Информационная безопасность

Вариант № 24

1. Понятие атрибутов доступа к файлам. Организация доступа к файлам в различных операционных системах……………………………………………..3
2. Способы фиксации фактов доступа. Журналы доступа. Выявление следов несанкционированного доступа………………………………...………………..8
Список литературы……………………………………………………...……….13

...

Вариант № 24

1. Понятие атрибутов доступа к файлам. Организация доступа к файлам в различных операционных системах……………………………………………..3
2. Способы фиксации фактов доступа. Журналы доступа. Выявление следов несанкционированного доступа………………………………...………………..8
Список литературы……………………………………………………...……….13

Вариант № 24

1. Понятие атрибутов доступа к файлам. Организация доступа к файлам в различных операционных системах……………………………………………..3
2. Способы фиксации фактов доступа. Журналы доступа. Выявление следов несанкционированного доступа………………………………...………………..8
Список литературы……………………………………………………...……….13

Обычно разработчики стараются транслировать права доступа к файлу (перевести в формат, используемый в данной операционной системе) по определенным правилам Например, Unix имеет права на чтение, запись и запуск для хозяина, для группы и для всех остальных; в DOS и Windows при доступе по сети транслируются:в атрибут 'read-only' право на запись в соответствии с пользователем и его группой, под которым клиент DOS/Windows подсоединился к серверу и в атрибут 'hidden' - наличие точки в начале имени файла. Бывают и более сложные правила трансляции в зависимости от типа файла. Простейший и наиболее универсальный (наименее платформенно-зависимый) способ состоит в том, чтобы зафиксировать тип данных в имени файла - имя ведь передается всегда и по возможности с наименьшими искажениями. По традиции тип файла отображают по возможности осмысленной аббревиатурой в конце имени файла, называемой "расширением имени файла" ("filename extension"), и для отделения используют точку '.' AcornOS, которая использует точку как разделитель имен директорий, там где Unix использует прямой слэш '/' а DOS/Windows - обратный '\', позволяет использовать вместо точки прямой или обратный слэш, но никто, кроме DOSFS, позволяющей работать с FAT-дискетами, не рассматривает слэши как разделители. Чаще всего стараются обойтись тремя символами в аббревиатуре; в RSX-11, CP/M и FAT это зафиксировано непосредственно в формате хранения имени файла, где точка является спец.символом, может присутствовать в имени файла только один раз - между основным именем и расширением, и не хранится в имени файла, а "вытекает из формата имени". В UFS (Unix), HPFS (OS/2), NTFS (Windows'NT) и NetWare нет такого ограничения, там точка является обычным символом имени файла, а ее специфическое значение распознается прикладными программами, если программист реализовал это в своей программе, но не отображается в формате файла. В VFAT работа с "длинными именами", не влезающими в формат "8.3" ("восемь букв на имя, точка, три буквы на расширение"), реализована довольно искусственно, для сохранения доступа программ, использующих простой FAT, в директории хранятся два имени - "короткое 8.3" и "длинное". Иногда данные, имеющие какой-либо тип, последовательно "упаковываются" несколькими архиваторами; в этом случае возникают такие расширения как .tar.gz, обозначающее архив tar, подвергнутый gzip-компрессии (часто встречается в Unix), или .c.zip.uue, обозначающее пограмму на языке C, заархивированную программой zip и преобразованную uuencode для передачи по электронной почте без присущих ей искажений. 2. Способы фиксации фактов доступа. Журналы доступа. Выявление следов несанкционированного доступаПопытка НСД (unauthorized access attempt) представляет собой любое действие или последовательность действий, которая приводит к попытке чтения файлов или выполнения команд в обход установленной политики безопасности. Также включает попытки злоумышленника получить привилегии, большие, чем установлены администратором системы. 1.   Переполнение буферов. Данная атака заключается в посылке на компьютер-жертву сообщения, приводящего к переполнению буфера-приемника приложения-агента. Переполнение буфера возможно из-за отсутствия проверки длина принимаемых данных в большинстве приложений (Sendmail, Telnet, FTP и др.), особенно старых версий. При переполнении буфера обычно происходит затирание части кода или других данных приложения, в связи с чем, появляется возможность исполнения собственного кода, подготовленного злоумышленником, на компьютере-жертве (возможно, в привилегированном режиме). Атака, связанная с переполнением буферов приложений и нацеленная на осуществление НСД, является одной из самых распространенных. Для выявления и противодействия атакам такого типа необходимо осуществлять фильтрацию протоколов прикладного уровня с учетом особенностей конкретных приложений. 2.   Атака DNS spoofing. Результатом данной атаки является внесение навязываемого соответствия между IP адресом и доменным именем в кэше сервера DNS. В результате успешного проведения такой атаки все пользователи севера DNS получат неверную информацию о доменных именах и IP адресах. Данная атака характеризуется большим количеством DNS пакетов с одним и тем же доменным именем. Это связано с необходимостью подбора некоторых параметров DNS обмена. Для выявления такой атаки необходимо анализировать содержимое DNS трафика. 3.    Атака IP spoofing (syslog). Большое количество атак в сети Интернет связано с подменой исходного IP адреса. К таким атакам относится syslog spoofing, которая заключается в передаче на компьютер-жертву сообщения от имени другого компьютера внутренней сети. Поскольку протокол syslog используется для ведения системных журналов, путем передачи ложных сообщений на компьютер-жертву можно навязать информацию или скрыть следы несанкционированного доступа. Выявление атак, связанных с подменой IP адресов, возможно при контроле получения на одном из интерфейсов пакета с исходным адресом этого же интерфейса или при контроле получения на внешнем интерфейсе пакетов с IP адресами внутренней сети. Аудит доступа к объектам включает в себя всего три события, однако он очень важен, поскольку позволяет отслеживать обращения к любым объектам, включая каталоги, файлы, принтеры и ключи реестра. Для использования перечисленных возможностей необходимо включить опцию регистрации доступа к объектам в меню настройки аудита системы, а также указать все объекты, доступ к которым требуется регистрировать. Список регистрируемых действий для объекта очень напоминает список прав доступа к этому объекту (ACL). В таком списке указаны пользователи и их действия, подлежащие регистрации. Аудит доступа к объектам ведется в журнале событий, а не в журнале транзакций. Поэтому Windows NT не фиксирует, что именно сделал пользователь с объектом, а указывает только тип доступа к данному объекту. Так, например, можно проследить, что пользователь Иванов открыл файл Зарплата.xls для чтения, записи, выполнения и удаления, однако совершенно невозможно выяснить, внес ли он какие-то изменения, а если да, то какие именно.