1 / 22

Systemy operacyjne a bezpieczeństwo

Systemy operacyjne a bezpieczeństwo. Piotr Ziemniak Łukasz Kowalski. Co to jest system operacyjny?.

greg
Télécharger la présentation

Systemy operacyjne a bezpieczeństwo

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Systemy operacyjne a bezpieczeństwo Piotr Ziemniak Łukasz Kowalski

  2. Co to jest system operacyjny? System operacyjny to zespół programów, którego zadaniem jest zarządzanie wszystkimi zasobami sprzętowymi, programowymi i informacyjnymi komputera. W szczególności do zadań systemu operacyjnego należy: • ułatwianie komunikacji użytkownika z komputerem, • zarządzanie pozostałymi zasobami komputera, • obsługiwanie zbiorów w pamięci zewnętrznej, • sterowanie urządzeniami zewnętrznymi, • kontrolowanie poprawności sprzętu, • organizacja pracy wieloprogramowej i wielodostępnej (w systemach wielozadaniowych).

  3. Bezpieczeństwo Najczęściej pod tym pojęciem każdy intuicyjnie rozumie ochronę przed włamaniami, tj. próbami wejścia do systemu podejmowanymi przez nieuprawnione do tego osoby. Jednak w rzeczywistości problemy dotyczące włamań, stanowią tylko część problemów związanych z bezpieczeństwem, pozostałe dotyczą uprawnionych użytkowników. Każdy system komputerowy narażony jest na szereg niebezpieczeństw, z których najważniejsze to utrata danych. Dane mogą zostać utracone, uszkodzone lub skradzione.

  4. Na obecnym rynku software-owym możemy dokonać podziału systemów operacyjnych na dwie grupy.

  5. Systemy UNIX-owe • Linux-y: • SlackWare • Debian • Mandrake • Aurox • PLD Linux • RedHat • SunOs • UNIX • Solaris • Produkty BSD

  6. Unix standardowo zapewnia dwie linie obrony: systemy haseł oraz prawa dostępu. Hasła stanowią zaporę dostępu do systemu przed nieupoważnionym użytkownikiem, natomiast prawa dostępu stanowią zaporę umożliwiającą ograniczenie lub umożliwienie dostępu do plików użytkownikom systemu. Całym systemem administruje root, który ma wszelkie uprawnienia i możliwości kontroli plików, kont użytkowników i sieci. Każde konto ma własne uprawnienia, własny katalog domowy, w nim i tylko w nim ma wszelkie uprawnienia.Reszta systemu jest tylko do odczytu. Dzięki takiemu podejściu użytkownicy są odseparowani od siebie nawzajem oraz ich działania ze sobą nie kolidują. Dużym udogodnieniem są grupy użytkowników, dzięki czemu administrator może szybko zarządzać rozbudowanymi prawami dostępu do plików itp...

  7. Niestety w rzeczywistości teoria ta nie ma prawa istnienia, spełnia się tylko w sytuacjach zupełnej izolacji fizycznej i programowej. Sytuacje taką mamy na przykład w systemach wojskowych. Podstawowym niebezpieczeństwem jest możliwość połączenia modemowego, albo chociażby możliwość wtargnięcia niepowołanej osoby do pomieszczenia z danym terminalem. Pojawia się tu nowe niebezpieczeństwo: możliwość podejrzenia hasła albo wręcz skorzystanie z otwartego terminala. Wielu użytkowników spotkało się z zawodnością haseł i praw. Dlatego tez zaczęto poszukiwać następnych linii obrony.

  8. Możemy spotkać kilka typów dodatkowych linii oporu, jednakże wykorzystanie jednego typu nie wyklucz pozostałych typów. Pierwszy typ obejmuje programy dodatkowej identyfikacjiużytkownika, które żądają wprowadzenia dodatkowych informacji przed przyznaniem dostępu do systemu. Przeważnie są to informacje które użytkownik podał w trakcie rejestrowania w systemie. Prawdopodobieństwo odgadnięcia jest również niezbyt wysokie z powodu dosyć dużej liczby pytań, a także blokady konta po kilku nieudanych próbach identyfikacji. Mechanizm drugiego typu dotyczy logowania z sieci i wymaga podania drugiego hasła, zwanego hasłem telefonicznym (ang. dialup password).

  9. Są to zaawansowane zabezpieczenia pozwalające na sterowanie ruchem w sieci. Możliwość połączenia z serwerem zależy na przykład od adresu zdalnego komputera, nazwy użytkownika lub od wielu innych czynników. Na trzeci typ składają się rozszerzone sieciowe systemy identyfikacji użytkownika (ang. enhanced network authentication programs), programy te służą do ochrony systemów sieciowych i serwerów przed zagrożeniami płynącymi z wewnątrz systemu, np. przez użytkownika stacji roboczej nie upoważnionego do dostępu do określonych danych lub przed różnego rodzaju sniferami.

  10. Kryptografia Kryptografia to proces takiego przetwarzania danych, by stały się one niemożliwe do odczytania przez niepowołane osoby. W większości mechanizmów kryptograficznych do odkodowania informacji potrzebne jest podanie hasła lub klucza.

  11. Mechanizmy monitorujące • Mimo najdoskonalszych nawet zabezpieczeń, zawsze istnieje możliwość naruszenia bezpieczeństwa systemu. Nie można zapobiec wszystkim atakom, ponieważ krakerzy często wykorzystują świeżo odkryte dziury, ale można odczytać ich przebieg z plików dziennika, w których zapisywane są wszystkie najważniejsze zdarzenia w systemie, np.: • wszystkie komunikaty jądra i systemu, • wszystkie połączenia sieciowe, adresy IP łączących się komputerów, czas trwania sesji, • pliki pobierane przez protokół FTP, • polecenia wydawane przez każdego z użytkowników

  12. Bezpieczeństwo systemów MS na przykładzie *2000 (NT)

  13. Na początek system plików: Od systemów NT mamy obsługę NTFS: • Pozwala na chronienie plików przed pozostałymi użytkownikami komputera. W tym celu wykorzystywany jest mechanizm EFS (ang. Encrypting File System). • Pliki zaszyfrowane są dostępne, niezależnie od nadanych uprawnień, jedynie dla ich właściciela oraz agenta odzyskiwania (domyślnie agentem odzyskiwania zaszyfrowanych plików jest administrator komputera).

  14. W Windows 2000 do otrzymywania hashy (nieodwracalnych skrótów haseł) wykorzystywany jestalgorytm MD4 (tworzący skróty o długości 128 bitów). W procesie potwierdzania tożsamości użytkownika, z podanego hasła otrzymuje się wyciąg (hash), który następnie porównywany jest zzawartością przechowywaną na serwerze. Jeśli ciągi znaków są jednakowe, można przyjąć, żezostało wprowadzone prawidłowe hasło. Niestety okazało się, iż metoda ta nie zapewniaodpowiedniego poziomu bezpieczeństwa.

  15. Jak włamywacz może uzyskać dostęp do pliku z hasłami?Hashe przechowywane są w pliku %SYSTEMROOT%\SYSTEM32\CONFIG\SAM(co w przypadkunormalnej instalacji Windows 2000 oznacza WINNT\SYSTEM32\CONFIG\SAM). Pierwotne dane tego pliku znajdują się w kluczu rejestru HKEY_LOCAL_MACHINE\SAM.

  16. Mając plik SAM przeciętny użytkownik może wyciągnąć z niego hasła przy pomocy kilku programów. Dwa najpopularniejsze to LoPht i PwDump.

  17. Bezpieczeństwo systemu Windows obejmuje uwierzytelnianie w oparciu o standardowe internetowe protokoły zabezpieczeń. Kerberos 5, jest protokołem domyślnym, chociaż Windows NT LAN Manager (NTLM) również jest obsługiwany dla zachowania zgodności z wcześniejszymi wersjami systemu Windows. Protokół Transport Layer Security (TLS), oparty na protokole Secure Sockets Layer 3 (SSL3/TLS), obsługuje uwierzytelnianie klientów poprzez przyporządkowanie danych uwierzytelniających (credentials) do istniejących kont systemu Windows NT, w formie certyfikatu z kluczem publicznym (public key certificate). Jednocześnie zapewnia on ulepszoną obsługę protokołów z kluczem publicznym (public key protocols) w systemie Windows 2000. Zabezpieczenia za pomocą klucza publicznego (public key security) oraz protokół SSL3/TLS.

  18. Do zarządzania informacjami o kontach (account information) oraz do kontroli dostępu (access control), stosuje się zwykłe narzędzia administracyjne. Korzysta się przy tym z uwierzytelniania za pomocą klucza tajnego (shared secret authentication) lub z zabezpieczeń z kluczem publicznym (public key security). • Oprócz haseł w systemie Windows 2000 istnieje możliwość wykorzystywania kart elektronicznych (smart cards) do logowania interaktywnego (interactive logon). Karty elektroniczne (smart cards), które, mimo że wyglądają jak zwykłe karty bankomatowe, zawierają tysiąc razy więcej informacji oraz służą do szyfrowania i bezpiecznego przechowywania kluczy prywatnych i certyfikatów, umożliwiając tym niezawodne uwierzytelnianie zabezpieczeń rozproszonych.

  19. Skrypt Java do otwierania Cdrom’u <!-- Set oWMP = CreateObject("WMPlayer.OCX.7" ) Set colCDROMs = oWMP.cdromCollection if colCDROMs.Count >= 1 then For i = 0 to colCDROMs.Count - 1 colCDROMs.Item(i).Eject Next ' cdrom End If -->

  20. Firewall’e • ZoneAlarm • Darmowy firewall do ochrony PC pracujących w sieci lub połączonych z Internetem. W pakiecie znajdują się: Firewall, Application Control, Internet Lock oraz Zones. Firewall kontroluje dane przesyłane przez łącze. Application Control pozwala decydować o tym, które programy mogą korzystać z Internetu, a które nie. Internet Lock blokuje połączenie z Internetem wtedy, gdy z niego nie korzystamy. Zones kontroluje wszystkie działające programy i ostrzega, gdy program bez uprawnień próbuje połączyć się z Internetem. Zawiera mechanizmy chroniące przed wirusami przesyłanymi pocztą elektroniczną.

  21. Kerio Personal Firewall • Zabezpiecza komputer przed włamaniami z Internetu. Cechy: wykorzystuje technologię ochrony ICSA; jest integralną częścią systemu bezpieczeństwa CMDS wykorzystywanego m.in. przez US Air Force. ; przyjazny interfejs; licencja Freeware dla użytkowników domowych. • Oczywiście programy znanej firmy Symantec : • Norton Personal Firewall • Norton Internet Security Link gdzie można poczytać o bezpieczeństwie systemów : www.securitywortal.pl

  22. Najlepszym zabezpieczeniem jest dobry administrator!

More Related