Uploaded by maer Tag

Обеспечение безопасности удаленного доступа сотрудников к

advertisement
Федеральное государственное образовательное бюджетное учреждение
высшего образования
«ФИНАНСОВЫЙ УНИВЕРСИТЕТ ПРИ ПРАВИТЕЛЬСТВЕ
РОССИЙСКОЙ ФЕДЕРАЦИИ»
(Финансовый университет)
Колледж информатики и программирования
ДОПУСКАЮ К ЗАЩИТЕ
заместитель директора колледжа
по учебно-производственной работе
______________ Л.В. Фокина
« » июня 2019 г.
ВЫПУСКНАЯ КВАЛИФИКАЦИОННАЯ РАБОТА
На тему: Обеспечение безопасности удаленного доступа сотрудников к
ресурсам организации
Студент группы 4ИБАСГлагольев Алексей Андреевич
«___» июня 2019 г.
Основная профессиональная образовательная программа по специальности
10.02.03 Информационная безопасность автоматизированных систем
Форма обучения очная
Руководитель ВКР Поколодина Елена Владиславна
Председатель предметно-цикловой комиссии ____________Володин С.М.
Москва
2019
1
Федеральное государственное образовательное бюджетное
учреждение высшего образования
Финансовый университет при Правительстве Российской Федерации
КОЛЛЕДЖ ИНФОРМАТИКИ И ПРОГРАММИРОВАНИЯ
УТВЕРЖДАЮ
Председатель предметно-цикловой
комиссии
Информационной безопасности
_________________С.М. Володин
«___» ________ 2019 г.
ЗАДАНИЕ
на выпускную квалификационную работу
Студенту Глагольеву Алексею Андреевичу
1. Тема выпускной квалификационной работы
Проектирование комплексной системы защиты ГБУ «Жилищник района
Лианозово»
2. Срок сдачи студентом законченной выпускной
07 июня 2019
квалификационной работы
года
3. Исходные данные:
Объект защиты – ГБУ «Жилищник района Лианозово»
Нормативно-методические рекомендации ФСТЭК России по защите
информации в информационных системах
ГОСТ Р 51275-2006. Защита информации. Объект информатизации.
Факторы, воздействующие на информацию. Общие положения
4. Перечень подлежащих разработке задач/вопросов
4.1 Разработка введения дипломного проекта с обоснованием
актуальности
проведения
мероприятий,
направленных
на
проектирование и модернизацию комплексной системы защиты
объекта информатизации - «Жилищник района Лианозово».
Выделение цели дипломного проекта, задач, объекта и предмета
исследования
4.2 Анализ литературных источников и исследование структуры
состава и признаков объекта информатизации, классификация
информации по уровню доступа и типам конфиденциальности
2
4.3 Анализ и обобщение материалов по типовым угрозам безопасности
объекта защиты и потенциальным рискам
4.4 Анализ подходов к созданию комплексной системы защиты
объекта, классификация методов защиты информации
4.5 Описание объекта исследования дипломного проектирования –
ГБУ «Жилищник района Лианозово», описание технического паспорта
объекта, его местоположения, идентификация ценных ресурсов
(материальных, информационных)
4.6 Анализ существующей на объекте политики безопасности,
выявление средств и методов защиты
4.7. Идентификация угроз безопасности объекта, их источников и
потенциальных нарушителей безопасности
4.8 Разработка и/или модернизация комплексной системы защиты для
объекта ГБУ «Жилищник района Лианозово». Оценка предложенного
решения
5. Перечень графического/иллюстративного /практического материала
5.1 Схема объекта защиты с указанием потенциальных угроз и
уязвимостей
5.2 Проект комплексной системы защиты объекта ГБУ «Жилищник
района Лианозово».
5.3 Презентация к дипломному проекту
6. Консультант по выпускной квалификационной работе (с указанием
относящихся к ним разделов проекта)
«___» _________
2019
Дата выдачи задания
Руководитель ВКР
Поколодина Елена Владиславна
«___» _________
2019
Задание принял к исполнению
Студент
Глагольев Алексей Андреевич
3
СОДЕРЖАНИЕ
Введение......................................................................................................... 5
ГЛАВА 1. ТЕОРЕТИЧЕСКАЯ ЧАСТЬ ...................................................... 6
1.1. Удаленный доступ. Определения и общие понятия ..................... 6
1.2. Как работает удаленный доступ ...................................................... 8
1.3.
Стандарт управления правами доступа к корпоративным
файловым информационным ресурсам ................................................................ 9
Глава 2. Практическая часть ...................................................................... 32
Заключение .................................................................................................. 41
СПИСОК ЛИТЕРАТУРЫ .......................................................................... 42
4
ВВЕДЕНИЕ
Почему данная тема является актуальной? Мы живем в мире ITтехнологий и трудно представить человека, у которого нет с собой мобильного
телефона. Существуют организации, которые идут в ногу со временем и
разрабатывают проекты, которые позволяют сотрудникам удобнее работать с
информацией.
Например, компания работает в сфере наемных рабочих и сотруднику
необходимо составить свое расписание и предоставлять отчеты, но работать
по всему городу, а в конце возвращаться обратно в офис для отчета является
не очень удобным решением, но есть множество вариантов для решения
данной проблемы, например, создать мобильное приложение, для удаленной
работы. И всё, сотрудник сидя дома или же возвращаясь домой может
составить свое расписание, и отправлять документы прямо с телефона,
удаленно. Всё, что потребуется, так это доступ к сети Интернет. Это решение,
конечно, удобное, но не является безопасным, т.к. если все будут иметь доступ
к такому ресурсу, то можно будет украсть конфиденциальную информацию, и
что не менее важно, он может её изменить. Для этого существует такой
процесс как аутентификация. Что такое аутентификация? Аутентификация –
это процесс подтверждения подлинности пользователя при входе. Самым
актуальным способ аутентификации на данных момент является ввод логина
и пароля, которые сотрудник может придумать сам, или же ему выдадут в
офисе компании непосредственно.
Задачей дипломной работы является описание процесса создания,
внедрения и получения удаленного доступа к ресурсам организации
обеспечить безопасность при входе к ресурсам.
5
ГЛАВА 1. ТЕОРЕТИЧЕСКАЯ ЧАСТЬ
1.1.
Удаленный доступ. Определения и общие понятия
Удаленный доступ - технология взаимодействия абонентских систем с
локальными сетями через территориальные коммуникационные сети.
Удаленный доступ осуществляется посредством сервера удаленного доступа.
При удаленном доступе используются модели "дистанционного управления"
и "удаленной системы"[1].
Удаленный доступ представляет собой функцию, позволяющую
пользователю подключаться к компьютеру через Интернет с помощью
другого ПК. Условием для применения такой опции является включенный
компьютер, к которому нужно подключиться, а также установленная и
запущенная функция удаленного доступа. Осуществить такое соединение
можно при помощи любого ПК, подсоединенного к Сети, устанавливать
удаленный доступ на эту машину не требуется. Опция открывает возможность
пользователю использовать свой компьютер удаленно, и обеспечивает
следующие дополнительные возможности:

