id: Гость   вход   регистрация
текущее время 18:22 02/08/2021
создать
просмотр
редакции
ссылки

Концепция эшелонированной обороны


Успешная организация эшелонированной (=многоуровневой) обороны подразумевает проведение анализа угроз, в ходе которого определяются:

  • ресурсы и значение этих ресурсов
  • опасности, которым подвергаются ресурсы, и вероятность каждой угрозы
  • векторы угрозы, которые могут быть использованы для атаки

Далее для каждого вектора угрозы предусматривается несколько уровней (способов) защиты.

Ресурсы и их значение


  • Файловая система
    • ?сполняемые файлы и библиотеки
    • Конфигурационные файлы
    • Аутентифицирующая информация
    • Файлы логов
    • Личные файлы пользователей
    • Файлы устройств
    • Файлы ядра и рамдиска
    • Другая чувствительная информация
  • Сеть
    • Трафик
    • Канал
  • Другое

Опасности, которым могут подвергнуться ресурсы


  • Данные, критичные для правильной работы системы:
    • ?сполняемые файлы и библиотеки, файлы ядра и рамдиска, конфигурационные файлы и загрузочные скрипты: ?зменение, подмена, уничтожение

  • Аутентифицирующая информация: Чтение. Может в дальнейшем использоваться злоумышленником для подделки идентности

  • Конфиденциальная информация:
    • Файлы логов: Чтение, изменение, уничтожение
    • Личные файлы пользователей: Чтение, изменение, уничтожение
    • Другое:

Векторы угрозы


  • Проникновение извне:
    • Эксплуатация удаленной уязвимости в демоне или ядре
    • Эксплуатация локальной уязвимости в демоне или ядре
    • Взлом системы методом грубой силы (bruteforce)
    • ?нфицирование вирусами, червями, троянскими конями
  • Внутренние угрозы:
    • Получение пользователем данных, для него не предназначенных, в случае неверной установки прав доступа
    • Действия инсайдера
    • Злоупотребление полномочиями администратора системы
    • Ошибка администратора системы

Эшелоны защиты


Соответственно, средства защиты против удаленного атакующего можно разместить на трех этапах:

  • Злоумышленник еще не проник в систему:
    • Защита сетевых демонов
    • Профилактическая-превентивная защита против вирусов и троянских коней
  • Злоумышленник проник в систему:
    • Защита информации от нежелательных действий пользователей
    • Защита информации от выполнения нежелательного кода
  • Третий и последний эшелон. Обнаружение вторжения:
    • Контроль целостности информации

Третий пункт выполняется с помощью средств типа Tripwire, AIDE и др.


Первые два пункта выполняются стандартными средствами Linux или же посредством систем принудительного контроля доступа.

Средства принудительного контроля доступа


Для ОС GNU/Linux в наличии имеются следующие системы:


RSBAC или SELinux


  • RSBAC уникален. Уникален тем, что это фреймворк, который предоставляет возможность подключения модулей, реализующих любые модели контроля доступа, в любой комбинации. Все модули работают независимо друг от друга, а решение о разрешении или запрете доступа принимается на основании решений всех работающих в данный момент модулей. SELinux, напротив, система монолитная. Модульными могут быть только политики.
  • Как следствие предыдущего пункта, RSBAC намного более прост в освоении и настройке, не уступая при этом SELinux в возможностях. Настройка же SELinux занятие не для слабонервных по причине исключительной сложности. А сложность, как мы знаем, враг безопасности.
  • SELinux для работы нужна файловая система, поддерживающая т.н. "расширенные атрибуты". RSBAC независим от файловой системы.
  • RSBAC предоставляет возможность наследования различных атрибутов файлами и процессами. В SELinux все атрибуты должны указываться явно.

С другой стороны:

  • RSBAC не включен в основную ветку ядра, и, как следствие, менее активно разрабатывается и отлаживается.
  • RSBAC представляет приоритет безопасности над скоростью

Стандартные модули RSBAC


Название модуля Кодовое имя Краткое описание
Authenticated User AUTH Аутентификация пользователей
User Management UM Управление пользователями в пространстве ядра
Role Compatibility RC Ролевая модель контроля доступа
Access Control Lists ACL Подробнейшие списки контроля доступа
Mandatory Access Control MAC Многоуровневый контроль доступа
Pageexec PAX Предотвращение выполнения нежелательного кода
Dazuko DAZ Сканирование на вирусы при доступе к файлам
Linux Capability CAP Контроль Linux Capabilities
Jail JAIL ?нкапсуляция отдельных процессов
Linux Resources RES Контроль системных ресурсов
File Flags FF Установка спецфлагов контроля доступа на файлы и каталоги
Privacy Model PM Защита персональной информации

Настройка RSBAC


  • Предварительная подготовка и загрузка: TODO
  • TODO

Ссылки


  • TODO