На багатьох пiдприємствах значна частина часу системних адмiнiстраторiв витрачається на рiшення завдань, пов’язаних з облiковими записами й паролями, включаючи первiсне створення користувальницьких облiкових записiв при прийомi користувачiв на роботу, видалення облiкових записiв при звiльненнi користувачiв або змiнi їхнiх ролей, переустановку паролiв, коли вони забуваються. Наявнiсть декiлькох облiкових записiв у кожного користувача збiльшує вiдповiдне навантаження на системних адмiнiстраторiв. На жаль, поки не можна сказати, що SSO-системи стали нормою, що домiнують рiшення поки не сформувалися.

Додатковi зручностi створює застосування бiометричних методiв автентифiкацiї, заснованих на аналiзi вiдбиткiв (точнiше, результатiв сканування) пальцiв. На вiдмiну вiд спецiальних карт, якi потрiбно зберiгати, пальцi "завжди пiд рукою"(правда, пiд рукою повинен бути й сканер). Пiдкреслимо, що й тут захист вiд порушення цiлiсностi й перехоплення з наступним вiдтворенням здiйснюється методами криптографiї. Докладно питання автентифiкацiї користувачiв i повiдомлень у вiдкритих системах розглядаються в другiй частинi пiдручника. Є також автентифiкацiя хостiв в Iнтранетi, що вже згадувалася ранiше й коротко розглянута в наступному параграфi.

6.1.3 Розмежування доступу

Управлiння доступом забезпечує захист вiд несанкцiонованого використання ресурсiв, доступних по мережi. Iз традицiйної точки зору засобу управлiння доступом дозволяють специфiкувати i контролювати дiї, якi суб’єкти (користувачi й процеси) можуть виконувати над об’єктами (iнформацiєю й iншими комп’ютерними ресурсами).

Розмежування доступу, iмовiрно, є самою дослiдженою областю IБ, особливо те, що здiйснюється по iменi й паролю користувача. Дискрецiйне й мандатне управлiння ввiйшли в усi теоретичнi курси й критерiї оцiнки. Домiнують вони й на з. Хоча в цей час розмежування доступу не завжди ефективно бореться зi злочинними користувачами. Сучаснi IС характеризуються надзвичайною складнiстю, i їхнi внутрiшнi помилки представляють не меншу небезпе-

ку. Динамiчнiсть сучасного програмного середовища й складнiсть окремих її компонентiв iстотно звужують область застосовностi дискрецiйної моделi управлiння доступом (що називається також моделлю з довiльним управлiнням). При визначеннi допустимостi доступу важливо не тiльки (i не стiльки) те, хто звернувся до об’єкта, але й те, яка семантика дiї. Без залучення семантики не можна виявити “троянськi” програми, протистояти яким довiльне управлiння доступом, як вiдомо, не в змозi. Новi моделi управлiння доступом (наприклад, модель “пiсочницi” в Java-технологiї) також, на жаль, не враховують семантику програм, що є однiєю з основних причин слабостей, що виявляють, у системi безпеки. Активно рольове управлiння, що розвиває, доступом (Role-Based Access Control, RBAC) (мiж користувачами i їхнiми привiлеями мiстяться промiжнi сутностi ролi, можливо кiлька одпочасово для кожного користувача) вирiшує не стiльки проблеми безпеки, скiльки полiпшує керованiсть систем (рис. 6.1).

Рис. 6.1. Користувачi i ролi

На пiдставi цiєї моделi можна реалiзувати такi важливi принципи, як подiл обов’язкiв. Мiж ролями можуть бути визначенi статичнi або динамiчнi вiдносини несумiсностi (неможливостi одному суб’єктовi одночасно або по черзi активiзувати обидвi ролi), що й забезпечує необхiдний захист. Ще одна специфiчна й методологiчно важлива мета безпеки органiзацiя iєрархiї ролей зi спад-

куванням прав доступу. Для деяких сервiсiв типу WWW рольове управлiння доступом може бути реалiзоване вiдносно просто (у випадку WWW на основi CGi-процедур).

В IP-мережах вiдомо й розмежування доступу на основi IPадреси, пiдмережi або домена.

