Страница:
организации.
Сетевые каналы, ведущие к сетям вне организации, позволяют
осуществить доступ к организации всем, кто присоединен к этой
внешней сети. Сетевой канал обычно обеспечивает доступ к большому
числу сетевых служб, и каждый из этих служб потенциально может
быть скомпрометирован.
Коммутируемые каналы, в зависимости от их конфигурации, могут
обеспечивать доступ только к порту регистрации в одной системе.
Если же они присоединены к терминальному серверу, коммутируемые
линии могут обеспечить доступ ко всей сети.
Терминальные серверы сами по себе являются источником
проблем. Многие терминальные серверы не требуют никакой
аутентификации. Злоумышленники часто используют терминальные
серверы для маскировки своих действий, устанавливают соединение с
местного телефона, а затем используют терминальный сервер для
вхождения в локальную сеть. Некоторые терминальные серверы
сконфигурированы таким образом, что злоумышленники могут
организовать TELNET-сеанс извне сети[19], а затем оттуда
организовать TELNET-сеанс со своим СВТ, что делает их обнаружение
трудным.
Неправильно сконфигурированные АС составляют большой процент
брешей в защите. Современные операционные системы и программное
обеспечение для работы в их среде стало таким сложным, что для
понимания того, как работает АС, нужно много времени. Часто
системные администраторы являются неспециалистами, просто
назначенными штаб-квартирой организации.
Производители частично ответственны за неправильную
конфигурацию АС. Для упрощения процесса установки АС
производители иногда выбирают начальные параметры таким образом,
что они не всегда обеспечивают безопасность.
Программы никогда не будут свободны от ошибок. Использование
известных всем ошибок в защите является распространенным методом
для незаконного входа. Частью решения этой проблемы является
информированность о проблемах с безопасностью программ и их
обновление при обнаружении ошибок. Когда обнаруживаются ошибки, о
них нужно сообщить производителю, чтобы было найдено решение этой
проблемы и доведено до всех.
Сотрудник организации может являться серьезной угрозой
безопасности АС. "Свои" часто имеют прямой доступ к СВТ и
сетевому оборудованию. Возможность доступа к частям АС облегчает
компрометацию большинства АС. С большинством настольных рабочих
станций можно легко произвести такие действия, что они обеспечат
привилегированный доступ. Доступ к локальной сети позволяет
просматривать возможно секретные данные, передаваемые транзитом
через эту сеть.
После того, как вы установили, что надо защищать, и оценили
риски, которым подвергаются ценности, необходимо решить, как
реализовать меры безопасности, с помощью которых будут защищаться
ценности. Механизмы защиты должны быть выбраны таким образом,
чтобы они были адекватны угрозам, выявленным при анализе риска, и
реализовывали безопасность наиболее эффективным образом. Не имеет
смысла тратить колоссальную сумму денег на защиту, если опасности
практически нет.
Выбранные меры безопасности представляют собой основу ваших
ПРД. Они являются первой и основной линией обороны при защите
ваших ценностей. Поэтому важно быть уверенным, что меры
безопасности, которые вы выбрали, составляют правильный набор.
Если основная угроза вашей АС - внешние злоумышленники, вероятно
не имеет смысла использовать биометрические устройства для
аутентификации ваших основных пользователей. С другой стороны,
если основной угрозой является несанкционированное использование
вычислительных ресурсов вашими пользователями, вы вероятно
захотите использовать строгие автоматизированные процедуры
регистрации пользователей.
Здравый смысл - самое подходящее средство, которое может быть
использовано при выработке ваших ПРД. Тщательно разработанные
схемы и механизмы защиты впечатляют, и они должны иметься, но
стоит ли вкладывать деньги и время в тщательно разработанные
схемы, если забыты простые меры безопасности. Например,
независимо от того, насколько тщательно разработана система,
которую вы используете для безопасности, один-единственный
пользователь с плохим паролем может сделать вашу АС открытой для
атаки.
Другим методом защиты ценностей является использование
нескольких стратегий. При этом, если какая-либо из стратегий
выйдет из строя, то другая будет продолжать действовать, и
защитит ценности. Используя несколько простых стратегий,
организация часто может добиться больших результатов в защите,
чем при использовании одной сложной стратегии. Например, модемы с
проверкой номера с помощью обратного звонка могут использоваться
вместе с традиционными механизмами регистрации пользователей при
входе. Может быть рекомендовано много аналогичных подходов,
обеспечивающих несколько уровней защиты для ценностей. Тем не
менее, от дополнительных механизмов легко отказаться. Надо только
точно помнить, что требуется защищать.
Даже если вы разработали систему ПРД, но не защитили
физически сами СВТ, все ваши СВТ не могут считаться защищенными.
Имея возможность физического доступа к СВТ, злоумышленник может
остановить СВТ, перевести ее в привилегированный режим, заменить
диск, установить программу-закладку (смотри пункт 2.13.9.2) или
сотворить еще что-либо с вашим СВТ.
Важные каналы связи, сервера, и другие ключевые СВТ должны
быть размещены в физически защищенных зонах. Некоторые системы
защиты (такие как Керберос), требуют, чтобы СВТ было физически
защищено.
Если вы не можете физически защитить СВТ, нужно проявлять
осторожность в вопросе доверия к этим СВТ. Организации должны
более ограничивать доступ с незащищенных СВТ по сравнению с
доступом с защищенных СВТ. В частности, допущение надежного
доступа (например, удаленные команды BSD Unix, такие как rsh) с
этого типа СВТ особенно рискованно.
Для СВТ, которые должны стать физически защищенными, нужно
соблюдать осторожность при определении того, кто может иметь
доступ к этим СВТ. Напомним, что отделы охраны и обслуживания
часто имеют ключи от комнат.
Можно использовать несколько простых процедур для выявления
незаконного использования АС. Эти процедуры используют средства,
предоставляемые вместе с операционной системой ее производителем,
или средства, полученные из других источников.
Наблюдение за АС может осуществляться либо системным
администратором, либо программой, написанной для этой цели.
Наблюдение за АС включает в себя слежение за несколькими частями
АС и поиск в них чего-либо необычного. Несколько самых простых
способов осуществления этого описаны в этом разделе.
Самым важным при наблюдении за АС является его регулярность.
Выделение специального дня в месяце для наблюдения за АС
бессмысленно, так как нарушение защиты может быть осуществлено в
течение нескольких часов. Только организовав постоянное
наблюдение, вы можете ожидать, что обнаружите нарушения защиты и
успеете отреагировать на них.
Эта секция описывает средства и методы для наблюдения за АС с
целью выявления несанкционированного доступа и использования.
Большинство операционных систем хранят много информации в
файлах-журналах входов в АС. Регулярное исследование этих файлов
часто может послужить первой линией обороны при выявлении
несанкционированного использования АС.
1) Сопоставьте списки пользователей, работающих сейчас, и
предысторию входов в АС. Большинство пользователей обычно
начинают и заканчивают работать приблизительно в одно и то же
время каждый день. Если же пользователь вошел в АС в "необычное"
время для этого пользователя, то возможно, что это злоумышленник.
2) Многие АС содержат записи о входах в АС для составления
ведомостей о плате за пользование. Эти записи также могут быть
использованы для выявления типового использования АС; необычные
записи могут указывать на незаконное использование АС.
3) Следует проверять системные утилиты, связанные со входом в
АС, такие как утилита UNIX "syslog", на наличие сообщений о
необычных ошибках от системного программного обеспечения.
Например, большое число аварийно завершившихся попыток входа в АС
за короткий период времени может указывать на то, что кто-то
пытается угадать пароль.
4) Команды операционной системы, которые выводят на экран
список выполняющихся в данный момент процессов, могут быть
использованы для обнаружения пользователей, запускающих
программы, которые они не имеют права запускать, а также для
обнаружения программ, которые были запущены злоумышленником.
Другие средства наблюдения могут быть легко созданы на основе
стандартного программного обеспечения путем использования вместе
нескольких зачастую несвязанных программ. Например, могут быть
получены списки владельцев файлов и параметры доступа к файлам
(например, используя команды "ls" и "find" в UNIX) и сохранены в
особом месте. Эти списки впоследствии могут периодически
создаваться заново и сравниваться с основными списками (в UNIX
это делается с помощью программы "diff"). Различия в списках
могут указывать на то. что в АС были произведены незаконные
изменения.
Кроме того, имеются ряд утилит, разработанных независимыми
производителями, или доступных в организациях, распространяющих
программное обеспечение общего пользования. Раздел 3.9.9 сообщает
о некоторых источниках, из которых вы можете узнать, какие
средства доступны, и как их получить.
Также могут использоваться другие средства для наблюдения за
нарушениями защиты, хотя это и не является их основной задачей.
Например, сетевые мониторы могут использоваться для выявления и
регистрации соединений с неизвестными организациями.
Задача наблюдения за АС не является настолько устрашающей,
как это может показаться. Системные администраторы могут
выполнять многие из команд, используемых для наблюдения, на
протяжении всего дня в свободное время (например, во время
телефонного разговора), а не в фиксированное время, специально
выделенное для наблюдения за АС. Выполняя команды часто, вы скоро
научитесь узнавать "нормальные" результаты, и будете легко
замечать нестандартные ситуации. Кроме того, запуская различные
команды наблюдения в разное время в течение всего дня, вы
усложняете для злоумышленника предсказание ваших действий.
Например, если злоумышленник знает, что каждый день в 17:00
система проверяется на предмет того, все ли завершили работу с
АС, он просто подождет, пока проверка не закончится, а потом
опять войдет в АС. Но злоумышленник не может предугадать, когда
системный администратор введет команду отображения всех
работающих пользователей, и поэтому подвергается гораздо большему
риску быть обнаруженным.
Несмотря на преимущества, которые дает регулярное наблюдение
за АС, некоторые злоумышленники могут быть осведомлены о
стандартных механизмах входа в АС, используемых в СВТ, которые
они атакуют. Они будут активно вмешиваться в их работу и пытаться
отключить механизмы наблюдения. Поэтому регулярное наблюдение
полезно при обнаружении злоумышленников, но не дает никакой
гарантии, что ваша АС защищена. Так что не стоит рассматривать
наблюдение как непогрешимый метод обнаружения незаконного
использования АС.
Разделы 2.4 и 2.5 рассмотрели порядок действий, которые
должна предпринять организация при подозрении на проникновение в
АС. ПРД должны определить общий подход при рассмотрении проблем
такого рода.
Должны быть описаны процедуры решения проблем такого рода.
