На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Диспетчер доступа для ОС семейства Windows Состав диспетчера доступа

С учетом введенной выше классификации субъектов и объектов досту­па рассмотрим состав диспетчера доступа для ОС семейства Windows (с учетом описанных ранее механизмов защиты и описания их примене­ния для решения задач управления доступом) и построим его модель, определяющую требования как к диспетчеру доступа в целом, так и к его компонентам.
Состав диспетчера доступа, обеспечивающего полноту разграничительной политики доступа к ресурсам, представлен 1.
Анализ полноты разграничительной политики доступа, реализуемой разработанным диспетчером доступа для ОС Windows
С учетом всего сказанного ранее проанализируем полноту разграничи­тельной политики доступа, реализуемую диспетчером доступа для ОС семейства Windows, состав которого определен выше (1). При этом для ОС семейства Windows введем новое обозначение Н для управ­ляющего реестра ОС.
Модель доступа Wpn для n-го пользователя задается следующим выра­жением:
Wpn = RnFnn (Рпп + Qnn) • RnnSnn (Рпп + Qnn) х х RnFon (Рпп + Qnn) • RnUn (Рпп + Qnn) • RnNu (Рпп + Qnn) x x RnNufn (Pnn + Qnn) + RnKjvin (Pnn + Qnnj • RnKcm (Pnn + Qnn) x x RFc (Pnn + Qnn) • RSc (Pnn + Qnn) RE • RH (Pnn + Qnn).
Итак, оценим полноту модели диспетчера доступа. С учетом сформули­рованных ранее требований к реализации механизмов управления досту­пом, в предположении, что эти требования выполняются, для пользова­телей nl и п2 имеем:
Wpnl n Wpn2 = RFc (Рпп + Qnn)  •   RSc (Рпп + Qnn) x x RE •  RH (Pnn + Qnn).
Модель       имеет в рассматриваемом случае следующий вид:
= RFc (Рпс + Que) • RSc (Рпс + Qnc) • RE • RH (Рпс + Qnc),
где индекс «с» означает пользователя «СИСТЕМА».
Таким образом, общим в разграничениях пользователей будет запрет доступа пользователей с использованием любых прикладных процессов к системному диску (системным данным и запуску системных процес­сов), доступа к портам, к которым могут быть подключены несанкцио­нированные устройства, доступа к управляющему реестру ОС. Все это подтверждает корректность рассматриваемой модели диспетчера доступа
для ОС семейства Windows.
Построение диспетчера доступа к сетевым ресурсам
Задачи диспетчера доступа к сетевым ресурсам
В предыдущих главах отмечалось, что при использовании защищаемого объекта в составе ЛВС встает задача изоляции информационных пото­ков, циркулирующих в ЛВС.
В данном разделе мы рассмотрим построение диспетчера доступа к сете­вым устройствам (компьютерам) в составе ЛВС по протоколу TCP/IP. Ме­ханизмы управления доступом к разделяемым сетевым ресурсам — файло­вым объектам (общим папкам) — были рассмотрены ранее (п. 13.7).
Согласно формализованным требованиям система защиты должна обес­печивать защищенный механизм ввода и вывода информации для объекта
доступа. В данном случае таким объектом является канал связи.
В общем случае разграничение прав доступа должно осуществляться не толь­ко применительно к каналу связи, но и к сетевым ресурсам. Под сетевым ресурсом здесь понимаем виртуальный канал связи, образуемый собственно физическим каналом между компьютерами и реализуемой в рамках их взаи­модействия сетевой службой (ftp, telnet и т.д.). При этом физический канал связи характеризуется IP-адресом хоста, с которым осуществляется взаимо­действие, сетевая служба — номером TCP-порта.
Разграничение доступа к узлам ЛВС предназначено для изоляции инфор­мационных потоков ЛВС — виртуальной сегментации сетевого простран­ства ЛВС. При этом каждому пользователю (на рабочей станции) разре­шается взаимодействие с определенным набором рабочих станций и
серверов с использованием фиксированного набора сетевых служб.