Окремi документи або цiлi директорiї можуть бути зробленi доступними тiльки для браузерiв, що мають конкретний IP-адрес, або належать до певного подсети, або приналежних до певного домену. Обмеження доступу iз IP-адреси ефективно проти випадкових спроб доступу, але не проти зловмисника, що дiє цiлеспрямовано. Iснують рiзнi способи обходу такого роду обмежень. Маючи необхiднi апаратури й ПО, що атакує може пiдмiнювати свiй IPадрес (атаки IP spoofing), iмiтуючи з’єднання не з того мiсця в мережi, де дiйсно розташований його комп’ютер, а з якого-небудь iншого. Крiм того, немає нiякої гарантiї того, що людина, що звертається до сервера з комп’ютера, доступ з якого дозволений, є саме тим людиною, якого мали на увазi. Комп’ютер мiг бути зламаний i використаний зловмисником. Обмеження по мережнiй адресi повиннi для надiйностi доповнюватися якими-небудь перевiрками користувача (його iменi й пароля) або застосуванням ME, здатним визначати й запобiгати спроби використання фiктивних IP-адресов на основi фiльтрацiї. Простiше всього перехоплюються пакети, що приходять iз зовнiшнього миру, але складенi так, начебто вони посланi з комп’ютера локальної мережi. Варто розумiти, що якщо браузер настроєний на використання проксi-сервера, то веб-сервер одержить тiльки IP-адрес представника, але не тiєї машини, на якiй працює користувач. Це значить, що при наявностi проксi-сервера в домене, якому довiряють, будь-яка людина може використати його для доступу до iншого сервера.

Обмеження доступу по iменi комп’ютера або домена, що володiють тими ж слабостями, якими володiють й обмеження по IPадресам, чутливi, крiм того, до пiдмiни iмен DN3 (DN8 spoofing)атацi, при якiй сервер переконують на час у тiм, що дозволене iм’я вiдповiдає iншому (потрiбному зловмисниковi) IP-адресу. Для зменшення подiбного ризику деякi сервери можуть бути настроєнi на додаткову перевiрку iменi DNS для кожного клiєнта. Пiсля перетворення IP-адреса, з якого прийшов запит, в iм’я комп’юте-

ра, сервер використає систему DNS для зворотного перетворення iменi в IP-адрес. Якщо два IP-адреса не збiгаються, то доступ не надається.

Для контролю доступу до серверiв в Iнтранетi, крiм iмен i паролiв органiзацiї, що служить, можна використати видаванi їм особистi сертифiкати (Personal Certificates) (наприклад, вони застосовуються при настроюваннi протоколу SSL для iдентифiкацiї користувача). Для цього необхiдно встановити вiдповiдний сервер сертифiкатiв.

Механiзми управлiння доступом можуть розташовуватися в кожної зi сторiн, що спiлкуються, або в промiжнiй крапцi.

6.1.4 Протоколювання й аудит

Формула “захищати, виявляти, реагувати” (protect, detect, react) є класичною. Тiльки ешелонована, активна оборона, що мiстить рiзноманiтнi елементи, дає шанс на успiшне виявлення й вiдбиття атак.

Активний аудит доповнює iдентифiкацiю/автентифiкацiю й розмежування доступу. Подiбне доповнення необхiдно по двох причинах. По-перше, що iснують засоби розмежування доступу не здатнi реалiзувати всi вимоги ПБ, якщо останнi мають бiльше складний вид, чим дозвiл-заборона атомарних операцiй з ресурсами. Розвинена ПБ може накладати обмеження на сумарний обсяг прочитаної iнформацiї, забороняти доступ до другого ресурсу, якщо ранiше мав мiсце доступ до першого, i т.п. По-друге, у самих захисних засобах є уразливостi.

Протоколювання/аудит традицiйно були останнiм рубежем оборони, що забезпечує аналiз наслiдкiв порушення IБ i виявлення зловмисникiв. Такий аудит можна назвати пасивним. Узагальненням пасивного аудита для мережного середовища є спiльний аналiз реєстрацiйних журналiв окремих компонентiв на предмет виявлення протирiч, що важливо у випадках, коли зловмисниковi вдалося вiдключити протоколювання або модифiкувати журнали. У сучасний арсенал захисних засобiв увiйшов активний аудит, спрямований на виявлення пiдозрiлих (злочинних й/або аномальних) дiй компонентiв IС у реальному масштабi часу з метою оперативного