Доступ к файлам. Можно производить отправку файлов,
специфические размеры или характеристики которых не позволяют отправить
их по электронной почте. Посредством удаленного доступа генерируется
безопасная ссылка, она может пересылать другим пользователям с целью
загрузки данных с удаленного ПК.

Передача файлов. Это возможность копирования файлов и папок
на текущий компьютер с удаленной машины или наоборот.

Гостевой доступ. Представляет собой безопасную опцию,
позволяющею получать доступ для решения какой-то конкретной задачи на
удаленном компьютере, предоставляя доступ к рабочему столу и возможность
контролировать клавиатуру и мышь.

Сопровождение программ, а также организация работы на
предприятии.
6
Для того чтобы оказать удаленную поддержку требуется соблюдение
таких условий:

Наличие высокоскоростного доступа к сети Интернет;

Внешний статический ip адрес;

Установленная на ПК пользователя операционная система не ниже
Windows XP Professional SP2;

Настроенный доступ необходимый для управления Удалённым
помощником или Удалённым рабочим столом;

Наличие на машине пользователя учетной записи с правами
администратора;

Отсутствие вмешательств в работу в период оказания поддержки.
Возможности соединения:
Удаленный рабочий стол. Хостом может выступать Windows XP
Professional, управлять которым удается с другой машины работающей в среде
Windows,
версия
которого
не
имеет
основополагающего
значения.
Посредством такого приложения осуществляется удаленное управление.
Работа с Remote Desktop предусматривает такие аспекты:
1.
Для обеспечения безопасности удаленный рабочий стол не должен
по умолчанию активироваться при инсталляции. Приложение требует запуска
через панель управления системы (Control Panel).
2.
Удаленный рабочий стол применяет учетные записи пользователя
ПК (администратора) с осуществлением текущей регистрации на хосте.
Поэтому подключение к машине удаленного пользователя сопровождается
получением пустого экрана при запуске компьютера.
Применение
других
программ
контроля
дает
возможность
пользователю, находящегося возле хост-машины отслеживать происходящее
на экране.
Удаленный помощник. Приложение Windows XP Professional под
названием Remote Assistance (Удаленный помощник) имеет значительное
преимущество над Remote Desktop – возможность обеими сторонами
7
наблюдать и осуществлять контроль над происходящими на экране
действиями. Работоспособность этой опции возможна при таком условии –
установка на оба ПК Windows XP Professional. Она не будет функционировать
с предыдущими версиями системы и с Windows XP Home Edition.
Инициировать сеанс удаленного помощника можно по электронной почте или
посредством
Windows
Messenger.
Могут
возникнуть
трудности
с
инициированием сеанса в следующих случаях:
- Блокировка порта 3389, которая возникает из-за защиты одной из
машин файрволом, например, брандмауэром Windows;
- Использование сетевой трансляции адресов, например, Network
Address
Translation,
NAT,
использование
сети
провайдера,
не
предоставляющего внешнего Интернет IP адреса.
Для работы удаленного доступа ставится специальная программа,
которая относится к категории систем удаленного доступа.
1.2.
Как работает удаленный доступ
Для того чтобы подключиться удаленно к компьютеру предварительно
нужно поставить программу удаленного доступа.
Ставится программа. При установке обязательно ставится пароль для
подключения. Без этого пароля подключиться к компьютеру невозможно.
Также компьютеру присваивается персональный идентификационный номер.
Т.е. для подключения к компьютеру требуется знать этот номер и пароль, без
этого подключиться к нему невозможно.
Таким образом программу удаленного доступа уже установили,
настроили. Допустим у вас не работает электронная почта. Вы звоните, и
сообщаете об этом. На рабочем компьютере открывается программа для
подключения, вводится ip-адрес компьютера, система запрашивает пароль и
если пароль правильный, то пользователь получает удаленный доступ для
управления на рабочем АРМ.
8
1.3.
Стандарт
управления
правами
доступа
к
корпоративным
файловым информационным ресурсам
Что может быть проще, чем разграничить права на папку в NTFS? Но эта
простая задача может превратиться в настоящий кошмар, когда подобных
папок сотни, если не тысячи, а изменение прав к одной папке «ломает» права
на другие. Чтобы эффективно работать в подобных условиях, требуется
определенная договоренность, или стандарт, который бы описывал, как
решать подобные задачи. В данной статье мы как раз и рассмотрим один из
вариантов подобного стандарта.