Разграничение доступа к внешним сетевым ресурсам предназначено для защиты доступа к сети Internet и Intranet. При этом зарегистрированным в системе пользователям должен разрешаться или запрещаться доступ к внешним по отношению к защищаемой системе ресурсам — рабочим стан­циям и серверам с использованием соответствующей сетевой службы.
Диспетчером доступа к сетевым ресурсам должна решаться следующая совокупность задач:
1. Должно обеспечиваться разграничение доступа к узлам и к хостам
сети Internet и Intranet (на стеке протоколов TCP/IP) на уровне IP-
адресов и TCP-портов, то есть на уровне сетевых служб и процессов, обеспечивающих доступ к сетевым ресурсам. Таким образом, должно обеспечиваться разграничение доступа по следующим параметрам:
• пользователям;
• процессам;
• времени доступа;
• по службам доступа (портам);
• политике безопасности (запрещенные/разрешенные хосты и службы).
2. Должна обеспечиваться виртуальная сегментация сетевого простран­ства внутренней защищаемой сети (ЛВС), посредством разграниче­ния прав доступа к внутренним серверам и рабочим станциям.
Виртуальная сегментация сетевого пространства осуществляется на уровне пользователей, что принципиально отличает данный подход логического деления сети на подсети от способов, предполагающих использование дополнительных технических средств физической сегментации на под­сети — маршрутизаторов, межсетевых экранов и т.д.
Другое принципиальное отличие состоит в реализации логического (вирту­ального) деления внутренней сети на подсети, инвариантного к структуре сети (не требуется изменения связного ресурса — включения дополнитель­ных осуществляющих физическое деление сети на подсети устройств -
коммутаторов, межсетевых экранов и т.д.). Для подобного деления нет не­обходимости в доработке структуры сети. Задача решается средствами дис­петчера доступа, устанавливаемого на рабочие станции и серверы ЛВС.
Схема задания разграничений
В общем случае схема задания разграничений имеет вид: пользователь — разрешенные компьютеры (IP-адреса) — разрешенные сетевые службы (TCP-порты). То есть для каждого пользователя задаются разрешенные компь­ютеры, а на разрешенных компьютерах — разрешенные сетевые службы. При этом целесообразно отдельно задавать параметры исходящих и вхо­дящих соединений, так как они могут отличаться. Эти функции выпол­няют так называемые пакетные фильтры, входящие в состав некоторых ОС семейства UNIX.
В указанную схему в качестве субъектов доступа имеет смысл дополни­тельно ввести «ПРОЦЕССЫ» и «РАСПИСАНИЕ». Расписанием задают­ся интервалы времени, в течение которых пользователю разрешается доступ к сети. Для различных временных интервалов (расписаний) для каждого пользователя могут быть разрешены свои объекты доступа (IP-адреса и TCP-порты).
В качестве процессов могут приниматься сетевые приложения, с исполь­зованием которых пользователь может взаимодействовать с разрешенными компьютерами в рамках разрешенных сетевых служб - TCP-портов, со­ответственно, протоколов. Таким образом, введение в расмотрение субъек­та «ПРОЦЕСС» позволяет использовать оригинальные приложения для доступа к сети, в частности, приложения с усеченными функциями (на­борами команд). Данная возможность позволяет частично либо полнос­тью отказаться от фильтрации пакетов на прикланом уровне (в части усе­чения функций взаимодействия). При этом пользователь сможет взаимодействовать с сетью только в рамках тех функций, которыми бу­дет обладать приложение.
Итак, возвращаясь к схеме задания разграничений, можно сделать вы­вод, что она сводится к следующему виду: пользователь — процесс (сете­вое приложение) -- расписание — IP-адрес — TCP-порт (сетевая служба или протокол).

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика