Опубликован: 20.02.2006 | Доступ: свободный | Студентов: 2757 / 414 | Оценка: 4.22 / 3.75 | Длительность: 33:08:00
ISBN: 978-5-9556-0087-1
Лекция 2:

Средства уровня операционной системы

Ключевые слова: поддержка, инструментарий, ПО, безопасность, доверенность, список, физическая защита, Пирамида, операционная система, доверенная вычислительная база, ping, traceroute, whois, finger, PS/2, SAM, Windows, Хакер, программное обеспечение, прикладная программа, Java, activex, Web, компьютер, business server, сервер, безопасная система, межсетевой экран, вторжение, диск, контроль, программа, базовая, вредоносная программа, BSD, Unix, менеджер окон, безопасная установка, опыт, вероятность, GPL, системные требования, MODULE, curses, rpm, interact, маршрутное имя, SSH, detailed, смена текущего каталога, копирование файлов, packet, радар, сетевой протокол, messaging protocol, ICMP, echo, reply, Широкополосное соединение, доменная имя, pattern, команда, хост, поле, TTL, TIME, live, параметр, Интернет, путь, маршрут, адрес, ACM, сетевой администратор, pop, COM, шлюз, MAN, edu, сеть, координаты, networking solution, регистрация, домен, источник атаки, синтаксис, аргумент, информация, example, структура организации, сервер dns, DNS-сервер, файл, тип записи, firewall, mx/s, FIDO, демон, стек, TCP, имя пользователя, имя хоста, рабочая станция, пользователь, полный запрос, hostname, процесс пользователя, пользователя процесса, AUX, PID, root, сканер, идентификатор процесса, система команд, целый, Telnet, secure, shell, командный интерпретатор, удаленный доступ, доступ, защищенный вход, туннелирование, приложение, blowfish, 3DES, DES, номер порта, сетевые службы, множества, Windows NT, administrative tools, меню, control panel, процессорное время, manual, disable, перезагрузка системы, оценка безопасности, windows 2000, windows 95, встроенная функция, ARIN, trace, blacklisting, почтовый сервер, abuse, scan, MIT

Большинство средств, рассмотренных в этой книге, являются прикладными программами. Для их выполнения требуется поддержка операционной системы. Если рассматривать эти программы как инструментарий информационной безопасности, то операционную систему можно считать верстаком. Если ОС неустойчива, то работа по защите данных будет от этого страдать; вы никогда не сможете полностью доверять поступающим от нее данным. На самом деле, ваша ОС может даже понизить первоначальную безопасность сети. На жаргоне компьютерной безопасности окружение, в котором функционирует защищенная ОС, называется доверенной вычислительной базой (ДВБ). ДВБ включает в себя полный список элементов, обеспечивающих безопасность: операционную систему, программы, сетевое оборудование, средства физической защиты и даже организационные процедуры. Краеугольным камнем этой пирамиды служит операционная система. Без нее доверенная вычислительная база оказывается построенной на зыбучем песку.

Обзор лекции

Изучаемые концепции:

  • Введение в доверенную вычислительную базу
  • Рекомендации по настройке системы средств защиты
  • Повышение безопасности операционной системы
  • Основы использования средств, относящихся к уровню операционной системы

Используемые средства:

Bastille Linux, ping, traceroute, whois, dig, finger, ps, OpenSSH и Sam Spade for Windows.

Многие компьютерные атаки нацелены на операционную систему. Современные операционные системы "раздулись" до таких размеров, что одному человеку стало крайне сложно полностью понимать, что происходит "под капотом". XP, самая свежая версия Windows, содержит более 50 миллионов строк исходных текстов. Хотя она считается самой защищенной версией Windows (согласно Microsoft), почти ежедневно в ее системах защиты находят новые ошибки. Чем более сложным становится продукт, тем вероятнее, что непредвиденные исходные данные приведут к непредвиденному (но желательному для хакеров) результату.

Раньше программное обеспечение строилось контролируемым образом - прикладные программы предоставлялись или одобрялись поставщиком компьютеров. В наше время, с появлением Интернета и поддерживающих Java и ActiveX web-навигаторов, в компьютер могут поступать всевозможные виды трафика и кода, не предусмотренные при проектировании. Огромный объем программ в сочетании со всеми видами потоков данных, поступающих из Интернета, приводит к тому, что операционные системы со временем становятся не более, а менее защищенными, особенно если они используются без дополнительной настройки, в том виде, в котором поставляются изготовителями.

