КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Аудит и обнаружение вторжений
|
|
|
|
Разграничение доступа
Правила разграничения доступа устанавливаются администраторами системы при определении текущей политики безопасности. За соблюдением этих правил субъектами доступа следит монитор безопасности объектов - часть подсистемы защиты компьютерной системы.
Правила разграничения доступа должны удовлетворять следующим требованиям.
- должны соответствовать аналогичным правилам, принятым в организации, в которой функционирует данная система. Другими словами, если, согласно правилам организации, доступ пользователя к некоторой информации считается несанкционированным, этот доступ должен быть ему запрещен. Под несанкционированным доступом здесь подразумевается не только несанкционированное чтение информации, но и несанкционированные изменение, копирование и уничтожение информации;
- не должны допускать разрушающие воздействия субъектов доступа, не обладающих соответствующими привилегиями, на компьютерную систему, выражающиеся в несанкционированном изменении, удалении или другом воздействии на o6ъекты, жизненно важные для обеспечения нормального функционирования системы.
- любой объект системы должен иметь владельца. Присутствие в системе объектов, не имеющих владельца, должно быть недопустимо;
- присутствие в системе недоступных объектов — объектов, к которым не может обратиться ни один субъект доступа ни по одному методу доступа, должно быть недопустимо. Недоступные объекты фактически бесполезно растрачивают аппаратные ресурсы компьютера;
- утечка конфиденциальной информации из защищаемой системы должна быть недопустима.
Правила разграничения доступа в современных компьютерных системах основываются на одной из следующих моделей:
- дискреционное (избирательное) разграничение доступа;
- мандатное (полномочное) разграничение доступа;
- ролевое разграничение доступа.
Процедура аудита заключается в регистрации в специальном журнале, называемом журналом аудита или журналом безопасности, событий, которые могут представлять опасность для системы. Пользователи системы, обладающие правом чтения этого журнала, называются аудиторами.
Подсистема аудита компьютерной системы должна удовлетворять следующим требованиям:
- только сама система может добавлять записи в журнал аудита. Если предоставить это право какому-то физическому пользователю, этот пользователь получит возможность компрометировать других пользователей, добавляя в журнал аудита соответствующие записи;
- ни один субъект доступа, в том числе и сама система, не имеет возможности редактировать или удалять отдельные записи в журнале аудита. Только пользователи-аудиторы, обладающие соответствующей привилегией, могут просматривать журнал аудита.
- только пользователи-аудиторы могут очищать журнал аудита. После очистки журнала в него автоматически вносится запись о том, что журнал аудита был очищен, с указанием времени очистки журнала и имени пользователя, очистившего журнал. Система аудита должна поддерживать возможность сохранения журнала аудита перед очисткой в другом файле.
Для ограничения доступа пользователей к журналу аудита недостаточно использования обычных средств разграничения доступа. Дело в том, что в подавляющем большинстве систем администраторы, используя свои привилегии, могут прочитать и изменить содержимое любого файла, хранящегося на любом компьютере системы. Поэтому для ограничения доступа к журналу аудита должны применяться специальные средства защиты.
Политика аудита — это совокупность правил, определяющая то, какие события должны регистрироваться в журнале аудита. Для обеспечения надежной защиты операционной системы в журнале аудита должны обязательно регистрироваться следующие события:
- попытки входа/выхода пользователей из системы;
- попытки изменения списка пользователей;
- попытки изменения политики безопасности, в том числе и политики аудита.
При определении политики аудита не следует ограничиваться регистрацией событий из перечисленных классов. Окончательный выбор того, какие события должны регистрироваться в журнале аудита, а какие не должны, возлагается на аудиторов. При этом политика аудита в значительной мере определяется спецификой информации, хранимой и обрабатываемой в операционной системе, и дать какие-либо рекомендации, не зная этой специфики, невозможно.
Политика аудита должна оперативно реагировать на изменения в конфигурации операционной системы, в характере хранимой и обрабатываемой информации, и, особенно, на выявленные попытки атаки операционной системы. Если, с помощью аудита было обнаружено, что имела место попытка преодолеть защиту операционной системы, но основные принципы реализации этой атаки остались неясными, целесообразно изменить политику аудита таким образом, чтобы при дальнейших попытках осуществлять аналогичные атаки аудиторы получали более подробную информацию.
В целом политика аудита - своего рода искусство, и выбор оптимальной политики в значительной мере определяется опытом и интуицией аудитора.
