Анализ операционной системы МСВС на предмет наличия уязвимостей
Дипломная работа - Компьютеры, программирование
Другие дипломы по предмету Компьютеры, программирование
RealSecure Detector и RealSecure Manager. Первый компонент отвечает за обнаружение и реагирование на атаки, и состоит из двух модулей - сетевого и системного агентов. Сетевой агент устанавливается на критичный сегмент сети и обнаруживает атаки путем "прослушивания" трафика. Системный агент устанавливается на контролируемый узел и обнаруживает несанкционированную деятельность, осуществляемую на данном узле.
Компонент RealSecure Manager отвечает за настройку и сбор информации от RealSecure Detector. Управление компонентами системы RealSecure 3.0 возможно осуществлять как iентрализованной консоли, так и при помощи дополнительного модуля, подключаемого к системе сетевого управления HP OpenView (HP OpenView Plug-In Module). В последнем случае консоль RealSecure Manager устанавливать не требуется. Для облегчения работы в распределенной сети, в которой ответственность за управление сетью возложена на несколько подразделений, возможно установка нескольких консолей, одновременно управляющих всеми модулями обнаружения атак.
Возможности реагирования на атаки является определяющими для любой системы обнаружения атак. В системе RealSecure такие варианты можно разделить на три типа: уведомление (notification), запоминание (storage) и активное реагирование (active response).
Уведомления можно посылать на одну или несколько консолей управления (RealSecure Manager), по электронной почте или, в случае подключения системы AlarmPoint, еще и по факсу, телефону и пейджеру.
Все данные о событиях сохраняются в стандартном (дата и тип события, адрес атакующего и атакуемого, дополнительные сведения) и расширенном формате. В последнем случае система RealSecure сохраняет содержание всего трафика. При этом возможно воспроизведение всех действий нарушителя с заданной скоростью для последующего анализа и "разбора полетов". Во многих случаях эта возможность помогает разобраться в том, каким образом злоумышленник проник в корпоративную сеть и что можно противопоставить ему в дальнейшем.
В случае осуществления атаки, которая может привести к выведению из строя узлов корпоративной сети, возможно автоматическое завершение соединения с атакующим узлом, блокировка учетной записи нарушителя (если он является сотрудников организации) или реконфигурация межсетевых экранов и маршрутизаторов таким образом, чтобы в дальнейшем соединения с атакующим узлом были запрещены. Если названных вариантов реагирования недостаточно, то администратор может создать свои собственные iенарии обработки контролируемых событий.
Системы RealSecure не снижает производительности сети не только в случае работы с Ethernet, Token Ring и FDDI, но и при работе с высокоскоростными магистралями типа Fast Ethernet.
Дополнительной возможностью, которая говорит в пользу системы RealSecure, является наличие всеобъемлющей базы данных по всем 700 контролируемым событиям.
Поскольку информация, собираемая системами анализа защищенности и обнаружения атак, является очень важной, то необходимо, чтобы никто, за исключением администратора, не имел к ней доступа. И такая возможность реализована в системах компании ISS, в отличие от систем, предлагаемых другими производителями. Кроме того, система RealSecure может быть защищена от атак на ней при помощи, т.н. называемой Stealth-конфигурации, которая не позволяет "видеть" систему RealSecure из внешней сети.
6. Экспериментальная часть
.1 Общая системная безопасность
- подобные системы настолько безопасны, насколько безопасными их сделает администратор. Чем больше сервисов у вас установлено, тем больше шансов, что в них будет найдена дыра. При инсталляции ОС МСВС, из раiёта безопасности, вы должны устанавливать минимум пакетов, а затем добавлять только необходимые элементы, тем самым уменьшая шансы установить приложение с ошибкой, нарушающей безопасность всей системы.
Безопасность BIOS
Отмените возможность загрузки компьютера с дискеты, установите пароль для доступа к настройкам BIOS. Запрет загрузки с дискет не позволит злоумышленникам загрузить компьютер с дискеты и получить доступ к системе.
Использование RieserFS
Ответом потребностям времени стали журналирующие файловые системы. Одна из разработок по стабильности и обкатанности опередила всех - это RieserFS.
В RieserFS основное внимание уделено решению проблемы эффективного хранения маленьких файлов. Решение данного вопроса стало возможным с привлечением технологий баз данных, занимающихся, в общем, той же проблемой - хранения и доступа к данным. Это технология сбалансированных деревьев и В+Tree.
Особенность RieserFS состоит в том, что в сбалансированных деревьях хранится всё - имена файлов, каталоги, узлы i-node, маленькие файлы и хвосты больших файлов. Тела же больших файлов хранятся в неформатированных блоках. В целом оказывается, что для доступа к данным, требуется меньшее число обращений, и данные хранятся более плотно.
Другая особенность RieserFS, это журналирование. Представить его можно так: сначала сведения об операции и данные записываются в специально выделенное место, затем собственно, записываются в файловую систему, а по завершении записи делается отметка о завершении операции. Если на каком-то этапе произошёл сбой, файловая система не страдает, а журнал способствует быстрому восстановлению после сбоя - на это уходят iитанные секунды.
Интересной возможностью является поддержка модулей plug-in, которые позволяют создавать собственные типы каталогов и файлов. Это обеспечит развитие системы в будущем. Например: данные в системах потокового аудио/видео можно хран?/p>