Пример за система за защита на локална мрежа

За да илюстрираме, нека дадем кратко описание на системата за защита на локалната мрежа, базирана на Novell NetWare OS, известна като "Secret NET" [1,9].

Целта на защитната система. Системата за сигурност Secret NET (наричана по-нататък Системата за сигурност) е предназначена да защитава информацията, съхранявана и обработвана в локална мрежа (LAN) от неоторизиран достъп (запознаване, изкривяване, унищожаване) и да противодейства на опитите за нарушаване на нормалното функциониране на LAN и базираните на нея приложни системи.

Защитеният обект е локална мрежа от персонални компютри като IBM PC / AT и по-стари, работещи с операционната система MS-DOS версии 3.30-6.2 (работни станции) и мрежовата операционна система Novell NetWare 3.1x (файлови сървъри), обединени с мрежово оборудване Ethernet, Arcnet или Token-Ring. Максималният брой защитени станции е 256, защитени файлови сървъри - 8, уникално идентифицирани потребители - 255.

Системата за защита се осигурява от:

1) защита от лица, които нямат право да работят със системата за обработка на информация;

2) регулиране (разграничаване) на достъпа на законни потребители и програми до информация, софтуер и хардуер

системни ресурси в строго съответствие с политиката за сигурност, приета от организацията;

3) защита на мрежовите компютри от въвеждането на злонамерени програми (отметки), както и инструментални и технологични средства за проникване;

4) целостта на критичните ресурси на Системата за защита и средата за изпълнение на приложната програма;

5) регистриране, събиране, съхранение и издаване на информация за всички събития, възникващи в мрежата и свързани с нейната сигурност;

6) централизирано управление на средствата на Системата за защита. Зарешение на горните задачи Системата за защита включва следните подсистеми (PS):

1) идентифициране и удостоверяване на потребителите;

2) диференциране на достъпа до ресурси;

3) контрол на целостта;

5) управление на средствата за защита (администрация).

Функционалното предназначение на тези подсистеми е видно от наименованията им.

PS на идентификация и автентификация. Подсистемата изпълнява функцията на идентификация/автентикация (автентикация) на потребителя при всяко влизане в Системата за сигурност, както и след всяко спиране на работата му. За идентификация в системата на всеки потребител се задава уникално име. Осигурява работа с имена с дължина до 12 знака (латински символи и специални символи). Името, което въвеждате, се показва на екрана на работната станция.

Удостоверяването на потребителя се извършва след идентифицирането му, за да се потвърди, че потребителят наистина е това, за което се представя. Извършва се чрез проверка на коректността на въведената парола. Поддържат се пароли с дължина до 16 знака. Въведената парола не се показва на екрана на работната станция.

Ако паролата е въведена неправилно, на екрана ще се покаже съобщение за грешка и ще прозвучи звуков сигнал. Ако паролата е въведена неправилно три пъти, клавиатурата се блокира, показва се съобщение за опит за манипулиране на сървъра за контрол на достъпа и администраторът по сигурността се уведомява незабавно, регистрирайте

регистрира се опит за манипулиране на системния регистър и се издава звуков сигнал.

Паролите на администратора и всички потребители на системата се съхраняват в криптирана форма и могат да се променят както от администратора по сигурността, така и от конкретен потребител (като се променя само неговата парола) с помощта на специален софтуер.финансови средства.

За да се повиши сигурността, потребителската идентификация/удостоверяване може да се извърши преди зареждане на операционната система. Това се осигурява от специално техническо средство (ROM чип или Secret NET Card).

Контрол на достъпа PS. PS реализира концепцията за мениджър на достъпа, в който PS е посредник за всички заявки на субекти за достъп до обекти (опитите за достъп до обект, заобикаляйки PS, водят до отказ на достъп); може да работи в един от двата режима на работа: основен и технологичен.

Технологичният режим е предназначен да дефинира точно обектите, до които потребителят трябва да има достъп, и правата за достъп до тях. Когато работи в този режим, системата за защита само регистрира всички опити за достъп до защитени ресурси в системния регистър и показва предупредителни съобщения на екрана.

В основния режим системата за защита не само регистрира опити за достъп до защитени ресурси, но и ги блокира.

PS осигурява контрол на достъпа на субектите до следните обекти:

1) физически и логически устройства (дискове, принтери);

2) дискови директории;

4) физически и логически сектори на дискове.

