Приведите общую схему построения системы аудита

Аудит связан с действиями, затрагивающими безопасность системы. К их числу относятся:

• Вход в систему (успешный или нет)

• Выход из системы

• Обращение к удаленной системе

• Операции с файлами (открыть, закрыть, переименовать, удалить)

• Смена привилегий или иных атрибутов безопасности (режима доступа и .т.д)

Полный перечень, подлежащий регистрации, зависит от выбранной политики безопасности и от общей спецификации сиситемы.

Под протоколированием события необходимо записывать:

• Дату и время события

• Уникальный идентификатор

• Отмечать пользователя, являющегося инициатором действия

• Тип события

• Результат действия (успех или неудача)

• Источник запроса (например, имя терминала)

• Имена затронутых объектов (например, файлов)

• Описания изменений, внесенных в базы данных защиты (например, новая метка безопасности объекта)

• Метки безопасности субъектов и объектов события

При такой организации система аудита может фиксировать все события, связанные с функционированием прикладного и системного ПО. Анализ реализации подсистем аудита в современных ОС показывает, что ядро системы взаимодействует с прикладным ПО (работа которого подлежит аудиту) через интерфейс обращений к данному сервису ОС и является наиболее удобным местом для осуществления мониторинга и аудита. Ядро ОС при обращении к нему прикладного ПО фиксирует события, подлежащие аудиту, а подсистема аудита заносит их в журнал событий, хранящийся на жестком диске.

Генерировать события может и прикладное ПО, но, в отличие от ядра ОС, данные действия не заносятся напрямую в журнал событий, а передаются в ядро системы, которое отправляет их в буфер (отведенный под запись событий) и впоследствии фиксирует в журнал событий. При осуществлении записи или чтения в данный буфер, производится его блокировка с целью запрещения одновременного чтения из него и записи в него.К каждому событию, помещенному в буфер, дописывается метка времени, последовательный номер и идентификатор процесса, породившего данное событие.

Перечислите основные угрозы для локальных вычислительных сетей.

• Анализ сетевого трафика с целью получения доступа к конфиденциальной инф-ии, например к передаваемым в открытом виде по сети пользовательским паролям

• Нарушение целостности передаваемой инф-ии

• Получение несанкционированного доступа к инф-м ресурсам

• Попытка совершения ряда действий от имени зарегистрированного пользователя в системе

Какого типа атака возможна в локальной сети Novell NetWare и какие меры для ее предотвращения необходимо принять?

В данной ОС возможны атаки типа «человек-в-середине» при условии, что нарушитель способен просматривать пакеты, пересылаемые между клиентом и сервером. Для этого он может внедрить ложный ARP-сервер. Поэтому является необходимым как применение дополнительных средств защиты, так и выполнение следующих рекомендаций:

1. физически защитить сервер

2. защитить критические файлы системы, например вычислить контрольные суммы на файлы, находящиеся в SYS: LOGIN, SYS:PUBLIC, SYS:SYSTEM, и постоянно производить проверку полученных контрольных сумм

3. доступ пользователей к ресурсам должен быть организован в соответствии с выбранной политикой безопасности

4. включить accounting, посредством которого можно регистрировать все попытки произвести login и logout к серверу

5. стараться не применять процедуру RCONSOLE (удаленной консоли), которая является не только удобным средством, позволяющим осуществлять удаленное управление сервером (включая загрузку и выгрузку), но и вполне доступной мишенью для нарушителя

6. добавить команду EXIT в System Login Script

Поиск по сайту: