Самоучитель
системного администратора

9.1. Организационное обеспечение информационной безопасности

Практика показывает, что организационные мероприятия по эффективности в несколько раз превосходят технические меры защиты.

Прежде всего, на уровне руководства предприятия необходимо сформировать четкое представление об основных положениях информационной безопасности. Предпочтительно создать концепцию информационной безопасности, в которой определены категории обрабатываемой информации, перечислены предполагаемые риски, установлены направления и объем защиты данных для каждой категории.

Каждая автоматизированная система предприятия должна иметь официально присвоенную ей категорию по конфиденциальности, любое рабочее место — паспорт, в котором должны быть перечислены конфигурация системы, установленное программное обеспечение, категории информации, с которой предполагается работать на данном компьютере. После того как такой укрупненный анализ будет выполнен, станет проще планировать и реализовывать защиту данных.

В организационно-распорядительных документах организации необходимо зафиксировать правила взаимодействия пользователя с информационной системой. Пользователь должен знать, с чем он работает, какие программы он может использовать, а какие утилиты запрещены в организации (например, сканирования сети) и т. п. В инструкциях необходимо оговорить правила работы с электронной почтой организации, поведение пользователя в случае возникновения предположения о наличии вируса, требования к взаимодействию с Интернетом и т. д.

Чем точнее определены права пользователя и ответственность за нарушение обязанностей, тем с большей вероятностью вы можете ожидать исполнения инструкций.

Естественно, что выполнение требований инструкций должно сопровождаться периодическими проверками, например, путем анализа журнала посещенных сайтов Интернета (технический контроль) или проверкой отсутствия записей паролей на стикерах (организационные меры).

План обеспечения непрерывности функционирования информационной системы

Вам очень поможет в работе, особенно при построении взаимоотношений с руководителями, наличие плана обеспечения непрерывности функционирования информационной системы.

Подобный план представляет собой перечень мероприятий, которые необходимо осуществить в случае отказа оборудования или в иной нештатной ситуации. В нем должно быть определено, например, можно ли перенести функции сервера в случае его отказа на другое оборудование? Допустимо ли заменить его другим сервером, службы которого не критичны и от них можно отказаться на время ремонта основного компьютера? Где должны храниться дистрибутивы, чтобы операция могла быть проведена дежурным оператором? Какова должна быть процедура восстановления данных? Описав все аварийные ситуации и пути их устранения, вы сможете рассчитать ожидаемое время восстановления системы в каждом случае отказа.

Если такой план будет утвержден руководством, то, с одной стороны, вы получите защиту от неоправданных требований немедленного восстановления работы, поскольку для каждой ситуации период восстановления будет четко оговорен. С другой стороны, этот план станет инструкцией, что нужно делать в аварийной ситуации.

Безопасность паролей

Одним из самых "узких" мест безопасности являются пользовательские пароли. Если вы ни разу не использовали какую-либо утилиту для взлома паролей, то не поленитесь установить любую демо-версию и проверить стойкость реальных паролей. Вы будете приятно удивлены, узнав через несколько часов ее работы существенную часть паролей пользователей.

Для подкрепления рекомендаций по выбору паролей обычно используют простые расчеты: количество всех возможных паролей заданной длины делят на скорость работы программ перебора (обычно это несколько миллионов паролей в секунду). Полученную стойкость пароля считают достаточной, если расчетное время поиска пароля в несколько раз больше периода его плановой смены.

Однако все такие предположения не учитывают обычной пользовательской практики. Во-первых, пользователи крайне редко используют в паролях специальные символы, обычно составляя его из букв (русского или латинского алфавита, причем часто в пароле встречается только один набор), цифр и, иногда, знаков препинания (точка, тире и т. п.). Формальные требования сложности пароля, контролируемые автоматически, достаточно легко обходятся: пароль просто начинают с заглавной буквы, а в конце добавляют цифру или символ. В результате количество вариантов пароля, которые необходимо перебрать для его подбора, резко уменьшается.

Во-вторых, традиционные рекомендации усложнения паролей — замена одних символов на сходные по начертанию ("a" на "@", "o" на "0" и т. п.), "выбрасывание" гласных из слова, используемого в качестве пароля, прямой и обратный порядок букв, осмысленные слова и т. п. — давно учтены в программах перебора (рис. 9.1).

Рис. 9.1.
Параметры подбора пароля "учитывают" типовые рекомендации "сложного" пароля

Существуют различные программы, предназначенные для "восстановления" паролей пользователей. Способов получения "первоначальных данных" по паролям много. Это и прослушивание сети (не надо надеяться на использование коммутаторов, поскольку существуют способы "обходить" их фильтрацию пакетов), использование базы безопасности локальной или удаленной машины (при наличии на это устройство административных прав), импорт соответствующих файлов (если есть доступ к данным из другой операционной системы). Программы способны перехватывать и дешифрировать все существующие в настоящий момент протоколы.

На рис. 9.2 представлен результат работы программы LC5 от компании @stake (www.atstake.com/lc), которая позволяет узнавать пароли в Windows- и UNIX-сетях. Это данные по реальной сети (имена учетных записей закрыты), в которой политикой безопасности включено стандартное требование сложности пароля. Обратите внимание на колонку времени дешифрования каждого пароля — для всех показанных на рисунке учетных записей оно составило менее 50 с. А если просмотреть те пароли, которые были дешифрованы быстрее всех, то основными причинами такого успеха явились действия пользователей, которые составляли пароли на основе своих данных с добавлением цифр (например, пароль Valentin_l дешифрирован за 29 с), из простых слов и цифр (например, Cruell234 "узнан" за 46 с) или последовательно расположенные клавиши (например, ASDFGHjl, 25 с).

Рис. 9.2.
Окно программы LC5 для восстановления паролей

Rainbow-таблицы

Операционные системы используют не пароли, а их хэши, созданные по известным правилам. Параметры вычислительной техники настолько выросли, что у хакеров появилась возможность не перебирать пароли, а составить базу данных хэшей паролей и затем просто выбирать из нее необходимые значения по полученным данным. В результате достаточно узнать (например, перехватить по сети) хэш пароля, выполнить запрос к подобной базе, которую называют Rainbow-таблицей, и получить значение пароля практически сразу.

Программы для использования Rainbow-таблиц доступны в Интернете, единственная проблема их использования заключается в объеме таблиц. В зависимости от набора символов и длины предполагаемого пароля вам придется закачать из Интернета до нескольких десятков гигабайт данных. Хотя стоит заметить, что с появлением безлимитных тарифов эти объемы стали доступны многим пользователям.

При желании можно создать подобную таблицу и самостоятельно. Так, генератор таблиц Rainbow из состава программы Cain & Abel от Massimiliano Montoro (www.oxid.it) позволяет построить таблицу хэшей для паролей, состоящих из всех букв латинского алфавита и цифр, длиной до 8 символов включительно менее чем за полтора дня (рис. 9.3).

Рис. 9.3.
Окно настройки параметров генератора Rainbow-таблицы

Рекомендации по составлению сложного пароля

Все рекомендации, предлагаемые пользователям, должны учитывать их психологию, а не только следовать техническим параметрам. Так, если установить небольшое время жизни пароля (около месяца), то (при одновременном требовании его сложности) это приведет к тому, что пароли начнут записывать, хранить их вблизи компьютера и т. п.

Из описанных ранее примеров атак на пароли следует главный вывод: пароль должен быть очень длинным, не менее 15—20 символов. Человеку сложно запомнить произвольную последовательность такой длины, гораздо проще запоминаются фразы. Составьте пароль из нескольких слов, разделенных пробелами или знаками препинания. Такой пароль крайне сложно подобрать.

При смене пароля следует перейти к новой фразе, а не модифицировать предыдущую путем добавления нескольких символов в начале или конце.

Ни в коем случае не следует использовать пароль учетной записи для доступа к сайтам Интернета, требующим идентификации. Для упрощения работы с паролями Сети используйте любую программу защищенного хранения паролей.

Технические пути решения проблемы

Организационные меры работы с паролями требуют, насколько это возможно, технического подкрепления. После выполнения рекомендаций по настройке безопасности выполнение ряда параметров будет контролироваться автоматически. Это обеспечит минимальный уровень безопасности.

Для особо ответственных учетных записей (администраторы предприятия и т. п.) необходимо внедрить аппаратные средства аутентификации: смарт-карты, биометрические средства контроля и т. п. Обратите внимание на отсутствие личных послаблений: не отключайте себе те ограничения на пароль (например, необходимость его периодической смены), которые введены для пользователей. Используйте длинный пароль (не менее 15 символов), по возможности один из его символов не должен вводиться с клавиатуры. Иными словами, символ должен набираться через его код: +код. Перечень таких символов можно найти в справочной документации к операционной системе в разделе, посвященном строгости паролей.

    Совет

    Ни в коем случае не используйте пароль администратора предприятия для входа на рабочие станции пользователей. Существует достаточное число утилит, которые, не обнаруживая себя в системе, протоколируют нажатия всех клавиш. При необходимости включите при помощи групповой политики какую-либо учетную запись в число администраторов рабочих станций и используйте эту учетную запись для их администрирования.

Блокировка учетной записи пользователя

Одним из способов борьбы с подбором пароля учетной записи пользователя является ее блокировка после некоторого числа неудачных попыток входа. Эта опция включается через групповую политику организации.

