3. Оборудование

Персональный компьютер с установленной операционной системой MS Windows 2000 SP4, XP SP2, Vista или 7 и средами разработки ПО Borland C++ Builder или MS Visual Studio 2005/2008/2010.

4. Задание на работу

1. Изучить теоретические положения по данной лабораторной работе.

2. Разработать программное обеспечение согласно заданию преподавателя. Вариантами заданий могут быть следующие:

№	Задание
1	Вычисление дайджеста по алгоритму MD5
2	Вычисление дайджеста по алгоритму SHA-1
3	Вычисление дайджеста по алгоритму HMAC-MD5
4	Вычисление дайджеста по алгоритму HMAC- SHA-1
5	Проверка подлинности хэша MD5
6	Проверка подлинности хэша SHA-1
7	Проверка подлинности хэша HMAC-MD5
8	Проверка подлинности хэша HMAC- SHA-1

5. Оформление отчета

Отчет должен содержать:

• название и цель работы;

• вариант задания;

• краткие теоретические положения и алгоритм работы программы

• результаты работы созданного программного обеспечения;

• листинг программы, реализующей задание.

6 Контрольные вопросы

6.1. Что такое хэш-функция?

6.2. В чем заключается принцип электронной цифровой подписи?

6.3. Чем отличается алгоритм SHA-1 от алгоритма SHA?

6.4. В чем отличие алгоритмов MD2, MD4 и MD5?

6.5. В чем заключается принцип алгоритма HMAC?

6.6. В чем заключается принцип электронной сертификации?

6.7. Где в операционных системах применяются электронные сертификаты?

7. Библиографический список

1. Олифер В.Г. Сетевые операционные системы: Учеб. пособие для вузов / В.Г. Олифер, Н.А. Олифер .— М.: Питер, 2003. — 544с.

2. Таненбаум Э. Современные операционные системы / Э. Таненбаум.— 2-е изд. — М.: Питер, 2006 .— 1038с.

3. Монадьеми П. Защита от хакеров в Windows XP/ П. Монадьеми, Б. Мюллер; пер. с нем. под ред. С.Н. Банникова.— М.: БИНОМ, 2005 .— 320с.

4. Немет Э. UNIX: Руководство системного администратора/ Э. Немет, Г. Снайдер, С. Сибасс, Т.Р. Хейн. 3-е изд. — М.: Питер, 2003 .— 925с.

Лабораторная работа № 7. Парольная политика безопасности операционных систем

1. Цель работы

Изучение понятия аутентификации на основе паролей, политики безопасности в области паролей, методов подбора паролей, средств и методов защиты операционной системы от подбора паролей.

2. Теоретические сведения

Аутентификация (authentication) предотвращает доступ к сети нежелательных лиц и разрешает вход для легальных пользователей. Аутентифика­ция — это процедура доказательства пользователем того, что он есть тот, за кого себя выдает, в частности, доказательство того, что именно ему принадлежит вве­денный им идентификатор.

Сетевые службы аутентификации строятся на основе различных приемов (биопараметрическая идентификация, идентификация с помощью физических носителей уникальной информации пользователя и т.д.), но ча­ще всего для доказательства идентичности пользователя используются пароли. Простота и логическая ясность механизмов аутентификации на основе паролей в какой-то степени компенсирует известные слабости паролей. Это, во-первых, возможность раскрытия и разгадывания паролей, а во-вторых, возможность “подслушивания” пароля путем анализа сетевого трафика. Для снижения уров­ня угрозы от раскрытия паролей администраторы, как правило, применяют такие встроенные программные средства для формирования политики назначения и использования паролей как: задание максимального и минимального сроков дейст­вия пароля, хранение списка уже использованных паролей, управление поведе­нием системы после нескольких неудачных попыток логического входа и т. п. Перехват паролей по сети можно предупредить путем их шифрования перед пе­редачей.

Легальность пользователя может устанавливаться по отношению к различным системам. Так, работая в сети, пользователь может проходить процедуру аутен­тификации и как локальный пользователь, который претендует на использование ресурсов только данного компьютера, и как пользователь сети, который хо­чет получить доступ ко всем сетевым ресурсам. При локальной аутентификации пользователь вводит свои идентификатор и пароль, которые автономно обраба­тываются операционной системой, установленной на данном компьютере. При логическом входе в сеть данные о пользователе (идентификатор и пароль) пере­даются на сервер, который хранит учетные записи обо всех пользователях сети.

В качестве объектов, требующих аутентификации, могут выступать не только поль­зователи, но и различные устройства, приложения, текстовая и другая информа­ция. Так, например, пользователь, обращающийся с запросом к корпоративному серверу, должен доказать ему свою легальность, но он также должен убедиться сам, что ведет диалог действительно с сервером своего предприятия. Другими словами, сервер и клиент должны пройти процедуру взаимной аутентификации. Здесь мы имеем дело с аутентификацией на уровне приложений. При установле­нии сеанса связи между двумя устройствами также часто предусматриваются про­цедуры взаимной аутентификации на более низком, канальном уровне. Приме­ром такой процедуры является аутентификация по протоколам РАР и CHAP, входящим в семейство протоколов РРР. Аутентификация данных означает дока­зательство целостности этих данных, а также того, что они поступили именно от того человека, который объявил об этом. Для этого используется механизм элек­тронной подписи.

Под политикой безопасности понимается совокупность документированных концептуальных решений, направленных на защиту информации и ассоциированных с ней ресурсов. Эта политика разрабатывается людьми, ответственными за поддержание информационно-компьютерной безопасности, и утверждается руководством организации.

Политика безопасности должна включать следующие разделы:

• стратегические цели обеспечения информационно-компьютерной безопасности и требования к защищаемой информации;

• глобальная концепция защиты информации в компьютерной сети;

• организационные мероприятия по созданию условий безопасной обработки информации;

• меры ответственности и должностные обязанности сотрудников организации по защите информации.

При недостаточной проработке перечисленных разделов политика безопасности может иметь существенные недостатки, которые с успехом могут использоваться для несанкционированного доступа. Недостатки могут обнаруживаться как в концепциях предупреждения и своевременного обнаружения воздействий на компьютерные ресурсы, так и в концепции восстановления безопасности после возникновения воздействия.

Большинство атак, связанных с аутентификацией нелегального пользователя базируется на переборе паролей при фиксированном имени пользователя. Основными методами перебора паролей являются:

1. Простой перебор, основанный на последовательной подстановке паролей, удовлетворяющих требованиям к паролям, предъявляемым системой аутентификации. При этом имя пользователя (login) остается неизменным и заранее известен злоумышленнику;

2. Случайный перебор. Отличается от простого перебора случайным характером выбора пароля из всех возможных вариантов. В этом методе перебора возникает задача предотвращения повторной подстановки пароля системе аутентификации;

3. Перебор паролей, представляющих собой осмысленные фразы на основе некоторого справочника;

4. Перебор паролей из множества наиболее часто встречающихся;

5. Перебор из множества мнемонических (хорошо запоминающихся) паролей либо из списка, либо на основе известной процедуры их создания;

6. Перебор паролей из множества “подслушанных” злоумышленником в результате анализа трафика.

Основными методами повышения защищенности операционных систем от подбора пароля являются:

1. Защита паролей от прослушивания в трафике системы (шифрование паролей, защита канала от прослушивания на физическом уровне);

2. Защита от перебора паролей на основе анализа поведения отдельных пользователей. Отключение системы аутентификации на значительное время при нескольких неудачных попытках введения различных паролей для одного имени пользователя или всех имен;

3. Исследование защищенности паролей от подбора с целью выбора времени их жизни. Отработавший в течение установленного срока пароль меняется на новый;

Смена пароля и имени пользователя с уведомлением владельца в случае превышения критического числа неудачных попыток подбора его пароля.