Мониторинг и анализ локальных сетей

 

4.2 Разработка и внедрение политики защиты компьютерной сети.

Планирование политики защиты имеет большое значение в области безопасности. Любую опасность гораздо дешевле предотвратить, чем потом исправлять ее последствия. Разработка политики защиты состоит из трех этапов.

- Выяснение потребности  компании.

- Разработка политики  защиты (безопасности), соответствующей  этим потребностям.

- Реализация политики  защиты.

Выяснение потребностей компании. Каждая организация имеет свои отличия от любой другой организации в мире. Она имеет свой уникальный персонал, стиль и идеологию управления. Политика безопасности должна соответствовать стилю организации. Идеи администратора должны поддерживаться руководством компании. Например, требование наличия бездисковых станций в дисплейном классе может не совпадать с мнением руководства организации.

Необходимо ознакомиться со схемой организации фирмы или других сходных по деятельности фирм. Желательно ответить на следующие вопросы: Хотите ли вы быть подключены к Интернету? Хотите ли вы иметь это подключение в будущем? Являются ли ваши данные настолько чувствительными, что должны оставаться абсолютно закрытыми? Хотите ли вы иметь возможность удаленно администрировать свой узел?

Совместно с руководством компании нужно решить, насколько тщательной и всеобъемлющей должна быть защита сети. После этого необходимо сделать вашу систему как можно более легкой в использовании, но без нарушения исходных целей в области безопасности.

Разработка и реализация политики защиты. Администратор отвечает за политику безопасности своей организации (security policy). Она состоит из набора правил и предписаний, определяющих все моменты безопасности в организации. Желательно в точности описать последовательность внедрения защиты, чтобы помощник администратора смог разобраться с политикой защиты при необходимости.

Многие пользователи считают, что правила безопасности являются препятствиями для выполнения ими работы и пытаются обойти эти правила. Не отбрасывайте их идеи немедленно, всегда анализируйте и взвешивайте преимущества удобной работы пользователя и пользу от введения дополнительной защиты. Таким образом администратор может решить, изменить политику или оставить все как есть. Следует объяснить пользователям, почему система была изменена или не была изменена и поблагодарите за предложения.

Нельзя забывать, что пользователи могут случайно и неумышленно повредить данные или саму сеть. Политика безопасности должна позволить пользователям легко и эффективно выполнить их работу, не позволяя им вызвать какие-либо повреждения.

Реализация политики физической защиты. Электронная защита информации может быть очень хорошо организована, но нельзя забывать, что злоумышленник может вынести компьютер за пределы здания. Администратор отвечает за все аспекты безопасности сети, включая ее физическую защиту.

В одноранговых сетях каждый пользователь отвечает за безопасность своего компьютера. Политика безопасности может быть простой: пользователи должны каждый вечер выключать свои компьютеры и запирать двери кабинетов. Некоторые пользователи могут оставлять свои компьютеры на ночь, чтобы получать файлы из дома – администратор должен решить, позволено ли это с точки зрения политики безопасности. Необходимо соблюдать баланс между потребностями пользователей и требованиями безопасности сети.

В сети на основе сервера, каждому пользователю предоставлены конкретные права, основанные на его потребностях и роли в организации. Пользователи такой сети также должны взять на себя часть ответственности за обеспечение защиты своих рабочих станций.

Защита сервера. Администратор должен предотвратить несанкционированный доступ как извне, так и изнутри сети. Хорошо подготовившийся пользователь может вызвать невосстановимую потерю данных, получив доступ к серверному шкафу. Необходимо ограничить физический доступ к серверам, а также число пользователей и групп, имеющих право локальной регистрации на сервере.

Защита маршрутизаторов. Доступ к маршрутизаторам также должен быть ограничен. Пользователь может решить что сеть работает странно, и выключить и включить маршрутизатор, пытаясь решить проблему. Получив доступ к маршрутизатору, пользователь может изменить таблицы маршрутизации, а в крупной сети – добавить свой сегмент, таким образом сделав первый шаг в крупном нарушении безопасности компьютерной сети.

4.3 Модели безопасности.

Существует две модели безопасности учетных записей: защита на уровне ресурсов (share-level security) и защита на уровне пользователей (user-level security).

Защита на уровне ресурсов

Защита на уровне ресурсов представляет собой такую технику защиты, при которой каждый владелец ресурса предоставляет ресурс в совместное пользование под своим контролем и создает пароль для управления доступом к этому ресурсу. Например, пользователь предоставляет цветной принтер для использования в сети. Он может защитить его использования, установив пароль на печать. Знающие пароль пользователи смогут получить доступ к принтеру. Примерами ОС, использующих защиту на уровне ресурсов, являются Windows 3.11 и Windows 95. Они разрешают три вида доступа к ресурсу: только для чтения (read-only), полный доступ (full) и в зависимости от пароля (depends on password).

