· Добавление правил обработки пакетов межсетевым экраном при помощи командной строки а также при помощи конфигурационных файлов
· Редактирование уже имеющихся правил обработки пакетов
· Блокировка сетевого обмена на определенных портах
· Блокировка сетевого обмена с определенными IP-адресами и сетями
· Разрешение сетевого обмена только с определенными IP-адресами и сетями
Задача по настройке обновления ОС – важное действие, позволяющее устранять уязвимости в программном обеспечении. Эта задача выполняется при помощи встроенного средства freebsd-update. Также в симуляторе рассматривается возможность автоматического обновления при помощи планировщика задач cron. Обновление ОС производится через интернет с серверов группы разработчиков FreeBSD. Администратором при настройке обновления выполняются следующие операции:
· Проверка наличия обновлений на серверах обновлений вручную
· Установка обновлений вручную при их наличии
· Конфигурирование планировщика cron для автоматической проверки на наличие обновлений
· Редактирование расписания проверки обновлений
Для того чтобы минимизировать возможность несанкционированного доступа, необходимо тщательно следить за сервисами, запускающимися вместе с операционной системой, а также уделять внимание правам, которыми обладают данные службы. В данном примере рассматривается запуск требуемых служб с определенным набором прав доступа, для исключения возможности несанкционированного доступа при возможной уязвимости службы. Администратором при настройке сервисов выполняются следующие операции:
· Редактирование конфигурационных файлов для добавления служб, автоматически запускаемых при старте системы
· Редактирование конфигурационных системных файлов для запуска служб с определенными параметрами
· Использование планировщика cron для автоматического запуска служб в различных случаях
· Конфигурация служб для запуска их от имени ограниченных учетных записей
Понятие сетевой безопасности тесно связано с маршрутизацией в сети. На данном примере в симуляторе рассматривается возможность работы системы как маршрутизатора между различными сетями, настройка сетевых интерфейсов при помощи ifconfig - присвоение ip-адреса, маски подсети, шлюза, DNS-сервера. Данные операции являются базовыми для администраторов, и поэтому важны для рассмотрения. Администратор для обеспечения работы маршрутизации выполняет следующие операции:
· Включение и выключение режима работы системы как маршрутизатора при помощи командной строки
· Включение и выключение режима работы системы как маршрутизатора при помощи редактирования конфигурационных файлов
· Инициализация сетевых интерфейсов- присвоение ip-адреса, маски подсети, шлюза, DNS-сервера.
· Настройка протоколов маршрутизации припомощи конфигурационных файлов
Однако кроме угроз, исходящих из-за пределов информационной системы следует также отметить возможность внутренних угроз – несанкционированный доступ или изменение данных легитимными пользователями информационной системы. Для минимизации подобных угроз также определен круг задач, решаемых администратором.
Одной из типовых задач по устранению внутренних угроз является настройка прав доступа к файловой системе пользователям и группам пользователей. Благодаря этому уменьшается возможность удаления или изменения данных пользователем, не имеющего на то права. Распределение прав - одно из ключевых моментов по устранению внутренних угроз. Для настройки прав доступа к файловой системе администратором выполняются следующие операции:
· Вывод и анализ прав доступа, установленных на файлы и директории
· Установка прав доступа на файлы и директории
· Изменение прав доступа на файлы и директории
Т.к. ФНС РФ часто имеет дело с информацией, являющейся конфиденциальной или секретной, то администратору приходится сталкиваться с ситуацией, когда данные требуют шифрования. В данном примере на симуляторе рассмотрена настройка шифрования и дешифрования данных при помощи симметричного алгоритма блочного шифрования AES с длиной ключа 256 бит, что обеспечивает нужную криптостойкость. При работе с шифрованием данных администратор выполняет следующие операции:
· Настройка шифрования данных при помощи open ssl из командной строки
· Настройка дешифрования данных при помощи open ssl из командной строки
Т.к. риск внутренних угроз исходит от легитимных пользователей, то одной из наиболее часто встречающихся задач является создание новых профилей пользователей с требуемыми параметрами. На симуляторе полностью смоделирован процесс создания профиля пользователя. Администратор при создании пользователей выполняет следующие операции:
· Создание нового профиля пользователя
· Создание нового профиля пользователя с определенными параметрами - группа, рабочая директория и т.д.
В процессе работы иногда перед администратором поднимается задача изменения параметров учетной записи пользователя, переноса профиля в другую группу, изменение пароля и т.д. Подобные задачи также были смоделированы на симуляторе. Администратор при изменении параметров учетных записей выполняет следующие операции:
· Перенос пользователя в другую группу
· Изменение пароля
· Изменение пути домашнего каталога пользователя
· Отключение и включение учетной записи
· Смена личных данных пользователя
Одной из важных задач для администратора является проверка данных на целостность. Для подобных случаев был рассмотрен пример проверки данных на изменение при помощи алгоритма md5. MD5 является 128-битным алгоритмом хэширования. Он используется для проверки подлинности данных путём сравнения дайджеста. Эту операцию называют «проверка хеша» Администратор при проверке данных на целостность выполняет следующие операции:
· Создание MD5 дайджеста требуемого файла
· Сравнение полученных дайджестов
Сталкиваясь с конфиденциальными и секретными данными, администратору приходится выполнять задачи по обеспечению их защиты от изменения и чтения. Важным шагом по обеспечению безопасности является безвозвратное удаление данных такого типа. На данном примере при помощи симулятора рассматривается удаление при помощи многократной перезаписи содержимого файла: сначала последовательностью 0xFF, затем 0x00 и снова 0xFF. Лишь после трехкратной перезаписи файл удаляется. Подобная практика исключает возможность восстановления исходного содержания файла, что крайне важно для секретных и конфиденциальных данных, обрабатываемых ФНС. Для удаления конфиденциальных данных администратор выполняет следующие операции:
· Выполнениие удаления данных из командной строки с импользованием дополнительных параметров.
Для анализа событий безопасности, происходящих в системе, администратор использует службы аудита. Благодаря ним он может идентифицировать источник и природу происхождения проблем.
Задача настройки внутреннего контроля событий безопасности сводится к включению службы аудита, а также определение типов событий, которые следует заносить в журнал, учетных записей пользователей, для которых включены отдельные параметры контроля событий безопасности. Благодаря этим действиям администратор может настроить систему в соответствии с требованиями. При этом администратор выполняет следующие типовые операции:
· Включение службы аудита при помощи редактирования системных конфигурационных файлов
· Настройка параметров службы аудита путем редактирования конфигурационных файлов
· Отключение контроля событий безопасности
Кроме журналов контроля событий безопасности также администратору следует обращать внимание на системные лог-файлы - в них заносится информация, относящаяся к работе системы и ПО. Благодаря этой информации есть возможность выявить аномальное поведение системы. Для анализа системных логов администратор выполняет следующие операции:
· Вывод содержания системных лог-файлов на экран
· Вывод содержания системных лог-файлов обновляющихся в реальном времени
· Вывод содержания системных лог-файлов в по заданному критерию
Т.к. журналы контроля событий безопасности могут огромного объема, часто администратору приходится использовать только ту информацию, которая требуется. Для этого существуют средства, позволяющие извлекать из журналов контроля событий безопасности информацию в соответствии с заданными параметрами - например, по конкретному имени пользователя, времени и т.д. Для этих целей служат программы auditreduce и praudit. Для анализа журналов контроля событий безопасности администратор выполняет следующие операции:
· Вывод содержимого журналов контроля событий безопасности
· Вывод содержимого, отвечающего определенным параметрам
· Вывод содержимого, отвечающего заданным временным рамкам
Так как задача обеспечения сетевой безопасности иногда требует анализа процессов, происходящих в сети, то администратору сетевой безопасности приходится выполнять работы по захвату и анализу сетевого трафика. Подобная операция может эффективно выполнятся при помощи программы tcpdump. Среди захваченных пакетов можно отследить пакеты с нужными параметрами - например, адресом, портом или протоколом, что может дать полезную информацию администратору о процессах, происходящих в сети. Для захвата и анализа трафика администратор выполняет следующие операции: