Авторизация доступа к данным сети

 

 

Содержание:

 

 

 

 

 

 

Введение...............................................................................................3

1. Авторизация доступа к данным сети…………………………….3

2. Аутентификация пользователей при подключении к сети…….4

3. Использование сигнатур для передачи NCP-пакетов…………..5

4. Определение эффективных прав пользователей по отношению к каталогам и файлам………………………………………………..6

5. Сетевой аудит в NetWare 4.x……………………………………..7

Заключение…………………………………………………………..9

Список используемой литературы………………………………..10

Контрольное задание………………………………………………11

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Введение

 

Сеть должна обеспечивать удобство доступа к своим ресурсам - дисковым томам, разделяемым принтерам, устройствам архивации, модемам  и другим устройствам коллективного  использования - в сочетании с эффективной системой их защиты от несанкционированного доступа. Эти функции с успехом решены в NetWare, разные поколения имеют свои характерные отличия, но в них прослеживаются и общие принципы защиты ресурсов. В NetWare 4.x также имеется развитая система сетевого аудита - пассивной системы всестороннего и независимого (даже от самого главного администратора!) наблюдения за действиями пользователей.

 

 

1. Авторизация доступа к данным сети

 

В NetWare реализованы три уровня защиты данных (рисунок 1).

 

Здесь под аутентификацией понимается:

процесс подтверждения подлинности  клиента при его подключении  к сети,

процесс установления подлинности  пакетов, передаваемых между сервером и рабочей станцией.

Рис. 1 Уровни защиты данных в NetWare

 

 

Права по отношению к  файлу (каталогу) определяют, какие  операции пользователь может выполнить  с файлом (каталогом). Администратор  может для каждого клиента  сети определить права по отношению  к любому сетевому файлу или каталогу.

 

Атрибуты определяют некоторые системные свойства файлов (каталогов). Они могут быть назначены администратором для любого сетевого файла или каталога.

 

Например, чтобы записать данные в файл, клиент должен:

знать свой идентификатор  и пароль для подключения к  сети,

иметь право записи данных в этот файл,

файл должен иметь  атрибут, разрешающий запись данных.

 

Следует отметить, что  атрибуты файла (каталога) имеют более  высокий приоритет, чем права  пользователей по отношению к  этому файлу.

 

2. Аутентификация  пользователей при подключении к сети

 

Подключение к сети выполняется  с помощью утилиты LOGIN.EXE. Эта программа  передаёт на сервер идентификатор, введённый  пользователем (рисунок 2).

 

Рис. 2  Аутентификация клиента 

 

По этому идентификатору NetWare выполняет поиск соответствующего объекта пользователя в системной базе данных сетевых ресурсов. Если в базе данных хранится значение пароля для этого клиента, то NetWare посылает на рабочую станцию зашифрованный с помощью пароля открытый ключ (симметричное шифрование). На рабочей станции этот ключ расшифровывается с помощью пароля, введённого пользователем, и используется для получения подписи запроса (пакета) к серверу о продолжении работы. Сервер расшифровывает эту подпись с помощью закрытого ключа (асимметричное шифрование), проверяет её и посылает подтверждение на рабочую станцию. В дальнейшем каждый NCP-пакет снабжается подписью, получаемой в результате кодирования открытом ключом контрольной суммы содержимого пакета и случайного числа Nonce. Это число генерируется для каждого сеанса. Поэтому подписи пакетов не повторяются для разных сеансов, даже если пользователь выполняет те же самые действия.

 

3. Использование  сигнатур для передачи NCP-пакетов

 

Необходимость применения сигнатуры (подписи) NCP-пакетов связана  со скандалом, разыгравшимся в 1992 году. Тогда голландский студент предложил простой способ "взламывания" файлового сервера NetWare. Этот способ основывается на параллельной работе хаккера и пользователя, имеющего требуемые права (рисунок 3).

 

 

Рис. 3 Организация несанкционированного доступа к файловому серверу

 

На рабочей станции хаккера (hacker) функционирует программа, которая  перехватывает пакеты, передаваемые по шине сети. При формировании пакета программа хаккера выполняет  следующие действия:

переписывает в заголовок формируемого IPX-пакета заголовок перехваченного пакета,

записывает в поле данных требуемую  команду.