Подсистемата реализира йерархична схема от край до край на права за достъп до обекти на локална работна станция, в която обект от по-ниско ниво наследява правата за достъп на обекти за достъп от по-високо ниво (диск-директория-файл).

Всеки обект на работна станция може да има защитен етикет. Етикетът за сигурност показва какви операции субектът може да извършва върху този обект, кой го притежава, както и знак, който позволява на програмата (ако този обект е програма) да работи с физически дискови сектори. Защитен етикет Попълва се при създаванеобект и може да се коригира както от потребителя-собственик на обекта, така и от администратора.

Правата за потребителски достъп до системни обекти могат да приемат следните стойности:

• достъпът е отказан — потребителят не може да извършва никакви действия с обекта;

• наличие на достъп - в този случай нивото на достъп може да бъде едно от следните: достъп за четене, достъп за запис, достъп за изпълнение (субектът може да стартира само обекта за изпълнение).

Контрол на достъпа. Достъпът до локални логически или физически дискове се контролира от информация за достъп, поставена в потребителския билет, когато е създаден от администратора. Достъпът до отдалечени устройства, директории и файлове се контролира от системния администратор с помощта на помощните програми на системата за контрол на достъпа на мрежовата ОС Novell NetWare 3.lx.

На потребителя се дава възможност само да присвоява права за достъп на други потребители до обекти, които му принадлежат (създадени от него).

За да реализира селективен контрол на достъпа, подсистемата поддържа затворена среда от доверен софтуер (използвайки списъци с програми, индивидуални за всеки потребител, които имат право да се изпълняват). Създаването и поддържането на списъци с програми е отговорност на администратора. За да направи това, той има на разположение специални софтуерни инструменти.

За споделяне на програми и данни, системата за защита предоставя възможност за комбиниране на потребители в групи. Правата за достъп до групата се наследяват от всички потребители на тази група.

Контрол на целостта PS. В системата се следи целостта на следните обекти: операционни системи на локални работни станции, програми на Системата за сигурност, потребителски ID файлове исистемни области на локални дискове на работни станции, както и потребителски файлове (по тяхно желание). Контролът се осъществява по метода на контролната сума по специален алгоритъм и се извършва периодично от администратора. За целта той предостави съответния софтуер.

Ако бъде открито нарушение на целостта на контролираните обекти, това събитие се записва в системния дневник и незабавно уведомява администратора. В случай на нарушаване на целостта на системните области на диска, освен това те се възстановяват с помощта на резервни копия.

Регистриране на събитие за сигурност PS. Регистриране PS осигурява:

1) поддръжка и анализ на регистрационните файлове на събитията за сигурност (системни регистрационни файлове), като регистрационният файл се поддържа за всяка мрежова работна станция;

2) оперативно запознаване на администратора със системния дневник на всяка станция и с дневника на събитията на UA;

3) получаване на хартиено копие на системния дневник;

4) конвертиране на съдържанието на системните регистрационни файлове в DBF формат за по-нататъшния им анализ;

5) консолидиране на системни регистрационни файлове и тяхното архивиране;

6) своевременно уведомяване на администратора за нарушения на сигурността.

1) централизирано (от работната станция на администратора) създаване и изтриване на потребители, промяна на техните правомощия и пароли;

2) задаване на атрибути за потребителски достъп до ресурси;

3) централизирано създаване, изтриване и промяна на състава на потребителските групи, както и техните права за достъп;

4) централизирано управление на групи от компютри;

5) централизирано управление на бързото уведомяване за UA;

Системата работи на персонални компютри, съвместими с IBM PC/AT/386/486. В състава на ПК на всяка работнстанцията трябва да включва твърд диск и LAN мрежова карта.

Разходи за ресурси. Количеството заета RAM за резидентните части на Системата за защита;

1) на работна станция - до 19-25 KB (в зависимост от използвания драйвер);

2) на файлов сървър - до 500 KB.

Относителни разходи за производителност на процесора:

1) на работното място - до 2%;

2) на файлов сървър - до 3%.

Дисково пространство за програми и данни:

1) на работна станция - до 500 KB;

2) на файлов сървър - до 10 MB.

