Что такое контроль целостности

Контроль целостности компьютерной системы (Контроль целостности)

Выбор средств защиты

Поиск

Подкатегории

Мнение

Описание и назначение

Контроль целостности компьютерной системы — это механизм, необходимый для отслеживания неизменности файлов, документов, реестра, конфигурации оборудования и других сущностей, которые находятся на компьютере или сервере.

Средства контроля целостности могут быть как программными, так и программно-аппаратными.

Под программно-аппаратными средствами защиты подразумеваются модули (платы) доверенной загрузки. Такие средства устанавливаются в корпус компьютера, ноутбука или сервера. В зависимости от модели материнской платы модули доверенной загрузки могут быть различных форм-факторов (PCI, PCI-e, mini PCI). Такие платы способны заблокировать доступ к USB-портам, чтобы избежать загрузку с несанкционированных носителей информации (флешек и дисков), а также запретить загрузку компьютера в случае возникновения ошибок при прохождении процедуры контроля целостности следующих ресурсов:

Программные средства контроля целостности предназначены для отслеживания неизменности содержимого ресурсов компьютера. Как правило, в качестве алгоритмов, применяемых при контроле целостности, используются:

Системы, осуществляющие контроль целостности, позволяют пользователю выбрать оптимальное время для проведения проверок. Наиболее частые значения — во время загрузки или выключения работы компьютера. Такое решение не позволяет сильно загрузить систему вычислениями.

Самым важным свойством данных систем является порядок действий в случае, если тест не пройден. Система может откатить изменения к тем значениям, которые были во время последней проверки, или просто зарегистрировать событие в журнале событий.

Источник

Мониторинг целостности системы: советы по осуществлению

В данный момент существует определенное количество коммерческих и открытых продуктов, способных эффективно «мониторить» (контролировать) целостность систем. При понимании и правильном использовании, эти инструменты могут быть полезны для обнаружения несанкционированных изменений системы, оценки ущерба и предотвращения будущих атак. Однако при установке подобных инструментов часто пренебрегают некоторыми важными деталями.

Цель этой статьи подчеркнуть важные шаги и этапы в осуществлении мониторинга целостности системы. Эта информация может составить разницу между эффективным наблюдением за системой и бесполезным, трудоемким и надоедающим делом.

В этой статье описываются открытые для общественности инструменты по осуществлению мониторинга Osiris и Samhain, однако их возможности не уникальны и присущи другим продуктам.

1. Понимание основных принципов.

Сетевые инструменты мониторинга привлекают особое внимание, потому что они обеспечивают наблюдение за несколькими системами на уровне пересылаемых пакетов. Но способность видеть пакеты, исходящие от атакующего к уязвимой системе, всего лишь предупреждает об опасности и часто слишком поздно. Для того, чтобы узнать как система ответила и была ли атака успешной, вам придется рассматривать объект нападения. Инструменты целостного мониторинга позволят вам детально изучить атаки на систему, на которой они установлены.

Существует много способов установить наблюдение за отдельно взятой системой. Но стоит помнить, что ни одна программа или приложение не может сама по себе гарантировать полный контроль за целостностью всей системы. Лучше всего иметь несколько инструментов обнаружения подозрительного поведения и несанкционированных изменений. Существует множество аналогов из реальной жизни. В качестве примера можно привести обычный банк. Банки не только запирают входные двери. Довольно часто они имеют камеры слежения, детекторы движения, вооруженную охрану и пр. Нападающий может проскочить через одно препятствие, но вряд ли проскочить все. Такой принцип многослойной защиты называется “Defense in Depth” – «глубокая защита».

Важно понимать, что развертывание системы мониторинга, подобной Osiris или Samhain, всего лишь часть усилий, направленных на установление наблюдения на уровне одного компьютера. Эти приложения наиболее эффективны в комбинации с правильной конфигурацией и анализом логов и своевременным обновлением системы.

Цель инструментов мониторинга целостности системы – обнаружить и сообщить изменения в системе. Гораздо интересней, когда изменения не авторизованы. Большое внимание наблюдающих программ уделено файловой системе. Но можно наблюдать и за другими системными составляющими. Например, Samhain способен искать руткиты и контролировать входы и выходы в системе. Osiris может контролировать состояние загруженных модулей ядра и изменения в пользовательских базах данных. Обнаруженные изменения сообщаются в виде лог-файлов, syslog, Windows Event Viewer и могут быть отосланы по почте администратору.

Вот несколько примеров, когда знания об изменениях в системе играют существенную роль: серверы, на которых запущены обычные сервисы (mail, DNS, www), с доступом в Интернет; вычислительные процессы в промышленности и науке; сертификаты и ключи доступа к серверам; брандмауэры; серверы баз данных.

