Наиболее эффективным способом защиты локального компьютера от несанкционированного доступа

Обновлено: 02.07.2024

Необходимость оперативного обмена информацией внутри организаций и между организациями привела к резкому росту количества локальных и корпоративных сетей. Развитие этих сетей тесно связано с проблемой их защиты от несанкционированного доступа (НСД) и поиском соответствующих средств.

В последнее время появилось множество систем защиты, анонсированных как сетевые, но в действительности таковыми не являющихся. Данная статья является попыткой ответить на вопрос - какую систему защиты от НСД можно считать сетевой и как она должна быть построена.

- MS-DOS - однопользовательская и однозадачная ОС и превратить ее в стабильно работающую многопользовательскую многозадачную практически невозможно;

- при реализации на MS-DOS централизованного хранения баз данных система начинает медленно "умирать" с увеличением количества подключенных к ней персональных компьютеров, так как невозможно реализовать нормальный механизм распараллеливания процессов и формирования очередей событий. Это особенно актуально в корпоративных сетях.

В случае централизованного хранения и обслуживания баз данных системы защиты, к компьютеру, на котором они хранятся, предъявляются повышенные требования.

ПК должен быть выделенным и на нем может работать только администратор и только с системой администрирования (лучше, чтобы на нем вообще никто не работал, так как зависание этого ПК может привести к остановке работы на защищенных рабочих станциях). На этом ПК должна быть установлена довольно большая оперативная память, без которой невозможна обработка очередей событий. ПК должен быть довольно надежен и снабжен источником бесперебойного питания с возможностью получения от него статуса состояния питания.

Всем этим требованиям отвечает обычный сетевой сервер, поэтому использование для системы защиты отдельного компьютера с MS-DOS - экономически невыгодно и влечет за собой только дополнительные затраты.

О достоинствах централизованного контроля и хранения баз данных уже так много сказано и написано, что нет необходимости перечислять их. Отметим лишь, что при локальном хранении списков пользователей, прав их доступа и ключей шифрования обеспечивается меньший уровень безопасности, поскольку для доступа к информации достаточно взломать только программное обеспечение защищаемого ПК. В случае локального хранения баз данных системы защиты возникает еще и проблема восстановления ее целостности после разрушения (например, из-за аппаратного сбоя или заражения компьютерными вирусами), так как на каждый компьютер изготавливается своя уникальная загрузочная дискета. При большом количестве компьютеров, а также при их территориальном разнесении в корпоративных сетях эта проблема встает в полной мере. В случае централизованного хранения баз данных она легко решается.

Таким образом, применения в системе защиты транспортных протоколов (например, IPX для Novell NetWare) далеко не достаточно, чтобы называть такую систему сетевой. Именно это свойство почему-то часто используется для определения разработчиками своей системы как сетевой. О такой системе можно лишь сказать, что она работает на сети, но сетевой быть никак не может.

Касаясь реализации сетевых систем защиты от НСД, выделим наиболее существенную и популярную из них - шифрование.

То, что система защиты должна шифровать свой трафик работы, сомнений ни у кого не вызывает. Беда в том, что большинство наиболее известных и распространенных алгоритмов шифрования, таких как DES, RSA, ГОСТ 28147-89 имеют настолько низкую производительность, что и ПК, и серверы при большом их количестве будут заниматься только шифровкой и расшифровкой. Даже лучшие аппаратные реализации ГОСТ дают скорость 400 Кб/с ("Криптон-4"), что явно недостаточно для работы в локальных вычислительных сетях (теоретическая скорость работы стандартного сетевого оборудования Ethernet составляет 10 Мбит/с = 1.25 Мб/с).

Для сетевых систем защиты от НСД необходимо использовать такие алгоритмы шифрования, которые при той же криптостойкости давали бы нужные скорости. Одним из таких алгоритмов является ВЕСТА-2М, дающий скорость шифрования около 20 Мбит/c = 2.5 Мб/с на процессоре 486DX2/66 (класс слабенького сетевого сервера) при криптостойкости 10^56. Та же проблема возникает и при "прозрачном" шифровании информации на дисках и динамическом шифровании резидентной части защиты на ПК. Возникает сомнение в том, можно ли считать шифрование "прозрачным", если при использовании стандартных и криптостойких алгоритмов процесс записи информации на диск происходит в 5-10 раз медленнее, чем без системы защиты?!

