Концепция обеспечения безопасности ИТ- инфраструктуры и реализующие ее средства Федор Зубанов Microsoft
Информационная безопасность Конфиденциальность Целостность Доступность Целостность Доступность Конфиденциальность Полезность Аутентичность Владение
Безопасность как бизнес-процесс Политика безопасности Обеспечение безопасности Контроль и реагирование Управление и тестирование Модернизация
Политика безопасности Анализ угроз Управление рисками ТехнологияПроцедурыСтраховка КонфиденциальностьЦелостностьДоступность Защита Обнаружение Корректировка Операции и поддержка Приобретение Исследования Дизайн и внедрение Интеграция Тестирование Сертификация Анализ уязвимостей Обнаружение «вредного»кода и вторжений Аудит и мониторинг Реакция Сортировка Редизайн Повторная сертификация Обучение и тренировка
Статистика компьютерных преступлений Саботаж Кража информации Проникновения в систему извне Атаки «Denial of Service» Неавторизованный доступ Превышение сетевых полномочий Источник: CSI/FBI Computer Crime & Security Survey 97% 55% 32% 31% 25% 13% Атаки из Интернет Нарушения внутри локальной сети
Аутентичность Все операции в рамках информационной системы Windows 2000/XP аутентифицированы Каждый процесс исполняется строго в рамках контекста безопасности конкретного пользователя
... Интерфейс аутентификации Security Support Provider Interface (SSPI) WinInetWinInet RPCRPC DCOMDCOM SSPI - TCP/IP Winsock 2.0 Kerberos SSP Schannel SSP NTLM SSP Third- party SSP ПриложенияПриложения
Протокол Kerberos v5 Три участника Клиент, ресурс, Kerberos KDC Key Distribution Center (KDC) Authentication Service (AS) Интерактивная регистрация пользователя в домене Билет Ticket-Grant Ticket (TGT) Персональное удостоверение пользователя Ticket Granting Service (TGS) Неинтерактивная регистрация пользователя при обращении к ресурсам домена Билет Service Ticket (ST) Персональный пропуск пользователя на сервер, управляющий ресурсами
Kerberos SSP RedirectorRedirector Server1 ServerServer TGT Доступ к ресурсу Authentication Service Ticket Granting Service AS_REQAS_REP TGT SSPI Маркер доступа TGS_REP Server1 Service Ticket File.doc SMB TGS_REQ \\Server1 TGT Server1 Service Ticket KDC/Контроллер домена
Kerberos Trust west.company.com east.company.com company.com KDC srv1.east.company.com wrks.west.company.com TGT Srv1 ST
Делегирование Ограниченная имперсонация Пример: приложению нужно обратиться к ресурсу от имени пользователя Приложение получает сеансовый билет клиента Proxy Ticket Полная имперсонация Пример:DCOM-приложение активирует другое DCOM-приложение от имени того же пользователя Приложение получает TGT клиента Forwarded Ticket
Смарт-карты Микрочип, интегрированный в пластиковую карточку Сертификат пользователя Личный ключ пользователя Криптографические операции Необходима инфраструктура открытых ключей Двухфакторная аутентификация Идентификация владельца карточки PIN-код Аутентификация в домене по сертификату пользователя Получение билета TGT по протоколу Kerberos PKINIT Smart Card
Контроль доступа Common Criteria Профиль Controlled Access Управление доступом к объектам выполняется путем назначения разрешений и запретов для пользователей и групп Каждый пользователь уникальным образом идентифицируется в системе Аудит событий, связанных с доступом к объектам и с безопасностью Разграничение административных полномочий
Субъект Пользователь Однозначно определяется своей учетной записью в каталоге Security Identifier (SID) пользователя Маркер доступа субъекта Ассоциируется с каждым потоком, исполняемым от имени пользователя Важнейшие компоненты SID пользователя SID-ы всех групп, в которые пользователь входит Установленные на данном компьютере привилегии пользователю и группам, в которые он входит
Объект Каждому объекту назначается персональный дескриптор безопасности Discretionary Access Control List, DACL Список запретов и разрешений, установленных для данного объекта Access Control Entry, ACE Каждая ACE содержит назначение прав для конкретного SID System Access Control List, SACL Список назначений аудита Статический механизм наследования Канонический порядок расположения строк контроля доступа
Аудит Регистрация успешных и неуспешных действий Регистрация в системе Управление учетной записью Доступ к службе каталогов Доступ к объекту Использование привилегий Изменение политики Исполнение процессов и системные события Включается в локальной (групповой) политике аудита
Журнал безопасности Хранится в защищенном, зашифрованном виде Недоступен вне оснастки Event viewer Только определенные пользователи (администраторы аудита) могут выполнять операции с журналом Нельзя удалить сообщение Можно очистить весь журнал Специальное сообщение о том, кто и когда выполнил очистку журнала Возможность архива сообщений перед очисткой журнала
RSA Key Exchange RSA Key Exchange Diffie - Hellmann Diffie - Hellmann RSA Digital Signature RSA Digital Signature DSA DSA DES, TripleDES DES, TripleDES RC2, RC4 RC2, RC4 Hash Message Authentication Code SHA-1 SHA-1 MD5 MD5 Шифрование с открытым ключом Цифровая подпись Симметричное шифрование Хеш с секретным ключом Шифрование Целостность Конфиденциальность Аутентичность Доступность Полезность Владение
Средства шифрования Cryptographic Service Provider Криптографические операции Генерация и хранение ключей CryptoAPI Программные интерфейсы к криптографическим службам Windows 2000 Создание и тестирование собственных CSP с помощью Microsoft Cryptographic Service Provider Developers Kit (CryptoSDK)
Инфраструктура открытых ключей Центр сертификации в составе Windows 2000 Server Выдача сертификатов клиентам Хранение истории всех выданных сертификатов Отзыв сертификатов Web-интерфейс для запросов и получения сертификатов Stand-alone CA Enterprise CA
Иерархия CA Root CASub CA 4Sub CA 1Sub CA 2 Intermediate CAIssuing CA Root CA Sub CA 2 Sub CA 3 User Sub CA 3 Issuing CA Certification Path
Клиент инфраструктуры открытых ключей Корневой Центр сертификации предприятия (offline) Выдающий Центр сертификации Active Directory Списки отозванных сертификатов Шаблоны сертификатов Персональные сертификаты Доверяемые Корневые Центры Доверяемые Дочерние Центры Доверяемые поставщики программ Хранилища сертификатов CSP PKCS#10
Использование сертификатов Аутентификация пользователей Смарт-карты (Kerberos PKINIT) Secure Channel (SSL/TLS) Удаленный доступ (EAP-TLS) IP Security Взаимная аутентификация хостов во время переговоров Internet Key Exchange Шифрующая файловая система Хранение ключей шифрования файлов Цифровые подписи Аутентичность и целостность программ Защита документов Защита электронной почты
Контакт с внешним миром
Защита периметра Microsoft Internet Security & Acceleration Server 2000 Трех-уровневый межсетевой экран Фильтры пакетов, протоколов, приложений Сервис Proxy Правила для сайтов и содержимого Интеграция со службой удаленного доступа Windows 2000 Server Поддержка VPN Публикация серверов Web и других служб Средства обнаружения атак от ISS
DMZ Локальная сеть InternetInternet ISA Server 1 ISA Server 2 Типичная конфигурация
Локальная сеть ISA 1 ISA 2 ISA n InternetInternet Массив ISA Server Enterprise Edition
Массив 1 Сервер 1Сервер 2 Массив N Сервер 1Сервер M Уровень домена Политика предприятия Локальная политика массива Политики управления
Internet Архитектура и клиенты
Уведомления и отчеты Уведомления порождаются событиями Запись в журнал Event Log Отправка сообщения Запуск/Остановка сервиса ISA Выполнение команды Генерация графических отчетов на базе содержимого журналов Web Usage Reports Application Usage Reports Traffic and Utilization Reports Security Reports
Служба удаленного доступа Windows 2000 Защищенное подключение удаленного клиента по протоколу PPP Два уровня аутентификации Аутентификация PPP PAP, SPAP CHAP, MS-CHAP v1, MS-CHAP v2 EAP-TLS, EAP-MD5 Аутентификация в домене Поддержка протокола RADIUS Шифрование Microsoft Point-to-Point Encryption (MPPE)
Internet Authentication Service Remote Access Dial-In User Service AAA Реализация AAA для служб удаленного доступа А Аутентификация А Авторизация RFC 2138: RADIUS authentication and authorization А Аудит RFC 2139: RADIUS accounting Internet Authentication Service (IAS) является стандартным RADIUS-сервером Интегрирован с Active Directory Поддреживает расширения RADIUS Служба RRAS Windows 2000 Server может выступать RADIUS-клиентом
RADIUS RADIUS Gateway ISP Интранет предприятия Active Directory
Internet Виртуальные сети (VPN) Защищенное подключение клиента к серверу удаленного доступа через виртуальный туннель, созданный в открытой сети Инкапсуляция и шифрование сетевых пакетов L2TP PPTP
Point-to-Point Tunneling Protocol Разработан сообществом PPTP Forum RFC 2637 Туннель в рамках TCP-соединения Аутентификация по протоклам PPP MS-CHAP, EAP-TLS Инкапсуляция пакетов РРР Generic Routing Encapsulation (GRE) Шифрование данных по модифицированному алгоритму MMPE RC4 с ключом длиной 128 бит
Layer 2 Tunneling Protocol Разработан рабочей группой IETF PPP Extensions Комбинация протоколов Cisco L2F и PPTP RFC 2661 Работает в сетях IP, X.25, Frame Relay или АТМ В IP-сетях инкапсулированные пакеты передаются в формате UDP Два уровня аутентификации IPSec, PPP Защита пакетов обеспечивается транспортным режимом IP Security
Организация VPN Механизмы организации VPN интергрированы в Routing & Remote Access Services Windows 2000 Интеграция с Active Directory Интеграция с ISA Server 2000 Централизованная аутентификация и администрирование Internet Authentication Service Предпочтение: использовать L2TP/IPSec Современный защищенный протокол с широким спектром возможностей Стандарт IETF для клиентов VPN RAS Взаимная аутентификация хостов IPSec средствами Инфраструктуры открытых ключей PPTP – в простейших и специальных случаях Поддержка механизма NAT Доступен для всех платформ (Windows 9x) Простое и недорогое развертывание
Политика безопасности Анализ угроз Управление рисками ТехнологияПроцедурыСтраховка Операции и поддержка Приобретение Исследования Дизайн и внедрение Интеграция Тестирование Сертификация Анализ уязвимостей Обнаружение «вредного»кода и вторжений Аудит и мониторинг Реакция Сортировка Редизайн Повторная сертификация Обучение и тренировка КонфиденциальностьЦелостностьДоступность Защита Обнаружение Корректировка Технология Технология
Ответы