Bei der Organisation des Schutzes muss man verschiedene Rechte und die Möglichkeiten berücksichtigen, die jede der bezeichneten Gruppen hat. Wenn mit dem Schutz vor den nebensächlichen Menschen und den Benutzern des Systems alles genug einfach ist, so verhalten sich C vom Schutz vor den Missbraüche der Verwalter und der Hersteller der Sache wesentlich komplizierter. Aus den bekannten Mitteln kann man die Teilung der Funktionen (zum Beispiel, empfehlen, die Funktionen des Verwalters des Systems und der Fachkraft für die Sicherheit des Systems) und die Führung der Protokolle der Arbeit auf die Einrichtungen mit der einmaligen Aufzeichnung (WORM) zu teilen. Für den allgemeinen Fall, wenn es die Notwendigkeit gibt, das System zu bauen, das vor den Verwaltern und die Hersteller geschützt ist, man muss an die Fachkräfte für die Computersicherheit behandeln. Freilich, findet in der bedeutenden Mehrheit der Fälle genug Schutz vor den Unbefugten und den Benutzern statt.

Was zu machen?

Es existieren sehr viel Varianten der Festigung der Sicherheit des Systems. Als erster Schritt braucht man, die maximalen Verluste vom erfolgreichen Angriff zu bewerten und, zu bestimmen, welche Kosten die Festigung der Sicherheit annehmbar und ausreichend sein werden. Ausgehend davon braucht man, die Hardware-, Programm- und administrativen Mittel der Festigung der Sicherheit auszuwählen.

Die Beschränkung und die Abgrenzung des Zuganges

Es ist allgemeinanerkannt, dass ein beliebiger Benutzer den Zugang nur zu jenen Ressourcen haben soll, die ihm notwendig sind. Alle Netzumgebungen haben mehr oder die weniger entwickelten Mittel der Beschränkung des Zuganges. Schlüsselaufgabe bei der Abgrenzung des Zuganges ist die Identifizierung des Benutzers.

Bevor irgendwelcher Server des Systems den Zugang auf die Ressourcen gewähren wird, soll er verstehen, mit wem zu tun hat. Andererseits, bevor auf irgendwelchen Server die wichtigen Informationen zu übergeben, der Abonnent will sich darin auch überzeugen, dass seine Daten bestimmungsgemäß abgesandt sein werden.

In der Elementarvariante für die Bestätigung der Vollmachten des Kunden dient парольная der Schutz. Jedoch ist sie an und für sich kein Allheilmittel. Die Parole kann man bei der Sendung nach dem Netz auffangen, auswählen, beim Satz usw. Dieses Problem belauern es entscheidet sich von der Nutzung der zusätzlichen Mittel: чиповых der Karten oder TOUCH MEMORY http://www.confident.ru/. Bei der Konstruktion der Systeme mit der hohen Stufe des Schutzes können die Einrichtungen der Identifizierung nach den biologischen Parametern verwendet werden: nach der Netzhaut des Auges, nach dem Abdruck des Fingers oder nach der Form der Hand. Aber dieser Methoden meinen die Möglichkeit des physischen Kontaktes mit dem Detektor. Wenn es unmöglich ist, so werden die folgenden Prinzipien verwendet: bevor die Parole zu übergeben, muss man die Vereinigung feststellen, die mit der Chiffrierung des Verkehres geschützt ist. Es wird auf folgende Weise: beim Anschließen übergibt der Server dem Kunden den offenen Schlüssel, der Kunde generiert geheim (symmetrisch) chiffriert der Schlüssel, von seinem offenen Schlüssel und übergibt auf den Server. Weiter wird der ganze Verkehr, einschließlich den Namen und die Parole des Benutzers, nach dem Netz in der chiffrierten Art übergeben. In dieser Kette bleibt noch ein schwaches Glied - der Benutzer soll sich auch überzeugen, was mit jenem Server zu tun hat, mit dem er zu tun haben wollte. Es ist die Situation andernfalls möglich, wenn die Übeltäter Ihnen den "falschen" Server zuschieben. Sie werden an ihn angeschlossen, Sie führen die Parole ein, wonach der falsche Server die Störung im Netz imitiert, Ihre Kombination des Namens und der Parole gemerkt. Im Folgenden kann sie für das Erhalten des Zuganges auf den gegenwärtigen Server verwendet sein. Für die Lösung des vorliegenden Problems dienen die Server аутентификации. Bei der Errichtung der geschützten Vereinigung wird die dritte Seite verwendet, die die Authentizität und den Kunden und des Servers bestätigt. Im Internet existieren die Firmen, die die ähnlichen Dienstleistungen für das Geld leisten. In diesem Zusammenhang ist nötig es die folgenden Lebensmittel zu erwähnen: secure shell die Firmen, zulassend, im Kommandointerpreter mit шифрацией des Verkehres, das Protokoll ssl (secure socket layer) der Firma netscape communications corporation, verwendend das System der Zertifikate аутентификации und die Chiffrierung nach dem Algorithmus rsa (rsa data security, inc zu arbeiten.) bei der Arbeit durch web-brouser, sowie das System аутентификации kerberos und andere.