Сфера действия
Стандарт управления правами доступа к корпоративным файловым
информационным ресурсам (далее – Стандарт) регламентирует процессы
предоставления
доступа
к
файловым
информационным
ресурсам,
размещенным на компьютерах, работающих под управлением операционных
систем семейства Microsoft Windows. Стандарт распространяется на случаи,
когда в качестве файловой системы используется NTFS, а в качестве сетевого
протокола для совместного доступа к файлам SMB/CIFS.
Термины и определения
Информационный ресурс – поименованная совокупность данных, к
которой применяются методы и средства обеспечения информационной
безопасности
(например,
разграничение
доступа).
Файловый информационный ресурс – совокупность файлов и папок,
хранящихся в каталоге файловой системы (который называется корневым
каталогом файлового информационного ресурса), доступ к которой
разграничивается.
Составной
файловый
информационный
ресурс –
это
файловый
информационный ресурс, содержащий в себе один или несколько вложенных
файловых информационных ресурсов, отличающихся от данного ресурса
правами
Вложенный
доступа.
файловый
информационный
9
ресурс –
это
файловый
информационный ресурс, входящий в составной информационный ресурс.
Точка входа в файловый информационный ресурс – каталог файловой
системы, к которому предоставляется сетевой доступ (shared folder) и который
используется для обеспечения доступа к файловому информационному
ресурсу. Данный каталог обычно совпадает с корневым каталогом файлового
информационного
ресурса,
но
может
быть
и
вышестоящим.
Промежуточный каталог – каталог файловой системы, находящийся на пути
от точки входа в файловый информационной ресурс к корневому каталогу
файлового информационного ресурса. Если точка входа в файловый
информационный ресурс является вышестоящим каталогом по отношению к
корневому каталогу файлового информационного ресурса, то она также будет
являться промежуточным каталогом. Группа доступа пользователей –
локальная или доменная группа безопасности, содержащая в конечном счете
учетные записи пользователей, наделенные одним из вариантов полномочий
доступа к файловому информационному ресурсу.
Основные принципы
1.
Доступ
разграничивается
только
на
уровне
каталогов.
Ограничение доступа к отдельным файлам не проводится.
2.
Назначение прав доступа выполняется на базе групп безопасности.
Назначение прав доступа на отдельные учетные записи пользователей не
проводится.
3.
Явно запрещающие полномочия доступа (deny permissions) не
применяются.
4.
Разграничение прав доступа проводится только на уровне
файловой системы. На уровне сетевых протоколов SMB/CIFS права не
разграничиваются (Группа «Все» – полномочия «Чтение/Запись» / Everyone –
Change).
5.
При настройке сетевого доступа к файловому информационному
ресурсу в настройках SMB/CIFS устанавливается опция «Перечисление на
основе доступа (Access based enumeration)».
10
6.
Создание файловых информационных ресурсов на рабочих
станциях пользователей недопустимо.
7.
Не рекомендуется размещать файловые информационные ресурсы
на системных разделах серверов.
8.
Не рекомендуется создавать несколько точек входа в файловый
информационный ресурс.
9.
Следует по возможности избегать создание вложенных файловых
информационных ресурсов, а в случаях, когда имена файлов или каталогов
содержат конфиденциальную информацию, это вовсе недопустимо
Модель разграничения доступа
Доступ
пользователей
к
файловому
информационному
ресурсу
предоставляется путем наделения их одним из вариантов полномочий:
 Доступ «Только на чтение (Read Only)».
 Доступ «Чтение и запись (Read & Write)».
В подавляющем количестве задач разграничения доступа подобных
вариантов полномочий доступа будет достаточно, но при необходимости
возможно формирование новых вариантов полномочий, например, «Чтение и
запись, кроме удаления (Read & Write without Remove)». Для реализаций
новый полномочий необходимо будет уточнить пункт В.3 Таблицы 1, в
остальном
применение
Стандарта
останется
неизменным.
Правила именования групп доступа пользователей
Имена
групп
доступа
пользователей
формируются
по
шаблону:
FILE-Имя файлового информационного ресурса–аббревиатура полномочий
Имя
файлового
информационного
ресурса
должно совпадать с UNC именем ресурса или состоять из имени сервера и
11
локального пути (если сетевой доступ к ресурсу не предоставляется). При
необходимости в данном поле допускаются сокращения. Символы «\\»
опускаются,
а
«\»
и
«:»
заменяются
Аббревиатуры
на
«-».
полномочий:

RO — для варианта доступа «Только на чтение (Read Only)»

RW — для варианта доступа «Чтение и запись (Read & Write)».
Пример
1
Имя группы доступа пользователей, имеющих полномочия «Только чтение»
для файлового информационного ресурса с UNC именем \\FILESRV\Report,
будет:
FILE-FILESRV-Report-RO
Пример
2
Имя группы доступа пользователей, имеющих полномочия «Чтение и запись»
для файлового информационного ресурса, размещенного на сервере
TERMSRV
по
пути
D:\UsersData,
будет:
FILE-TERMSRV-D-UsersData-RW
Шаблон прав доступа к каталогам файлового информационного ресурса
Таблица 1 – Шаблон NTFS-прав доступа для корневого каталога файлового
информационного ресурса.
Субъекты
Права
12
Режим наследова
Наследование прав доступа от вышестоящих каталогов отключено
А) Обязательные права
Специальная учетная
запись:
Полный доступ (Full
access)
п
subfolders and files)
группа
безопасности:
этой
подпапок и файлов (T
«СИСТЕМА (SYSTEM)»
Локальная
Для
Полный доступ (Full
access)
Для
этой
п
подпапок и файлов (T
«Администраторы
subfolders and files)
(Administrators)»
Б.1) Полномочия «Только чтение (Read Only)»
Группа
доступа
Базовые
права:
Для
этой
п
пользователей:
а) чтение и выполнение
подпапок и файлов (T
«FILE-Имя ресурса-RO»
(read
subfolders and files)
&
execute);
б) список содержимого
папки (list folder contents);
в) чтение (read);
Б.2) Полномочия «Чтение и запись (Read & Write)»
Группа
доступа
Базовые
изменение
права:
пользователей:
а)
«FILE-Имя ресурса-RW»
б) чтение и выполнение
(read
&
(modify);
execute);
в) список содержимого
папки (list folder contents);
г)
чтение
д) запись (write);
13
(read);
Для
этой
п
подпапок и файлов (T
subfolders and files)
Б.3) Другие полномочия при их наличии
Группа
доступа
Согласно
пользователей:
полномочиям
«FILE-Имя
ресурса-
Для
этой
п
подпапок и файлов (T
subfolders and files)
аббревиатура полномочий»
Табилца 2 – Шаблон NTFS-прав доступа для промежуточных каталогов
файлового информационного ресурса.
Субъекты
Права
Режим
наследовани
Наследование прав доступа от вышестоящих каталогов включено, но есл
каталог является вышестоящим по отношению к файловым информационным ресу
входит ни в один другой файловый информационный ресурс, то наследование отклю
А) Обязательные права
Специальная учетная запись:
«СИСТЕМА (SYSTEM)»
Полный доступ (Full
access)
Для эт
ее подпапок
(This folder,
and files)
Локальная
группа
безопасности:
Полный доступ (Full
access)
Для эт
ее подпапок
«Администраторы»
(This folder,
and files)
Б.1) Полномочия «Проход через каталог (TRAVERSE)»
Группы
пользователей
доступа
информационных
Дополнительные
параметры
14
безопасности:
Только
папки (This f
ресурсов, для которых этот каталог
а) траверс папок / выполнение
является промежуточным
файлов (travers folder / execute
files);
б) содержимое папки / чтение
данных (list folder / read data);
в) чтение атрибутов (read
attributes);
в) чтение дополнительных
атрибутов
(read
extended
attributes);
г) чтение разрешений (read
permissions);
Бизнес процессы управления доступом к файловым информационным
ресурсам
А.
Создание
файлового
информационного
ресурса
при создании файлового информационного ресурса выполняются следующие
действия:
1.
Создаются группы доступа пользователей. Если сервер, на
котором размещен файловый информационный ресурс, является членом
домена, то создаются доменные группы. Если нет, то группы создаются
локально на сервере.
2.
На корневой каталог и промежуточные каталоги файлового
информационного ресурса назначаются права доступа согласно шаблонам
прав доступа.
3.
В группы доступа пользователей добавляются учетные записи
пользователей в соответствии с их полномочиями.
15
4.
При необходимости для файлового информационного ресурса
создается
сетевая
папка
(shared
folder).
Б. Предоставление пользователю доступа к файловому информационному
ресурсу
Учетная запись пользователя помещается в соответствующую группу доступа
пользователя
в
зависимости
от
его
полномочий.
В. Изменение доступа пользователя к файловому информационному ресурсу
Учетная запись пользователя перемещается в другую группу доступа
пользователей
в
зависимости
от
указанных
полномочий.
Г. Блокирование доступа пользователя к файловому информационному
ресурсу
Учетная запись пользователя удаляется из групп доступа пользователей
файлового информационного ресурса. Если работник увольняется, то
членство в группах не меняется, а блокируется учетная запись целиком.
Д1. Создание вложенного файлового информационного ресурса. Расширение
доступа
Данная
задача возникает, когда к некоторому каталогу
файлового
информационного ресурса необходимо предоставить доступ дополнительной
группе лиц (расширить доступ). При этом выполняются следующие
мероприятия:
1.
Регистрируется вложенный файловый информационный ресурс
(согласно процессу А)
2.
В
группы
доступа
пользователей,
вложенного
файлового
информационного ресурса, добавляются группы доступа пользователей
вышестоящего
составного
файлового
информационного
ресурса.
Д2. Создание вложенного файлового информационного ресурса. Сужение
доступа
Данная
задача возникает, когда к некоторому каталогу
файлового
информационного ресурса необходимо ограничить доступ и предоставить его
только ограниченной группе лиц:
16
1.
Регистрируется вложенный файловый информационный ресурс
(согласно процессу А)
2.
В группы доступа пользователей создаваемого информационного
ресурса помещаются те учетные записи пользователей, которым требуется
предоставить доступ.
Е. Изменение модели предоставления доступа к файловому
информационному ресурсу
В случаях, когда к стандартным вариантам полномочий «Только чтение
(Read only)» или «Чтение и запись (Read & Write)» необходимо добавить
новые типы полномочий, например, «Чтение и запись, кроме удаления (Read
& Write without Remove)» выполняют следующие действия:
1.
Организационными (или техническими, но не связанными с
изменением прав доступа к каталогам файловой системы) мерами блокируется
доступ
пользователей
к
данному
и
всем
вложенным
файловым
информационным ресурсам.
2.
К корневому каталогу файлового информационного ресурса
назначаются новые права доступа, при этом заменяются права доступа для
всех дочерних объектов (активируется наследие).
3.
Перенастраиваются
права
доступа
для
всех
вложенных
каталоги
для
данного
информационных ресурсов.
4.
Настраиваются
промежуточные
и
вложенных информационных ресурсов.
Проблемы безопасности сервера
1.4. Основные проблемы безопасности удаленного доступа
В современном мире многие пользуются переносными устройствами
такими как телефон или ноутбук и это позволяет сотруднику работать в более
комфортных условия, но является ли это безопасным? Ведь сотрудник может
получить доступ к информации независимо от местоположения, а это значит,
что в случае утери своего гаджета информацию может получить третье лицо,
17
что нарушает основы безопасности. Для решения данного вопроса
существуют следующие системы:
1.
MDM (Mobile device manager) – это система, которая позволяет
удаленного управлять мобильным устройством, будь то гаджет компании или
личный телефон сотрудника. У данной системы есть свои плюсы и минусы.
Основной плюс заключается в том, что доступ к информации имеет
парольную систему и в случае утери гаджет придется взламывать. Также
достоинством является управляемое удаление данных с устройства с случае
утери или краже.
Минус заключается в том, что с случае утери устройство должно быть
подключено к сети для включения функции удаления, но если человек имеет
опыт работы в IT сфере или же он знает про данную систему, то есть
вероятность, что он сможет функцию удаления.
2. Virtual DLP (Virtual Data Leak Prevention) – система предотвращения
утечки данных. Данная система является наиболее перспективным. Данная
система подразумевает выполнение следующих задач:
1. Работа с информацией в виртуальной среде, что обеспечивает безопасную
обработку;
2. Работа с информацией происходит только в виртуальной среде на сервере;
3. Обеспечение контроля передачи данных, а именно фильтр всех
используемых каналов передачи/приема информации.
Правильная настройка серверов при установке