На практике данное правило не имеет особого значения, поскольку прямой перебор паролей пользователя обычно уже не используется. Однако включение ее все же позволит несколько повысить защищенность систем. При этом значение порога числа неудачных попыток набора пароля не должно быть слишком малым. Во-первых, пользователи достаточно часто допускают ошибки при вводе своего пароля. Во-вторых, если такая ошибка будет ими допущена при указании сохраняемого пароля (например, они укажут необходимость сохранения пароля в параметрах доступа к Интернету или к почтовому серверу), то это приведет к нескольким автоматическим повторам ввода неверного пароля и последующей блокировке учетной записи.

Автор рекомендовал бы установить порог блокировки учетной записи на уровне 10—20 неудачных попыток ввода. При этом период, в течение которого будут считаться данные попытки, а также время, через которое произойдет автоматическая разблокировка учетной записи пользователя, можно установить порядка одного часа.

    Примечание

    Если к учетной записи предъявляются особые требования безопасности, то можно оставить только вариант ее ручного разблокирования, хотя это приведет к увеличению административной нагрузки, в том числе потребует и исследования каждого такого инцидента.

Блокировка учетных записей достаточно часто может возникать вследствие тех или иных неверных настроек, ошибок сохраненных паролей и т. п. Для исследования таких ситуаций можно загрузить комплект утилит — Account Lockout and Management Tools (ALTools.exe, http://www.microsoft.com/downloads/details.aspx? familyid=7af2e69c-91f3-4e63-8629-b999adde0b9e&displaylang=en), позволяющий проанализировать причины блокировки учетных записей. В комплект входят программы, предназначенные для анализа систем, вызывающих блокировки, средства просмотра параметров учетных записей и поиска данных на контроллерах домена.

Смарт-карты

Существуют различные технические решения, которые позволяют аутентифицировать пользователя, не прибегая к вводу пароля, например, по каким-либо биометрическим показателям. Но наиболее используемым на практике методом является аутентификация на основе смарт-карты.

Смарт-карта представляет собой устройство, на которое можно с помощью специальных считывателей записывать (и считывать) информацию. Обычно на смарт-карте сохраняется сертификат пользователя, предназначенный для аутентификации его в системе. Чтобы сертификат не мог быть использован злоумышленником, он защищается специальным кодом — PIN-кодом. PIN-код — это не пароль пользователя в системе, это только защита на случай утери или кражи смарт-карты. Он не передается по сети (поэтому не может быть перехвачен анализаторами трафика) и используется только локально для доступа к сертификату. Поэтому он может быть достаточно коротким и удобным для запоминания.

В зависимости от объема памяти на карте, на нее принципиально можно записать несколько сертификатов, что позволит использовать смарт-карту для различных целей (например, вход пользователя в различные системы, хранение сертификатов для электронных подписей и т. п.).

    Примечание

    Поскольку в смарт-картах применяются сертификаты пользователей, то в организации должна быть развернута структура PKI (Public Key Infrastructure, инфраструктура открытых ключей) и опубликованы шаблоны сертификатов для аутентификации пользователей с помощью смарт-карт.

Существуют две возможности записи сертификата пользователя на смарт-карту. Первая — это выполнение операции самим пользователем. В этом случае пользователь должен предварительно войти в систему, используя свой сетевой пароль, после чего начать операцию получения сертификата для аутентификации с помощью смарт-карты. Недостаток этого варианта состоит в необходимости первоначального входа в систему с обычным паролем.

Второй способ предполагает выдачу сертификата администратором. Для этого на компьютер, на котором будет выполняться эта операция, необходимо установить специальный сертификат для выдачи сертификатов пользователям. Его принято называть enroll agent. Для этого необходимо опубликовать соответствующий шаблон на центре сертификатов и установить сертификат на компьютер. По умолчанию правом установки такого сертификата обладают только администраторы системы. Чтобы выдать сертификат пользователю смарт-карты в этом случае, необходимо начать операцию запроса сертификата, указав в опциях тип запрашиваемого сертификата — enroll agent. Далее на очередном шаге следует выбрать соответствующего пользователя из списка.

Смарт-карта может использоваться и для входа в удаленную систему в режиме терминального доступа. Такая возможность позволяет администратору не использовать свой сетевой пароль при операциях удаленного управления.

Смарт-карту можно использовать в любых операциях, требующих аутентификации пользователя. За некоторыми исключениями. Так, у автора не получалось использовать смарт-карту для аутентификации на других компьютерах при удаленной работе на терминальном сервере и т. д. Например, в операции Запустить от имени.... Для этого достаточно раскрыть список выбора пользователей в окне набора пароля, выбрать смарт-карту и набрать ее PIN-код (рис. 9.4).

