Программные средства сетевой защиты информации

3ащита конфиденциальных данных от несанкционированного доступа очень важна в любой среде, где множество пользователей обращается к одним и тем же физическим или сетевым ресурсам. У операционной системы, как и у отдельных пользователей, должна быть возможность защиты файлов, памяти и конфигурационных параметров от нежелательного просмотра и внесения изменений. Безопасность операционной системы обеспечивается такими очевидными механизмами, как учетные записи, пароли и защита файлов. Но она требует и менее очевидных механизмов — защиты операционной системы от повреждения, запрета непривилегированным пользователям определенных действий (например, перезагрузки компьютера) предотвращения неблагоприятного воздействия программ одних пользователей на программы других пользователей или ни операционную систему.

Ниже перечислены главные компоненты и базы данных, на основе которых реализуется защита в Windows

Монитор состояния защиты. Компонент исполнительной системы, отвечающий за определение структуры данных маркера доступа для представления контекста защиты, за проверку прав доступа к объектам, манипулирование привилегиями (правами пользователей) и генерацию сообщений аудита безопасности.

Подсистема локальной аутентификации. Процесс пользовательского режима, который отвечает за политику безопасности в локальной системе, а также за аутентификацию пользователей и передачу сообщений аудита безопасности и Event I.og.

База данных политики LSASS База данных, содержащая параметры политики безопасности локальной системы. Включает следующую информацию:

каким доменам доверена аутентификация попыток входа в систему,

кто имеет права на доступ к системе и каким образом,

кому предоставлены те или иные привилегии,

какие виды аудита следует выполнять.

База данных политики LSASS также хранит -секреты*, которые включают в себя регистрационные данные, применяемые для входа в домены и при вызове Windows-сервисов

Диспетчер учетных записей безопасности. Набор подпрограмм, отвечающих за поддержку базы данных, которая содержит имена пользователей и группы, определенные на локальной машине.

База данных SAM. База данных, которая и системах, отличных от контроллеров домена, содержит информацию о локальных пользователях и группах вместе с их паролями и другими атрибутами. На контроллерах домена SAM содержит определение и пароль учетной записи администратора, имеющего права на восстановление системы. Эта база данных хранится в разделе реестра HKLM\SAM.

Active Directory Служба каталогов, содержащая баку данных со сведенными об объектах в домене. Active Directory хранит информацию об объектах домена, и том числе о пользователях, группах и компьютерах. Сведения о паролях и привилегиях пользователей домена и их групп содержатся в Active Directory и реплицируются на компьютеры, выполняющие роль контроллеров домена.

Пакеты аутентификации DLL-модули, выполняемые в контексте процесса Lsass и клиентских процессов и реализующие политику аутентификации в Windows. DLL аутентификации отвечает за проверку пароля и имени пользователя, а также за возврат I.SASS (в случае успешной проверки) детальной информации о правах пользователя, на основе которой LSASS генерирует маркер (token).

Процесс входа (Winlogon) I Iponecc пользовательского режима (\Win-dows\Systcm32\Winlogon.схс). отвечающий за поддержку SAS и управление сеансами интерактивного входа в систему. Например, при регистрации пользователя Winlogon создает оболочку — пользовательский интерфейс.

GINA (Graphical Identification and Authentication) DM. пользовательского режима, выполняемая в процессе Winlogon и применяемая для получения пароля и имени пользователя или PIN-кода смарт-карты. Стандартная CHNA хранится в \Windows\Sysicm32\Msgina.dll.

Служба сетевшч) входа (Net logon) Windows-сервис (\Windows\Sys-tem32 \Netlogon.dll). устанавливающий защищенный канал с контроллером домена, по которому тхылаются запросы, связанные с защитой, например для интерактивного входа (если контроллер домена работает под управлением Windows NT), или запросы на аутентификацию от LAN Manager либо NT LAN Manager (vl и v2).

Kernel Security Device Driver (KSecDD) Библиотека функций режима ядра, реализующая интерфейсы LPC (local procedure call), которые используются другими компонентами защиты режима ядра — в том числе Шифрующей файловой системой (Encrypting File System, EFS) — для взаимодействия с LSASS в пользовательском режиме. KsecDD содержится в \Windows\System32\Drivcrs\Ksccdd.sys.