 

Далее пакет посылается на файловый сервер. Файловый сервер пересылает адрес  станции hacker в поле ImmAddress блока ECB и  использует данные заголовка пакета IPX, чтобы определить номер соединения и возможность выполнения команды. Но в заголовке пакета хаккера записан адрес пользователя (адрес Admin), который имеет требуемые права. Поэтому команда хаккера выполняется.

 

При формировании сетевым адаптером заголовка ответного кадра адрес станции, куда непосредственно передаётся кадр, выбирается из поля ImmAddress блока ECB. Т. е. станция hacker воспринимается файловым сервером как маршрутизатор или мост. Напомним, что адрес конечной станции-получателя хранится в заголовке пакета IPX (в данном случае это адрес Admin, хотя для хаккера это не имеет значения). Таким образом, ответ посылается на станцию hacker, где и обрабатывается.

 

Подпись NCP-пакета (специальное поле в этом пакете) делает невозможным  параллельную работу хаккера и пользователя. Подпись (сигнатура) пакета - это шифр, для формирования которого используется контрольная сумма содержимого пакета и случайное число Nonce. Шифр создаётся с помощью открытого ключа. Важно отметить, что сигнатура изменяется в каждом пакете. Спрогнозировать последовательность подписей практически невозможно.

 

4. Определение  эффективных прав пользователей  по отношению к каталогам и  файлам

 

Права и фильтры (маски) наследуемых прав назначаются администратором  сети с помощью утилит NetWare. Но назначение прав для каждого пользователя по отношению ко всем требуемым файлам и каталогам - это утомительная задача. В NetWare предлагается механизм наследования прав. Прежде всего введём некоторые определения.

 

Опекун (Trustees) - это пользователь (или группа пользователей, или другой объект), которому администратор с помощью утилиты (например, FILER) явно назначает права по отношению к какому-либо файлу или каталогу. Такие права называются опекунскими назначениями.

Фильтр наследуемых прав (IRF - Inherited Right Filter) - это свойство файла (каталога), определяющее, какие права данный файл (каталог) может унаследовать от родительского каталога. Фильтр назначается администратором с помощью утилиты (например, FILER).

Наследуемые права - права, передаваемые (распространяемые) от родительского каталога.

Эффективные права - права, которыми пользователь реально обладает по отношению к файлу или каталогу.

 

 

 

На рисунке 4 представлена схема формирования операционной системой NetWare эффективных прав пользователя к файлу или каталогу. Здесь предполагается, что пользователь является участником групп 1 и 2.

 

Рис. 4 Схема определения операционной системой NetWare

эффективных прав пользователя по отношению  к файлу или каталогу

 

 

5. Сетевой  аудит в NetWare 4.x

 

 

Аудит в NetWare 4.x позволяет  отслеживать действия пользователей  по работе с деревом Каталогов NDS, а также события файлов, каталогов, очередей, серверов и пользователей.

 

Аудит NDS устанавливает  наблюдение за событиями дерева Каталогов, относящимися к данному контейнеру (возможно наблюдение 27 классов событий), выполняемыми определенным списком пользователей разных контейнеров.

 

Установка аудита относится  только к указанному контейнеру и  не распространяется на дочерние контейнеры, для которых при необходимости аудит включается явно.

 

Аудит событий файлов и каталогов позволяет отслеживать  открытие, закрытие, создание, удаление, восстановление, чтение, запись, перемещение  и модификацию. Возможен сбор информации о событиях, вызванных любыми пользователями (Global Events), о событиях, связанных с определенным файлом и определенным пользователем (User and File events) и о событиях, связанных с действиями любых пользователей над данным файлом или выбранных пользователей над любыми файлами (User or File Events).

 

События очередей печати включают создание, удаление и изменение  очередей, создание и обслуживание заданий печати.

 

События сервера включают изменение даты и времени, остановку  и загрузку сервера, монтирование и  размонтирование томов и некоторые другие.

 

Пользовательские события  включают вход и выход из сети, изменение  учетной информации.

