Концепция эшелонированной обороны

Успешная организация эшелонированной (=многоуровневой) обороны подразумевает проведение анализа угроз, в ходе которого определяются:

• ресурсы и значение этих ресурсов
• опасности, которым подвергаются ресурсы, и вероятность каждой угрозы
• векторы угрозы, которые могут быть использованы для атаки

Далее для каждого вектора угрозы предусматривается несколько уровней (способов) защиты.

Ресурсы и их значение

• Файловая система
  • ?сполняемые файлы и библиотеки
  • Конфигурационные файлы
  • Аутентифицирующая информация
  • Файлы логов
  • Личные файлы пользователей
  • Файлы устройств
  • Файлы ядра и рамдиска
  • Другая чувствительная информация
• Сеть
  • Трафик
  • Канал
• Другое

Опасности, которым могут подвергнуться ресурсы

• Данные, критичные для правильной работы системы:
  • ?сполняемые файлы и библиотеки, файлы ядра и рамдиска, конфигурационные файлы и загрузочные скрипты: ?зменение, подмена, уничтожение

• Аутентифицирующая информация: Чтение. Может в дальнейшем использоваться злоумышленником для подделки идентности

• Конфиденциальная информация:
  • Файлы логов: Чтение, изменение, уничтожение
  • Личные файлы пользователей: Чтение, изменение, уничтожение
  • Другое:

Векторы угрозы

• Проникновение извне:
  • Эксплуатация удаленной уязвимости в демоне или ядре
  • Эксплуатация локальной уязвимости в демоне или ядре
  • Взлом системы методом грубой силы (bruteforce)
  • ?нфицирование вирусами, червями, троянскими конями
• Внутренние угрозы:
  • Получение пользователем данных, для него не предназначенных, в случае неверной установки прав доступа
  • Действия инсайдера
  • Злоупотребление полномочиями администратора системы
  • Ошибка администратора системы

Эшелоны защиты

Соответственно, средства защиты против удаленного атакующего можно разместить на трех этапах:

• Злоумышленник еще не проник в систему:
  • Защита сетевых демонов
  • Профилактическая-превентивная защита против вирусов и троянских коней
• Злоумышленник проник в систему:
  • Защита информации от нежелательных действий пользователей
  • Защита информации от выполнения нежелательного кода
• Третий и последний эшелон. Обнаружение вторжения:
  • Контроль целостности информации

Третий пункт выполняется с помощью средств типа Tripwire, AIDE и др.

Первые два пункта выполняются стандартными средствами Linux или же посредством систем принудительного контроля доступа.

Средства принудительного контроля доступа

Для ОС GNU/Linux в наличии имеются следующие системы:

• RSBAC (Rule Set Based Access Control)
• SELinux (Security-Enhanced Linux) от NSA
• GrSecurity
• AppArmor

RSBAC или SELinux

• RSBAC уникален. Уникален тем, что это фреймворк, который предоставляет возможность подключения модулей, реализующих любые модели контроля доступа, в любой комбинации. Все модули работают независимо друг от друга, а решение о разрешении или запрете доступа принимается на основании решений всех работающих в данный момент модулей. SELinux, напротив, система монолитная. Модульными могут быть только политики.
• Как следствие предыдущего пункта, RSBAC намного более прост в освоении и настройке, не уступая при этом SELinux в возможностях. Настройка же SELinux занятие не для слабонервных по причине исключительной сложности. А сложность, как мы знаем, враг безопасности.
• SELinux для работы нужна файловая система, поддерживающая т.н. "расширенные атрибуты". RSBAC независим от файловой системы.
• RSBAC предоставляет возможность наследования различных атрибутов файлами и процессами. В SELinux все атрибуты должны указываться явно.

С другой стороны:

• RSBAC не включен в основную ветку ядра, и, как следствие, менее активно разрабатывается и отлаживается.
• RSBAC представляет приоритет безопасности над скоростью

Стандартные модули RSBAC

Настройка RSBAC

• Предварительная подготовка и загрузка: TODO
• TODO

Ссылки

• TODO