Information Security

Page 1

„РАЗВИТИЕ НА ЧОВЕШКИТЕ РЕСУРСИ” 2007-2013 Договор: BG051PO001-4.3.04-0036

ИКОНОМИЧЕСКИ УНИВЕРСИТЕТ-ВАРНА

Безопасност и защита на компютърни системи и приложения Електронен учебник

Стефан Дражев Василев Радка Валериева Начева

Варна 2013 г.


УВОД 1. Актуалност на обучението по дисциплината Дисциплината „Безопасност и защита на компютърни системи и приложения” запознава студентите с теоретичните и практически подходи за съвременни технологии за защита на бизнес приложения в Интернет на базата на софтуерни средства на фирмата Майкрософт, САЩ (SecurityServicePack). Структурно учебният материал е разделен на модули, теми и подтеми (точка 8) и е съобразен с основните изисквания както на самата фирма MicrosoftOfficialCurriculum (MOC), така и с препоръките на АСМ http://www.computer.org/education/cc2001/. 2. Цел (задачи) на обучението по дисциплината Учебният материал има за цел да формира знания, условия за разбиране и умения, както следва: •

описание на известните атаки към компютърни мрежи и приложения и какви мерки се предприемат от оторизирания персонал;

описание на криптографските методи за защита на информацията и как да се подбират подходящи криптиращи методи за дадената организация;

приложение на основните технологии за защита на корпоративните системи и приложения;

методи за регистриране на потребителите в дадена организация и управлението на техния достъп до информационните ресурси;

работа с дигитални сертификати (подписи);

защита на предаваната/получавана информация по кабелни и безкабелни мрежи;

защита на Web-серверите срещу известните атаки и конфигуриране на потребителските Web-браузери;

2


защита на електронната поща и системите за пряка комуникация между потребителите;

Приложение на знанията и уменията: •

определяне на мрежовия периметър и неговата защита от несанкциониран достъп;

разработване на обща политика за информационна защита в организацията.

Способност за разширяване на знанията и формиране на нови умения: •

координира своите задачи по “Безопасност и защита на компютърни системи и приложения”;

усъвършенства своите умения чрез непрекъснато обучение;

взема решения в стандартни и относително неопределени ситуации.

3. Очаквани резултати от обучението по дисциплината (съобразени са с целите на ОП УЧР и съответстват с посочените в учебната програма) В края на обучението студентът трябва да: •

демонстрира задълбочени знания по съвременните програмни средства и технологии за защита на интернет приложения;

прилага методи за анализ на динамичната бизнес информация и нейното представяне в Интернет;

идентифицира електронни нападения и защита на директориите и другите информационни ресурси в организацията.

4. Съществени въпроси, на които се акцентира в електронния учебен материал • Теоретична подготовка по 15 различни теми, които са представени в точка 8. • Практическа подготовка, която следва да се осъществи по следните начини: -

чрез подробни ръководства от типа “step by step“, които демонстрират прилагане на конкретни алгоритми, технологии 3


и средства за криптиране, включени за разглеждане в учебния материал; -

чрез участие в курсове и групи в Социална мрежа за преподаватели и студенти от ИУ – Варна, като целта е оказване на помощ от страна на преподавателите и обучаващите се по дисциплината (установяване на социални контакти с цел взаимопомощ).

5. Предназначение на електронния учебен материал Електронният учебник е предназначен за студентите, обучаващи се по магистърската специалност „ИТ иновации в бизнеса“, дистанционна форма на обучение. Отделните теми в електронния учебник са съобразени с утвърдената в Икономически университет – Варна програма по дисциплината „Безопасност и защита на компютърни системи и приложения”. Методика

на

съвместната

работа

„Преподавателски

екип-

студенти“ Онлайн учебно съдържание по дисциплината стартира през учебната 2002/2003 с използване на платформа Joomla. По-късно системата мигрира към платформа BlackBoard, а понастоящем е реализрана на платформа Moodle към Центъра за дистанционно обучение в ИУ-Варна. При разработване на структурата на учебното съдържание преподавателят разпределя основния материал по дисциплината на 15 теми. Всяка тема съдържа базисна информация, литература и указания за студентите как и какви материали да разработят. Всеки студент, съгласувано с преподавателя, избира една от 15-те основни теми. След избор на темата, студентът разработва: - Курсов проект по зададената тема. Темата се разработва с MS Word, A4, минимум 24 стандартни страници, вкл. списък на използваната литература и уеб адреси. Ако съдържанието се приеме от преподавателя, то файлът от формат *.docx се конвертира във формат *.pdf (Adobe Acrobat). - PDF-файлът се публикува в SlideShare (http://slideshare.net/). - Адресът на разработката се изпраща на преподавателя, който я публикува в социалната мрежа на ИУ-Варна и в системата за дистанционно обучение на ИУ-Варна, в раздела „Учебните материали по дисциплината“.

4


- След публикуване на разработената от студента курсова работа се преминава към разработване на MS PowerPoint-презентация по темата. Аналогично на текстовия файл, студентът конвертира презентацията във формат *.pdf (Adobe Acrobat); публикува я в SlideShare (http://slideshare.net/ ) и изпраща адреса на презентацията на преподавателя; той, от своя страна, включва презентацията в страницата на студента с учебни материали. - Публикуваната презентация се защитава пред преподавателския екип и останалите студенти по време на занятията (публичен семинар). Оценката в точки се определя както от преподавателя, така и от присъстващите студенти, а крайната оценка – от титуляра на дисциплината.

Фиг. 1. Реферат по безопасност и защита, оформен като pdf-файл и публикуван в SlideShare. - Презентациите на студентите се филмират и публикуват в www.youtube.com. Към този видеоматериал се добавят и адреси на видеофилми в YouTube, които допълват представената от студента тематика.. - Както преподавателите, така и студентите публикуват описания на специфичните термини по безопасност и защита в речника на дисциплината (Glossary).

Фиг. 2. Видео презентация по безопасност и защита, заснета по време на защита и публикувана в YouTube.

Фиг. 3. Онлайн терминологичен речник по безопасност и защита, достъпен в системата за дистанционно обучение.

- На всеки етап от работата си студентите общуват елетронно както по между си, така и с преподавателя. За целта се използват инструментите за електронна поща, задачи, блогове и важни напомняния. 5


Фиг. 4. Онлайн блогове по безопасност и защита, достъпни в системата за дистанционно обучение.

Фиг. 5. Онлайн списък с информация за студентите, обучавани дистанционно по дисциплината безопасност и защита

- На всеки етап от работата си даденият студент получава определен брой точки, които са част от окончателната му оценка по дисциплината. Отчетът на студентската текуща успеваемост се създава автоматично от системата. Така създадената технология за работа позволява да се изгради един дигитален архив на учебно съдържание по дисциплината „Безопасност и защита на информационни мрежи и системи“, който да се използва както от новоприетите студенти, така и от всички, които имат интереси към третираната проблематика. 6. Автори на електронния учебен материал са доц. д-р Стефан Дражев Василев и ас. Радка Валериева Начева. Участието на авторите при написването на електронния учебник е както следва: a. Доц. д-р Стефан Дражев Василев: увод; теми: 1, 4, 6, 7, 10, 11, 14, 15; тестове: 1, 4, 6, 7, 10, 11, 14, 15 b. Ас. Радка Валериева Начева: теми: 2, 3, 5, 8, 9, 12, 13; тестове: 2, 3, 5, 8, 9, 12, 13 7. Последна актуализация на учебния материал (дата, месец, година) Неделя, 30 Юни 2013 г.

6


8. Съдържание на електронния учебен материал Тема 1: ФИЗИЧЕСКИ МЕТОДИ ЗА УПРАВЛЕНИЕ НА СИГУРНОСТТА ................................................................... 10 1.1. ФИЗИЧЕСКИ МЕТОДИ ЗА УПРАВЛЕНИЕ НА ДОСТЪПА ДО РЕСУРСИТЕ .................................................................. 10 1.2. ВЪВЕДЕНИЕ В КРИПТОГРАФИЯТА ................................................................................................................ 16 ЛИТЕРАТУРА .................................................................................................................................................. 20 ИНТЕРНЕТ ИЗТОЧНИЦИ .................................................................................................................................... 21 ТЕСТ 1........................................................................................................................................................... 22 КРИПТОГРАФСКИ АЛГОРИТМИ С ПУБЛИЧЕН КЛЮЧ ............................................................................. 24 2.1. ТЕХНОЛОГИЯ НА ИЗПОЛЗВАНЕ НА ПУБЛИЧЕН КЛЮЧ (PUBLIC KEY INFRASTRUCTURE) .................................... 26 2.2. RSA: RIVEST, SHAMIR AND ADLEMAN ................................................................................................... 30 ПРАКТИЧЕСКИ БЛОК ........................................................................................................................................ 36 ЛИТЕРАТУРА .................................................................................................................................................. 37 ИНТЕРНЕТ ИЗТОЧНИЦИ .................................................................................................................................... 37 ТЕСТ 2........................................................................................................................................................... 38 LIGHTWEIGHT DIRECTORY ACCESS PROTOCOL (LDAP)............................................................................. 40 3.1. ОСНОВНИ ПОЛОЖЕНИЯ ............................................................................................................................ 40 3.2. АТРИБУТИ НА LDAP ................................................................................................................................. 49 ПРАКТИЧЕСКИ БЛОК ........................................................................................................................................ 52 ЛИТЕРАТУРА .................................................................................................................................................. 52 ИНТЕРНЕТ ИЗТОЧНИЦИ .................................................................................................................................... 52 ТЕСТ 3........................................................................................................................................................... 53 ЗАЩИТА НА УЕБ ПРИЛОЖЕНИЯТА ........................................................................................................ 55 4.1. ОРГАНИЗАЦИЯ НА ЗАЩИТАТА НА НИВО WEB-СЪРВЪРИ ................................................................................. 57 4.2. ОРГАНИЗАЦИЯ НА ЗАЩИТАТА НА НИВО БАЗИ ОТ ДАННИ................................................................................. 62 ЛИТЕРАТУРА .................................................................................................................................................. 68 ИНТЕРНЕТ ИЗТОЧНИЦИ .................................................................................................................................... 68 ТЕСТ 4........................................................................................................................................................... 69 ОРГАНИЗАЦИЯ НА ЗАЩИТАТА НА ЕЛЕКТРОННАТА ПОЩА ................................................................... 71 5.1. ТЕХНОЛОГИИ ЗА ЗАЩИТА ОТ SPAM .................................................................................................... 72 5.2. ОРГАНИЗАЦИЯ НА ЗАЩИТАТА НА НИВО E-MAIL-СЪРВЕРИ И КЛИЕНТИ ...................................................... 81 ПРАКТИЧЕСКИ БЛОК ........................................................................................................................................ 85 ЛИТЕРАТУРА .................................................................................................................................................. 86 ИНТЕРНЕТ ИЗТОЧНИЦИ .................................................................................................................................... 86 ТЕСТ 5........................................................................................................................................................... 87 УПРАВЛЕНИЕ НА ЗАЩИТАТА ДО ДИРЕКТОРИИ И DNS ......................................................................... 89 6.1. МЕХАНИЗМИ ЗА ЗАЩИТА НА ДИРЕКТОРИИ................................................................................................... 90 6.2. МЕХАНИЗМИ ЗА ЗАЩИТА НА DNS .............................................................................................................. 93 6.3. ОСНОВНИ ПРИМЕРИ ЗА УПРАВЛЕНИЕ НА ЗАЩИТАТА ДО DNS ......................................................................... 97 ЛИТЕРАТУРА .................................................................................................................................................. 99 ИНТЕРНЕТ ИЗТОЧНИЦИ .................................................................................................................................... 99 ТЕСТ 6......................................................................................................................................................... 101 КОНФИГУРИРАНЕ НА КЕШИРАНЕТО НА ИНФОРМАЦИЯТА ................................................................ 103 7.1. ТЕХНОЛОГИИ ЗА КОНФИГУРИРАНЕ НА CACHE.............................................................................................. 106 7.2. КОНФИГУРИРАНЕ НА CACHE-НАСТРОЙКИ ................................................................................................... 107 7.3. АНАЛИЗИРАНЕ НА CACHE-ИНФОРМАЦИЯТА ............................................................................................... 113 ЛИТЕРАТУРА ................................................................................................................................................ 115 ИНТЕРНЕТ ИЗТОЧНИЦИ .................................................................................................................................. 115

7


ТЕСТ 7......................................................................................................................................................... 116 ЗАЩИТА НА ДОСТЪПА ДО ОТДАЛЕЧЕНИ КЛИЕНТИ И МРЕЖИ ........................................................... 118 8.1. ВЪВЕДЕНИЕ В ОРГАНИЗАЦИЯТА НА VPN(ВИРТУАЛНИ ЧАСТНИ МРЕЖИ) ......................................... 118 8.2. КОНФИГУРИРАНЕ НА ЗАЩИТАТА ВЪВ VPN.......................................................................................... 124 8.3. ПРИМЕРИ ЗА РЕАЛИЗАЦИЯ НА VPN (БАНКОВИ УСЛУГИ) ....................................................................... 128 ЛИТЕРАТУРА ................................................................................................................................................ 131 ИНТЕРНЕТ ИЗТОЧНИЦИ .................................................................................................................................. 131 ТЕСТ 8......................................................................................................................................................... 132 ИЗГРАЖДАНЕ НА ЗАЩИТНИ СТЕНИ (FIREWALL) .................................................................................. 134 9.1. ОСНОВНИ КОНЦЕПЦИИ ЗА ИЗГРАЖДАНЕ НА ЗАЩИТНИ СТЕНИ ................................................................ 134 9.2. ПРОУЧВАНЕ И АНАЛИЗ НА ПАКЕТИТЕ ОТ ДАННИ И IP-РУТИРАНЕТО ......................................................... 140 ПРАКТИЧЕСКИ БЛОК ...................................................................................................................................... 143 ЛИТЕРАТУРА ................................................................................................................................................ 145 ИНТЕРНЕТ ИЗТОЧНИЦИ .................................................................................................................................. 145 ТЕСТ 9......................................................................................................................................................... 146 УПРАВЛЕНИЕ НА ЗАЩИТАТА В ИНТРАНЕТ .......................................................................................... 148 10.1. ОСНОВИ НА WEB PUBLISHING ................................................................................................................ 149 10.2. КОНФИГУРИРАНЕ НА WEB PUBLISHING СЪРВЪРА ....................................................................................... 151 10.3. КОНФИГУРИРАНЕ НА WEB PUBLISHING ПРИЛОЖЕНИЯ ................................................................................ 154 ЛИТЕРАТУРА ................................................................................................................................................ 156 ИНТЕРНЕТ ИЗТОЧНИЦИ .................................................................................................................................. 156 ТЕСТ 10....................................................................................................................................................... 158 ЗАЩИТА НА ПРЕДАВАНАТА / ПОЛУЧАВАНАТА ИНФОРМАЦИЯ ......................................................... 160 11.1. ЗАЩИТА НА ИНФОРМАЦИЯТА, ПРЕДАВАНА ПО КАБЕЛНИ МРЕЖИ ................................................................. 163 11.2. ЗАЩИТА НА ИНФОРМАЦИЯТА, ПРЕДАВАНА ПО БЕЗЖИЧНИ МРЕЖИ .............................................................. 165 11.3. ПРИМЕРИ ЗА НАРУШАВАНЕ НА ЗАЩИТАТА ПРИ ИЗПОЛЗВАНЕ НА БЕЗЖИЧНИ МРЕЖИ....................................... 168 ЛИТЕРАТУРА ................................................................................................................................................ 172 ИНТЕРНЕТ ИЗТОЧНИЦИ .................................................................................................................................. 173 ТЕСТ 11....................................................................................................................................................... 174 MS SECURITY SOFTWARE ..................................................................................................................... 176 12.1. КЛАСИФИКАЦИЯ И ПРЕДНАЗНАЧЕНИЕ ................................................................................................ 176 12.2. ПРИЛАГАНЕ НА СОФТУЕР ЗА ЗАЩИТА ................................................................................................. 182 ЛИТЕРАТУРА ................................................................................................................................................ 183 ИНТЕРНЕТ ИЗТОЧНИЦИ .................................................................................................................................. 183 ТЕСТ 12....................................................................................................................................................... 184 МОБИЛНИ ТЕЛЕФОНИ И ЗАЩИТА ...................................................................................................... 186 13.1. МОБИЛНИ ОПЕРАЦИОННИ СИСТЕМИ И ПРОБЛЕМИ СЪС СИГУРНОСТТА.................................................... 186 13.2. ВИДОВЕ СОФТУЕР ЗА ЗАЩИТА НА МОБИЛНИ ПРИЛОЖЕНИЯ И ТЕХНИТЕ ПРЕДНАЗНАЧЕНИЯ ............................... 192 ПРАКТИЧЕСКИ БЛОК ...................................................................................................................................... 197 ЛИТЕРАТУРА ................................................................................................................................................ 198 ИНТЕРНЕТ ИЗТОЧНИЦИ .................................................................................................................................. 198 ТЕСТ 13....................................................................................................................................................... 199 УПРАВЛЕНИЕ НА ОПЕРАТИВНАТА ЗАЩИТА ........................................................................................ 201 14.1. РАЗРАБОТВАНЕ НА ОПЕРАТИВНИ ПРОЦЕДУРИ ЗА ЗАЩИТА .......................................................................... 206 14.2. ОБУЧЕНИЕ НА КРАЙНИТЕ ПОТРЕБИТЕЛИ ЗА ПРИЛАГАНЕ НА ОПЕРАТИВНИТЕ ЗАЩИТНИ ПРОЦЕДУРИ ................... 210 14.3. МОРАЛНО-ЕТИЧНИ ПРАВИЛА ЗА КИБЕР ЗАЩИТА ....................................................................................... 212 ЛИТЕРАТУРА ................................................................................................................................................ 217 ИНТЕРНЕТ ИЗТОЧНИЦИ .................................................................................................................................. 218 ТЕСТ 14....................................................................................................................................................... 219

8


ЧОВЕШКИЯТ ФАКТОР ПРИ ОСИГУРЯВАНЕ НА БЕЗОПАСНОСТ И ЗАЩИТА .......................................... 221 15.1. КЛАСИФИКАЦИЯ НА ЧОВЕШКИТЕ РЕСУРСИ. .............................................................................................. 221 15.2. ЗАКОН ЗА ЕЛЕКТРОННИЯ ДОКУМЕНТ И ЕЛЕКТРОННИЯ ПОДПИС В БЪЛГАРИЯ ................................................. 227 ЛИТЕРАТУРА ................................................................................................................................................ 233 ИНТЕРНЕТ ИЗТОЧНИЦИ .................................................................................................................................. 233 ТЕСТ 15....................................................................................................................................................... 234

9


ТЕМА 1 ФИЗИЧЕСКИ МЕТОДИ ЗА УПРАВЛЕНИЕ НА СИГУРНОСТТА Съдържание на темата: 1.1. Физически методи за управление на достъпа до ресурсите 1.2. Въведение в криптографията 1.1. Физически методи за управление на достъпа до ресурсите По данни на ФБР, САЩ всеки път, когато е “пробита” компютърната защита на голяма компания, тя губи средно 700 000 долара, а банките губят по 8 000 долара в секунда от сривове и откази на компютрите. Измамите с кредитни карти предизвикват загуби около 5 милиарда долара годишно. На въпроса “Кои системни ресурси трябва да се защитят и на каква цена?”, отговорите не винаги са еднозначни. Нарушител, който компрометира или обезличава даден компютър, обикновено получава достъп до всички негови ресурси. Друг може да се интересува от изходящите връзки на атакуваната система само като “плацдарм” за атака към други, по-интересни цели. Методите за защита, които са достатъчно ефективни срещу срещу начинаещи хакери, са безсилни срещу професионални кракери. Друг въпрос е цената на сигурността - съществува една вечно „плаваща“ граница между прекомерна и твърде слаба сигурност. През последните двадесет години се е наложило мнението, известно като

„Триадата

на

ЦРУ“

(фиг.

1.5),

че

основните

принципи

на

информационната сигурност са: - конфиденциалност; - цялостност (интегритет); - достъпност.

10


Фиг. 1.5. Триадата на ЦРУ за информационна сигурност. Съгласно тази концепция, информационните системи се декомпозират на три основни компонента: хардуер, софтуер и комуникации с цел да се определят и приложат съответните стандарти като механизми за защита върху три нива (слоя): -

Продукти (физическа сигурност);

-

Хора (персонална сигурност);

-

Процедури (организационна сигурност).

Най–общо казано, процедурите се използват за да инструктират хората (администратори, потребители и оператори) как да използват продуктите (софтуер, хардуер и др.), за да осигурят сигурността на информацията в организацията. Физическите методи за управление на сигурността: 

Технически методи за защита на хардуера;

Управление на достъпа на индивиди до сградата или конкретната

служба; 

Ограничаване на достъпа до конкретните технически устройства и

надеждно съхраняване на външните памети (магнитни и флаш носители на данни); 

Изграждане и защита на личен или групов периметъри

(facility

perimeter);

11


Наблюдения за поява на нежелано нахлуване (физическо и/или

електронно – intrusion) 

Общ контрол на заобикалящата ни среда.

Изборът на конкретните мерки и средства, както и разработването на съответните механизми за физическа и техническа защита са част от проекта за изграждане на цялостната система за защита. Мерките за физическа и техническа защита на съоръженията и ресурсите се определят от типа на системата (военна, банкова, промишлена и др.) и от нейната конкретна реализация. Тези мерки имат класически характер и са насочени към : а) защита на съоръженията и ресурсите срещу евентуално физическо проникване на нарушители; б) ограничаване на физическия достъп на операторите в системата до необходимата достатъчност; в) екраниране на техническите средства от електромагнитните излъчвания; г) ограничаване на възможностите за дистанционно наблюдение на съоръженията и работата на операторите; д) защита срещу пожари и други злоумишлени повреди; е) поддържане на резервни аварийни съоръжения и др. Физическият достъп на неоторизирани лица до компютърните системи и мрежи е основен проблем при тяхната защитата. Изборът на подходящи помещения до голяма степен намалява риска както от физическо проникване на неоторизирани лица, така и от природни бедствия и аварии, но не винаги това е достатъчно. Затова за критичните от гледна точка на сигурността места трябва да бъдат използвани допълнителни технически средства за защита: 

система за пожароизвестяване и пожарогасене - системата реагира на

изменение на температура, на повишаване на концентрация на дим и на пламък; 

алармена система против взлом (СОТ) - тя реагира на движение в

помещения, на отваряне на врати и прозорци, на счупване на стъкло, на 12


вибрации при разбиване. Същата може да бъде свързана с група за бързо реагиране, а също така в нея може да бъде интегрирана "паник" функция; 

система за видеонаблюдение и видеодокументиране - видеокамери,

които се поставят на възловите места за наблюдение; 

система

за

контрол

на

достъпа

-

ограничава

достъпа

на

неоторизирани лица до помещенията на фирмата. Популярни средства, които се използват в практиката са: - кодови брави; - системи с персонални магнитни карти и безконтактни прокси четци; - биометрични системи - чрез датчици за опознаване на личностните характеристики на потребителя (подпис, тембър на гласа, пръстови отпечатъци, ирис на окото и др.); Техническите методи за защита на информацията могат да бъдат: а) пасивни методи, намаляващи интензивността на нежелателните излъчвания и полета - екраниране (на цели помещения, или частично на апаратурата); филтрация на сигналите в различните стъпала на апаратурата, филтрация на сигналите в захранващите електроизточници, в сигналните и пожарните

сигнализации;

заземяване

(допълнително);

използване

на

поглъщащи и неотразяващи покрития и съгласувани товари; б) активни методи, създаващи шумови полета ("заглушаване", "зашумяване") във възможния диапазон за прехващане на информацията базират се на създаване на маскиращи и имитиращи шумове за енергетично заглушаване на опасните сигнали или на кодово зашумяване. Има линийно зашумяване (кабели, проводници и др.) чрез генератори на шумови сигнали, включени в съответните вериги, и пространствено зашумяване (чрез антени се излъчват маскиращи шумове в околното пространство); в) използване на високозащитени физически елементи и технологии (например оптически влакна в линиите за свръзка). Възможни са следните решения за изолиране на паразитните електромагнитните излъчвания (ПЕМИ).

13


- Компютърът да се намира в специално оборудвано екранирано помещение (т.нар. Фарадеев кафез). - Използване на генератор на шум. - Използване на защитен компютър. Защитеният компютър по външния си дизайн по нищо не се различава от обикновения стандартен компютър. Технологията на защита решава комплексно проблема за прехващане на информацията от екрана, клавиатурата, твърдия диск, оптичните устройства, флаш памети и т.н., без да е нужно специално обзаведено

помещение.

Технологията

за

защита

включва

пълна

радиохерметизация на системния блок на персоналния компютър и максимално възможна на видео монитора, в това число поставяне на допълнителни екрани и защитни стъкла, двукратно екраниране на кабелите, поставяне на филтри по веригите за електрозахранване и на всички сигнални кабели, многократно екраниране на екрана и използване на елементи и материали, поглъщащи елекромагнитното излъчване. Така защитеният компютър предотвратява кражбата на информация, тъй като се затварят каналите за изтичане на информация заради паразитни електромагнитни излъчвания и по първичната верига на електрозахранването. В рамките на физическата защита се включват и методи за криптиране на отделни файлове, директории и дори – на целия технически носител като магнитни дискове, флаш памети и оптически дискове R/W. Един от универсалните методи за криптирне е изпозлването на LUKS. LUKS (Linux Unified Key Setup) е стандарт за криптиране по метода TKS1 на Linux дискове. Уеб страницата за достъп до програмния продукт с отворен код е: http://code.google.com/p/cryptsetup/ Освен използването на методи за криптиране на файлове и носители, в практиката често се използват и така нар. Стеганографски методи. Стеганометрия на гръцки означава тайнопис. Необходимо е да различаваме криптиране от стеганография. Криптирането преобразува съдържанието като затруднява

неговото

четене.

Стеганографията

поставя

под

въпрос

съществуването на дадено съдържание, то става „невидимо“. Един типичен 14


пример за използване на стеганография е наличието на скрити дигитални водни знаци. Като „вмъквате“ ваш важен файл във файл-илюстрация, вие го правите невидим за обикновения потребител. Програма StegComm

за стеганография

можете да изтеглите от сайта http://www.datamark-tech.com/,

Подробно изложение на технологията стеганография и примери на нейното използване ще получите от http://slidesha.re/171qvY2 .

15


1.2. Въведение в криптографията Основни криптографски понятия и определения. Гръцката дума „криптос“ – κρυπτός, която означава скрит, таен, е послужила за основа при наименоване на ново научно направление – криптография. От тук и определението на криптографията (cryptography) като научно направление, занимаващо се с

разработката на сигурни

алгоритми за криптиране и декриптиране, с разработване на кодове и протоколи, както и на ефективни режими и средства за тяхната реализация. Ще въведем и следните определения: – криптографски алгоритъм (cryptographic algorithm) - алгоритъм за преобразуване на входните данни в неразбираеми последователности от символи и за тяхното правилно обратно възстановяване; – криптографски код (cryptographic code) - речник на съответствието на входните смислови словосъчетания и изходните неразбираеми (безмислени на вид) изрази или знаци; – криптографски протокол (cryptographic protocol) - правила и съглашения за действие, при практическото използване на криптографските алгоритми и кодове; –

криптографска

система

(cryptosystem)

-

съвкупност

от

криптографски алгоритъм или код и криптографски протокол; – криптоанализ (cryptanalysis) - дисциплина, занимаваща се с разработката на методи и средства за разкриване на криптографските системи и за оценка на тяхната сигурност; – криптология (cryptology) - обобщена дисциплина, включваща в себе си криптографията и криптоанализа. Исторически, първите опити за криптографиране на информацията са реализирани чрез различни форми на скрити послания (вж таблица 1.1.). Легендата разказва, че през V век пр.н.е. гръцкият тиранин Хистий, държан 16


като затворник от цар Дарий, трябвало да изпрати тайно съобщение на зет си. Хистий обръснал главата на един роб и татуирал съобщението на скалпа му. Когато косата на роба пораснала, той тръгнал на път. Така Херодот описва един от първите случаи на използване на тайнописа в древния свят. С течение на криптографията се превъръща от изкуство в наука, целяща да помага на хората да скрият не само съобщението, а и факта, че такова съобщение съществува. Древните римляни пишели между редовете със симпатично мастило, което било направено от естествени съставки като плодови сокове, урина и мляко, предавали сведения чрез дървени предмети, в които скритата информация се е защитавала от тънък слой восък и др. Таблица 1.1. Основни събития в криптографията1 Събитие Кнумотеп II (подвеждащи йероглифи) Шифър Атбаш (азбучен заместващ код) Ситали (транспозиционен код) Шифър на Цезар (азбучен заместващ код) Кама Сутра (криптографията посочена като едно от 64-те изкуства) Леон Батиста Алберти (многоазбучен код) Джован Батиста Балесто (идея за израз вместо ключ) Шифър на Вигенере (многоазбучен код) Франсис Бекъм (билатерален шифър) Томас Джеферсън (многоазбучен транспозиционен код) Чарлс Бабидж (дешифриране чрез статистически анализ) Керкхоф (принципи за криптосистема) Тео Ван Хенгел (роторно електронно-механично криптиране) One-Time Pad (еднократен шифър) Артър Шербиус (Енигма - тройно роторно криптиране) Клауд Елуоод Шанън (първа публикация по съвременна криптография) Data Encryption Standard (блоков шифър) Дифи-Хелман (криптиране чрез елиптичнби криви) RSA (криптиране чрез аритметика с големи прости числа) Роналд Ривест (хеш-функция MD2)

Време 4000 пр.Хр. 6 в.пр.Хр. 5 в.пр.Хр. 1 в.пр.Хр 400 г. 1466 г. 1553 г. 1585 г. 1600 г. 1790 г. 1854 г. 1883 г. 1915 г. 1917 г. 1918 г. 1949 г. 1975 г. 1976 г. 1978 г. 1989 г.

1

История на информационната сигурност – част 1, http://cio.bg/2552_istoriya_na_informacionnata_sigurnost__chast_1.2 17


Събитие Роналд Ривест (хеш-функция MD4) Филип Зимерман (хибридна криптосистема PGP) Роналд Ривест (хеш-функция MD5) Secure Hash Algorithm (хеш-функция SHA0) Силово дешифриране на DES TripleDES / 3DES (трикратно блоково шифриране) Advanced Encryption Standard (AES)

Време 1990 г. 1991 г. 1991 г. 1993 г. 1997 г. 1999 г. 2001 г.

По време на Втората световна война германците създали микроточката (microdot). Тайното съобщение било смалявано чрез фотографски методи до големината на точка. Тази точка се поставяла на мястото на точката в буквата "i" или вместо други пунктуационни знаци. Микроточката позволила предаването на огромно количество данни и самото предаване на информацията оставало напълно скрито за неподозиращите. С развитието на социалните Интернет мрежи и все по-ниската цена на мобилните устройства кражбата на дигитализирна информация е повсеместна. За да се ограничи поне частично и да се запази авторското право са въведени така нар. дигитални водни знаци (digital water marks). На пазара има много фирми, предлагащи продукти за създаване и декодиране на водни знаци Digimarc, Signum Technologies и др. Трябва да се отбележи, обаче, че цифровите водни знаци не винаги могат да издържат въздействието на специални изтриващи програми като UnZing, StirMark. Те унищожават водните знаци на производителите на файловете без видимо влошаване на качеството на изображението. Почти всички програми за криптиране на информацията работотят по следния сценарий: 1. Избор на файловете за скриване. Проверява се коректността на файловете, които ще бъдат скривани. 2. Обработка на избраните файлове (компресиране). Потребителят избира дали избраните файлове да се компресират, или не. 3. Избор на носещ файл. Избира се подходящ файл за скриване на информацията. Повечето програми имат изискване носещият файл да бъде 10 пъти по-голям от скриваната информация. 18


4. Избор на алгоритъм за криптиране и парола. Програмите предоставят възможност на потребителя да избере алгоритъма за криптиране на информацията и паролата, с която тя ще бъде възстановена по-късно. 5. Избор на метод за скриване. Различните програми използват собствени алгоритми за скриване на информацията. 6. Избор на име на новия файл. Днес, всеки потребител на Интернет може да се възползва от предимствата на криптирането и да запази авторските си права. Нека да изложим някои съображения при избор на съвременни криптосистеми:  Ниво на секретност – определя се от необходимото време и изчислителни ресурси за компрометиране на криптосистемата.  Функционалност.  Методи за опериране – поведението по отношение на сигурността при различни начини на прилагане, вида на входните данни и др.  Производителност и бързина  Внедримост – каква е сложността при хардуерна или софтуерна реализация, необходимите ресурси. В глава втора се разглеждат подробно криптографските алгоритми с публичен и частен ключ, със симетрични и асиметрични алгоритми за криптиране. Ще маркираме само някои от тях: Симетрични криптиращи алгоритми:  DES (Data Encryption Standard);  CAST-128 или CAST5  3DES (Triple DES);  IDEA (International Data Encryption Algorithm);  RC4 (Ron's Cipher 4); RC5, RC5a, RC6 (Ron's Cipher 5, 5a и 6);  A5 - алгоритми Blowfish, Twofish и Rijndael;  AES (Advanced Encryption Standard);  и др.

19


Асиметрични криптиращи алгоритми:  Diffie-Hellman (алгоритъм, разработен от авторите Diffie и Hellman)  RSA (алгоритъм, разработен от авторите Rivest, Shamir, Adleman)  ElGamal (алгоритъм, разработен от Taher Elgamal през 1984 г. на базата на Diffie-Hellman)  и др. Най-характерното за криптиращите алгоритми е това, че те са базирани на

съвременни

математически

теории,

алгоритмизирани

от

водещи

научноизследователски институти. Не случайно най-престижната награда в областта на компютърните науки е на името на Алан Тюринг – ученият, който през 1941-44 г. разгадава алгоритъма за криптиране на немската машина Енигма. По този начин Тюринг е спасил хиляди жители на Лондон по време на бомбандировките на града от нацистите през Втората световна война. Литература 1. Дражев, Ст. и др. Социална мрежа за споделяне на знания и опит

между преподаватели и студенти от ИУ-Варна. РЪКОВОДСТВО ЗА РАБОТА., 2012 г. Изд на ИУ-Варна, 196 с. 2. История

на

информационната

сигурност

част

1,

http://cio.bg/2552_istoriya_na_informacionnata_sigurnost__chast_1.2

20


Интернет източници 1. Библиотека

на

доц.

д-р

Стефан

Дражев

в

SlideShare

:

(http://www.slideshare.net/stedrazhev/). 2. Библиотека

на

доц.

д-р

Стефан

Дражев

в

Issuu:

http://www.issuu.com/stedranet 3. Microsoft patterns & practices Volume I, Building Secure ASP.NET Applications: Authentication, Authorization, and Secure Communication - http://msdn.microsoft.com/en-us/library/aa302383.aspx 4. Microsoft patterns & practices Volume II, Building Secure ASP.NET Applications: Design Guidelines for Secure Web Applications http://msdn.microsoft.com/en-us/library/ff648647.aspx

Дата на създаване на тематичната единица: 05.05.2013г. Дата на последна актуализация на съдържанието на тематичната единица: 30.06.2013 г. Автор на тематичната единица: доц. д-р Стефан Дражев

21


ТЕСТ 1 ВЪВЕДЕНИЕ В ДИСЦИПЛИНАТА. ОСНОВНИ НАСОКИ НА СЪВМЕСТНАТА НИ ДЕЙНОСТ Въпрос 1: Под Триадата на ЦРУ“ се разбира? A. Конфиденциалност, интервалентност, достъпност. B. Безопасност, цялостност (интегритет), достъпност. C. Конфиденциалност, цялостност (интегритет), достъпност. Въпрос 2. Механизмите за защита се прилагат на следните три нива? A. Продукти, Хора, Процедури. B. Продукти, Устройства, Процедури. C. Продукти, Програми, Процедури. Въпрос 3. Процедурите се използват за да? A. Инструктират устройствата. B. Инструктират хората. C. Инструктират системните програми. Въпрос 4. Техническите методи за защита на информацията са? A. Пасивни, активни и чрез използване на високозащитени физически елементи. B. Пасивни, активни и чрез използване на физически елементи. C. Стандартни, активни и чрез използване на физически елементи. Въпрос 5. Фарадеев кафез е? A. Специално оборудвано биометрично помещение. B. Специално оборудвано подземно помещение. C. Специално оборудвано екранирано помещение. Въпрос 6. LUKS е съкращение от? A. Linux Unified Key Setup.. B. Linux Undefined Key Setup. C. Linux Unified Key Settings. Въпрос 7. Под криптографски код разбираме: A. Речник на различията между входните смислови словосъчетания и изходните неразбираеми изрази или знаци. B. Речник на на входните ключови думи и изходните неразбираеми изрази или знаци. C. Речник на съответствието на входните смислови словосъчетания и изходните неразбираеми изрази или знаци. . Въпрос 8. Под криптографска система разбираме? A. Съвкупност от криптографски алгоритъм или код и криптографски протокол. B. Съвкупност от код и криптографски протокол. C. Съвкупност от криптографски алгоритъм и криптографски протокол.

22


Въпрос 9. Под криптоанализ разбираме? A. Дисциплина, занимаваща се с разработката на методи за сигурност. B. Дисциплина, занимаваща се с разработката на методи и средства за разкриване на криптографските системи и за оценка на тяхната сигурност. C. Дисциплина, занимаваща се с разкриване на криптографските системи и за оценка на тяхната сигурност. Въпрос 10. Различаваме криптиране от стеганография според методите? A. За кодиране, компресиране и скриване на данните. B. За кодиране, преобразуване, компресиране и скриване на данните. C. За кодиране и скриване на данните. Въпрос 11. Microdot е система за? A. Система за смаляване чрез фотографски методи до големината на точка на тайно съобщение. B. Система за смаляване чрез фотографски методи до големината на точка на тайно съобщение. C. Система за смаляване чрез фотографски методи до големината на точка на тайно съобщение. Въпрос 12. Симетрични алгоритми за криптиране са? A. DES, RSA, 3DES. B. DES, ElGamal, 3DES. C. DES, CAST-128, 3DES . Въпрос 13. Асиметрични алгоритми за криптиране са? A. DES, RSA, 3DES. B. DES, ElGamal, 3DES. C. RSA, ElGamal, Diffie-Hellman . Въпрос 14. Ученият, който е разгадал Енигма е? A. Алан Тюринг B. Алан Морисет C. Айван Турингер. Въпрос 15. Студентскта курсова работа по дисциплината се разработва на? A. На MS Word като се трансферира в PDF—файл и качва в slideshare.com B. На MS PowerPoint като се трансферира в PDF—файл и качва в slideshare.com C. И двата отговора са верни.

23


ТЕМА 2 КРИПТОГРАФСКИ АЛГОРИТМИ С ПУБЛИЧЕН КЛЮЧ Съдържание на темата: 2.1. Технология

на

използване

на

публичен

ключ

(PublicKeyInfrastructure) 2.2. RSA: Rivest, Shamir and Adleman Криптографията с публичен ключ (наречен още асиметричен ключ) е изключително важна за допринасяне на сигурното предаване на данни в Интернет. Тя се базира на създаване на двойка ключове – публичен и частен, които се използват за криптиране и декриптиране на данни. „За разлика от метода със симетрични ключове, тук ключовете се генерират едновременно по определен алгоритъм, като всеки желаещ да обменя криптирани данни, трябва да има своя собствена уникална двойка от публичен и частен ключове: 

публичен ключ - използва се за криптиране на данните и е общодостъпен за всеки, които иска да изпрати информация на притежателя му. Той не може да декриптира данните.

частен ключ - достъпен е само за притежателя си. Използва се за декриптиране на криптирани с публичния ключ данни.“ 1

Криптираните с публичен ключ (известен на всеки) данни могат да се декриптират само със съответстващият им частен ключ, който се съхранява и пази в тайна от собственика на ключа. Например, ако Иван иска да изпрати криптирано съобщение на Петър, Иван криптира информацията с публичния ключ на Петър и я изпраща до него. Петър декриптира (разшифрова) информацията със своя частен ключ. Обратният процес също има своите позитиви, а именно: криптирането на данни с частен ключ и декриптирането им със съответстващия му публичен. Този процес е известен като създаване на електронен подпис. Например, Иван иска да удостовери своята самоличност като подател на съобщение. Ето защо 1

Източник: http://bg.wikipedia.org/wiki/Криптография

24


той криптира съобщението със своя частен ключ и го изпраща на Петър. Петър дешифрира съобщението като използва публичния ключ на Иван и по този начин удостоверява, че Иван е подателят на съобщението. „Голямото значение на криптографията с публичен ключ произтича от липсата на необходимост от предварително разпределяне или обмяна на ключове между комуникиращите страни. Това прави възможно предлагането на редица онлайн услуги като електронни разплащания, сигурен обмен на данни и др. Поради по-голямата изчислителна интензивност, необходима за реализиране на алгоритмите за криптиране с публичен ключ, понякога методът се прилага за кратък комуникационен обмен, при който двете страни обменят ключове за продължаване на по-нататъшната комуникация чрез криптиране със симетрични ключове.“ 1 Фигура 2.1. демонстрира предаването на криптирани данни чрез използване на двойка ключове. Публичният ключ се разпространява свободно, но само оторизирани хора могат да дешифрират данните чрез използване на този ключ.

Фигура 2.1. Криптиране с публичен ключ Фигурата демонстрира основната идея на криптографията с публичен ключ. Тя се изразява в това, че съобщенията се изпращат по начин, по който е 1

Източник: http://bg.wikipedia.org/wiki/Криптография

25


възможно само човекът, който притежава декриптиращия ключ, да ги прочете, дори и методът на криптиране да бъде „прихванат“ от неоторизирана личност. Например, Иван изпраща криптирано съобщение, което само Петър може да декриптира, като отново го превръща в читаем вид. Проблеми на криптографията с публичен ключ „Единственият проблем е времето, което е нужно за генериране на двата ключа и за криптиране и декриптиране на съобщение. Времето за криптиране на дадено съобщение расте експоненциално с неговата дължина. Казано просто, това означава, че ако текст с дадена дължина изисква 10 секунди за кодиране/декодиране, то обработката на четири пъти по-дълго съобщение ще отнеме 16 пъти повече време, т.е. 160 секунди. В реалния живот заради скоростта на криптиране тези алгоритми са неизползваеми при съобщения, по-дълги от 20 байта. Както можете да си представите, това е много кратък текст (например предното изречение е дълго 115 байта). От друга страна, криптографията със секретен ключ е бърза и е приложима без значение от дължината на съобщението.“1 В настоящата тема разглеждаме е технологията за проверка на автентичността на електронен документ с помощта на публичен ключ PublicKeyInfrastructure и алгоритъмът за шифриране на данни RSA. 2.1.

Технология на използване на публичен ключ (Public Key Infrastructure)

Терминът Public Key Infrastructure (съкратено: PKI) на български се среща като „инфраструктура на публичния ключ“ (ИПК) или „публична ключова инфраструктура“. Това е технология за проверка на автентичността на електронен документ с помощта на публичен ключ.

Източник: http://www-it.fmi.unisofia.bg/ReDisInfo/courses/modules/module2/parts/module1/part3/lesson7.html 1

26


В енциклопедията на pcmag.com е дадено следното определение за ИПК: „фреймуърк, чрез който се създава метод за сигурност при обмен на информация, базиран на криптографията с публичен ключ.“1 PKI дава възможност на Интернет потребителите да обменят данни и парични средства по сигурен начин, като използват асиметричното криптиране. То се осъществява чрез оторизиран орган. Инфраструктурата на публичен ключ включва следните органи (таблица 2.1.): Таблица 2.1. Органи в ИПК Същност Сертифициращ орган (Certification Authority - CA)

Регистриращ орган (Registration Authority - RA) Проверяващ орган (Validation Authority - VA)

Функции Подписва дигитално даден сертификат, който съдържа информация за съответната личност / компютър / единица в мрежата и принадлежащия й ключ. Този процес се нарича сертифициране. Може да е локална за организацията или глобална. Например, Thawte, VeriSign, GlobalSign, Entrust, GTE CyberTrust и други; Това е звено на сертифициращия орган (това може и да е упълномощена външна организация), осъществяващо дейностите по приемане, проверка, одобряване или отхвърляне на исканията за издаване на сертификати. Проверява дигиталния сертификат на дадения субект.

Съхранението на заявки за сертификати, подновени и анулирани сертификати, както и заявки, отправени от сертифициращия и регистриращия орган, се съхряват в база данни за сертификати (Certificate Database). На фигура 2.2.

е демонстрирана организацията на работа в

инфраструктурата. Потребителят подава заявка за сертификат със своя публичен

ключ

към

регистриращия

орган.

Последният

потвърждава

идентичността на потребителя и я изпраща към сертифициращия орган, който в отговор връща издадения сертификат. Потребителят подписва електронно договор с новия си сертификат. Неговата самоличност се проверява от проверяващия орган, който получава информация за проверявания сертификат

1

Източник на определението: http://www.pcmag.com/encyclopedia/term/49333/pki

27


от сертифициращия орган. Ако самоличността на потребителя е удостоверена, то договорът може да бъде подписан успешно или съответно покупката / паричния превод да се осъществи безпроблемно.