Кто должен решить, какие действия следует предпринять? Нужно ли
привлекать органы внутренних дел? Должна ли ваша организация
взаимодействовать с другими организациями при попытке проследить
за злоумышленником? Ответы на эти вопросы и вопросы из раздела
2.4 должны быть частью процедур улаживания инцидентов.
Если вы решили проследить за злоумышленником или отключить
его от АС, вы должны иметь наготове средства и процедуры, которые
вы будете использовать. Лучше всего разработать и средства, и
процедуры до того, как они понадобятся вам. Не ждите, пока
злоумышленник появится в вашей АС, чтобы начать решать проблему,
как проследить за злоумышленником; это потребует от вас много
времени, если он опытен.
ПРД, чтобы быть эффективными, должны опираться как на
пользователей АС, так и на обслуживающий персонал. Этот раздел
описывает, что следует говорить этим людям, и как это говорить.
Пользователи должны быть осведомлены о том, как ожидается
использовать АС, и как им самим защититься от несанкционированных
пользователей.
Все пользователи должны быть информированы о том, что
считается "правильным" использованием их регистрационного имени
или рабочей станции ("правильное" использование рассматривается в
разделе 2.3.2). Легче всего это сделать тогда, когда пользователь
получает регистрационное имя, показав ему документ, описывающий
ПРД. Правила правильного использования обычно определяют, можно
ли использовать регистрационное имя или рабочую станцию для
личных дел (написание письма), можно ли запускать задачи с личной
выгодой для себя, можно ли играть в игры, и т.д. Этот документ
может также использоваться для краткого описания лицензионных
программ; например, многие университеты имеют образовательные
лицензии, которые явно запрещают коммерческое использование АС.
Более полный список вопросов, которые нужно учитывать при
написании этого документа, приведен в разделе 2.3
Каждому пользователю должно быть доведено, как правильно
управлять своим регистрационным именем и рабочей станцией. Для
этого нужно объяснить, как защищать файлы, хранимые в этой АС,
как выходить из системы или блокировать терминал или рабочую
станцию, и т.д. Большая часть этой информации обычно описывается
в руководстве пользователя, предоставляемом производителем ОС,
хотя многие организации решили дополнить этот материал своей
информацией.
Если ваша организация предоставляет доступ к АС с помощью
модемов, нужно соблюдать особую осторожность при доведении до
пользователей проблем безопасности, связанных с этим видом
доступа. Такие вопросы, как проверка выхода из АС перед
разъединением соединения в модеме, должны доводиться перед тем,
как пользователю будет предоставлен доступ через модем.
Аналогично, доступ к АС через локальные или глобальные сети
приводит к появлению ряда других проблем защиты, о которых должны
быть осведомлены пользователи. Работа с файлами, которые дают
статус "надежное СВТ" или "надежный пользователь" удаленным
пользователям или СВТ, должна особенно тщательно объясняться.
Пользователям нужно сообщить, как обнаружить
несанкционированное использование их регистрационного имени. Если
система выводит на экран время последнего входа в АС
пользователем, он или она должны обратить на него внимание и
проверить, совпадает ли оно с тем временем, когда он или она на
самом деле в последний раз входили в АС.
Командные интерпретаторы в некоторых ОС (например, С-оболочка
в UNIX) хранят имена нескольких последних команд. Пользователям
следует проверять эти списки, чтобы быть уверенным, что кто-либо
не выполнил другие команды под их регистрационным именем.
Следует разработать процедуры, позволяющие пользователям
сообщить о том, что они подозревают неправильное использование их
регистрационных имен, или о том, что они заметили
подозрительного. Это может быть реализовано либо указанием
фамилии и телефонного номера системного администратора,
отвечающего за безопасность АС, либо созданием адреса электронной
почты (например, "защита"), по которому пользователи могут
сообщить о своих проблемах.
Во многих организациях АС администрируются целыми группами
людей. Эти администраторы должны знать, как защитить свои СВТ от
атак и несанкционированного использования, а также как сообщить о
проникновении в их СВТ другим администраторам.
Нужно соблюдать осторожность при добавлении регистрационных
имен в АС для того, чтобы защитить их. При установке АС с
дистрибутива файл паролей должен просматриваться на предмет
обнаружения "стандартных" регистрационных имен, созданных
производителем. Многие производители создают регистрационные
имена, которые обычно используются обслуживающим персоналом. Эти
регистрационные имена обычно либо не имеют пароля, либо имеют
пароль, известный всем. Этим регистрационным именам следует
назначать новые пароли, если имена нужны, или удалять их из
списка имен, если они не нужны.
Регистрационные имена без паролей являются очень опасными,
так как они позволяют получить доступ к АС любому человеку. Даже
регистрационные имена, для которых не задан запуск командного
интерпретатора (например, регистрационные имена, созданные только
для того, чтобы посмотреть, кто работает в АС) могут быть
скомпрометированы при их некорректной установке. Понятие
"анонимной" передачи файлов в FTP[20] позволяет всем
пользователям сети получать доступ к вашей АС для чтения файлов с
диска. Вам следует тщательно сопоставить удобство, которое дает
регистрационное имя без пароля, с опасностью для защиты, которую
создает такой доступ к вашей АС.
