Управление доступом к информационным ресурсам ЭВМ

Защита ЭВМ и ее информационных ресурсов от НСД

Особенности защиты персональных компьютеров (ПК) обусловлены спецификой их использования. Как правило, ПК пользуется ограниченное число пользователей. ПК могут работать как в автономном режиме, так и в составе локальных сетей (сопряженными с другими ПК) и могут быть подключены к удаленному ПК или локальной сети с помощью модема по телефонной линии.

Стандартность архитектурных принципов построения, оборудования и программного обеспечения персональных компьютеров, высокая мобильность программного обеспечения и ряд других признаков определяют сравнительно легкий доступ профессионала к информации, находящейся в ПК.

Если персональным компьютером пользуется группа пользователей, то может возникнуть необходимость в ограничении доступа к информации различных потребителей.

Несанкционированным доступом (НСД) к информации ПК будем называть незапланированное ознакомление, обработку, копирование, применение различных вирусов, в том числе разрушающих программные продукты, а также модификацию или уничтожение информации в нарушение установленных правил разграничения доступа. В защите информации ПК от НСД можно выделить три основных направления:

- первое ориентируется на недопущение нарушителя к вычислительной среде и основывается на специальных технических средствах опознавания пользователя;

- второе связано с защитой вычислительной среды и основывается на создании специального программного обеспечения по защите информации;

- третье направление связано с использованием специальных средств защиты информации ПК от несанкционированного доступа.

Реализация никакой из политик безопасности не будет возможна в случае, если компьютерная система не сможет распознать (идентифицировать) субъекта, пытающегося получить доступ к объекту компьютерной системы. Поэтому защищенная КС обязательно должна включать в себя подсистему идентификации, позволяющую идентифицировать инициирующего доступ субъекта.

Под идентификацией понимают присвоение пользователю некоторого уникального идентификатора, который он должен предъявить СЗИ ЭВМ при осуществлении доступа к объекту, то есть назвать себя. Используя предъявленный пользователем идентификатор, СЗИ может проверить наличие данного пользователя в списке зарегистрированных и авторизовать его (то есть наделить полномочиями) для выполнения определенных задач.

В качестве идентификаторов могут использоваться, например, имя пользователя (логин), аппаратные устройства типа iButton (Touch Memory), бесконтактные радиочастотные карты proximity, отдельные виды пластиковых карт и т.д.

Идентификаторы субъектов не являются секретной информацией и могут храниться в КС в открытом виде.

Для нейтрализации угроз, связанных с хищением идентификаторов и подменой злоумышленником легального пользователя необходимы дополнительные проверки субъекта, заключающиеся в подтверждении им владения предъявленным идентификатором. Данные проверки проводятся на этапе аутентификации пользователя.

Под аутентификацией понимают подтверждение пользователем предъявленного идентификатора, проверка его подлинности и принадлежности именно данному пользователю. Аутентификация выполняется для устранения фальсификации на этапе идентификации.

В качестве аутентифицирующей информации может использоваться, например, пароль, секретный код, пин-код и т.д. Информация, используемая субъектом для аутентификации, должна сохраняться им в секрете. Хищение данной информации злоумышленником ведет к тому, что злоумышленник сможет пройти этап идентификации и аутентификации без обнаружения фальсификации.

Этапы идентификации и аутентификации пользователя объединяются в единой подсистеме, называемой подсистемой идентификации и аутентификации (И/АУ).

Атаки на подсистему идентификации и аутентификации пользователя являются одними из наиболее распространенных и привлекательных для злоумышленника, так как пройдя этап И/АУ злоумышленник получает все права легального пользователя, идентификатор которого был использован. В связи с этим, обеспечение стойкости ко взлому подсистемы И/АУ пользователя является очень важной задачей для безопасного функционирования компьютерной системы.

Стойкость к взлому подсистемы идентификации и аутентификации определяется гарантией того, что злоумышленник не сможет пройти аутентификацию, присвоив чужой идентификатор, либо украв его.

Наиболее распространенными методами идентификации и аутентификации пользователя являются:

· парольные системы;

· идентификация/аутентификация с использованием технических устройств;

· идентификация/аутентификация с использованием индивидуальных биометрических характеристик пользователя.

Простота реализации и логическая ясность принципов функционирования делают системы парольной аутентификации самыми популярными. И хотя существует множество угроз данной схеме авторизации (подбор пароля, анализ трафика, повторное воспроизведение запроса на аутентификацию), она используется в большинстве информационных систем, а задачи защиты от перечисленных угроз решаются обычно комплексом мер, одно из центральных мест в которых занимает криптографическая защита.

В настоящее время используются два основных метода аутентификации пользователей:

· с однонаправленной передачей информации от клиента к серверу аутентификации;

· технология «запрос-ответ».

Однонаправленная схема предполагает передачу от клиента серверу своего идентификатора и пароля, которые проверяются сервером по имеющейся у него базе данных, и по результатам сравнения принимается решение о личности клиента. Чтобы противодействовать пассивному перехвату пароля при передаче по сети, применяется хэширование пароля. Схема однонаправленной аутентификации представлена на рис.4.1.

Рис. 4.1 – Схема однопараллельной аутентификации

Перехватив запрос при передаче его по сети, злоумышленник не сможет воспользоваться им для получения пароля пользователя для последующей аутентификации от имени пользователя с идентификатором id, поскольку пароль передается в захэшированном виде q’, а обратить операцию хэширования невозможно.

Приведенная на рис.4.1 схема неспособна противостоять атаке несанкционированного воспроизведения, когда злоумышленник, перехватив сетевой трафик сеанса аутентификационной связи легального пользователя, позднее в точности воспроизводит его, и таким образом получает доступ к ресурсам. Для противостояния атаке подобного рода в запрос вносятся временные метки, либо некоторые одноразовые числа, которые по договоренности сторон могут быть использованы только однажды. Схема аутентификации с одноразовыми числами представлена на рис.4.2. Дополнительный параметр t в этой схеме является либо случайным числом, генерируемым для каждого запроса на аутентификацию, либо одноразовым числом из набора, заранее оговоренного обеими сторонами. При использовании этой схемы злоумышленник не сможет повторно воспроизвести ранее сохраненный им запрос на аутентификацию легального пользователя, поскольку в нем использовано значение t, которое считается уже использованным, и сервер отвергнет повторный запрос.

Рис. 4.2. – Схема аутентификации с защитой от несанкционированного воспроизведения

Очевидным требованием к подобной системе аутентификация является наличие на стороне сервера базы данных, в которой бы сохранялись уже использованные значения t. Если в качестве t используется временная метка, то на систему аутентификации накладываются дополнительные требования по временной синхронизации вычислительных средств клиента и сервера. Развитием подобных схем аутентификации стала схема «запрос-ответ». В этой схеме в ответ на запрос клиента на аутентификацию сервер высылает ему некоторое случайное или псевдослучайное число (challenge), клиент должен выполнить некоторое криптографическое действие (блочное шифрование, хэширование) над объединением парольной фразы и присланным сервером числом. Результат этого действия высылается серверу, который, выполнив аналогичные действия с challenge и хранящимся у него паролем клиента, сравнивает результат с присланным пользователем значением и принимает решение об аутентификации. Схема аутентификации «запрос-ответ» приведена на рис.4.3. Схема «запрос-ответ» также защищает от несанкционированного воспроизведения, поскольку для каждого сеанса аутентификации сервер генерирует уникальный challenge.

Рис. 4.3. - Схема аутентификации с защитой от несанкционированного воспроизведения

Говоря о парольной аутентификации, необходимо сказать несколько слов о качестве применяемых парольных фраз. Для того чтобы система аутентификации была защищена от атак типа угадывания или перебора паролей, необходимо, чтобы длина пароля и его семантическая наполненность максимально противостояли такого рода атакам. Типовые ошибки при выборе пароля:

- пользователь выбирает в качестве пароля фразу, производную от идентификатора пользователя;

- пользователь выбирает в качестве пароля слово какого-либо языка или общеупотребительную фразу.