 

При просмотре или  создании файлов отчетов для сокращения объема выводимой информации могут  применяться фильтры пользователей  и событий.

 

Аудит объектов назначается администратором, и после передачи паролей аудиторам (можно и нескольким) управляется ими. Все действия по системе аудита выполняются только с помощью утилиты AUDITCON.EXE.

 

Для обеспечения возможности  одновременной работы нескольких аудиторов в опциях AUDITCON необходимо установить Allow Concurrent Auditor Logins.

 

Аудиторы могут отключать  аудит объектов, но для возможности  его включения они должны обладать правом SUPERVISOR по отношению к данному  объекту.

 

Система аудита сугубо пассивная, она не ограничивает действий пользователей, а только наблюдает за ними.

 

 

 

 

 

 

Заключение

 

Безопасность хранения данных, - конфиденциальность и предотвращение несанкционированного изменения или  уничтожения - обеспечивается несколькими  путями. О надежности защиты имеет смысл говорить лишь в предположении, что неконтролируемый физический доступ потенциальных нарушителей к файл-серверу исключен. В противном случае искушенный нарушитель может получить доступ ко всем файлам сервера, хотя для непрерывно работающих в сети клиентов это событие не останется незамеченным.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Список используемой литературы:

 

1. Пшенецкий С.П. Теория информационной безопасности и методология защиты информации./ Методические указания по выполнению практических работ. -АМСИТ, 2009.  
2. С.П.Расторгуев. Основы информационной безопасности: Учебное пособие для вузов. - М.: Издательский центр «Академия», 2007. - 192с.
3. Е.Б.Белов, В.П.Лось, Р.В.Мещариков,  А.А.Шелупанов. Основы информационной безопасности: Учебное пособие для вузов. – М.: Горячая линия - Телеком, 2006. - 544с.
4. Семененко В.А. Информационная безопасность: Учебное пособие. 2-е изд., стереот. – М.: МГИУ, 2006. – 277с.
5. Сеть интернет

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Анализ реализации сервисов безопасности в локальной вычислительной сети предприятия (МУ «ЦБ Джубгского городского поселения Туапсинского района»

 

 

Наименование и общая  характеристика сети (структура, характеристика применяемых СВТ и коммуникационного  оборудования, тип ОС и применяемые  программные средства, обеспечивающие выполнение функциональных задач)
№ п.п.	Сервисы безопасности, реализуемые в сети	Задачи, решаемые сервисом	Применяемые средства защиты	Основные характеристики средства защиты
	Идентификация и аутентификация	Установление пользователя и проверка доступа	Встроенные средства ОС windows 7	Определение пользователя в системе
	Управление доступом	Ограничение доступа  пользователей в зависимости  от уровня прав	Active directory ОС windows 7	Обеспечивает защиту информации от вмешательства посторонних лиц
	Протоколирование и  аудит	Слежение за событиями, анализ накопленной информации	Журнал событий windows 7	Отчет о всех произошедших действиях
	Криптографическая защита	Шифрование данных	CryptoPo CSP 3.6	Защита данных с помощью  электронных цифровых подписей
	Контроль целостности	Обеспечение целостности  системы и данных	Kaspersky Business Space Security	Защита от вирусов  и несанкционированных действий
	Экранирование	Защита от несанкционированного внешнего воздействия	Встроенный firewall маршрутизаторовПО Kaspersky Business Space Security	Совокупность программных  и аппаратных средств позволяет  получить достаточную надежность системы  безопасности от внешних воздействий
	Анализ защищенности	Анализ угроз безопасности и существующих «дыр» в системе безопасности	ПО SYSTEM SECURITY SCANNER	Большое число проводимых проверок. Централизованное управление
	Туннелирование	Создание защищенных соединения между сетями	СКЗИ Континент-АП	Шифрование данных, проверка подлинности с помощью электронных  цифровых подписей
	Управление безопасностью	Совокупность функций  управления направленных на обеспечение  безопасности	Групповые политики безопасности windows. ПО ПО Kaspersky Business Space Security	Централизованное управление функциями обеспечения безопасности