Если операционная система поддерживает средство "теневых"
паролей, которое сохраняет пароли в отдельном файле, доступном
только привилегированным пользователям, это средство следует
использовать. UNIX System V, SunOS 4.0 и выше, и версии Berkeley
UNIX после 4.3BSD, а также другие системы поддерживают это
средство. Оно защищает пароли с помощью скрытия их зашифрованных
значений от непривилегированных пользователей. Это не позволяет
атакующему скопировать ваш файл паролей на его или ее СВТ, а
затем попытаться расшифровать его содержимое.
Контролируйте за тем, кто имеет доступ к привилегированным
регистрационным именам( например, "root" в UNIX или "MAINT" в
VMS). Всякий раз, когда привилегированный пользователь покидает
организацию или перестает нуждаться в привилегированном
регистрационном имени, пароли всех привилегированных
регистрационных имен следует изменить.
При установке АС с дистрибутива или при установке
программного обеспечения неизвестного производителя важно
удостовериться в корректности установки. Многие процедуры
установки подразумевают "надежную" организацию, и поэтому будут
устанавливать файлы без защиты от записи, а также других
ограничений по защите файлов.
Сетевые службы также должны проверяться при первой установке.
Многие производители создают файлы полномочий работы
пользователей сети, которые делают все СВТ "надежными", что на
самом деле не так, особенно при соединении с глобальными сетями,
такими как Интернет.
Многие злоумышленники собирают информацию об уязвимых местах
конкретных версий АС. Чем старее АС, тем больше вероятность того,
что в этой версии есть бреши в защите, которые были исправлены
производителем в следующей версии. По этой причине стоит
сопоставить, что лучше - не делать обновление операционной
системы ( и оставить незакрытыми бреши в защите) или обновить ее,
но возможно сделать неработоспособными какие-либо прикладные
программы. В отношении исправления ошибок защиты путем внесения
изменений в загрузочные модули на основании информации от
производителя следует принимать решение аналогичным образом, но
учитывать еще и то, что производитель сообщает обычно о довольно
серьезных ошибках в защите.
Информацию об ошибках, полученную по электронной почте и
из аналогичных источников, следует использовать и вносить
соответствующие изменения в модули, но с большой осторожностью.
Никогда не исправляйте ошибки, если вы не уверены, что знаете
последствия исправления - всегда есть возможность того, что
злоумышленник может послать сообщение об "ошибке", исправление
которой на самом деле даст ему доступ к вашей АС.
Нельзя преувеличить роль хорошей стратегии архивных копий.
Архивные копии файловой системы не только защищают вас в случае
аппаратного сбоя или случайного удаления файлов, но также
защищают вас от несанкционированных изменений, сделанных
злоумышленником. Не имея копии исходной версии файлов, трудно
произвести обратные изменения в файлах после того, как их изменил
атакующий.
Архивные копии, особенно ежедневные, могут быть полезны
при слежении за действиями злоумышленника. Просмотр старых
архивных копий поможет установить, когда он в первый раз проник
в вашу систему. Злоумышленники могут создавать файлы, которые
потом удаляют, но эти файлы могут сохраниться на архивной
ленте. Архивные копии могут также использоваться для
протоколирования деятельности злоумышленника при описании ее
сотрудникам МВД.
Хорошая стратегия архивных копий должна определять, что как
минимум один раз в месяц производится сброс информации всей АС на
ленты. Частичные дампы должны производиться как минимум два раза
в неделю, а в идеале ежедневно. Следует использовать специальные
команды, предназначенные для выполнения архивных копий (например,
"dump" в UNIX или "BACKUP" в VMS), а не простые команды
копирования файлов при производстве архивных копий, так как эти
средства разработаны для облегчения восстановления.
Как и пользователи, системные администраторы должны иметь
четко определенную процедуру доклада о проблемах с защитой. В
больших организациях это часто делается путем создания адреса
электронной почты, содержащего имена всех системных
администраторов организации. Другие методы включают создание
специальной группы реагирования на инциденты такого рода или
"горячей линии", обслуживаемой существующей группой обеспечения.
Эта часть описывает программное обеспечение, оборудование и
меры безопасности, которые могут использоваться для реализации
вашей СРД.
Термин "горящая стена" обозначает что-либо, преграждающее
путь в какое-либо место, позволяющее добраться до него только
тем, кому можно, и делающее для всех остальных это место
недоступным. Этот термин вполне можно применить к
компьютеризированной организации, особенно он подходит для
сетевых соединений.
В некоторых организациях отделы расположены в одном месте и
должны соединяться только друг с другом, и не должны соединяться
с другими организациями. Такие организации менее чувствительны к
угрозам извне, хотя проникновение и может произойти через модем.
С другой стороны много других организаций соединены с другими
организациями через глобальные сети, такие, как Интернет. Эти
организации чувствительны к целому ряду угроз, связанных с
сетевой средой.
Следует тщательно сопоставить выгоды от соединения с внешними
сетями с риском такого соединения. Может быть желательно
ограничить соединение с внешними сетями только теми СВТ, на
которых нет конфиденциальной информации, оставив "жизненно
важные" ЭВМ (например, те на которых считается заработная плата)
изолированными. Если есть необходимость соединения с глобальной
сетью, следует ограничить доступ к вашей местной сети таким
образом, чтобы он осуществлялся через одну ЭВМ. То есть, все
обращения в вашу сеть или из вашей сети должны проходить через
одну ЭВМ, являющуюся как бы горящей стеной между вами и внешним
Сетевые каналы, ведущие к сетям вне организации, позволяют
осуществить доступ к организации всем, кто присоединен к этой
внешней сети. Сетевой канал обычно обеспечивает доступ к большому
числу сетевых служб, и каждый из этих служб потенциально может
быть скомпрометирован.