Добавьте к этому стремление поставщиков сделать компьютеры как можно более "готовыми к употреблению", чтобы пользователи могли просто включить их и приступить к работе. Может быть, для массового пользователя это и хорошо, но для безопасности, несомненно, плохо. Большинство защитных средств по умолчанию выключены, многие программы и службы загружаются автоматически, независимо от того, нужны они пользователю или нет, а к системе, в попытке превзойти конкурентов, приделано множество украшений. Хотя Microsoft Windows - наиболее злостный рецидивист в этой области, потребительские версии Linux немногим лучше, и даже операционные системы серверного уровня страдают этим грехом. Стандартная установка RedHat Linux по-прежнему загружает значительно больше служб и программ, чем требуется или хочется рядовому пользователю. В Windows Business Server 2000 по умолчанию устанавливается web-сервер. И хотя в Windows XP прежняя политика "открытых дверей" улучшена, в продукте при установке по умолчанию по-прежнему остаются дыры в безопасности.

Обеспечение доверия безопасности системы защитных средств важно по нескольким причинам. Прежде всего, если нарушается безопасность расположенного на "передовой" защитного устройства, такого как межсетевой экран, перестают действовать и предоставляемые им защитные функции. Если это устройство оповещения, например, система обнаружения вторжений, то потенциальные нарушители могут оккупировать компьютер и отключить систему раннего предупреждения. Или, что еще хуже, они могут изменить данные таким образом, что их действия не будут протоколироваться. Это может создать ложное чувство безопасности, в то время как нарушитель свободно орудует в вашей сети.

Существуют хакерские программы, разработанные именно для этой цели. Они изменяют некоторые системные файлы так, что любые данные, выходящие из компьютера, могут контролироваться хакером. Компьютеру, который был инфицирован одной из таких программ, никогда нельзя доверять. Практичнее всего переформатировать диск и начать все сначала.

Наконец, если неавторизованные пользователи получили контроль над вашей системой безопасности, они могут применить те же самые используемые вами защитные средства против вас и других сетей. Подключенный к Интернету компьютер с установленным инструментарием безопасности может стать очень ценной добычей для склонного к озорству злоумышленника.

Обеспечение доверия к безопасности базовой операционной системы на вашем защитном компьютере - первое, что вам следует сделать, прежде чем вы загрузите какие-либо средства или установите дополнительные программы. В идеале вы должны создать систему защитных средств с нуля, устанавливая гарантированно новую операционную систему. Таким образом вы можете быть уверены, что ни одна программа или процесс не будут мешать средствам безопасности. Это также гарантирует, что базовая операционная система свободна от каких-либо ранее измененных или вредоносных программ. Если по какой-то причине необходимо установить защитный инструментарий поверх ранее установленной операционной системы, обеспечьте выполнение приведенных ниже в данной лекции указаний по повышению безопасности ОС и защите системы. Далее в этой лекции рассматривается Bastille Linux, средство, используемое для достижения этой цели на платформе Linux. Существуют доступные бесплатные утилиты от Microsoft для повышения безопасности Windows. Можно также использовать описанные в "Сканеры уязвимостей" средства для сканирования уязвимостей существующей системы.

Выбор ОС для системы средств безопасности определяет, как вы собираетесь ее защищать. Я рекомендую операционную систему с открытыми исходными текстами, такую как Linux или BSD, но Windows также будет прекрасно работать, если вы ее сначала правильно обезопасите. Я использовал Mandrake Linux для установки и выполнения рекомендованных в этой книге средств на платформе Linux, которые, впрочем, можно применять на большинстве дистрибутивов Linux и вариантов операционной системы BSD или UNIX.

Как упоминалось в "Информационная безопасность и программное обеспечение с открытыми исходными текстами" , доступно множество операционных систем с открытыми исходными текстами. Большинство из них основано на UNIX, хотя все они снабжены графическим интерфейсом X-Window и менеджерами окон, такими как KDE и GNOME. Эти интерфейсы привычны каждому, кто работал в Microsoft Windows, но есть и некоторые отличия.

Я не сторонник мнения, что какая-то операционная система в плане безопасности по своей природе лучше других. Все зависит от того, как она используется и как сконфигурирована, поэтому ниже следует длинный раздел о повышении безопасности установки ОС. Я использовал Linux, потому что имею наибольший опыт работы с этой операционной системой и убедился, что она совместима с большинством используемых систем. При наличии более 50 миллионов пользователей во всем мире и нескольких дюжин вариантов, Linux предоставляет широчайшее многообразие программ, и большинство защитных средств с открытыми исходными текстами, упоминаемых в этой книге, разработаны специально для этой ОС.

Первое обсуждаемое средство автоматизирует повышение безопасности Linux-системы, гарантируя, что вы работаете с рабочей станцией, безопасной настолько, насколько это изначально возможно. Приводятся также некоторые общие рекомендации, как правильно обезопасить операционную систему Windows для использования в качестве защитной рабочей станции. Наконец, вы освоите некоторые средства уровня операционной системы. Существует ряд функций системного уровня, которые вы будете регулярно использовать в защитных приложениях, и некоторые из них включены в раздел инструментария.

Данная лекция не претендует на роль исчерпывающего руководства по безопасности какой-либо из упоминаемых операционных систем. Скорее, она является обзором основ и некоторых используемых средств.

Повышение безопасности системы защитных средств

После установки операционной системы необходимо повысить ее безопасность для применения в качестве защитной системы. Этот процесс подразумевает отключение ненужных служб, ужесточение прав доступа и, как правило, минимизацию видимых извне областей компьютера. Детали выполняемых действий варьируются в зависимости от предполагаемого использования компьютера и от операционной системы.

Повышение безопасности обычно достигается напряженным ручным трудом, просмотром и модификацией всех возможных настроек. На эту тему для каждой конкретной операционной системы написано множество книг. Однако вам не придется целиком читать какую-либо другую книгу, если вы укрепляете операционную систему Linux - теперь для этого существуют автоматические средства. В результате не только экономится время, но и снижается вероятность упущений.

Bastille Linux: Программа повышения безопасности ОС для Linux

Bastille Linux

Автор/основной контакт: Jay Beale

Web-сайт: http://www.bastille-linux.org

Платформы: Linux (RedHat, Mandrake, Debian), HP/UX

Лицензия: GPL

Рассмотренная версия 2.1.1

Важные адреса электронной почты:

Общие вопросы: jon@lasser.org

Технические вопросы: jay@bastille-Linux.org

Списки почтовой рассылки:

Извещения Bastille Linux:

http://lists.sourceforge.net/mailman/listinfo/bastille-Linux-announce

Разработка Bastille Linux:

http://lists.sourceforge.net/mailman/listinfo/bastille-Linux-discuss

Системные требования:

Perl 5.5_003 или выше

Perl TK Module 8.00.23 или выше

Perl Curses Module 1.06 или выше

Первым защитным средством является инструмент повышения безопасности операционной системы, именуемый Bastille Linux. Несмотря на название, это не самостоятельная операционная система, а, скорее, набор командных файлов, которые просматривают и устанавливают некоторые системные параметры, основываясь на ваших подсказках. Данное средство существенно упрощает процесс повышения безопасности, сводя его к ответам на некоторые вопросы. Возможна также установка межсетевого экрана (см. следующую лекцию). Bastille Linux можно запускать в Mandrake, RedHat, Debian и HP/UX (последняя ОС даже не является вариантом Linux). Джей Бил, разработчик, продолжает выпускать версии, поддерживающие другие дистрибутивы Linux.

Установка Bastille Linux

Bastille написан с применением инструментального пакета Curses (вот уж действительно подходящее имечко для языка программирования!) ("curses" в переводе с английского означает "проклятие". - прим. ред.).

  1. Сначала необходимо загрузить и установить Perl Curses и модули TK, от которых зависит Bastille. Их можно получить со страницы на сайте Bastille:

    http://www.bastille-Linux.org/perl-rpm-chart.html.

  2. Пользователи RedHat должны также установить пакет с именем Pwlib, который можно получить с той же страницы. Для установки пакета запустите в командной строке RPM с параметрами, заданными на этой странице.
  3. После установки требуемых модулей загрузите RPM Bastille или возьмите его с прилагаемого к книге компакт-диска. Щелкните на нем мышью, и Bastille должен установиться автоматически.

Теперь можно запустить Bastille, чтобы повысить (укрепить) безопасность вашей операционной системы.

Флэми Тех советует:

Сначала запустите Bastille на непроизводственной системе!

В первый раз всегда запускайте все средства на непроизводственной или тестовой системе. Эти программы могут отключать службы, необходимые для функционирования web-сервера или сервера электронной почты, вызвав тем самым перебои в работе. Только после полного тестирования всех эффектов и проверки стабильности можно запускать их в производственной среде.

Роман Попов
Роман Попов

После прохождения курса Стандарты инфрмационной безопасности мне предложено получение Удостоверения о повышении квалификации от НИУ ВШЭ по программе Менеджмент информационной безопасности. Программа включает в себя ряд курсов которые я уже ранее проходил. Какой порядок действий в данном случае? Как прозводится перезачет результатов? И какие экщамены мне надо еще доздать чтобы получить удостоверение?

Александр Путятинский
Александр Путятинский

Добрый день по окончании данного курса выдается сертификат?

Денис Комаров
Денис Комаров
Россия, Москва
Андрей Кудряшов
Андрей Кудряшов
Россия, Уфа