В данной статье затронута лишь часть проблем, связанных с системами защиты от НСД в локальных и корпоративных сетях. Но без их решения внедрение систем защиты приведет только к ненужным материальным затратам, доставит пользователям и администраторам лишние неудобства и будет практически неэффективным.

• Склонение к сотрудничеству
• Инициативное сотрудничество
• Выпытывание, выведывание
• Подслушивание
• Хищение
• Наблюдение
• Подделка (изменение)
• Копирование
• Уничтожение
• Перехват
• Незаконное подключение
• Фотографирование
• Негласное ознакомление

Инициативное сотрудничество часто проявляется в определенных ситуациях, когда неудовлетворенные лица готовы ради наживы пойти на противоправные действия. Причины могут очень разные, это и финансовые, моральные, политические и тд. Такого человека легко убедить в сотрудничестве по предоставлении конфиденциальной информации предприятия, если конечно он имеет доступ.

По мнению экспертов такой перечень есть не пересекаемым и независимым на определенном уровне абстракции. Он позволяет рассмотреть определенное множество выборок таких методов вместе. На рис.1 показана обобщенная модель способов НСД к источникам конфиденциальной информации.

Степень опасности способа НСД смотрится по нанесенному ущербу. По сколько информация сегодня имеет свою цену, то сам факт приобретения информация приравнивается к получению денег. Злоумышленник преследует три цели:

• получить данные для конкурентов и продать.
• изменить данные в информационной сети. Дезинформация.
• Уничтожить данные.

Способы НСД к информации с помощью технических средств

Способ НСД	Визуальный канал утечки	Акустический канал утечки	Электромагнитный канал утечки	Материальный канал утечки
Подслушивание	+	+
Визуальное наблюдение	+
Хищение	+	+
Копирование	+	+
Подделка	+	+
Незаконное подключение	+	+
Перехват	+	+
Фотографирование	+
Итого

От каждого источника образуется канал утечки данных при этом его конкретные параметры изучаются и испытываются способы атак в лабораториях. Действия могут быть активными и пассивными. К пассивным относят реализацию технических каналов утечки информации без прямого контакта или подключения. Способы обычно ориентированны на получение данных. Активные методы подключаются к линиям связи. Линии связи могут быть:

• Проводные (волоконно-оптические).
• Беспроводные (Wi-Fi).

Способы НСД к линиям связи

Зачастую в качестве линий связи используют телефонные линии или оптоволоконные линии. Способы прослушивания телефонных линий показаны на рис.2.

Также есть системы прослушивания линий, которые не требуют прямого контакта с телефонной линией. Такие системы используют индуктивные методы съема данных. Такие системы не имеют широкого применения, так как они сильно большие из-за содержания несколько каскадов усиления слабого НЧ-сигнала и в добавок внешний источник питания.

Но на сегодня линии оптоколокна имеют более широкий спектр реализации. Информация по такому каналу передается в виде пульсирующего светового потока, на который не влияют магнитные и электрические помехи. Также по такому каналу тяжелее перехватить данные, что повышает безопасность передачи. При этом скорость передачи достигает Гигабайт/секунду. Для подключении к такому каналу связи, удаляют защитные слои кабеля. Потом стравливают светоотражающую оболочку и изгибают кабель по специальным углом, что бы снимать информацию. При этом сразу будет заметно падать мощность сигнала. Также можно бесконтактно подключатся к каналу связи, но для этого нужно иметь определенный уровень знаний и подготовки.