Рис. 9.4.
Использование смарт-карты для аутентификации в операции Запустить от имени..

В случае предъявления повышенных требований к безопасности администратор может наложить некоторые условия на использование смарт-карт. Так, можно разрешить локальный вход на конкретный компьютер только с использованием смарт-карты (устанавливается через локальную политику безопасности компьютера; кроме того, данное требование можно включить в групповую политику заданного подразделения). Аналогичное требование можно предъявить и к пользователю: разрешить ему работу в системе только с помощью смарт-карты. Это условие реализуется через параметры учетной записи.

Кроме того, можно определить действия, выполняемые системой при вытаскивании смарт-карты (например, автоматически блокировать компьютер или производить отключение пользователя). Эти параметры также настраиваются через групповую политику.

eToken

Для использования смарт-карт необходимо наличие на компьютерах специального устройства — считывателя смарт-карт. В настоящее время такими устройствами в нашей стране оборудована лишь незначительная часть компьютеров. Существует техническое решение, которое позволяет использовать технологию смарт-карт для входа в систему стандартной комплектации. Это eToken (или российский аналог ruToken от компании "Актив", http://www.rutoken.ru/, http://www.guardant.ru/).

eToken представляет собой компактное USB-устройство. Подключение eToken в USB-порт воспринимается системой как вставка смарт-карты, однако перед использованием eToken нужно установить на систему дополнительный драйвер этого устройства.

Стоимость eToken соизмерима со стоимостью считывателя смарт-карт, но если в организации необходимо обеспечить повышенный уровень безопасности только для отдельных пользователей, то данное решение будет экономически оправданным.

Восстановление пароля администратора

Существует несколько утилит, позволяющих заменить пароль администратора (в том числе и администратора домена). Среди коммерческих вариантов едва ли не самая популярная — это программа ERD Commander (сегодня входит в состав Microsoft Desktop Optimization Pack). Программа создает загрузочный компакт-диск, который позволяет не только заменить пароль администратора, но и отредактировать настройки реестра системы, использовать сетевой доступ для копирования файлов (после загрузки система "видит" сеть) и выполнить другие операции конфигурирования систем на основе Windows.

Среди бесплатно распространяемых программ можно отметить Offline NT Password Editor (http://home.eunet.no/~pnordahl/ntpasswd/), которая неоднократно успешно применялась автором для восстановления паролей на серверах и рабочих станциях. По информации с сайта программы ее можно использовать и для Windows 7. Эта программа предоставляется в виде образа загрузочного компакт-диска с операционной системой Linux. Стартовав с такого диска, вы получаете доступ к реестру системы и можете заменить любой пароль. По умолчанию опции программы предполагают смену пароля локального администратора. Так что вам достаточно только соглашаться с предложениями программы на каждом ее шаге.

После того как пользователь заменит пароль администратора, он получит полный контроль над компьютером.

Методы социальной инженерии

В связи с постоянно совершенствующимися техническими мерами обеспечения безопасности злоумышленники все активнее начинают использовать для получения данных об информационной системе методы социальной инженерии. Представляясь новым работником или специалистом службы техподдержки, коммерческим агентом или интервьюером, можно попытаться получить сведения о структуре сети и расположении информационных сетевых служб, ознакомиться с действующими мерами обеспечения безопасности данных и т. п. В случае получения недостаточного объема информации от одного сотрудника, злоумышленник легко может обратиться ко второму, третьему и т. д. Широко распространены попытки использования различных анкет, запросов по электронной почте.

Исполнения каких правил поведения должны постоянно придерживаться сотрудники организации?

  1. Не давать никакой информации в ответ на любые обращения по телефону, по электронной почте, при личных контактах лицам, если нет четкой уверенности в правомочности таких запросов.
  2. Не сообщать никакой информации как личного, так и служебного характера в различных анкетах на страницах информационных серверов Интернета или пришедших по электронной почте.
  3. Не отвечать на любые не ожидаемые рассылки по электронной почте, даже если в письме содержится указание на возможность прекращения подписки. Не пересылать писем, содержащих служебную информацию, по почте в незашифрованном виде.
  4. При работе в Интернете внимательно следить за URL сайтов, чтобы быть уверенными в работе с конкретной организацией (а не с сайтом, созвучным по написанию с реальной организацией, например имеющим адрес организация.org вместо организация.net).
  5. Не посещать сайты, предоставляющие сертификат (по протоколу HTTPS), к которому у операционной системы компьютера нет доверия (высвечивается желтый знак предупреждения).
  6. При контактах с сотрудником, впервые представившимся вам по электронной почте, принять меры к проверке его данных. При этом не следует пользоваться контактными данными, опубликованными в Интернете; проверьте данные о фирме иными путями, например, через справочные службы.


Рейтинг@Mail.ru