Коммутируемые каналы, в зависимости от их конфигурации, могут
обеспечивать доступ только к порту регистрации в одной системе.
Если же они присоединены к терминальному серверу, коммутируемые
линии могут обеспечить доступ ко всей сети.
Терминальные серверы сами по себе являются источником
проблем. Многие терминальные серверы не требуют никакой
аутентификации. Злоумышленники часто используют терминальные
серверы для маскировки своих действий, устанавливают соединение с
местного телефона, а затем используют терминальный сервер для
вхождения в локальную сеть. Некоторые терминальные серверы
сконфигурированы таким образом, что злоумышленники могут
организовать TELNET-сеанс извне сети[19], а затем оттуда
организовать TELNET-сеанс со своим СВТ, что делает их обнаружение
трудным.
Неправильно сконфигурированные АС составляют большой процент
брешей в защите. Современные операционные системы и программное
обеспечение для работы в их среде стало таким сложным, что для
понимания того, как работает АС, нужно много времени. Часто
системные администраторы являются неспециалистами, просто
назначенными штаб-квартирой организации.
Производители частично ответственны за неправильную
конфигурацию АС. Для упрощения процесса установки АС
производители иногда выбирают начальные параметры таким образом,
что они не всегда обеспечивают безопасность.
Программы никогда не будут свободны от ошибок. Использование
известных всем ошибок в защите является распространенным методом
для незаконного входа. Частью решения этой проблемы является
информированность о проблемах с безопасностью программ и их
обновление при обнаружении ошибок. Когда обнаруживаются ошибки, о
них нужно сообщить производителю, чтобы было найдено решение этой
проблемы и доведено до всех.
Сотрудник организации может являться серьезной угрозой
безопасности АС. "Свои" часто имеют прямой доступ к СВТ и
сетевому оборудованию. Возможность доступа к частям АС облегчает
компрометацию большинства АС. С большинством настольных рабочих
станций можно легко произвести такие действия, что они обеспечат
привилегированный доступ. Доступ к локальной сети позволяет
просматривать возможно секретные данные, передаваемые транзитом
через эту сеть.
После того, как вы установили, что надо защищать, и оценили
риски, которым подвергаются ценности, необходимо решить, как
реализовать меры безопасности, с помощью которых будут защищаться
ценности. Механизмы защиты должны быть выбраны таким образом,
чтобы они были адекватны угрозам, выявленным при анализе риска, и
реализовывали безопасность наиболее эффективным образом. Не имеет
смысла тратить колоссальную сумму денег на защиту, если опасности
практически нет.
Выбранные меры безопасности представляют собой основу ваших
ПРД. Они являются первой и основной линией обороны при защите
ваших ценностей. Поэтому важно быть уверенным, что меры
безопасности, которые вы выбрали, составляют правильный набор.
Если основная угроза вашей АС - внешние злоумышленники, вероятно
не имеет смысла использовать биометрические устройства для
аутентификации ваших основных пользователей. С другой стороны,
если основной угрозой является несанкционированное использование
вычислительных ресурсов вашими пользователями, вы вероятно
захотите использовать строгие автоматизированные процедуры
регистрации пользователей.
Здравый смысл - самое подходящее средство, которое может быть
использовано при выработке ваших ПРД. Тщательно разработанные
схемы и механизмы защиты впечатляют, и они должны иметься, но
стоит ли вкладывать деньги и время в тщательно разработанные
схемы, если забыты простые меры безопасности. Например,
независимо от того, насколько тщательно разработана система,
которую вы используете для безопасности, один-единственный
пользователь с плохим паролем может сделать вашу АС открытой для
атаки.
Другим методом защиты ценностей является использование
нескольких стратегий. При этом, если какая-либо из стратегий
выйдет из строя, то другая будет продолжать действовать, и
защитит ценности. Используя несколько простых стратегий,
организация часто может добиться больших результатов в защите,
чем при использовании одной сложной стратегии. Например, модемы с
проверкой номера с помощью обратного звонка могут использоваться
вместе с традиционными механизмами регистрации пользователей при
входе. Может быть рекомендовано много аналогичных подходов,
обеспечивающих несколько уровней защиты для ценностей. Тем не
менее, от дополнительных механизмов легко отказаться. Надо только
точно помнить, что требуется защищать.
Даже если вы разработали систему ПРД, но не защитили
физически сами СВТ, все ваши СВТ не могут считаться защищенными.
Имея возможность физического доступа к СВТ, злоумышленник может
остановить СВТ, перевести ее в привилегированный режим, заменить
диск, установить программу-закладку (смотри пункт 2.13.9.2) или
сотворить еще что-либо с вашим СВТ.
Важные каналы связи, сервера, и другие ключевые СВТ должны
быть размещены в физически защищенных зонах. Некоторые системы
защиты (такие как Керберос), требуют, чтобы СВТ было физически
защищено.
Если вы не можете физически защитить СВТ, нужно проявлять
осторожность в вопросе доверия к этим СВТ. Организации должны
более ограничивать доступ с незащищенных СВТ по сравнению с
доступом с защищенных СВТ. В частности, допущение надежного
доступа (например, удаленные команды BSD Unix, такие как rsh) с
этого типа СВТ особенно рискованно.
