попробуйтеMicrosoft Security Essentials	Нет, попробуйтеMicrosoft Security Essentials
Windows XP без пакетов обновления	Да, не включен автоматически	Поддержка закончилась, установите бесплатный пакет обновления (SP3), чтобы получать обновления для безопасности	Нет, попробуйтеMicrosoft Security Essentials	Нет, попробуйтеMicrosoft Security Essentials

 

 

3.3.1. Шифрующая файловая система.

Начиная с версии Windows 2000, в операционных системах семейства Windows NT поддерживается шифрование данных на разделах файловой системы NTFS с использованием шифрующей файловой системы (Encrypted File System, EFS). Основное ее достоинст во заключается в обеспечении конфиденциальности данных на дисках компьютера за счет использования надежных симметричных алгоритмов для шифрования данных в реальном режиме времени.

Для шифрации данных EFS использует симметричный алгоритм шифрования (AES или DESX) со случайным ключом для каждого  файла (File Encryption Key, FEK). По умолчанию  данные шифруются в Windows 2000 и Windows XP по алгоритму DESX, а в Windows XP с Service Pack 1 (или выше) и Windows Server 2003 по алгоритму AES. В версиях Windows, разрешенных к экспорту за пределы США, драйвер EFS реализует 56-битный ключ шифрования DESX, тогда как в версии, подлежащей использованию только в США, и в версиях с пакетом для 128битного шифрования длина ключа DESX равна 128 битам. Алгоритм AES в Windows использует 256-битные ключи.  

При этом для обеспечения  секретности самого ключа FEK шифруется  асимметричным алгоритмом RSA открытым ключом пользователя, результат шифрации FEK – Data Decryption Field, DDF – добавляется в заголовок зашифрованного файла (рис. 11).  Такой подход обеспечивает надежное шифрование без потери эффективности процесса шифрования: данные шифруются быстрым симметричным алгоритмом, а для гарантии секретности симметричного ключа используется асимметричный алгоритм шифрования.

Схема шифрации файла  в EFS

Для шифрации файлов с  использованием EFS можно использовать графиче-ский интерфейс или команду cipher.

Графический интерфейс  доступен в стандартном окне свойств объекта по нажатию кнопки «Дополнительно». Зашифрованные объекты в стандартном интерфейсе Windows Explorer отображаются зеленым цветом.

Графический интерфейс  шифрования файла с использованием

EFSНеобходимо отметить, что EFS позволяет разделять зашифрованный файл между несколькими пользователями. В этом случае FEK шифруется открытыми ключами всех пользователей, которым разрешен доступ к файлу, и каждый результат шифрации добавляется в DDF.

Шифрование файла с  использованием EFS защищает файл комплексно: поль-зователю, не имеющему права на дешифрацию файла, недопустимы, в том числе, такие операции, как удаление, переименование и копирование файла. Необходимо помнить, что EFS является частью файловой системы NTFS, и в случае копирования защищенного файла авторизованным пользователем на другой том с файловой системой, на поддерживающей EFS (например, FAT32), он будет дешифрован и сохранен на целевом томе в открытом виде.

Пара открытый и закрытый ключ для шифрации FEK создаются для пользо-вателя автоматически при первой шифрации файла с использованием EFS.      

Если некоторый пользователь или группа пользователей зашифровали  файл с использованием EFS, то его  содержимое доступно только им. Это  приводит к рискам утери доступа  к данным в зашифрованных файлах в случае утраты пароля данным пользователем (работник забыл пароль, уволился и т.п.). Для предотвращения подобных проблем администратор может определить некоторые учетные записи в качестве агентов восстановления.

Агенты восстановления (Recovery Agents) определяются в политике безопасности Encrypted Data Recovery Agents (Агенты восстановления шифрованных данных) на локальном компьютере или в домене. Эта политика доступна через оснастку Групповая политика (gpedit.msc) раздел «Параметры безопасности»-> «Политика открытого ключа»-> «Файловая система EFS». Пункт меню «Действие»-> «Добавить агент восстановления данных» открывает мастер добавления нового агента.

Добавляя агентов восстановления можно указать, какие криптографические  пары (обозначенные их сертификатами) могут использовать эти агенты для восста-новления шифрованных данных .Сертификаты для агентов восстановления создаются командой cipher с ключом /r. Для пользователя, который будет агентом восстановления, необходимо импортировать закрытый ключ агента восстановления из сертификата,созданного командой cipher. Это можно сделать в маcтере импорта сертификатов, который автоматически загружается при двойном щелчке по файлу *.pfx.

 Добавление нового  агента восстановления EFS

EFS создает – DRF (Data Recovery Field)-элементы ключей для каждого агента восстановления, используя провайдер криптографических сервисов, зарегистрированный для EFS-восстановления. DRF добавляется в зашифрованный файл и может быть использован как альтернативное средство извлечения FEK для дешифрации содержимого файла.