Die Irreführung

Die Irreführung ist eine erste Barriere auf dem Weg angreifend. Für die Verwirklichung des erfolgreichen Angriffes muss man viel vom angegriffenen System wissen. Sogar können harmlos anscheinend die Informationen (zum Beispiel, über die Version Ihres Betriebssystemes oder WEB - des Servers) wichtig beim Angriff sein. Deshalb ist der erste Schritt bei der Konstruktion des Systems des Schutzes ein Verstecken oder die Entstellung Maximums der Informationen.

Fürs erste ist nötig es alle standardmäßigen Einladungen und die Titel zu ersetzen. Dann muss man zwei DNS-Server - ein für die Außenwelt, und anderen für die innere Nutzung führen. Auf dem DNS-Server, der für die Außenwelt vorbestimmt ist, es ist nötig die Aufzeichnungen von allen Wagen mit Ausnahme absolut notwendigen Minimums auszuschließen. Hier kann das Problem nämlich entstehen. Einige WEB - und fordern die FTP-Server das Vorhandensein des registrierten Namens beim Anschließen zu ihm. Es ist die Anwendung des PROXY-Servers in diesem Fall vollkommen rechtfertigt. Also, muss man und endlich die vollen Informationen über das System nicht ausgeben, wenn Sie der Handelsvertreter anruft und unter dem Deckmantel des Verkaufes des neuen Servers oder des Routers versucht вызнать bei Ihnen die Details der Abstimmung Ihres Netzes. Dieses betrifft auch allerlei Registrierungsformen auf den WEB-Servern und den übrigen Stellen. Auch man braucht, alle Mitarbeiter darüber zu benachrichtigen, dass beliebige Informationen über das lokale Netz der Organisation geschlossene Informationen sind.