Защитни стени - Защитни стени (FireWall) [1]

Държавната техническа комисия към Президента на Република България разработи Ръководен документ „Компютърна техника. Защитни стени. Защита срещу неоторизиран достъп до информация. Индикатори за сигурност срещу неоторизиран достъп до информация” в допълнение към ръководните документи „Компютърни съоръжения. Защита срещу неоторизиран достъп до информация. Индикатори за сигурност срещу нерегламентиран достъп до информация” и “Автоматизирани системи. Защита срещу неоторизиран достъп до информация. Класификация на автоматизираните системи и изисквания за защита на информацията”. В този документ защитната стена (ME) се дефинира като локален (еднокомпонентен) или функционално разпределен софтуерен (софтуер и хардуер) инструмент (комплекс), който осъществява контрол върху информацията, влизаща в автоматизирана система (AS) и / или напускаща AU. ME осигурява защитата на AS чрез филтриране на информация (поне на мрежово ниво), т.е. анализира я според набор от критерии и взема решение за нейното разпространение до (от) AS въз основа на определени правила, като по този начин провеждаразграничаване на достъпа на субекти от една АС към обекти на друга АС. Всяко правило забранява или разрешава прехвърлянето на определени видове информация между субекти и обекти. В резултат на това субектите от една AS получават достъп само до оторизирани информационни обекти от друга AS. Интерпретацията на набора от правила се извършва от поредица от филтри, които позволяват или отказват предаването на данни (пакети) към следващия филтър или протоколен слой.

Има пет класа на ME, като петият е най-нисък, а първият е най-висок. Класифицираният екран трябва да филтрира потоците от данни, поне на ниво мрежа. С умерени изисквания за защита на информацията можете да се ограничите до ME от пети или четвърти клас, реализиран под формата на маршрутизатори с активирани филтриращи средства (екраниращи маршрутизатори).

За контрол на достъпа до определени информационни масиви в много точки на интранет мрежата е най-целесъобразно да се използват така наречените хардуерни защитни стени. Те са

са специализирани компютри, обикновено вградени в шкаф с мрежова ОС, адаптирана към изпълняваните функции (ОС се зарежда от дискета или от постоянна памет). За да си представим какви възможности имат хардуерните защитни стени, достатъчно е да разгледаме функционалността на следните продукти:

Защитната стена FireBox (произведена от WatchGuard) има смесена архитектура - динамично филтриране на пакети и "прозрачен" прокси (прокси) (в същото време се организира двупосочна комуникация с глобалната мрежа, прокси технологията ще бъде разгледана по-подробно по-долу). В архитектурата на защитната стена:

• осигурява оптимален баланс между безопасност и производителност;

• динамични следи за филтриране на пакетисъстояние на връзката, което ви позволява да "филтрирате" не само пакети, но и връзки;

• наборите от правила са динамични и могат да се променят по време на работа (комплектът включва 28 стандартни правила като DNS, Telnet и др., като правилата могат да се дефинират от потребителите в зависимост от нуждите и заплахите за сигурността);

• проксито анализира графика на ниво мрежа, което дава възможност за получаване на по-надеждна защита;

• разпознават се замени на услуги и пакети;

Защитната стена от компаниите Bay Network се различава по това, че е включена в BCN рутера. Тъй като рутерът е устройство, което изпълнява функциите за предаване на пакети, изчислителните възможности на посочения рутер са такива, че може да му бъде поверена и задачата за сортиране на пакети. Маршрутизаторите работят на мрежовия слой на OSI модела и следователно трябва да имат високопроизводителна операционна система и тя може да изпълнява тази допълнителна задача едновременно. Следователно защитната стена на Bay Networks от една страна изглежда като чисто софтуерен инструмент, но от друга страна не използва компютър с общо предназначение (работна станция), инсталирана е в шкаф и всичко останало е подобно на другите защитни стени (освен че се грижи за сигурността, изпълнява и други функции). Този рутер-защитна стена е специализиран компютър, но неговата специализация се оказа много по-широка от първоначално замислената.

По правило защитните стени осигуряват многопластова защита и използват механизми за предупреждение, информирайки мрежовите мениджъри за случаи на неоторизиран достъп до мрежата. Трябва също така да се подчертае, че някои защитни стени поддържат частни виртуални мрежи (например между главния офис и клонапрез обществената мрежа).

За защита на мрежите са разработени голям брой различни доста сложни и скъпи продукти, които реализират много защитни механизми. Естествено, няма да можем (и не е поставена такава цел) да ги разгледаме. Но нека да разгледаме набързо друг инструмент, който сега е широко използван.

---