Такие пароли подбираются злоумышленником путем словарной атаки — перебором слов и наиболее часто употребляемых фраз по определенному словарю. Как показывает практика, достаточен небольшой объем требуемых фраз в словаре для проведения успешной словарной атаки;

- использование в качестве пароля очень коротких фраз, которые легко подбираются перебором всех возможных вариантов.

Исходя из этого перечня, идеальным можно было бы назвать пароль длиной в несколько десятков символов, представляющий собой нечитаемую фразу с как можно большим набором используемых символов. Однако, практическое использование такого пароля сопряжено с другими проблемами, так как пользователь будет не в состоянии его запомнить, он будет вынужден хранить его в открытом виде на бумажном или магнитном носителе, что является предпосылкой хищения пароля.

Как еще одну угрозу парольной аутентификации можно назвать применяемые злоумышленниками методы социальной инженерии, когда для раскрытия пароля используются методы социальной коммуникации (например, звонок от имени системного администратора с просьбой назвать свой пароль).

Отметим особенности парольной аутентификации. Главное достоинство парольной аутентификации – простота и привычность. Пароли давно встроены в операционные системы и иные сервисы. При правильном использовании пароли могут обеспечить приемлемый для многих организаций уровень безопасности. Тем не менее, по совокупности характеристик их следует признать самым слабым средством проверки подлинности.

Чтобы пароль был запоминающимся, его зачастую делают простым. Однако простой пароль нетрудно угадать, особенно если знать пристрастия данного пользователя. Иногда пароли с самого начала не хранятся в тайне, так как имеют стандартные значения, указанные в документации, и далеко не всегда после установки системы производится их смена.

Ввод пароля можно подсмотреть. Иногда для подглядывания используются даже оптические приборы.

Пароли нередко сообщают коллегам, чтобы те могли, например, подменить на некоторое время владельца пароля. Теоретически в подобных случаях более правильно задействовать средства управления доступом, но на практике так никто не поступает; а тайна, которую знают двое, это уже не тайна.

Пароль можно угадать "методом грубой силы", используя, скажем, словарь. Если файл паролей зашифрован, но доступен для чтения, его можно скачать к себе на компьютер и попытаться подобрать пароль, запрограммировав полный перебор (предполагается, что алгоритм шифрования известен).

Тем не менее, следующие меры позволяют значительно повысить надежность парольной защиты:

· наложение технических ограничений (пароль должен быть не слишком коротким, он должен содержать буквы, цифры, знаки пунктуации и т.п.);

· управление сроком действия паролей, их периодическая смена;

· ограничение доступа к файлу паролей;

· ограничение числа неудачных попыток входа в систему (это затруднит применение "метода грубой силы");

· обучение пользователей;

· использование программных генераторов паролей (такая программа, основываясь на несложных правилах, может порождать только благозвучные и, следовательно, запоминающиеся пароли).

Перечисленные меры целесообразно применять всегда, даже если наряду с паролями используются другие методы аутентификации.

Рассмотренные выше пароли можно назвать многоразовыми; их раскрытие позволяет злоумышленнику действовать от имени легального пользователя. Гораздо более сильным средством, устойчивым к пассивному прослушиванию сети, являются одноразовые пароли.

Наиболее известным программным генератором одноразовых паролей является система S/KEY компании Bellcore. Идея этой системы состоит в следующем. Пусть имеется односторонняя функция f (то есть функция, вычислить обратную которой за приемлемое время не представляется возможным). Эта функция известна и пользователю, и серверу аутентификации. Пусть, далее, имеется секретный ключ K, известный только пользователю.

На этапе начального администрирования пользователя функция f применяется к ключу K n раз, после чего результат сохраняется на сервере. После этого процедура проверки подлинности пользователя выглядит следующим образом:

сервер присылает на пользовательскую систему число (n-1);

пользователь применяет функцию f к секретному ключу K (n-1) раз и отправляет результат по сети на сервер аутентификации;

сервер применяет функцию f к полученному от пользователя значению и сравнивает результат с ранее сохраненной величиной. В случае совпадения подлинность пользователя считается установленной, сервер запоминает новое значение (присланное пользователем) и уменьшает на единицу счетчик (n).

На самом деле реализация устроена чуть сложнее (кроме счетчика, сервер посылает затравочное значение, используемое функцией f), но для нас сейчас это не важно. Поскольку функция f необратима, перехват пароля, равно как и получение доступа к серверу аутентификации, не позволяют узнать секретный ключ K и предсказать следующий одноразовый пароль.

Другой подход к надежной аутентификации состоит в генерации нового пароля через небольшой промежуток времени (например, каждые 60 секунд), для чего могут использоваться программы или специальные интеллектуальные карты (с практической точки зрения такие пароли можно считать одноразовыми). Серверу аутентификации должен быть известен алгоритм генерации паролей и ассоциированные с ним параметры; кроме того, часы клиента и сервера должны быть синхронизированы.

Идентификация/аутентификация осуществляется также с помощью биометрических данных.

Биометрия представляет собой совокупность автоматизированных методов идентификации и/или аутентификации людей на основе их физиологических и поведенческих характеристик. К числу физиологических характеристик принадлежат особенности отпечатков пальцев, сетчатки и роговицы глаз, геометрия руки и лица и т.п. К поведенческим характеристикам относятся динамика подписи (ручной), стиль работы с клавиатурой. На стыке физиологии и поведения находятся анализ особенностей голоса и распознавание речи.

В общем виде работа с биометрическими данными организована следующим образом. Сначала создается и поддерживается база данных характеристик потенциальных пользователей. Для этого биометрические характеристики пользователя снимаются, обрабатываются, и результат обработки (называемый биометрическим шаблоном) заносится в базу данных (исходные данные, такие как результат сканирования пальца или роговицы, обычно не хранятся).

В дальнейшем для идентификации (и одновременно аутентификации) пользователя процесс снятия и обработки повторяется, после чего производится поиск в базе данных шаблонов. В случае успешного поиска личность пользователя и ее подлинность считаются установленными. Для аутентификации достаточно произвести сравнение с одним биометрическим шаблоном, выбранным на основе предварительно введенных данных.

Обычно биометрию применяют вместе с другими аутентификаторами, такими, например, как интеллектуальные карты. Иногда биометрическая аутентификация является лишь первым рубежом защиты и служит для активизации интеллектуальных карт, хранящих криптографические секреты; в таком случае биометрический шаблон хранится на той же карте.

К биометрии следует относиться весьма осторожно. Необходимо учитывать, что она подвержена тем же угрозам, что и другие методы аутентификации. Во-первых, биометрический шаблон сравнивается не с результатом первоначальной обработки характеристик пользователя, а с тем, что пришло к месту сравнения. А, как известно, за время пути... много чего может произойти. Во-вторых, биометрические методы не более надежны, чем база данных шаблонов. В-третьих, следует учитывать разницу между применением биометрии на контролируемой территории, под бдительным оком охраны, и в "полевых" условиях, когда, например к устройству сканирования роговицы могут поднести муляж и т.п. В-четвертых, биометрические данные человека меняются, так что база шаблонов нуждается в сопровождении, что создает определенные проблемы и для пользователей, и для администраторов.

Но главная опасность состоит в том, что любая "пробоина" для биометрии оказывается фатальной. Пароли, при всей их ненадежности, в крайнем случае можно сменить. Утерянную аутентификационную карту можно аннулировать и завести новую. Палец же, глаз или голос сменить нельзя. Если биометрические данные окажутся скомпрометированы, придется как минимум производить существенную модернизацию всей системы.

Дата добавления: 2014-11-29; Просмотров: 1131; Нарушение авторских прав?; Мы поможем в написании вашей работы!