Организация подсистем аудита

События аудита безопасности могут генерироваться в результате проверки прав доступа как самой системы, так и пользовательским приложением с использованием специальных win32 функций. Решение об аудите конкретного типа события или конкретного объекта принимается в соответствии с локальной политикой аудита.

Панель управление -> Администрирование -> Локальные параметры безопасности

В политиках учетных записей настраивается политика паролей и политика учетных записей.

В журнале аудита регистрируются события, потенциально опасные для работы системы. Это:

• вход/выход пользователей

• изменение политик безопасности

• добавление/удаление учетной записи

• назначение удаление привилегий

Настройка политик безопасности в ОС Windows осуществляется через Панель управление -> Администрирование -> Локальная политика безопасности, которая включает в себя Политики Учетных записей (Политики Паролей, Политики Блокирования), а также Политики Аудита и Безопасности.

Сетевые протоколы защиты информации

На транспортом уровне модели взаимодействия открытых систем является протокол IPv4. Рассмотрим надстройку IPSec, которая затем легла в основу IPv6. Защита данных с использованием этого протокола осуществляется криптографическими методами. При этом обеспечивается аутентификация сообщения, конфиденциальность, также протокол использует алгоритмы управления ключами. К достоинствам IPSec можно отнести:

• прозрачность для приложений (т.к. реализуется на транспортном уровне)

• трудность обхода, особенно если он является единственной точкой связи локальной сети и весь трафик должен использовать IP протокол.

Протокол предполагает 2 режима использования: транспортный и туннельный

Протокол верхнего уровня

Формирование данных для аутентификации

Шифрование полезного груза

Передача результата в качестве полезного груза

Формирование нового пакета

Выделение данных

АН

ESP

Фрагментация сообщения

Проверка аутентификации

Дешифрование

Транспортный режим

Туннельный режим

Выделение полезного груза

IP

Туннельный режим обеспечивает защиту всего пакета, включая заголовки. Обычно используется для связи между шлюзами защиты. В этом случае система, расположенная за брандмауэром могут обмениваться IP пакетами через защищенный режим(VPN).

Транспортный режим защищает только полезный груз, т.е. данные, расположенные после заголовка.

IPSec реализует 2 сервиса AH и ESP. Сервис АН используется для подтверждения аутентичности сообщения. В качестве алгоритмов хэширования могут быть использованы MD5 либо SHA-1.

Сервис ESP предполагает шифрование полезного груза алгоритмами: 3DES. RC5, IDEA, 3IDEA, BlowFish.

И в случае шифрования и в случае подтверждения подлинности требуется наличие подсистемы управления ключами. По умолчанию в IPSec используется алгоритм ISAKMP/Oakley, который основан на использовании различных вариаций Диффи-Хеллмана.

• По модулю 768 бит

• По модулю 1024 бита

• на использовании эллиптических кривых 2¹⁵⁵/2¹⁸⁵

В настоящее время протокол IPSec поддерживается практически всеми ОС, а также встроено в сетевое оборудование. В Windows поддержка IPSec сводится к включению службы. Политика IPSec может быть настроена через локальную политику компьютера.