Die Chiffrierung des Verkehres

Bei der Organisation интранета wird der Verkehr, der früher nicht des lokalen Netzes die Grenzen überschritt, durch viele Kilometer der Netze der allgemeinen Benutzung versäumt. Dabei können sehr viele Menschen es durchsehen. Besonders betrifft es die Sendung des Verkehres durch das Internet, aber die Drohung bleibt und bei seiner Sendung durch den gewählten digitalen Kanal erhalten. Für die Verhinderung des Abfangens der Informationen in dieser Etappe verwenden die Chiffrierung. Es sind viel gute Algorithmen der Chiffrierung zur Zeit entwickelt. Ganz sie kann man auf zwei grundsätzlich verschiedene Gruppen - mit symmetrisch (geheim) dem Schlüssel und mit nicht symmetrisch (geöffnet) teilen. Der Unterschied zwischen ihnen besteht im Folgenden: unter Anwendung vom symmetrischen Schlüssel und sollen der Absender und der Empfänger der Mitteilung einen und derselbe geheimen Schlüssel haben, mit dessen Hilfe chiffriert wird und es wird die Mitteilung entziffert. Das Hauptproblem bei dieser Methode - die Sendung des geheimen Schlüssels. Der geheime Schlüssel soll nach dem geheimen Kanal übergeben werden. Wenn zwei Abonnenten über den geheimen Kanal untereinander nicht im Zustand, sich nicht verfügen persönlich zu treffen, so ist das vorliegende Schema unannehmbar. Bei der Chiffrierung mit dem offenen Schlüssel entsteht ein Paar Schlüssel - geöffnet und geheim. Die Mitteilung, die mit Hilfe des offenen Schlüssels chiffriert ist, kann ohne Wissen des geheimen Schlüssels und umgekehrt nicht entziffert sein. Diese Eigenschaft ermöglicht, ohne geheimen Kanal umzugehen. Wenn ich will, dass jemand mir die chiffrierte Mitteilung geschickt hat, generiere ich ein Paar Schlüssel und veröffentliche ich den offenen Schlüssel in der breitesten Weise. Jeder, wer meinen offenen Schlüssel bekommen kann, kann mir die chiffrierte Mitteilung schicken, die nur ich vom paarigen geheimen Schlüssel entziffern kann. Darauf enden die Vorteile der gegebenen Methode und fangen die Mängel an: die Chiffrierung mit den nicht symmetrischen Schlüsseln fordert grösser Rechenressourcen, für die Versorgung ähnlich криптостойкости soll der längere Schlüssel verwendet werden. Und die überhaupt vorliegende Methode stützt sich auf dem unbewiesenen Theorem über die Unmöglichkeit in der analytischen Weise, eine willkürliche Zahl auf die einfachen Faktoren auszulegen. Aus diesen Gründen die vorliegende Methode der Chiffrierung verwenden in der Kombination mit der traditionellen Chiffrierung mit dem symmetrischen Schlüssel gewöhnlich.

Man will von der Nutzung der unkontrollierten und selbstgemachten Systeme der Chiffrierung warnen. Kommt die Meinung vor, wenn ich das System bekannt, so ist es auch als sie bekannt, - besser ich zu brechen den eigenen Algorithmus, wenn auch und einfach, aber niemandem nicht den Bekannten schreiben werde. Es in der Wurzel das falsche Herangehen. Die Kryptographie ist und обширнее viel komplizierter, als es anscheinend, und криптоаналитика viel mächtiger scheint.

Die Führung "der persönlichen Zeitschriften"

Für den allgemeinen Fall wegen der unvollendeten Arbeiten in den angewandten Systemen, für die Erhöhung der Bequemlichkeit der Arbeit oder für die Erleichterung des Administrierens dem Benutzer werden die etwas überschüssigen Rechte gewährt. Zum Beispiel, man, wenn bei der Arbeit einigen Programms die Daten in die Dateien aufzeichnen muss, so werden die Rechte für die Aufzeichnung in einen ganzen Katalog gewöhnlich gewährt. In diesem Fall kann der Benutzer die Arbeit des Systems verletzen, delegiert ihm die Rechte nicht übertretend.

Für die ähnlichen Fälle kann die Führung der Protokolle der Arbeit der abgesonderten Benutzer helfen. Es lässt falls notwendig zu, die Handlungen des Benutzers, genau zu verfolgen, zu bestimmen, was - der Fehler oder der Angriff vorhanden war, wenn auch welche Handlungen erzeugt waren. Häufig solche Protokolle helfen, die Ganzheit des Systems wieder herzustellen. Die Mängel der Führung solcher Protokolle sind leider offensichtlich: der große Umfang der Protokolle bringt dazu, dass sie niemand analysiert, außerdem sie nehmen die Plätze viel auf den Discs oder anderen Speicher einfach ein.

Die Brandmauern

Für die letzten Jahre die Brandmauern (FIREWALLS) oder haben "die Internetzbildschirme" (ihr dieser offizielle Titel) den Status des absolut notwendigen Mittels beim Internet-Anschluss erworben. Selbst wenn Sie von des häuslichen Computers angeschlossen werden, gibt es den Sinn, der Brandmauer, und nachzudenken wenn Sie das lokale Netz an das Internet anschließen, so wird die Brandmauer einfach notwendig sein.

Die Brandmauern ist es üblich, nach dem Niveau im standardmäßigen Netzmodell gewöhnlich einzustufen, auf dem er arbeitet.

Das erste Niveau - die Filtrierung der gehenden Pakete auf der Höhe IP. Aus diesem Niveau kann man den Schutz verwirklichen, der auf den IP-Adressen gegründet ist. Zum Beispiel, die Pakete aus dem Internet, gerichtet auf jene Server nicht zu versäumen, der Zugang sich zu denen von außen nicht verwirklichen soll. Auch kann auf diesem Niveau solche tückische Art des Angriffes, wie IP - SPOOFING, das heißt die Behandlung zu Ihrem Wagen mit dem falschen Absender des Paketes (zum Beispiel, zugehörig irgendwelchem Wagen in Ihrem lokalen Netz) abgeschaffen sein. In diesem Fall verwirklicht sich die Filtrierung nach jenem Prinzip, dass aus dem Kanal, nach dem Sie an das Internet angeschlossen sind, das Paket mit der IP-Adresse aus Ihrem lokalen Netz nicht kommen kann.

Das folgende Niveau - die TCP-Vereinigung. Hier ist die Filtrierung möglich, außer den Adressen, auch nach den Nummern der Häfen TCP und den Fahnen, die in den Paketen enthalten sind. (Zum Beispiel, die Anfrage auf die Errichtung der Vereinigung.) ebenso werden auf dem gegebenen Niveau die Protokolle UDP und ICMP filtriert.

Weiter folgt die Analyse der angewandten Protokolle, solcher wie FTP, HTTP, SMTP und übrig. Aus dem gegebenen Niveau kann die Kontrolle über den Inhalt der Ströme der Daten verwirklicht sein. Insbesondere kann man den Benutzern Ihres lokalen Netzes zu bekommen aus dem Internet die erfüllten Module oder andere Typen der Dateien verbieten.

Und endlich, es geben die Mittel, die zusammen mit allen erwähnten Niveaus der Filtrierung das Expertensystem aufnehmen, die, den Verkehr analysierend, diagnostiziert die Ereignisse, könnend, die Gefährdung der Sicherheit Ihres Netzes vorzustellen, und setzt davon den Verwalter in Kenntnis. Auch kann sie die Regeln der Filtrierung, - zum Beispiel, selbständig ändern, sie im Falle der Gefahr zu verhärten.

Auf den gegenwärtigen Augenblick hat sich der umfangreiche Markt auf diesem Gebiet gebildet. Darauf sind die Mittel im breitesten Umfang der Preise vorgestellt. Die frei verbreiteten UNIX-Systeme, solche wie FREEBSD (http://www.freebsd.org/) und linux, schließen die Instrumente für die Filtrierung auf den Niveaus ip, tcp, udp und icmp ein. Aus den gebührenpflichtigen Systemen braucht man, firewall-1 (check point software), firewall plus, border manager (novell http://www.novell.com/), black hole zu erwähnen. Auch sind die Mittel der Sicherheit in den Betriebssystemen der Hardwarerouter, zum Beispiel, ios v.11.x die Firmen cisco systems (http://www.cisco.com/ anwesend).