Логическим развитием концепции аудита является система обнаружения вторжений (СОВ) или intrusion detection system (IDS) - специализированное программное или программно-аппаратное средство, предназначенное для выявления фактов неавторизованного доступа в компьютерную систему или сеть. Системы обнаружения вторжений обладают двумя основными отличиями от обычных систем аудита:
- система обнаружения вторжений не просто регистрирует отдельные события, происходящие в системе, но и анализирует их в совокупности, пытаясь обнаружить в последовательности зафиксированных событий признаки атаки нарушителя;
- система обнаружения вторжений может оперативно реагировать на обнаруженные атаки, самостоятельно блокируя соответствующие функции системы до того, как нарушитель успел им воспользоваться.
Обычно архитектура системы обнаружения вторжений включаете себя:
- сенсоры, обеспечивающие сбор информации для последующего анализа;
- анализаторы, осуществляющие анализ полученной сенсорами информации;
- хранилище (базу данных), в которое помещаются результаты работы анализатора;
- консоль управления, обеспечивающую взаимодействие администратора
безопасности с системой обнаружения вторжений.
Анализатор IDS анализирует собранную сенсорами информацию на предмет сходства с типичными атаками злоумышленников. Современные системы обнаружения вторжений довольно надежно детектируют сканирование портов, с которого начинается большинство сетевых атак, а также попытки программных закладок, проникших внутрь защищаемой сети, связаться со своими хозяевами через Интернет. При этом, в отличие от традиционных систем разграничения доступа и аудита, системы обнаружения вторжений реагируют не на каждое зафиксированное событие в отдельности, а на всю последовательность событий в совокупности. Так, сетевая система обнаружения вторжений позволяет не просто блокировать трафик, идущий на определенные порты или от определенных процессов, но и реализовывать более сложные правила фильтрации трафика, оценивая опасность не каждого пакета в отдельности, а целой последовательности пакетов в совокупности.
Правила, реализуемые анализаторами IDS, бывают двух видов — сигнатурные и эвристические. В первом случае в анализируемом потоке информации ищутся так называемые сигнатуры или сценарии атак — четкие и недвусмысленные признаки определенных атак, во втором случае выявляется аномальная активность в защищаемой системе. Обычно в ходе функционирования системы активность отдельных ее компонент примерно одинакова и слабо меняется со временем, если какая-то характеристика какой-то компоненты системы резко изменилась, это воспринимается как сигнал тревоги.
Основным достоинством эвристических анализаторов является их способность более-менее адекватно реагировать на ранее неизвестные атаки злоумышленников. Сигнатурные анализаторы, напротив, способны реагировать лишь на те атаки, которые присутствуют в базе сигнатур системы обнаружения вторжений. Эта база должна регулярно обновляться.
Основным недостатком эвристических анализаторов является их склонность генерировать ложные тревоги. Пусть, например, на некотором компьютере развернут популярный веб-сервер, обеспечивающий большую нагрузку на процессоры компьютера. На том же компьютере развернут и FTP-сервер, однако он посещается пользователями гораздо реже и не создает заметной нагрузки на процессоры и оперативную память. Если в какой-то момент некий пользователь начнет скачивать с FTP-сервера большой файл, это может привести к генерации системой обнаружения вторжений сигнала тревоги. Для того чтобы, с одной стороны, избежать большого количества ложных тревог, а с другой стороны, своевременно обнаруживать большинство атак, система обнаружения вторжений, реагирующая на аномальную активность, нуждается в длительной и тонкой настройке. Свежеустановленная и ненастроенная система обычно генерирует так много тревожных сигналов, что пользы от нее практически нет.
Эвристический анализатор системы обнаружения вторжений в общем случае не гарантирует обнаружение атаки. Большинство сетевых (да и не только сетевых) атак могут быть так модифицированы, что их реализация не будет приводить к заметным всплескам активности тех или иных компонент атакуемой системы. Однако модифицированные атаки, как правило, менее эффективны, чем в оригинальном исполнении. Например, программная закладка может отслеживать загруженность процессоров и сетевого адаптера и так планировать свое функционирование, чтобы нагрузка на систему, создаваемая закладкой, не превышала некоторый порог и не выделялась на фоне обычного функционирования системы. Однако в этом случае закладка будет работать медленнее и менее стабильно, она может, например, прервать сеанс связи со своим клиентом, если текущее состояние операционной системы таково, что продолжение сеанса связи будет обнаружено системой обнаружения вторжений.
В настоящее время сигнатурные и эвристические анализаторы обычно используются в совокупности. В будущем, с ростом «интеллектуальности» систем обнаружения вторжений, эвристические анализаторы, вероятно, станут основным видом анализаторов, применяемых в системах обнаружения вторжений. Пока же в практической работе основная нагрузка ложится на сигнатурные анализаторы, а эвристические используются главным образом в пассивном режиме - когда решение о том, была ли выявлена атака или имела место ложная тревога, принимает человек.
|
|
|
|
Дата добавления: 2014-01-13; Просмотров: 1156; Нарушение авторских прав?; Мы поможем в написании вашей работы!