IP-безопасность (Internet Protocol Securiiy, IPSec) интегрирована со стеком TCP/IP и защищает одноадресные IP-данные от перехвата и несанкционированной модификации, подмены IP-адресов и атак через посредника. IPSec обеспечивает глубоко эшелонированную оборону от сетевых атак с компьютеров, которым нет доверия, от атак, которые могут привести к отказу в обслуживании, от повреждения данных, кражи информации и учетных данных пользователей, а также от попыток захватить административный контроль над серверами, другими компьютерами и сетью..Эти цели реализуются за счет сервисов защиты на основе шифрования, протоколов безопасности и динамического управления ключами. При обмене одноадресными IP-пакетами между доверяемыми хостами IPSec поддерживает следующую функциональность:

аутентификацию источника данных — проверку источника IP-пакета и запрет несанкционированного доступа к данным;

целостность данных — защиту IP-пакета от модификации в процессе доставки и распознавание любых изменений;

конфиденциальность — содержимое IP-пакетов зашифровывается перед отправкой, благодаря чему их содержимое может быть расшифровано только указанным адресатом;

защиту от повторений пакетов — гарантирует уникальность каждого IP-пакета и невозможность его повторного использования. Злоумышленник, даже если он сумеет перехватить IP-пакеты, не сможет повторно использовать их для установления сеанса связи или неавторизованного доступа к информации.

Для защиты от сетевых атак вы можете настроить IPSec на фильтрацию пакетов хостом (host-based packet tillering) и разрешать соединения только с доверяемыми компьютерами. После настройки на фильтрацию пакетов хостом IPScc может разрешать или блокировать определенные виды одноадресною IP-трафика, исходя из адресов источника и получателя, заданных протоколов и портов. Поскольку' IPSec интегрирован с IP-уровнем (уровнем 3) стека TCP/IP и действует на все приложения, вам не понадобится настраивать параметры безопасности индивидуально для каждого приложения, работающего с TCP/IP.

В среде Active Directory' групповая политика позволяет настраивать домены, сайты и организационные единицы (organizational units. Oil), а политики IPSec можно закреплять за нужными объектами групповой политики (Group Policy Objects. GPO). В качестве альтернативы можно конфигурировать и применять локальные политики IPScc. Политики IPSec хранятся в Active Directory'. a копия параметров текущей политики поддерживается в кэше в локальном реестре. Локальные политики IPSec хранятся в реестре локальной системы.

Для установления доверяемого соединения IPSec использует взаимную аутентификацию (mutual authentication), при этом поддерживаются следующие методы аутентификации: Kerberos версии 5, сертификат открытого ключа Х509 версии 3 или на основе общего ключа (preshared key).

Windows-реализация IPScc основана на RI;C. относящихся к IPScc Архитектура Windows IPSec включает IPScc Policy Agent, протокол Internet Key Exchange (IKE) и драйвер IPSec.

Агент политики IP-безопастности. Выполняется как сервис в процессе LSASS (о LSASS см. главу 8). В ММС-оснасткс Services (Службы) в списке служб он отображается как IPSEC Services (Службы IPSEC). Агент политики 1Р-безопасности получает политику IPSec из домена Active Directory или из локального реестра и передает фильтры IP-адресов драйверу IPSec. а параметры аутентификации и безопасности — IKE.

IKE Ожидает от драйвера IPSec запросы на согласование сопоставлений безопасности (security associations. SA). согласовывает SA. а потом возвращает параметры SA драйверу IPScc. SA — это набор взаимно согласованных параметров политики IPSec и ключей, определяющий службы и механизмы защиты, которые будут использоваться при защищенной коммуникационной связи между двумя равноправными хостами с IPSec Каждое SA является односторонним, или симплексным, соединением, которое защищает передаваемый по нему трафик. IKE согласует SA основного и быстрого режимов, когда oi драйвера IPScc поступает соответствующий запрос. SA основного режима IKE (или ISAKMP) защищает процесс согласования, выполняемый IKE. a SA быстрого режима (или IPScc) — трафик приложений.

Драйвер IPSec. Это драйвер устройства, который привязан к драйверу TCP/IP и который обрабатывает пакеты, передаваемые через драйвер TCP/IP Драйвер IPSec отслеживает и защищает исходящий одноадресный IP-трафик, а также отслеживает, расшифровывает и проверяет входящие одноадресные IP-пакеты Этот драйвер принимает фильтры от агента политики IP-безопасности. а затем пропускает, блокирует или защищает пакеты в соответствии с критериями фильтров Для защиты трафика драйвер IPSеc использует Параметры активного SA либо запрашивает создание новых SA. ММС-оснастка IP Security Policy Management (Управление политикой безопасности IP) позволяет создавать политику IPScc и управлять ею С помощью этой оснастки МОЖНО создавать, изменять и сохранять локальные политики IPSec или политики IPSec на основе Active Directory, а также модифицировать политику IPSec на удаленных компьютерах

 

Контрольные задания для СРС [(1;3-27,196-227),(5;380-414),(2;207-219)]

1. Базовые концепции Windows API

2. Ключевые компоненты системы

3. Анализ и устранение проблем с реестром

 

Рекомендуемая литература

1. Руссинович М., Соломон Д. Внутреннее устройство Microsoft Winows

2. Гордеев А.В, Молчанов А.Ю. Системное программное обеспечение.

3. Таненбаум Э, Вудхал А Операционные системы: разработка и реализация.

4. Столингс Операционные системы

5. Олифер В.Г.,Олифер Н.А. Сетевые ОС