Фиг. 2.2.1 Организация на ИПК PKI предлага набор от услуги, които са комбинирани с цел осигуряване сигурността на приложения. Услугите могат да са: 

Архивиращ и възстановяващ ключ (Key Backup and Recovery) – средства за възстановяване на загубени или повредени сертификати. За целта се използва архивиращ сървър;

История на ключа (Key History) – по различни причини (изтичане или промяна името) сертификатите могат да бъдат променяни. Ето защо е възможно защитените данни, които използват предходна версия на ключа, да не бъдат достъпни, освен ако по-старите ключове се съхраняват в архив;

Хранилище за сертификати (Certificate Repository) – мястото, на което се съхраняват сертификатите;

1

Оригинален адрес на изображението: http://bg.wikipedia.org/wiki Файл:Public-Key-Infrastructure.svg

28


Анулиране на сертификати (Certificate Revocation) – ако дадена личност прекратява използването на съответстващия й до момента ключ;

Автоматично

пресертифициране

на

ключа (Automatic Key

Recertification) – срокът на валидност на изтеклите сертификати може да бъде продължен автоматично; 

Кръстосано сертифициране (Cross Certification) – използва се да установи доверена връзка между отделните органи на ИПК. Това означава, че инфраструктурата може да е децентрализирана.

Времева щампа – удостоверява, че данните са акуратни и валидни;

API за клиента – Средства за приложения, които използват услугите на ИПК.

Предназначение на ИПК Инфраструктурата може да се използва за: 

Криптиране и/или удостоверяване самоличността на подателя на даден e-mail (чрез OpenPGP или S/MIME).

Криптиране

и/или

автентикация

на

документи

(например,

криптиране с XML). 

Удостоверяване самоличността на потребители на приложения (например., достъп със смарт карти / SSL).

Защитена комуникация с протоколи, като Internet key exchange (IKE) и SSL. И в двата случая се използват защитени от подслушване на канали за пренос на информация, като се използва методът на асиметричното криптиране.

Мобилни подписи – това са вид електронни подписи, създадени за употреба от мобилни устройства и разчитащи на сертифициращи услуги от независима телекомуникационна организация.

29


На адрес http://msdn.microsoft.com/en-us/library/windows/desktop/bb427432(v=vs.85).aspx

е представен пример за ИПК. На адрес http://www.topsite.com/best/pki могат да бъдат разгледани уеб сайтове на фирми предлагащи PKI софтуер. Регистрация на електронен подпис: http://www.stampit.org/bg/ 2.2.

RSA: Rivest, Shamir and Adleman

„RSA е алгоритъм за шифриране на данни, при който се използват различни ключове за шифриране и дешифриране. Наименованието идва от фамилните имена на създателите му Ronald L. Rivest, Adi Shamir и Leonard Adleman. Патентован е през 1983 г, освободен е от патент през 2000 г. Ключът с дължина от 512 до 1024 бита се използва за кодиране и е различен от ключа, използван за декодиране. Алгоритъмът на RSA предоставя процедура за подписване на електронен документ и за проверка на автентичността на подписа. Подписът на електронен документ е доста различен от подписване на документ (на лист), където подписът е същият за всички документи на лист. Електронният подпис не може да бъде константа — той е реквизит на електронния документ, на който е „положен“. Операциите на RSA, независимо дали кодирането, декодирането, подписването

или

проверката,

всъщност

представляват

модулно

експоненциране. Това изчисление се извършва като серия модулни „умножения“. RSA в момента е използван широко в много продукти, платформи и промишлености по света. Той намира разпространение в много търговски софтуерни продукти и е планирано да бъде използван в много повече. RSA е приложен в операционни системи на Майкрософт, Apple, Сън и Новел. В практиката RSA може да бъде открит в телефони, на мрежови карти за Интернет и на смарт карти. Като цяло, RSA е внедрен като мярка за 30


сигурност във всички главни протоколи за сигурни интернет-комуникации, включвайки S / MIME формат, SSL, и S / WAN. RSA е също така използван вътрешно в много институции, включително клонове на американското правителство, водещи корпорации, национални лаборатории и университети. Лицензът за технологията на RSA е придобит от около 350 компании. Приблизителният брой на машините за кодиране на базата на RSA е около 300 милиона, правейки го досега най-широко използвания алгоритъм за криптиране в света.“1 Системата за криптиране е собственост на RSA Security. Компанията притежава лиценз за алгоритъма и продава набори от инструменти за разработчици. Начин на кодиране чрез RSA Преди да представим математическите детайли, които съставят алгоритъма, бихме искали да го обясним с няколко прости изречения, чрез които да обясним по-подробно неговата същина. Алгоритъмът включва прилагане на две големи прости числа2. Тези две числа участват във формирането на публичния и частния ключ, като и двата ключа са съставени от две числа. След като се създадат ключовете, тези прости числа вече не са необходими. Публичният и частният ключ се използват за криптиране и декриптиране, като частният ключ е известен само на неговия собственик и не се разпространява чрез Интернет. Частният ключ се използва за декриптиране на текст, криптиран с публичен ключ, който от своя страна е публикуван на общодостъпно място. Подателя на писмото използва публичния ключ на получателя и го криптира. Когато се получи, писмото се дешифрира с частния ключ на получателя. Но за подателя може да се идентифицира чрез своя цифров подпис, като използва частния си ключ. За да установи самоличността на подателя,

1 2

Източник: http://bg.wikipedia.org/wiki/RSA Простото число се дели само и единствено на себе си и на единица.

31


получателят използва неговия публичен ключ за удостоверяване на самоличността. Таблица 2.2. демонстрира поредността на стъпките, описани дотук. Таблица 2.2. Изпращане на криптирано съобщение с цифров подпис Действие Изпращане на криптирано съобщение Изпращане на криптиран подпис Декриптиране на съобщение Декриптиране на подпис и удостоверяване самоличността на подателя

Чии ключ се използва

Вид на ключа

На получателя

Публичен

На подателя На получателя

Частен Частен

На подателя

Публичен

Математическите детайли на алгоритъма, използвани за генериране на публичен и частен ключ, са публикувани на официалния уеб сайт на RSA на адрес http://www.rsa.com/rsalabs/node.asp?id=2133. Стъпките на изпълнение на алгоритъма са следните, като същевременно сме дали пример за по-лесното му възприемане:

1.

ГЕНЕРИРАНЕ НА ПУБЛИЧЕН И ЧАСТЕН КЛЮЧ

Първо се генерират частният ключ, който ще се съхранява на сървъра и публичният, който е всеизвестен (може да се публикува навсякъде). Избират се две различни прости числа p и q. За по-голяма сигурност те трябва да бъдат случайни и с еднакъв брой цифри: p= 29, q = 31 За да сме сигурни в избора си дали числата са наистина прости, то можем да проведем тест за прости числа. Това е алгоритъм, чрез който се определя дали въведеното число е просто1. След това, изчисляваме n = p * q = 29 * 31 = 899

Повече подробности за споменатия алгоритъм могат да бъдат прочетени на адрес: http://en.wikipedia.org/wiki/Primality_test 1

32


n представлява модул на двата ключа. Неговата дължина, изразявана в битове, е дължината на ключа. После, изчисляваме функцията на Ойлер1: (n) = (p –1) * (q — 1) = (29 — 1) * (31 — 1) = 840 След това избираме просто число e, което трябва да бъде в интервала 1 < e < φ(n), като  и e не трябва да имат общи делители. Числото е е експонентата на публичния ключ. Избираме числото 11. Следващата стъпка е изчисляване на експонентата на частния ключ, която е числото d. Тя се изчислява по формулата d−1 ≡ e (mod φ(n)). d трябва да удовлетворява уравнението de≡1 (mod φ(n)), т.е. ed – 1 може да бъде разделено без остатък на . Следвайки приложения пример, (d * 11) /  ще ни даде остатък 1. Трябва да намерим обратнопропорционалното на e mod . (611 * 11) = 6721, 6721 / 840 = 8 с остатък 1. Ето резултатите от изчисленията: p — 29 q — 31 n — 899  — 840 e — 11 d — 611 Публичният ключ съдържа модула n и публичната експонента e. Частният ключ - модула n и частната експонента d.

2.

КРИПТИРАНЕ НА СЪОБЩЕНИЕ

Публичният ключ се предоставя на тези, които искат да ни изпратят кодирано съобщение. Съобщението трябва да се криптира по следната формула: C = Me mod n

Подробности за предназначението на функцията на Ойлер: http://bg.wikipedia.org/wiki/ Функция_на_Ойлер 1

33


C е всъщност криптираното съобщение. За примера ще изберем буквата ‘w’, чиито ascii код е 1191. C = 11911 mod 899 = 595 Към сървъра се изпраща числото 595. По принцип, за криптирането на оригиналното съобщение се използва следната формула: , при която числото m е числовата алтернатива на оригиналното съобщение М. Това означава, че за по-голяма сигурност М се превръща в m, което се намира в интервала 0 ≤ m < n. Числото се генерира по схема, наречена на английски padding scheme. Padding е процесът на подготовка на дадено съобщение за криптиране или подписване чрез използване на спецификация или схема, като PKCS#1 v1.5, OAEP, PSS, PSSR, IEEE P1363 EMSA2 и EMSA5. OAEP е актуалният способ, който се прилага към RSA алгоритъм, когато той се използва за криптиране на ограничен брой от байтове. Подробности около схемите, които се използват за генериране на случайното число, кодиращо първоначалното съобщение, могат да се намерят на адрес:  Padding (cryptography): http://en.wikipedia.org/wiki/Padding_(cryptography)  Optimal asymmetric encryption padding: http://en.wikipedia.org/wiki/Optimal_Asymmetric_Encryption_Padding  PKCS ♯1 : http://en.wikipedia.org/wiki/PKCS1  Kiltz, Е., К. Pietrzak, On the Security of Padding-Based Encryption  Schemes or Why we cannot prove OAEP secure in the Standard  Model: http://homepages.cwi.nl/~pietrzak/publications/KilPie09.pdf  PKCS #5 v2.0: Password-Based Cryptography Standard: ftp://ftp.rsasecurity.com/pub/pkcs/pkcs-5v2/pkcs5v2-0.pdf 1

ASCII Code - The extended ASCII table (таблица с ASCII кодове): http://www.ascii-code.com/

34


ДЕКРИПТИРАНЕ НА СЪОБЩЕНИЕ

3.

За да декриптиране на съобщението се нуждаем от частния ключ: n и d, който, разбира се, трябва да се пази в тайна. Използваме формулата за дешифриране на съобщението M = Cd mod n M = 595611 mod 899 = 119 M = 119 е стойността на буквата ‘w’ в оригиналното съобщение! Ако

използваме

генерираното

число

то

,

оригиналното

съобщение M може да бъде възстановено, като се обърне схемата. Доказателство: . Тъй като

, .

Последното съждение следва от Теорема на Ойлер където

е взаимно

. Използвайки Китайска теорема за остатъка 1 може да бъде

просто с

доказано, че уравнението важи за всички

.

С това се доказва, че сме получили първоначалното съобщение:

На адрес http://content.hccfl.edu/pollock/AUnixSec/PublicKeyDemo.htm може да се прочете обяснение на математическия модел на метода, който е представен по различен начин в сравнение с предложения в учебника. В следните документи могат да се открият подробни обяснения на RSA алгоритъма, които са с практическа насоченост:  Lecture

12:

Public-Key

Cryptography

and

RSA:

https://engineering.purdue.edu/kak/compsec/NewLectures/Lecture12.pdf  A

worked

example

of

RSA

public

key

encryption:

http://maths.mq.edu.au/~rody/math237/RSA.pdf 1

Chinese remainder theorem: http://en.wikipedia.org/wiki/Chinese_remainder_theorem

35


 The

Mathematics

of

the

RSA

Public-Key

Cryptosystem:

http://www.mathaware.org/mam/06/Kaliski.pdf Практически блок Приложението на RSA алгоритъма може да бъде тествано на следните адреси:  RSA Encryption : http://courses.gdeyoung.com/pages/encryption/rsa.php  Public-Key

Encryption

by

RSA

Algorithm:

http://logos.cs.uic.edu/340%20Notes/rsa.html  JavaScript

RSA

Cryptography

Demo:

http://www-cs-

students.stanford.edu/~tjw/jsbn/rsa2.html  RSA in JavaScript: http://www.ohdave.com/rsa/ Следният списък предоставя линкове към сайтове с уроци и софтуер за прилагане на криптографията с публичен ключ:  RSA Encryption in Pure PHP: http://stevish.com/rsa-encryption-in-purephp  Simple RSA public key encryption

algorithm implementation:

http://www.java2s.com/Code/Java/Security/SimpleRSApublickeyencrypt ionalgorithmimplementation.htm  Code

Examples

En-/Decryption

with

RSA:

http://www.flexiprovider.de/examples/ExampleRSA.html  How

to

use

PKI

encryption

to

share

files

via

internet:

http://www.aeppro.com/file-encryption-software/screenshots/how-touse-pki-encryption-to-share-files-via-internet.shtml  Key

Manager:

http://www.goanywheremft.com/products/openpgp-

studio/documentation/key-manager 

Open Source PKI Software: http://middleware.internet2.edu/hepkitag/opensrc.html

36


Литература 1. Salomaa, A., Public-Key Cryptography. Springer, 2009 2. Katz, J., Introduction to Modern Cryptography: Principles and Protocols. Chapman and Hall/CRC, 2007 3. Paar, C., Understanding Cryptography: A Textbook for Students and Practitioners. Springer, 2010 4. Menezes, A., Handbook of Applied Cryptography (Discrete Mathematics and Its Applications). CRC Press, 1996

Интернет източници 1. Public-Key Cryptography Standards (PKCS): http://www.rsa.com/rsalabs/node.asp?id=2124 2. Using PKI Certificates for Authentication: http://www.dartmouth.edu/comp/soft-comp/software/downloads/mac/pki/

Дата на създаване на тематичната единица: 14.05.2013г. Дата на последна актуализация на съдържанието на тематичната единица: 14.06.2013г. Автор на тематичната единица: ас. Радка Начева

37


ТЕСТ 2 КРИПТОГРАФСКИ АЛГОРИТМИ С ПУБЛИЧЕН КЛЮЧ Въпрос 1: RSA е съкращение, произтичащо от: a. имената на създателите си: Rivest, Shamir и Adleman b. Rational Security Algorithm c. имената на създателите си: Ronald, Shamir и Adleman Въпрос 2: RSA е алгоритъм за: a. криптиране / декриптиране на данни с публичен ключ b. криптиране / декриптиране на данни с публичен и частен ключ c. криптиране на данни с публичен ключ Въпрос 3: PKI произлиза от: a. Public Key Infrastructure b. Private Key Infrastructure c. Public Key Insurance Въпрос 4: PKI e: a. Инфраструктура, осигуряваща пренос на секретна правителствена информация b. Инфраструктура, създаваща метод за сигурно предаване на данни c. Служба в държавната администрация, занимаваща се с електронното правителство Въпрос 5: Криптирането с публичен ключ се нарича още: a. Линейно криптиране b. Симетрично криптиране c. Асиметрично криптиране Въпрос 6: Публичният ключ е: a. общодостъпен b. достъпен е само за притежателя си c. достъпен само за фирмите-партньори, които си обменят криптирана информация Въпрос 7: Частният ключ е: a. общодостъпен b. достъпен е само за притежателя си c. достъпен само за фирмите-партньори, които си обменят криптирана информация Въпрос 8: При асиметричното криптиране е необходимо: a. да се разполага само с един ключ, който играе ролята на криптиращ и декриптиращ ключ. b. да се разполага с двойка ключове – публичен и частен, с които се осъществява криптирането на данните. c. да се разполага с три ключа – един публичен и два частни. Въпрос 9: Кои органи са част от PKI? a. Сертифициращ и проверяващ b. Сертифициращ и регистриращ c. Сертифициращ, регистриращ и удостоверяващ

38


Въпрос 10: Кои са стъпките на изпълнение на RSA алгоритъмът? a. Кодиране и декодиране b. Генериране на ключове, кодиране, декодиране, потвърждение за получено съобщение c. Генериране на ключове, кодиране, декодиране Въпрос 11: За какво се използва цифровият подпис? a. За удостоверяване на самоличността на подателя на дадено съобщение. b. За подписване на договори в електронен вариант. c. И двата отговора са превилни. Въпрос 12: В алгоритъма RSA публичният ключ съдържа: a. числото p и публичната експонента e b. модула n и публичната експонента e c. публичната експонента e Въпрос 13: В алгоритъма RSA частният ключ съдържа: a. модула n и частната експонента d b. числото q и частната експонента d c. частната експонента d Въпрос 14: Кое от следните е схема за генериране на число, кодиращо съобщението, което се изпраща: a. AOEP b. OAEP c. RSS Въпрос 15: По коя формула се изчислява експонентата на частния ключ? a. d−1 ≡ e (mod φ(n)) b. d ≡ e (mod φ(n)) c. d−1 ≡ n (mod φ(n))

39


ТЕМА 3 LIGHTWEIGHT DIRECTORY ACCESS PROTOCOL (LDAP) Съдържание на темата: 3.1. Основни положения 3.2. Атрибути на LDAP 3.1. Основни положения LDAP е съкращение от наименованието Lightweight Directory Access Protocol, което на български можем да преведем като олекотен протокол за достъп до справочници. Това е протокол за достъп до онлайн справочни услуги. Сайтът about.com предлага следната дефиниция за LDAP: „LDAP е стандартна технология за мрежови директории. Мрежовите директории са специализирани бази от данни, които съхраняват информация за устройства, приложения, хора и други компоненти на дадена компютърна мрежа. LDAP е едновременно мрежов протокол и стандартна архитектура за организиране на данните в директорията. LDAP е създаден през 1995 г. като академичен проект, след което е комерсиализиран от Netscape. Като протокол, LDAP представлява опростена версия на Data Access Protocol (DAP), използван след стандарта X.500. Главното преимущество на LDAP пред неговите предшественици е способността да работи над TCP/IP (виж фиг. 3.1.). Като архитектура, LDAP е изграден като класифицирана дървовидна структура, подобна на X.500.“1

1

Източник: http://compnetworking.about.com/library/glossary/bldef-ldap.htm

40


Фиг. 3.1. IETF1 проектира и дефинира LDAP като по-добър начин за използване на X.500 директориите, тъй като намира първоначалния DAP (Directory Access Protocol — протокол за достъп до директории) твърде сложен, за да може да бъде използван от прости интернет клиенти. LDAP дефинира сравнително прост протокол за обновяване и претърсване на директории, който използва TCP/IP. Всяка директория, достъпна чрез LDAP протокола, която може да идентифицира обектите в директорията чрез идентификатори, може да бъде обозначена като LDAP директория. MSDN.Microsoft.com

обяснява

предназначението

на

LDAP

директорията2 по следния начин: “Директорията може да се сравни с база от данни, като разликата се състои в това, че данните в директорията са базирани на атрибути. Поради тази причина данните се извличат по-често, отколкото се записват. Също така директорията съдържа данни, които са кратки и строго свързани със съответния запис. За сравнение, базата данни съдържа голямо количество от данни, които могат да са свързани пряко или не с конкретния запис. Поради тази причина директорията не изпълнява транзакции или операцията roll-back, които се изискват от обикновените БД. Ако са разрешени, обновяванията на Internet Engineering Task Force - отворена организация по Интернет стандартизация, без официално членство или изисквания за членство. 2 Източник на информацията: http://msdn.microsoft.com/enus/library/windows/desktop/aa367023(v=vs.85).aspx 1

41


директории се извършват на принципа „всичко или нищо. Директориите са настроени да отговарят бързо на операции по претърсване на директорията – lookup и search. Lookup е операция, която се използва за специфичен, уникален запис, като domain name, например. Search е операция, която се използва за множество записи, като колекция от данни, формирана от интернет търсачка по определена тема. Директориите могат да копират точно (репликират) данните с цел увеличаване на надеждността, което пък намалява времето за отговор. Когато данните

в

директорията

са

репликирани,

е

допустимо

временно

несъответствие между копията, докато те не се обновят в зависимост от ролята н конкретната директория. Има много методи, които се използват за осигуряване на директорийна услуга. Например, различни типове от данни се съхраняват в директория, като могат да се извършват обновявания, заявки, защита и др. операции с данните. Някои директорийни услуги са локални, използвани в специфичен контекст. Други услуги са глобални, които се използват в много разширен контекст и са споделени между много компютри. LDAP директорията е колекция от записи, които се състоят от един или повече атрибути. Всеки атрибут може да има една или повече стойности и тип, дефиниращ вида на информацията на дадената стойност, която съхраняват. Типът на атрибутите е описан в документа RFC 4510 на IETF.“ Като протокол, LDAP не дефинира начина, по който работят програмите от страна на клиента или сървъра. Той дефинира „езика“, който се използва от клиентските програми, за да „говорят“ със сървъра (и сървъри на сървъри, включително). От гл. т. на клиента, той може да е email програма, браузър, адресна книга и др. Образно казано, сървърът може да говори на езика на LDAP или да използва други методи за изпращане и получаване на данни, като в този случай LDAP се явява помощен метод. LDAP дефинира още: Ограничения, настройвани от администратор, който позволява само на определени хора да осъществяват достъп до LDAP 42


БД,

като

така

се

запазва

до

известна

степен

поверителност

на

данните. Схема: начин за описание на формата и атрибутите на данните на сървъра. LDAP сървърите са на три нива: големи публични сървъри, големи организационни сървъри в университети и корпорации и малки LDAP сървъри за работни групи. Директорийната услуга LDAP се базира на модела клиент-сървър. Един или повече

LDAP сървъри съдържат данни, изграждащи директорийното

дърво. LDAP клиентът се свързва към LDAP сървър и извършва заявки за извличане на информация или за изпълняване на операции. Сървърът изпълнява операциите или осигурява информацията, или препраща клиента към друг LDAP сървър, който може да осигури информацията. Независимо от LDAP сървъра, на който клиентът се свързва, клиентът вижда същия изглед към директорията; името, представено на един LDAP сървър препраща към името на същия запис на друг LDAP сървър. Това е важна характеристика за глобалната директорийна услуга. Важно е да се запомни, че LDAP е изграден така, че да позволява бърз и ефективен достъп до директория. „Структурата на директорията е йерархична – дърво. Записите в LDAP директориите са подредени йерархично. Структурата се нарича DIT (Directory Information Tree, Информационно дърво на директорията) и отразява политически, географски или организационни граници. Типичните LDAP реализации обаче използват DNS имена за структуриране на горните нива на йерархията, т.е. стъпват на вече изградена структура за уникално идентифициране в световен мащаб.“1 Глобалните записи, като страни/региони, се намират на най-високото ниво, следвани от области или национални организации. След това са организационни единици, хора, устройства или единици според съдържанието на директорията. „Един запис в LDAP директорията се състои от именуван набор от атрибути. Записът има уникален идентификатор — DN (distinguished name — 1

Източник: http://bg.wikipedia.org/wiki/LDAP

43


отличително име), който се образува от стойността на един от атрибутите и пълният път в дървото. Например: dn: cn=Иван Иванов, ou=People, dc=example, dc=com. Споменатата структура е отразена на фигура 3.2. Всеки от атрибутите в записа има тип и една или повече стойности. Типовете обикновено са мнемонични символни низове като „cn“ за common name (обикновено име) или „mail“ за електронен адрес. Стойностите зависят от типа и повечето недвоични стойности в LDAPv3 са UTF-8 символни низове. Например един атрибут за електронен адрес би могъл да съдържа стойността „user@example.com“. Един jpegPhoto атрибут би могъл да съдържа снимка в двоичен JPEG/JFIF формат.“1

Фиг. 3.2. LDAP структура Как работи LDAP? Клиент се свързва към сървър --> Извършват се операции и се връщат резултати --> Връзката със сървъра прекъсва Операциите могат да включват: 1. осъществяване на връзка със сървър 2. претърсване за запис 3. сравнение на записи 1

Източник: http://bg.wikipedia.org/wiki/LDAP

44


4. добавяне на запис 5. промяна на съществуващи записи 6. премахване на съществуващи записи Например, за да се промени запис в директория, LDAP клиент изпраща уникалният идентификатор на записа с обновената информация към LDAP сървъра. LDAP сървърът използва уникалното име (идентификатор), за да открие записа и да изпълни операцията по обновяване на записа в директорията. За да изпълни коя да е от изброените LDAP операции, клиентът трябва да установи връзка със сървъра. LDAP протоколът специфицира номера на TCP/IP порта. Също така дефинира прост метод на автентикация. На LDAP сървърите могат да се настройват права за достъп до директорията. Преди клиентът да успее да изпълни каква да е операция на сървъра, той трябва да се идентифицира чрез уникалното си име и парола за достъп. Ако потребителят няма права за изпълнение на операция, сървърът няма да изпълни операцията. Подробности около операциите, които могат да извършват LDAP клиентите, могат да се прочетат на адрес: http://en.wikipedia.org/wiki/Lightweight_Directory_Access_Protocol#Opera tions На фигура 3.3. е показан общ изглед на директория. Източник на изображението е блогът Malaysia Hypervisor, на който е публикувана и статия за конфигуриране на OpenLDAP сървър. Статията се намира на адрес http://www.no-x.org/?p=371.

45


Фиг. 3.3. Изглед на административния панел на LDAP сървър LDAP сигурност Целта на директориите е споделяне н информация между приложенията, но това е необходимо да се осъществи по сигурен начин, за да се избегне неоторизиран достъп. Сигурността на директорията се осъществява едновременно чрез автентикация и контрол на достъпа. Автентикацията е процесът на идентифициране на конкретен потребител до сървъра, а контролът на достъп представлява процесът на определяне на достъп на идентифицирания потребител до конкретен запис от директорията, което се осъществява на база на неговата самоличност. Автентикация Потребителят установява връзка със сървъра (bind operation). Част от информацията, която е необходима за изпълнение на тази операция, е 46


установяване самоличността на потребителя и въвеждане на парола за идентификация. Съществуват следните основни методи за връзка със сървъра: анонимен, нормален (опростен) и сигурен. При анонимния режим на свързване разрешението за достъп до директорията не изисква идентификация на потребителя. Въпреки че е нормално да се осигури достъп за четене до някои вписвания и атрибути за анонимни потребители, повечето данни са защитени срещу достъп от неизвестни потребители. Нормалният режим на свързване се извършва, когато потребителят предостави своето уникално име за директорията и съответстващата му парола. За съответния потребител се пази запис в директорията, който трябва да има атрибут USERPASSWORD, съхраняващ паролата. При опит за свързване с конкретно потребителско име се проверява въведената от потребителя парола дали съвпада с тази, която се пази в директорията чрез атрибут USERPASSWORD. В случай, че свързването със сървъра е успешно, то конкретният потребител установява достъп до разрешените му записи за определен период от време. Този тип автентикация се използва от повечето среди, но паролата се изпраща по мрежата в чист вид. Някои сървъри изискват сигурен начин на автентикация, базиран на цифров сертификат. Първата стъпка изисква въвеждане на потребителско име и парола. След като въведената парола съвпадне със съхраняваната в директорията, се отваря базата данни със сертификатите. Ако потребителят въведе правилна парола, клиентското приложение получава информация от базата данни със сертификатите. Клиентското приложение и директорията използват тази информация, за да установят дали въведената от потребителя информация и тази в базата данни съвпадат. Резултатът може да е разрешаване или забраняване на достъп съобразно използваното уникално име.

47


Контрол на достъп Съществуват различни начини за контрол на достъпа до директорийния сървър. OpenLDAP 1 сървъра съхранява списък за контрол на достъпа под формата на конфигурационен файл и използва регулярни изрази за сравнение на списъка (какво е защитено) и субектите (на кого е предоставен достъп). Сървърите iPlanet 2 (преди Netscape) и IBM 3 съхраняват информация за контрола на достъп в директорийното дърво като атрибут на запис. Независимо от начина на съхранение на тази информация, основните идеи са подобни. Списъците могат да оказват контрол върху цялото дърво или части от него, чак до ниво „атрибути“. Специален достъп може да бъде предоставен на потребителите, за чиито уникални имена има въведени записи в дървото или съответно в конфигурационния файл. Ако те удостоверят самоличността си, ще имат възможност да работят с директорията. За останалите, които се опитват да получат достъп, но не са регистрирани като потребители на директорията или не удостоверят самоличността си, няма да получат достъп до информацията в нея. Например, iPlanet сървърите имат зададено ниво на достъп за неизвестни потребители. Ако няма дефинирани списъци, оказващи контрола на достъп, то на нито един потребител не може да осъществи достъп до директорията, освен нейния мениджър. Допълнителна информация относно механизмите на сигурност и методите

на

автентикация

може

да

се

намери

на

адрес:

http://tools.ietf.org/html/rfc4513.

1

OpenLDAP Software: http://www.openldap.org/ iPlanet Directory Server: http://docs.oracle.com/cd/E19627-01/816-2670/816-2670.pdf 3 IBM Directory Server for IBM i (LDAP): http://www-03.ibm.com/systems/i/software/ldap/ 2

48


3.2. Атрибути на LDAP Всеки атрибут има име и съдържа някакви данни. Атрибутите са част от един

или

повече

обекти

класове

(ObjectClasses

1

). Атрибутите

се

характеризират със следното: 1. Всички атрибути са членове на един или повече обекти класове2. 2. Всеки атрибут определя типа на данните, които може да съхранява. 3. Атрибутите могат да са незадължителни (опционални, което се задава с ключовата дума MAY) или задължителни (използва се ключовата дума MUST). Даден атрибут може да е незадължителен в един пакет, докато в друг може да е задължителен. Това се дефинира от самия пакет. 4. Атрибутите могат да имат една (single value) или множество стойности (multi values). В първия случай само една стойност може да се асоциира с конкретен атрибут. Във втория случай с даден атрибут могат да се асоциират една или повече стойности. Например, даден потребител може да има един или повече email адреса. Поради тази причина, по подразбиране атрибутът, който съхранява този тип данни, е от тип multi (позволява въвеждане на множество стойности). 5. Атрибутите имат имена и понякога псевдоними или абревиатури. Например, атрибутът commonName е част от пакет person (и не само), а съкратеното му име е cn. Когато се употребява този атрибут, може да се използва commonName или cn. 6. На всяко ниво в йерархията данните, които се съхраняват в даден атрибут, могат да се използват като уникални идентификатори на записите. Това може да стане с всеки атрибут, дори чрез комбинация между два и повече атрибути. Например, в директорията се съдържат имена, телефонни номера, адреси и други данни за потребители. За да се идентифицира уникално отделен запис, може да се избере името на потребителя (атрибут Това са пакети от атрибути, които дефинират дали даден атрибут е задължителен за използване или не. Тези пакети могат да са част от йерархия, при която един пакет може да наследява характеристиките на друг. Може да се направи аналогия с наследяването при обектно-ориентираното програмиране. 2 Понятието ще заместваме с термина пакет. 1

49


commonName). Възможно е името да не е уникално (например, има три записа с името „Иван Иванов“). При извличане на данни от директорията посредством името на потребителите, като резултат ще се изведат трите записа, отговарящи на името „Иван Иванов“. При извършване на претърсване и четене на записите от директорията, това може да е приемлив вариант. Нещата обаче са различни при извършване на операции по запис или промяна. Ако искаме да променим конкретен запис, който извличаме чрез атрибут commonName, като на дадено име отговарят повече от един записа, то трябва да се потърси друг уникален атрибут или комбинация от атрибути, които да извличат само и единствено търсената информация. Изборът зависи от данните в директорията. Атрибутът, който съхранява уникалните данни, се нарича още наименуващ атрибут/и (naming attribute(s)) или Относително отличително име (Relative Distinguished Name (RDN)). Таблица 3.1. Списък на някои LDAP атрибути Име c

Псевдоним countryName

objectClass country

cn

commonName

dc

domainComponent

person organizationalPerson organizationalRole groupOfNames applicationProcess applicationEntity posixAccount device dcObject

-

facsimileTelephoneNu mber

co

friendlyCountryName

residentialPerson organizationalRole organizationalPerson friendlyCountry

Забележки Кода на държавата, дефиниран по ISO 3166

Всяка част от името на домейна, като например, domain.com, domain или com

Пълно наименование на страна 50


Име gn

Псевдоним givenName

objectClass inetOrgPerson

homePh one -

homeTelephoneNumbe r jpegPhoto

inetOrgPerson

l

localityName

mail

rfc822Mailbox

locality organizationalPerson inetOrgPerson

mobile

mobileTelephoneNumb er

inetOrgPerson

o ou

organizationName organisationalUnitNam e

organization organizationUnit

inetOrgPerson

Забележки Първо или асоциирано име Снимка във формат jpg email адрес, например, my@example.com Телефонен номер – мобилен / клетъчен телефон Име на организация Обикновено, отдел или коя да е подединица на поголяма единица

На следните адреси може да бъде намерена допълнителна информация относно

LDAP

атрибутите:

http://tools.ietf.org/html/rfc4519#section-2

и

http://www.oav.net/mirrors/LDAP-ObjectClasses.html. В следния документ е публикувана подробна информация относно синтаксисът на атрибутите: http://www.ietf.org/rfc/rfc2252.txt. Предоставяме списък с клиент-сървър софтуер: • List of LDAP software: http://en.wikipedia.org/wiki/List_of_LDAP_software • LDAP Administration Tool: http://sourceforge.net/projects/ldap-at/ • LDAP Explorer Tool: http://sourceforge.net/projects/ldaptool/ • LDAP Admin: http://sourceforge.net/projects/ldapadmin/ • OpenLDAP for Windows: http://userbooster.de/en/download/openldap-for-windows.aspx • LDAP ADMINISTRATOR: http://www.ldapadministrator.com/ • OpenLDAP Software: http://www.openldap.org/software/

51


Практически блок В сайта boosten.org е предложен урок в три части за създаване на LDAP директория. Адресите на уроците са следните: Част 1: http://www.boosten.org/2008/creating-my-own-ldap-directory-part-1/ Част 2: http://www.boosten.org/2008/creating-my-own-ldap-directory-part-2/ Част 3: http://www.boosten.org/2009/creating-my-own-ldap-directory-part-3/ На адрес http://technet.microsoft.com/en-us/library/cc197506(v=office.12).aspx може да се прочете и тества урок за създаване на LDAP хранилище с Active Directory Application Mode1. Литература 1. Terpstra, J., “Openldap by Example: Practical Exercises in LDAP Directory Deployment”, Prentice Hall PTR Интернет източници 1. Lightweight Directory Access Protocol (LDAP): Schema for User Applications: http://tools.ietf.org/html/rfc4519 2. LDAP базирано управление на пощенските концентратори на мрежата на СУ "Св. Климент Охридски": http://vesselin.org/papers/xhtml/mailhubs-sunet-ldap.html 3. The Lightweight Directory Access Protocol: X.500 Lite: http://www.openldap.org/pub/umich/ldap.pdf

4. Best Practices in LDAP Security: http://people.apache.org/~elecharny/ldapcon/Andrew%20Findlaypaper.pdf 5. Best Practices in LDAP Security: http://ldapcon.org/downloads/findlayslides.pdf 6. Public LDAP Server: http://www.emailman.com/ldap/search/ldapsearch.pl 7. ClickMail Central Directory: http://www.gracion.com/server/OpenDoor.html Дата на създаване на тематичната единица: 18.05.2013г. Дата на последна актуализация на съдържанието на тематичната единица: 16.06.2013г. Автор на тематичната единица: ас. Радка Начева

1

Active Directory Application Mode (ADAM): http://www.microsoft.com/enus/download/details.aspx?id=4201

52


ТЕСТ 3 LIGHTWEIGHT DIRECTORY ACCESS PROTOCOL (LDAP) Въпрос 1: От кое от следните произлиза съкращението LDAP? a. Lightweight Device Accessible Protocol b. Light Directory Access Protocol c. Lightweight Directory Access Protocol Въпрос 2: LDAP е: a. вид протокол за достъп до електронна поща b. едновременно мрежов протокол и стандартна архитектура c. вид мрежов протокол Въпрос 3: LDAP работи над: a. SSL b. IMAP c. TCP/IP Въпрос 4: Какво е bind operation? a. Свързване на клиент с LDAP сървър b. Свързване на сървър с LDAP клиент c. Извличане на конкретен запис от директорията Въпрос 5: Какво е ObjectClass? a. Пакет от атрибути b. Свързани помежду си директории c. Клас в обектноориентираното програмиране Въпрос 6: По какъв начин се идентифицират уникално записите в директориите? a. Чрез ID b. Чрез отличително име – DN c. Чрез 6-цифрен номер, генериран случайно Въпрос 7: От къде произлиза съкращението DN? a. distinguished name b. domain name c. directory name Въпрос 8: По какъв начин е организирана структурата на директорията? a. йерархично b. последователно c. като паяжина Въпрос 9: Как се нарича структурата на директорията? a. DIT - Directory Information Tree b. DIT - Directory Information Technology c. DIT - Device Information Tree Въпрос 10: По какъв начин е решен проблема със сигурността на директориите? a. Чрез автентикация b. Чрез използване на електронен подпис в комбинация с уникално потребителско име c. Чрез автентикация и контрол на достъпа до записите в директорията

53


Въпрос 11: Кое от следните може да се използва като сървърен директориен софтуер? a. GMail b. OpenLDAP c. SSL Въпрос 12: Атрибутите могат да са част от: a. само един пакет b. от не повече от два пакета c. от един или повече пакета Въпрос 13: Кое от следните е вярно? a. Един атрибут може да е задължителен в един пакет, докато в друг може да е опционален. b. Един атрибут е задължителен за въвеждане във всички пакети, в които е дефиниран. c. Няма незадължителни атрибути. Въпрос 14: С коя ключова дума се задават задължителните атрибути? a. MUST b. MUSTBE c. MANDATORY Въпрос 15: Кое от следните е вярно? a. Клиент е в непрекъсната връзка със сървър --> Извършват се операции и се връщат резултати --> Връзката със сървъра никога не може да прекъсне b. Клиент се свързва към сървър --> Извършват се операции и се връщат резултати --> Връзката със сървъра прекъсва c. Клиент се свързва към сървър --> Извършват се операции

54


ТЕМА 4 ЗАЩИТА НА УЕБ ПРИЛОЖЕНИЯТА Съдържание на темата: 4.1. Организация на защитата на ниво уеб сървъри 4.2. Организация на защитата на ниво бази от данни

Днес уеб технологиите позволяват да се създават не само интерактивни и функционални сайтове, но и напълно функционални уеб приложения, с интерфейс, функционалност и бързодействие, които не само не отстъпват на класическите настолни приложения, но и в много отношения ги надминават. Накратко можем да дефинираме термина уеб приложение по следния начин: - Уеб приложение е софтуер, който работи в браузъра. Традиционните приложения се инсталират или се стартират от диск или друга медиа. Те разчитат на дадена среда, която в общия случай се осигурява от операционната система, а в други случаи е допълнително инсталирана на съответния компютър (напр. Java, .NET и др.). Стартирайки едно традиционно, т.нар. настолно приложение, то зарежда интерфейс, посредством използвате съответното приложение. В общия случай уеб приложенията се намират на сървър, свързан с Интернет и са достъпни от всяко устройство, свързано с Интернет. Ограничаването и регулирането на достъпа, разбира се е въпрос на избор на администратора на приложението и е не само възможно, но и наложително. Ако дадено уеб приложение е уязвимо и съответно има пробиви в сигурността, тогава то става лесна мишена за хакери, които могат да получат пълен конрол над: • базата от данни на дадения сайт; • файловете/страниците на даденият сайт и др. Значимата информация, която може да се намери и съответно да се използва в един хакнат уебсайт, е: 55


- потребителски имена и пароли, които могат да се използват и за достъп до други уеб приложения. Например за неоторизиран достъп до email адреса ако паролата съвпада e-mail адреси могат да се използват за spam (бълг. превод "спам" - разпращане на рекламни съобщения) и всякаква друга полезна информация за злонамереният потребител. Освен това инцидентите при пробиви на сигурността не изключват и други действия на хакери, като: • промяна на началната страница (website defacement); • унищожаване на всичките файлове; • унищожаване на цялата база от данни. Едни от най–разпространените и утвърдени практики, използвани за анализ на уеб приложенията, са следните: Принцип на „черната кутия"

(black-box).

Оценяване на

защитеността на приложението без предварително получаване на каквато и да е информация за него. Това е полезно, когато е необходимо да се оцени защитеността от позицията на хакера, обикновено разполагащ с минимални знания за изследваната система. Най-често подобни оценки се правят в рамките на „тестове за проникване" (penetration testing). Всички изследвания могат да се провеждат както с предупреждаване на обслужващия персонал за планираните операции, така и без него. Във втория случай съществува възможност да се прецени, колко време след началото на изследването персоналът ще засече инцидента, както и до колко адекватни ще бъдат неговите

действия

за

минимизиране

на

неговото

въздействие

или

предотвратяване. Принцип на „сивата кутия" (gray-box). Провеждане на изследване с предоставяне на цялата необходима информация за приложението, освен осигуряване на непосредствен достъп до самия сървър, на който то функционира. Обикновено на изпълнителя се предоставят следните данни: структура на приложението, данни за авторизиран достъп (например, име на

56


потребител, парола и еднократните пароли за извършване на транзакции), изходния код на някои файлове или функции и т.н. Принцип на „бялата кутия" (white-box). Този принцип подразбира предаване на цялото приложение и неговото инсталиране при консултанта, провеждащ анализ, или организиране на аналогично копие на приложението в собствената информационна система с предоставяне на пълен достъп от страна на анализатора до този ресурс. В такъв случай може да се проследи как приложението реагира на всяка подавана към него заявка. Това е найпродуктивният метод за анализ на защитеността на уеб приложенията, който позволява да се открият най-много уязвимости. Трябва да отбележим обаче, че този метод е лишен от възможността на приложението да се погледне от позицията на атакуващия..

4.1. Организация на защитата на ниво Web-Сървъри Основни принципи на защита на ниво Web сървър. Принцип на минимално допустимите привилегии: Според този принцип на всеки потребител се предоставят минимални, но напълно достатъчни привилегии за да изпълнява ежедневните си задължения. Принцип на използването на защитени протоколи - SSL/TLS. Протоколите SSL (Secure Sockets Layer) и TLS (Transport Layer Security) са тези, които осигуряват автентификацията на сървъра и на клиента. Те, от своя страна осъществяват и криптирането на сесията в процеса на предаване и получаване на данни. Принцип на конфигурирането на Web сървъра в съответстие с найдобрите практики: 

Инсталирайте софтуер за Web сървър на обособен компютър.

Осигурете необходимите Web услуги; изключете тези, които не са

необходими.

57


Своевременно

инсталирайте

всички

добавки

(patches)

или

настройки

при

актуализации, свързани с откриване на злонамерен код. 

Осигурете

защита

на

Web

сървъра

чрез

конфигурирането му, забраняващи достъп до файлове, които не са публични. За формиране на допълнителни съображение, следвайте насоките, подобни на тези в FERPA1. Принцип на ежедневното водене на дневници (log files) за провеждане на бъдещи разследвания и възстановяване след атаки: 

За всеки виртуален Web сайт, изграждайте различни

файлове за

регистрация на събитията (log file) до физическия Web сървър. 

Уверете се, че са налични механизми за съхраняване на физически

носители на log-файлове. 

Уветете се, че log-файлове действително съхраняват случаите на

уязвимости като опити за проникване в системата, смяна на привилегии и профили и други потенциално рискови действия. Защита на Web сървър чрез htaccess-прорамен код. Ето и някои указания как можете да реализирате някои необходими защити като използвате htaccess-прорамен код: Превантивна защита на някои често срещани хак-техники. Осигурява се чрез следния код: RewriteEngine On # proc/self/environ? no way! RewriteCond %{QUERY_STRING} proc/self/environ [OR] # Block out any script trying to set a mosConfig value through the URL RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR] # Block out any script trying to base64_encode crap to send via URL RewriteCond %{QUERY_STRING} base64_encode.*(.*) [OR] # Block out any script that includes a <script> tag in URL RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR] 1

Тhe Family Educational Rights and Privacy Act of 1974

58


# Block out any script trying to set a PHP GLOBALS variable via URL RewriteCond %{QUERY_STRING} GLOBALS(=|[|\%[0-9A-Z]{0,2}) [OR] # Block out any script trying to modify a _REQUEST variable via URL RewriteCond %{QUERY_STRING} _REQUEST(=|[|\%[0-9A-Z]{0,2}) # Send all blocked request to homepage with 403 Forbidden error! RewriteRule ^(.*)$ index.php [F,L] Превантивна защита срещу достъп до директориите на сървъра: # disable directory browsing Options All -Indexes # enable directory browsing Options All +Indexes Превантивна защита срещу достъп на даден потребител по името на домейна му: # block visitors referred from indicated domains <IfModule mod_rewrite.c> RewriteEngine on RewriteCond %{HTTP_REFERER} scumbag.com [NC,OR] RewriteCond %{HTTP_REFERER} wormhole.com [NC,OR] RewriteRule .* - [F] </ifModule> Подобни примери можете да намерите на сайта http://bit.ly/8Z0nmQ . Създаване на Proxy Съществуват много варианти за достъп до забранени или ограничени по някакъв начин сайтове 1 . Един от тези методи е създаването на Proxy. Прокситата са с различни типове скриптове, на които ще обърнем внимание сега: 1

Обзорът на методите е извършен по http://bit.ly/1b3liDS

59


- PHProxy, както подсказва името, е скрипт, написан на PHP, и е един от най-популярните в момента. Ще трябва да разполагате със собствен уебсървър или да си вземете хостинг акаунт. Налични са много уебхостове - и платени, и безплатни, като на вас ще ви трябва такъв, който позволява PHP (например awardspace.com). Свалете си скрипта от следния адрес: http://sourceforge.net/projects/poxy и качете файловете на вашия сървър или уебхост. Това е всичко, което ви трябва, но можете да променяте външния вид на проксито, използвайки CSS за персонализиране на шаблон. - CGI Proxy е друг вариант. Ако имате собствен сървър, инсталирайте cgi/perl на него. Ако имате уебхост онлайн, намерете един, който да поддържа CGI скриптове. Един от добрите е http://tripod.com. Сега единственото, което трябва да направите, е да качите nph-proxy файла в правилната директория, но е възможно да не проработи поради различни причини. Можете да тествате и автоматичния инсталатор (потърсете го в Google), който ще ви поиска ftp акаунт. Някои, но не всички безплатни, уебхостинги го предлагат. И това е. Освен ако не притежавате вуду познания, вероятно няма да успеете, което е напълно нормално - ако не знаете Perl, този скрипт е невъзможен. - Glype е много добър скрипт, който можете да изтеглите от http://glype.com. Самият скрипт изисква PHP и Curl достъп, а като уебхост можете да се насочите към http://000webhost.com. Разбира се, по-добрият вариант е да имате собствен сървър. Отворете папката и zip-нете ъплоудващата папка. Качете тази папката и се обърнете към нея. Стартирайте програмата. Забележки: Поради голямото количество ресурси, които заемат, безплатните уебхостинги ще прекратят обслужването ви в рамките на седмица. Има много добри прокси хостинги, които можете да потърсите в Google. Горните са само примерни, но ето ви и още няколко: Netonomous.net (PHP базиран), UnlockMyspace.com (уеб базиран), AceVPN.com (openvpn базиран).

60


Блокиране на Proxy сървъри без допълнителен софтуер Ще представим една от технологиите за защита от проксита, при това без инсталиране на допълнителен софтуер. За целта ще ползваме HTTP протоколи, вмъквайки скрипт във файла .htsaccess на уебсайта. След като въведете кода, посочен по-долу, качето го на сървъра си. Методът е ефективен и работи: RewriteEngine on RewriteCond %{HTTP:VIA} !^$ [OR] RewriteCond %{HTTP:FORWARDED} !^$ [OR] RewriteCond %{HTTP:USERAGENT_VIA} !^$ [OR] RewriteCond %{HTTP:X_FORWARDED_FOR} !^$ [OR] RewriteCond %{HTTP:PROXY_CONNECTION} !^$ [OR] RewriteCond %{HTTP:XPROXY_CONNECTION} !^$ [OR] RewriteCond %{HTTP:HTTP_PC_REMOTE_ADDR} !^$ [OR] RewriteCond %{HTTP:HTTP_CLIENT_IP} !^$ RewriteRule ^(.*)$ - [F] Връщане на резултати от търсачки, които насочват към сайтове с потенциални заплaхи "Отравянето" на търсачките е практика, основана на изграждането на страници или цели сайтове, които да генерират висок рейтинг (в самите търсачки) спрямо гореща тема. Например сред игрите сайтът на World of Warcraft може да ви излезе на първо ясто в резултатите, но реално да води към различно, заразно място. Друг пример - според проучване на антивирусната компания McAfee 19% от върнатите резултати при търсенето на "Cameron Diaz" водят към опасности. Хитовите нови теми, свързани с Facebook и Twitter, също трябва да се имат предвид. За да се предпазите, преглеждайте URLадресите и ако ви се струват съмнителни или непознати, изобщо не ги посещавайте. Когато търсите информация, доверявайте се предимно на популярните сайтове. Всеки сайт може да бъде хакнат, но известните сайтове

61


или по-точно – информационните портали са за предпочитане пред нов, криещ опасности, сайт.. 4.2. Организация на защитата на ниво бази от данни Според доклад на НР 1 за най-големите опасности пред защитата на информация

за

2010г.

непрекъснато

се

увеличава

броят

на

киберпрестъпленията, насочени към центровете и мрежи за бази данни. Целта на проучването е да помогне на компаниите да въведат дорби практики в ИТ сигурността. В доклада се посочва, че една част от атаките са насочени срещу известни уязвимости, за които производителите са предприели вече мерки, а друга се цели в напълно нови слаби точки. Сред препоръките, които HP дават за намаляване на възможностите за киберпрестъпление, е подобряване на проверката за защитата на информационната среда и обновяване на използваните за тази цел технологични инструменти. За изготвянето на доклада HP анализира данни от хиляди системи на HP TippingPoint Intrusion Prevention Systems (IPS). Сведенията се отнасят до информация, получена от атаки, отразени от филтри на TippingPoint IPS чрез услугата „Дигитална ваксина”. Използвани са данни и от други източници на HP. Масовото внедряване на Web приложения, появата на нови услуги, лавинообразното разширяване на ИТ инфраструктурата на организациите доведе

до

невъзможност

да

се

контролират

с

обичайни

средства

информационните потоци и това, което потребителите правят с данните и бизнес

приложенията.

В

отговор

на

тези

тенденции

се

появяват

специализирани решения за защита на сложни, териториално разпределени системи. Базите данни – главна цел на злосторниците. Нивата, през които може да се проникне в информационната система са няколко - поне 5 на брой. Използват се "дупки" в корпоративната мрежа, в 1

Източник: Cio.bg., Октомври 201о г.

62


сървърната операционна система, в сървъра за управление на бази данни, в сървъра за приложения и накрая в клиентския модул. На всяко от тези нива съществуват уязвимости и на всяко от тях може да се получи значителна степен на контрол върху съхраняваната в системата информация. През последните години много крупни организации пострадаха от кражба на информация. Последствията за тях бяха свързани и с финансови загуби, и с накърняване на репутацията им. Редица инциденти бяха свързани с изтичане

на

данни,

съдържащи

лична

информация

за

клиенти

на

компанията. Всичко това, налага преразглеждане на изискванията към защитата на информацията, в самите организации, а също така завишени изисквания по този въпрос, от страна на регулационните органи. Повечето стандарти, регулиращи защитата на критичните данни - PCI DSS, HIPAA, SOX и др. изискват осигуряване на средства за непрекъснат контрол върху достъпа до данните, за идентифициране на уязвимостите в инфраструктурата и за защита на информацията при нейното предаване. Регулациите отделят значително внимане на контрола на привилегированите потребители, като основен източник на заплахи във връзка с изтичането на информация, а също така на контролирането на достъпа до бизнес приложения - както ERP, CRM и т.н. от водещи доставчици, така и собствени разработки Мониторинг на базите данни и приложенията. Всички основни производители на системи за управление на бази от данни са реализирали функционалност за мониторинг на активността в своите продукти. Но вградените инструменти за контрол си имат и предимства, и недостатъци. Средствата на системите за управление на бази от данни (СУБД) не могат да различат потребителя и злосторника. Използването на т.нар. “журнали” за потребителската активност увеличава натоварването на сървърите и съответно води до спад в производителността на приложенията и в качеството на предоставяните услуги. Често оптимизацията на производителността на приложенията се осъществява по метода “connection pooling”, при който потребителя на базата 63


данни за целия пул е един. Така производителността на приложенията се повишава, но пък нивото на информационна сигурност силно се понижава, тъй като няма как да се контролират действията на крайните потребители. Накратко, ако се фокусираме върху повишаване нивото на информационна сигурност, се налага да жертваме качеството на услугите и обратното. За да се избегне такава ситуация са необходими специализирани решения, които да поемат функциите по контрол на информационните потоци, без да влияят на производителността на информационните системи. Осъзнаването на проблемите, свързани с осигуряване защита на информацията в ядрото на нейното съхранение, както и на необходимостта от отстраняване на вътрешните заплахи, доведоха до появата на решения от типа DAM (Database Activity Monitoring), WAF (Web Application Firewall) и DLP (Data Leak Prevention). DAM системите са предназначени за контрол на активностите на сървърите за управление на бази данни, WAF решенията – за осигуряване на контрол на достъпа до до бази данни от страна на потребителите

на

бизнес

приложения

и

DLP

за

контрол

на

информационните потоци, излизащи извън периметъра на информационната среда на организацията. Защитни стени за уеб приложенията (WAF). Най-често решенията от този клас представляват хардуерно-софтуерни комплекси, прилагащи набор от правила и политики за сигурност към наблюдавания HTTP трафик, идващ от приложенията към базата данни и в обратното направление. Тези решения позволяват да се контролират такива известни типове атаки, като Cross-site Scripting (XSS) или SQL-инекции. С настройване на правилата спрямо бизнес приложенията, могат да се откриват и иблокират множество атаки. Обаче обемът на работа във връзка с тези настройки може да се окаже доста голям, а освен това при изменения в приложенията, трябва да се правят нови настройки. Влияние за появата на решенията от този клас определено оказа стандартът PCI DSS - Payment Card Industry Data Security Standard, http://bit.ly/12WuFjN , изискващ защита на

64


информацията за кредитни карти в публичните Web приложения, поне по един от следните 2 метода: - анализ на кода на Web приложенията: ръчно, със сканиране на изходния код или с оценка на уязвимостите; - установяване на точка на прилагане на политиката за сигурност. Решенията от клас WAF често наричат и Deep Packet Inspection Firewalls – т.е. защитни стени с дълбок анализ на пакетите, тъй като те анализират

всяка

заявка

и

всеки

резултат

от

заявка

на

нива

HTTP/HTTPS/SOAP/XML-RPC/Web-услуга. При това, самите данни в базата остават незащитени, тяхното използване не се следи – фактически се инспектира само частта от мрежовите заявки към базата данни, идваща от сървъра за приложения. Както и традиционните firewall за защита на периметъра, WAF са необходими, но не винаги са достатъчни.

Фиг.4.1. Пример за SQL injection attack (SQLIA) Мониторинг на активностите (DAM). Под DAM

се разбира Database Activity Monitoring или клас

технологични решения, предназначени за контрол на активностите на сървърите за управление на бази данни. Многослойната архитектура на корпоративните приложения постоянно се променя. Необходимо е потребителите на приложенията да се контролират 65


в съответствие с текущите им роли, като се отделя особено внимание на привилегированите потребители. Освен потребителите на приложения трбва да се контролират и потребителите на бази данни, като се осъществява мониторинг и на достъпа на ниво приложение, и на директния достъп на ниво СУБД.Осигуряването на прозрачност за всички активности е ключов момент с оглед на предотвратяването на нередности. Решенията от клас DAM помагат да се осъществява контрол върху всички сесии в работата на системата за управление на бази данни (въвеждане, изпълнение на SQL код, извеждане и др.), всички изключения (грешки, неуспешна оторизация и т.н.), блокиране на нежелани сесии, оповестяване на събития във връзка с информационната сигурност. Освен мониторинг на активностите, решенията от тип DAM позволяват да се управляват измененията на обекти на СУБД и нейното обкръжение, да се управляват уязвимости на базата данни. Предотвратяването на изтичане на данни се реализира чрез проверки на извличаната информация, откриване на аномалии във функционирането, автоматично откриване и класификация на критични данни. За да не се допускат неоторизирани действия се ползват политики за безопасност, даващи възможност да се ограничи достъпа до базите

данни

или

конкретни

таблици

на

основата

на

различни

параметри: акаунт на потребител, IP адрес, MAC адрес, мрежови протоколи, тип SQL команда,

бизнес приложения, време от денонощието и

т.н. Решенията от клас DAM контролират всички активности в базите данни, предоставяйки детайлизирана отчетност за евентуално разследване на събития, свързани с информационната сигурност. Те

автоматизират

процеса

на

одититиране

за

съответствие

с

регулаторните изисквания и предотвратяване на изтичането на информация. Отчетите могат да съдържат разнообразна информация - всевъзможни изключения (SQL грешки или неуспешни опити за авторизация), команди изменящи структурата на базата данни (create, drop, alter), заявки за избор на данни (select), команди управляващи акаунти, роли, права (grant, revoke) и т.н. Накратко, с прилагането

на решения от клас DAM се реализира 66


прозрачност на работата с базата данни, фиксират се действията на всички потребители – администратори, разработчици, одитори, потребители на приложения. При това, не се оказва влияние върху производителността на системите и се реализира един от основните постулати на ИТ сигурността – разделяне на пълномощията. Основен недостатък на DAM решенията обаче е, че използването на данните след извличането им от базата не се проследява. За изпълнението на тази задача са предназначени решенията от клас DLP (Data Leak Prevention). Един ефективен метод за защита на SQL бази от данни е описан от д-р Иван Куюмджиев. За подобряване на безопасността и защитата на системата е възможно създаване на огледални копия на базите данни1. За реализиране на стратегия за огледални копия е необходимо наличие на две инсталации на SQL Server,

като е силно препоръчително те да бъдат разположени на

различни физически сървъри. Единият от сървърите се използва за достъп до базите данни, а

другият получава всички завършени транзакции. При

евентуален срив в главния сървър, ролите могат да бъдат разменени и огледалният сървър да стане главен до отстраняване на повредата. Подобна технология позволява намаляване до минимум времето, в което системата е недостъпна (фиг. 4.2).

Фигура 4.2. Топология на репликацията на базата данни 1

Куюмджиев, Иван. ОДИТ НА ИНФОРМАЦИОННИ СИСТЕМИ. Дисертация. ИУ-Варна. 2012

67


Посочената схема

позволява изпращане на различни данни до

сървърите абонати, които да обслужват отделни фирми. Разпределянето на базата данни между различни сървъри намалява натоварването, а създаването на огледално копие на сървъра издател позволява автоматична реакция при евентуален срив. По този начин фирмите ще имат непрекъснат достъп до различни информационни ресурси.

Литература 1. Дражев Ст. и др. Социална мрежа за споделяне на знания и опит

между преподаватели и студенти от ИУ-Варна. РЪКОВОДСТВО ЗА РАБОТА., 2012 г. Изд на ИУ-Варна, 196 с. 2. Куюмджиев, Иван.

ОДИТ НА ИНФОРМАЦИОННИ СИСТЕМИ.

Дисертация. ИУ-Варна. 2012 Интернет източници 1. Библиотека

на

доц.

д-р

Стефан

Дражев

в

SlideShare

:

(http://www.slideshare.net/stedrazhev/). 2. Библиотека

на

доц.

д-р

Стефан

Дражев

в

Issuu:

http://www.issuu.com/stedranet 3. Microsoft patterns & practices Volume I, Building Secure ASP.NET Applications: Authentication, Authorization, and Secure Communication - http://msdn.microsoft.com/en-us/library/aa302383.aspx 4. Microsoft patterns & practices Volume II, Building Secure ASP.NET Applications: Design Guidelines for Secure Web Applications http://msdn.microsoft.com/en-us/library/ff648647.aspx Дата на създаване на тематичната единица: 10.05.2013г. Дата на последна актуализация на съдържанието на тематичната единица: 30.06.2013г. Автор на тематичната единица: доц. д-р Стефан Дражев 68


ТЕСТ 4 ЗАЩИТА НА ИНТЕРНЕТ ПРИЛОЖЕНИЯТА Въпрос 1: Уеб приложение е софтуер, който работи в? A. Сървъра. B. Интернет провайдера. C. Браузъра. Въпрос 2. Принципът на „черната кутия" при анализ на уеб приложенията означава? A. Оценяване на защитеността на приложението без предварително получаване на каквато и да е информация за него. B. Оценяване на защитеността на приложението без предварително получаване на каквато и да е информация за клиента. C. Оценяване на защитеността на приложението без предварително получаване на каквато и да е информация за сървъра. Въпрос 3. Принципът на минимално допустимите привилегии означава? A. На даден потребител се предоставят напълно достатъчни привилегии за да изпълнява ежедневните си задължения. B. На даден потребител се предоставят минимални, но напълно достатъчни привилегии за да изпълнява ежедневните си задължения. C. На даден потребител се предоставят максмални привилегии за да изпълнява ежедневните си задължения. Въпрос 4. За всеки виртуален уеб сайт се изгражда? A. По един log-файл. B. Толкова log-файла, колкото са необходими. C. Не се изгражда log-файл. Въпрос 5. Следният код в .htaccess-файла: # disable directory browsing Options All -Indexes осигурява? A. Разлистване на директориите на потребителския компютър. B. Разлистване на директориите на Интернет провайдера. C. Разлистване на директориите на сървъра. Въпрос 6. За създаване на прокси можете да използвате? A. PHProxy. B. CGI Proxy. C. И двата отговова са верни. Въпрос 7. Под „Intrusion Prevention Systems“ разбираме? A. Система за предотвратяване на проникванията в браузъра. B. Система за предотвратяване на проникванията в приложната програма. C. Система за предотвратяване на проникванията в сървъра. . Въпрос 8. Стандартите, регулиращи защитата на критичните данни, са следните? A. PCI DSS, HIPAA, SOX и др. B. PDI DCC, HIPAA, SOX и др. C. PDI DSS, HAAPI, SOX и др.

69


Въпрос 9. DLP означава? A. Data Load Prevention. B. Data Leak Prevention. C. Data Lead Prevention. Въпрос 10. Deep Packet Inspection Firewalls се използва за? A. Анализ на всяка заявка и на определенени резултати от заявки. B. Анализ на определени заявки и на всеки резултат от заявка. C. Анализ на всяка заявка и на всеки резултат от заявка. Въпрос 11. Под DAM се разбира? A. Контрол на достъпа до бази данни. B. Контрол на системите за управление на бази данни. C. Контрол на активностите на сървърите за управление на бази данни. Въпрос 12. Стандартът PCI DSS е предназначен за? A. Защита на информацията по PCI - устройства, B. Защита на информацията за номерата на кредитните карти, C. Защита на информацията за кредитни карти в публичните уеб приложения, . Въпрос 13. Протоколът Secure Sockets Layer осигурва? A. автентификацията на сървъра B. автентификацията на клиента.. C. автентификацията на сървъра и на клиента. . Въпрос 14. "Отравянето" на търсачките е метод, който позволява? A. насочване към сайтове с потенциални заплaхи. B. насочване към сайтове с нецензурно съдържание. C. насочване към сайтове с медицинска информация. Въпрос 15. Топология „Репликацията на базата данни“ осигурява? A. Защита при пожар на компютърната система. B. Защита при спиране на захранването. C. Защита при срив на една от „огледалните“ бази от данни.

70


ТЕМА 5 ОРГАНИЗАЦИЯ НА ЗАЩИТАТА НА ЕЛЕКТРОННАТА ПОЩА Съдържание на темата: 5.1. Технологии за защита от SPAM 5.2. Организация на защитата на ниво E-Mail-Сървери и Клиенти

Преди да разгледаме същността на темата, бихме искали да разясним какво всъщност означава понятието „спам“. Първото определение, което предлагаме, е следното: “Спам (spam) е използване на среда за електронни комуникации за масово изпращане на нежелани съобщения. Най-известната форма на спам е под формата на съобщения с рекламно съдържание по електронната поща. Спамът е използван и с други цели и използвайки други медии, като Usenet, търсачки, уеблогове, ICQ, IRC и SMS. Спамът разпространяван чрез услугите за моментни съобщения е поизвестен като spim.”1 Webopedia предлага следното определение2: „Спам най-често се определя като електронна нежелана поща или в дискусионни групи. Някои хора определят спам по-общо като каква да е непоискана електронна поща. Действително, спам е имейл реклама за някакъв продукт, изпратен до пощенски списък или дискусионна група. В допълнение, спам съобщенията заемат много мрежови трафик.“ Определението, което ние предлагаме, е следното: Спам е всяко непоискано търговско рекламно съобщение, което се разпространява чрез средствата за интернет комуникация, като електронна поща, дискусионни групи, блогове, чатове и др. Общите черти на подобни съобщения могат да се сведат до: комерсиално съдържание, голям списък от получатели и/или употреба на скрито копие, липсващи, подправени или невалидни хедъри, 1 2

Спам: http://bg.wikipedia.org/wiki/Спам Spam: http://www.webopedia.com/TERM/S/spam.html

71


голям брой съобщения, изпратени за кратък период от време от едно и също място. Превантивни мерки срещу спам могат да се предприемат, например, личен email и този на близък да не бъде предоставян на: 

сайтове и услуги, които искат регистрация;

електронни картички (за съжаление получателят, освен картичката, ще започне да получава и спам);

безплатни програми или програми с неизвестен автор;

промоции и игри — в или извън Интернет;

сайтове тип "Жълти страници", които публикуват адресите в удобна за автоматично извличане форма.

Непоисканата поща не може да бъде избегната напълно, но съществуват различни техники и политики, които се използват за филтрирането й. Тези техники разглеждаме в настоящата тема.

5.1.

Технологии за защита от SPAM

Спам филтърът е програма, която се използва за откриване на непоискана поща и предотвратява тези съобщения да стигнат до входящата пощенска кутия на потребителя. Подобно на други видове филтриращи програми, филтърът за спам търси някои сигурни критерии, на които да се основава решението, че съответното съобщение е спам. Например, найпростите версии могат да се настроят, така че да следят за специфични думи в темата на съобщенията и тези, които отговарят на критериите за спам, да се изключат от пощенската кутия на потребителя. Този метод не е особено ефективен, тъй като твърде често се пропускат напълно законни съобщения (те се наричат „неверни положителни резултати“) и не се отразява действителният спам. По-сложни програми, като например Бейсианските филтри или други евристични филтри, се опитват да идентифицират спам чрез шаблони за подозрителни думи или честота на употреба на думата. 72


Спам филтрите се стремят ефективно да разделят получаваните съобщения в правилни категории. Проблемът се състои в това, че няма ясен критерий при разграничаването на желаната от нежеланата поща. Филтрирането на спам е труден процес, тъй като: •

настройването на филтъра е деликатна задача поради факта, че желаните съобщения могат да бъдат разпознати като спам, ако не са зададени коректни критерии;

целта на изпращащите спам е съобщенията да не се филтрират. Ето защо те се стремят да заобикалят филтрите чрез различни находчиви техники, за които антиспам специалистите не са подготвени винаги или казано по друг начин: първите са една крачка пред вторите.

Тъй като темата е свързана с електронната поща, то ще разгледаме само технологиите за борба с този тип спам. Ще изброим най-често прилаганите: Черни списъци DNSBL (DNS-based Blackhole Lists или черни списъци, базирани на Системата за имена на домейни 1 ) е най-старата анти-спам технология. Обикновено черните списъци са обществено достъпни интернет сайтове, съдържащи списъци с известни адреси, от които се изпраща спам. Тази технология блокира мейл трафикът от IP сървъри, от които се изпраща спам и които фигурират в специални списъци. IP адресите, които се блокират, не се фалшифицират лесно, но е възможно предварително "превзет" компютър, наречен "зомби", да бъде накаран да изпраща писмата от собствения си адрес. Технологията има своите плюсове и минуси. 

Предимства: Черният списък гарантира 100% филтриране на мейл трафикът, идващ от заподозрените ресурси.

Недостатъци: Нивото на неверни положителни резултати е прекалено високо и поради тази причина технологията е препоръчително да се използва предпазливо.

1

http://bg.wikipedia.org/wiki/Domain_Name_System

73


На адрес https://ers.trendmicro.com/ се намира инструмент за проверка на репутацията на IP адреси. Засичане на нежелана поща (използване на някоя от системите за филтриране DCC1, Razor2, Pyzor3) Чрез тази технология се засичат напълно идентични или малко отличаващи се спам съобщения. Ефективният анализатор на подобни съобщения изисква огромно движение / поток в трафика, поради което технологията се предлага предимно от доставчици на пощенски услуги, които имат значителен обем трафик, подлежащ на анализ. 

Предимства: Ако технологията работи коректно, то тя действително установява нежеланите съобщения.

Недостатъци: На първо място, съдържанието на „огромния“ мейл трафик може да включва напълно легитимни съобщения. Например, един и същ сайт може да изпраща множество подобни съобщения, които обаче да не са спам. На второ място, тази технология може да бъде „измамена“ черз т. нар. „умни технологии“. Това е вид софтуер, който генерира различно съдържание (изображения и текст) за всяко съобщение.

Сканиране на заглавни части на съобщения Специални програми, написани от разпространителите на спам, могат да генерират спам съобщения и незабавно да ги разпространяват. Понякога грешките, допуснати в дизайна на заглавните части (headers / headings) означава, че спам съобщенията не винаги отговарят на изискванията на установените RFC стандарти за формат. Тези грешки правят възможно откриването на нележаната поща.

1

http://www.rhyolite.com/dcc/ http://razor.sourceforge.net/ 3 http://sourceforge.net/apps/trac/pyzor/wiki 2

74


Предимства: Процесът на откриване и филтриране на спам е прозрачен, регулиран от стандарти и сравнително надежден.

Недостатъци: Разпространителите на спам бързо научават начините за корекция на собствените си грешки, поради което технологията не е препоръчително да се използва самостоятелно. Чрез нея се разпознават около една трета от спам съобщенията.

Филтриране на съдържанието Това е друга доказана с времето технология. Съдържанието на съобщенията се сканира за наличие на специфични думи, текстови фрагменти, снимки и други отличителни белези. Първоначално, технологията анализира темата на съобщението, а след това неговият текст (дали е обикновен текст, HTML и т.н.). Понастоящем, спам филтрите сканират всички части на писмата, включително и графичните обекти. Филтриращата програма извършва проверки на съобщението, на което се присвоява определена оценка или текстова сигнатура, ако бъде разпознато като спам. След това филтриращата програма му добавя хедър, който показва, че съобщението е било обработено и каква е оценката му. Накрая писмото продължава пътя към своя получател в мейл системата на организацията. За филтриране на българския законен спам особено ефективно е филтрирането на писма, които съдържат в рамките на един абзац фразата "търговско съобщение" и думите "поискано" или "непоискано". 

Предимства: гъвкавост и възможност за фина настройка. Системи, използващи тази технология, може лесно да се адаптират към новите видове спам и рядко правят грешки при разграничаване на спама от законен имейл трафик.

Недостатъци: Изисква се често обновяване на технологията. Специалистите от анти-спам лабораториите е необходимо да надстройват спам филтрите. Подобна поддръжка е изключително скъпа и това влияе върху крайната цена на филтъра. Спамърите дори имат специални трикове, за да преодолеят тази технология. Най75


простият пример е с думата "Виагра". Това би могло да спре цялата нежелана поща по дадена тема. Като противодействие, спамерите обикновено използват странен начин за изписване на думата — например "Viaagraa", или търсят символи, които могат да са букви, цифри или дори специални символи. Ето примери: "V1agra", “Vi_a_gra”, “vi@gr@”. Дори могат да се генерират различни по вид изображения. Филтриране на съдържанието на база на статистически алгоритми Филтрите от тази категория могат да са bogofilter1, Bayesian mail filter2, SpamBayes3, dbacl4, DSPAM5, bayespam6. Тези филтри използват статистически принцип, известен като правило на Бейс (Bayes), което позволява комбинирането на вероятности за настъпване на събития. Статистическите алгоритми на Бейс са още един подход към анализа на съдържанието. Бейсианските филтри не се нуждаят от постоянни корекции. Всичко, което се прилага, е първоначално "обучение". Филтърът "научава" темите на имейли, типични за даден потребител. Например, ако потребителят работи в сферата на образованието и често участва в обучителни сесии, всички имейли с тема, свързана с обучението, няма да се разпознава като спам. Ако даден потребител не получава покани за обучение, както обикновено, статистическият филтър ще открива този тип съобщения като спам. Допълнителна

информация

може

да

се

открие

https://en.wikipedia.org/wiki/Bayesian_spam_filtering

на

адреси и

http://www.gfi.com/whitepapers/why-bayesian-filtering.pdf. 

Предимства: индивидуална настройка.

1

http://bogofilter.sourceforge.net/ http://sourceforge.net/projects/bmf/?source=navbar 3 http://spambayes.sourceforge.net/ 4 http://dbacl.sourceforge.net/ 5 http://dspam.sourceforge.net/ 6 http://bayespam.sourceforge.net/ 2

76


Недостатъци: работят по-добре, ако се използват за индивидуален email трафик. Този тип филтриране не работи добре на корпоративни сървъри с много различни типове имейли. Ако потребителят не обучава филтъра, технологията няма да е ефективна. Спамърите успешно преодоляват филтъра.

Сиви списъци Представлява временен отказ от възможността за получаване на съобщение. Това включва код за грешка, който се разпознава от всички системи за електронна поща. Обикновено на подателя би трябвало да се изпрати

повторно

съобщението.

Веднъж

ограничени

съобщенията,

програмите, използвани от спамерите, не разпращат повторно имейли. 

Предимства: едно възможно решение.

Недостатъци: закъснения в доставката на съобщения. За много потребители това решение е неприемливо.

Блокиране на писма по определени, технически характеристики. Най-известните примери са: -

Блокиране на писма от сървъри, които нямат име (само IP адрес)

-

Блокиране на писма изпратени с непознати (или известни с "черното" си предназначение) програми.

Подробен списък с технологии може да се прочете на адрес http://en.wikipedia.org/wiki/Anti-spam_techniques. Поради широкото разпространение на Internet Explorer, ниската потребителска култура и голямото количество проблеми със сигурността на по-горе споменатото приложение освен загубата на време, за отваряне на писмото за неговото прочитане, може компютърът да бъде заразен от вирус, троянски кон и подобен род malware. Като краен резултат има сериозна възможност за кражба на ценни данни (банкови сметки, пароли). Отварянето 77


на нежелано писмо също така може да даде сигнал с използване на скрити картинки в писмото, когато то е в HTML формат, че адресът на електронната поща се използва активно. Обикновено адресите, до които се разпраща нежелана поща, се генерират с използване на речници с думи и имена, към които се добавят имена на домейни и поради това на подателя (спамера) не е ясно дали даден адрес на електронна поща се използва или не, но с използване на скрити изображения на него може да бъде съобщено и да последва повишение на активността на изпращаната нежелана поща към този адрес. Нерядко използван механизъм за защита от спам е защитната стена, която предпазва входящата пощенска кутия от нежелани съобщения. Защитната стена срещу спам представлява компютърно приложение или устройство, което се настройва на email сървър. Това приспособление получава цялата входяща поща на дадена организация, като я обработва по начин , по който да допуска само „полезната“ поща на сървъра. Обикновено, защитната стена работи под Linux или BSD базирана операционна система, но все пак съществуват и решения за Windows операционни или други системи. Фигура 5.1. изобразява хардуерно устройство Barracuda1 от тип защитна стена.

Фиг. 5.1. Защитна стена срещу спам Правилно настроената защитна стена защитава сървъра от всякакъв род атаки, включително и филтриране на спам.

1

https://www.barracuda.com/

78


На най-основно ниво, спам защитната стена блокира нежеланите съобщения от влизане в мрежата и достигането им до email сървъра. Това се осъществява чрез многослойно филтриращо решение. Примери за подобни слоеве са: осигуряване на безопасност, списък с блокирани IP адреси, контрол на качеството, проверка за вируси, потребителски дефинирани правила, анализ на писмата, оценяване на писмата по определени критерии, бейсиански анализ и други. Всеки отделен слой защитава сървъра не само срещу спам, но и срещу неоторизиран достъп и други видове атаки. Фигура 5.2. демонстрира филтрирането на съобщения, което се извършва от защитната стена Barracuda.

Фиг. 5.2. Филтриране на входяща поща от защитна стена Barracuda1 Някои защитни стени от този тип използват само една технология за елиминиране на спам, което всъщност се оказва доста неефективен подход, тъй като спамърите лесно преодоляват тази технология. Повечето защитни стени имат вградени функционалности, позволяващи сканиране за вируси, което от своя страна допълнително защитава мейл сървъра. Неправилното филтриране на входящата поща може да доведе до пропускане на спам и от там – пропускане на вируси. Също така валидни съобщения могат да бъдат блокирани, т.е. разпознати като спам. За да се избегнат подобни проблеми, спам защитните стени пропускат потенциално валидните съобщения, класифицирани по някакви причини като спам. Филтър премества съобщенията в специална област, в която наречена „карантина“.

Източник на изображението: http://static.barracudastore.com/skin/frontend/default/barracudastore/images/Barracuda_12_layer_spam_prot ection.jpg 1

79


Там съобщенията могат да се преглеждат, отмятат като валидни, изтриват или да се прехвърлят във входящата кутия. Прегледът на поставените под карантина съобщения става след вход в административния панел на защитната стена и преглед на всяко едно от тях. Може да бъде взето решение за тяхното изтриване, изпращане във входящата кутия, деблокиране, което става след избор на съответната опция. Деблокираните съобщения от филтъра имат адрес на подателя, който се означава като доверен. За доверените податели се създава разрешение за последващ достъп, който не подлежи на поставяне под карантина отново. Подателите на деблокираните съобщения се поставят в т.нар. „бели списъци“ и всеки от този списък може да изпраща писма безпрепятствено. Карантинната област е специфична за индивидуалния потребител, т.е. всеки един управлява само собствените си съобщения. Периодът от време за поставяне под карантина е един месец. След изтичане на този период съобщенията се изтриват от тази специфична област. На фигура 5.3. е показан административният панел на защитна стена срещу спам. В случая е показана опцията за поставяне под карантина на Barracuda Spam Firewall 300.

Фиг. 5.3. Административен панел на защитна стена

80


5.2.

Организация на защитата на ниво E-Mail-Сървери и Клиенти

Съществуват различни начини за ограничаване на нежеланата поща. За съжаление, нито един от предлаганите способи не предлага 100% защита от спам. Организацията на защитата на ниво e-mail-сървери и клиенти се осъществява посредством два основни типа филтри – такива, които се изпълняват от страна на сървъра и такива, които се изпълняват от страна на клиента. Първият тип филтри (Server Side Spam Filters) предотваряват достигането на нежеланата поща още преди до пощенската кутия. Недостатъкът в случая е, че отделните потребители не могат да оказват контрол върху филтрите и съответно не могат да прегледат дали спам преградата спира и email-и, които не са спам. Задължението на инернет доставчика или мрежовия администратор е да проследява процеса на филтриране. Втори вариант е да инсталирането софтуер, който да се изпълнява на персоналния компютър на клиента (Client Side Spam Filters) и да помага филтриранането на спам. По този начин потребителите могат да се уверят, че филтърът блокира реални спам съобщения, а не важни email-и. Недостатък е че трябва да се свали цялата поща от сървъра на клиентската машина. Трети вариант е да се използва third-party системa, която работи със система от типа „Challenge–response“1. Най-общо казано, тези системи са тип филтри на спам, които автоматично изпращат предизвикателство за отговор, очакван от подателя на входящото съобщение. В този отговор се отправя запитване към подателя за потвърждаване на доставката на оригиналното писмо. Казано с други думи, подателят трябва да отиде на специален уеб сайт, за да потвърди, че познава получателя. Това е способ да се спрат спамърите. Ако подателят не е спамър, то той отговаря на предизвикателството. Това е

1

http://en.wikipedia.org/wiki/Challenge%E2%80%93response_spam_filtering

81


първият критерий, по който се различават двете категории податели – спамъри и легитимни податели. Разгледаните филтри разпределяме според вида на операционната система. Филтриране от страна на сървъра 1. Спам филтри за Windows сървър • Спам филтри за Windows под формата на добавки – работят с всеки софтуер за Windows пощенски сървъри. • Windows мейл сървъри със спам контрол – разработени са специално за спам контрол и биха могли да работят като резервен мейл сървър. 2. Cross Platform филтри за сървъри - работят независимо от операционната система: Windows, Unix, Linux, BSD, Mac, Solaris... • Спам филтри, независими от операционната система – приложими са за няколко операционни системи едновременно: www.mailshell.com/mail/client/oem2.html/step/module Linux/Solaris/Windows •

Спам

филтри

за

Phyton

сървър

SpamBayes

-

spambayes.sourceforge.net. Проектът Spam Bayes изгражда Бейсиянски антиспам филтър, базиран на разработките на Пол Греъм. Чрез Бейсиянският филтър се определя и спира около 99.5% от спама. • Спам филтри за Perl сървър - www.postarmor.com • Спам филтри за Java сървър - www.contactor.se/~dast/spam.html 3. Спам филтри за Unix сървър - spamassassin.org1. Реализиран е под Apache License 2.0, който се използва за филтриране на спам на електронна поща. Филтърът е базиран на правила за анализ на съдържанието на писмото. Част е от Apache Foundation. SpamAssassin използва различни техники за засичане на спам, като DNS-базирани, Бейсиянски филтри, външни програми, черни списъци и онлайн бази от данни. Интегрира се с мейл сървъра, за да 1

или http://spamassassin.apache.org/

82


филтрира автоматично цялата входяща поща на даден сайт. Също така може да работи и от страна на клиента, за индивидуални потребители, като се интегрира успешно с много имейл клиенти. SpamAssassin дава възможност за фина настройка на филтрите. Филтърът може да работи и с други ОС, като OSX, BSD, редица Linux базирани1. 4. Спам филтри за Mac сървър - www.tenon.com/products/netten/ На адреси http://www.spamfighter.com/Lang_BG/product_servers.asp и http://www.spamhelp.org/software/listings/server-side/ може да бъде намерен списък с анти-спам софтуер за сървъри. Филтриране от страна на клиента Тези филтри са полезни в случаите, в които интернет доставчикът не може да филтрира голяма част от нежеланата поща. Повечето са предвидени специално за определена операционна система. 1. Спам филтри за Windows клиенти - специализирани са съобразно протокола за електронна поща (POP3, IMAP). • POP3 филтри – те са два вида: POP3 proxy, който извършва сканиране за вируси и POP3 spam removal, който изтрива спам от дадения POP3-акаунт преди да се свали в редовната си поща. Предимството на POP3 филтрите е, че те работят независимо от опитите на email клиентът да получи съобщението. Те успешно предотвратяват изтеглянето на спам на клиентския компютър. - Windows POP3 Proxy спам филтри – адресите на найпопулярните са: Spam Agent - www.spam-agent.com Super Googie - www.supergoogie.com Spambam - www.epage.com.au/spambam/ Junk Spy - www.junkspy.com - премахване на спам чрез Windows POP3 филтри: Spam Assault - www.spamassault.com Active Email Monitor - www.vicman.net 1

http://spamassassin.apache.org/downloads.cgi?update=201106220000

83


AntiSpamWare - www.antispamware.com MailWasher Pro - www.firetrust.com/download/mailwasherpro/ • IMAP филтри: Kill the Spams - www.zipstore.com ChiaraMail - www.chiaramail.com InboxCop - www.inboxcop.com Spam Nullifier - www.spamnullifier.com/product1.htm • Windows филтри, изпълняващи се след изтегляне на пощата – цялата поща се изтегля и се филтрира върху персоналния компютър: www.mailboxfilter.com www.spamcounterstrike.com www.geocities.com/SiliconValley/Campus/2076/mmail.html www.spamburner.com 2. Спам филтри за Unix клиенти - някои Unix приложения работят със стандартни Unix формати на пощенската кутия, докато други посредничат между POP3 сървъра и потребителската пощенска кутия, като изтриват нежеланата поща преди да бъде изтеглена. • Основни спам филтри за Unix клиенти sourceforge.net/projects/imapassassin/ - SpamAssassin за IMAP клиенти sourceforge.net/projects/bmf/ - Бейсиянски спам филтри pigmail.sourceforge.net – Bayes • Отдалечено POP3 изтриване – идентифицирания спам се изтрива още на ниво сървър. Някои представители на тази категория са: Mailfilter - mailfilter.sourceforge.net LittlePOPReader - lpopr.sourceforge.net - Perl DisSpam - freshmeat.net/projects/disspam/ - Perl • Агенти за доставка на електронна поща (MDA - Mail Delivery Agent) – софтуерни компоненти, които отговарят за доставката на електронни съобщения до локалната пощенска кутия на получателите. Един от най-често използваните е procmail. Той представлява пакет, който може да се използва

84


за създаване на майл-сървъри, пощенски списъци,

за сортиране на

приходящата поща. Ето и някои спам филтри, работещи под procmail: -

www.spambouncer.org

-

ftp://boombox.micro.umn.edu/pub/spamtrap/ - alcor.concordia.ca/topics/email/auto/procmail/spam/

На адрес http://www.spamhelp.org/software/listings/client-side/ може да бъде намерен списък със софтуер за филтриране на електронна поща от страна на клиента. На тези адреси може да се прочете повече информация за допълнителен софтуер: •

http://spamlinks.net/filter-client.htm

http://email.about.com/od/windowsspamfightingtools/tp/anti-spam.htm

http://email.about.com/od/windowsspamfightingtools/tp/free_spam.htm

http://email.about.com/od/outlookspamfilters/tp/anti-spam_ol.htm Практически блок

Създаване на механизъм на филтриране на вх. поща В тази единица предлагаме някои уроци, които могат да се тестват на локалния компютър. Свързани са с филтриране на входящата поща. 1. How to configure SSL Encryption for your email client: http://kb.worldsecuresystems.com/kb/configure-ssl-encryption-your-email.html 2. How to Create a Filter in Gmail: http://www.wikihow.com/Create-aFilter-in-Gmail 3. Gmail Spam Filter Settings: http://askbobrankin.com/gmail_spam_filter_settings.html 4. How To Create or Manage Gmail Spam and Label Filters: http://www.youtube.com/watch?v=i-yO_XfxSiw 5. How to create a spam filter or automatic category sort algorithm with your mail application: http://www.codeproject.com/Articles/430330/How-to-create-aspam-filter-or-automatic-category 6. http://www.seas.upenn.edu/cets/answers/personal-spam-filter.html 85


7. How to Encrypt Your Email: http://www.pcworld.com/article/254338/how_to_encrypt_your_email.html 8. Secure Your E-Mail and IM Communications: http://www.pcmag.com/article2/0,2817,2277494,00.asp Литература 1. Wolfe, P., Anti-Spam Tool Kit. McGraw-Hill Osborne Media, 2004 2. Daugherty, M., Monitoring and Managing Microsoft Exchange Server 2003. Digital Press, 2004 3. McDonald, A., SpamAssassin: A Practical Guide to Integration and Configuration. PACKT, 2005 4. Schwartz, A., SpamAssassin. O’REILLY, 2004 Интернет източници 1. http://www.spambrigade.com/ 2. http://spam.abuse.net/others/simplespam.shtml 3. http://www.ironworks.com/comedy/python/spam.htm 4. http://www.templetons.com/brad/spamreact.html 5. http://business.ftc.gov/documents/bus57-securing-your-server-shut-doorspam 6. http://www.dmoz.org/Computers/Internet/E-mail/Spam/

Дата на създаване на тематичната единица: 24.05.2013г. Дата на последна актуализация на съдържанието на тематичната единица: 27.06.2013г. Автор на тематичната единица: ас. Радка Начева

86


ТЕСТ 5 ОРГАНИЗАЦИЯ НА ЗАЩИТАТА НА ЕЛЕКТРОННАТА ПОЩА Въпрос 1: Какво е черен списък? a. Списък с възможни теми за спам b. Списък с IP адресите на възможни получатели на спам c. Списък с IP адресите на податели на спам Въпрос 2: На кой подход за филтриране се базира филтърът dbacl? a. Филтриране на IP адресите на подателите b. Филтриране на база на темата на съобщението c. Филтриране на съдържанието на база на статистически алгоритми Въпрос 3: Какво е сив списък? a. списък със заподозрени адреси на податели на спам b. временен отказ от възможността за получаване на съобщение c. списък с временно недостъпни сайтове Въпрос 4: РОР3 филтрите се изпълняват: a. от страна на клиента b. от страна на сървъра c. от страна на клиента и на сървъра Въпрос 5: MDA е съкращение от: a. Malware Delivery Agent b. Mail Device Agent c. Mail Delivery Agent Въпрос 6: SpamAssassin е: a. филтър за Mac сървър b. филтър за Unix сървър c. филтър и за двата вида сървъра Въпрос 7: DisSpam е: a. филтър за отдалечено POP3 изтриване b. POP3 proxy филтър c. спам филтър за Perl сървър Въпрос 8: Каква е функцията на спам защитната стена? a. Да защитава сървъра срещу спам, неоторизиран достъп и други видове атаки. b. Да защитава сървъра само срещу спам. c. Да защитава сървъра само срещу спам и вируси. Въпрос 9: MDA: a. отговаря за изпълнението на Бейсиански филтър b. отговаря за доставката на електронни съобщения до пощенската кутия на получателите c. е вид защитна стена

87


Въпрос 10: Кое от следните е спам защитна стена? a. MailCop b. InboxCop c. Barracuda Въпрос 11: Кое от следните е спам филтър? a. MailCop b. InboxCop c. Barracuda Въпрос 12: Филтрирането на съдържание става като се: a. сканират всички части на писмата, включително и графичните обекти b. сканират само темите на писмата c. сканират само текстовете от съдържанието на писмата, а прикачените графични обекти не подлежат на обработка Въпрос 13: Spim e: a. Спам, разпространяван чрез Gmail b. Спам, разпространяван чрез мобилни приложения c. Спам, разпространяван чрез услугите за моментни съобщения Въпрос 14: Белият списък е: a. списък с доверени IP адреси на податели b. списък с доверени IP адреси на податели c. списък с доверени теми на съобщения Въпрос 15: Какво представлява системата от типа „Challenge–response“? a. Изпраща предизвикателство за отговор до подателя, за да се провери дали той е спамър или не b. Проверява IP адреса на подателя в черни списъци c. Вид защитна стена срещу спам и вируси

88


ТЕМА 6 УПРАВЛЕНИЕ НА ЗАЩИТАТА ДО ДИРЕКТОРИИ И DNS Съдържание на темата: 6.1. Механизми за защита на директории 6.2. Механизми за защита на DNS 6.3. Основни примери за управление на защитата до DNS

За потребителите на Microsoft приложения, които са и най-масовите, интерес представлява създадения от фирмата портал Microsoft Security Response Center (MSRC), http://bit.ly/1mIWlQ. Един от продуктите, който се разработва в MSRC е

SDL, (The Security Development Lifecycle).

Предназначението му е насочено към разработчици на системи за баезопасност и защита и включва целия жизнен цикъл. Могат да се получат безплатни материали на адрес http://www.microsoft.com/sdl. Атакуващите се опитват да проникнат във вашта DNS-инфраструктура по един от следните начини: 

Копиране на DNS данни (Footprinting). Процес, при който данните

за DNS-зоната, включително DNS имената на домейни, имената на компютрите в мрежата

и IP-адресите като поверителен информационен

ресурс, се извлича злонамерено от атакуващия. 

Атака „Отказ от услуги“ (Denial-of-service). При този сценарий

атакуващият се опитва да „задръсти“ системата и да я направи недостъпна за останалите й потребители. 

Модифициране на данни (Data modification). Чрез даден валиден

IP адрес (или адрес, който е позволените рамки на дадени

IP адреси на

подмрежата) атакуващият има достъп до мрежата и разрушава нейната цялостност или формира нова атака. 

Пренасочване

(Redirection).

Това

е

сценарий,

при

който

атакувашият пренасочва заявките към сървър, който е под негово управляние. 89


Наример, ако заявките идват от sales.wingtiptoys.com и ако отговорът е подготвен от атакувашя сървър извън

wingtiptoys.com - домейна, DNS

сървърът използва кешираните данни на атакуващия домейн. 6.1. Механизми за защита на директории Разработчикът на дадена уеб базирана информационна система е необходимо да предвиди кои биха били критичните точки за атакуване на системата в реално време. В SDL, http://www.microsoft.com/sdl се описва една от многото причи, които изискват защита на директориите и DNS. Всеки от нас е получавал съобщение за грешки по време на действие на системата. Информацията, включена в дадено съобщение за грешка не е конфиденциална, но включва вътрешния IP-адрес или пътя до даден системен файл, коитпо могат да се използват от атакуващия системата. Например, ако съобщението за грешка включва следния текст: “File abc.txt not found in c:\apps\web\files,” Тогава атакуващият ще узнае пътя до определена сървърна директория, нейната структура и ще използва информацията за фолдера (папката) за да получи достъп до останалите файлове в този фолдер ( в примера – фолдер с наименование „files“) на сървъра. На фиг. 6.1. са посочени някои от основните точки, от които би могла да „изтече“ информация към атакуващия за ресурси на системата –наименования на файлове и директории, както и тяхното съдържание.

90


Фиг. 6.1. Критични точки за хакерски атакаи в една система1

Особено критичен е достъп до ссистемните файлове и директории. В платформата .Net Framework 4.5. включва класа FileSecurity. Този клас определя правата за достъп до системните файлове и протоколира опитите за достъп до тях. Всяко дефинирано правило за достъп (access rule) се представя чрез обекта FileSystemAccessRule, а опитите за достъп (audit rule) – чрез обекта

FileSystemAuditRule.

Класовете

FileSystemAccessRule

и

FileSystemAuditRule са абстракции на ACEs (access control entries) които съдържат DACLs (discretionary access control list) и SACLs (system access control list). Следният примерен код на С# използва класа FileSecurity за да добави, а след това – отстрани списък за достъп (ACL) в даден файл (test.xml). За изпълнението на примера ви е необходим валиден потрбителски или гупов акаунт.

Дпопълнителна

информация

можете

да

получите

от

сайта

http://bit.ly/150gh8L.

1

Илюстрация по SDL, http://www.microsoft.com/security/sdl/default.aspx

91


using System; using System.IO; using System.Security.AccessControl; namespace FileSystemExample { class FileExample { public static void Main() { try { string fileName = "test.xml"; Console.WriteLine("Adding access control entry for " + fileName); // Add the access control entry to the file. AddFileSecurity(fileName, @"DomainName\AccountName", FileSystemRights.ReadData, AccessControlType.Allow); Console.WriteLine("Removing access control entry from " + fileName); // Remove the access control entry from the file. RemoveFileSecurity(fileName, @"DomainName\AccountName", FileSystemRights.ReadData, AccessControlType.Allow); Console.WriteLine("Done."); } catch (Exception e) { Console.WriteLine(e); } } // Adds an ACL entry on the specified file for the specified account. public static void AddFileSecurity(string fileName, string account, FileSystemRights rights, AccessControlType controlType) { // Get a FileSecurity object that represents the // current security settings. FileSecurity fSecurity = File.GetAccessControl(fileName); // Add the FileSystemAccessRule to the security settings. fSecurity.AddAccessRule(new FileSystemAccessRule(account, rights, controlType)); // Set the new access settings. File.SetAccessControl(fileName, fSecurity); } // Removes an ACL entry on the specified file for the specified account. public static void RemoveFileSecurity(string fileName, string account, FileSystemRights rights, AccessControlType controlType) 92


{ // Get a FileSecurity object that represents the // current security settings. FileSecurity fSecurity = File.GetAccessControl(fileName); // Remove the FileSystemAccessRule from the security settings. fSecurity.RemoveAccessRule(new FileSystemAccessRule(account, rights, controlType)); // Set the new access settings. File.SetAccessControl(fileName, fSecurity); } } }

6.2. Механизми за защита на DNS Системата

за

домейн

имената

(DNS,

Domain

Name

System)

представлява базовата технология, върху която е изграден интернет. Компонентите които изграждат DNS са IP адресите, домейн имената и DNS сървърите. Домейнът (domain name) е уникално име, което сочи към дадена интернет страница. Названието произхожда от английската дума domain област, територия, сфера, обсег. В интернет не могат да съществуват два напълно еднакви домейна (имена на уеб сайтове). Сървърите на домейн-имената (Domain Name Servers) представляват компютри, които съдържат данните за всяко домейн-име в интернет и софтуер, чрез който да трансформират домейна в неговия IP-адрес. Цялата система в която са обхванати сървърите (Domain Name System) може да бъде сравнена с телефонен указател, където домейните са имената, а IP-адресите са телефонните номера. На всяко домейн-име отговаря някакъв IP-адрес (Internet Protocol), съставен от 4 сегмента по 1, 2 или 3 цифри (например 129.68.0.208 и т.н.). Задачата на неймсървърите е при заявка за отваряне на дадена страница (изписване на домейна в браузера и натискане Enter) да трансформират всяко домейн-име в неговия еквивалентен IP-адрес. Всичко това е нужно, защото човешката памет по-лесно запомня имена, а машините работят с цифри. Ако добият контрол над DNS-сървърите, злонамерени лица могат да пренасочват трафика от който и да е уеб-адрес към своя сървър. Освен това, 93


използвайки уязвимостта, хакерите ще могат да натоварват компютъра с вредни програми.

Фиг. 6.2. Инициализиране на DNS сървърите на даден сайт Google стартира алтернативен DNS-сервиз (Using Google Public DNS1). Новата система за обслужване на DNS-заявките е предназначена да ускори и обезопаси

уеб-сърфирането.

Услугата

ще

се

опита

да

подобри

съществуващите технологии на DNS (Domain Name System) чрез нови методи за кеширане на данните, както и чрез мощни механизми за защита от IPизмами. В случай на неправилно въведен Интернет-адрес е предвидено да бъдат извеждани най-близките по значение адреси, както и да бъде предлагано автоматично поправяне на сгрешения адрес. За правилното използване на сервиза Google Public DNS е необходимо в настройките на мрежовия адаптер за първичния DNS сървър да бъде записан IP 8.8.8.8, а за алтернативния 8.8.4.4. Хакерите прилагат различни тактики за пробив в системата за разкиране на имената и адресите на зоните и домейните в Интернет. Три са основните техники за злонамерени действия с домейни:

1

Using Google Public DNS - https://developers.google.com/speed/public-dns/docs/using?hl=bg

94


- DNS измами (DNS spoofing) – хакерът отговоря с измамен DNS на заявка от реален DNS; - Хакване на DNS идентификатора (DNS ID hacking) – получаване на реалните идентификатори на заяки и отговори в диалога DNS-DNS или DNSклиент; след това се прилагат някои от другите две споменати атаки; - „Отравяне“ на DNS-кеша (DNS cache poisoning)- техника, при която в кешираната памет реален DNS се заменя с фалшив IP-адрес, указан от хакера. Нека да илюстрираме как първичният DNS сървър отговаря на искане за ”Zone Transfer”. В примера се вижда как цялата информацията, съдържаща се във файла за зоната се прехвърля в DNS Answer- секцията: DNS: TCP Length = 445 (0x1BD) DNS: Query Identifier = 0 (0x0) DNS: DNS Flags = Response, OpCode - Std Qry, RA Bits Set, RCode - No error DNS: 1............... = Response DNS: .0000........... = Standard Query DNS: .....0.......... = Server not authority for domain DNS: ......0......... = Message complete DNS: .......0........ = Iterative query desired DNS: ........1....... = Recursive queries supported by server DNS: .........000.... = Reserved DNS: ............0000 = No error DNS: Question Entry Count = 1 (0x1) DNS: Answer Entry Count = 16 (0x10) DNS: Name Server Count = 0 (0x0) DNS: Additional Records Count = 0 (0x0) DNS: Question Section: domain.com. of type Req. for zn Xfer on class INET addr. DNS: Question Name: domain.com. DNS: Question Type = Request for zone transfer DNS: Question Class = Internet address class DNS: Answer section: . of type SOA on class INET addr.(16 records present) DNS: Resource Record: domain.com. of type SOA on class INET addr. DNS: Resource Name: domain.com. DNS: Resource Type = Start of zone of authority DNS: Resource Class = Internet address class DNS: Time To Live = 86400 (0x15180) DNS: Resource Data Length = 41 (0x29) DNS: Primary Name Server: server.domain.com. DNS: Responsible Authorative Mailbox: administrator.domain.com. 95


DNS: Version number = 26 (0x1A) DNS: Refresh Interval = 300 (0x12C) DNS: Retry interval = 120 (0x78) DNS: Expiration Limit = 600 (0x258) DNS: Minimum TTL = 86400 (0x15180) DNS: Resource Record: domain.com. of type Host Addr on class INET addr. DNS: Resource Name: domain.com. DNS: Resource Type = Host Address DNS: Resource Class = Internet address class DNS: Time To Live = 86400 (0x15180) DNS: Resource Data Length = 4 (0x4) DNS: IP address = 130.0.10.150 DNS: Resource Record: domain.com. of type Auth. NS on class INET addr. DNS: Resource Name: domain.com. DNS: Resource Type = Authoritative Name Server DNS: Resource Class = Internet address class DNS: Time To Live = 86400 (0x15180) DNS: Resource Data Length = 10 (0xA) DNS: Authoritative Name Server: server.domain.com. DNS: Resource Record: Dell.domain.com. of type Host Addr on class INET addr. DNS: Resource Name: Dell.domain.com. DNS: Resource Type = Host Address DNS: Resource Class = Internet address class DNS: Time To Live = 86400 (0x15180) DNS: Resource Data Length = 4 (0x4) DNS: IP address = 130.0.10.30 DNS: Resource Record: JH40PS.domain.com. of type Host Addr on class INET addr. DNS: Resource Name: JH40PS.domain.com. DNS: Resource Type = Host Address DNS: Resource Class = Internet address class DNS: Time To Live = 86400 (0x15180) DNS: Resource Data Length = 4 (0x4) DNS: IP address = 130.0.10.155 BIND1 е широко използван DNS сървърен софтуер. Той е фактически стандарт за много UNIX-подобни системи като Linux, Solaris, различни BSD варианти и Mac OS X. Уязвимост в BIND може да бъде използвана като се изпращат многократно специално изработени искания на BIND-инсталации 1

BIND 9 User Guide, http://www.bind9.net/manuals

96


(известни като трнзакции-демони и наричани "named"). По този начин да се консумират прекомерни ресурси от оперативната памет и това довежда до излизане от строя на сървъра. Този метод наричаме DNS spoofing. 6.3. Основни примери за управление на защитата до DNS За да управалява защитата на DNS-сървърите си би трябвало да познаваме най-известните пробиви в системата.

Най-изненадващото е, че

според Камински 33% от атаките са предизвикани поради неправилни действия от страна на самите потребители (вж уаказаната презентация подолу).

Много

често

тези

пробиви

са

документирани

под

странни

наименования. Създаден е сайт за мониторинг и тълкувания на пробивите на адрес http://cve.mitre.org/. Един от най-нашимелите пробиви е известен по наименованието

“Пробива на Камински”. Има няколко публикации на

български език, представящи този вид атаки1. Пробив на Камински Уязвимостта, наречена “Пробив на Камински” се появи още в края на юни 2008 г., когато група турски хакери успяха да отровят сървъра не на друг, а на самите IANA и ICANN – организации, които лежат в основата на създаването и поддръжането на Интернет. Тази атака се случи седмици преди видният експерт по сигурността Дан Камински да публикува частична информация за уязвимостта и в последствие да я изследва в детайли като участва в разработката на кръпки за основните софтуерни пакет. Можете да намерите много интересно видео, в което той обяснява уязвимостта по време на конференцията BlackHat. Цвлият доклад, представен катопоредица от слайдове, можете да изтеглите от сайта на SlideShare (107 слайда!). Уязвимостта засяга всички DNS сървъри. Ако администрирате сървър на имена, инсталирайте си нова версия – която използва наистина случайни номера на заявките. Това ще затрудни неимоверно много отравянето на сървъра (server poison). Случайните номера не решават напълно проблема обаче – руски експерт успя да отрови напълно ъпдейтнат сървър в рамките на 1

DNS отравяне. Сайт за често задавани въпроси: http://chzv.net/category/security/page/30

97


10 часа, използвайки две атакуващи машини, свързани с гигабитова връзка към жертвата. Това е схема, трудно приложима към реални условия, но все пак възможността съществува. За пълно решение на проблема повечето експерти смятат, че Интернет трябва да премине към използването на подобрени процесури за DNS-защита, известна като DNSSEC (DNS Security Extensions). Както всяка основна промяна обаче, и тази отнема доста време,

усилия и нерви до реалното й и повсеместно внедряване. Можете да тествате дали сървърите, които вие ползвате са защитени от отравяне. Защитеният сървър трябва да покаже случайно разхвърляни ID-та на графиката. Ако сървърите, които ползвате не са пачнати и нямате управление върху тях, то можете да преминете към ползване на OpenDNS например, като временно или постоянно решение – OpenDNS предлага доста екстри към защитата от отравяне. Може би не се набляга достатъчно на сериозността на този тип атака – при компрометиране на сървър за име може да доведе до пренасочване на неподозиращите жертви към зловреден сайт, като при това няма да сработи нито един от механизмите за защита, вградени в браузъра или чрез допълнителни програми. Че и ний сме дали нещо на света ... Един от най-добрите експерти по безопасност и защита на компютърни мрежи и системи е българинът Данчо Данчев... Е, не живее в България...

Тези защити също разчитат на DNS системата да разпознаят потенциално зловредни сайтове и пренасочвания. Напълно е възможно дори да бъде подменен сертификата и “жертвата” да вярва, че отваря сигурна HTTPS сесия към познатия си сървър ( дори сертификатите се проверяват срещу DNS името ). Подобни атаки не са насочени директно към компютрите на жертвите и дори те да са защитени с 3 защитни стени, един незщитен 98


сървър по трасето компрометира цялостната защита. Типичен пример е отравянето на DNS сървърите на China Netcom – един от най-големите доставчици в Китай. Атакуваните сървъри сървъри пренасочват посетителите към зловреден сайт, който се опитва да инсталира множество услуги за популярни сайтове. В заключение, налага се извода, че винаги трябва да проверяваме сървърите, които използваме и да предприемем необходимите мерки. Extended Validation SSL Certificates Една от възможните защити на вашия DNS и вашето доменй име е чрез технологията EV - Extended Validation SSL Certificates. EV е нов тип SSLсертификат, койото дава по-голяма надежност при управление на фирмения или личен уеб сайт. SSL сертификатът предоставя на потребителите по-голяма защита при управлението на техните уеб сайтове. Сертификатът вклюва така нар. X.509 публичен ключ. Можете да поръчате подобен сертификат от вашия ISP

или

директно

от

следните

доставчици

на

сертификата

като

www.digicert.com. www.trustico.eu, www.thawte.com и др. Литература 1. Дражев Ст. и др. Социална мрежа за споделяне на знания и опит

между преподаватели и студенти от ИУ-Варна. РЪКОВОДСТВО ЗА РАБОТА., 2012 г. Изд на ИУ-Варна, 196 с. 2. Закон за специалните разузнавателни средства (СРС).

Интернет източници 1. Библиотека на доц. д-р Стефан Дражев в SlideShare : (http://www.slideshare.net/stedrazhev/). 2. Библиотека на доц. д-р Стефан Дражев в Issuu: http://www.issuu.com/stedranet 3. Microsoft patterns & practices Volume I, Building Secure ASP.NET Applications: Authentication, Authorization, and Secure Communication - http://msdn.microsoft.com/en-us/library/aa302383.aspx 99


4. Microsoft patterns & practices Volume II, Building Secure ASP.NET Applications: Design Guidelines for Secure Web Applications http://msdn.microsoft.com/en-us/library/ff648647.aspx Допълнителни Интернет източници от Microsoft: 

Microsoft Security & http://www.microsoft.com/security/

Microsoft Security Bulletin http://www.microsoft.com/technet/security/current.aspx

Technet Security home page http://www.microsoft.com/technet/security/

MSDN Security home page http://msdn.microsoft.com/enus/security/default.aspx

.NET Framework Security home page at http://msdn.microsoft.com/enus/security/default.aspx

Security and Trustworthy Computing at http://www.microsoft.com/business/enterprise/default.mspx

Информация от други организации: 

CERT (Computer Emergency Response Team) at http://www.cert.org/

SANS Institute Web site at http://www.sans.org/

Computer Security Resource Center at http://csrc.nist.gov/

Дата на създаване на тематичната единица: 12.05.2013г. Дата на последна актуализация на съдържанието на тематичната единица: 30.06.2013г. Автор на тематичната единица: доц. д-р Стефан Дражев

100


ТЕСТ 6 УПРАВЛЕНИЕ НА ЗАЩИТАТА ДО ДИРЕКТОРИИ И DNS Въпрос 1: . Microsoft Security Response Center е портал за? A. Оповестяване на грешки в системи за баезопасност и защита. B. 24-часова подръжка на системи за безопасност и защита. C. портал за разработчици на системи за баезопасност и защита. Въпрос 2. Denial-of-service означава? A. Атака „Отказ от услуги“. B. Атака „Изтриване на услуги“. C. Атака „Актуализиране на услуги“.. Въпрос 3. При получване на съобщение за грешка със следния текст: “File abc.txt not found in c:\apps\web\files,” атакувашият ще узнае? A. Пълният път до директории и файлове на клиента. B. Пълният път до системните директории и файлове. C. Името на файла.. Въпрос 4. FileSystemAccessRule задава? A. дефинирани правила за достъп. B. дефинирани правила за изграждане на потребителските имена. C. дефинирани правила за изграждане на паролите. Въпрос 5. DACL е? A. directory access control list. B. division access control list. C. discretionary access control list. Въпрос 6. Domain Name System е? A. базовата технология, върху която е изграден екстранет. B. базовата технология, върху която е изграден интранет. C. базовата технология, върху която е изграден интернет. Въпрос 7. Google Public DNS е? A. безплатна DNS-система. B. новата система за обслужване на електронната поща. C. новата система за обслужване на DNS-заявките. . Въпрос 8. DNS spoofing е атака, при която? A. хакерът отговоря с измамен DNS на заявка от реален DNS. B. хакерът отговоря с реален DNS на заявка от измамен DNS. C. хакерът отговоря с измамен DNS на заявка от измамен DNS. Въпрос 9. DNS ID hacking е? A. Хакване на DNS паролата. B. Хакване на DNS идентификатора. C. Хакване на DNS сървъра.

101


Въпрос 10. DNS cache poisoning е? A. „Отравяне“ на DNS-сървъра.. B. „Отравяне“ на DNS-таблицата.. C. „Отравяне“ на DNS-кеша. Въпрос 11. BIND е? A. Програма за свързване. B. DNS обслужваща програма. C. DNS сървърен софтуер. Въпрос 12. Според Камински 33% от атаките са предизвикани поради неправилни действия от страна на? A. Администраторите на системата. B. Хакерите. C. Потребителите. . Въпрос 13. Под „Пробив на Камински“ се разбира? A. подобряване на сървърите на IANA и ICANN. B. актуализиране на сървърите на IANA и ICANN. C. „отровяне“ на сървърите на IANA и ICANN. . Въпрос 14. Конференцията BlackHat е? A. Средище на всички специалисти по безопаснот и защита на ИС. B. Средище на всички хакери. C. Средище на всички кракери. Въпрос 15. EV е сертификат за? A. по-голяма надежност при управление на фирмения уеб сайт B. по-голяма надежност при управление на личен уеб сайт C. по-голяма надежност при управление на фирмения или личен уеб сайт

102


ТЕМА 7 КОНФИГУРИРАНЕ НА КЕШИРАНЕТО НА ИНФОРМАЦИЯТА Съдържание на темата: 7.1. Технологии за конфигуриране на Cache 7.2. Конфигуриране на Cache-настройки 7.3. Анализиране на Cache-информацията За правилно конфигуриране на уеб кешрането ще поясним разликите между двете основни понятия и технологии: cookies и cash (proxy cach). Под cookies или „бисквитки“ ще разбираме малки по обем прорграми и данни, които се съхраняват на вашия компютър. Целта им е да запазят вашите настройки при стартиране на браузъра и посещаване на даден сайт. Под cash ще разбираме технология, при която елементи, включени в посетена от вас уеб страница – текст, илюстрации, звукови файлове, видео и др., се съхраняват на вашия или на близко до вашия компютър (напр. в щлюза, gateway). Казваме – те се кешират на вашия компютър. Колкото повече елемнти се кешират, толково по-бързо ще се зареди посетената страница (стига тя да не е претърпяла промени). Разбира се, има няколко начина за кеширане, за които ще говорим малко по-долу. Докато управлението на „бисквитките“ е процес, с който можем да се справим бързо, то управлението на кеширането на потребителските сесии е пълно с неочаквани изненади. Нека да дадем един бърз сценарий за справяне с „бисквитките“ в 4 стъпки: 1. Отворете вашият браузър. Изпълнете следното Firefox > Options (PC) или Firefox > Preferences (Mac). Ако не виждате лентата с инструменти и менюто Tools, задръжте Alt+T за бърз достъп до Tools.

103


Фиг. 7.1. Настройки на браузъра Firefox чрез таба Tools 2. От Tools преминете към таба Privacy и кликнете на

„remove

individual cookies“.

Фиг. 7.2. Изтриване на личните ви „бисквитки“ 3. За да изтриете всички „бисквитки“, кликнете на „Remove All Cookies“.

Фиг. 7.3. Изтриване на всички „бисквитки“. 104


4. За да изтриете само определени „бисквитки“, кликнете само на тези от тях, които.Задръжте клавиша CTRL докато избирате повече от една „бисквитки“ за изтриване; след това кликнете на „Remove Cookies“. Така изтривате специфични „бисквитки“ от определени от вас сайтове.

Фиг. 7.4. Изтриване на определени от вас „бисквитки“. С развитието на уеб технологиите се развиват и тези, свързани с кеширането на информацията. Едно препоръчително ръководство за кештехнологии с автор Mark Nottingham е Caching Tutorial, свободен достъп до което имате на адрес http://www.mnot.net/cache_docs/ . Технологията Web cache се разполага между един или повече Web сървъри (наричани още origin servers) и един или повече клиенти, от които идват раззлични заявки за обслужване — такива като HTML страниц, снимки, и др. Ако се получи същата заявка, URL-адрес, от същия потребител, то тогава се използва нейният съхранен (кеширан) отговор. Две са основните причини за прилагане на кеширането в Интернет: - Да се минимизира латентността на мрежата, т.е. да се съкрати времето за разпространение на пакетите от една точка на двруга в Интернет (reduce latency).

105


- Да се намали Интернет трафика (reduce network traffic). Тъй като заявките се изпълняват многократно, то те, веднъж изпълнени, не се изпращат наново към сървъва, а се извеждат от кеш-паметта. 7.1. Технологии за конфигуриране на Cache Приложими са следните основни технологии за кеширане: Кеширане от страна на клиента (Client Side Caching) Кеширането от страна на клиента указва метод, който се използва от повечето браузъри. При него различните форми на уеб съдържание се кешира за всеки краен потребител. Спеифичното тук е, че за много от сървърите кеша се намира между браузъра и междинната инфраструктура „клиент оригинален сървър“. Типичен е случаят, при който кеша се намира в браузъра и в проксито.

Клиент 1 Кеширани данни

Клиент 2

Web Рутер

Клиент 3

Фиг. 7.5. Вариант на кешране в Web-топология Кеширане от страна на браузъра на клиента (Client’s Browser Caching ) При

този

метод

уеб

съдържанието

се

кешира

на

клиентския/потребителски локален диск. Ако потребителят осъществява достъп до същото съдържание в един относително кратък период от време, браузърът ще намери

кешираното уеб съдържание не на сървъра, а на

локлания диск.

106


Прокси кеширане от страна на клиента (Client Side Proxy Caching) При прокси кешрането уеб съдържанието се кешира „близко“ до клиента, т.е. на машината, на която е изградено проксито (network gateways). Или това мястото между клиента и сървъра в мрежата. Реверсивно прокси кеширане (Gateway Caches) Методът е известен като „Реверсивно прокси кешране“ или „Сурогатно кеширане“. Целта на мрежовият администратор е да намали трафика, като за целта заявките се препращат към шлюзовия кеш (gateway cash) по различни начини, но обикновено се осигурява баланс на трафика, създавайки усещането, че уеб съдържанието се зарежда от оригиналния сървър. 7.2. Конфигуриране на Cache-настройки При конфигурирането на кеша основен интерес предствляват методите за предотвратяване на некоректно кеширане. Ако не се предприемат необходимте мерки, то системата лесно би позволила пробиви. Предотвратяване на некоректно кеширане (Prevent Incorrect Web Caching) До тази уязвимост се достига чрез изпращане на неправилни сигнали за кеширане или wrong caching headers. Ако използвате кеширане по подразбиране на Apache сървър, то той допуска, че всяка част от дадено съдържание би трябвало да се кешира. Системният администратор използва следната лесна техника за ограничаване или изключване на кеширането. Той използва header-директиви за всяка част от дадено съдържание, които НЕ ТРЯБВА да се кешират: Expires: Fri, 01 Jan 1990 00:00:00 GMT Pragma: no-cache Cache-control: no-cache, must-revalidate Тези настройки се извършват чрез използване на PHP: <?php header("Cache-Control: no-cache, must-revalidate"); // HTTP/1.1 header("Pragma: no-cache"); // Just in case 107


header("Expires: Sat, 26 Jul 1997 05:00:00 GMT"); // Date in the past ?> Администраторът решава кои cach-директиви да бъдат лични, private ( съхранени само на потребителския компютър, без използване на прокси) и кои да защити; идентична информация да не се кешира, ако се отнася за сесии с различни потребители. Ето и един инструмент, с който можете да тествате cach-директивите при използване на вашия браузър - http://www.myhttp.info/

. Стартирайте

вашият браузър. Въведете в адресната част http://www.myhttp.info/. Ще получите в отговор HTTP request headers и съответната информация, изпращана между клиента (вашяит браузър) и сървъра (тази машина): Your IP address: 87.126.39.999 (адресът е променен от съображения за сигурност) Таблица 7.1. HTTP Request Request method Request URI Request protocol Accept Accept charset Accept encoding Accept language Connection Host Referer User agent

GET / HTTP/1.1 text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q =0.8 gzip, deflate en-us,en;q=0.7,bg;q=0.3 keep-alive www.myhttp.info

Mozilla/5.0 (Windows NT 5.1; rv:22.0) Gecko/20100101 Firefox/22.0 По-мощен инструмент за анализ е приложението VeiwDNS, достъп до

което имате на адрес www.viewdns.info. Ако зададете даден DNS, например www.ue-varna.bg , ще получите следния анализ: DNS

Report

for

ue-varna.bg

==============

108


Таблица 7.2. Parent Nameserver Tests Status

Test Case

Information Nameserver records returned by the parent servers are:

ns4.zoneedit.com. NS records ns2.zoneedit.com. listed at parent ns125.icndns.net. servers ns126.icndns.net.

[NO [NO [NO [NO

GLUE] GLUE] GLUE] GLUE]

[TTL=345600] [TTL=345600] [TTL=345600] [TTL=345600]

This information was kindly provided by ns.register.bg. Good! The parent servers have information on your Domain listed at domain. Some other domains (like .co.us) do not have a parent servers DNS zone at the parent servers. NS records Good! The parent servers have your NS records listed. If listed at parent they didn't, people wouldn't be able to find your domain! servers OK. The TLD of your domain (bg) differs from that of your Parent servers nameservers (com). As such, the parent servers are not return glue required to send glue. A record for OK. The parent servers don't need to have A records for each NS at your nameservers since the TLD of your domain (bg) parent differs from that of your nameservers (com). Таблица 7.3. Local Nameserver Tests Status

Test Case

Information NS records retrieved from your local nameservers were:

NS records at ns125.icndns.net. [NO GLUE] [TTL=7200] your local ns126.icndns.net. [NO GLUE] [TTL=7200] servers ns2.zoneedit.com. [NO GLUE] [TTL=7200] ns4.zoneedit.com. [NO GLUE] [TTL=7200] Oops! Your local nameservers don't return IP addresses (glue) along with your NS records! This isn't a fatal error Glue at local but means an extra lookup needs to be performed nameservers increasing the load time to your site. You can fix this by adding A records for each of the nameservers listed above. OK. Since the GTLD for your domain (bg) differs from Same glue at that of your nameservers (com), the result of this test are local and parent irrelevant since the parent servers aren't even required to servers hold the A records for your nameservers. 109


Status

Test Case Information Same NS Oops! Your name servers don't all seem to have identical records at each NS records for your domain. This could lead to some local visitors not being able to see your site (or seeing it on a nameserver different server)! This should be fixed ASAP! Check that all Good! All of your nameservers listed at the parent servers nameservers responded. respond Check all Good! All of your nameservers appear to be valid (e.g. are nameservers are not IP addresses or partial domain names) valid Good! You have at least 2 nameservers. Whilst RFC218 Number of section 2.5 specifies a minimum of 3, as long as you have 2 nameservers or more, you should be ok! Local nameservers Good! All your nameservers answer authoritatively for answer your domain. authoritively Missing NS Good! The parent servers have all the nameservers listed records at for your domain as your local nameservers! parent servers Missing NS Good! Your local servers have all the nameservers listed records at local for your domain that are listed at the parent servers! servers Good! No CNAME records are present for 'ue-varna.bg'. No CNAME RFC1912 section 2.4 and RFC2181 section 10.3 state that records for there should be no CNAME records if any other records are domain present for a given domain. Good! No CNAME records are present for your No CNAME nameservers. RFC1912 section 2.4 and RFC2181 section records for 10.3 state that there should be no CNAME records if any nameservers other records (e.g. an A record) are present for a nameserver. Nameservers Good! All your nameservers are in separate class C (/24) are on different subnets. IP subnets Nameservers Good! All your NS records have public IP addresses. have public IP's Good! We can establish a TCP connection with each of Nameservers your nameservers on port 53. Whilst UDP is most allow TCP commonly used for the DNS protocol, TCP connections are connections occasionally used.

110


Таблица 7.4. Start of Authority (SOA) Tests Status

Test Case Your

Start

of

Information Authority (SOA)

record

is:

Primary nameserver: ns2.zoneedit.com. Hostmaster E-mail address: soacontact.zoneedit.com. SOA Record Serial number: 2013270968 Refresh: 2400 Retry: 360 Expire: 604800 Minimum TTL: 300 Oops! It seems your nameservers don't agree on the SOA All nameservers serial number! This probably means that changes made on have same SOA one nameserver weren't made on another. This could lead serial number to intermittant connectivity issues and should be fixed ASAP. SOA primary Good! The primary nameserver listed in your SOA record nameserver (ns2.zoneedit.com.) is listed at the parent servers! listed at parent Oops! Your SOA serial number (2013270968) doesn't seem to be in the recommended format (YYYYMMDDnn SOA serial where nn is the revision number). This is still OK, however number format as long as you are keeping track of your SOA version details. Oops! Your SOA Refresh value (2400) is outside of the recommended range of 1 hour (3600) to 1 day (86400). SOA Refresh This value basically means 'how long can the secondary value nameserver have out of date information after updating the primary nameserver?' and should be within the recommended range. SOA Retry Good! Your SOA Retry value (360) is within the value recommended range of 5 minutes (300) to 4 hours (14400). Good! Your SOA Expire value (604800) is within the SOA Expire recommended range of 1 week (604800) to 4 weeks value (2419200). SOA Minimum Good! Your SOA Minimum TTL value (300) is within the TTL value recommended range of less than 3 days (259200).

111


Таблица 7.5. Mail eXchanger (MX) Tests Status

Test Case Your

Mail

Information eXchanger (MX)

records

are:

10 ASPMX.L.GOOGLE.com. [TTL=7200] MX Records 20 ALT1.ASPMX.L.GOOGLE.com. [TTL=7200] 20 ALT2.ASPMX.L.GOOGLE.com. [TTL=7200] 30 ASPMX2.GOOGLEMAIL.com. [TTL=7200] 30 ASPMX3.GOOGLEMAIL.com. [TTL=7200] All nameservers Oops! One or more of your nameservers has differing MX have same MX records. This may lead to serious issues with receiving records emails and should be investigated. All MX records Good! All of your MX entries have valid hostnames (e.g. contain valid are not IP's or invalid domain names). hostnames All MX records use public IP Good! All of your MX entries have public IP addresses. addresses MX record is Good! When querying for your MX records we did not not a receive a CNAME record as a result. CNAME/alias MX A records Good! No CNAME records are present for your MX A are not records. CNAME's Good! You have more than one MX record. In the event Number of MX that the primary mail server is down, you have at least one records backup that will continue to accept mail! Duplicate MX Good! No two MX records resolve to the same IP address. A records Differing MX A Good! You have no different IP's for your MX A records records than the DNS server that is authoritive for that hostname. Good! All your MX IP addresses have reverse DNS entries. The reverse entries returned were: MX records 27.75.194.173.in-addr.arpa <--> ve-in-f27.1e100.net. have reverse 27.65.194.173.in-addr.arpa <--> ee-in-f27.1e100.net. DNS entries 26.70.194.173.in-addr.arpa <--> fa-in-f26.1e100.net. 27.65.194.173.in-addr.arpa <--> ee-in-f27.1e100.net. 27.70.194.173.in-addr.arpa <--> fa-in-f27.1e100.net.

112


Таблица 7.6. WWW Record Tests Status

Test Case www.ue-varna.bg

Information A

records

are:

WWW record www.ue-varna.bg. A 212.50.31.78 [TTL=7200] WWW A record Good! The IP address(es) of the A records returned for has public IP your WWW record have public IP addresses. OK! You don't have a CNAME entry for your WWW WWW record! This is ok though because you have an A record for CNAME lookup your WWW record. When people visit www.ue-varna.bg they will go to the IP address in the A record above. От анализа на информацията се вижда, че имаме предупреждение (маркирано с „Х“ в червен кръг) за имената на сървърите (nameservers) на посочения домейн.

7.3. Анализиране на Cache-информацията Уеб Cache Архитектури Proxy Cache, комбиниран с лошо написан код за управляние на дадена потребителска сесия, е „отворена врата“ за хакерите. Разработчиците на уеб приложения нямат контрол върху Proxy Cache в условията на Интернет. Контролът трябва да се изради на самия уеб сървър. Ето примери, които са цитирани по OWASP за пробиви в системата: Сценарий 1. Уеб приложение за резервация и продажба на самолетни билети позволява URL пренаписване, включвайки идентификатора на дадена сесия, както следва: http://example.com/sale/saleitems;jsessionid=2P0OC2JSNDLPSKHCJUN2J V?dest=Hawaii Оторизираният потребител на сайта информира свой приятел за това, че е закупил самолетен билет за Хаваите. Той му препраща по елетронната си поща линка за покупката, без дори да подозира, че в линка се включва и идентификатора на сесията. Когато приятелят му отвори с браузъра получения 113


линк, то той използва не само идентификатора на сесията, но и правата за ползване на чуждата кредитна карта! Сценарий 2. Уеб приложението не обработва правилно ситуациите на time out (не отхвърля сесията

след

изтичане на

определен

интервал

от

време.

Потребителят, който използва публичен компютър за изпълнение на дадена уеб транзакция, кликва на бутона “logout”, затваря браузъра и напуска залата. Хакерът сяда на неговото място, отваря същият браузър и вижда, че сесията е все още активна. Подобни примери можете да проследите, анализирате и използвате за адекватно програмиране на уеб приложения, които използват „бисквитки“ и кеширане, като използвате отчетите на проекта OWASP. Проект OWASP: Топ 10 на рисковете, допускани при реализиране на информационната защита на организациите през 2013. Изтеглете пълния отчет от http://bit.ly/15XjSFL Таблица 7.7. The Open Web Application Security Project (OWASP) https://www.owasp.org Класация през 2013 г A1 Injection A2 Broken Authentication Session Management A3 Cross-Site Scripting (XSS)

Класация през 2010 г A1: Injection and A2: Cross-Site Scripting (XSS)

A3: Broken Authentication and Session Management A4 Insecure Direct Object References A4: Insecure Direct Object References A5: Cross-Site Request Forgery (CSRF) A5 Security Misconfiguration A6: Security Misconfiguration A6 Sensitive Data Exposure A7 Missing Function Level Access A7: Insecure Cryptographic Storage Control A8 Cross-Site Request Forgery A8: Failure to Restrict URL Access (CSRF) A9 Using Components with Known A9: Insufficient Transport Layer Protection Vulnerabilities A10 Unvalidated Redirects and A10: Unvalidated Redirects and Forwards Forwards

114


Литература 1. Дражев Ст. и др. Социална мрежа за споделяне на знания и опит

между преподаватели и студенти от ИУ-Варна. РЪКОВОДСТВО ЗА РАБОТА., 2012 г. Изд на ИУ-Варна, 196 с. 2. OWASP речник на термините:

https://www.owasp.org/index.php/Category:Glossary Интернет източници 1. Библиотека

на

доц.

д-р

Стефан

Дражев

в

SlideShare

:

(http://www.slideshare.net/stedrazhev/). 2. Библиотека

на

доц.

д-р

Стефан

Дражев

в

Issuu:

http://www.issuu.com/stedranet 3. Microsoft patterns & practices Volume I, Building Secure ASP.NET Applications: Authentication, Authorization, and Secure Communication - http://msdn.microsoft.com/en-us/library/aa302383.aspx 4. Microsoft patterns & practices Volume II, Building Secure ASP.NET Applications: Design Guidelines for Secure Web Applications http://msdn.microsoft.com/en-us/library/ff648647.aspx 5. The

Open

Web

Application

Security

Project

(OWASP)

-

https://www.owasp.org 6. Топ 10 на рисковете допускани при реализиране на информационната защита на организациите през 2013. http://bit.ly/15XjSFL

Дата на създаване на тематичната единица: 18.05.2013г. Дата на последна актуализация на съдържанието на тематичната единица: 30.06.2013г. Автор на тематичната единица: доц. д-р Стефан Дражев

115


ТЕСТ 7 КОНФИГУРИРАНЕ НА КЕШИРАНЕТО НА ИНФОРМАЦИЯТА Въпрос 1. Под cookies или „бисквитки“ ще разбираме? A. малки по обем прорграми, които се съхраняват на вашия компютър. B. малки по обем данни, които се съхраняват на вашия компютър. C. малки по обем прорграми и данни, които се съхраняват на вашия компютър. Въпрос 2. Под cash ще разбираме технология, при която? A. елементи, включени в посетена от вас уеб страница, се съхраняват на вашия компютър. B. Програмният код на посетена от вас уеб страница, се съхранява на вашия компютър. C. Адресът на посетена от вас уеб страница, се съхранява на вашия компютър. Въпрос 3. За изтриване на всички “бисквитки“ се изпълнява следния сценарий в Firefox? A. Alt+T, таб Privacy и кликване на „remove individual cookies“. B. Alt+F, таб File и кликване на „remove individual cookies“. C. Alt+Р, таб Preference и кликване на „remove individual cookies“. Въпрос 4. Технологията Web cache се използва за да се? A. минимизира латентността на мрежата. B. намали Интернет трафика. C. И двата отговора са верни. Въпрос 5. Коя от следните основни технологии за кеширане е невалидна? A. Кеширане от страна на браузъра на клиента. B. Кеширане от страна на клиента. C. Кеширане от страна на сървъра. Въпрос 6. Следният програмен код: <?php header("Cache-Control: no-cache, must-revalidate"); header("Pragma: no-cache"); header("Expires: Sat, 26 Jul 1997 05:00:00 GMT"); ?> се използва за: A. Изтриване на кеша. B. Възстановяване на кеша. C. Забрана на кеша. Въпрос 7. header-директивите се използват за? A. за задаване на метаинформация B. за наименование на колони в таблица. C. за ограничаване или изключване на кеширането. .

116


Въпрос 8. myhttp.info се използва за? A. да тествате cach-директивите при използване на вашия браузър. B. да тествате http-документ. C. да програмирате http-документ. Въпрос 9. Чрез приложението VeiwDNS? A. Получавате анализ на DNS-носителите. B. Получавате анализ на даден DNS. C. Получавате анализ за времето на достъп до даден DNS. Въпрос 10. OWASP е? A. The Open Web Android Security Project. B. The Open Web Applе Security Project. C. The Open Web Application Security Project. Въпрос 11. jsessionid=2P0OC2JSNDLPSKHCJUN2JV е? A. JavaScript идентификатор на приложение. B. Java идентификатор на приложение. C. Вариант на вашия личен сесиен идентификатор. Въпрос 12. Трите най-често допускани рискове при реализиране на информационната защита на организациите през 2013 са? A. Sensitive Data Exposure, Broken Authentication and Session Management, Cross-Site Scripting (XSS). B. Injection, Broken Authentication and Session Management, Cross-Site Request Forgery (CSRF). C. Injection, Broken Authentication and Session Management, Cross-Site Scripting (XSS). . Въпрос 13. Основният риск, допускан както през 2010, така през 2013 г. е? A. Cross-Site Request Forgery (CSRF). B. Cross-Site Scripting (XSS). C. Injection. . Въпрос 14. Рискът, който е на 10то място в класациите през 2010 и 2013 г. е един и същ и е? A. Broken Authentication and Session Management. B. Sensitive Data Exposure. C. Unvalidated Redirects and Forwards. . Въпрос 15. Използването на публичен компютър и неправилно обработваната заявка time out крие следната опасност? A. Хакер да използва вашата парола. B. Хакер да използва вашето потребителско име. C. Хакер да използва вашия сесиен идентификатор.

117


ТЕМА 8 ЗАЩИТА НА ДОСТЪПА ДО ОТДАЛЕЧЕНИ КЛИЕНТИ И МРЕЖИ Съдържание на темата: 8.1. Въведение в организацията на VPN (ВИРТУАЛНИ ЧАСТНИ МРЕЖИ) 8.2. Конфигуриране на защитата във VPN 8.3. Примери за реализация на VPN (банкови услуги)

8.1.

Въведение в организацията на VPN(ВИРТУАЛНИ ЧАСТНИ МРЕЖИ)

Виртуалната частна мрежа (virtual private network, VPN) е мрежа, която използва публична телекомуникационна инфраструктура, като Интернет, с цел осигуряване на достъп до корпоративна мрежа за отдалечени офиси или отделни потребители. VPN осигурява защита на предаваната информация като използва протоколи за тунелиране, като Layer Two Tunneling Protocol (L2TP), и криптографски алгоритми. Като последствие, протоколите изпращат данни през тунел, през който не могат да преминат данни, които не са правилно криптирани. Данните се криптират при изпращането си и се декриптират при получаването си. Криптирането се осъществява не само спрямо данните, но и спрямо мрежовите адреси на изпращача и получателя. VPN може да бъде противопоставена на система от притежавани или наети линии, които се използват само от една компания. Казано по друг начин, VPN е комуникационно оборудване, при което достъпа се контролира, за да се допуснат равни връзки само вътре в определената общност от интереси. В този случай, частният ресурс се изгражда на базата на логическо разделяне, а не на физическо. За подобряване на сигурността някои организации хардуерни VPN решения, докато други използват софтуер или имплементации, базирани на протоколи. Хардуерни решения се предлагат от фирми, като Cisco, Nortel, 118


IBM и Checkpoint. Има и безплатно софтуерно решение за Linux, наречено FreeS/Wan, което използва стандартизиран протокол за сигурност, наречен Internet Protocol Security (IPsec). Тези VPN решения, независимо дали са хардуерно или софтуерно базирани, действат като специализирани рутери, които се намират между IP връзката от един до друг офис. Фигура 8.1. демонстрира виртуалната частна мрежа и по-точно осъществяването на връзка с корпоративните сървъри.

Фиг. 8.1. Виртуална частна мрежа1 Начин на работа на VPN Когато даден пакет се предава от клиент, той се изпраща чрез VPN рутер или шлюз в мрежата (gateway2), който добавя хедър с информация за оторизация (Authentication Header (AH)) за маршрутизация и автентикация. Данните се криптират и се капсулират чрез хедъра Encapsulating Security Payload (ESP) 3 . Най-накрая се извършва декриптиране и обработване на инструкциите. Източник на изображението: http://vpn.hardware-firewall.info/vpn.gif „Gateway - най-общо това е устройство (шлюз) в мрежата, което служи за вход към друга мрежа. Gateway-а е маршрутизатор или друг вид рутиращо устройство.“ http://networkworld.bg/netdict:id_116 3 Повече информация на адрес http://www.networksorcery.com/enp/protocol/esp.htm 1 2

119


Получаващият информацията VPN рутер премахва хедъра, декриптира данните и ги разпраща към местоназначението им (отделен компютър или възел в мрежата). Използвайки връзка от типа „мрежа-към-мрежа“, получаващият възел в локалната мрежа получава пакетите, които са вече декриптирани и готови за обработка. Процесът на криптиране и декриптиране е прозрачен за локалния възел. С подобно засилено ниво на сигурност, неоторизирани лица не би трябвало да „прихващат“ пакетите, но и да ги декриптират. Нарушителите, които застават на пътя между сървъра и клиента трябва да притежават някои от частните ключове за сесията по автентикация, за да могат за разкодират предаваните данни. Ето защо пакетите преминават през няколко етапа на автентикация и криптиране и така се осигурява по-голяма защита на предаваната чрез VPN информация, като се постига едновременно с това и ефективен достъп на множество отдалечени възли. Основни цели при изграждане на VPN за бизнес Целта на виртуалната частна мрежа е осигуряване на защита и надеждност на частна връзка между компютри от дадена мрежа чрез съществуваща публична мрежа (Интернет).

Добре проектираната VPN

осигурява следните предимства за бизнеса: •

Разширени връзки между множество географски локации без използване на наета линия;

Подобряване на сигурността при обмена на данни;

Гъвкавост за отдалечените офиси и служители, които използват фирмения интранет чрез Интернет връзка;

Спестяване на време и разходи за служители, които не е необходимо да идват в офиса, а работят отдалечено, на виртуални работни места. Особено полезно е при аутсорсинг компании, които имат седалище в една страна, а служителите им се намират по цял свят и работят от домовете си;

120


Подобряване на продуктивността на служителите, които работят отдалечено.

Фирмата може и да няма всички изброени изисквания към своята виртуална частна мрежа, но изиска следното: • Сигурност - VPN трябва да осигури защита на данните, които се предават през тунел по публичната мрежа. Ако злонамерени лица се опитат да се възползват от предаваните пакети от данни, то те не трябва да могат да ги прочетат или използват; • Надеждност – служители и отдалечени офиси трябва да имат възможност за отдалечен достъп без да срещат проблеми с връзката до фирмените сървъри. Връзката чрез VPN трябва да има еднакво качество за всеки потребител. • Разширяемост – Когато бизнесът расте, нормално е да се разширяват и неговите VPN услуги, като това разширяване не трябва да изисква изцяло замяна на VPN технологията. В противен случай, фирмата ще трябва да направи огромни разходи и промени, които да се отразят и на служителите й. Интересен факт за VPN е, че няма стандарти за настройката им. Всеки сам решава кои протоколи и компоненти да използва, така че да осигурят необходимата сигурност, надеждност и разширяемост. Предимства и недостатъци на VPN VPN е икономичен начин за изграждане на частна мрежа. Използването на Интернет като основен комуникационнен канал между страните е разходно ефективен, като намалява високите сметки за изграждане на частни линии за комуникация. Разходите за фирмите включват

хардуер

за мрежова

автентикация и софтуер за автентикация на потребителите, както и други механизми, като токени за сигурност

1

и други подобни устройства.

Предимството на VPN пред наетите линии се състои в относителната простота, Това е физическо устройство, използвано за допълнително идентифициране на потребителите. В повечето случаи представлява електронен ключ, който генерира допълнителен код. Кодът се въвежда заедно с потребителската парола. 1

121


скорост и гъвкавост, което прави този тип мрежа много добър избор за корпорации, които се нуждаят от гъвкавост в процеса на работа. Има и някои недостатъци от използването на VPN. Например, липсата на управление качеството на услугата (Quality of Service (QoS) 1 ) чрез Интернет може да доведе до загуба ва пакети и други последствия върху производителността. Неблагоприятни последствия върху мрежата, които са причинени извън частната мрежа, са извън правомощията на мрежовия администратор. Ето защо, много големи корпорации заплащат използването на доверени VPN, които дават гаранции за QoS. Несъвместимостта на търговските марки, които предлагат подобни услуги, е друг недостатък на виртуалните частни мрежи, т.е. технологиите на една фирма се оказват несъвместими с тези на друга. Като недостатък може да се приеме изискването за връзка към Internet в двата края на VPN мрежата. Това може да бъде проблем, ако единият или двата края имат ненадеждна връзка към Интернет. Оборудване, използвано за осигуряване на VPN VPN може да се конфигурира със стандартно компютърно оборудване, което включва стандартни сървъри. Повечето фирми, обаче, предпочитат използването на специално оборудване, оптимизирано за VPN и генерална защита на мрежата. Малките компании избират един от вариантите за създаване на VPN: със собствено стандартно оборудване или чрез фирмадоставчик на VPN услуги, която да управлява тяхната частна мрежа. Подходът, който използват корпорациите, е различен. Те предпочитат да централизират това оборудване, т.е. да го отделят в специализиран център за управление на данни, наречен colo център (произлиза от английското colocation). В центъра се разполагат необходимите сървъри и друго мрежово оборудване, като се осигурява високоскоростна интернет връзка.

Набор от различни правила и технологии в мрежата, позволяващи да се гарантира качеството на дадена телекомуникационна услуга. За да се гарантира то, е необходимо да се въведе стратегия за гарантиране на QoS във всички мрежови компоненти и връзки. 1

122


При планиране или разширяване на VPN е необходимо да бъде съобразено използването на следното оборудване: 

Сървър, осигуряващ достъп до мрежата (Network access server - NAS) – използва се за настройване и управление на всеки тунел във VPN.

Защитна стена (Firewall) – играе ролята на бариера между частната мрежа и Интернет. Администраторите могат да настроят стените така, че да ограничават трафик, като ограничат достъпа до локалната мрежа. За целта се използват TCP и UDP портове. Защитна стена се използва и за локални мрежи, които не са свързани във виртуална частна мрежа. Основното предназначение на защитните стени е протекция срещу злонамерен достъп до части ресурси.

AAA сървър – Съкращението произлиза от трите отговорности, с които е натоварен този сървър: автентикация (authentication), оторизация (authorization) и отчитане (accounting). За всяка VPN връзка, AAA сървърът

потвърждава

самоличността

на

изискващия

достъп

(автентикация), определя дали той може да получи такъв достъп по време на връзката (оторизация) и проследява какво се прави по време на сесията (отчитане). Един от широко прилаганите стандарти за AAA сървъри е RADIUS (Remote Authentication Dial-in User Service или потребителска услуга за осъществяване на отдалечен достъп). RADIUS не се прилага само за потребители, които се свързват чрез dial-up връзка, въпреки че името може да наведе до такива асоциации. Когато RADIUS сървърът е част от VPN, той управлява процесът на автентикация за всички връзки идващи чрез NAS. VPN компонентите могат да работят заедно с друг софтуер в общ сървър, но това не е типично, и може да изложи на риск сигурността и надеждността на VPN. Малки фирми, които използват собствено оборудване, разполагат на общ сървър защитната стена и RADIUS софтуерът. Когато възникне необходимост от разширяване на бизнеса и от там на виртуалната частна мрежа, то VPN оборудването трябва да се оптимизира. Това става чрез използване на други допълнителни устройства, като: 123


VPN Concentrator – това устройство замества AAA сървър,

инсталиран на общ сървър. Хардуер и софтуер работят заедно, за да се създадат VPN тунели и да се управлява голям брой едновременно осъществяващи се връзки. 

Рутер, оптимизиран за VPN (VPN-enabled/VPN-optimized Router) –

грижи се за делегиране на трафика по мрежата. Той има различни добавки, свързани с маршрутния трафик, които използват специфични VPN протоколи. 

Специализирана VPN защитна стена (VPN-enabled Firewall) –

конвенционална защитна стена, осигуряваща протекция върху трафика между мрежите, но с добавени свойства за управление на трафика чрез специфични VPN протоколи. 

VPN клиент (VPN Client) – Софтуер, инсталиран върху специално

устройство, който работи като тунелен интерфейс за множество връзки. Това прави излишно инсталирането на подобен софтуер на всеки отделен компютър от мрежата.

8.2.

Конфигуриране на защитата във VPN

Криптирането е процес, при който определени данни се кодират така, че само един компютър, притежаващ декриптиращия ключ, може да ги разкодира, за ги прочете и използва. Криптирането може да намери приложение в много различни ситуации, но конкретно ще разгледаме случая с VPN. Компютрите на всеки край на тунела криптират данните, които се предават по него и които се декриптират от другата страна. Във виртуалната частна мрежа се използва нещо повече от двойка ключове за извършване на този процес. За целта се прилагат протоколи IPSec или GRE (generic routing encapsulation). GRE е протокол, който капсулира пакети в ред, по който други протоколи трябва да се изпълнят по IP мрежите. GRE

е дефиниран в

124


документа RFC 27841. В него е включена информация за типа на пакета, който ще се капсулира и на връзката между подател и получател. IPSec се използва широко за осигуряване на безопасност на трафика IP мрежи, включително и Internet. IPSec може да криптира данните между различни устройства, включително рутер към рутер, защитна стена към рутер, компютър към рутер и компютър към сървър. IPSec се състои от два подпротокола, които дават инструкции на VPN за осигуряване на безопасното предаване на пакети: • Encapsulated Security Payload (ESP) – криптира със симетричен ключ транспортираните данни; • Authentication Header (AH) – използва специфични операции (поставяне на хедър на пакетите), които спомагат за правилното пакетиране на информацията (например, самоличност на подателя) до пристигането й до местоназначението. Мрежовите устройства използват IPSec в един от два криптиращи режима. В транспортен режим, устройствата криптират данните, пътуващи между тях. В тунелен режим, устройствата, създават виртуален тунел между две мрежи. VPN използват IPSec в тунелен режим с IPSec ESP и IPSec AH едновременно. При отдалечен достъп, тунелирането обикновено се подсигурява с протокола Точка-до-точка (Point-to-point Protocol (PPP)), който е част от интернет протоколите. За отдалечения достъп VPN използва един от трите протокола, базирани на PPP: •

L2F (Layer 2 Forwarding) – разработен е от Cisco; използва всяка схема на автентикация, поддържана от PPP;

PPTP (Point-to-point Tunneling Protocol) - поддържа 40-битово и 128битово криптиране и всяка схема на автентикация, поддържана от PPP;

L2TP (Layer 2 Tunneling Protocol) – комбинира предимствата на PPTP и L2F и пълна поддръжка на IPSec.

1

http://www.faqs.org/rfcs/rfc2784.html

125


Списание Computerworld предлага следните съвети за защита на виртуални частни мрежи1: 1. Използване на най-силния възможен метод за автентикация за достъп до VPN. Този метод се определя от инфраструктурата на мрежата и изисква проверка на документацията на VPN или операционната система за да се определят точните опции. Например, при мрежа със сървъри на Microsoft, най-сигурният начин за автентикация е използване на разширяем протокол за автентикация, осигуряващ безопасност на ниво транспортиране (Extensible Authentication Protocol-Transport Level Security (EAP-TLS)), който се използва със смарт карти. Това изисква инфраструктура на публичния ключ (PKI) и увеличава разходите по безопасното кодиране и дистрибуция на смарт карти. При тези мрежи, Microsoft Challenge Handshake Authentication Protocol Version 2 (MSCHAP v2) и Extensible Authentication Protocol (EAP) осигуряват следващия най-добър метод за автентикация. Password Authentication Protocol (PAP), Shiva Password Authentication Protocol (SPAP) и Challenge Handshake Authentication Protocol (CHAP) са прекалено слаби (ненадеждни), за да бъдат прилагани. 2. Използване на най-силния възможен метод за криптиране при достъп до VPN. При мрежа със сървъри на Microsoft, протоколът L2TP чрез IPsec могат да се използват за целта. PPTP е прекалено слаб, за да се прилага, освен ако клиентската парола гарантира сигурност. OpenVPN, SSL VPN могат да работят при автентикация, базирана на TLS, Blowfish или AES-256 криптиране, както и SHA1 автентикация на предаваните по тунела данни. 3. Ограничаване на VPN достъпа до тези, които имат валидни бизнес причини или само при необходимост. VPN връзката е врата към локалната мрежа и трябва да се отвори само при нужда. 4. По-скоро осигуряване на достъп до избрани файлове през интранет или екстранет, отколкото през VPN. Уеб сайтове, използващи

Източник на информацията: http://www.computerworld.com/s/article/9003779/10_tips_to_secure_client_VPNs?pageNumber=1 1

126


метода на сигурност HTTPS (HTTP Secure) с парола за автентикация, разкриват достъп само до определени файлове на определен сървър, а не до цялата мрежа. 5. Разрешаване на e-mail без да се изисква VPN достъп. На Microsoft сървър се настройва email клиентът Outlook за достъп до Exchange чрез протокол за извикване на процедура за отдалечен достъп (RPC) чрез HTTP, обезопасен чрез SSL криптиране. На други мейл сървъри се разрешава получаване на Post Office Protocol 3 (POP3) и/или Internet Message Access Protocol (IMAP) писма и изпращане на Simple Mail Transfer Protocol (SMTP) писма. Изисква се автентикация (secure password authentication (SPA)) и SSL криптиране за подобряване на сигурността на тези мейл системи. Сигурността на уеб пощата е важна за служителите, които работят отдалечено, тъй като е възможно те да я използват и от компютър, който не е лична собственост. 6. Прилагане на политики за силна парола. В никакъв случай паролата не трябва да е дума, телефонен номер, име на член от семейството или на домашен любимец. Това означава, че паролата е слаба и лесно разгадаема. Препоръчва се паролите да са неизвестни дори за членовете на семейството, да са достатъчно дълги, с включен голям брой символи, за да възпират програми, целящи тяхното „разбиване“. 7. Осигуряване на стабилна антивирусна, анти-спам защита и на персонална

защитна

стена

за

потребителите,

работещи

отдалечено. Потенциално, всеки свързан към Интернет компютър може да е заразен с вируси, с които да зарази фирмената мрежа. Ето защо е необходимо използването на подобен софтуер. 8. Поставяне за известно време под карантина на потребителите, които се свързват към VPN, докато се извърши проверка на компютрите им за безопасност. Когато клиентският компютър стартира VPN сесия, не трябва да му бъде предоставен достъп до частната мрежа, докато не бъде извършена пълна проверка за сигурност. Това става чрез проверка за текущи антивирусни и антиспам подписи, поправяне на възможни пробиви в 127


сигурността на операционната система и деактивиране на софтуер за отдалечен достъп. 9. Забрана за свързване към друга виртуална частна мрежа, в случай, че дадения потребител вече използва фирмената. Свързването на две VPN може да ги „изправи“ една пред друга незащитени, което би било доста опасно и за двете. Повечето VPN софтуер настройва маршрутизирането на клиента чрез използване на т.нар. default gateway1. 10. Осигуряване на безопасността на безжичните мрежи с отдалечен достъп. Служителите, работещи от домовете си, използват лаптопите си, за да се свържат към кабелен или DSL модем посредством тяхната собствена безжична точка за достъп. За съжаление, много безжични рутери никога не се конфигурират за сигурност на връзката:

те са просто свързани и включени. Трябва да се

конфигурират с ключ WPA2. Същото трябва да се направи и с персоналните защитни стени, за да се осигури и безопасност на домашната мрежа.

8.3.

Примери за реализация на VPN (банкови услуги)

В сайта Net Ignition са описани подробно предимствата, които носят виртуалните частни мрежи в банковия сектор. „Банковите услуги и транзакции се определят като критични услуги, особено с включването на онлайн парични транзакции, поради което се появява необходимост от сигурното им управление. Надеждните VPN услуги

Възел в дадена мрежа, който служи за достъп до друга мрежа: http://en.wikipedia.org/wiki/Default_gateway 2 “WPA, кратко от Wi-Fi® Protected Access, е специфично криптиране на данните за безжична мрежа. Подобрената функция на сигурността на WEP използващ Extensible Authentication Protocol (EAP) (разширен протокол за удостоверение) за сигурен достъп през мрежа и метод на криптиране за сигурен пренос на данни. WPA е проектиран за употреба с 802.1X сървър за удостоверяване, който разпределя различни ключове за всеки потребител. Може също и да се използва в режим с по-ниска сигурност с "PreShared Key (PSK)" (предварително споделен ключ). PSK е проектиран за мрежи в дома или малкия офис, където всеки потребител има една и съща парола. WPA-PSK също се нарича и WPA-Personal. WPA-PSK дава възможност на Brother безжично устройство да се свързва с точка на достъп използвайки метод на криптиране TKIP или AES. WPA2-PSK дава възможност на Brother безжично устройство да се свързва с точка на достъп използвайки метод на криптиране AES.” http://stechkin.org/index.php/en/news/useful-information/item/4-bezjichna-sigurnost-gsm-lan-i-wifi-mreji 1

128


са в състояние да предоставят подходящи услуги за осъществяване на банкови транзакции. Надеждността е критична точка и затова трябва VPN решението да е подходящо проектирано. Много банки търсят начини за разширение на бизнеса си с цел увеличаване на клиентската база, като в същото време предлага първокласни услуги на своите клиенти. Разширяването в някои слабо засегнати райони от банката, като се предоставят операции за управление, АТМ операции и комуникации на високо равнище между отдалечени клонове, може ефективно да бъде подкрепено с частни мрежови услуги. Банковите услуги, като банкомати, могат да бъдат конфигурирани да използват VPN IP-базирани решения, при които всяка отдалечена страна може да комуникира с останалите чрез централен хъб. Чрез надеждни и сигурно конфигурирани VPN, банките могат да реализират следните ползи: • Конфиденциалност: Предаването на конфиденциална информация между отделните банкови клонове трябва да става по сигурен начин. Това може да струва много скъпо, ако се установят нарушения с поверителността на информацията, особено когато става въпрос за измама. Възможност за свързване и споделяне на информация между централата и най-отдалечените клонове може да се реализира чрез използването на VPN услуги. Когато обменът на информация се случва между отдалечени обекти, поверителността следва да се запази, за да се гарантира неприкосновеността й. Всяко мрежово решение може да предложи някакъв вид криптиране на данните за обезпечаване сигурността на предаване на данни към други публични мрежи, като Интернет. • Интегритет: Всеки път, когато се осъществява обмен на информация между два или повече отдалечени обекти, има шанс обменяната информация да бъде променяна по време на транзита. VPN осигурява целостта на данните, като се гарантира, че не са настъпили промени по време на трансмисията. Целостта на данните, може да бъде предоставена чрез използването на

129


технологии

като

хеш

функции,

кодове

за

автентикация

(Message-

Authentication Codes (MACs)) и цифрови подписи. •

Автентикация:

Виртуалните

частни

мрежи

позволяват

комуникиращите страни да се идентифицират, което осигурява и безопасност на връзката. В банкирането, автентикацията е от решаващо значение, за да може да се даде право за извършване на много процеси. Могат да бъдат използвани методи на удостоверяване, като многофакторното удостоверяване, пароли и цифрови сертификати. • Сигурност: VPN мрежите създават сигурна връзка за предаване на данни чрез публична инфраструктурна мрежа. Криптирането, декриптирането и удостоверяването за банкомати или дистанционно свързване на обекти могат да бъдат осигурени с помощта на алгоритми за сигурност и създаването на надеждни връзки. • Намаляване на разходите: Нарушенията на сигурността могат да струват много скъпо, особено когато се предава поверителна информация за клиентите. Банките може да спестят на разходи по отношение на общите разходи за маршрутизация на данни от един отдалечен отдалечен отдаленеч клон към друг клон. Повечето доставчици на услуги да предлагат евтини решения, които могат да се използват за насочване на данни с по-малко разходи и без нарушение по предаването на поверителна информация. •

Бързи

транзакции:

Виртуалните

частни

мрежи

позволяват

динамично разпределение на честотна лента (bandwidth). В случаите, когато скоростта е проблем, например, по време на пикови за банките сделки, VPN могат да се използват за осигуряване на честотна лента (линия) при поискване. Ограничаването на скоростта и други параметри по управление на трафика могат да се използват, за да се погрижат за ситуации, при които честотната лента трябва да бъде осигурена за критични операции или приложения.“1 На фигура 8.2. е отразено примерно VPN решение за банки.

Източник на информацията: http://www.netignition.com/the-benefits-of-virtual-private-networks-tobanks 1

130


Фиг. 8.2. Примерно VPN решение за банки, използващо сателитна връзка1

Литература 1. Olifer, V., Different Flavours of VPN: Technology and Applications. The JNT Association, 2007 Интернет източници 1. Virtual Private Network Software: https://it.uoregon.edu/vpn 2. http://technet.microsoft.com/en-us/library/cc785364(v=ws.10).aspx Дата на създаване на тематичната единица: 15.04.2013г. Дата на последна актуализация на съдържанието на тематичната единица: 22.06.2013г. Автор на тематичната единица: ас. Радка Начева

1

Източник на изображението: http://www.hi-stream.com/tl_files/hi-stream/solutions-bank.jpg

131


ТЕСТ 8 ЗАЩИТА НА ДОСТЪПА ДО ОТДАЛЕЧЕНИ КЛИЕНТИ И МРЕЖИ Въпрос 1: VPN е съкращение от: a. Virtual Public Network b. Virtual Private Network c. Virus Private Network Въпрос 2: AAA сървърът се грижи за: a. автентикация, оторизация и отчитане на достъпа до мрежовите ресурси b. автентикация и оторизация на достъпа до мрежовите ресурси c. само за оторизация на достъпа до мрежата Въпрос 3: colo център е: a. помощен център за потребители b. специализиран център за управление на данни c. специализирана VPN Въпрос 4: Токените за сигурност представляват: a. пароли за достъп до сървърите на организацията b. физически устройства, използвани за допълнително идентифициране на потребителите c. потребителски имена на служителите на организацията Въпрос 5: Ipsec е: a. списък с IP адресите на служителите на фирмата, които имат достъп до VPN b. стандартизиран протокол за сигурност c. протокол за електронна поща Въпрос 6: AH е: a. хедър с информация за оторизация b. протокол за сигурност c. вид мрежово устройство Въпрос 7: Потребителската услуга за осъществяване на отдалечен достъп се нарича още: a. VPN b. RADIUS c. Ipsec Въпрос 8:На кой ред са изброени само VPN протоколи? a. POP, VPN, IPSec, PPTP b. SMTP, IPSec, PPT, L2TP c. GRE, IPSec, PPTP, L2TP Въпрос 9: WPA e: a. специфично криптиране на данните за безжична мрежа b. мрежов протокол c. мрежово устройство

132


Въпрос 10: Целостта на данните, може да бъде предоставена чрез: a. използването на хеш функции b. използването на технологии като хеш функции, кодове за автентикация и цифрови подписи. c. използването на цифрови подписи. Въпрос 11: ESP произлиза от ... и се грижи за ..... a. Encapsulated Security Payload, криптирането на транспортираните данни с двойка ключове b. Encapsulated Security Protocol, криптирането на транспортираните данни със симетричен ключ c. Encapsulated Security Payload, криптирането на транспортираните данни със симетричен ключ Въпрос 12: Рутерът, оптимизиран за VPN, се грижи за: a. оторизацията на потребителите b. делегиране на трафика по мрежата c. съхраняване на паролите на потребителите Въпрос 13: QoS е: a. VPN протокол. b. набор от различни правила и технологии за осигуряване на качеството на мрежовите услуги. c. вид рутер. Въпрос 14: NAS е съкращение от: a. Network authorization service b. Network access service c. Network access server Въпрос 15: Добре проектираната VPN трябва да е едновременно: a. сигурна, надеждна, разширяема b. сигурна и разширяема c. стабилна и разширяема

133


ТЕМА 9 ИЗГРАЖДАНЕ НА ЗАЩИТНИ СТЕНИ (FIREWALL) Съдържание на темата: 9.1. Основни концепции за изграждане на защитни стени 9.2. Проучване и анализ на пакетите от данни и IP-рутирането

За да се гарантира сигурността на един компютър, е необходима добре проектирана система, включваща следните елементи:  защитна стена (Firewall), осигуряваща протекция от хакерски атаки и оказваща контрол върху достъпа до Интернет;  антивирусна защита;  филтър върху съдържанието за предотвратяване разглеждането на нежелани Интернет страници или изпращането и получаването на нежелани имейли. В настоящата тема представяме по-подробно защитната стена – какво всъщност е защитна стена, какви функции изпълнява тя, защо е необходима и какви видове защитни стени съществуват, както и подробности около IPрутирането.

9.1.

Основни концепции за изграждане на защитни стени

„Защитната стена е набор от свързани помежду си програми, разположени на мрежов сървър и осигуряващи защитата на ресурсите на частна мрежа от потребители от друга мрежа. Корпорации, разполагащи с интранет мрежа, които разрешават на служителите си да използват Интернет, инсталират защитни стени, за да предотвратят неоторизиран външен достъп до техните лични данни и ресурси, а също и за да контролират външните ресурси, до които техните служители да имат достъп.

134


Основно, защитната стена, работеща отблизо със софтуера на рутера, проучва всеки мрежови пакет, за да опише дали да го разпрати до съответната дестинация или не. Тя също включва или работи с прокси сървър, който прави заявки по мрежата от името на потребителите. Защитната стена често се инсталира на специален компютър, отделен от останалата част от мрежата, така че входящите заявки към ресурсите на частната мрежа да не се отправят директно. Има различни методи за защита. Най-простият е да се сканират заявките с цел да се получи уверение, че те са отправени от приемливи (идентифициран преди) домейни и IP адреси. За потребителите на мобилни устройства, защитните стени осигуряват отдалечен достъп до частната мрежа чрез използване на процедури за сигурност при вход и сертификати за автентикация.“1 Определението на Интернет енциклопедията Webopedia е 2 : “система, проектирана да предотврати неоторизиран достъп до или от частна мрежа. Защитните стени имат хардуерни и софтуерни имплементации или комбинация от двете. Защитната стена се счита за първата линия на отбрана в защитата на личната информация. За по-голяма сигурност данните могат да се криптират.” От Microsoft дават следното определение за защитна стена: „Защитната стена е софтуерна програма или хардуерно устройство, което подпомага защитата от хакери и вируси, които от своя страна се опитват да достигат конкретен компютър чрез Интернет.“ На фигура 9.1. е демонстрирано предназначението на защитната стена.

1 2

Източник: http://searchsecurity.techtarget.com/definition/firewall Източник: http://www.webopedia.com/TERM/F/firewall.html

135


Фиг. 9.1. Какво е защитна стена Windows 8, Windows 7, Windows Vista и Windows XP са снабдени с вградена защитна стена, която е включена по подразбиране1. Препоръчително е (независимо от операционната система) да се използва защитна стена и да се дава и отнема достъпът на определени приложения, които се опитват да достъпват персоналния компютър. Например, при наличие на домашна мрежа или малка офис мрежа е добре да бъдат защитени всички компютри в нея. За целта може да се използва защитна стена под формата на хардуер (рутер) за защита на мрежата, но в комбинация със защитни стени, които са инсталирани на всеки компютър и които предотвратяват разпространението на вируси по мрежата, ако един от тях е вече заразен. При по-големи мрежи се следват различни политики за сигурност, които се определят от съответните мрежови администратори. От предложените дефиниции можем да предложим следното обобщено определение:

защитната

стена

е

софтуер

или

хардуер,

който

възпрепятства неоторизирания достъп до ресурсите на определен компютър или частна мрежа от компютри, като същевременно филтрира и изходящия трафик от компютъра или мрежата от компютри. В днешно време е почти невъзможно дадена фирма да бъде конкурентноспособна без достъп до Интернет. Но този достъп е свързан с риск

да

бъде

застрашена

сигурността

на

данните

или

намалена

производителността на служителите на организацията. 1

Поддръжката за Windows XP приключва през април 2014 г.

136


Използването на добре конфигурирана защитна стена ще предотврати такива проблеми като: • опит да бъдат увредени от хакери твърдите дискове или дънните платки на компютри с важни служебни данни; • изпращане на информация до други лица от програми, инсталирани на компютрите без да е обърнато внимание; • шпиониране на съобщенията, които се изпращат в Интернет; • шпиониране на цялата входяща и изходяща електронна поща; • претоварване на Интернет връзката от други лица, така че потребителите на дадена вътрешна мрежа да не могат да я използват нормално; • персоналът на фирмата ще може да посещава само страници, свързани с неговата работа и няма да се отвлича вниманието си с развлечения в Интернет; • всяка информация, постъпваща в локалната мрежа, може да бъде проверена за наличие на определени нежелани думи и да бъде спряна; • съществува възможност за получаване на предупреждения при всеки опит за хакерска атака, както и справка за действията на всички потребители във вътрешната мрежа. От написаното дотук, можем да направим обобщението, че защитната стена представлява "граничен контролен пункт" за пакетите, желаещи да преминат през нея. Целият трафик се осъществява през този пункт, който има за задача да пропуска само безопасното. При настройка на защитата има два кардинални подхода: • да се пропускат всички данни и услуги с изключение на изрично забранените; • да се забраняват всички данни и услуги с изключение на специално разрешените.

137


Основни функционалности Защитната стена има следните основни функции: • да блокира данните, за които има вероятност да прикриват хакерски атаки - данните се блокират тогава, когато не отговарят на правилата за сигурност, зададени от администратора на мрежата. Например, ако от определен

източник

са

регистрирани

опити

за

хакерски

атаки,

администраторът задава правило за отхвърляне на всички пакети с IP адреса на този източник. Много често за подобно филтриране не е необходим допълнителен софтуер, а е възможно то да се извърши и от маршрутизатора (рутера). Всички съвременни маршрутизатори имат такава функционалност. Освен входящите данни, могат да се блокират и изходящите. По този начин се защитава останалият свят от локалната мрежа и могат да се забранят някои потенциално опасни услуги и действия от даден компютър. Също евентуално проникнал Троянски кон няма как да се свърже с източника, на който изпраща данни. Блокирането на данни е в основата на втория генерален подход за реализация на защитните стени. Така по подразбиране се отхвърлят непознатите протоколи и се осъществява по-силен контрол на трафика; • да скрива информация за мрежата, като за изходящия трафик маскира IP адреса на мрежата с IP адреса на защитната стена. Замяната на адресната информация осигурява анонимност на защитаваната мрежа. Така се прикриват вътрешните мрежови характеристики от външната мрежа. Найчесто се скриват DNS, FINGER и други протоколи. Чрез тях би могла да бъде получена вътрешно мрежова информация, чрез която по-нататъшното проникване в мрежата ще бъде максимално улеснено; • да води дневници (logs) за информационния поток със записи на определени събития – в логовете на защитната стена обикновено се пази подробна информация за допуснатите и отхвърлените от стената пакети, като например мрежовите адреси на източника на пакета и дестинацията, номерата на портовете на източника и дестинацията, типа протокол, и други. На базата на тази информация може да се прави одит на причините за възникване на дадено събитие. 138


Допълнителни функционалности Освен основните си функционалности, защитната стена между мрежи има и допълнителни възможности: • филтриране на съдържанието (content filtering) - когато се налага ограничение за достъп от вътрешни хостове до определени данни и услуги от външната мрежа, то може да бъде реализирано, като се филтрира съдържанието на заявките по адрес или по ключови думи. Обикновено се блокира достъпът до сайтове с пиратско или порнографско съдържание, сайтове за електронна поща. Блокорат се и файлове с някои раширения .AVI, .MP3, понякога и .exe и т.н. При тази функционалност на защитните стени списъкът със забранени (banned) сайтове трябва регулярно да се обновява. При филтрирането на съдържанието може да се избегне досадното или зловредно съдържание на pop-up рекламите, спама по електронна поща, Java аплети, ActiveX програми, троянски коне, вируси и др.; • преобразуване на мрежови адреси и номера на портове (network address translation, port address translation); • балансиране на натоварването (bandwidth shaping, QoS); • откриване на пробиви в системата (intrusion detection). Съществуват маршрутизатори

3

основни

(filtering

вида

routers),

защитни

стени

поддържащи

-

филтриращи

връзката

пакетни

филтри(stateful packet filters), и приложни щлюзове (application gateways). Повечето защитни стени прилагат съчетания от гореспоменатите видове. • Филтриращите маршрутизатори (англ. filtering routers) разглеждат всеки пакет отделно, т.е. не обръщат внимание на пакета като част от установена вече връзка. • Поддържащи връзката пакетни филтри (stateful packet filters ), които разглеждат всеки един пакет като част от вече установената връзка. • Приложни шлюзове или проксита (англ. application gateways или application proxies) – програми, намиращи се между крайния потребител и 139


публичната мрежа, т.е. шлюзовете изпълняват методите вместо крайните потребители, защитавайки ги така от външни опасности. Тези приложения имат силни защитни свойства понеже крайните потребители никога не комуникират директно с хостове в Интернет. В практическия блок на темата може да се открие линк към урок за създаване на допълнителни правила, ограничаващи достъпа до Интернет чрез използване на защитната стена на Windows.

9.2.

Проучване и анализ на пакетите от данни и IP-рутирането

Първо, бихме искали да предложим следната дефиниция за IP-рутиране, публикувана от Techopedia.com: „IP рутирането се определя като процес на транспортиране на данни от източник към дестинация по определен път през две или повече мрежи. IP рутирането дава възможност две или повече устройства от различни TCP/IP мрежи да се свържат помежду си. Techopedia пояснява понятието по следния начин: IP маршрутизирането се изпълнява и управлява от рутера. То се осъществява,

когато

устройство

от

локалната

мрежа

изпраща

към

местоназначението, което се явява външен за мрежата възел. При IP маршрутизирането, външната мрежа е тази мрежа, която изисква предаване на данни през един или повече рутери преди да се достигне дестинацията. Всеки мрежови рутер поддържа таблица с IP адреси и детайли на рутер или други мрежи, към които е бил свързан преди. Веднъж получил пакета от локален компютър / мрежа, маршрутизаторът IP адреса със списъка си на дадената мрежа.

Ако

съвпадението

е

налице,

пакетът

се

разпределя

към

кореспондиращия рутер или списък от рутери, през които той трябва да премине, за да достигне крайната си точка.“1 Фигура 9.2. отразява процесът на IP маршрутизиране.

1

Източник на определението: http://www.techopedia.com/definition/7816/ip-routing

140


Фиг. 9.2. IP рутиране1 Маршрутизиращата таблица е набор от правила, често представени под формата на таблица, която се използва за описание на местонахождението на пакети от данни, пътуващи по дадена мрежа. Маршрутизиращата таблица съдържа

необходимата

информация

за

разпращане

на

пакет

до

местоназначението му по възможно най-подходящия път. Всеки пакет съдържа информация за своя източник и за дестинацията си. Когато пакетът бъде получен, мрежовото устройство проучва пакета и проверява в таблицата си за запис, който да съответства с адреса на дестинацията на пакета. Ако не се срещне съответствие, то пакета бива разпратен към следващото мрежово устройство в мрежата по възможно най-удачния път. Основната информация, която е включена в таблицата, е: 

Назначение (Destination / Next hop): IP адресът на следващото

местоназначение. Това е IP адресът, до който се изпраща даден пакет. 

Мрежова маска (Network mask): тук са вписани всички маски на

подмрежи (subnet masks), които се използват за всяка мрежа. 

Метрика (Metric): определя разстоянието до всеки маршрут, така че

да може да се избере най-добрия, най-ефективния. 1

Източник на изображението: http://orbit-computer-solutions.com/images/IP.png

141


Маршрут (Gateway): списък с IP адреси, които изпълняват ролята на

получатели на пакетите за конкретна мрежа. 

Интерфейс

(Interface):

изходният

мрежов

интерфейс,

който

устройството трябва да ползва за препращане на пакета до крайното му местоназначение. 

Протокол (Protocol) – показва по какъв начин да се изпълни / научи

даден маршрут. Ако в колоната се съдържат протоколи, като RIP1, OSPF2 или друго, а не Local, то съответният рутер получава пакети. Маршрутните таблици могат да бъдат управлявани ръчно от мрежовия администратор или динамично (автоматично). Таблиците за статичните мрежови устройства не се променят освен ако администратора им не ги промени. При динамичното маршрутизиране мрежовите устройства като рутери и суичове управляват транспортните таблици динамично като ползват маршрутизиращи

протоколи

като

RIP

и

OSPF.

При

динамичното

маршрутизиране, мрежовите устройства "слушат" мрежата и засичат всякакви откази на мрежови устройства и натрупване на пакети.

Фиг. 9.3. Маршрутизираща таблица1 RIP (Routing Information Protocol) е дистанционен векторен маршрутизиращ протокол. Подходящ e за малки вътрешни мрежи. Използва бродкастни съобщения. Създава малко допълнителен служебен трафик м/у маршрутизаторите. Не е много стабилен при по големи мрежи и при нарастване на мрежата. Изпраща цялата маршрутизиращата таблица, дори когато не настъпват промени. Предразположен е към зацикляне на маршрути. Прочетете повече за протокола на адрес https://bg.wikipedia.org/wiki/RIP 2 OSPF (Open Shortest Path First) е мрежов протокол, който разделя топологията за рутиране на области. Протоколът е създаден с определена цел, а именно да изпълнява маршрутизиращи задачи в една корпоративна мрежа, като това изисква бързо обновяване на информацията, минимално рутиране на контролен трафик и по-голяма сигурност. Концепцията на OSPF е в създаването, поддържането и разпределянето на база данни със състояние на връзката, която описва сбор от маршрутизатори и техните работещи интерфейси. В тази база се описва също как рутерите са свързани и целта е да бъдат използвани интерфейсите им. Прочетете повече информация за протокола на адрес https://bg.wikipedia.org/wiki/OSPF 1

142


Предлагаме следния видео клип, който може да онагледи написаното в тази

точка

от

темата:

Analyzing

a

Routing

Table

(http://www.youtube.com/watch?v=Qoe8jvpOQhY).

Практически блок Основни концепции за изграждане на защитни стени Интерес за потребителите на Windows операционна система може да представляват някои тънкости около настройката на вградената в нея защитна стена. Предлагаме някои уроци, които биха били от полза за хора, които желаят да ограничат достъпа до някои сайтове на личните или служебните си компютри. Особено полезни биха били за малък офис: • How to Create Advanced Firewall Rules in the Windows Firewall: http://www.howtogeek.com/112564/how-to-create-advanced-firewall-rules-in-thewindows-firewall/ • How To Block A Program Form Accessing Internet With Windows Firewall: http://www.youtube.com/watch?v=HBk60Fl7fzo • How to Block Access to a Website By Using a Microsoft Windows Firewall: http://yourbusiness.azcentral.com/block-access-website-using-microsoftwindows-firewall-18828.html Проучване и анализ на пакетите от данни и IP-рутирането В следните няколко точки намират място уроци, които са свързани с маршрутизирането: • Turn Your Windows PC Into a Wireless Hotspot: http://lifehacker.com/5369381/turn-your-windows-7-pc-into-a-wireless-hotspot • How to configure Static Route on router: http://computernetworkingnotes.com/routing-static-dynamics-rip-ospf-igrpeigrp/static-route-configuration.html 1

Източник на изображението: http://i.technet.microsoft.com/dynimg/IC195193.gif

143


• Tutorial - How to make your laptop as a wireless router: http://www.youtube.com/watch?v=zmha-rFlYhk • IP Forwarding-How to make Windows 7 as a Router: http://www.coretimer.com/?p=401 • How to Enable IP Routing: http://www.wikihow.com/Enable-IP-Routing • Configuring IP Routing: http://www.cisco.com/en/US/docs/security/asa/asa80/configuration/guide/ip.html Конфигуриране на пакетите от данни и IP-рутирането По отношение на конфигурирането на IP-рутирането могат да се следват някои от предложените от нас уроци: • Configuring IP Routing: http://www.chebucto.ns.ca/Chebucto/Technical/Manuals/Max/max6000/isptele/max ip.htm • How to configure Static Routes and Default Routes: http://www.omnisecu.com/cisco-certified-network-associate-ccna/how-toconfigure-static-routes-and-default-routes.htm • How To Set Up a Network Router: http://compnetworking.about.com/od/homenetworking/ht/routerconfigure.htm • How to configure static routes: http://www.networkworld.com/community/node/29872 • Configuring Router Interface Descriptions on a Cisco Router: http://www.petri.co.il/csc_configuring_router_interface_descriptions_on_a_cisco_r outer.htm • Configuring IP Routing Protocols: http://www.net130.com/technic/ciscotech/5ciprout.pdf

144


Литература 1. Internet Firewalls and Security. 3 Com Technical Papers: http://www.linuxsecurity.com/resource_files/firewalls/nsc/pdf/50061901.pdf Интернет източници 1. Understanding the IP Routing Table: http://www.docstoc.com/docs/76928378/Understanding-the-IP-RoutingTable 2. IP Routing and Subnets: http://www.eventhelix.com/realtimemantra/networking/ip_routing.htm#. UcRYqfnfC5L 3. Internet Routing Table Analysis Update: http://meetings.ripe.net/ripe37/presentations/RIPE37-sept2000-Smith.pdf 4. Routing table: http://en.wikipedia.org/wiki/Routing_table 5. TCP/IP routing method: http://publib.boulder.ibm.com/infocenter/iseries/v5r3/index.jsp?topic=% 2Frzai2%2Frzai2routing.htm 6. Configuring static and default routing: http://www.techrepublic.com/article/configuring-static-and-defaultrouting/1056702 Дата на създаване на тематичната единица: 23.05.2013г. Дата на последна актуализация на съдържанието на тематичната единица: 21.06.2013г. Автор на тематичната единица: ас. Радка Начева

145


ТЕСТ 9 ИЗГРАЖДАНЕ НА ЗАЩИТНИ СТЕНИ (FIREWALL) Въпрос 1: Кое е английското съответствие на терминът „защитна стена“? a. Secure wall b. Firewall c. Protected wall Въпрос 2: Какви основни функции изпълнява защитната стена? a. Филтриране на входящ и изходящ трафик на даден персонален компютър или мрежа от компютри с цел защита от неоторизиран достъп до лична информация b. Защитава от вируси даден компютър или мрежа от компютри c. Защитава само персоналните компютри от вируси и хакерски атаки Въпрос 3: Защитната стена може да бъде: a. Софтуерна програма b. Хардуерно устройство c. И двете Въпрос 4: Кое от следните е вид защитна стена? a. Филтриращ маршрутизатор b. Филтриращ суич c. Филтриращ хъб Въпрос 5: IP рутирането се определя като процес: a. на филтриране на данни по IP адресите на участващите във в b. на транспортиране на данни от източник към дестинация по определен път през две или повече мрежи c. на конфигуриране на връзката между два и повече компютъра Въпрос 6: Next hop е: a. Пакетът, който се получава обратно b. IP адресът на следващото местоназначение на даден пакет c. IP адресът, до който се изпраща даден пакет Въпрос 7: RIP е съкращение от: a. Routing Internet Protocol b. Routing Information Protocol c. Real Information Protocol Въпрос 8: OSPF е съкращение от: a. Open Source ProFile b. Open Simple ProFile c. Open Shortest Path First Въпрос 9: Какво е Gateway? a. Компютърът, който изпраща даден пакет b. Списък с IP адреси, които изпълняват ролята на получатели на пакетите за конкретна мрежа c. Вид защитна стена

146


Въпрос 10: Филтриращите маршрутизатори: a. разглеждат всеки пакет отделно b. разглеждат всеки един пакет като част от вече установената връзка c. изпълняват методите вместо крайните потребители, защитавайки ги така от външни опасности Въпрос 11: Поддържащите връзката пакетни филтри: a. разглеждат всеки пакет отделно b. разглеждат всеки един пакет като част от вече установената връзка c. изпълняват методите вместо крайните потребители, защитавайки ги така от външни опасности Въпрос 12: OSPF е: a. мрежов протокол, който разделя топологията за рутиране на области b. дистанционен векторен маршрутизиращ протокол c. вид маршрутизатор Въпрос 13: RIP представлява: a. мрежов протокол, който разделя топологията за рутиране на области b. дистанционен векторен маршрутизиращ протокол c. вид маршрутизатор Въпрос 14: Кой от протоколите използва бродкастни съобщения? a. RIP b. OSPF c. и двата Въпрос 15: Приложните шлюзове: a. разглеждат всеки пакет отделно b. разглеждат всеки един пакет като част от вече установената връзка c. изпълняват методите вместо крайните потребители, защитавайки ги така от външни опасности

147


ТЕМА 10 УПРАВЛЕНИЕ НА ЗАЩИТАТА В ИНТРАНЕТ Съдържание на темата: 10.1. Основи на Web Publishing 10.2. Конфигуриране на Web Publishing сървъра 10.3. Конфигуриране на Web Publishing приложения Всяка организация (фирма, корпорация, фондация, неформална или форма група) може да изгради Интранет система за комуникация.За да осмислим разликите, обикновено в научната литература се сравняват трите основни технологии: Инернет, Интранет и Екстранет. Кои са приликите, кои са разликите, предимства и недостатъци? Таблица 10.1. обобщава някои от тях. Таблица 10.1. Сравнение на Инернет, Интранет и Екстранет Интернет Публичен обмен информацията

Интранет на Локален обмен информацията

на

Публична мрежи с общи правила за адресиране до пълен уеб адрес, вкл. име на домейна

Локална мрежи с вътрешни правила за адресиране (без да е необходимо име на домейн) Потребители – всеки с Потребители – всеки онлайн достъп член на дадена организация Свободно споделяне на Свободно споделяне на ресурси в мрежата ресурси в рамките на организацията Ниска степен на защита

Екстранет Мост между публичен и локален обмен на информацията Разширение на Интранет за адерсиране на Интернет ресурси и клиенти; смесена форма на адресиране Потребители – вътрешни и външни (с определени права за достъп) Свободно споделяне на ресурси в рамките на организацията и от/към определени външни клиенти Ниска степен на защита

Висока степен на защита Обща технология – TSP/IP, стандартни Интернет протоколи

148


И в двете мрежи – Интернет и Интранет се използват браузъри за достъп до дане информационен ресурс. При първоначелен достъп до Интранет е необходимо да се настроят параметрите за Интранет защита. Нека да илюстрираме процеса с използване на Internet Explorer. Ще изпълним последователно следните стъпки: 1. Стартирайте Internet Explorer чрез кликване на Start бутона

, а

след това – кликнете на Internet Explorer. 2. Кликнете на бутона Tools, а след това на Internet Options. 3. Кликнете на таба Security. След това на Local intranet, изпълнете едно от следните действия: o

Кликнете на Default level, ако желаете да възстановите предходни промени до тези по подразбиране.

o

Кликнете на Custom level за да отворите списъка с допълнителни настройки (advanced security settings).

o

Изберете или отхвърлете Enable Protected Mode (при този избор трябва да рестартирате Internet Explorer).

o

Придвижете слайдаера за определите степента на защита.

4. Кликнете на OK след настрйките. Отбележете, че по подразбиране Интранет зоната има същите настройки като Интернет зоната. В тези случаи Internet Explorer не разпознава кога сте в Интранет, т,е, в режим на локален обмен на данните. 10.1. Основи на Web Publishing Ежедневната работа със системи за управление на съдържанието от типа на Issuu, WordPress, Drupal, Joomla, Magento и др. е свързана с онлайн публикуване на информация, наречено

Web publishing. Много от

потребителите се надяват, че щом използват антивирусна програма на своя десктоп или мобилен компютър, то защитата на техните публикации е осигурена. За съжаление, използването само на антивирна програма не е достатъчно.

149


Ще представим накратко технолгоията Web publishing на базата на една от най-добрите платформи за тази цел - http://issuu.com. Issuu

позволява

публикуването на следните видове файлове - PDF, DOC, PPT, ODT, WPD, SXW, RTF, ODP и SXI. Ограниченията са даден документ да съдържа до 500 страници и размерът нафайла да не надвишава 100 МБ. Обикновено, авторът публиква файлове във формат PDF. След като си създадете акаунт, кликнете на бутона Upload за качване на вашата публикация на сървъра. В раздела “General Info” попълнете основната информация за дадента публикация. След конвертиране на файла, публикацията ви е онлайн в Интернет и става част от вашата елетронна библиотека – My Publications. От прозореца My Publications можете да споделите вашата публикация или да я вградите в друг ваш сайт, наприемер, във WordPress блога си. За целта изберете дадена публикация и след това кликнете бутона Share (фиг. 10.1).

Фиг. 10.1. Споделяне на електронната публикация чрез кликване на бутона Share. В режим Share избираме вариант за вграждане в наш сайт – Embed. Системата Issuu генерира следния код за вграждане:

150


<div data-configid="1238763/3923140" style="width: 600px; height: 600px;" class="issuuembed"></div><script type="text/javascript" src="//e.issuu.com/embed.js" async="true"></script> или вариант с iframe: <iframe width="600" height="600" src="//e.issuu.com/embed.html#1238763/3923140" frameborder="0" allowfullscreen></iframe> 10.2. Конфигуриране на Web Publishing сървъра Следните правила са свързани с конфигурирането на сървъра за поддържане на системи за онлайн публикуване на информация. Множество уязвимости в Mozilla Firefox Secunia предаде информация за няколко проблема в Mozilla Firefox. Те могат да бъдат използвани от злонамерени хора с цел провеждане на cross-site scripting и spoofing атаки, кражба на важна информация, преодоляване на мерки за сигурност и компрометиране на потребителска система. Някои неопределени грешки могат да предизвикат проблеми в паметта. Проблем при обработването на елементи в iframe позволява преодоляване на мерки за сигурност. Част от уязвимостите позволяват изпълнение на произволен код. Проблемите са докладвани във версиите до 22.0.

Правило 1. Периодично актуализаиране на сървъра с новата версия на продукта за Web publishing. Най-често актуализацията (upgrade) към нова версия е свързана с откриване на „пробойни“ в защитата. Ако не бъде извършена, ние рискуваме да оставим „отворена врата“ към нашия сървър. Правило 2. Изтрийте инсталационните директории (на фиг. 10.2. – директория installer000) след успешно инсталиране на програмния продукт за Web publishing. Ако тези директории не са изтрити, хакерите много лесно проникват в системата ви

и рестартират нова инсталация,. При новата

инсталация хакерите задават свои идентификатори – име на администратора и парола.

151


Фиг. 10.2. Директория installer000, подлежаща на премахване след инсталиране на програмния продукт за Web publishing. Правило 3. Променете статуса на достъп до директории и файлове. По време на изпълнение на системните програми за настройка на сървера са необходими права на достъп „777“. След приклюване на настройките не забравяйте да върните стандартните права за достъп, които са 755 или 644 (фиг. 10.3).

Фиг. 10.3. Инициализирана на права за достъп до файловете в сървъра Правило 4. Задаване на потребителски префикс на таблиците в базата от данни. Винаги променяйте префикса на таблиците в базата от данни с ваш. Например, използвайте 2-3 нетрадиционно буквено означение от вида uev вместо общоприетото wp7 (WordPress Ver. 7), което е илюстрирано на фиг. 10.4.

Фиг. 10.4. Панел за промяна на префиксите на таблиците в базата от данни Правило 4. Убедете се в наличието на файл .htaccess. Чрез параметрите на

на файл .htaccess можете да осъществите редица рестрикции към 152


файловете на сървъра. Една добра практика е да преименовате този файл като по този начин го направите трудно достъпен за някои категории хакери. Правило 5. Изключете възможността за нерегламентиран достъп до Root-директорията на сървъра ви. Разрешете достъп чрез FTP само на администратора на система. Правило 6. Добавете файл robot.txt. Този файл инструктира спайдерите на търсещите машини кои папки да бъдат индексирани и кои не. Папки с фирмени документи или графически изображения не би трвбвало да се индексират и да са достъпни в публичното уеб пространство при търсене. Правило 7. Винаги използвайте криптиран протокол за трансфер на файлове към и от сървъра, т.е. SFTP. Използвайки SFTP вие не можете да бъдете „послушван“ какви файлове качвате или сваляте. Правило

8.

Използвайте

сложна

администраторска

парола.

Приложения като Lastpass, KeePass и др. ще ви помогмат да генерират трудна за разбиване парола. Нека броят на символите в паролата да бъде минимум 10 1 . Lastpass използва 256-битов ключ и AES метода за криптиране на паролата. Ето един пример как би трябвало да изгрежда подобна парола: kUx?uZ7pV_NW – използвани са малки и големи латински букви, цифри и символи. По подбен начин създайте парола за достъп до базата от данни. Някои потребители неправилно смятат, че наличието на парола за достъп до базата от данни ще понижи производителността на система. Използвайки парола ще намалите риска от SQL-инжекции към базата от данни. Дългите и по-сложни пароли са по-сигурни. Ако правителството конфискува компютъра ви, то може бързо да разгадае простите пароли като автоматично опитва дълъг списък с думи от речника. Автоматизраната речникова атака използва списъци с обикновени думи така, както и характерни имена, както и техните общи изменения (например добавяне на числа към думата от речника или заместване на букви с подобни числа – о - 0).

Можете да видите някои илюстрации, свързани с броя на разрядите на паролите и времето за тяхното „разбиване“ - http://xkcd.com/936 / 1

153


Така че ако е възможна за прочитане от човек, то е възможно да бъде разбита от компютър. Не използвайте имена, заглавия на песни, произволни думи и никакви думи от речника въобще, независимо дали сами, в комбинация с числа или с букви, заменени от числа – хакерът ще я разбие. За по-голяма сигурност на паролата, използвайте дълги фрази, които включват главни и малки букви или едно или повече многоцифрени числа и специални знаци (например #,$ или &) и я сменяйте често. Новият компютърен хардуер обикновено

идва

с

пароли

по

подразбиране,

като

„парола”

или

„подразбиране”, или името на продавача на техниката. Винаги сменяйте тези пароли по подразбиране незабавно! 10.3. Конфигуриране на Web Publishing приложения В този раздел се акцентува на разкриване на критичните точки на уеб приложенията (и в частност – на тези, свързани с онлайн публикуването), които критични точки да са на прицел не само от хакерите, но преди всичко от администраторите или разработчиците на подобен клас системи. В ръководството на Microsoft за проектиране на защитени уеб приложения (Design Guidelines for Secure Web Applications), адрес

http://msdn.microsoft.com/en-us/library/ff648647.aspx,

достъпно на са

посочени

основните критични точки, обект на атаки от страна на хакерите (фиг. 10.5).

154


Фиг. 10.5. Критични точки при конфигуриране на Web приложенията На базата на този модел ние извеждаме следната класификация на уязвимости при разботване на уеб приложения (Таб. 10.2). Таблица 10.2 Уязвимости при Web приложения и потенциални проблеми Категории уязвимости Валидиране на входа

Автентификация Оторизация Управление на конфигурирането „Чувствителни“ данни Управление на

Потенциални проблеми в резултат на Извършване на атаки чрез вграждане на злонамерени низове в самите заяки, полета на формуляри, бисквитки и HTTP хедъри. Низовете включват изпълнение на команди, крос-сайт скриптовеве (cross-site scripting , XSS), SQL инжекции и препълване на буферите. Измамни идентификации, кракване на пароли, получаване на по-високи привилегии и неоторизиран достъп. Достъп до поверителни или рестриктивни данни, подправяне на права и изпълнение на неоторизирани действия. Неоторизиран достъп до административните интерфейси; възможности за актуализиране на данни за конфигурацията, както и неоторизиран достъп до потребителски акаунти и профили. Разкриване и подправяне на поверителна информация. Улавяне на сесийни идентификации в резултат на 155


сесията Криптография

сесийни похищения и измамна идентификация. Достъп до поверителна информация, до профилни пълномощия или и двете заедно. Манипулиране на Атаки тип „Path traversal“ (игнориране на пълния път параметри до директории и файлове), изпълнение на команди чрез байпасиране на механизмите за управление на достъпа; and bypass of access control mechanisms among others, leading to information disclosure, elevation of privileges, and denial of service. Управление на Отказ от обслужване и разкриване на детайлна изключенията служебна информация на системно ниво. Аудитинг и дневник на Невъзможност да се установи неоторизирано транзакциите проникване в системата, невъзможност да се докажат злонамерени действията на потребителя, трудности при диагностицирането на възникващи проблеми. Съобразно дадената хардуерна и софтуерна платформа можете да намерите алгоритми и указания за решаване на описаните проблеми на уеб адреса на MSDN (Microsoft Developer Network), Authentication, Authorization, and Secure Communication.

Литература 1. Дражев Ст. и др. Социална мрежа за споделяне на знания и опит между преподаватели и студенти от ИУ-Варна. РЪКОВОДСТВО ЗА РАБОТА., 2012 г. Изд на ИУ-Варна, 196 с. 2. Закон за специалните разузнавателни средства (СРС). Интернет източници 1. Библиотека

на

доц.

д-р

Стефан

Дражев

в

Дражев

в

SlideShare :(http://www.slideshare.net/stedrazhev/). 2. Библиотека

на

доц.

д-р

Стефан

Issuu:http://www.issuu.com/stedranet 3. Microsoft patterns & practices Volume I, Building Secure ASP.NET Applications: Authentication, Authorization, and Secure Communication - http://msdn.microsoft.com/en-us/library/aa302383.aspx 156


4. Microsoft patterns & practices Volume II, Building Secure ASP.NET Applications: Design Guidelines for Secure Web Applications http://msdn.microsoft.com/en-us/library/ff648647.aspx Дата на създаване на тематичната единица: 09.06.2013г. Дата на последна актуализация на съдържанието на тематичната единица: 30.06.2013г. Автор на тематичната единица: доц. д-р Стефан Дражев

157


ТЕСТ 10 УПРАВЛЕНИЕ НА ЗАЩИТАТА В ИНТРАНЕТ Въпрос 1: Общата технология на Интернет, Интранет и Екстранет се гради на? A. TSP/IP и DNS-адресиране. B. TSP/IP и SMTP протоколи. C. TSP/IP, стандартни Интернет протоколи. Въпрос 2. В Internet Explorer по подразбиране Интранет зоната има? A. Същите настройки като Интернет зоната. B. Същите настройки като Екстранет зоната. C. Същите настройки като на вашия компютър. Въпрос 3. Issuu ви позволява публикуването на следните видове файлове? A. PDF, DOC, PPT, EXE, WPD, SXW, RTF, ODP и SXI. B. PDF, DOC, DOCX, PPT, PPTX, ODT, WPD, SXW, RTF, ODP и SXI. C. PDF, DOC, PPT, COM, WPD, SXW, RTF, ODP и SXI. Въпрос 4. Команда Share в Issuu ви позволява да споделите ваша публикация чрез? A. Получаване на програмен код за вграждане. B. Получаване на линк към даденената публикация. C. И двата отговора са верни. Въпрос 5. След успешно инсталиране на програмния продукт за Web publishing? A. Преместете инсталационните директории. B. Разпакетирайте инсталационните директории. C. Изтрийте инсталационните директории. Въпрос 6. След инсталиране на програмния продукт за Web publishing променете правата на достъп от...на...? A. От 644 на 777. B. От 112 на 644. C. От 777 на 644. Въпрос 7. Задаване на потребителски префикс на таблиците в базата от данни осигурва? A. По-голяма производителност на базата от данни. B. По-малко време за изпълнение на програмния дод. C. По-голяма сигурност и защита на данните. . Въпрос 8. Наличието на файл .hpaccess в системата за Web публикуване осигурява? A. По-голяма сигурност и защита на системата. B. По-малко време за изпълнение на програмния дод. C. По-голяма производителност на базата от данни. Въпрос 9. SFTP е? A. Олекотен протокол за трансфер на файлове. B. Криптиран протокол за трансфер на файлове. C. Криптиран протокол за електронна поща.

158


Въпрос 10. KeePass осигурва?? A. Проверка на паролата за достъп. B. Съхранение на паролата за достъп. C. Генерирането на надеждна парола. Въпрос 11. Автоматизраната речникова атака използва? A. списъци с най-често използваните думи и техните общи изменения. B. списъци с ключови думи. C. списъци с обикновени думи и характерни имена, както и техните общи изменения. Въпрос 12. Приложението за забрана на промяна на параметри е между? A. Вашият браузър и защитната стена на Application сървъра. B. Вашият браузър и защитната стена на сървъра за бази от данни. C. Вашият браузър и защитната стена на Web сървъра. . Въпрос 13. Валидиране на входните данни се извършва от? A. Сървъра за бази от данни. B. Web сървъра. . C. Application сървъра. Въпрос 14. Аудитинг на транзакциите се извършва от? A. Сървъра за бази от данни. B. уеб сървъра. . C. приложния сървър. Въпрос 15. В сравнение с Интернет, Интранет се характеризира с? A. С по-ниска степен на защита. B. Със същото ниво на защита. C. С по-висока степен на защита

159


ТЕМА 11 ЗАЩИТА НА ПРЕДАВАНАТА / ПОЛУЧАВАНАТА ИНФОРМАЦИЯ Съдържание на темата: 11.1. Защита на информацията, предавана по кабелни мрежи 11.2. Защита на информацията, предавана по безжични мрежи 11.3. Примери за нарушаване на защитата при използване на безжични мрежи

Проблемите, свързани с предаването на информация в сложни многомашинни мрежи и осигуряване на адекватна защита от неоторизиран достъп, могат да се групират на няколко нива (слоя) в мрежите. Независимо, че хардуерните (физическите) и програмните компоненти са взаимно обвързани, въвеждането на понятието OSI. Акронимът OSI (The Open Systems Interconnection

1

) означава концептуален модел (ISO/IEC 7498-1) на

комуникационна мрежа, образувана от седем йерархични слоя (вж. Фиг. 11.1.).

OSI

Фиг.11.1. Концепруалем модел на коммуникационна мрежа. Във всеки един от слоевете в OSI модела, освен в първия и последния, се извършва групиране (пакетиране) на данните на порции, при което се образуват два или повече пакета. При пакетирането всеки слой добавя своята

1

The Open Systems Interconnection, http://bit.ly/NU8ssL

160


служебна информация, като поредност, код за грешка, евентуално адреси или номер на услугата и други параметри в зависимост от необходимата функционалност на даденото ниво. Всеки слой изпълнява определени функции, които са следните: 

7-ми слой : Application (Приложен). Този слой работи в тясна връзка с операционната система или приложенията от нея, които ползват мрежата, когато се наложи да се пренася информация. Например, когато потребителят иска да прати някакъв файл, да прочете съобщенията си или да направи нещо друго, свързано с мрежата.

6-ти

слой

:

Presentation

(Представителен).

Този

слой

взима

информацията, която му се подава от слоя на приложенията, като я превръща в някакъв стандартизиран формат, който може да бъде разбран от останалите слоеве. 

5-ти слой : Session (Сесиен). Слой номер 5 установява, управлява, поддържа и може да прекъсва комуникацията с устройството-получател.

4-ти слой : Transport (Транспортен). Този слой осигурява управление на потока от информация - начина по който се пренася, проверка за грешки и възстановяване на увредена при преноса информация. Управлението на потока също означава, че този слой разделя информацията, получена от различните приложения и я предава в отделни потоци по мрежата.

3-ти слой : Network (Мрежов). Начинът, по който ще се изпраща информацията се определя от този слой. Тук се ползват протоколите, поддържащи адресирането и рутирането на информацията.

2-ри слой : Data Link (Канален). В този слой информацията се обработва, за да отговаря на протокола, който се ползва по мрежата. Също тук се определя последователността на пакетите, които ще се изпращат.

1-ви слой : Physical (Физически). Този слой всъщност е самият хардуер - той определя физичните параметри на мрежата - например, нива на

161


волтажа, които определят 0-те и 1-ците, синхронизирането на изпращането на данните и прочие. За да се осигури защитата на информацията в мрежата, за нас особен интерерс предствлява преноса на данните по кебелни и безжични мрежи. В този процес възлова роля изпълняват двата основни слоя - Physical (Физичнски) и Data Link (Канален). От своя страна, каналният слой протоколите на канално ниво заемат ключова позиция в процеса на установяване и поддържане на достоверна комуникационна среда за обмен на данни между две системи и съответните мрежови приложни процеси. Каналното ниво определя достъпа до физическия канал. Възлови възможности (функционалност) са следните:  Управление на достъпа до физическия канал;  Фрагментиране на битовия поток – формиране на кадри (пълната функционалност на кадъра се решава на канално ниво);  Управление на потока кадри, откриване и корекция на грешки във битовия обмен;  Управление на прозрачността;  Как се използва физическата среда ако е предоставена за колективен достъп; Според функционалността, каналното ниво се дели на две поднива:  подниво за достъп до физическата среда (Media Access Control Lear) – MAC;  подниво за управление на логическата връзка (Logical Link Control) – LLC. MAC-идентификаторите (адресите) са организирани в непрекъснато нейерархическо множество (“плоска” адресна схема), като за установяване на MAC-съединение е достатъчно указването на двойка валидни MACидентификатора (адреса). Реализирането на валидно MAC-съединение води до функционалното преобразуване на физическия канал до логически канал (независим от физическата топология и присъщите й методи за управление на достъпа). 162


Техническа неизправности, свързани с предаването на информация в сложни многомашинни мрежи могат да се получат в резултат на софтуерна грешка, отказ на хардуера, природно бедствие, човешка грешка, злоумишлени действия на служител или външно лице. Техническите неизправности обикновено водят до спирането на услуги и прекъсват дадени процеси в организацията. Неизправност може да доведе и до загуба на информация. За приемливо ниво на защита от техническа неизправностни е необходимо да се предприемат следните действия: - да се въведе адекватна защита от вреден софтуер; - да се въведе автоматизирана система за архив; - да се резервират и дублират всички важни компоненти на компютърните системи; - да се изготви план за реакция при настъпване на инциденти/план за възстановяване след срив. 11.1. Защита на информацията, предавана по кабелни мрежи За разлика от безжичното разпространение на информацията, при изграждане на кабелни мрежи, базирани на стандарта Ethernet, в общият случай, говорим за защита на една система, разположена в дадена сграда. В тази сграда физически са свързани компютрите, образуващи локална мрежа, ЛАН (Local Area Network, LAN). Като имаме предвид, че всеки преносим компютър има вграден Ethernet-адаптер за връзка с ЛАН, то веднага можем да си представим какво би станало, ако даден хакер/кракер си постави за цел да проникне в мрежата. С оглед на ограничаване на потенциалните атаки на ЛАН, на съврменния етап всяка организация изгражда своя виртуална частна мрежа. VPN технологията позволява изграждането на криптирана единна компютърна мрежа. Това осигурява достъп до корпоративни бази данни и позволява на компютрите да си обменят файлове независимо къде е физическото им местоположение. Накратко, VPN позволява на служителите от различни градове (офиси) да работят все едно са в съседни помещения. 163


Осигуряването на защита от неснкциониран достъп до кабелната VPN мрежа включва следните възможни технологии:  Един или повече

802.1X IEEE 802.3 Ethernet комутатори. Тези

комутатори трябва да са съвместими с RADIUS-протоколите (Remote Authentication Dial-In User Servicе).  Указател на услугите - Active Directory Domain Services (AD DS). AD DS съдържа потребителските данни за оторизация на достъпа.  Инструкции за управление на група от поребители - Group Policy Management.  Един или няколко сървъра, изпълняващи NPS - Network Policy Server. 

Да се извърши взаимно 802.1X удостоверяване между клиенти за достъп до мрежата и RADIUS сървъри; 802.1X използва сървърни сертификати за компютри, изпълняващи NPS, както и една от следните информации: -

Потребителски идентификационни данни (потребителско име и парола);

-

Дигитални сертификати като за потребителя, така и за компютъра;

-

Smart-карти за достъп.

Свързване по кабел на клиентски компютър. Този начин на достъп изисква осигуряването на 802.1X автентифукация на потребителите на даден домейн, които са свързани с кабелната мрежа чрез използване на клиентски

компютър

под

управлението

на

Windows 7/8

или

Windows XP, Service Pack 3 (SP3). Протоколът EAP (Extensible Authentication Protocol) може да се използва за да добави още едно ниво на безопасност на VPN. Прилагат се и технологиите PPTP - Point-to-Point Tunneling Protocol и L2TP - Tunneling Protocol. За прилагане на EAP в VPN, сървърът трябва да се конфигурира да приема EAP- автентификацията като валиден метод и да има потребителски сертификат X.509. Клиентът в този случай се конфигурира да прилага EAP,

164


при положение че има или Smart-карта (SmartCard Certificate), или потребителски сертификат. 11.2. Защита на информацията, предавана по безжични мрежи Безжичната мрежа сега е вездесъщо средство, свързващо компютрите един за друг и за интернет. Основното безпокойство за поверителността с WiFi е прихващането на комуникациите, които сте изпратил по въздуха. В някои случаи, безжичните рутери могат също да съхраняват малко количество информация, като името и уникалния номер, отбелязан на мрежовата карта (МАК адрес). Безжичните мрежи са особено уязвими за подслушване отдалеч, в крайна сметка „безжичен” значи просто „разпръскване на вашите съобщения през радио” и всеки може да прихване вашите безжичи сигнали, освен ако не използвате криптиране. Слушането на некодирани безжични комуникации е лесно: почти всеки компютър може да го направи с прост packet-sniffing софтуер. Специална експертиза или оборудване не са необходими. Дори по-лошо, правната защита на некодирани безжични комуникации е неясна. Правоохраняването може да оспорва, че не е нужна заповед за подслушване, за да се прихванат некодирани безжични комуникации, защото има изключение от правилата, изискващи подобни заповеди, когато съобщенията,

които

са

били

прихванати,

са

„лесно

достъпни

за

обществеността”. Основно, всяка комуникация през радио спектъра, която не е предадена от вашата телефонна компания и не е разбъркана или кодирана, крие риск за поверителността. При безжичната комуникация сигурността на връзката е от основно значение, тъй като всеки в обхвата на дадена точка за достъп (АР – Access Point), би могъл да получи достъп до мрежата. За да се избегнат последствията от това, най-често трафика през AP се криптира от крайните точки или от самото условия.

165


WAP (Wireless Access Point) - устройство, чрез което се осъществява достъпа на безжични устройства до свързана мрежа, използващи Wi-Fi, Bluetooth или други подобни стандарти.

Фиг. 11. Хипотетична безжична мрежа и точки за достъп. Връзката със свързаната мрежа обикновенно се прави с рутер, който се грижи да разпределя трафика между различните устройства. AP се делят на две основни групи - индустриални, които са направени със здрав метален корпус и са много устойчиви на резки температурни изменения, влага, прах и други замърсявания, и домашни (на снимката), които са по-компактни и осигуряват

по-базови

функции

(индустриалните,

например

могат

да

изпълняват още ролята на бридж, рутер или клиентско устройство). Повечето безжични точки за достъп (WAP) използват стандарта 802.11 (и неговите разновидности) за пренос на данни по канали с различни радио честоти и скорости, а от гледна точка на сигурността включват механизми като WPA-PSK, по-новият WPA2, RADIUS, WDS, WEP и други. Алгоритмите за криптиране се делят на няколко генерации, като найстарият - WEP вече се смята ненадежден и използването му се избягва. WPA и WPA2 предлагат по-добри схеми за кодиране и ако се използват силни пароли и ключови фрази, разбиването им се счита практически невъзможно. WPA - (Wi-Fi Protected Access) е протокол, който предлага по-сигурна автентификация от WEP. WPA разполага с подобрени кодиращи и автентикационни характеристики спрямо WEP. В действителност WPA е създаден от мрежовата индустрия в резултат на недостатаците на WEP.

166


Една от ключовите техники, включена в WPA,

е Temporal Key

Integrity Protocol (TKIP). TKIP третира допустимите слабости на кодиране на WEP. Друг ключов компонент на WPA е вградената автентикация, която WEP не предлага. С тази функция, WPA обезпечава сигурността на VPN тунел с WEP, като ползата е по-лесна администрация и употребата. Друг вариант на WPA е така наречения Pre Shared Key (предварително споделен ключ) или за краткост WPA-PSK. WPA-PSK е опростена, но все пак - по-добра форма на WPA. За да използва WPA-PSK, се задава статичен ключ или парола както при WEP. Обаче използвайки TKIP, WPA-PSK автоматично сменя паролите през определен интервал от време. По този начин мрежата е много трудна за достъп от хакери. За по-добри резултати се използва код с до 63 символа, представляващ микс от цифри и букви, и отхвърлящ използването на обикновени английски думи. WEP - (Wireless Equivalency Privacy) Протокол, който използва ключ от цифри и букви, за да предпази други устройства да се свържат с безжичната

мрежа.

WEP протоколът е базиран на схема за сигурност наречена RC4, която използва комбинация от код, въведен от потребителя и стойност, която се генерира от системата. Първоначално WEP кодирането е прилагало 40 битово кодиране, 40 бита за код на потребителя и допълнително 24 бита генерирани от системата (64 бита общо). Времето е показало, че това 40-битово кодиране е прекалено лесно за декодиране и в последствие са се появили 128 битово кодиране, 152 и 256. Ключовете не се изпращат по мрежата, а се съхраняват в безжичния мрежови адаптер или регистратурата на Windows. В зависимост от това как е изградена безжичната мрежа WEP е само един елемент от цялостната сигурност на безжичните мрежи. Първите пробиви в WEP защитата са реализирани още през 2001 г., но тогава за разбиването на кода са необходими 4 милиона пакети данни (и 167


самото разбиване на защитата траеше дни). В последните години чрез употреба на по-малко пакети хакването на системата е постижимо за 10-20 минути. За извличането на 104-битов WEP ключ може да бъде постигнато буквално за три секунди при употреба на 1.7GHz Pentium M процесор. Събирането на необходимите пакети от данни (между 40 000 и 85 000 пакета) става за около минута, а самото хакване би могло да бъде извършено дори докато се вървите по улицата чрез мобилния телефон или джобен компютър. Същата е и ситуацията с BlueTooth устройствата. Налице са редица софтуерни приложения, работещи най вече под Linux и Android, чрез които се получава достъп до информацията, съдържаща си в устройствата с разрешена BlueTooth услуга. Откриването на BlueTooth се извършва чрез използването на така наречените скенери за откриване като BlueScanner, BlueSniff, BTBrowser, BTCrawler и др., а хакването – чрез BlueBugger, Bluediving и др. Два метода на автентикация могат да се използват при WEP протокола: Open System и Shared Key: Open System автентикацията, която, по-точно казано, представлява никаква автентикация, позволява свързването на всякакви устройства към мрежата без извършване на проверки за сигурност. Shared Key автентикация изисква входните точки и безжичните клиенти да ползват едни и същи WEP ключове за да се автентицират. Това означава, че WEP прябва да е включен и конфигуриран по един и същи начин и за клиентите и за входната точка. Проблеми в сигурността на множество Cisco устройства Secunia докладва за уязвимости в множество Cisco устройства. Те мгоат да бъдат използвани от хакери с цел компрометиране на апарат или провеждане на Denial of Service атака. Определени входни данни не се обработват правилно преди да бъдат използвани в команди. Този факт позволява на хакери да изпълняват произволни команди върху устройството. Грешки при обработването на HTTP/S и TCP връзки могат да прекъснат работата на определени процеси. Пълен списък със засегнатите продукти и версии може да бъде открит на сайта на производителя.

11.3. Примери за нарушаване на защитата при използване на безжични мрежи 168


Непрекъснатото разпространение на мобилни безжични устройства води до появата на често регистрирани пробиви в системите – перонални и корпоративни. Сперед консултанската фирма Гартнър (Gartner) един от начините да се намалят пробивите в мобилни безжични устройства е като им се инсталира софтуер тип „защитна стена“. През 2006 г. изследователите откриват, че проблемите с драйверите за безжичния интерфейс на устройствата могат да бъдат използвани по различни начини от атакуващи зложелатели. Драйверите работят на ниво ядро на ОС, където зловредният код потенциално има достъп до всички части от системата. Обикновено тези уязвимости в драйверите включват манипулиране на дължината на специфични блокове от информацията, съдържаща се в кадрите за безжично управление, причинявайки препълване на буфера при стартиране на зловредната програма. Драйверът ще обработи тези елементи от данните независимо дали адаптерът ги асоциира с дадена точка за достъп. Така че комбинацията от работеща мрежова безжична карта и уязвим драйвер може да направи потребителя податлив на атака. Очевидното решение е замяна на уязвимите драйвери. Но това е процес ад-хок. В Windows-света повечето безжични драйвери са част от софтуерни пакети на независими разработчици, които не извършват обновяване заедно с обновяването на Windows, което затруднява премахването на проблема. Атакуващите стават все по-изобретателни и знаят какво и как да атакуват, непрекъснато увеличавайки асортимента от тактики за избягване или объркване на приложенията за откриване и предпазване от прониквания (IDS/IPS). Дългосрочното решение е по-интелигентни IDS/IPS системи, които всеобхватно ще следят и анализират безжичния трафик и поведението на потребителите/приложенията. Но според учените подобни решения, например на колежа в Дартмът Project MAP (за измерване, анализ и защита), са все още в начален стадий на развой. Втората безжична заплаха е свързана с факта, че много от мобилните потребители неглежират проблемите на безжичната сигурност. „Най-голямата заплаха са хората, които ползват отворени Wi-Fi точки за достъп и не 169


употребяват криптиране или VPN, заявява Давид Котс 1 , професор по компютърни науки в Дартмът и един от водещите учени в проекта МAP. - Те вярват на случайно избран hotspot оператор или просто точки за свободен достъп, на които предоставят своите лични и бизнес данни. Хората са доста небрежни”, твърди професорът. И това е доста дипломатичен израз. Консултантът по сигурността Вин Швартау2 обяснява как неговият 12годишен син използва Windows базиран Palm Treo за безжично подслушване на бизнес пътници, използващи своите лаптопи или PDA на летища или други места с обществени Wi-Fi мрежи. Той съвсем рутинно е събирал комбинации от име и парола за достъп до корпоративни мрежи. “Синът ми имаше пароли до мрежите на 40 от компаниите във Fortune 100”, добав Швартау. Ключовата уязвимост е, че тези потребители, макар да използват криптиран VPN тунел за достъп до корпоративната мрежа, често ползват и некриптирана безжична връзка за достъп до Интернет поща или други Web сайтове, позволявайки на младия Швартау да събира информация за достъп до потребителския акаунт за Web поща. Той го е използвал, за да изпрати съобщение на потребителя от собствения му акаунт. “По този начин аз мога да заразя машината и да получа достъп до VPN акаунта ви”, обяснява Швартау. Обратната страна на медала при този проблем е свързана с персоналните мобилни устройства, които през отворения „Див Интернет запад“ се свързват към корпоративните мрежи. “Обикновено стандартите и процедурите по сигурността често се пренебрегват, когато на потребителите е разрешено да свързват своите собствени устройства - твърди Лора Мелис 3 , директор „Информационна сигурност“ на международното летище в Атланта. - Например те може би нямат схема за регулярно архивиране на информацията, нямат инсталирана firewall или антивирусна защита и не използват криптиране или сертификати за строга автентификация.” “Вече никой не може да определи периметъра на корпоративната мрежи – казва Швартау. - Правилото е: „Не се интересуваме откъде си се вързал към Сп. Networkworld, http://networkworld.bg/510_goreshti_vaprosi_za_bezzhichnite_mrezhi Сп. Networkworld, http://networkworld.bg/510_goreshti_vaprosi_za_bezzhichnite_mrezhi 3 Сп. Networkworld, http://networkworld.bg/510_goreshti_vaprosi_za_bezzhichnite_mrezhi 1 2

170


корпоративната мрежа. Щом вече си вътре, можеш да правиш каквото поискаш, но ние ще те следим.” Тази заплаха ще става все по-голяма, тъй като броят на необучените мобилни потребители ще нараства, а заедно с това „ще се надува и балонът“ с чувствителни персонални или корпоративни данни, достъпни от техните мобилни устройства. Често срещана атака към мобилните беьжични мрежи е възникването на отказ от обслужване или DoS атаки. Има два типа DoS атаки, които набират скорост. Едната използва радиовълните, за да заглуши безжична точка за достъп или мрежова безжична карта. Другата, по-сложната, видоизменя протоколите 802.11n, за да стигне до същия резултат – блокиране на радиото, което не може да получава или да изпраща. Добър пример за заглушаване, макар и не създаден нарочно, са смущенията, причинени от пътуващите ТВ ретранслаторни станции или домашните микровълнови печки. Някои изделия тип „Направи си сам“ и търговски „радиосмутители“ имат същата мощ. При къси разстояния зложелателите не се нуждаят от много. В магазините се намират джобни заглушители,

които

могат

да

разрушат

три

радиочестотни

канала,

включително в 2,4 Ghz обхват, от разстояние до 30 метра. Рекламират се като средство за блокиране на „шпионски камери“, работещи с безжична връзка. Друг модел с размер на PDA е с обхват около 9 метра. Наскоро публикувана статия на индустриалната група „Общество за инструменти, системи и автоматизация“ (ISAS) разглежда заглушаването в перспектива. Ричард Каро, изпълнителен директор на CMS Associates, изтъква няколко причини защо заглушаването не е лесна задача, въпреки някои твърдения и пресилени страхове. Каро споменава, че тактиката за радиосмущения, използвана от германската армия по време на Втората световна война, е довела до измислянето на комуникации в разпределен спектър със „скачаща“ честота, а тази контрамярка е патентована като технологична иновация от Хеди Ламар и неговия съдружник Джордж Антей. “Интерференцията определено е проблем, казва и Грег Матиас от Farpoint Group. - Ние успяхме да създадем няколко сценария с лоша 171


интерференция и да видим какво е нейното влияние. Интересно бе да се види колко много вреди могат да бъдат нанесени.” В момента няма реални контрамерки срещу насочените заглушаващи атаки в делиберализирания честотен обхват, освен бързо да ги засечете с инструмент като спектралния анализатор на Cognio, който се предлага от Cisco като част от пакета средства за управление на безжични LAN мрежи. Веднъж локализирали натрапника, можете да използвате силови методи (оторизирана охрана) за да го спрете. По-труден за улавяне е вторият тип DoS атаки, злоупотребяващи с MAC протоколите от 802.11, като за целта се правят промени в драйверите и системния софтуер (фърмуер). Тази атака може да доведе до некоректна работа на мрежовата карта с MAC протоколите. Проблемът е част от изследваните в проекта MAP Project области (за измерване, анализ и защита), реализиран съвместно с Aruba Networks. В тези случаи, тъй като картата не се държи коректно и не следва правилата, тя прави мрежата неизползваема и от останалите устройства. Пример за този подход е при изпращане на деавтентифициращи рамки до специфичен клиент или тяхното масово изпращане до всички клиенти на дадена точка за достъп. Повечето изискват веднага ауторизация. Ако атаката се повтори, ще има прекъсвания в потока от вашия Wi-Fi телефонен разговор или във видеопотока. Засега отговорът е същият като при заглушаващите атаки: възможно най-бързо засичане на проблема, откриване на злосторника и неговото арестуване. В дългосрочен план обаче е добре самият протокол да бъде коригиран. Последните изследвания в областта на защитата на безжичните комуникации са свързани с изпълнението на Седма рамкова програма на ЕС. По-подробна информация може да се намери на уеб адреса на прорамата http://cordis.europa.eu/fp7/ict/security/projects_en.html .

Литература

172


1. Дражев Ст. и др. Социална мрежа за споделяне на знания и опит

между преподаватели и студенти от ИУ-Варна. РЪКОВОДСТВО ЗА РАБОТА., 2012 г. Изд на ИУ-Варна, 196 с. 2. Закон за специалните разузнавателни средства (СРС).

Интернет източници 1. Библиотека на доц. д-р Стефан Дражев в SlideShare : (http://www.slideshare.net/stedrazhev/). 2. Библиотека на доц. д-р Стефан Дражев в Issuu: http://www.issuu.com/stedranet 3. Сп. Networkworld, http://networkworld.bg/510_goreshti_vaprosi_za_bezzhichnite_mrezhi 4. Седма рамкова програма на ЕС за безопасност и защита: http://cordis.europa.eu/fp7/ict/security/projects_en.html Дата на създаване на тематичната единица: 10.06.2013г. Дата на последна актуализация на съдържанието на тематичната единица: 30.06.2013г. Автор на тематичната единица: доц. д-р Стефан Дражев

173


ТЕСТ 11 ЗАЩИТА НА ПРЕДАВАНАТА / ПОЛУЧАВАНАТА ИНФОРМАЦИЯ Въпрос 1. Архитектурата OSI е изградена на базата на? A. 3-слоен модел. B. 12-слоен модел. C. 7-слоен модел. Въпрос 2. Първият слой в OSI е свързан с? A. физичните параметри на мрежата. B. физичните параметри на сървъра. C. физичните параметри на клиентския компютър. Въпрос 3. Според функционалността, каналното ниво се дели на две поднива? A. MCА и LIL. B. MAC и LLC. C. MCА и LLC. Въпрос 4. Под „User credentials“ се разбира? A. Потребителско име, ЕГН и парола. B. Потребителско име, ЕГН, номер на личната карта и парола. C. Потребителско име и парола. Въпрос 5. RADIUS-протокола се използва за? A. За проверка на потрбителки услуги в VPN. B. За очертаване на защитине периметър на устройство в VPN. C. Отдалечена автентификация в VPN. Въпрос 6. Протоколът EAP добавя още едно ниво на? A. зашита в контролера. B. зашита в клиентския компщтър. C. зашита в VPN. Въпрос 7. WAP е? A. Област за данни в приложение. B. Точка на достъп в приложна програма. C. Точка на достъп в безжични мрежи. . Въпрос 8. Pre Shared Key е вариант на? A. WPA. B. WAP. C. PAW. Въпрос 9. WEP протоколът е базиран на схема за сигурност наречена? A. RC1. B. RC4. C. RC7. Въпрос 10. Откриването на BlueTooth се извършва чрез използването на? A. BlueScnnr, BlueSniff, BTBrowser, BTCrer. B. BlueScnnr, BlueSnаiff, BTBrwsr, BTCrawler. C. BlueScanner, BlueSniff, BTBrowser, BTCrawler.

174


Въпрос 11. Shared Key автентикация изисква входните точки и безжичните клиенти да ползват? A. различни WEP ключове за да се автентизират. B. едни и същи WEP ключове, но различни права за да се автентицират. C. едни и същи WEP ключове за да се автентицират. Въпрос 12. Приложението за забрана на промяна на параметри е между? A. Вашият браузър и защитната стена на Application сървъра. B. Вашият браузър и защитната стена на сървъра за бази от данни. C. Вашият браузър и защитната стена на Web сървъра. . Въпрос 13. 802.11n е стандарт за? A. безжична домашна мрежа. B. безжична интернет мрежа. . C. безжична интернет WAN-мрежа. Въпрос 14. Project MAP е проект за? A. за измерване на транспортни мрежи. B. за измерване и анализ на компютърни мрежи. C. за измерване, анализ и защита на компютърни мрежи. Въпрос 15. Фирмата Гартнър (Gartner) е? A. За проучвания в областта на семейния бизнес. B. За проучвания в малкия и среден бизнес. C. За проучвания в областта на ИКТ.

175


ТЕМА 12 MS SECURITY SOFTWARE Съдържание на темата: 12.1.

Класификация и предназначение

12.2.

Прилагане на софтуер за защита

12.1. Класификация и предназначение „Microsoft Security Essentials е антивирусен софтуер. Той се бори със злонамерен софтуер (malware1), като компютърни вируси, шпионски софтуер, руткит и троянски коне. MSE може да работи върху Windows XP, Windows Vista и Windows 7. Той заменя Windows Live OneCare 2 , преустановена комерсиална антивирусна услуга, базирана на абонамент и безплатния Windows Defender 3 , който допреди Windows 8, защитаваше потребителите единствено от рекламен софтуер (adware) и шпионски софтуер. Microsoft Security Essentials е създаден на същата основа, както и другите антивирусни продукти на Майкрософт. Всички те използват идентични антивирусни дефиниции и програмна основа (engine), известна под името Microsoft Malware Protection Engine (MSMPENG). Microsoft Security Essentials обаче няма персонална защитна стена (firewall) и възможности за

Съкратено от malicious software. Това е софтуер, създаден и използван от злонамерени лица с цел осъществяване на достъп до частни компютърни системи, от които се извлича лична информация. Терминът се използва за обозначаване на вражески, натрапчив софтуер. Софтуерът, който се използва за защита на отделни потребители, малки и големи организации, са антивирусни и антималуеър програми, както и защитни стени. 2 Оригиналното наименование е Windows Live OneCare и представлява услуга за повишаване на безопасността и производителността на персонален компютър, създадена от Microsoft и предназначена за Microsoft Windows. Поддръжката на продукта е прекратена на 11 април 2011 г (http://windows.microsoft.com/bg-bg/windows/security-essentials-onecare). 3 Софтуерен продукт на Microsoft, известен още като Microsoft AntiSpyware и използван за борба с malware. 1

176


централизирано управление, каквито има в OneCare или Forefront 1 Endpoint Protection (FEP)2. Microsoft Security Essentials предлага защита в реално време. Той непрекъснато наблюдава файловата и програмна активност на компютъра, сканира новите файлове, при тяхното създаване или сваляне. При засичане на опасност, MSE забранява активността и пита потребителя за указания. Ако не получи отговор до десет минути, то тогава подозрителната активност се третира спрямо настройките по подразбиране, дефинирани в секцията Настройки на продукта. В зависимост от настройките, Microsoft Security Essentials може да създаде системна точка за възстановяване (System Restore point), преди да премахне засечения злонамерен софтуер. Като част от защитата в реално време, Microsoft Security Essentials докладва цялата подозрителна дейност на наблюдаваните програми на Microsoft SpyNet3, уеб базирана услуга. Ако доклада съвпада с новооткрити заплахи, за които все още не са публикувани общи вирусни дефиниции, то Microsoft Security Essentials сваля специфичната дефиниция за конкретния злонамерен софтуер, за да го премахне. Microsoft Security Essentials се базира на дефиниции на вируси, за да противодейства на злонамерен софтуер. Той автоматично проверява и сваля обновяванията на вирусните дефиниции , които се публикуват три пъти на ден от Microsoft Update, уеб базирана услуга за обновяване на софтуер. Като алтернатива, потребителите могат да свалят обновяванията ръчно от портала на Microsoft Security. Според Майкрософт, изискванията към хардуера за Microsoft Security Essentials се различават, в зависимост от операционната система. На компютър с Windows XP, Microsoft Security Essentials изисква централен процесор с честота не по-малко от 500 MHz, както и минимум 256 MB Фамилия от софтуерни продукти за защита на компютърни мрежи, мрежови сървъри и индивидуални устройства. 2 Официален уеб сайт http://www.microsoft.com/en-us/server-cloud/system-center/endpoint-protection2012.aspx 3 Мрежа (онлайн общност) за взаимопомощ на Windows Defender и Microsoft Security Essentials потребители, в която е описано предназначението на специализирания софтуер, който се използва за борба с шпионските програми. 1

177


оперативна памет. На Windows Vista или Windows 7 компютър, Microsoft Security Essentials изисква минимум 1 GHz процесор и 1 GB оперативна памет. Microsoft Security Essentials също така се нуждае от монитор с резолюция на екрана минимум 800х600 пиксела, 200 MB дисково пространство и мрежова връзка с Интернет. В допълнение, операционната система, върху която е стартиран Microsoft Security Essentials, трябва да бъде легитимно лицензирана. Microsoft Security Essentials не изисква регистрация или лична информация.“1 По-долу са предоставени някои от начините, чрез които Microsoft Security Essentials защитава компютъра. Защита в реално време Защита в реално време означава отстраняване на потенциалните заплахи, преди те да се превърнат в проблем. Уведомленията ви известяват, когато шпиониращ софтуер, вируси или друг опасен софтуер се опитва да се изпълни или инсталира на компютъра, а на подозрителните файлове и програми не се разрешава да се отворят. Сканиране на системата Microsoft Security Essentials предлага възможности за пълно сканиране на системата с опции както за планирано, така и за сканиране при поискване, които

предоставят

допълнително

ниво

на

надеждност.

Планираните

сканирания се включват по подразбиране и се конфигурират за изпълнение всяка седмица в 2 ч. сутринта, когато системата е неактивна. Има три опции за сканиране: • Бързо сканиране. Функцията за бързо сканиране е включена по подразбиране и бързо проверява областите, които е най-вероятно да бъдат заразени със злонамерен софтуер, включително заредените в паметта програми, системните файлове и системния регистър.

1

Източник на информацията: http://bg.wikipedia.org/wiki/Microsoft_Security_Essentials

178


• Пълно сканиране. Чрез пълното сканиране можете да проверите всички файлове в компютъра, системния регистър и всички текущо изпълняващи се програми. • Сканиране по избор. Функцията за сканиране по избор дава възможност за сканиране само на избрани от вас области. Можете да изберете кога да се изпълни дадено планирано сканиране, да прегледате резултатите от сканирането преди почистване или да изпълните сканиране при поискване. Ако компютърът не е включен, когато е планирано да се изпълни сканирането, Microsoft Security Essentials ще стартира сканирането при първа възможност, когато компютърът не е в режим на заспиване и е неактивен. Почистване на системата Когато Microsoft Security Essentials открие вероятна заплаха в компютъра, получавате известия за заплахата. Заплахите се класифицират в различни нива като "Много високо", "Високо", "Средно" или "Ниско" и можете да изберете дали да ги игнорирате, да ги поставите под карантина или да премахнете съответния елемент от системата. • Карантина. Microsoft Security Essentials блокира по-малко опасните заплахи и ги премества в опашката за карантина, където можете да ги възстановите или да ги изтриете за постоянно. Чрез поставянето на даден елемент под карантина можете да изпробвате ефекта от премахването му, преди да го изтриете от системата. • Премахване. Това действие води до пълното изтриване на елемента от системата. • Разрешаване. При това действие Microsoft Security Essentials спира да открива елемента в бъдещите сканирания, като го добавя към списъка Разрешени елементи. Можете да премахвате елементи от списъка Разрешени елементи по всяко време. Интегриране със защитната стена на Windows 179


Поддържането на активна защитна стена е част от защитата на компютъра. По време на инсталиране Microsoft Security Essentials сканира компютъра, за да установи дали в него има активна защитна стена. Ако не е налична защитна стена, ще ви се предостави опцията да включите защитната стена на Windows. Услуга за динамични сигнатури Защитата трябва да е актуализирана, за да бъде ефективна. Динамичната сигнатура е начин за проверка на това дали дадена подозрителна програма е опасна или не. Преди изпълнението на дадена подозрителна програма Microsoft Security Essentials я изпълнява, за да определи какво възнамерява да върши тя. При този процес на програмите се предоставят специални сигнатури, които се проверяват в нашата база данни за опасни и безопасни програми. Дори когато програмите са одобрени, те се наблюдават, за да се гарантира, че няма да извършат потенциално опасни действия, като например неочаквано осъществяване на мрежова връзка, промяна на основни компоненти на операционната система или изтегляне на злонамерено съдържание. За да откриете информация, актуализации на дефиниции и анализ на всички нови заплахи, от които може да ви защитава Microsoft Security Essentials , посетете центъра на Microsoft за защита от опасен софтуер. Защита от комплекти за пълен достъп Комплектите за пълен достъп са тип злонамерен софтуер, срещу който е особено трудно да се осигури защита. Microsoft Security Essentials включва редица нови и подобрени технологии, за да се справи с комплектите за пълен достъп и други агресивни заплахи. Ядрото се намира в сърцето на операционната система на компютъра. Microsoft Security Essentials го следи за атаки или вредни модификации. Комплектите за пълен достъп използват тайни методи, за да се прикриват, но Microsoft Security Essentials разполага с най-новата технология против невидимост, за да ги разкрива. Например, при директното анализиране 180


на файловата система се откриват и премахват злонамерени програми и драйвери, в които комплектите за пълен достъп се опитват да проникнат. Защита от реални заплахи, опасен софтуер Microsoft Security Essentials блокира злонамерен софтуер. Ние създаваме списък с най-популярните уеб сайтове и изтегляния в интернет и го използваме, за да изпробваме нашите актуализации и дефиниции против злонамерен софтуер, преди те да достигнат до вас. Това ни помага да се уверим, че предлаганата от нас защита наистина предпазва, а не блокира компютъра ви. Ето какво ви е необходимо, за да работи ефективно Microsoft Security Essentials: • Операционна система: Windows XP SP3; Windows Vista (Service Pack 1 или Service Pack 2); Windows 7 / 8 

За Windows XP: компютър с тактова честота на процесора 500 МHz или по-висока и 256 МБ или повече RAM памет.

За Windows Vista и Windows 7: компютър с тактова честота на процесора 1,0 Ghz или по-висока и 1 GB или повече RAM памет.

VGA дисплей 800 × 600 или по-голяма разделителна способност.

200 МБ свободно място на твърдия диск.

За инсталиране и изтегляне на най-новите дефиниции на вируси и шпиониращ софтуер за Microsoft Security Essentialsе необходима връзка с интернет.

Интернет браузър:

Windows Internet Explorer 6.0 или по-нова версия.

Mozilla Firefox 2.0 или по-нова версия.

Microsoft Security Essentials също така поддържа режима на Windows XP в Windows 7.

181


12.2. Прилагане на софтуер за защита Microsoft разполага с център по безопасност и сигурност (Safety & Security Center), който предлага подробни ръководства за работа с Microsoft Security Essentials, дефиниции за видовете вируси. Центърът предлага и подробни ръководства за осигуряване на семейна безопасност чрез продуктите

на

Официалната

Microsoft.

страница

е

http://www.microsoft.com/security/. Един от полезните продукти, които фирмата предлага, е Microsoft Safety Scanner. Това е инструмент, който се използва за сканиране за вирусен, шпионски и друг зловреден софтуер. Работи съвместно с инсталираната антивирусна

програма.

Може

да

се

изтегли

безплатно

от

http://www.microsoft.com/security/scanner/ . Програмата е налична за 32 и 64 битови операционни системи. Според нас, неудобството, което може да причини на крайните потребители, е, че периодът за ползване е 10 дни след датата на изтегляне. След изтичане на този период, инструментът е необходимо да бъде изтеглен отново с последните дефиниции за зловреден софтуер. Бърз преглед на антивирусния софтуер: http://www.notebookreview.com/default.asp?newsID=5310&review=Micros oft+Security+Essentials+Review На следните адреси можете да откриете ръководства за работа с Microsoft Security Essentials: •

How to install Microsoft Security Essentials for use on your personal computer: http://www.northumbria.ac.uk/static/5007/itspdf/MicrosoftSecurityEssenti als.pdf

How to install Microsoft Security Essentials AntiVirus: https://it.usu.edu/servicedesk/files/uploads/Pamphlets/Microsoft%20Secur ity%20Essentials.pdf 182


INSTALL THE "MICROSOFT SECURITY ESSENTIALS" AND "MALWAREBYTES' ANTIMALWARE FREE VERSION" TO PROTECT YOUR COMPUTER FROM VIRUSES AND MALWARE: http://aztcs.org/meeting_notes/winhardsig/MSE/MSE.pdf Литература 1. Gibson, D., Microsoft Windows Security Essentials. Sybex, 2011

Интернет източници 1. http://www.towson.edu/adminfinance/ots/Training/documentation/Tuni ng%20Up%20PC/MS16MSSecurityEssentials.pdf 2. http://free100.net/m/microsoft-security-essentials-vs-kaspersky-avastbitdefender-w6.pdf

Дата на създаване на тематичната единица: 05.06.2013г. Дата на последна актуализация на съдържанието на тематичната единица: 23.06.2013г. Автор на тематичната единица: ас. Радка Начева

183


ТЕСТ 12 MS SECURITY SOFTWARE Въпрос 1: Microsoft Security Essentials е: a. антивирусен софтуер b. набор от техники за борба със зловредния софтуер c. подробни безплатни ръководства за създаване на антивирусен софтуер Въпрос 2: Microsoft Security Essentials може да се използва: a. напълно безплатно b. безплатно за 30-дневен срок c. безплатно за 60-дневен срок Въпрос 3: Какво представлява OneCare? a. услуга за повишаване на безопасността и производителността на персонален компютър, която следва да стартира от 2014-та год. b. нова услуга на Microsoft за повишаване на безопасността и производителността на персонален компютър c. услуга за повишаване на безопасността и производителността на персонален компютър с прекратена поддръжка Въпрос 4: Malware е: a. зловреден софтуер b. програма за защита от зловреден софтуер c. мрежов протокол Въпрос 5: Какво представлява Microsoft Malware Protection Engine? a. идентични антивирусни дефиниции и програмна основа b. софтуер за защита на Microsoft мрежи c. софтуер за защита на Microsoft клиенти Въпрос 6: Microsoft Forefront представлява: a. антивирусен софтуер за защита на Microsoft сървъри b. фамилия от софтуерни продукти за защита на компютърни мрежи, мрежови сървъри и индивидуални устройства c. онлайн общество за взаимопомощ Въпрос 7: Мрежата за взаимопомощ на Microsoft по проблемите на шпионския софтуер е известна още като: a. Microsoft Forefront b. Microsoft SpyNet c. Microsoft Malware Въпрос 8: Продуктът Microsoft AntiSpyware е известен още като: a. Microsoft Forefront b. Microsoft SpyNet c. Windows Defender Въпрос 9: Microsoft Update е: a. уеб базирана услуга за обновяване на софтуер b. център за взаимопомощ при проблеми с продукти на Microsoft c. софтуер за защита на персонални компютри

184


Въпрос 10: Какво представлява динамичната сигнатура? a. начин за проверка на това дали дадена подозрителна програма е опасна или не b. начин за отбелязване на датата на последна проверка на компютъра c. датата на сваляне на софтуер, която се заменя с с тази на неговото обновяване Въпрос 11: Какво е карантината при MSE? a. място, на което се поставят зловредните файлове и от там могат да се възстановят или изтрият b. Място, на което се поставят свалените от Интернет файлове, за да се проверят c. Място, на което се поставят новите дефиниции за зловреден софтуер, за да се подложат на анализ Въпрос 12: Microsoft Safety Scanner е: a. инструмент за реализиране на настройки по родителския контрол на Microsoft приложения b. инструмент, който се използва за сканиране за опасен софтуер c. инструмент за обновяване на дефиниции за вируси Въпрос 13: Microsoft Safety Scanner се използва: a. 10 дни след датата на изтегляне и след това е необходимо да бъде заплатен b. 10 дни след датата на изтегляне и след това е необходимо отново да бъде изтеглен за актуализиране на дефинициите c. напълно безплатно, без ограничения по отношение на времето за ползване Въпрос 14: В какви нива се класифицират заплахите при MSE? a. "Много опасно", "Опасно", "Средно" или "Безопасно" b. "Високо", "Средно" или "Ниско" c. "Много високо", "Високо", "Средно" или "Ниско" Въпрос 15: Microsoft Security Essentials следи ядрото на операционната система: a. само през първите 10 дни след инсталирането, след това изисква допълнително заплащане b. само през първите 30 дни след инсталирането c. атаки или вредни модификации

185


ТЕМА 13 МОБИЛНИ ТЕЛЕФОНИ И ЗАЩИТА Съдържание на темата: 13.1.

Мобилни

операционни

системи

и

проблеми

със

сигурността 13.2.

Видове софтуер за защита на мобилни приложения и

техните предназначения

13.1. Мобилни операционни системи и проблеми със сигурността Мобилните комуникации безспорно бележат ръст на развитие през последните 3-4 години. Смартфоните и таблетите са се превърнали в задължителни аксесоари на младите хора. С увеличаване на употребата на мобилни устройства и засилване на комуникациите посредством тези устройства се увеличават и хората, които злонамерено да се възползват от предаваната информация. Поради тази причина се появява необходимостта от осигуряване на безопасния обмен на данни чрез подобен тип устройства. В настоящата тема обобщаваме съвети на някои специалисти, които биха насочили вниманието на незапознатите с проблемите на защитата на мобилните устройства. През тази година пазара на мобилни устройства за първи път надмина пазара на персонални компютри. Това значимо събитие, а също и стремителния ръст на изчислителната мощност и възможностите на мобилните устройства поставят пред нас нови въпроси и проблеми в областта на осигуряването на информационната безопасност. Съвременните смартфони и таблети се характеризират с напълно изградена функционалност, аналогична на тази на компютрите. Например, дистанционна администрация, поддръжка на VPN, браузъри с flash и javascript, синхронизация на поща, бележки, обмен на файлове. Всичко това е 186


много удобно, но пазара на средствата за защита за подобни устройства е все още слабо развит. Добър пример за корпоративен стандарт е BlackBerry смартфон с поддръжка на централизирано управление през сървър, шифроване, възможности за дистанционно унищожаване на данни на устройството. Но неговия пазарен дял не е много голям. Съществуват и куп устройства, използващи Windows Mobile, Android, iOS, Symbian, които са защитени значително по-слабо. Основните проблеми в безопасността са свързани с това, че многообразието на ОС за мобилни устройства е доста голямо, както и броят на самите версии в отделните операционни системи. Тестването и търсенето на уязвимости в тях става не толкова интензивно, както за ОС на компютри, така на мобилните устройства. Съвременните

мобилни

браузъри

вече

практически

притежават

възможностите на десктоп аналозите. Далеч не всички производители предоставят обновявания, коригиращи критичните уязвимости за своите устройства — проблема е в маркетинга и в сроковете на живот на конкретния апарат. Нека разгледаме типичните данни, съхранявани на смартфон, които могат да бъдат обект на атака от страна на злонамереното лице. 1. Достъп до пощата и пощенската кутия. Като правило, достъпът до пощенските услуги и синхронизацията на поща се настройват на мобилното устройство веднъж, и в случай на загуба или кражба на устройството, злонамерените лица получават достъп до цялата кореспонденция, а също и до всички услуги, свързани с конкретната пощенска кутия. 2. Приложения за комуникация в Интернет. Skype, Icq — всичко това не е чуждо на съвременните мобилни устройства, в резултат на което и цялата кореспонденция на този конкретен потребител, и неговият списък с контакти могат да бъдат под заплаха. 3. Документи, бележки. DropBox за мобилни устройства може да стане източник за компрометиране на документи, както и различни бележки и събития в календара. Вместимостта на съвременните устройства е достатъчно голяма, за да могат да заменят флаш паметите, а документите и файловете от тях могат да попаднат в нежелани ръце. Често в смартфоните се среща 187


използването на бележките като универсален справочник за пароли, разпространени са и приложения за съхранение на пароли, защитени с мастерключ. Трябва да се отчита това, че в такъв случай сигурността на всички пароли е равна на издръжливостта на този ключ и благонадеждността на реализацията на приложението. 4. Адресна книга. Понякога сведенията за определени хора струват много скъпо. 5. Мрежови средства. Използването на смартфона или таблета за дистанционен достъп до работното място чрез VNC, TeamViewer и други средства за дистанционно администриране вече не са рядкост. Също и достъпа до корпоративната мрежа през VPN. Компрометирайки своето устройство, сътрудникът / служителят може да компрометира цялата «защитеност» на мрежата на предприятието. 6. Мобилно банкиране. Представете си, че Ваш сътрудник използва на свое мобилно устройство система за банкиране — съвременните браузъри позволяват извършването на подобен вид дейност, и това същото мобилно устройство е свързано към банката за получаване на sms-пароли и оповестявания. Цялата система за банкиране може да бъде компрометирана чрез загубата на едно устройство. Основните пътища за компрометиране на информация от мобилни устройства е тяхната загуба или кражба. Средства

за

защита

на

мобилни

ОС

(операционни

системи)

Съвременните ОС за мобилни устройства имат нелош набор от вградени средства за защита, но често едни или други функции не се използват или се изключват.

WindowsMobile Една

от

най-старите

ОС

на

пазара.

ОС

няма

средства

за

предотвратяване на инсталация на приложения от външни непроверени източници, затова е подложена на заразяване с вредоносно програмно осигуряване (ПО). Освен концептуални има и ред реални вредоносни програми за тази платформа. Корпоративни решения са представени от 188


множество компании (Kaspersky Endpoint Security for Smartphone, Dr.Web Enterprise Security Suite, McAfee Mobile Security for Enterprise, Symantec Mobile Security Suite for Windows Mobile, ESET NOD32 Mobile Security, GuardianEdge Smartphone Protection). Тези решения предлагат не само антивирусна защита, но и средства за филтрация на трафика през всички канали за връзка с мобилното устройство, средства за шифроване, централизирано разгръщане и управление. Решението от GuardianEdge1 включва в себе си елементи на DLP-система. Средствата на ОС с помощта на ActiveSync 2 и Exchange Server 3 разрешават дистанционно унищожаване на данни на устройството. С помощта на Exchange Server може да се настройват политики по безопасност на устройствата, като използване на блокиране на екрана, дължина на пин-кода и други. Излизането на нови обновявания,

съдържащи

отстраняване

на

уязвимостите,

зависи

от

производителя на устройствата, но обикновено става изключително рядко. Случаите на повишаване на версията на ОС са също крайно редки.

SymbianOS „Symbian е операционна система с отворен код, предназначена за мобилни устройства. Symbian Foundation е компанията разработваща операционната система. Архитектурата на Symbian се основава на едно микроядро, което се занимава само с предпазването на паметта и посредничеството на съобщенията между активните процеси. Останалата функционалност се осъществява с помощта на сървърни процеси, които биват използвани асинхронно с изпращането на съобщения към тях, а не както е традиционно чрез системни извиквания.“

4

Приложенията за Nokia се

1

http://www.guardianedge.ca/ Microsoft Exchange ActiveSync (познат като EAS) е протокол за синхронизиране на електронна поща, контактни списъци, календари, задачи и бележки от сървъра към мобилното устройство. Протоколът също дава възможност за управление на мобилни устройства и контрол на политики по безопасност. Базиран е на XML, а Exchange ActiveSync сървър и мобилните устройствакомуникират чрез HTTP или HTTPS. 3 Това е сървърна имейл програма на Microsoft, с която се създава, организира и управлява електронна поща. Тя може да се използва за многообразни задачи в инфраструктури с продукти на Microsoft и е подходяща за мрежи с всякаква големина. 4 http://bg.wikipedia.org/wiki/Symbian 2

189


разпространяват във вид на sis-пакети с цифров подпис на разработчика. Подпис със подправен сертификат е възможен, то това налага ограничения върху възможностите на софтуера. Така самата система е добре защитена от вероятен малуер. Java-аплетите и sis-приложенията отправят запитване към потребителите за потвърждаване при изпълнение на едни или други действия (свързване към мрежа, изпращане на sms), но, както се разбира, злонамереното лице не се спира от това – много потребители са склонни да се съгласяват със всички предложения от ОС, без да вникват особено в същността им. Симбиан също така съдържа средства за шифроване на картите памет, възможно е използване на блокиране с устойчиви пароли, поддържат се политики

Exchange

ActiveSync

(EAS),

позволяващи

дистанционно

унищожаване на данни на устройството. Съществуват множество решения за защита на информацията, представени от водещи производители (Symantec Mobile Security for Symbian, Kaspersky Endpoint Security for Smartphone, ESET NOD32 Mobile Security), които по функционалност са близки до Windows Mobile версиите.

iOS Това е мобилната операционна система на Apple. Разработена първоначално за iPhone, тя се използва и в мобилните устройства iPod Touch, iPad и Apple TV на Apple. iOS е разработена на основа на Mac OS X и затова прилича на Unix ОС. Над 700 000 приложения1 се предлагат в официалния магазин за мобилни приложения на Apple - App Store. Поддържа се хардуерно шифроване на данни със средствата на системата. ОС поддържа EAS политики, позволява да се извършва отдалечено управление и конфигуриране през Apple Push Notification Service, включително се поддържа и отдалечено изтриване на данни. Затвореността на платформата и ориентираността към използване на Apple Store осигуряват висока защита срещу вредоносен софтуер. Корпоративни средства за защита са представени от компании, като 1

По данни към края на 2012-та година.

190


GuardianEdge Smartphone Protection, Panda Antivirus for Mac, Sophos Mobile Control. При това решението от Panda - антивирус за десктопа, може да сканира и iOS-устройства, свързвани към Mac. Обновяването и премахване на уязвимости се извършва редовно за устройствата на Apple.

AndroidOS Android (транскрипция: Android) е операционна система за мобилни устройства. Операционната система използва в основата си модифицирана версия на ядрото на Linux. То е отговорно за управлението на паметта и процесите, както и за мрежовите връзки. Тук са разположени и драйвърите. Директно над ядрото се намира т. нар. "Runtime Environment". Тя съдържа най-важните библиотеки по време на изпълнение и най-важната функционалност на езика Java. Тук се съдържа и виртуалната машина Dalvik Virtual Machine (DVM). Тя е софтуер с отворен код, създаден от Дан Борнщайн. Различава се от класическите виртуални машини на Java (Java Virtual Machine, JVM) по това, че е оптимизирана за мобилни уреди с малко памет. Оптимизацията позволява и едновременното изпълнение на няколко виртуални машини на едно и също устройство. Всяко приложение на Android стартира собствен процес със собствена инстанция на виртуалната машина Dalvik. Официален уеб сайт: https://code.google.com/p/dalvik/. Съществуват ред корпоративни решения за защита на Android операционни системи (McAfee WaveSecure, Trend Micro Mobile Security for Android, Dr.Web за Android, заявени са решения от Kaspersky). Приложенията се разпространяват през Google Play, но могат да се инсталират и от други източници. Вредоносен софтуер за Android съществува, но при инсталиране на ОС се показват всички действия, които са нужни за инсталираната програма, затова в този случай всичко зависи директно от потребителя. ОС има защита срещу модификации, но, както и за Symbian и iOS, е възможно получаване на пълен достъп до системата. Тук това се нарича root. След получаване на root е възможен запис в системните области и даже подмяна на системни приложения. Обновяването на ядрото и повишаването 191


на версията на ОС, поправката на грешки и уязвимости става редовно на повечето устройства. 13.2. Видове софтуер за защита на мобилни приложения и техните предназначения Може да се каже, че съвременните мобилни ОС имат нелоши средства за защита, както вградени, така и представени на пазара. Основни проблеми са несвоевременността или невъзможността за получаване на обновяване, заобикаляне на защитата от самите потребители, липса на корпоративна политика за безопасност на мобилните устройства. Заради различието на ОС и техните версии не съществува единно корпоративно решение, което може да бъде препоръчано. Но да разгледаме, какви стъпки трябва да се предприемат за защита на устройствата и какво да се отчита при създаване на политики по информационна безопасност. 1. Блокиране на устройствата. Представете си, че Вашия смартфон е попаднал в ръцете на външен човек. За повечето потребители това означава, че някой е получил достъп до всичко едновременно. Трябва да се блокира устройството с парола (устойчива или с ограничен брой опити за въвеждане), след които данните на устройството се изтриват или устройството се блокира. 2. Използване на криптографски средства. Трябва да се ползва шифроване на сменяемите носители, карти памет – всичко, до което може да получи достъп злонамереното лице. 3. Забрана на съхраняване на паролите в браузера на мобилното устройство. Не трябва да се съхраняват пароли в менажерите за пароли на браузерите, дори в мобилните. Желателно е да се постави ограничение за достъп до пощенската кореспонденция и sms, и да се ползва шифроване. 4. Забрана за ползване на мениджъри за пароли за корпоративни акаунти. Съществуват много приложения, създадени за съхранение на всички пароли на мобилното устройство. Достъпа до приложението се извършва с въвеждане на мастер-ключ. Ако той не е достатъчно устойчив, цялата политика по паролите в организацията се компрометира. 192


5. Забрана за инсталиране на софтуер от непроверени източници. За нещастие, средства за принудително забраняване има само за Windows Mobile устройства, в останалите случаи се налага да се доверявате на думата на потребителя. Желателно е да се ползва софтуер от големи, известни разработчици. 6. Използване на политики Exchange ActiveSync и средства за антивирусна и друга защита. Ако е възможно, позволява да се избегнат множество заплахи (включително нови), а в случай на загуба или кражба на устройството, то да се блокира и да се унищожат данните на него. 7. В случай на предоставяне на достъп до доверена зона да се извършва щателен контрол. За потребители, имащи достъп до доверена зона (локална мрежа чрез VPN средства за отдалечено администриране), трябва още по-щателно да се следи за изпълняване на изложените по-горе правила (препоръчва се да ползват IPsec, да не съхраняват автентикационни данни в приложенията). В случай на компрометиране на устройството е възможна заплаха за цялата вътрешна / доверена зона, което не трябва да се допуска. 8. Да се ограничи списъка на данни, които може да се предават към облачни услуги. Съвременните мобилни устройства и приложения са ориентирани към използване на множество облачни услуги. Необходимо е да се следи за това, конфиденциалните данни и данните, отнасящи се до търговски тайни случайно да не са синхронизирани или изпратени в една от тези услуги. Като обобщение може да се каже, че за корпоративно приложение е желателно да се използва една и съща платформа (а най-добре — еднакви устройства) с инсталиран софтуер от корпоративен клас, който може да се конфигурира и обновява централизирано. От текста на статията е очевидно, че трябва да се разработи и внедри политика на информационна безопасност по отношение на мобилните устройства, да се правят проверки за нейното изпълнение и задължително да се ползва Exchange-сървър за определяне на 193


EAS политики. В тази статия не е разгледана BlackBerry OS, но трябва да се отбележи, че тази платформа е корпоративен стандарт в много държави по света. За повече информация можете да прегледате съвети от следните сайтове, които осведомяват потребителите на мобилни устройства за начините, по които могат да ги направят по-сигурни за работа: •

5 важни стъпки да предпазите смартфона си от зловреден софтуер: http://blog.ardes.bg/2012/06/ 5-важни-стъпки-да-предпазитесмартфона/

Как да защитим смартфона си?: http://newhorizons.bg/blog/2013/01/smartphone-security/

Мобилна сигурност в корпоративна среда: Ръководство за купувача: http://magazine.techwork.bg/archives/3183/all/1

Следва описание в няколко стъпки на начина, по който всеки потребител може да защити личния си телефон от хакерски атаки и да се предпази от злонамерени лица. За iPhone: 1. Активира се Pin Pad опцията от Settings > General > Passcode Lock и телефонът се настройва на режим за заключване след интервал на неактивност 3-4 минути. Също така може да се включи опция за изтриване на цялата информация след въведени определен брой пъти на грешна парола. Това понякога е опасно, но и полезно, ако телефонът бъде загубен или откраднат. 2. Настройване на опцията за поискване на разрешение при достъпна публична Wi-Fi мрежа чрез Settings > Wi-Fi > Ask to Join Networks to on. Много често публичните Wi-Fi мрежи биват обект на атака от страна на хакерите и така много лесно цялата информация, която минава през тях, може да попадне в грешни ръце.

194


3. Не на последно място, е хубаво да правите редовен Backup на данните от телефона, в iTunes. Така дори при загуба на телефона или хакерска атака, данните ще бъдат на сигурно място, неприкосновени. За Android: 1. Android, за разлика от iPhone, има различни начини за заключване, които се намерат в Settings > Security. Те включват заключване чрез PIN, т.нар Pattern заключване, което е изключително ефективно, Security Wipe, което служи за заключване на телефона при няколко грешно въведени пароли. 2. Инсталирайте софтуер за защита, като антивирусни програми, защитни стени и др. Пример за такива са FSecurity, Avast! Mobile Security, Kaspersky Mobile Security, MyAndroid Protection AntiVirus. Също така трябва да се внимава много при инсталирането на приложения извън Google Play. 3. Поддържайте Android софтуера, както и апликациите, до най-нови версии. Ако използвате Интернет, вероятно ще бъдете уведомени за нови версии. От AV-Test са направили тест на сигурността на мобилните приложения за Android до средата на 2012г., резултатите от който може да се види на фигура 13.1.

195


Фиг. 13.1. Антивирусен софтуер Предоставяме списък с най-популярните мобилни приложения за Android, iOS и Symbian. •

avast! Mobile Security (https://play.google.com/store/apps/details?id=com.avast.android.mobilese curity)

Dr.Web Anti-virus Light (https://play.google.com/store/apps/details?id=com.drweb, https://itunes.apple.com/us/app/dr.web-light/id471859438?mt=12)

196


Lookout Security & Antivirus (https://play.google.com/store/apps/details?id=com.lookout, https://itunes.apple.com/us/app/lookout-mobile/id434893913?ls=1&mt=8). Официален уеб сайт: https://www.lookout.com/android. •

F-Secure Mobile Security (https://play.google.com/store/apps/details?id=com.fsecure.ms.dc, http://fsecure-mobile-anti-virus-s60v3.en.softonic.com/symbian)

IKARUS mobile.security (https://play.google.com/store/apps/details?id=com.ikarus.mobile.security) - IKARUS Security Software осигурява защита срещу вируси, троянски коне, шпионски софтуер, спам и всякакъв вид зловреден софтуер. Официален уеб сайт http://www.ikarus.at/en/products/. •

Kaspersky Mobile Security (https://play.google.com/store/apps/details?id=com.kms, http://www.kaspersky.com/downloads/productupdates/mobile_for_symbia n)

Intego VirusBarrier (https://itunes.apple.com/us/app/virusbarrier/id436111378?mt=8)

McAfee Antivirus & Security (https://play.google.com/store/apps/details?id=com.wsandroid.suite, https://www.wavesecure.com/products/iOS.aspx, http://f-secure-mobileanti-virus-s60v3.en.softonic.com/symbian)

Zoner AntiVirus Free (https://play.google.com/store/apps/details?id=com.zoner.android.antiviru s)

NetQin Antivirus (http://netqin-antivirus.en.softonic.com/symbian)

Практически блок Прилагаме списък с видео материали, демонстриращи инсталирането и прилагането на софтуер за защита на мобилни приложения. 197


avast! Mobile Security For Android: http://www.youtube.com/watch?v=bnOjf5wB5FE

App-Review #4 - avast! Mobile Security for Android: http://www.youtube.com/watch?v=6lkztUtxtCk

Avast! Mobile Security & Anti-Theft for Android Phones & Tablets: http://www.youtube.com/watch?v=lwnVOdHXbmQ

AVG Mobile Antivirus - Android Malware,Trojan,Virus Detection Test , Video: http://www.youtube.com/watch?v=zKXoTBNhE2s Литература 1. Fried, S., Mobile Device Security: A Comprehensive Guide to Securing Your Information in a Moving World. Auerbach Publications; 1 edition, June 16, 2010 2. Furnell, S., Mobile Security: A Pocket Guide. IT Governance Publishing, July 16, 2009 Интернет източници 3. 5 Mobile Security Lessons From the Department of Defense: http://www.pcadvisor.co.uk/how-to/security/3400659/5-mobilesecurity-lessons-from-department-of-defense/ 4. Read more: http://www.pcadvisor.co.uk/how-to/security/3400659/5mobile-security-lessons-from-department-ofdefense/#ixzz2WyRNMlQq 5. Beyond MDM - 5 Things You Must Do To Secure Mobile Devices in the Enterprise: http://www.youtube.com/watch?v=FqwHRUfMoFk 6. http://help.outlook.com/bg-bg/140/hh135097.aspx

Дата на създаване на тематичната единица: 01.06.2013г. Дата на последна актуализация на съдържанието на тематичната единица: 22.06.2013г. Автор на тематичната единица: ас. Радка Начева 198


ТЕСТ 13 МОБИЛНИ ТЕЛЕФОНИ И ЗАЩИТА Въпрос 1: Кое от изброените е мобилна операционна система? a. Symbian b. Ole! c. Mac Въпрос 2: Кое от следните е антивирусна програма? a. AGG b. AVG c. AGV Въпрос 3: EAS е съкращение от: a. Extract ActiveSync b. Exchange ActiveSync c. Email ActiveSync Въпрос 4: Android е: a. вид мобилна операционна система b. вид бот c. вид мобилно устройство Въпрос 5: Intego VirusBarrier е: a. Антивирусна програма b. Защитна стена c. Добавка към антивирусен софтуер Въпрос 6: Какво представлява Microsoft Exchange Server? a. мейл сървър на Microsoft b. сървърна имейл програма за създаване, организиране и управление на електронна поща c. сървърна антивирусна програма Въпрос 7: Google Play е: a. антивирусна програма на Google b. магазин с приложения за Android c. уеб-базирана игра на Google Въпрос 8: Android е собственост на: a. Apple b. Google c. Microsoft Въпрос 9: iOS e ..... и е собственост на .... . a. мобилна операционна система, Apple b. мобилна операционна система, Google c. магазин за мобилни приложения, Apple

199


Въпрос 10: Exchange ActiveSync e: a. Протокол за синхронизиране с мобилна среда b. Email клиент c. Мобилна операционна система Въпрос 11: Кой е официалният магазин за приложения за мобилната операционна система на Apple? a. Play Store b. App Play c. App Store Въпрос 12: IKARUS е: a. протокол за синхронизиране на електронна поща b. антивирусна програма за мобилни устройства c. мобилна операционна система Въпрос 13: Кое от следните е антивирусна програма? a. Kaspersky b. Android c. EAS Въпрос 14: DVM представлява: a. софтуер с отворен код (виртуална машина) за Android ОС b. Софтуер с отворен код (имейл клиент) за Android ОС c. Софтуер с отворен код (имейл клиент) за iOS Въпрос 15: NetQin е: a. мрежов протокол b. мобилен антивирусен софтуер c. магазин за мобилни приложения

200


ТЕМА 14 УПРАВЛЕНИЕ НА ОПЕРАТИВНАТА ЗАЩИТА Съдържание на темата: 14.1 Разработване на оперативни процедури за защита 14.2. Обучение на крайните потребители за прилагане на оперативните защитни процедури 14.3. Морално-етични правила за кибер защита Управлението на сигурността на информацията е от критично важно значение за всяка една организация. Информацията е много и е навсякъде около нас. Логично възниква въпросът – как да я защитим? Един желателен вариант е внедряването на система за управление сигурността на информацията съгласно изискванията на стандарт „ISO 27001 Информационни технологии. Методи за сигурност. Системи за управление на сигурността на информацията. Изисквания.“ Представяме ви: Найден Неделчев – CGEIT, CISM, CEH, ITIL Д-р Найден Неделчев е мениджър “Управление на риска”, Deloitte (преди - началник отдел „Сигурност на технологиите“ в Мобилтел ЕАД) Професионалният му опит включва позиции от различни нива във финансови и

банкови

организации,

работа

в

групови

и

международни проекти. Има магистърска степен по Информатика от СУ и поредица от престижни сертификати в областта на ИТ, като Certified Information Security Manager, Certified Ethical Hacker, Security+, Master Computer Industry Knowledge Analyst и др. Член на управителния съвет на сдружението „Клуб на

българските

ИТ

мениджъри".

Носител

на

наградата за „Иновации" в конкурса „ИТ Мениджър на годината - 2008". 201


Найден Неделчев: Най-значимте проекти в моята работа, в периода 2005-2013 г. бяха свързани с реализиране на пълноценни процеси за ИТ услуги на основата на водещи практики, като ITIL, COBIT и еTOM, а също така с покриване на изисквания и реализиране на управленчески системи в съответствие със стандартите ISO 9001, ISO 20000 и ISO 27 001. През това време, начинът, по който компанията използваше ИТ се промени въз основа на натрупаният опит, а резултатът от това е по-зрялото и ангажирано

изпълнение

на

задълженията.

Очакванията

на

ИТ

потребителите постоянно се променят и увеличават, защотото все повече неща зависят от ИТ. Организацията на ИТ дейностите се променя в посока на осъществяване на интегрирана по-тясна връзка между бизнес процесите и ИТ процесите. И докато през 2005 г., вниманието бе насочено предимно върху разгръщане на дейности и покриване на изисквания, сега, с оптимизацията на тези дейностите се създават решения. Стандартът ISO 27001 предоставя рамката за изграждане на система за защита на чувствителната бизнес информация. Целта на стандарта е постигане определено ниво на защита, чрез осигуряване на следните характеристики на информацията: 

поверителност – само оторизирани лица да имат достъп до съответната информация;

цялостност – само оторизирани лица да имат възможност за промяна на информацията;

наличност – достъпност на оторизираните служители до необходимата им информация. Стандарти, свързани със сигурност на информацията Пълният текущ списък с разработени стандарти, свързани със

сигурността

на

информацията,

е

посочен

по-долу.

Съкращението

„БДС“ (Български държавен стандарт), поставено пред международното означнение ISO е указание, че даден стандарт вече е локализиран и у нас:

202


БДС ISO/IEC 27000:2010 Информационни технологии. Методи за

сигурност. Системи за управление на сигурността на информацията. Общ преглед и речник; 

БДС ISO/IEC 27001:2006 Информационни технологии. Методи за

сигурност. Системи за управление на сигурността на информацията. Изисквания; 

БДС ISO/IEC 27002:2008 Информационни технологии. Методи за

сигурност. Кодекс за добра практика за управление на сигурността на информацията; 

БДС ISO/IEC 27003:2011 Информационни технологии. Методи за

сигурност. Указания за внедряване на системи за управление на сигурността на информацията; 

ISO/IEC

27004:2009

Информационни

технологии.

Методи

за

сигурност. Управление на сигурността на информацията. Измерване; 

БДС ISO/IEC 27005:2009 Информационни технологии. Методи за

сигурност. Управление на риска за сигурността на информацията; 

БДС ISO/IEC 27006:2009 Информационни технологии. Методи за

сигурност. Изисквания за органите, извършващи одит и сертификация на системи за управление на сигурността на информацията. 

ISO/IEC 27007 Информационни технологии. Методи за сигурност.

Указания за одит на системите за управление на сигурността на информацията. 

ISO/IEC TR 27008 Информационни технологии. Методи за сигурност.

Указания за одитори, свързани с механизмите за контрол на сигурността на информацията. 

БДС ISO/IEC 27011 Информационни технологии. Указания за

управление на сигурността на информацията за телекомуникационни организации, базирана на ISO/IEC 27002. 

ISO/IEC 27032:2012 Information technology – Security techniques –

Guidelines for cybersecurity.

203


ISO/IEC 27037:2012 Information technology – Security techniques –

Guidelines for identification, collection, acquisition, and preservation of digital evidence. 

ISO/IEC 27799 Информатика в здравеопазването. Управление на

сигурността на информацията в здравеопазването на основата на ISO/IEC 27002. ISO 27001:2005 е подходящ за няколко типа приложение: 

за определяне на изискванията и целите на сигурност;

за гарантиране, че информационният риск се управлява ефективно,

от гледна точка на средства; 

за гарантиране, че организациите изпълняват законодателството и

други регулативни изисквания; 

за определяне на нови процеси за управление на информационната

сигурност; 

за определяне на съществуващите процеси за управление на

информационната сигурност; 

за установяване на съответствие от вътрешни и външни одитори в

организациите с политиките, нормативната уредба и приложимите стандарти; 

за предоставяне на клиентите на съответната информация за

информационната сигурност. . ISO 27001:2005 е разделен на 10 секции (фиг. 14.1): 

политиката по сигурността обяснява и излага политиката по

информационна сигурност 

организационна сигурност – обяснява как трябва да се управлява

информационната сигурност; 

класификация и управление на активите – активите включват

информация, софтуер, услуги и др. Те са ценни и трябва да се управляват и отчитат; 

сигурност на персонала – обучение, отговорности, процедури за

проверка и действия на персонала;

204


физическа сигурност и околна среда – физически аспекти на

сигурността, включително защита на оборудването и информацията от физически увреждания, както и физически контрол на достъпа до информация и оборудване; 

комуникации и управление на операциите – подходящо управление и

сигурна експлоатация на съоръженията за обработка на информацията; 

контрол на достъпа;

развитие на системата и поддръжка – тази част от стандарта се

занимава с въпроси свързани с проектирането и поддръжката на системи ( софтуерни, компютърни мрежи ), така, че те да са сигурни и да се запази цялостта на информацията; 

управление на непрекъснатостта на бизнеса – поддръжка на

основните стопански дейности по време на неблагоприятни условия, от справяне с големи бедствия и аварии до незначителни локални проблеми; 

съответствие – отнася се до бизнес съответствия с националните и

международни закони и изисквания.

Фиг. 14.1. Основни секции в стандарта ISO 27001:2005

205


14.1. Разработване на оперативни процедури за защита Рамката за реализиране на оперативните процедури за защита на информационни системи и мрежи е зададена в „Наредба за общите изисквания

за

оперативна

съвместимост

и

информационна

сигурност.“ (Приета с ПМС № 279 от 17.11.2008 г., обн., ДВ, бр. 101 от 25.11.2008 г., в сила от 25.11.2008 г.). Макар наредбата да има за цел управлението на електронни административни услуги, нейните препоръки са валидни за вси1ки основни типове организации – стопански и нестопански субекти, както и специалистете, които ги обслужват. С наредбата за оперативна съвместимост и информационна сигурност се уреждат: 1. общите изисквания за оперативна съвместимост и мрежова и информационна сигурност за нуждите на предоставянето на вътрешни електронни административни услуги и обменa на електронни документи между администрациите; 2. воденето, съхраняването и достъпът до регистъра на стандартите; 3. начинът на акредитация на лицата по чл. 57, ал. 1 от Закона за електронното управление и изискванията към тяхната дейност; 4. Методиката за извършване на оценка за съответствие с изискванията за оперативна съвместимост и мрежова и информационна сигурност; 5. изискванията за водене, съхранение и достъп до списъка на акредитираните лица по чл. 57, ал. 1 от Закона за електронното управление и до списъка на сертифицираните информационни системи. Наредбата не урежда мрежовата и информационната сигурност на информационните системи на административните органи и правилата за информационна сигурност при използване на класифицирана информация. Задълженията на административните органи по наредбата се прилагат и по отношение на лицата, осъществяващи публични функции, и на организациите, предоставящи обществени услуги, при предоставяне на

206


вътрешни електронни административни услуги, освен ако в закон е предвидено друго. Спазването на изискванията за оперативна съвместимост и мрежова и информационна сигурност се гарантира чрез: 1. сертификация на информационните системи и продукти; 2. функционалността на единната среда за обмен на електронни документи (ЕСОЕД), която допуска обмен само на видове документи, вписани в регистъра на информационните обекти, и със съдържание, отговарящо на вписаните в регистъра изисквания; 3. сертификация и одит на администрациите по отношение на система за

управление

на

информационната

сигурност,

в

съответствие

с

международния стандарт ISO 27001:2005; 4. контрол от страна на председателя на Държавната агенция за информационни технологии и съобщения (ДАИТС) в изпълнение на чл. 60 от Закона за електронното управление и в съответствие с утвърдена от него Методика за текущ контрол на оперативна съвместимост и мрежова и информационна сигурност. В Приложение № 1 към чл. 25, ал. 2 от наредбата са описани общи полити за информационна сигурност, които включват: 1. Политиката за информационна сигурност е набор от нормативни документи, правила и норми за поведение, които определят как организацията защищава обработката, съхранението и разпространението на информацията. 2.

Политиката за сигурност на информационни системи на

административните

органи

трябва

да

бъде

съобразена

с

групата

международни стандарти ISO 270ХХ, обединяваща мнозинството от съществуващи стандарти за управление на информационната сигурност основно със стандарта ISO 27001:2005, предоставящ модел на система за управление на информационната сигурност за адекватен и пропорционален контрол на сигурността за защита на информационните активи и създаване на доверие в заинтересуваните страни.

207


3. Решенията относно политиките за мрежова и информационна сигурност трябва да се изграждат за осигуряване няколко нива на сигурност по отношение на: а) мрежа; б) система; в) приложения; г) информация. 4. За всяко от нивата по т. 3 трябва да се осигури съответният контрол с цел да се обезпечи сигурността на общото програмно приложение за защита. За осигуряване на адекватно ниво на сигурност трябва да се прилага практиката, наречена "дълбока отбрана", обезпечаваща многослойна защита, за ограничаване проникването на всякакви атаки и осигуряване на невъзможност за компрометиране на общото програмно приложение за защита. 5. При създаването на политика за сигурност трябва да се използват следните принципи: а) "Минимална привилегия" - концепция, при която се ограничава достъпът само до ресурси, които са необходими за изпълняване на одобрените функции. Определен ползвател или процес трябва да има само такива права, които са необходими за изпълняване на конкретната задача. б) "Дълбока отбрана" - концепция, при която се поверява защитата на повече от един компонент или механизъм, осигуряващ сигурността по такъв начин, че невъзможността на един компонент или механизъм да ограничи атаката да не доведе до компрометиране на общата защита. в) "Точка на запушване" - концепция, при която се принуждават лица, извършващи интервенции, да използват тесен канал за достъп, който позволява действията да бъдат наблюдавани и контролирани. Обикновено се прилага на входа и изхода на т.нар. "Демилитаризирани зони" ("DMZ").

208


г) "Най-слабо звено" - концепция, при която се наблюдават и елиминират звената с най-слаба устойчивост на интервенции или с наличие на възможност за проникване. д) "Позиция на безопасно спиране" - концепция, при която системите трябва да преустановяват работа безопасно и да се предотврати възможността при неочакваното преустановяване на работа на една система да се осигури достъп на лицата, извършващи интервенции до системата. е) "Универсално участие" - концепция, при която всички звена на системата следят за сигурността при наличие на разпределение на функциите затова, което ограничава възможността на лицата, извършващи интервенции, да се възползват от липсата на защитна активност от конкретно звено. ж) "Разнообразие на защитата" - концепция, при която не се разчита само на една система или приложение за сигурност, независимо от това, колко надеждни или изчерпателни са те. з) "Простота" - концепция, при която се осигурява поддържането на опростена обща среда, за която се осигурява по-лесно защита срещу интервенции. и) "Фрагментиране" - концепция, при която се осигурява свеждане до минимум на възможните вредни последици върху една информационна система чрез фрагментиране на максимален брой отделни единици; по този начин се ограничава възможността за достъп до цялата система в случай на проникване в изолирана единица. к) "Защита срещу вътрешни и външни заплахи" - концепция, при която се въвеждат правила за потребителите за недопускане действия на служителите, които да осигуряват възможност за интервенции; такива правила

могат

да

бъдат

правила

за

управление

на

съдържанието,

допълнителни нива за идентификация, регистрация за достъп до критични информационни активи и др.

209


14.2. Обучение на крайните потребители за прилагане на оперативните защитни процедури Свързвайки човешия фактор със нивото на безопасност и защита на информационни

системи

и

мрежи,

веднага

можем

да

изтъкнем

необходомостта от адекватно и перманентно обучение на различните категории персона в дадена организация. Интерес предствавлява изследването на EuroStat1, проведено през 2010 г. за процента обучавани в страните членки и кандидати за членки на EU. На фиг. 14.2. е отрзено нивото на основните три форми на обучение –доброволно (светло синьо), чрез допълнителен договор (синьо) и задължително (тъмно синьо).

Фиг. 14.2. Форми на обучение на персонала по безопасност и защита на ИС Веднага се откроява, че процентът на доброволно обучение е значително надвишава двете други форми – чрез договор и задължителната форма на провеждане. Сумарният процент на обучени служители в българските организации е 41%, като средният за ЕU e 46%.

1

http://bit.ly/12fmNu7

210


Редица браншови организации въвеждат базисна грамотност за своите служители по темата безопасност и защита на информационни системи и мрежи1. Ето и разделите, по които се изисква базисна грамотност: -

Политикили за сигурност;

-

Организация на сигурността на информацията;

-

Сигурност на управлението на активите и на човешките ресурси;

-

Физическа сигурност и сигурността на средата;

-

Управленио на комуникациите и операциите;

-

Контрол на достъпа;

-

Използване на информационни системи;

-

Развитие и поддръжка;

-

Управление на информационната сигурност при извънредни ситуации;

-

Управление на бизнес процесите при срив на системата;

-

Спазване на правилата на организацията от персонала. Посетете сайта на ISACA Sofia

http://www.isaca.org/chapters6/sofia/Pages/default.aspx

ISACA е неправителствена организация с нестопанска цел създадена през 1969 г. Тя е световен лидер в управлението, сигурността, контрола и обезпечаването на ИТ. Филиала на асоциацията в София е основан през 2007 от доброволци, членове на ИСАКА, и е регистриран според бълграското законодателство като организация с нестопаска цел. Целта на ISACA Sofia е да участва и организира семинари и работни групи, да провежда регулярни срещи с ръководство и членове и да помага популяризирането на професията „Одитор на информационни системи“, както и специалистите и експертите по информационна сигурност. ISACA отбелязва 44 години от предоставянето на сертификата Certified Information Systems Auditor (Сертифициран одитор на информационни системи). Стандарт на Департамента по търговия на САЩ - http://csrc.nist.gov/publications/drafts/800-16rev1/Draft-SP800-16-Rev1.pdf 1

211


За професионално обучение на персонала Microsoft поддържа сайт с ресурси. Тези ресурси осигуряват обучение и сертифициране на специалисти по защита - Microsoft Training & Certification Security Product and Technology Resources: - http://www.microsoft.com/learning/en/us/default.aspx. Някои от безплатните сертификационни курсове са посочени в таблица 14.1.: Таблица 14.1 Сетифицирани курсове на Microsoft Шифър и наименование на курса

Ресурси (кликнете на иконата)

Exam 410: Installing and Configuring Windows Server 2012 Exam 411: Administering Windows Server 2012 Exam 412: Configuring Advanced Windows Server 2012 Exam 461: Querying Microsoft SQL Server 2012 Exam 462: Administering Microsoft SQL Server 2012 Databases Exam 463: Implementing a Data Warehouse with Microsoft

Основни курсове и изпити на Microsoft по безопасност и защита на компютърни мрежи и системи са следните: - Exam 98-367: Security Fundamentals. - Course 2810a: Fundamentals of Network Security. 14.3. Морално-етични правила за кибер защита Според Адолфо, етиката е наука за морала, който е в сфера на човешкото поведение. Предложенията на етиката трябва да имат еднаква 212


строгост, последователност, една и съща научна обосновка. Етиката не е морал, и следователно не може да бъде принизена до набор от стандарти и изисквания, нейната мисия е да обясни действащия морал и в този смисъл може да му повлияе. Computer Ethics Institute, http://computerethicsinstitute.org, е създал малък етичен кодекс на поведение, известен като "Десетте етични заповеди в областта на информационните технологии ": 1. Не трябва да използвате компютъра, за да навредите на друго лице 2. Не трябва да се намесвате в работата на компютъра на друго лице; 3. Не трябва да се намесвате в записите на друго лице; 4. Не трябва да използвате компютъра кражби 5. Не трябва да използвате компютъра, за да лъжесвидетелствате 6. Не трябва да използвате пиратски софтуер 7. Не трябва да използвате компютърните ресурси на други хора 8. Не трябва да обсебвате интелектуалния труд на друго лице; 9. Трябва да мислите за социалните последици, от това което пишете 10. Трябва да използвате компютъра по начин, който показва уважение и зачитане на околните. За да се вникне в същността на проблемите трябва да има системен подход водещ до задълбочен и пълен етичен анализ. Той трябва да включва:  Идентифициране и точно описание на фактите – кой е направил какво на кого, къде и как. Доброто описание на фактите може да доведе до разрешаване на проблема.  Определяне на конфликта и идентифициране на ценностите етичните, социални и политически проблеми винаги засягат ценностната система. Страните в спора обикновено се стремят да убеждават в основополагащите

ценности

свобода,

поверителност,

защита

на

собствеността и свободната инициатива. Интересно е, че етичният проблем включва и дилема – две противоположни посоки на действие, които подкрепят общоприети ценности;

213


 Идентифициране на заинтересованите страни – всеки етичен, социален или политически проблем включва и заинтересованите лица  Определяне на възможни варианти за действие – може да се установи, че независимо, че не защитават интересите на всички участници, някои от предприетите действия могат да бъдат по-успешни от други.  Определяне на възможните последствия от всеки вариант на действие – някои варианти могат да бъдат правилни по отношение на етичната страна, но неуспешни във връзка с други гледни точки. Не всяко действие по решаване на даден проблем е подходящо за решаване на други подобни проблеми. Един основен морално-етичен проблен на нашето съвремие е свързан с дигитализирането на личните ни данни и последствията от кибертормоз. Възникват следните въпроси, на които се търси отговор: - При какви условия трябва да се намесваме в личното пространство на другите и да нарушаваме тяхната неприкосновеност? Какви законови основания имат тези, които нарушават личното пространство чрез дискретно наблюдение, маркетингови проучвания или по някакъв друг начин. Трябва ли да уведомяваме хората, че са под наблюдение? Трябва ли да информираме хората, че използваме тяхната кредитна история, при провеждането на щателна проверка при назначаване на работа? И много други подобни въпроси са на дневен ердо за решаване от национални и международни институции. Друг вариант на етичния кодек е публикуван в (ISC)² - the International Information Systems Security Certification Consortium, http://bit.ly/1aOOqPb , който се базира на 4 основни норми: 1.

Защитавайте обществото, сдруженията и инфраструктурата. o

Насърчавайте

и

съхранявайте

публичното

доверие

в

информацията и в информа-ционните системи.. o

Насърчавайте разбирането и приемането на благонадежни мерки по сигурността на информацията.

o

Запазете и укрепете интегритета на публичната инфраструктура. 214


o

2.

Отхвърляйте опасни практики.

Действайте почтено, честно, справедливо, отговорно и законно. o

Винаги казвайте истината. Информирайте своевременно всички заинтересовани страни за действията си.

o

Спазвайте всички договори и споразумения – явни или неявни..

o

Третирайте честно всички страни: при решаването на конфликти се съобразявайте с обществената безопасност, висшестоящите, частните лица и професията си.

o

Давайте благоразумни съвети; избягвайте ненужна тревога или необосновано спокойствие. В рамките на вашата компетентност бъдете честен, обективен и предпазлив.

o

Когато прилагате рализлични закони към различни юрисдикции, давайте предимство на законите от юрсидикцията, в която се реализра дадената услуга.

3.

Осигурявай

надлежно

и

компетентно

обслужване

изражение

техните

на

висшестоящите. o

Съхранете

стойностното

на

системи,

приложения и информция. o

Уважавайте тяхното доверие и привилегии, които те ви предоставят.

o

Избягвайте конфликт на интереси или появата им.

o

Изпълнявайте

само

тези

услуги,

за

които

сте

напълно

компетентни и квалифицирани. 4.

Развивай и защитавай професията си. o

Спонсорирайте професионланото изразтване на тези, които имат най-добра

квалификация.

При

равни

други

условия,

предпочитайте тези, които са сертифицирани и тези, които се придържат към този канон. o

Избягвайте

професионалниорганизации,

които

със

своите

практики или репутация биха навредили на професията. 215


o

Не наранявайте репутацията на други специалисти поради злоба или безразличие.

o

Поддържайте своята компетентност като придобивате текущи знания и опит. Споделяйте времето и знанията си за обучение на другите.

Всички

сертифицирани

специалисти

по

безопасност

и

защита

подписват етичния кодекс и спазват неговите норми. Ще цитираме част от интервюто с Вивиан Рединг, като обърним внимание на това как етичният кодекс на специалиста по безопасност и защита намира изражение във формирането на официални документи и общоевропейски политики:

Интервюто с Вивиан Рединг, еврокомисар по правосъдието: Искаме да запазим вярата на хората в Интернет:

Г-жо Рединг, каква е целта на предложените промени в директивата за защита на личните данни, обявени в средата на март? - Сегашната правна рамка за защита на личните данни на ниво Европейски съюз е от 1995 г. Основните принципи в нея ще бъдат запазени, но трябва да осъвременим и подобрим директивата заради технологичните промени, настъпили през последните 15 години. Искаме да гарантираме фундаменталните права за защита на личните данни, за да може потребителите да продължат да вярват на Интернет. Новите мерки ще са от полза както на гражданите, така и на бизнеса. {…} Кой ще бъде засегнат от промените? През миналата година излязоха наяве проблеми с Google (представянето на реална гледка от улиците чрез незаконно събиране на информация от потребители във Франция - бел. ред.), има ли развитие по този казус? - Проблемът е, че правилата за защита на личните данни в ЕС трябва да се отнасят за всички компании, независимо какъв е произходът им. Компаниите извън Европа не трябва да използват факта, че сървърите им са 216


извън пределите на съюза, за да за обикалят тези правила. Що се касае до Google Street View, компанията призна, че през миналата година е събирала имейли и пароли от точки за достъп до безжични мрежи (WiFi), и се извини за това. Последното развитие по този проблем е глобата в размер на 100 хил. евро, която френската Комисия за защита на личните данни CNIL1 наложи на Google за нарушаване на правилата за защита на личните данни. Пълният

текст

на

интервюто

можете

да

намерите

на

адрес

http://bit.ly/1auf5Sd. В допълнение на интервюто с Вивиан Рединг ще представим

ENISA – Европейска агенция за мрежова и информационна

сигурност (the European Network and Information Security Agency. Целите на ENISA са да създаде web сайт като център (‘hub’) за обмен на информация, добри практики и знания в областта на информационната сигурност. Този web сайт е точка за достъп за всяка страна, ччленка на EU. Един от основните ресурси на ENISA е разработения документ „Практическо ръководство за национална кибер защита“. Документът може да се изтегли от следния адрес: http://bit.ly/VcpRyq. В ръководството са дефинирани 20 конкретни мерки, които да осигурят по-надеждна кибер защита на национално ниво като са дадени примери на добри практики на страните членки на EU. Като се има пред вид морално-етичните норми, в ръководството се акцентува и на баланса между кибер защита и защита на личните данни, на така нар. личен периметър, мярка 18 - Balance security with privacy. Литература 1. Дражев Ст. и др. Социална мрежа за споделяне на знания и опит

между преподаватели и студенти от ИУ-Варна. РЪКОВОДСТВО ЗА РАБОТА., 2012 г. Изд на ИУ-Варна, 196 с. 2. ENISA -the European Network and Information Security Agency, (СРС).

Адрес

за

достъп

до

материали

на

агенцията

-

http://www.enisa.europa.eu 1

CNIL - The Commission nationale de l’informatique et des libertés, http://www.cnil.fr/english/the-cnil/

217


3. Куюмджиев, Иван.

ОДИТ НА ИНФОРМАЦИОННИ СИСТЕМИ.

Дисертация. ИУ-Варна. 2012. Интернет източници 1. Библиотека на доц. д-р Стефан Дражев в SlideShare : (http://www.slideshare.net/stedrazhev/). 2. Библиотека на доц. д-р Стефан Дражев в Issuu: http://www.issuu.com/stedranet 3. Fundamentals of Information Systems Securityр, http://bit.ly/12XWDeJ 4. НАРЕДБА за общите изисквания за оперативна съвместимост и информационна сигурност. Приета с ПМС № 279 от 17.11.2008 г., обн., ДВ, бр. 101 от 25.11.2008 г., в сила от 25.11.2008 г. Дата на създаване на тематичната единица: 13.06.2013г. Дата на последна актуализация на съдържанието на тематичната единица: 30.06.2013г. Автор на тематичната единица: доц. д-р Стефан Дражев

218


ТЕСТ 14 УПРАВЛЕНИЕ НА ОПЕРАТИВНАТА ЗАЩИТА Въпрос 1. ISO 27001 е станадарт за? A. Управление на качеството на услугите. B. Управление на достъпа до данните. C. Управление на сигурността на информацията. Въпрос 2. ISO 27001:2005 е разделен на? A. 10 секции. B. 12 секции. C. 24 секции. Въпрос 3. В раздела „Сигурност на персонала“ се включва? A. обучение, процедури за евакуация, процедури за проверка и действия на персонала,. B. обучение, отговорности, процедури за проверка и действия на персонала. C. отговорности, процедури за проверка и действия на персонала при пожар. Въпрос 4. ЕСОЕД е? A. единната среда за обработка на електронни документи. B. еластична среда за обмен на електронни документи. C. единната среда за обмен на електронни документи. Въпрос 5. Наредбата за общите изисквания за оперативна съвместимост и информационна сигурност урежда? A. мрежовата и информационната сигурност на частни фирми. B. мрежовата и информационната сигурност на държавни институции. C. мрежовата и информационната сигурност на информационните системи. Въпрос 6. Политиката за информационна сигурност е? A. набор от нормативни документи, правила и норми за поведение, които определят как организацията защищава разпространението на информацията. B. набор от нормативни документи,. C. набор от нормативни документи, правила и норми за поведение, които определят как организацията защищава обработката, съхранението и разпространението на информацията. Въпрос 7. Концепцията "Дълбока отбрана" означава? A. Осигуряване на сигурността по такъв начин, че да не се компрометира общата защита. B. Осигуряване на сигурността по такъв начин, че всички компонент да бъдат надеждно защитени. C. Осигуряване на сигурността по такъв начин, че невъзможността на един компонент или механизъм да ограничи атаката да не доведе до компрометиране на общата защита.. .

219


Въпрос 8. "Универсално участие" е? A. концепция, при която всички звена на системата следят за сигурността. B. концепция, при която отделни звена на системата следят за сигурността. C. концепция, при която в отделни звена на системата изпълняват универални функции по сигурността. Въпрос 9. Средният за Европейсия съюз процент на обучение на персонала по проблемите на сигурността е? A. Над 50%. B. 48%. C. Под 12 %. Въпрос 10. ISACA е неправителствена организация с цел? A. популяризирането на професията „Одитор на счетоводни системи“. B. популяризирането на професията „Одитор на банкови системи“. C. популяризирането на професията „Одитор на информационни системи“. Въпрос 11. Course 2810a на фирмата Microsoft e посветен на? A. Fundamentals of Network Evaluation. B. Fundamentals of Network Services. C. Fundamentals of Network Security. Въпрос 12. Един от основните документи на организацията (ISC)² е? A. Справочна карта на сертифицирани специалисти по безопасност и защита. B. Учебна програма за обучение на сертифицирани специалисти по безопасност и защита. C. Етичен кодекс на сертифицирани специалисти по безопасност и защита. . Въпрос 13. ENISA е ? A. Европейска агенция за управление на полетите. B. Европейска агенция за мрежова и информационна сигурност. . C. Европейска агенция за защита на личните данни. Въпрос 14. Мярка 18 дефинира? A. баланса между кибер защита и защита на класифицирани данни. B. баланса между кибер защита и защита на бизнес интереси. C. баланса между кибер защита и защита на личните данни. Въпрос 15. При събиране на информация за Google Street View, фирмата наруши? A. Местните закони. B. Международни разпоредби за събиране на географска информация. C. Неприкосновеността на личните данни.

220


ТЕМА 15 ЧОВЕШКИЯТ ФАКТОР ПРИ ОСИГУРЯВАНЕ НА БЕЗОПАСНОСТ И ЗАЩИТА Съдържание на темата: 15.1. Класификация на човешките ресурси 15.2. Закон за електронния документ и електронния подпис в България Както във всяка сложна система, така и в системите за безопасност и защита ключова роля играят не техническото и програмното осигуряване на системата, а хората, които изграждат, поддържат и прилагат ежедневно тази система, т.е. човешкият фактор е от основно значение за осигуряване на безопасност и защита. 15.1. Класификация на човешките ресурси. Условното класифициране на персонала, свързан с изграждане, обслужване и ефективно използване на системите за безопаснот и защита, биха могли да образуват следните групи: – Потребители – трябва да могат да боравят правилно, сигурно и ефективно с информационните системи и инфдипьъсдххсше ресурси. – Администратори – да са квалифицирани и да притежават умения да защитят

и

наблюдават

информационните

системи

,

да

осигурят

безпрепятствена работа, както и да я възстановят в максимално кратък срок при срив. – ИТ мениджъри – да подбират подходящ екип и решения с цел предоставяне на ползотворна и надеждно функционираща информационна система. Някои от често срещаните причини за пробив в системите са действията на нелоялни потребители - служители (особено тези, с които е прекъснат едностранно трудовия договор) или от служители, достигнали степентта на своята некомпетентност. 221


В тази тематична единица се включват разделите за електронен подпис и електронния подпис, зашото те са свързания с човешкия фактор – прилагането им на практика по-лесно идентифицира кой е извършителят на зловрено действие и върху какъв електронен документ това действие е приложено. Нелоялни служители. Служител, който съзнателно се стреми да навреди на конкретния бизнес или работодател, наричаме нелоялен служител. Такъв служител може да отпечата или запише и изнесе фирмена информация, до която има достъп. Може технически (вреден софтуер, прихващане на трафик) или по друг начин да придобие неоторизиран достъп до такава информация. Изнасянето може да стане с помощта на външен електронен носител (флаш памет, преносим диск, мобилен телефон) или чрез изпращане през интернет (електронна поща, чат клиенти, файлов трансфер). Този служител може да даде на външни технически грамотни лица, физически или отдалечен достъп с помощта на софтуер (вреден софтуер, софтуер за отдалечена техническа поддръжка) и/или хардуер (безжично устройство, мобилен телефон), до компютърните системи и мрежи на организацията. Най-голяма е опасността от нелоялни служители, чиито служебни задължения включват информационна защита и техническо осигуряване на компютърните системи. Те или имат, или лесно могат да получат неоторизиран достъп до цялата информация. За приемливо ниво на защита от нелоялни служители е нужно: - чувствителната информация да се съхранява на сървърите на организацията и/или на отделни компютри, за които са въведени по-строги мерки за защита; -

да

се

ограничи

физическия

достъп

до

помещенията

със

сървърите/компютрите; - да се създаде структура от папки със съответните контроли за достъп (кой, до коя папка/файл има достъп), като се вземе под внимание принципа „необходимост да се знае“; 222


- да се въведе задължително използване на пароли за достъп до компютърните системи и услуги със съответните правила (заложени в политиката за сигурност); - за системите и услугите, които обработват чувствителна информация да се извършва непрекъснат запис на всички събития, свързани с достъпа до тези системи, услуги и информацията, която обработват; - да има правила (заложени в политиката за сигурност) – кой, кога и с чия санкция може да извършва, технически действия свързани с кабелната система, комуникационното оборудване, сървърите и компютрите; - да се въведе адекватна защита от вреден софтуер; Могат да се прилагат и допълнителни мерки: - да се въведе софтуер за мониторинг на персонала; - да се използва криптиране на трафика в локалните мрежи; - да се използват смарт карти, вместо пароли за достъп до компютърните системи и услуги; - компютрите, определени за работа с чувствителна информация да нямат връзка с интернет или други публични мрежи. Човешка грешка Несъзнателно действие или бездействие на служител, което вреди на организацията, се приема като човешка грешка. Това действие или бездействие може да е в следствие подвеждане, немарливост или некомпетентност. Тези грешки могат да доведат до заразяване с вреден софтуер, да спомогнат действията на нелоялни или външни лица, целящи да навредят на организацията, да предизвика техническа неизправност или да унищожи информация, да разкрият чувствителна информация, както се даде достъп до нея през интернет или изгуби електронен носител (флаш памет, преносим компютър). Тук отново най-голяма е опасността от служители, чиито служебни задължения включват информационна защита и техническо осигуряване на компютърните системи. Техните грешки имат най-сериозно отражение върху компютърната сигурност и информацията обработвана и съхранявана в 223


компютърните системи. Те или чрез техните права за достъп може лесно да се получи оторизиран или неоторизиран достъп до цялата информация или да се заобикалят или изключат системите за защита. За да се постигне приемливо ниво на защита от човешка грешка, е нужно: - да се въведе адекватна защита от вреден софтуер; - да се въведе адекватна защита от нелоялни служители; - да се въведе система за автоматизиран архив; - да има правила за работа със системите (заложени в политиката за сигурност) и да се следи дали тези правила се спазват; Могат да се използват и следните допълнителни мерки: - да се ограничи използването или да се въведе одобрено от организацията криптиране на електронни носители (флаш памети, мобилни компютри). Третирането на проблемите, свързани с човешния фактор, винаги поставя въпроса „Кои са онези членове на нашето общество, известни с жаргонното наименование „хакери“? От какви мотиви са движени в ежедневната си нетрадиционна дейност? Класификация на хакерите Според Ерик Раймонд, един от „бащите“ на движението за разпространение на свободен софтур, всички членове на компютърния подземен свят

трябва да се наричат „Кракери“. Но членовете на този

подземен компютърен свят предпочитат да се класифицират на бяла шапка, сива шапка, черна шапка и script kiddie. Противоречиво на Раймонд, те използват термина кракер само за по-злонамерени дейности. Според тях кракер или кракване е „получаване на неупълномощен достъп до компютър, за да се извърши престъпление, като унищожаване на информацията съдържана тази система“. White Hat (Бяла шапка) Хакер бяла шапка прониква в системи по незлонамерени причини, например тестване на системата за сигурност. Тук се включват и лица, 224


проникват в системи за да тестват защитата и за уязвимости към атаки, по договорено споразумение. Често хакера „бяла шапка" се нарича етичен хакер. Международния Съвет на Консултанти по Електронна Търговия е една от организациите, които издават сертификати, провеждат курсове, уроци и online обучение, обхващащи широкия кръг етнично хакерство. Black Hat (Черна Шапка) Хакер черна шапка е хакер който нарушава сигурността на компютър или система само за лична изгода. Черните шапки формират стереотипа за хакер, като престъпник и злодей. От там се поражда и страхът от хакерите. Черните шапки проникват в системи за да унищожат информация или направят мрежата неизползваема за тези, които не са упълномощени да я използват. Те избират целите си използвайки двуетапен процес включващ „Избор на цел“ и „събиране на информация“ и самата атака. Избор на цел. На този етап хакерът избира в коя система да проникне. Целта може да проявява голям интерес за хакера, бъдейки политически или личен или може да бъде случайно избрана. След това сканира портовете на мрежата, за да разбере дали мрежата е уязвима за атаки. Сканирането тества портовете на системата за отговор. Отворените портове (тези които отговарят) дават достъп на хакера до системата. Събиране на информация. На този етап хакера ще установи някакъв контакт с целта, за да получи важна информация, което би му помогнала да достъпи системата. Главният подход е „Социално Инженерство“, могат да ползват и техника, наречена „Dumpster Diving“. При “dumpster diving” хакера претърсва боклука на потребителя на системата с цел да намери изхвърлени документи, който могат да съдържат информация полезна на хакера. Атака. На този етап се състой самата атака. Много хакери са хващани на този етап, примамени със „honeypot” – капан направен от персонала за защита на системата. 225


Grey Hat (Сива Шапка) Това хакер комбинация между черна и бяла шапка. Те проникват в системи без разрешение, също като черните шапки, но уведомяват администратора на системата за уязвимостите, които са открили (също като белите шапки). Обикновено не хакват за лична изгода или злонамереност. Но са готови да извършват престъпления по време на подвигите си за да постигнат по-добра сигурност. Те обикновено съобщават за уязвимостта на системата не само на администратора, но и на цялата хакерска общност. Elite Hacker (Елитен Хакер) Използва се за да опише най-добрите хакери. Script Kiddie Може да се срещне и като skiddie. Това е не-експертен човек, който използва вече готови и автоматизирани устройства и приложения, направени от други, с малко разбира за това как точно работи. Термина произлиза от Script (сценарий)– вече готов план за действие и Kiddie (дете) – човек с малко знание и опит, незрял. Neophyte (новак) Синоним е “n00b” или “newbie”. Това е някой което тъкмо започва да хаква и няма почти никакво знание или умения относно технологиите или хакването. Blue Hat (Синя Шапка) Това е консултантска фирма, не се занимаваща с компютърна сигурност, която е наета да тества система за бъгове. Търсейки уязвимости, за да се поправят преди пускането на продукта. Microsoft използва термина, за да се обръща към професионалистите, които наема да търсят уязвимости в техните продукти. Hactivist Това е хакер който използва технологии, за да представи политическо, религиозно или идеологично съобщение. Обикновено представлява промяна на сайт (defacement) или спиране на достъпа до услуги на някой сайт (denialof-service). 226


Въпреки че повечето хора използват думата хакер като синоним за човек, които извършва престъпления чрез компютър, не трябва да забравяме, че не всички хакери са еднакви. Всеки един от тях е воден от различни мотиви - някои добри, като тестване на защити с цел подобряване на сигурността; други – от лоши, като печалба , кражба на информация или просто да създават хаос. Интерес представлява „хакерския“ код на CIPAV на ФБР. Бюрото използва CIPAV (Computer and Internet Protocol Address Verifier или Компютърен и интернет протокол адресен верификатор) за идентифицира хората, които крият своята самоличност, използвайки прокси сървъри, бот мрежи, компрометирани компютри и анонимни мрежи като Tor. За малко от тях е известно, че са резултат от публикувани документи от случаи, в които са били използвани. CIPAV може да включва използването на браузър, експлоатиран да пуска софтуер на компютър, независимо от това колко много стъпки на околните присъстват между атакуващия сървър и потребителя. 15.2. Закон за електронния документ и електронния подпис в България Идентифицирането е една от най-важните области при изграждането на връзка на доверие. Логично е, че можете да имате доверие на някой, само ако знаете кой е той. В много случаи идентифицирането се извършва чрез подписване на документ. За да направите електронните документи легални трябва да имате механизъм, който да осигурява средство за идентифициране автора на документа. Универсален електронен подпис (УЕП) е средство за електронна идентификация. Чрез УЕП се постигате максимална защита на потребителската информация от последващи промени и потвърждава съгласието на издателя за оригиналност на съдържанието на електронния документ. Всеки документ (договор, оферта, фактура), подписан с електронен подпис, притежава същата сила и валидност като при саморъчен подпис на хартия..

227


Подписът се генерира с помощта на сложни математически алгоритми и се издава от регистриран доставчик на удостоверителни услуги. Един от методите е прилагането на hash код. Hash кодът е функция, която намалява всяко едно съобщение до фиксиран брой битове. Без значение каква е дължината на файла, дължината на hash винаги е една и съща.

Друга

особеност при криптирането на електронните подписи, е следната: вместо да критпират съобщението с обществения ключ на получателя, hash кода на съобщението се криптира с персонален ключ, и след това се декриптира с обществения ключ на изпращача. Разбира се, всеки може да декриптира hash кода на съобщението, тъй като обществения ключ може да се намери в директорията за обществени ключове на сървъра. Фактът, че вие можете да декриптирате съобщението с обществения ключ на определен човек доказва само по себе си, че това съобщение идва именно от този човек. Само този, който притежава персоналния ключ може да създаде съобщение, което може да се декриптира със съответния обществен ключ. Електронният подпис се признава за валиден от държавните органи и органите на местното самоуправление, като по този начин се гарантира от трета независима страна, че документът, подписан с електронния подпис, е напълно истински. УЕП ви дава по-голяма сигурност и може да спести много време и усилия. Чрез него вие можете да подписвате и изпращате различни документи от своя офис или дом. Електронният подпис гарантира максимално авторската идентичност и прави невъзможно фалшифицирането на подписаните с него документи. Електронният подпис прави документите ви официални и дава достъп до много онлайн услуги. УЕП носи нужната дискретност, интегритет (осигурява

целостта

и

непроменимостта

на

подписаните

данни)

и

неотменимост (невъзможност за отхвърляне на подписването) на вашия документ. Универсалният

електронен

подпис

гарантира

много

по-голяма

сигурност и удобство при комуникацията с електронни документи. С електронен подпис можете да подписвате документи в различни файлови 228


формати - PDF файл, Word или Excel документ, електронно писмо, платежно нареждане или декларация. Ето един пример как авторът подписва PDF файл с издадения от фирма Adobe електронен подпис:

Фиг. 15.1. Примерен електроне подпис на PDF-документ Според чл. 13 на закона, под „електронен подпис се разбира: Електронен подпис е всяка информация в електронна форма, добавена или логически свързана с електронното изявление, за установяване на неговото авторство. Усъвършенстван електронен подпис е електронен подпис, който: 1. дава възможност за идентифициране на автора; 2. е свързан по уникален начин с автора; 3. е създаден със средства, които са под контрола единствено на автора, и 4. е свързан с електронното изявление по начин, който осигурява установяването на всякакви последващи промени. Квалифициран електронен подпис е усъвършенстван електронен подпис, който отговаря на изискванията на чл. 16. Електронният подпис има значението на саморъчен подпис. Страните могат да уговорят, че ще признават стойността на електронния подпис на саморъчен в отношенията помежду си. Никой освен автора няма право на достъп до данните за създаване на електронния подпис. Квалифициран електронен подпис е усъвършенстван електронен подпис, който: 1. е придружен от издадено от доставчик на удостоверителни услуги удостоверение

за

квалифициран

електронен

подпис,

отговарящо

на 229


изискванията на чл. 24 и удостоверяващо връзката между автора и публичния ключ за проверка на подписа, и 2. е създаден посредством устройство за сигурно създаване на подписа. Изискванията

към

алгоритмите

за

създаване

и

проверка

на

квалифицирания електронен подпис се определят с наредба на Министерския съвет. Квалифицирани електронни подписи са: 1. усъвършенстваните електронни подписи на Комисията за регулиране на съобщенията, с които тя подписва актовете, издавани въз основа на правомощията и по закон; 2. усъвършенстваните електронни подписи на доставчиците на удостоверителни услуги. За да подпишете електронен документ с универсален електронен подпис, трябва да притежавате Удостоверение за универсален електронен подпис, технически носители (смарт карта и карточетец) и специален софтуер за управление на карти и за работа с електронни документи. Законът изисква частният ключ на универсалните електронни подписи задължително да се генерира и съхранява върху сигурен носител, какъвто е смарт-картата. Тя се свързва с компютър посредством карточетец. В България оперират пет дружества с лицензи за извършване на удостоверителни услуги,

издадени

от

Комисията

по

регулиране

на

съобщенията, съгласно Закона за електронния документ и електронния подпис (ЗЕДЕП). Те са следните: 

"ИНФОРМАЦИОННО ОБСЛУЖВАНЕ" АД;

"БАНКСЕРВИЗ" АД;

"ИНФОНОТАРИ" ЕАД

"СПЕКТЪР" АД

"СЕП БЪЛГАРИЯ" АД

При издаването на Удостоверение за универсален електронен подпис вие ще получите двойка специални файлове, т. нар. частен и публичен ключ. Частният ключ се използва при създаването на електронния подпис. Не 230


предоставяйте своя частен ключ на никого. Публичният ключ се използва за проверка на електронния подпис от получателя на електронния документ. Чрез публичния ключ се удостоверява, че документът е подписан именно от вас. Двата ключа ще бъдат записани на вашата смарт карта, която ще бъде защитена с ПИН код. Персоналният идентификационен номер (ПИН) ще ви дава достъп до смарт картата при подписване на електронен документ. За инициализиране или разблокиране на вашата смарт карта ще получите и административен идентификационен номер (АИН). Ако загубите или забравите своя ПИН смарт картата ви ще остане неизползваема, тъй като ПИН и АИН кодовете не се отпечатват или съхраняват никъде другаде, освен в документа предназначен за клиента, купил картата! За да подпишете своя документ, се използва специална софтуерна програма. Софтуерът генерира специален "отпечатък" (контролен низ) на подписвания документ, като промяната на който и да е символ в документа води до различен отпечатък. Полученият отпечатък се кодира с вашия частен ключ и се превръща в официален електронен подпис.

Изпращането на

публичния ключ до получателя може да стане чрез публикуването му в Интернет, откъдето адресата може да го изтегли или чрез директно предоставяне на публичния ключ до адресата (като приложен файл) при изпращането на електронния документ. Универсален електронен подпис може да притежава всяко законно регистрирано местно или чуждестранно юридическо лице, както и всеки пълнолетен български или чуждестранен гражданин пребиваващ в страната. УЕП може да се ползва също така от мрежови обекти (например сървър), както и на други хардуерни и софтуерни обекти. Всички физически лица могат да си закупят удостоверение за универсален електронен подпис само срещу предоставяне на лична карта. Всички юридически лица е необходимо да представят следните документи: 

копие от документ за самоличност на законния представител на

фирмата или организацията; 231


копие от документ за самоличност на лицето, което представлява

дружеството и ще ползва подписа; 

удостоверение за актуално състояние, издадено преди не повече от

три месеца. Юридически лица, вписани в Търговския регистър представят копие от документ, удостоверяващ актуално състояние. При липса на такъв представят справка от Търговския регистър, заверена от титуляра/автора. 

документ за овластяване на автора (учредителен акт, или решение на

съвета на директорите/управителния съвет/надзорния съвет на дружеството, с което се овластява авторът, или пълномощно); Ако упражнявате свободна професия, т.е. сте адвокат, архитект, счетоводител, дизайнер, програмист, преводач, консултант, журналист, писател, художник и работите сам за себе си и не отдавате труда си под наем на по-големи сдружения (freelancer) трябва да представите още 

документ по идентификационен номер (БУЛСТАТ);

документ за професионален статус;

В

случай,

че

титулярът

се

представлява

от

пълномощник,

пълномощното следва да е нотариално заверено и изрично да посочва, че пълномощникът може да представлява титуляра пред регистриращите органи. Лицето или фирмата трябва да притежава електронна поща, която задължително поддържа протоколи POP3 и SMTP, т.е. да е на собствен домейн и хостинг (безплатните пощенски кутии на dir.bg, mail.bg, abv.bg, yahoo.com, gmail.com и др. не поддържат тези протоколи). Комисията за регулиране на съобщенията води регистър на всички доставчици, установили се на територията на Република България, които са я уведомили за започване на дейността си по чл. 19, ал. 1 и за акредитираните доставчици. Регистърът на доставчиците на удостоверителни услуги е публичен. Комисията за регулиране на съобщенията публикува в регистъра базовите

и

оперативните

удостоверения

за

електронен

подпис

на

доставчиците на удостоверителни услуги и базовите и оперативните си удостоверения по чл. 16, ал. 3, т. 1.

232


Воденето, съхраняването и достъпът до регистъра се уреждат с наредба на Комисията за регулиране на съобщенията, която се обнародва в "Държавен вестник".

Литература 1. Дражев Ст. и др. Социална мрежа за споделяне на знания и опит

между преподаватели и студенти от ИУ-Варна. РЪКОВОДСТВО ЗА РАБОТА., 2012 г. Изд на ИУ-Варна, 196 с. 2. Закон за електронния документ и електронния подпис в България.

Интернет източници 1. Библиотека

на

доц.

д-р

Стефан

Дражев

в

SlideShare

:

(http://www.slideshare.net/stedrazhev/). 2. Библиотека

на

доц.

д-р

Стефан

Дражев

в

Issuu:

http://www.issuu.com/stedranet 3. Microsoft patterns & practices Volume I, Building Secure ASP.NET Applications: Authentication, Authorization, and Secure Communication - http://msdn.microsoft.com/en-us/library/aa302383.aspx 4. Microsoft patterns & practices Volume II, Building Secure ASP.NET Applications: Design Guidelines for Secure Web Applications http://msdn.microsoft.com/en-us/library/ff648647.aspx Дата на създаване на тематичната единица: 21.06.2013г. Дата на последна актуализация на съдържанието на тематичната единица: 30.06.2013г. Автор на тематичната единица: доц. д-р Стефан Дражев

233


ТЕСТ 15 ЧОВЕШКИЯТ ФАКТОР ПРИ ОСИГУРЯВАНЕ НА БЕЗОПАСНОСТ И ЗАЩИТА Въпрос 1. Класификацията на човешките ресурси ИТ-сектора включва? A. Възложители, Администратори, ИТ-специалисти. B. Клиенти, Спонсори, ИТ-мениджъри. C. Потребители, Администратори, ИТ-мениджъри. Въпрос 2. Хакер тип White Hat (Бяла шапка) е този, който? A. прониква в системи по незлонамерени причини. B. прониква в системи по злонамерени причини. C. прониква в системи случайно. Въпрос 3. Хакерският код CIPAV е разработен от? A. Хакери „Бяла шапка“. B. От ФБР, САЩ. C. Хакери „Сива шапка“. Въпрос 4. Универсален електронен подпис (УЕП) е средство за? A. Включване на компютъра. B. Включване на мобилни у.стройства C. Електронна идентификация. Въпрос 5. Hash кодът е? A. функция, която дадено съобщение. B. функция, която увеличава всяко едно съобщение до максимален брой битове. C. функция, която намалява всяко едно съобщение до фиксиран брой битове. Въпрос 6. Електронният подпис има значението на? A. Саморъчен подпис. B. На електронна идентификация на физическо или щридическо лице. C. И двата отговора са верни. Въпрос 7. Квалифициран електронен подпис е? A. Усъвършенствана парола за достъп до компютърни мрежи. B. Усъвършенстван електронен маркет. C. Усъвършенстван електронен подпис. . Въпрос 8. За да подпишете електронен документ с универсален електронен подпис, трябва да притежавате? A. Удостоверение за универсален електронен подпис, технически носители (смарт карта и карточетец) и специален софтуер за управление на карти и за работа с електронни документи. B. Удостоверение за универсален електронен подпис и специален софтуер за управление на карти и за работа с електронни документи. C. Удостоверение за универсален електронен подпис.

234


Въпрос 9. Твърдението „В България оперират следните дружества с лицензи за извършване на удостоверителни услуги:  "ИНФОРМАЦИОННО ОБСЛУЖВАНЕ" АД;  "БАНКСЕРВИЗ" АД;  "ИНФОНОТАРИ" ЕАД  "СПЕКТЪР" АД  "СЕП БЪЛГАРИЯ" АД  "БУЛБАНКСЕРВИЗ" АД.“ е? A. Вярно. B. Почти вярно (една от фирмите не е лицензирана). C. Невярно. Въпрос 10. Във вашата смарт-карта се съхранява? A. Вашият частен ключ. B. Вашият публичен ключ. C. Вашите частен и публичен ключове. Въпрос 11. АИН е ? A. Идентификационен номер на ИТ-администратор. B. Идентификационен номер на ИТ-архиватор. C. Административен идентификационен номер. Въпрос 12. Ако сте програмист на свободна практика и желаете да получите електронен подпис, освен дригите необходими документ, трябва да представите и? A. документ за членство в професионална организация. B. документ за трудов стаж по специалността. C. документ за професионален статус. . Въпрос 13. От къде произлиза съкращението CIPAV? A. Cyber Password Verifier. B. Computer Intranet Password Verifier. C. Computer and Internet Protocol Address Verifier. Въпрос 14. Hactivist е хакер който използва технологии, за да представи: A. политическо, религиозно или идеологично съобщение. B. природозащитно послание. C. хуманистко послание . Въпрос 15. Терминът „Blue Hat“ се използва за обозначаване на: A. част от електронен подпис B. професионалисти, търсещи уязвимости в продуктите на Microsoft C. вид хакерска атака

Dr. Stephen Drazhev

235