Чтобы оценить роль наблюдений за целостностью системы, представьте себе, что вы нашли новую ссылку на /etc/passwd, созданную в /tmp, новый модуль ядра, загружающийся без вашего ведома, или нового пользователя, созданного таинственным образом. Как бы вы узнали, и узнали бы вообще, как и когда эти изменения произошли? Существуют программы, способные узнать о таких изменениях, но как бы вы узнали когда, и нужно ли, их использовать? А что, если эти программы были модифицированы, дабы скрыть какую-либо информацию? А теперь представьте, что у вас в подчинении сотни компьютеров, и вам нужно их всех вручную обследовать.

Смысл в том, что инструменты мониторинга за целостностью системы могут существенно улучшить вашу политику безопасности. Так как эти инструменты относятся к программному обеспечению, они не совершенны и могут поставить под угрозу безопасность вашей системы. Однако вместе с другими контрмерами и правильным ведением логов, такие инструменты служат очередным препятствием для нападающего и могут подать первую весть о проникновении в систему постороннего. При правильной конфигурации и установке, эти инструменты являются мощным щитом в вашей многослойной броне.

2. Хорошее планирование предотвращает плохое исполнение.

Невозможно выразить всю важность планирования перед установкой подобного оборудования. Каждое приложение имеет свои сильные и слабые стороны, которые надо взвешивать с вашими нуждами и требованиями. Этот раздел содержит несколько практических советов, способных помочь вам в процессе планирования, и таблицу для сравнения наиболее популярных свободно распространяемых инструментов мониторинга целостности системы.

Сколько компьютеров требуют наблюдения?

Если вам требуется вести наблюдение только за одной системой, то Osiris не будет лучшим вариантом, так как он разрабатывался для работы с несколькими системами. В свою очередь Samhain довольно легко установить и настроить для работы с одной системой (хотя Samhain может работать и с несколькими).

Как организована ваша сеть?

Наблюдение за системами, расположенными в нескольких сетях или в DMZ (демилитаризованной зоне), не столь редкое явление. Это идеальная среда для установки нескольких консолей управления, каждая в своем сегменте. Часто это практикуют, чтобы избежать настройки фильтров для всей сети. Защищенные сегменты сети обычно специально изолируются, и процесс установки не должен их затрагивать.

Какие операционные системы и их версии установлены на системах, требующих наблюдения?

Большинство свободно доступных инструментов мониторинга разрабатывались для работы с операционными системами UNIX и Linux в частности. Osiris поддерживает ОС Windows на основе NT (NT,2K,XP) и Mac OS X, Linux, FreeBSD, OpenBSD, IRIX, AIX и Solaris. Samhain не работает c Windows, но поддерживает UNIX-подобные системы, такие как AIX, HP-UX, Unixware и Alpha/Tru64 UNIX.

Очень важно следить за тем, какие системы и версии официально поддерживает автор или проект инструмента, особенно для свободно открытых программ. Если инструмент нормально устанавливается или работает, это не значит, что его безопасно использовать в рабочей обстановке. Эти программы часто настроены для работы со специальными средствами определенной ОС, и некоторые функции могут работать неадекватно. Более того, установка таких инструментов может сказаться на вашей системе хуже, чем если бы их не было.

Кто будет управлять системой наблюдения?

Самый простой сценарий – один единственный администратор. Однако управление сетью обычно распределено между несколькими администраторами. И Osris, и Samhain могут иметь центральное управление. Osiris способен создавать учетные записи для каждого администратора и вести журнал событий для каждого из них. Samhain имеет централизованное ведение логов, названное “yule”. Каждой системе отводится собственный лог-файл.

Какие элементы системы требуют наблюдения?

Это самый комплексный вопрос, так как каждая сеть (или система) имеет свои требования к мониторингу. Самые большие различия, наверное, между серверными и домашними системами. Серверы обычно имеют набор файлов, которые не должны изменяться длительное время. Смысл в том, чтобы эти файлы постоянно проверялись на изменения. Проблемы домашних систем во всевозрастающем количестве вирусов и червей. Несмотря на то, что инструменты мониторинга целостности системы разработаны и для домашних компьютеров, они более применимы для серверов.

Все инструменты позволяют указать, какие файлы и элементы и с какой частотой следует проверять. Следует помнить о том, как могут измениться файлы. Например, лог-файлы постоянно изменяются в содержимом и размере. Можно не заботиться об этих изменениях. Если же изменились их разрешения, владельцы и пути, то такие изменения стоит расследовать. Osiris и Samhain по умолчанию поставляются с установленными для каждой операционной системы методами сканирования. Эти установки следует применять для начала, однако следует настроить их под свою систему.

В данной таблице приведены сравнения наиболее популярных инструментов мониторинга целостности системы.

Источник

Информационная безопасность и защита информации (архив ИПМ бакалавры 2010-2021г, Богомолов)

4 Лекция. Контроль целостности данных. Хеш-функции. Имитовставка. ЭЦП

Контроль целостности данных.

Методы контроля целостности данных:

Полная копия данных.

Создаются полные копии данных и потом сверяются.

Рис. Контроль целостности с помощью полной копии данных

Контрольная сумма.

