Руководство по выработке правил разграничения доступа к ЭВМ

       

Аудирование


Аудирование - это важное средство, которое может быть использовано для повышения защищенности вашей организации. Оно не только позволяет вам идентифицировать, кто имел доступ к вашей АС (и мог что-нибудь сотворить с ней), но также показывает вам, как ваша АС использовалась санкционированными пользователями и атакующими. Кроме того, протоколирование действий, традиционное производимое АС, может стать бесценной подсказкой при ответе на вопрос, было ли осуществлено проникновение в вашу АС.

3.9.8.1.1 Проверка защищенности

Протоколирование показывает, как ваша АС используется каждый день. В зависимости от того, как сконфигурирована система протоколирования, ваши файлы-журналы могут содержать информацию о доступе к различным вычислительным ресурсам, что может соответствовать нормальному использованию АС. Отклонения от нормального использования могут быть результатом проникновения извне, использующего старое регистрационное имя. Появление отклонений при входах в АС, например, может служить первым признаком того, что происходит что-то необычное.

3.9.8.1.2 Проверка конфигурации программ

Одной из уловок, используемых атакующими для получения доступа к АС, является добавление так называемых троянских коней. Это программы, которые делают что-то полезное, или просто интересное (например, новая игра). Кроме этого, они делают что-либо неожиданное, например крадут пароли или копируют файлы без вашего ведома[25]. Представьте себе троянскую программу для входа в АС, которая выдает вам подсказку для ввода имени и пароля как обычно, но также записывает эту информацию в специальный файл, который атакующий может скопировать и потом прочитать. Представьте себе троянского редактора, который несмотря на права доступа, назначенные вашим файлам, копирует все из вашего каталога без вашего ведома.

Это указывает на необходимость управления конфигурацией программ, работающих в вашей АС, не тогда, когда они разрабатываются, а когда они используются. Для этого используется ряд технологий от проверки каждой программы каждый раз перед ее выполнением по некоторому правилу (например, алгоритму контрольной суммы) до простого сравнивания даты и времени выполняемых файлов.
Другой технологией может быть проверка каждой программы с помощью командного файла, выполняемого ночью.
3.9.8.2 Средства
COPS - это средство защиты для системных администраторов, которое проверяет возникновение ряда проблем с защитой в UNIX. COPS - это набор файлов на языке оболочки и программ на С, которые могут быть легко запущены почти на любой версии UNIX[27]. Помимо всего прочего, оно производит проверку следующих вещей и посылает ее результаты системному администратору:


  • проверку /dev/kmem и других устройств на разрешение чтения/записи для всех пользователей;
  • проверку специальных или важных файлов и каталогов на плохие режимы (доступ всех пользователей по записи и т.д.);
  • проверку на легко угадываемые пароли;
  • проверку на дублирование идентификаторов пользователей, наличие плохих полей в файле паролей, и т.д.;
  • проверку на дублирование имен групп, наличие плохих полей в файле групп;
  • проверку корневых каталогов всех пользователей и их файлов ".cshrc", ".login", ".profile", ".rhosts" на проблемы с защитой
  • проверку всех команд в файлах "/etc/rc" и "cron" на разрешение записи всем пользователям
  • проверку на плохие пути к корню, файловые системы NFS, экспортируемые всем пользователям и т.д.
  • включает экспертную систему, которая проверяет, может ли быть скомпрометирован данный пользователь при условии, что выполняются определенные правила.
  • проверяет изменения статуса setuid программ АС

Пакет COPS доступен в аpхиве comp.source.unix на ftp.uu.net, а также на pепозитаpии UNIX-SW на хосте MILNET wsmr-simtel20.army.mil.

Содержание раздела