Windows хранит закрытые  ключи в подкаталоге Application Data\Microsoft\Crypto\RSA каталога профиля пользователя. Для защиты закрытых ключей Windows шифрует все файлы в папке  RSA на основе симметричного ключа, гене-рируемого случайным образом; такой ключ называется мастер-ключом пользователя. Мастер-ключ имеет длину в 64 байта и создается стойким генератором случайных чисел. Мастер-ключ также хранится в профиле пользователя в каталоге Application Data\Microsoft\Protect и зашифровывается по алгоритму 3DES с помощью ключа, который отчасти основан на пароле пользователя. Когда пользователь меняет свой пароль, мастер-ключи автоматически расшифровываются, а затем заново зашифровываются с учетом нового пароля.

 

Для расшифровки FEK EFS использует функции Microsoft CryptoAPl (CAPI). CryptoAPI состоит  из DLL провайдеров криптографических  сервисов (cryptographic service providers, CSP), которые  обеспечивают приложениям доступ к  различным криптографическим сервисам (шифрованию, дешифрованию и хэшированию). EFS опирается на алгоритмы шифрования RSA, предоставляемые провайдером Microsoft Enhanced Cryptographic Provider (\Windows\ System32\Rsaenh.dll).

 Шифрацию и дешифрацию  файлов можно осуществлять программно, используя API-функции EncryptFile и DecryptFile.

 

3.3.2. Защита  объектов системы.

Маркер доступа идентифицирует субъектов-пользователей системы. С  другой стороны, каждый объект системы, требующий защиты, содержит описание прав доступа к нему пользователей. Для этих целей используется дескриптор безопасности (Security Descriptor, SD). Каждому объекту системы, включая файлы, принтеры, сетевые службы, контейнеры Active Directory и другие, присваивается дескриптор безопасности, который определяет права доступа к объекту и содержит следующие основные атрибуты:

- SID владельца, идентифицирующий  учетную запись пользователя-владельца  объекта; 

- пользовательский список  управления доступом (Discretionary Access Control List, DACL), который позволяет отслеживать  права и ограничения, установленные владельцем данного объекта. DACL может быть изменен пользователем, который указан как текущий владелец объекта.

- системный список  управления доступом (System Access Control List, SACL), определяющий перечень действий  над объектом, подлежащих аудиту;

- флаги, задающие атрибуты  объекта. 

Авторизация Windows основана на сопоставлении маркера доступа  субъекта с дескриптором безопасности объекта. Управляя свойствами объекта, администраторы могут устанавливать  разрешения, назначать право владения и отслеживать доступ пользователей.

Структура дескриптора  безопасности объекта Windows

Список управления доступом содержит набор элементов (Access Control En-

tries, ACE). В DACL каждый ACE состоит из четырех частей: в  первой указываются пользователи или группы, к которым относится данная запись, во второй – права доступа, а третья информирует о том, предоставляются эти права или отбираются. Четвертая часть представляет собой набор флагов, определяющих, как данная запись будет наследоваться вложенными объектами (актуально, например, для папок файловой системы, разделов реестра). 

Если список ACE в DACL пуст, к нему нет доступа ни у одного пользователя (только у владельца  на изменение DACL). Если отсутствует  сам DACL в SD объекта – полный доступ к нему имеют все пользователи. 

Если какой-либо поток  запросил доступ к объекту, подсистема SRM осуществляет проверку прав пользователя, запустившего поток, на данный объект, просматривая его список DACL. Проверка осуществляется до появления разрешающих прав на все запрошенные операции. Если встретится запрещающее правило хотя бы на одну запрошенную операцию, доступ не будет предоставлен. Рассмотрим пример . Процесс пытается получить доступ к объекту с заданным DACL. В маркере процесса указаны SID запустившего его пользователя, а также SID групп, в которые он входит. В списке DACL объекта присутствуют разрешающие правила на чтение для пользователя с SID=100, и на запись для группы с SID=205. Однако, в доступе пользователю будет отказано, поскольку раньше встречается запрещающее запись правило для группы с SID=201.

 Проверка прав доступа  пользователя к объекту

Необходимо отметить, что запрещающее правило помещено в списке DACL

на рисунке не случайно. Запрещающие правила всегда размещаются  перед разрешающими, то есть являются доминирующими при проверке прав доступа.

Для определения и  просмотра прав доступа пользователей  к ресурсам можно использовать как  графические средства контроля, так  и консольные команды. Стандартное  окно свойств объекта файловой системы (диска, папки, файла) на вкладке Безопасность позволяет просмотреть текущие разрешения для пользователей и групп пользователей, редактировать их, создавать новые или удалять существующие.

GUI-интерфейс Windows для  изменения прав доступа к объектам

При определении прав доступа к объектам можно задать правила их наследо-вания в дочерних контейнерах. В окне дополнительных параметров безопасности на вкладке  Разрешения при выборе опции «Наследовать от родительского объекта применимых к дочерним объектам разрешения, добавляя их к явно заданным в этом окне» можно унаследовать разрешения и ограничения, заданные для родительского контейнера, текущему объекту.