 |  | |
| Документирование КоСиКУЛС БЕССТ. Компонента "Обеспечение безопасности" | ||
 |  |
| | |
| Типовые технические решения | ||
| |
Эти материалы являются объектом авторского права и защищены законами РФ и международными
соглашениями о защите авторских прав. Перед использованием материалов вы обязаны принять условия
лицензионного договора на использование этих
материалов, или же вы не имеете права использовать настоящие материалы
Авторская площадка "Наши орбиты" состоит из ряда тематических подразделов, являющихся моими лабораторными дневниками, содержащими записи за разное, иногда продолжительно отличающееся, время. Эти материалы призваны рассказать о прошедшем опыте, они никого ни к чему не призывают и совершенно не обязательно могут быть применимы кем-то ещё. Это только лишь истории о прошлом
Компонента "обеспечение безопасности" реализует ряд технических решений, призваных увеличить надёжность комплексных решений на основе КоСиКУЛС БЕССТ, обеспечить контроль за попытками несанкционированного доступа и "взломов". По большей части решения, которые могли бы быть отнесены к данной компоненте, интегрированы во все другие компоненты системы, где они и функционируют как часть соответствующей компоненты. Однако существует ряд решений, целенаправленно разработанных автором для решения задач обеспечения безопасности и противодействия вторжениям. Security - решения обеспечивают решение следующих задач:
Контроль целостности системных областей Регулярный контроль модификаций системных областей файловых систем позволяет своевременно определить факт несанкционированной модификации, возможных при организации несанкционированных вторжений, способствует определению объёма нанесённого ущерба и разработке методов противодействия В общем случае для проведения контроля необходимо иметь "информационный слепок" с чистой файловой системы, обычно снимаемый в момент первоначальной установки. Такой слепок может содержать разнообразную информацию по содержимому определенных разделов файловой системы, такую, как список файлов и каталогов, размер и время их создания и модификации, дополнительные атрибуты и хэш значения от содержимого файлов и т.д. Сохраняемый отдельно слепок в последующем может сравниваться с результатом новых обследований и позволяет однозначно определить факт модификации объектов файловой системы Данная технология должна сочетать не только технологически оправданный объём обследования и технические решения для проведения обследования, но и спланированную методику периодических обследований, аналитики и возможных вариантов реакции. Для достижения качественного эффекта периодический контроль системных областей необходимо сочетать с другими мероприятиями по обеспечению безопасности, в том числе с анализом различной журнальной информации, развёртыванием систем обнаружения вторжений и т.п. |
||
Развертывание сетевого фильтра Активация и конфигурирование сетевого фильтра (файервола) - задача необходимая и относящаяся исключительно к области обеспечения безопасности. Однако как часть задачи конфигурирования сетевой подсистемы, эта задача отрабатывается отдельной компонентой "конфигурирования сетевого фильтра и сбора статистики ip трафика" Авторское решение реализует инструментарий для гибкого многоопционного конфигурирования сетевого фильтра, а также обеспечивает детальный учёт как разрешённого, так и запрещённого сетевого трафика, и позволяет строить разнообразные отчёты с детализацией в наиболее востребованных разрезах. Также реализован ряд предустановленных отчётов, не требующих глубокого понимания стэка IP и востребованных для текущего контроля над объёмами IP трафика |
||
Аутентификация и разграничение доступа Решения для аутентификации и разграничения прав (авторизации) пользователей интегрированы во все компоненты, где такие решения востребованы. В настоящее время реализована организация у управления несколькими вариантами хранилищ учётных данных - стандартное файловое UNIX хранилище и каталог LDAP. Если первое решение используется повсеместно и является простым и надёжным, то второе предоставляет большую гибкость и больше возможностей. Например, каталог LDAP позволяет хранить учётные записи для всех серверов инфраструктуры в одном месте, организовывать корпоративную адресную книгу (что может быть востребовано при организации корпоративной электронной почты), может содержать различные виды учётных записей. При этом надёжность LDAP хранилища довольно высокая, а само решение не первое десятиление используется в промышленности Собственно задача разграничения прав решается на уровне каждой компоненты с учётом реализуемой компонентой специфики, возможностей используемых базовых сервисов UNIX и предусмотренных разработчиком КоСиКУЛС БЕССТ поддерживаемых вариантов конфигурации |
||
Оптимизация запускаемых сервисов Важным методом обеспечения безопасности является оптимизация конфигурации и списка запускаемых сервисов, реализуемая конфигуратором КоСиКУЛС БЕССТ на основе подготовленных шаблонов конфигурации и небольшого количества вводных параметров конфигурирования, задаваемых администратором В процессе установки операционной системы и сервисов UNIX используется оптимизированный список пакетов, сводящий установку неиспользуемых сервисов к минимуму, а в процессе конфигурирования не только настраивается запуск заданного списка сервисов, но и отключается запуск ненужных для текущего функционирования сервисов. Наличие неиспользуемых в штатном режиме сервисов обуславливается как востребованностью части для режимов обслуживания, так и спецификой зависимостей пакетов для конкретного дистрибутива |
||