Доступ только для чтения позволяет пользователю только просматривать файлы в разделяемом каталоге. Они не могут изменять, удалять или добавлять файлы в каталог, но могут их печатать и копировать на свои компьютеры.

Полный доступ позволяет создавать, читать, записывать, удалять и изменять файлы в разделяемом каталоге.

Доступ в зависимости от пароля позволяет предоставлять пользователям права на чтение или на полный доступ в зависимости от введенного пароля. Соответственно, необходимо определить два пароля на ресурс: один на чтение, другой на полный доступ.

Защита на уровне пользователей. При использовании этой модели, каждому пользователю присвоено уникальное имя и пароль. Когда пользователь пытается войти в сеть, ему предлагается ввести свое имя пользователя и пароль, которые сравниваются с базой данных защиты на удаленном сервере. Такой процесс называется идентификацией (authentication). Если имя и пароль верны, сервер регистрирует пользователя в сети. Права и привилегии присваиваются на основе идентификатора пользователя (User ID) и групп, к которым он принадлежит.

В Windows NT эта техника используется для присвоения разрешений. Администратор ограничивает уровень доступа пользователей к ресурсам сети. Существуют следующие типы разрешений:

Read (чтение). Аналогично разрешению read-only в Windows 3.11 или Windows 95, позволяет пользователям просматривать файлы в каталоге с совместным доступом. Они не могут изменять, удалять или добавлять файлы, но могут печатать и копировать файлы на свои компьютеры.

Execute (исполнение). Разрешает пользователям запускать файлы в каталоге с совместным доступом.

Write (запись). Разрешение Write позволяет читать, записывать и изменять файлы в разделенном каталог. Пользователи не могут запускать или удалять файлы.

Delete (удаление). Дает пользователям право удалять файлы из каталога с совместным доступом.

Full control (полный доступ). Позволяет читать, исполнять, создавать, записывать, изменять и удалять файлы в разделенном каталоге.

No access (нет доступа). Пользователи лишены прав получать доступ к каталогу. В сочетании с другими разрешениями No access имеет преимущество. Это означает, что если пользователь имеет к конкретному каталогу доступ Full control и No access, он не получит доступа.

4.4 Управление учетными записями.

Для отслеживания пользователей и их разрешений, администратор логически делит пользователей и ресурсы на управляемые группы и присваивает разрешения каждой из групп.

Например, организация, состоящая из управления, технического подразделения, отдела маркетинга, бухгалтерии и отдела кадров, легко может быть сгруппировано согласно специализации каждого из отделов. В этом примере администратор может создать группы: Управление, Инженеры, Маркетинг, Бухгалтерия и Кадры. Далее администратор помещает каждого пользователя в соответствующую группу.

Так как каждой группе потребуется доступ к различным ресурсам, администратор мог бы создать группы с разрешениями на доступ к следующим устройствам: высокоскоростной принтер, цветной принтер, принтер, принтер для САПР, круглосуточный принтер, принтер бухгалтерии. Соответственно для этого создаются следующие группы учетных записей: группа высокоскоростной принтер, включающая в себя группы управление и маркетинг, группа цветной принтер с группой маркетинг, группа основной принтер – бухгалтерия, инженеры и кадры, принтер САПР – инженеры, круглосуточный принтер – группа Everyone, принтер бухгалтерии – бухгалтерия.

4.5 Дополнительные средства защиты.

Существует еще несколько приемов, позволяющих повысить безопасность компьютерной сети. Это аудит (auditing), использование бездисковых рабочих станций (diskless workstation), шифрование (encryption) и защита от вирусов (virus protection).

Аудит (auditing) – это способ отслеживания событий и действий пользователей. Аудит формирует список событий (audit log), в котором хранится информация кто, когда и что делал в сети. Например, большое количество неудачных попыток регистрации за очень короткий период времени может указывать на то, что кто-то пытается получить доступ к сети. Другие функции аудита обеспечивают основу для принятия будущих решений, например, где разместить сетевые ресурсы и какие ресурсы могут понадобиться в будущем. Windows NT имеет мощные средства аудита и позволяет аудит удачного и неудачного выполнения следующих событий

Вход в сеть (logon) и выход из сети (logoff). Пользователь вошел в сеть или вышел из нее, создал или оборвал сетевое соединение с сервером.

Доступ к файлам и объектам (file and object access). Пользователь получил доступ к каталогу, файлу или принтеру, который настроен на проведение аудита (файлы и каталоги – только в NTFS). Должен быть выбран аудит этого события или файловых ресурсов или ресурсов печати.

Использование прав пользователя (Use of user rights). Пользователь использовал свое право (за исключением входа в сеть и выхода из нее).

Управление группами и пользователями (User and group management). Учетная запись пользователя или группы было создана, изменена или удалена. Или учетная запись пользователя была переименована, заблокирована или разблокирована, или пароль был установлен или изменен.

Изменение политики защиты (Security policy changes). Было произведено изменение прав пользователя, политики аудита или доверительных отношений.

Перезапуск (restart), выключение (shutdown) и системные события (system). Пользователь перезагрузил или выключил компьютер, или произошло событие, влияющее на безопасность системы.

Отслеживание процессов (process tracking). Отслеживание детальной информации о различных событиях, например активизации программ, появление повторяющихся дескрипторов, косвенный доступ к объектам и завершение процесса.

Не нужно забывать, что перед отслеживанием файлов, каталогов и принтеров необходимо не только указать свойства аудита на каждом из этих объектов, но и включить аудит file and object access используя User manager for domains.

Бездисковые рабочие станции (diskless workstations) могут быть использованы в условиях повышенной безопасности, где искажение данных недопустимо. С появлением ОС, основанных на Java, бездисковые рабочие станции (сетевые компьютеры) были переработаны и нацелены на привлечение более широкой аудитории. Эти компьютеры могут только запускать приложения, загруженные с сервера, они могут уменьшить эксплуатационные расходы, связанные с обновлением и установкой приложений. До сих пор неясно, смогут ли сетевые компьютеры заменить стандартные PC.

Бездисковые компьютеры имеют загрузочную микросхему ПЗУ, которая позволяет клиенту инициировать сеанс работы с сервером. При запуске бездисковый компьютер запускает по сети широковещательное сообщение с физическим адресом своего оборудования. Сервер RARP (Reverse Address Resolution Protocol – протокол обратного разрешения адресов) выполняет обратный поиск присвоенного клиенту сетевого адреса и посылает загрузочную информацию прямо клиенту. Сервер поручает клиенту идентифицировать пользователя. После того, как пользователь будет правильно идентифицирован, сервер позволит клиенту войти в сеть.

Бездисковые компьютеры являются надежным вложением для высокозащищенных сред. Поскольку у таких компьютеров нет ни гибких, ни жестких дисков, пользователи не могут получить данные и уйти вместе с ними. Однако они бесполезны, если сетевой сервер недоступен.

Шифрование (encryption) – процесс приведения данных к некоторому виду, который могу понимать только отправитель и получатель. Шифрование данных перед их передачей на сетевую карту является наиболее безопасным способом посылки данных.

Существует также оборудование, которое зашифровывает и расшифровывает данные по мере того, как они попадают в компьютер или покидают его.

Защита от вирусов. Большинство вирусов не наносят компьютеру серьезно вреда, но некоторые из них могут вызвать потерю данных. Существует несколько классификаций вредоносных программ, рассмотрим одну из них. Вредоносные программы разделяют на следующие категории.

Вирусы (Viruses) – компьютерные программы, производящие копии самих себя и прицепляющиеся к исполняемому файлу. Прикрепление к файлу данных бессмысленно, так как процессор не исполняет данные.

Черви (worms) – они производят копии самих себя, но не прикрепляются к другим программам.

Троянские кони (Trojan horses). Поступают на компьютеры замаскированные под другие программы. Можно привести в качестве примера Back Orifice, который при запуске устанавливал на компьютер программу удаленного управления, воровал пароли доступа в Интернет и производил другие действия.

Макровирусы (Macro viruses) – используют макроязыки и заражают файлы данных. Хотя сами данные не выполняются, макрокод, связанный с ними, может запуститься на выполнение. Некоторые вирусы могут самостоятельно распространяться по электронной почте. При запуске такого вируса, он отправляется всем людям, занесенным в адресную книгу «жертвы». Примером такого вируса является «Мелисса».

Программы защиты от вирусов не могут предотвратить появление вирусов. Они могут предотвратить активизацию вируса, исправить повреждения, нанесенные вирусом, и удалить вирусы системы. Механизм защиты от вирусов состоит из трех задач.

Предотвращение попадания вирусов в сеть. Необходимо ограничить круг программ, которые можно запускать пользователям. Администратор должен выработать стратегию, при которой все поступающие в организацию диски и вложения электронной почты должны проверяться на вирусы. На сервере электронной почты необходимо установить специальную антивирусную программу, которая будет проверять все входящие сообщения.