Bei der Anlage der Brandmauer kann man an verschiedenen Konzeptionen festhalten. In der am meisten geschützten Variante werden alle Vereinigungen wie aus dem Internet auf die Wagen des lokalen Netzes, als auch von den lokalen Wagen nach draußen verboten. Für die Arbeit mit FTP - und den WEB-Servern wird der PROXY-Server festgestellt, der nebenbei und den Anwenderverkehr analysieren kann. In der erleichterten Variante werden alle Protokolle geschlossen, die Arbeit durch FTP und HTTP wird erlaubt. Es liefert weniger Unbequemlichkeiten, aber bringt dazu, dass man den breiten Umfang der Häfen TCP für die eingehenden Vereinigungen öffnen muss, da es das Protokoll FTP fordert. Also, ist und solche Variante der Arbeit endlich möglich, wenn aller geöffnet ist, nur die abgesonderten Stellen sind, zum Beispiel, TELNET auf den UNIX-Server oder den 139. Hafen bedeckt, durch den die Teilung der Ressourcen in WINDOWS arbeitet.

Der Schematismus

Die routinemäßige Arbeit ist überhaupt nicht weniger wichtig, als das sachkundig aufgebaute System. Nicht wird jeder Angriff sofort gezeigt. Vollkommen kann sich solcher Angriff treffen, deren Folgen durch etwas Wochen oder der Monate gezeigt werden werden. In diesem Zusammenhang muss man im Voraus einfach den Zeitaufwand auf die Analyse der Protokolle, die Kontrolle der Ausführung der Dienstordnung und jenem die ähnlichen Handlungen planen.

Für den Fall wenn bei der Arbeit des Systems wird der große Umfang der vielfältigen Protokolle bewirkt, es ist einige Automatisierung ihrer Analyse einfach notwendig. In den primitiven Varianten ist genug es Zählung der Statistik und der bequemen Abbildung der bekommenen Ergebnisse. Sogar solche bescheidenen Maße werden zulassen, das ungewöhnliche Verhalten des Benutzers (der Zugang zur für ihn ungewöhnlichen Zeit, die heftige Veränderung der Umfänge der bekommenen Informationen u.ä. an den Tag zu bringen).

Für die Verhinderung der Beschädigung der Informationen ist die Analyse der Ganzheit der Informationen notwendig: die Prüfung der Ganzheit архивированных der Dateien, die Zählung und die Verifizierung der Kontrollsummen für die Dateien.

Nur die sorgfältige Erfüllung der routinemäßigen Prozeduren kann einige Gründungen geben, um das System sicher zu halten.

Die Schwierigkeiten

Viele vollkommen offensichtliche Maße können einen ganz paradoxen Effekt geben, wenn nicht zu berücksichtigen, dass die vorgeschriebenen Maße die lebendigen Menschen erfüllen.

Zum Beispiel, auf den Kanälen IRC kann man den Klagen darüber begegnen, dass "админ im Begriff ist, den Zugang zu IRC" und ob in diesem Zusammenhang zu schließen "man darf dieses Verbot irgendwie" umgehen. Im Verfolg "des Gespräches" ist solcher Benutzer fertig, über das Netz allen zu erzählen, was weiß, und, tatsächlich einen beliebigen Rat auszunutzen, den ihm, bis zum Start irgendwelchen hier übergebenen Programms geben werden, das sich "троянской" vollkommen erweisen kann.

Die Psychologie der Benutzer muss man tatsächlich ständig berücksichtigen. So kommt die allgemein bekannte Regel, "die standardmäßigen" Parolen nicht zu benutzen zum Widerspruch mit der Regel "niemals, die Parolen aufzuzeichnen". Der seltene Benutzer ist sofort fähig, sich sogar die gesagte achtsymbolische Parole zu merken. Deshalb ein häufiges Bild ist oder die Anwendung der Parolen als "QQQQQ", "PRIVET" u.ä. Für den Fall, wenn die ähnlichen Parolen automatisch abgesondert werden, neben den Arbeitsplätzen ist es leicht, dem Papierchen zu begegnen, auf dem erzeugt nach allen Regeln, "die ganz geheime" Parole aufgezeichnet ist.

