Аудит связан с действиями, затрагивающими безопасность системы. К их числу относятся:
• Вход в систему (успешный или нет)
• Выход из системы
• Обращение к удаленной системе
• Операции с файлами (открыть, закрыть, переименовать, удалить)
• Смена привилегий или иных атрибутов безопасности (режима доступа и .т.д)
Полный перечень, подлежащий регистрации, зависит от выбранной политики безопасности и от общей спецификации сиситемы.
Под протоколированием события необходимо записывать:
• Дату и время события
• Уникальный идентификатор
• Отмечать пользователя, являющегося инициатором действия
• Тип события
• Результат действия (успех или неудача)
• Источник запроса (например, имя терминала)
• Имена затронутых объектов (например, файлов)
• Описания изменений, внесенных в базы данных защиты (например, новая метка безопасности объекта)
• Метки безопасности субъектов и объектов события
При такой организации система аудита может фиксировать все события, связанные с функционированием прикладного и системного ПО. Анализ реализации подсистем аудита в современных ОС показывает, что ядро системы взаимодействует с прикладным ПО (работа которого подлежит аудиту) через интерфейс обращений к данному сервису ОС и является наиболее удобным местом для осуществления мониторинга и аудита. Ядро ОС при обращении к нему прикладного ПО фиксирует события, подлежащие аудиту, а подсистема аудита заносит их в журнал событий, хранящийся на жестком диске.
Генерировать события может и прикладное ПО, но, в отличие от ядра ОС, данные действия не заносятся напрямую в журнал событий, а передаются в ядро системы, которое отправляет их в буфер (отведенный под запись событий) и впоследствии фиксирует в журнал событий. При осуществлении записи или чтения в данный буфер, производится его блокировка с целью запрещения одновременного чтения из него и записи в него.К каждому событию, помещенному в буфер, дописывается метка времени, последовательный номер и идентификатор процесса, породившего данное событие.
Пользовательский процесс
Подсистема безопасности
ПО подсистемы аудита
Журнал событий
Вызов системных процедур
Устройство записи
в буфер
Буфер аудита
Устройство чтения
Из буфера
Перечислите основные угрозы для локальных вычислительных сетей.
• Анализ сетевого трафика с целью получения доступа к конфиденциальной инф-ии, например к передаваемым в открытом виде по сети пользовательским паролям
• Нарушение целостности передаваемой инф-ии
• Получение несанкционированного доступа к инф-м ресурсам
• Попытка совершения ряда действий от имени зарегистрированного пользователя в системе
Какого типа атака возможна в локальной сети Novell NetWare и какие меры для ее предотвращения необходимо принять?
В данной ОС возможны атаки типа «человек-в-середине» при условии, что нарушитель способен просматривать пакеты, пересылаемые между клиентом и сервером. Для этого он может внедрить ложный ARP-сервер. Поэтому является необходимым как применение дополнительных средств защиты, так и выполнение следующих рекомендаций:
1. физически защитить сервер
2. защитить критические файлы системы, например вычислить контрольные суммы на файлы, находящиеся в SYS: LOGIN, SYS:PUBLIC, SYS:SYSTEM, и постоянно производить проверку полученных контрольных сумм
3. доступ пользователей к ресурсам должен быть организован в соответствии с выбранной политикой безопасности
4. включить accounting, посредством которого можно регистрировать все попытки произвести login и logout к серверу
5. стараться не применять процедуру RCONSOLE (удаленной консоли), которая является не только удобным средством, позволяющим осуществлять удаленное управление сервером (включая загрузку и выгрузку), но и вполне доступной мишенью для нарушителя