Способы НСД к беспроводным линиям связи

Транспортировка данных с помощью высокочастотных СЧВ и УКВ диапазонах дает возможность реализовать передачу информацию и компьютерную сеть там, где положить обычный проводные каналы есть сложно. В таких каналах связи передача информации возможно со скорость до 2 Мбит/с. При этом есть вероятность помех и перехвата информации. Перехват данных работает на основе перехвата электромагнитных излучений с дальнейшем анализом и расшифровывания. Перехват информации по таким каналам имеет свои особенности:

• данные можно получить без прямого контакта с источником;
• на сигнал не влияет ни время года/суток;
• прием данных проходит в реальном времени;
• перехват реализуется скрытно.
• дальность перехвата ограничена только характеристикой волн распространения.

Защиты от несанкционированного доступа

Существует байка о том, как нужно хранить информацию. Она должна быть в одном экземпляре на компьютере, который расположен в бронированном сейфе, отключенный от всех сетей и обесточенный. Такой метод мягко говоря, очень жестокий, однако и такие бывали случаи. Что бы защитить данные от НСД, нужно понять какой доступ считается санкционированным, а какой нет. Для этого нужно:

• разбить информацию на классы, которая обрабатывается или хранится на ПК
• разбить пользователей на классы по доступу к данным
• расставить эти классы в определенные связи обмена данным между собой

Системы защиты данных от НСД должно поддерживать реализацию следующих функций:

• аутентификация
• идентификация
• разграничение доступа пользователей к ЭВМ
• разграничение доступа пользователей к возможностями над информацией
• администрирование:
  • обработка регистрационных журналов
  • определение прав доступа к ресурсам
  • запуск системы защиты на ЭВМ
  • демонтированные системы защиты с ЭВМ
  • нарушения прав доступа
  • вход/выход пользователя из системы

  Права пользователей доступа к ресурсам описывают таблицы, на основе которых проводится проверка аутентификации пользователя по доступу. Если Пользователь не может получить запрашиваемые права доступа, значит регистрируется факт НСД и проводятся определенные действия.

  Аутентификация и идентификация пользователя

  Для доступа пользователю к ресурсам системы, он должен пройти процесс:

  Исходя из этого, для проведения этих процедур, нужно что бы:

  • была программа аутентификации
  • у пользователя была в наличии уникальная информация

  Есть две формы хранения идентификационных данных о пользователе, это внутренняя (запись в базе) или внешняя (карточка). Любому носителю информации, который нуждается в опознании системой, существует соответствие в системе аутентификации:

  Существует две типовые схема аутентификации и идентификации. Первая схема:

  Для такой схемы существует протокол аутентификации и идентификации:

  • Пользователь предоставляет свой идентификатор ID
  • Если существует такой ID_i, где то идентификация пользователем пройдена успешно, иначе нет.
  • Алгоритм аутентификации просит ввести пользователя его аутентификатор К
  • Вычисляется значение E = F(ID, K)
  • Если E = E₁ то аутентификация пройдена, иначе нет.

  Протокол для второй схемы аутентификации и идентификации:

  • Пользователь показывает системе свой идентификатор ID
  • Если существует такой ID_i, где то идентификация пользователем пройдена успешно, иначе нет.
  • По идентификатору ID выделяется вектор S
  • Алгоритм аутентификации просит ввести пользователя его аутентификатор К
  • Вычисляется значение E = F(S, K)
  • Если E = E₁ то аутентификация пройдена, иначе нет.

  Вторая схема используется в ОС UNIX. Пользователь в качестве идентификатора вводит свое имя (Login), а пароль в качестве аутентификатора. Функция F является алгоритмом шифрования DES. (см. Протокол аутентификации Kerberos)

  В последнее время набирают обороты биометрические методы идентификации и аутентификации, этому способствует:

  • Высокая степень доверенности по признакам из-за их уникальности
  • Трудная фальсификация этих признаков

  В качестве признаков пользователя может использоваться:

  • отпечатки пальцев
  • сетчатка глаз и узор радужной оболочки
  • форма руки
  • форма ушей
  • форма лица
  • ДНК
  • особенности голоса
  • рукописный почерк

  Нужно отметить, что использование биометрических характеристик для идентификации субъектов пока не получило надлежащего нормативно-правового обеспечения, в виде стандартов. Поэтому применение таких систем допускается только там, где идет обработка данных которые составляют коммерческую или служебную тайну.

  Взаимная проверка подлинности пользователей

  Стороны, которые вступают в информационный обмен нуждаются в взаимной аутентификации. Такой процесс обычно реализуется в начале сеанса обмена. Для проверки подлинности, существуют способы:

  • механизм отметки-времени (временной штепмель)
  • механизм запроса-ответа

  Также есть механизм рукопожатия, который основан на предыдущих двух механизмах и заключается в взаимной проверке ключей, который используют стороны обмена. Такой принцип используют для создания соединения между хостом-компьютером и тд в сетях.

  В качестве примера, рассмотрим двух пользователей А и В, которые разделяют один и тот же секретный ключ K_AB.

  Пользователь В доказывает подлинность А таким же способом. Плюсом такого механизма это то, участники связи не получают никакой секретной информации во время механизма.

  Делая итог, нужно отметить, что НСД является намеренной угрозой с доступом к конфиденциальной информации. Существует множество способов как это сделать. Службе информационной безопасности нужно тщательно следить за информационными потоками а так же за пользователями информационной системы. С развитием технологий появляются новые методы НСД и их реализации. Нужно начальству выделять ресурсы для обновления и улучшения системы защиты информационной системы, так как со временем она устаревает и теряет возможность препятствовать новым атакам. Нужно помнить, что абсолютной защиты нету, но нужно стремится к ней.

  Задача сохранения конфиденциальной и рабочей информации, а также информации, содержащей персональные данные пользователя или группы пользователей, является важнейшей при создании защитных систем, оберегающих компьютер от несанкционированного доступа. Собственно, сам несанкционированный доступ – понятие довольно широкое, и может быть осуществлен злоумышленником по различным физическим и программным путям. Противодействие всем этим путям в комплексе и формирует задачу создания системы защиты, как многокомпонентной программно-аппаратной структуры.

  Какими же методами и способами злоумышленник может получить несанкционированный доступ к компьютеру?

  1. Физический способ, в котором участвует внешний нарушитель с физическим доступом к «железу» компьютера
  2. Программный способ, осуществляемый внутренним нарушителем, имеющим определенные права доступа на разных уровнях внутри сети
  3. Удаленно-программный способ, осуществляемый через вирусное ПО, либо удалённый доступ из внешних сетей, находящихся за «периметром» безопасности локальной сети конкретного компьютера

  При первом способе внешний нарушитель, имеющий доступ в помещения, где установлены компьютеры, может осуществить несанкционированный доступ, загрузившись с внешнего носителя, либо использовав заранее известные учетные данные других пользователей. В другом случае нарушитель может вскрыть корпус компьютера, получив доступ к физическим компонентам, в частности локальному хранилищу информации – жесткому диску, и демонтировать его.

  При втором способе, пользователь, работающий внутри «периметра» локальной сети осуществляет действия по несанкционированному доступу к информации и её хищению путём копирования из ресурсов, которые ему разрешены для входа. В отдельных случаях такой пользователь может воспользоваться привилегированным доступом в сеть, который заранее ему известен (под чужими учётными данными).

  При третьем способе несанкционированный доступ осуществляет вредоносный программный модуль, интегрированный удалённо в систему атакуемого компьютера. Такой модуль может действовать совместно с программами кейлоггинга, пользуясь зафиксированными данными о логинах и паролях пользователей. Сюда же можно отнести и низкоуровневые программные системы перехвата трафика на канальном уровне, и удалённые доступы с использованием открытых портов и уязвимостей операционных систем.

  Всё вышеописанное является исходными данными для организации системы защиты компьютера от несанкционированного доступа. Строить систему рекомендуется именно по шагам противодействия угрозам, описанным выше. Соответственно, методы защиты можно классифицировать по трём основным направлениям.

  Защита от физического несанкционированного доступа

  Должна обеспечиваться отсутствием или ограничением свободного доступа неавторизованного персонала и предполагаемых нарушителей непосредственно к аппаратным составляющим и корпусу компьютера. Сюда можно отнести все системы физической защиты доступа – системы контроля доступа, решетки, турникеты, защитные средства, закрывающие корпус и т.п.

  Должна быть обеспечена парольная защита системы первоначальной загрузки путём задания пароля в BIOS (включая пароль на изменение самих настроек BIOS).

  Возможно использование также электронного замка (например, «Соболь») обладающий собственным «доверенным» периметром загрузки, который на сто процентов препятствует запуску компьютера с не доверенной операционной системой или с использованием внешних носителей.

  Защита от несанкционированного доступа с использованием программных средств

  Должен быть установлен антивирус с максимально широким функционалом для защиты сетевой инфраструктуры и сервера, желательно управляемый централизованно, постоянно обновляемый

  Должна быть обеспечена прежде всего закрытая от внешних воздействий изолированная транспортная сеть передачи данных, на которой базируются машины домена или рабочей группы. Это может быть достигнуто сертифицированными сетевыми устройствами, обеспечивающими виртуальное разделение сетевых сегментов (по технологии VLAN) с осуществлением маршрутизации пакетов между ними.

  Должен быть обеспечен защитный «периметр», включающий в себя демилитаризованную зону в виде отдельной изолированной подсети на стыке, отвечающим за сопряжение с внешними сетями и Интернет. Это достигается работающими аппаратными файрволами на граничных маршрутизаторах и набором правил доступа во внешние сети и входа из них.

  Должен быть обеспечен необходимый уровень криптозащиты каналов связи, обеспечивающих обмен между сегментами локальной сети, что достигается применением аппаратных криптомаршрутизаторов, шифрующих IP-трафик в канале с помощью сертифицированных интегрированных в них средств (например, СЗИ Crypto Pro).

  Также допускается организация защиты соединения непосредственно информационной системы с нужным ресурсом через программные VPN-клиенты, шифрующие трафик в создаваемом VPN-туннеле.

  На уровне операционных систем защита от внешних проникновений, обнаружение и «отлов» вредоносного кода, действующего из файловых «тел», скриптов, внутри памяти и через электронную почту должна обеспечиваться комплексной антивирусной защитой всех точек сетевого взаимодействия – клиентских машин и серверов.

  Непосредственно на компьютере, на котором работает пользователь, должны применяться и действовать доменные политики, а также система разрешительного доступа к информационным системам согласно утверждённой матрице доступа. Также должны действовать политики безопасности, контролируемые администраторами, в соответствии с которыми у пользователей изменяются пароли, осуществляется контроль доступа и т.п

  Таким образом, по совокупности методов комплексное решение по защите компьютера от несанкционированного доступа определяется совокупностью программных, организационных и физических методов защиты, применяемых к конкретному автоматизированному рабочему месту.

  
  

  Решение: Роутер – это устройство, обеспечивающее соединение административно независимых коммуникационных сетей.

  5. Компьютер, подключенный к сети Интернет, может иметь два следующих адреса:

  
  

  
  

  цифровой и доменный

  
  

  цифровой и пользовательский

  
  

  символьный и доменный

  
  

  прямой и обратный

  6. При задании электронного пароля необходимо соблюдать ряд мер предосторожности, в частности …

  
  

  
  

  поменять пароль, если Вы по какой-либо причине сообщили его Вашим родственникам

  
  

  обязательно записать пароль, чтобы его не забыть, и хранить запись в надежном месте

  
  

  использовать один и тот же пароль для различных целей, например для доступа и к почтовому ящику, и к защищенному диску, чтобы не запутаться

  
  

  использовать слова-жаргонизмы, так как их сложнее угадать взломщику

  Решение: При задании электронного пароля необходимо соблюдать ряд мер предосторожности, в частности следует поменять пароль, если Вы по какой-либо причине сообщили его Вашим родственникам.

  Читайте также:

    
  • Как csv файл преобразовать в нормальный вид
    
  • Как играть в rock of ages 2 вдвоем на одном компьютере
    
  • Битые пиксели на проекторе как лечить
    
  • Как залезть в файлы игры на айфоне
    
  • Где вводить ключ генерации в майнкрафте на компьютере