Рис. Контроль целостности с помощью контрольной суммы

Примеры контрольных сумм: CRC8, CRC16, CRC32

исходный текст: Контроль целостности данных

crc32 (длина 32 бита)

Рис. Основная задача хеш функций

Вычисляют хеш шифрованием данных блочным алгоритмом в режимах CBC, но со стандартным (известным) ключом. Хешем является последний шифрованный блок.

ГОСТ Р 34.11-94

Рис. Вычисление хеш по ГОСТ Р 34.11-94 (сравните с CBC)

h — значение хеш-функции сообщения M

Ключи для f-функции генерятся стандартным образом, что бы все пользователи могли вычислить одинаковые хеш для одних и тех же файлов.

исходный текст: Контроль целостности данных

sha1 (длина 160 бит)

sha224 (длина 224 бит)

sha256 (длина 256 бит)

sha384 (длина 384 бит)

sha512 (длина 512 бит)

ГОСТ Р 34.11-94 (длина 256 бит)

Имитовставка (MAC, message authentication code — код аутентичности сообщения)

Вычисляют имитовставку шифрованием данных блочным алгоритмом в режимах CBC. Имитовставкой является последний шифрованный блок.

Рис. Вычисление имитовставки

Имитовставка по ГОСТ 28147-89

Длина имитовставки от 1 до 32 бит.

Открытый текст T_O разбивается на блоки длиной 64 бита. Последний блок в случае необходимости дополняется нулями.

Первый блок шифруется, что и сообщение, но с применением 16 циклов вместо 32. Результат по битам по модулю 2 складывается с вторым блоком и так же шифруется. Результат складывается с третьим блоком. и так далее.

Первые 32 бита получившегося блока составляют имитовставку. Спецификация шифра предусматривает использование в качестве имитовставки и меньшее количество бит по желанию, но не большее.

Рис. Проблема имитовставки

Получатель должен знать ключ, и этот ключ позволяет ему генерировать сообщения с тем же значением имитовставки, что и у присланного сообщения, таким образом, имитовставка на основе симметричного шифра не дает знания — отправитель или получатель сформировал эту имитовставку.

Отсюда следует, что имитовставка на основе симметричного шифра не может заменять собой электронную подпись!

Рис. Создание и проверка ЭЦП

Источник

Протоколирование и аудит, шифрование, контроль целостности

Контроль целостности

Криптографические методы позволяют надежно контролировать целостность как отдельных порций данных, так и их наборов (таких как поток сообщений); определять подлинность источника данных; гарантировать невозможность отказаться от совершенных действий («неотказуемость»).

В основе криптографического контроля целостности лежат два понятия:

Хэш-функция – это труднообратимое преобразование данных ( односторонняя функция ), реализуемое, как правило, средствами симметричного шифрования со связыванием блоков. Результат шифрования последнего блока (зависящий от всех предыдущих) и служит результатом хэш-функции.

Пусть имеются данные, целостность которых нужно проверить, хэш-функция и ранее вычисленный результат ее применения к исходным данным (так называемый дайджест ). Обозначим хэш-функцию через h, исходные данные – через T, проверяемые данные – через T’. Контроль целостности данных сводится к проверке равенства h(T’) = h(T). Если оно выполнено, считается, что T’ = T. Совпадение дайджестов для различных данных называется коллизией. В принципе, коллизии, конечно, возможны, поскольку мощность множества дайджестов меньше, чем мощность множества хэшируемых данных, однако то, что h есть функция односторонняя, означает, что за приемлемое время специально организовать коллизию невозможно.

На рис. 11.5 показана процедура выработки электронной цифровой подписи, состоящая в шифровании преобразованием D дайджеста h(T).

Проверка ЭЦП может быть реализована так, как показано на рис. 11.6.

следует, что S’ = D(h(T’)) (для доказательства достаточно применить к обеим частям преобразование D и вычеркнуть в левой части тождественное преобразование D(E())). Таким образом, электронная цифровая подпись защищает целостность сообщения и удостоверяет личность отправителя, то есть защищает целостность источника данных и служит основой неотказуемости.

Для контроля целостности последовательности сообщений (то есть для защиты от кражи, дублирования и переупорядочения сообщений) применяют временные штампы и нумерацию элементов последовательности, при этом штампы и номера включают в подписываемый текст.

Цифровые сертификаты

Цифровые сертификаты обладают следующими свойствами:

В спецификациях X.509 не описывается конкретная процедура генерации криптографических ключей и управления ими, однако даются некоторые общие рекомендации. В частности, оговаривается, что пары ключей могут порождаться любым из следующих способов:

Цифровые сертификаты в формате X.509 версии 3 стали не только формальным, но и фактическим стандартом, поддерживаемым многочисленными удостоверяющими центрами.

Источник

Криптографические методы защиты информации

3 Лекция. Контроль целостности данных. Хеш-функции. Имитовставка. ЭЦП