Je nach der konkreten Situation können verschiedene Lösungen gefasst werden: die harte Reglementierung der Arbeiten, die zusätzlichen Beschränkungen auf die Stelle (auf welchem Computer) und die Arbeitszeit, die Verschärfung des Zuganges in die Räume, woher der Zugang auf das System, die Nutzung der Hardwareeinrichtungen der Identifizierung (zum Beispiel, DALLAS LOCK) usw. möglich ist

Die in der Literatur beschriebenen Einbrüche der Systeme mit der Nutzung sogenannt "der sozialen Technik", das heißt mit der Nutzung der psychologischen, nicht technischen Methoden, zeigen die erstaunliche Effektivität solcher Wege, wie sich die vorübergehende Miete auf die Arbeit, die Nutzung der persönlichen Kontakte mit den Arbeitern des Unternehmens usw. die Aufgabe der Verhinderung der Nutzung solcher Methoden zur Führung des Sicherheitsdienstes schneller verhält, aber sollen sich einige Maße mit dem Systemadministrator nichtsdestoweniger vornehmen.

Erstens braucht man, nicht auszuplaudern, um so mehr die Einrichtung des Systems, die Weisen ihres Schutzes vor dem unbefugten Zugang ausführlich zu erklären.

Zweitens muss man sich bemühen, die harte Reglementierung der Arbeit des Personals (die Nutzung der Parolen, die Beachtung der Geheimhaltung und der Abgrenzung der Vollmachten) mit der möglichst breiteren Zusammenarbeit zu vereinen. Das heißt "aus dem Prinzip" braucht man, die für die Menschen interessanten Services nicht zu sperren. Für den allgemeinen Fall braucht man, die Nutzung einigen Instruments sicher, mittels der Anwendung PROXY oder der Analyse des Verkehres, als ganz schneller zu machen, die Nutzung des Services zu verbieten. Der Überfluss der Verbote bringt dazu, dass die Menschen suchen (und finden häufig!) die Umgehungswege, doch zulassend, einen zu machen, was, aber schon unter Umgehung des Systemadministrators wünschenswert ist. Besonders unangenehm, dass im Laufe der Suche solcher Wege die vielfältigen "Bekannten" herangezogen werden, die die vertraulichen Informationen über das System bekommen.

Das nächste Problem ist eine Beachtung der bestimmten Dienstordnung von der Führung und dem Verwalter des Systems. Oft tritt nach der Einleitung ausreichend (nach Meinung des Verwalters) der Sicherheitsmaßnahmen einige Euphorie. Eine Untersuchung es ist, dass sich die beschränkte Redezeit nicht vollständig erfüllt oder erfüllt sich gar nicht, die Protokolle werden nicht analysiert, wird der ausreichenden Prüfung nicht erzeugt.

Die Zusammenfassung

Kaum kann dieser Artikel die revolutionären Veränderungen in den Verstände der Leser herbeirufen. Schließlich, nach den Problemen der Sicherheit ist die riesige Zahl der Artikel geschrieben, der Notizen (zum Beispiel, auf dem Server http://www.hackzone.ru/) Ist es mehr oder die weniger ausführlichen und informativen Bücher und die Führungen u.ä. So dass es die Informationen, im Allgemeinen, völlig ausreichend ist. Als Zusammenfassung kann man nur etwas vortrefflicher Wünsche bringen:

• сбалансированно kommen Sie zu den Problemen des Schutzes und der Zuverlässigkeit heran;
• Bemühen Sie sich nicht, hinter der Mode zu folgen weichen Sie aus der Seite zur Seite nicht;
• Berücksichtigen Sie in der Arbeit die Psychologie der Benutzer;
• Vermeiden Sie seit langem die bekannten Probleme, mit denen sich schon viele Verwalter trafen;
• Wenn Sie fühlen, dass die Aufgabe Ihnen nicht nach der Schulter, es anerkennen Sie und behandeln an die Fachkräfte.