Для СВТ, которые должны стать физически защищенными, нужно
соблюдать осторожность при определении того, кто может иметь
доступ к этим СВТ. Напомним, что отделы охраны и обслуживания
часто имеют ключи от комнат.
Можно использовать несколько простых процедур для выявления
незаконного использования АС. Эти процедуры используют средства,
предоставляемые вместе с операционной системой ее производителем,
или средства, полученные из других источников.
Наблюдение за АС может осуществляться либо системным
администратором, либо программой, написанной для этой цели.
Наблюдение за АС включает в себя слежение за несколькими частями
АС и поиск в них чего-либо необычного. Несколько самых простых
способов осуществления этого описаны в этом разделе.
Самым важным при наблюдении за АС является его регулярность.
Выделение специального дня в месяце для наблюдения за АС
бессмысленно, так как нарушение защиты может быть осуществлено в
течение нескольких часов. Только организовав постоянное
наблюдение, вы можете ожидать, что обнаружите нарушения защиты и
успеете отреагировать на них.
Эта секция описывает средства и методы для наблюдения за АС с
целью выявления несанкционированного доступа и использования.
Большинство операционных систем хранят много информации в
файлах-журналах входов в АС. Регулярное исследование этих файлов
часто может послужить первой линией обороны при выявлении
несанкционированного использования АС.
1) Сопоставьте списки пользователей, работающих сейчас, и
предысторию входов в АС. Большинство пользователей обычно
начинают и заканчивают работать приблизительно в одно и то же
время каждый день. Если же пользователь вошел в АС в "необычное"
время для этого пользователя, то возможно, что это злоумышленник.
2) Многие АС содержат записи о входах в АС для составления
ведомостей о плате за пользование. Эти записи также могут быть
использованы для выявления типового использования АС; необычные
записи могут указывать на незаконное использование АС.
3) Следует проверять системные утилиты, связанные со входом в
АС, такие как утилита UNIX "syslog", на наличие сообщений о
необычных ошибках от системного программного обеспечения.
Например, большое число аварийно завершившихся попыток входа в АС
за короткий период времени может указывать на то, что кто-то
пытается угадать пароль.
4) Команды операционной системы, которые выводят на экран
список выполняющихся в данный момент процессов, могут быть
использованы для обнаружения пользователей, запускающих
программы, которые они не имеют права запускать, а также для
обнаружения программ, которые были запущены злоумышленником.
Другие средства наблюдения могут быть легко созданы на основе
стандартного программного обеспечения путем использования вместе
нескольких зачастую несвязанных программ. Например, могут быть
получены списки владельцев файлов и параметры доступа к файлам
(например, используя команды "ls" и "find" в UNIX) и сохранены в
особом месте. Эти списки впоследствии могут периодически
создаваться заново и сравниваться с основными списками (в UNIX
это делается с помощью программы "diff"). Различия в списках
могут указывать на то. что в АС были произведены незаконные
изменения.
Кроме того, имеются ряд утилит, разработанных независимыми
производителями, или доступных в организациях, распространяющих
программное обеспечение общего пользования. Раздел 3.9.9 сообщает
о некоторых источниках, из которых вы можете узнать, какие
средства доступны, и как их получить.
Также могут использоваться другие средства для наблюдения за
нарушениями защиты, хотя это и не является их основной задачей.
Например, сетевые мониторы могут использоваться для выявления и
регистрации соединений с неизвестными организациями.
Задача наблюдения за АС не является настолько устрашающей,
как это может показаться. Системные администраторы могут
выполнять многие из команд, используемых для наблюдения, на
протяжении всего дня в свободное время (например, во время
телефонного разговора), а не в фиксированное время, специально
выделенное для наблюдения за АС. Выполняя команды часто, вы скоро
научитесь узнавать "нормальные" результаты, и будете легко
замечать нестандартные ситуации. Кроме того, запуская различные
команды наблюдения в разное время в течение всего дня, вы
усложняете для злоумышленника предсказание ваших действий.
Например, если злоумышленник знает, что каждый день в 17:00
система проверяется на предмет того, все ли завершили работу с
АС, он просто подождет, пока проверка не закончится, а потом
опять войдет в АС. Но злоумышленник не может предугадать, когда
системный администратор введет команду отображения всех
работающих пользователей, и поэтому подвергается гораздо большему
риску быть обнаруженным.
Несмотря на преимущества, которые дает регулярное наблюдение
за АС, некоторые злоумышленники могут быть осведомлены о
стандартных механизмах входа в АС, используемых в СВТ, которые
они атакуют. Они будут активно вмешиваться в их работу и пытаться
отключить механизмы наблюдения. Поэтому регулярное наблюдение
полезно при обнаружении злоумышленников, но не дает никакой
гарантии, что ваша АС защищена. Так что не стоит рассматривать
наблюдение как непогрешимый метод обнаружения незаконного
использования АС.
Разделы 2.4 и 2.5 рассмотрели порядок действий, которые
должна предпринять организация при подозрении на проникновение в
АС. ПРД должны определить общий подход при рассмотрении проблем
такого рода.
Должны быть описаны процедуры решения проблем такого рода.
Кто должен решить, какие действия следует предпринять? Нужно ли
привлекать органы внутренних дел? Должна ли ваша организация
взаимодействовать с другими организациями при попытке проследить
за злоумышленником? Ответы на эти вопросы и вопросы из раздела
2.4 должны быть частью процедур улаживания инцидентов.
Если вы решили проследить за злоумышленником или отключить
его от АС, вы должны иметь наготове средства и процедуры, которые
вы будете использовать. Лучше всего разработать и средства, и
процедуры до того, как они понадобятся вам. Не ждите, пока
злоумышленник появится в вашей АС, чтобы начать решать проблему,
как проследить за злоумышленником; это потребует от вас много
времени, если он опытен.
ПРД, чтобы быть эффективными, должны опираться как на
пользователей АС, так и на обслуживающий персонал. Этот раздел
описывает, что следует говорить этим людям, и как это говорить.
Пользователи должны быть осведомлены о том, как ожидается
использовать АС, и как им самим защититься от несанкционированных
пользователей.
Все пользователи должны быть информированы о том, что
считается "правильным" использованием их регистрационного имени
или рабочей станции ("правильное" использование рассматривается в
разделе 2.3.2). Легче всего это сделать тогда, когда пользователь
получает регистрационное имя, показав ему документ, описывающий
ПРД. Правила правильного использования обычно определяют, можно
ли использовать регистрационное имя или рабочую станцию для
личных дел (написание письма), можно ли запускать задачи с личной
выгодой для себя, можно ли играть в игры, и т.д. Этот документ
может также использоваться для краткого описания лицензионных
программ; например, многие университеты имеют образовательные
лицензии, которые явно запрещают коммерческое использование АС.
Более полный список вопросов, которые нужно учитывать при
написании этого документа, приведен в разделе 2.3
Каждому пользователю должно быть доведено, как правильно
управлять своим регистрационным именем и рабочей станцией. Для
этого нужно объяснить, как защищать файлы, хранимые в этой АС,
как выходить из системы или блокировать терминал или рабочую
станцию, и т.д. Большая часть этой информации обычно описывается
в руководстве пользователя, предоставляемом производителем ОС,
хотя многие организации решили дополнить этот материал своей
информацией.
Если ваша организация предоставляет доступ к АС с помощью
модемов, нужно соблюдать особую осторожность при доведении до
пользователей проблем безопасности, связанных с этим видом
доступа. Такие вопросы, как проверка выхода из АС перед
разъединением соединения в модеме, должны доводиться перед тем,
как пользователю будет предоставлен доступ через модем.
Аналогично, доступ к АС через локальные или глобальные сети
приводит к появлению ряда других проблем защиты, о которых должны
быть осведомлены пользователи. Работа с файлами, которые дают
статус "надежное СВТ" или "надежный пользователь" удаленным
пользователям или СВТ, должна особенно тщательно объясняться.
Пользователям нужно сообщить, как обнаружить
несанкционированное использование их регистрационного имени. Если
система выводит на экран время последнего входа в АС
пользователем, он или она должны обратить на него внимание и
проверить, совпадает ли оно с тем временем, когда он или она на
самом деле в последний раз входили в АС.
Командные интерпретаторы в некоторых ОС (например, С-оболочка
в UNIX) хранят имена нескольких последних команд. Пользователям
следует проверять эти списки, чтобы быть уверенным, что кто-либо
не выполнил другие команды под их регистрационным именем.
Следует разработать процедуры, позволяющие пользователям
сообщить о том, что они подозревают неправильное использование их
регистрационных имен, или о том, что они заметили
подозрительного. Это может быть реализовано либо указанием
фамилии и телефонного номера системного администратора,
отвечающего за безопасность АС, либо созданием адреса электронной
почты (например, "защита"), по которому пользователи могут
сообщить о своих проблемах.
Во многих организациях АС администрируются целыми группами
людей. Эти администраторы должны знать, как защитить свои СВТ от
атак и несанкционированного использования, а также как сообщить о
проникновении в их СВТ другим администраторам.
Нужно соблюдать осторожность при добавлении регистрационных
имен в АС для того, чтобы защитить их. При установке АС с
дистрибутива файл паролей должен просматриваться на предмет
обнаружения "стандартных" регистрационных имен, созданных
производителем. Многие производители создают регистрационные
имена, которые обычно используются обслуживающим персоналом. Эти
регистрационные имена обычно либо не имеют пароля, либо имеют
пароль, известный всем. Этим регистрационным именам следует
назначать новые пароли, если имена нужны, или удалять их из
списка имен, если они не нужны.
Регистрационные имена без паролей являются очень опасными,
так как они позволяют получить доступ к АС любому человеку. Даже
регистрационные имена, для которых не задан запуск командного
интерпретатора (например, регистрационные имена, созданные только
для того, чтобы посмотреть, кто работает в АС) могут быть
скомпрометированы при их некорректной установке. Понятие
"анонимной" передачи файлов в FTP[20] позволяет всем
пользователям сети получать доступ к вашей АС для чтения файлов с
диска. Вам следует тщательно сопоставить удобство, которое дает
регистрационное имя без пароля, с опасностью для защиты, которую
создает такой доступ к вашей АС.
Если операционная система поддерживает средство "теневых"
паролей, которое сохраняет пароли в отдельном файле, доступном
только привилегированным пользователям, это средство следует
использовать. UNIX System V, SunOS 4.0 и выше, и версии Berkeley
UNIX после 4.3BSD, а также другие системы поддерживают это
средство. Оно защищает пароли с помощью скрытия их зашифрованных
значений от непривилегированных пользователей. Это не позволяет
атакующему скопировать ваш файл паролей на его или ее СВТ, а
затем попытаться расшифровать его содержимое.
Контролируйте за тем, кто имеет доступ к привилегированным
регистрационным именам( например, "root" в UNIX или "MAINT" в
VMS). Всякий раз, когда привилегированный пользователь покидает
организацию или перестает нуждаться в привилегированном
регистрационном имени, пароли всех привилегированных
регистрационных имен следует изменить.
При установке АС с дистрибутива или при установке
программного обеспечения неизвестного производителя важно
удостовериться в корректности установки. Многие процедуры
установки подразумевают "надежную" организацию, и поэтому будут
устанавливать файлы без защиты от записи, а также других
ограничений по защите файлов.
Сетевые службы также должны проверяться при первой установке.
Многие производители создают файлы полномочий работы
пользователей сети, которые делают все СВТ "надежными", что на
самом деле не так, особенно при соединении с глобальными сетями,
такими как Интернет.
Многие злоумышленники собирают информацию об уязвимых местах
конкретных версий АС. Чем старее АС, тем больше вероятность того,
что в этой версии есть бреши в защите, которые были исправлены
производителем в следующей версии. По этой причине стоит
сопоставить, что лучше - не делать обновление операционной
системы ( и оставить незакрытыми бреши в защите) или обновить ее,
но возможно сделать неработоспособными какие-либо прикладные
программы. В отношении исправления ошибок защиты путем внесения
изменений в загрузочные модули на основании информации от
производителя следует принимать решение аналогичным образом, но
учитывать еще и то, что производитель сообщает обычно о довольно
серьезных ошибках в защите.
Информацию об ошибках, полученную по электронной почте и
из аналогичных источников, следует использовать и вносить
соответствующие изменения в модули, но с большой осторожностью.
Никогда не исправляйте ошибки, если вы не уверены, что знаете
последствия исправления - всегда есть возможность того, что
злоумышленник может послать сообщение об "ошибке", исправление
которой на самом деле даст ему доступ к вашей АС.
Нельзя преувеличить роль хорошей стратегии архивных копий.
Архивные копии файловой системы не только защищают вас в случае
аппаратного сбоя или случайного удаления файлов, но также
защищают вас от несанкционированных изменений, сделанных
злоумышленником. Не имея копии исходной версии файлов, трудно
произвести обратные изменения в файлах после того, как их изменил
атакующий.
Архивные копии, особенно ежедневные, могут быть полезны
при слежении за действиями злоумышленника. Просмотр старых
архивных копий поможет установить, когда он в первый раз проник
в вашу систему. Злоумышленники могут создавать файлы, которые
потом удаляют, но эти файлы могут сохраниться на архивной
ленте. Архивные копии могут также использоваться для
протоколирования деятельности злоумышленника при описании ее
сотрудникам МВД.
Хорошая стратегия архивных копий должна определять, что как
минимум один раз в месяц производится сброс информации всей АС на
ленты. Частичные дампы должны производиться как минимум два раза
в неделю, а в идеале ежедневно. Следует использовать специальные
команды, предназначенные для выполнения архивных копий (например,
"dump" в UNIX или "BACKUP" в VMS), а не простые команды
копирования файлов при производстве архивных копий, так как эти
средства разработаны для облегчения восстановления.
Как и пользователи, системные администраторы должны иметь
четко определенную процедуру доклада о проблемах с защитой. В
больших организациях это часто делается путем создания адреса
электронной почты, содержащего имена всех системных
администраторов организации. Другие методы включают создание
специальной группы реагирования на инциденты такого рода или
"горячей линии", обслуживаемой существующей группой обеспечения.
Эта часть описывает программное обеспечение, оборудование и
меры безопасности, которые могут использоваться для реализации
вашей СРД.
Термин "горящая стена" обозначает что-либо, преграждающее
путь в какое-либо место, позволяющее добраться до него только
тем, кому можно, и делающее для всех остальных это место
недоступным. Этот термин вполне можно применить к
компьютеризированной организации, особенно он подходит для
сетевых соединений.
В некоторых организациях отделы расположены в одном месте и
должны соединяться только друг с другом, и не должны соединяться
с другими организациями. Такие организации менее чувствительны к
угрозам извне, хотя проникновение и может произойти через модем.
С другой стороны много других организаций соединены с другими
организациями через глобальные сети, такие, как Интернет. Эти
организации чувствительны к целому ряду угроз, связанных с
сетевой средой.
Следует тщательно сопоставить выгоды от соединения с внешними
сетями с риском такого соединения. Может быть желательно
ограничить соединение с внешними сетями только теми СВТ, на
которых нет конфиденциальной информации, оставив "жизненно
важные" ЭВМ (например, те на которых считается заработная плата)
изолированными. Если есть необходимость соединения с глобальной
сетью, следует ограничить доступ к вашей местной сети таким
образом, чтобы он осуществлялся через одну ЭВМ. То есть, все
обращения в вашу сеть или из вашей сети должны проходить через
одну ЭВМ, являющуюся как бы горящей стеной между вами и внешним