SSH-ключи:
В основе технологии — пара криптографических ключей, которые
используют
для
проверки
подлинности
в
качестве
альтернативы
аутентификации с помощью пароля. Система входа использует закрытый и
открытый ключи, которые создают до аутентификации. Закрытый ключ
хранится в тайне надежным пользователем, в то время как открытый ключ
может раздаваться с любого сервера SHH, к которому нужно подключиться.
18
Рисунок 1. SSH-подключение
Чтобы настроить аутентификацию через SSH-ключи, вы должны
поместить открытый ключ пользователя в специальной директории на
сервере. Когда пользователь подключается к серверу, SSH увидит запрос
соединения. Далее он использует открытый ключ, чтобы создать и отправить
вызов.
Вызов
—
зашифрованное
сообщение,
на
которое
нужен
соответствующий ответ, чтобы получить доступ к серверу. Корректно
ответить на сообщение сможет только держатель закрытого ключа. То есть
только он может принять вызов и создать соответствующий ответ. Открытый
же ключ используется для зашифровки сообщения, но это же самое сообщение
расшифровать не может.
Вызов и ответ проходят незаметно для пользователя. Пока у вас есть
закрытый ключ, который обычно хранится в зашифрованном виде в ~/.ssh/,
ваш клиент SSH сможет отправить правильный ответ серверу.
С помощью SSH любой вид аутентификации полностью зашифрован.
Однако, если разрешена аутентификация на основе пароля, злоумышленники
могут
добраться
до
данных
сервера.
С
помощью
современных
вычислительных мощностей можно получить доступ к серверу за счёт
автоматизации попыток взлома, вводя комбинацию за комбинацией, пока
правильный пароль не будет найдет.
19
Установив аутентификацию по SSH-ключам, вы сможете позабыть о
паролях. Ключи имеют гораздо больше битов данных, чем пароли, что
означает значительно большее число комбинаций, которые должны подобрать
взломщики. Многие алгоритмы SSH-ключей считаются невзламываемыми
современной вычислительной техникой просто потому, что они требуют
слишком много времени для подбора совпадений.
SSH-ключи довольно легко настроить. Часто их применяют как способ
удаленного входа в серверные среды Linux и Unix. Пара ключей генерируется
на вашем компьютере, затем вы можете передать открытый ключ на серверы
в течение нескольких минут.
Вот основные шаги по настройке ключей:
1. Чтобы сгенерировать пару ключей на вашем компьютере, нужно
ввести команду:
ssh-keygen -t rsa
2. Как только вы ввели команду генерации ключей, вам предстоит
ответить на пару вопросов, например, где сохранить файл и какую ключевую
фразу выбрать. В целом результат будет выглядеть так:
ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/home/demo/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/demo/.ssh/id_rsa.
Your public key has been saved in /home/demo/.ssh/id_rsa.pub.
The key fingerprint is:
4a:dd:0a:c6:35:4e:3f:ed:27:38:8c:74:44:4d:93:67 demo@a
The key's randomart image is:
+--[ RSA 2048]----+
|
.oo.
|
|
. o.E
|
20
|
+. o
|
.==.
|
=S=.
|
o+=+
|
.o+o.
|
.o
|
|
|
|
|
|
|
|
+----------------------------+
3. Как только у вас будут ключи, разместите открытый ключ на виртуальный
сервер, который собираетесь использовать. Получится что-то похожее на это:
The authenticity of host '12.34.56.78 (12.34.56.78)' can't be established.
RSA key fingerprint is b1:2d:33:67:ce:35:4d:5f:f3:a8:cd:c0:c4:48:86:12.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '12.34.56.78' (RSA) to the list of known hosts.
user@12.34.56.78's password:
Now try logging into the machine, with "ssh 'user@12.34.56.78'", and check
in:
~/.ssh/authorized_keys
Если чувствуете, что вам всё ещё нужен пароль аутентификации на ваших
серверах, присмотритесь к решениям типа Fail2ban, которые ограничивают
число попыток ввода пароля.
Фаерволы
Брандмауэр
—
часть
программного
или
программно-аппаратного
обеспечения, которая фильтрует сетевой трафик и контролирует доступ к сети.
Это означает блокирование или ограничение доступа к каждому открытому
порту,
кроме
21
исключений.
Рисунок 2. Использование файрвол
На типичном сервере ряд компонентов фаервола запущен по
умолчанию. Их можно разделить на группы
— Открытые службы, к которым может подключиться каждый в
интернете, часто анонимно. Хороший пример — веб-сервер, который
разрешает доступ к вашему сайту.
— Закрытые службы, которые доступны только из определенных мест
или авторизованным пользователям. Пример — панель управления сайтом или
базой данных.
— Внутренние службы, доступные внутри самого сервера, без доступа к
внешним источникам. Например, база данных, которая принимает только
локальные соединения.
Применение брандмауэра гарантирует, что доступ к программному
обеспечению и данным будет ограничен в соответствии с вышеуказанными
категориями.
Закрытые
службы
могут
настраиваться
по
множеству
параметров, что дает гибкость в построении защиты. Для не использующихся
портов можно настроить блокировку в большинстве конфигураций.
Как фаервол повышает безопасность?
22
Брандмауэры — неотъемлемая часть любой конфигурации сервера.
Даже если ваше программное обеспечение имеет внутренний защитный
функционал, фаервол обеспечит дополнительный уровень защиты.
Тщательно настроенный брандмауэр будет блокировать доступ ко
всему, для чего вы сами не назначите исключение. Уязвимые для атаки
компоненты, прикрытые фаерволом, уменьшат поверхность атаки на сервер.
Насколько сложно реализовать фаервол?
Есть много брандмауэров, доступных на LAMP-серверах. В целом
установка фаервола займет всего несколько минут и нужна в двух случаях: при
первоначальной настройке сервера и при изменении конкретных служб уже
работающего сервера.
В этой статье мы не будем рекомендовать конкретные фаерволы, это
тема отдельного разговора.
VPN и Private networking
VPN (виртуальная частная сеть) — способ создать защищенное
соединение между удаленными компьютерами и текущим соединением. Дает
возможность настроить свою работу с сервером таким образом, словно вы
используете
защищенную
локальную
23
сеть.
Рисунок 3. использование VPN
Как VPN повышает безопасность?
Если выбирать между частной и общей сетью, первый вариант всегда
предпочтительнее. При этом стоит помнить, что пользователи дата-центра
связаны одной сетью, вы должны максимально избавить себя от рисков,
приняв дополнительные меры для безопасной связи между серверами.
Использование VPN, по сути, способ создать частную сеть, которую могут
видеть только ваши серверы. Связь будет полностью приватной и безопасной.
Кроме этого, VPN можно настроить для отдельных приложений и служб,
чтобы их трафик проходил через виртуальный интерфейс. Таким образом,
можно обезопасить процессы внутри компании, открыв общественный доступ
только для клиентской стороны, а внутреннею часть работы сервера скрыть
VPN.
Насколько сложно реализовать VPN?
Частные сети дата-центров, как услуга — это просто. Сложность
ограничена только параметрами вашего сервера, его интерфейсом, фаерволом
и приложениями, с которыми вы работаете. Имейте в виду, что в дата-центрах
используются большие частные сети, которые объединяют множество
серверов, не только ваших.
24
Что касается VPN, начальная установка немного сложнее, но
повышенная безопасность стоит затраченных средств в большинстве случаев.
Каждый сервер на VPN необходимо установить и настроить, используя общие
данные и конфигурации безопасности, необходимые для защищенного
соединения. После того, как вы запустите VPN, нужно настроить программное
обеспечение на использование VPN-туннеля.
PKI и SSL/TLS шифрование
Инфраструктура открытых ключей (PKI) — совокупность систем,
которые предназначены для создания, управления и проверки сертификатов
для идентификации лиц и шифрования передаваемых данных. После
аутентификации, они также могут быть использованы для шифрованной
связи.
Рисунок 4. Использование SSl/TSL шифрования
Как SSL повышает безопасность?
Создание центра сертификации и управления сертификатами для
серверов позволяет каждому в пределах серверной инфраструктуры
шифровать свой трафик и использовать проверки идентичности других
пользователей. PKI поможет предотвратить атаки посредника (man-in-themiddle), когда злоумышленник имитирует поведение сервера в вашей
инфраструктуре, чтобы перехватить трафик или подменить сообщение.
25
Каждый сервер можно настроить таким образом, чтобы все участники
проходили аутентификацию через удостоверяющий центр, который создает
пару ключей: открытый и закрытый. УЦ может раздавать открытые ключи
всем участникам, у которых низкий уровень доверия друг к другу, но высокий
к УЦ. Только последний может подтвердить принадлежность открытого
ключа к его владельцу.
Если вы используете приложения и протоколы, которые поддерживают
TLS/SSL шифрование, то это способ снизить расходы на VPN (в которых часто
используют SSL).
Насколько сложно реализовать SSL?
Настройка центра сертификации и остальной части инфраструктуры
может потребовать от вас много первоначальных усилий. Кроме того,
управление
сертификатами
—
дополнительная
нагрузка
на
администрирование: новые сертификаты надо создавать, подписывать и
аннулировать при необходимости.
Для многих пользователей внедрение полноценной инфраструктуры
открытых ключей имеет больше смысла только при значительном росте
инфраструктуры. Связь через VPN может быть хорошей мерой защиты
серверов, пока компания не достигнет точки, где без PKI и дополнительных
вложений в администрирование не обойтись.
Услуги аудита
До сих пор мы говорили о технологиях, повышающих защиту серверов.
Однако, большая часть безопасности лежит на анализе вашей системы.
Понимание доступных поверхностей атак и того, какие компоненты системы
нужно блокировать, дадут вам лучший результат защиты.
Аудит — процесс, который показывает, какие службы работают в вашей
серверной инфраструктуре. Часто операционная система по умолчанию
настроена на загрузку и запуск определенных компонентов при включении.
26
Аудит поможет вам проанализировать какие порты использует система,
какие принимаются протоколы. Эта информация может помочь настроить ваш
брандмауэр.
Как аудит повышает безопасность?
Серверы запускают много процессов для внутренних целей и для
обработки внешних данных. Каждый процесс — потенциальная угроза атаки
на сервер.
После того, как вы получите представление о том, как именно работает
ваша инфраструктура, приступайте к анализу. Для каждого процесса есть
несколько проверочных вопросов:
— Должен ли сервис запускаться без разрешения?
— Запущен ли сервис в интерфейсе, в котором нет необходимости?
Должен ли он быть привязан к одному IP?
— Правильно ли структурирована работа файрвола, если пропускает
трафик этого процесса?
— Не пропускает ли ваш файрвол нежелательный трафик, исходящий от
конкретного процесса?
— Есть ли у вас способ получать уведомления безопасности в случае
уязвимости для каждой из служб?
Аудит такого типа — обязательная практика настройки любого нового
сервера.
Насколько сложно реализовать аудит?
Базовый аудит очень прост. Вы можете узнать какая служба
прослушивается на каждом интерфейсе используя команду netstat. Простой
пример, который показывает имя программы, идентификатор процесса (PID),
адреса для прослушивания TCP и UDP трафика:
sudo netstat -plunt
Вы уведите примерно следующий результат:
27
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address
Foreign Address
State
PID/Program name
tcp
0
0 0.0.0.0:22
0.0.0.0:*
LISTEN
887/sshd
tcp
0
0 0.0.0.0:80
0.0.0.0:*
LISTEN
919/nginx
tcp6
0
0 :::22
:::*
LISTEN
887/sshd
tcp6
0
0 :::80
:::*
LISTEN
919/nginx
Обратите внимание на столбцы Proto, Local Address и PID/Program name. Если
там значится 0.0.0.0, тогда служба принимает соединения на всех
интерфейсах.
Аудит файлов и система обнаружения вторжений
Аудит файлов - процесс сравнения состояния текущей системы с записями
файлов и характеристиками вашей системы, когда она находится в исправном
состоянии. Метод применяется для обнаружения изменений, при которых
нужна авторизация.
Рисунок 5. Аудит файлов
28
Система обнаружения вторжений (IDS) — часть программного
обеспечения,
которая
контролирует
систему
или
сеть
на
несанкционированные действия. Многие хостинговые IDS используют аудит
файлов как метод проверки на изменения в системе.
Как аудит файлов повышает безопасность?
Подобно аудиту обслуживания серверов из примера выше, это очень
полезный метод повышения защиты. Периодически проводить аудит файлов
может сетевой администратор или это можно делать автоматически с
помощью IDS.
Аудит файлов — один из немногих способов увериться в том, что ваша
файловую систему не изменена кем-либо из пользователей или процессом. По
многим причинам, взломщики часто хотят остаться незамеченными, чтобы
использовать сервер в течение долгого времени. Они могут заменить файлы
во взломанной версии. Ведение файлового аудита подскажет вам, какие файлы
были изменены, это позволит быть уверенным в целостности вашей серверной
среды.
Насколько сложно реализовать аудит файлов?
Внедрение IDS или проверка файлов может оказаться сложным
процессом. Начальная настройка включает описание всех нестандартных
изменений, которые вы сделали на сервере и всех путей, которые нужно
исключить.
Проведение аудита делает повседневное управление серверами более
трудоемким. Это усложняет процедуры обновления, так как вам нужно будет
повторно проверять систему до запуска обновлений и после их установки,
чтобы поймать изменения в версии программного обеспечения. Кроме этого,
вам придется загружать отчеты в хорошо защищенное место, чтобы
документы аудита не смог изменить злоумышленник.
С одной стороны аудит - это нагрузка на администрирование, с другой это надежный способ защитить ваши данные от изменений.
29
Изолированная среда выполнения
Способ запуска компонентов системы в их собственном выделенном
пространстве.
Рисунок 6. Использование изолированной среды
С помощью песочницы можно отделить ваши дискретные компоненты
приложений на отдельные серверы. Уровень изоляции в значительной степени
зависит от системных требований приложений и их места в вашей
инфраструктуре.
Как изолированная среда выполнения повышает безопасность?
Разделяя ваши процессы в отдельные среды выполнения, вы повышаете
способность быстро изолировать любые возможные угрозы. Подобно отсекам
в кораблях, которые сдерживают бреши в корпусе и не дают судну утонуть,
разделенные компоненты серверной инфраструктуры помогут отрезать
взломщику доступ к другим частям системы.
Насколько сложно реализовать изолированную среду?
В зависимости от вида оболочки, которую вы выберите, изоляция может
оказаться простой процедурой. Упаковывая ваши компоненты в контейнеры,
вы сможете быстро достичь хороших показателей изоляции.
30
Настройка среды chroot для каждой части дает определенный уровень
изоляции, но не полный. Лучший вариант — перемещение компонентов на
выделенные машины, это значительно проще, но более затратно.
31
ГЛАВА 2. ПРАКТИЧЕСКАЯ ЧАСТЬ
Для получения удаленного доступа к информации можно использовать
три варианта:
1.
Использование Сервера;
2.
Разработка коммерческого сайта;
3.
Разработка Приложения для сотрудников.
Обеспечение безопасности на сервере. Для работы была использована
программа VirtualBox, она помогает создать виртуальную операционную
систему для последующей работы с ней.
Рисунок 7. Главная страница VirtualBox
Для обеспечения безопасности сервера необходимо создать пароль. Это
можно сделать после установки операционной системы. После этого
включается режим сервера для включения возможности удаленного доступа,
чтобы сотрудники могли после подключения получить интерфейс, с которым
могут работать.
Это позволит обеспечить безопасность от вредоносного программного
обеспечения.
32
Рисунок 8. Включение режима удаленного управления
Далее переходим к настройкам брандмаурера для ограничения сети по
менее защищенным портам, а именно такие порты как:

3389 – Стандартный порт RDP;

990 – FTPS;

5000-5050 – порты для работы FTP в пассивном режиме;

1433-1434 – стандартные порты SQL;

53 – DNS.
Рисунок 9. Брандмауэр Windows
Далее, для примера, была использована команда ipconfig в командной
строке. Эта виртуальная машина будет подключаться в последующем по ip
адресу нашего сервера.
33
Рисунок 10. Проверка ip-адреса
Далее переходим к настройкам сети в программе VitualBox и включил
виртуальную машину в качестве сервера.
Рисунок 11. Включение режима сервера
34
Рисунок 12. включение сетевого адаптера
Рисунок 13. Попытка подключения по старому ip-адресу
После изменения настроек наша виртуальная машина работает как
сервер. Для подключения можно воспользоваться программой Remote Desktop
35
Connection. С её помощью можно подключаться и работать на рабочем столе
нашего сервера.
Рисунок 14. Подключение к серверу Windows
Рисунок 15. Аутентификация на сервере
36
Рисунок 16. Проверка ip-адреса на после подключения к серверу
Использование личного кабинета
Многие современные сайты имеют функцию входа в личный кабинет.
Это предполагает, что пользователь будет подстраивать сайт так как ему
угодно, например, получение уведомлений и рассылок.
Так же с помощью сайтов можно получать информацию или же
отправлять сообщения с документами.
Создается страница, DB.php, в котором будет храниться список
пользователей.
Рисунок 17. DB.php с данными пользователей
Для использования базы данных необходимо её создать. Если сайт
тестовый, то можно создать её в файле формата .php, но для более
продвинутых сайтов необходимо создавать базу данных в MySQL.
37
Рисунок 18. функция аутентификации пользователя
На рисунке представлена функция проверки логина и пароля. В
результате, после ввода, логина и пароля начинается проверка поиск
пользователя в базе данных, если пользователь будет найдет к нам вернется
значение True, иначе - False.
Рисунок 19. Созданная страница
38
Рисунок 20. Главная страница
Авторизация создается по следующему алгоритму
Рисунок 21Страница авторизации
Сначала создается страница, в которой вводится логин и пароль
Рисунок 22. Алгоритм проверки пользователя
39
Далее создается алгоритм проверки, существует ли данный пользователь в
базе данных.
И если пользователь введет неверные значения, то страница выдаст
следующий результат
Рисунок 23. Ошибка авторизации
Другой результат будет, если пользователь введет правильные данные, в
нашем случае – это переход на другую страницу
Рисунок 24. Результат правильно введенных данных
Теперь после нажатия на ссылку «Авторизация» мы перейдем на новую
страницу, где уже надо вводить логин и пароль для входа
40
ЗАКЛЮЧЕНИЕ
В результате выполнения ВКР была разработана система удаленного
доступа к серверу. Данная тема была и остается актуальной, т.к. технологии
не стоят на месте и разрабатываются новые технологии удаленного доступа, в
связи с чем требуется разрабатывать также новые методы защиты серверов от
внешних угроз.
В ходе исследования были описаны общие понятия удаленного доступа,
такие как, что такое сервер и как происходит его работа, так же были описаны
его уязвимости и какие на данный момент известны способы уменьшения
риска возникновения угрозы безопасности информации.
Для реализации практической части дипломной работы был описан
процесс реализации удаленного доступа к ресурсам, было описано как
получить доступ к рабочему столу через программу Remote Desktop и создан
алгоритм авторизации на сайте с помощью имеющейся базы данных.
41
СПИСОК ЛИТЕРАТУРЫ
1.
ГОСТ 2.302-68 ЕСКД «Межгосударственный стандарт единая
система конструкторской документации масштабы»;
2.
ГОСТ Р 51275-2006. Защита информации. Объект
информатизации. Факторы, воздействующие на информацию. Общие
положения.
3.
ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология.
Методы и средства обеспечения безопасности. Системы менеджмента
информационной безопасности. Требования».
4.
Нормативно-методические рекомендации ФСТЭК России по
защите информации в информационных системах.
5.
Федеральный закон от 27.07.2006 N 149-ФЗ(ред. от 18.12.2018)
"Об информации, информационных технологиях и о защите информации"
6.
https://dic.academic.ru/dic.nsf/fin_enc/30681 (Академик -
удаленный доступ);
7.
https://kzncomputer.ru/network/86-chto-takoe-udalenniy-dostup (Что
такое удаленный доступ к компьютеру);
8.
https://сисадмин-в-офис.рф/.../udalennyj-dostup-kak-rabotaet-
udalennyj-dostup.html (Удаленный доступ. Как работает удаленный доступ);
9.
https://www.kp.ru/guide/udalennyi-dostup-k-komp-juteru.html
(Комсомольская правда - Удаленный доступ к компьютеру и как его
организовать);
10.
https://www.osp.ru/winitpro/2007/08/4646775/ - Защищенный
доступ к сети в Windows Server 2008;
11.
https://habr.com/ru/post/281937/ - Стандарт управления правами
доступа к корпоративным файловым информационным ресурсам;
12.
https://habr.com/ru/company/squadra-group/blog/314344/ - меры
защиты сервера
13.
https://webshake.ru/php-training-course/23 - как сделать
авторизацию
42
14.
https://winintro.ru/rras.ru/html/59918c11-93e0-4ded-afc0-
ced5e8166c05.htm Общие сведения о RRAS
15.
https://winintro.ru/ts_admin.ru/html/2584b4b6-9185-4914-9f3f-
9e60a72a3bda.htm Общие сведения о службах удаленных рабочих столов
16.
https://www.osp.ru/cio/2003/09/172866/ Удаленный доступ к
информационным ресурсам. Аутентификация
17.
https://www.securitylab.ru/blog/personal/remote_administration_dang
ers/10659.php Программы удаленного администрирования – скрытая угроза
безопасности
18. https://www.virtualbox.org/wiki/Documentation Инструкция по
использованию VirtualBox
19. http://integrator.adior.ru/index.php/virtualbox-setup/291-udalennyj-rabochijstol-virtualnoj-mashiny-oracle-vm-virtualbox Удаленный рабочий стол
виртуальной машины Oracle VM VirtualBox
20. https://ru.wikipedia.org/wiki/Программы_удаленного_администрировани
я Программы удаленного администрирования
43
44
Download