Информационная безопасность Модели управления доступом Разграничение доступа Глобальные сети Средства анализа и управления сетями Примеры скриптов на JavaScript Примеры программирования на Java

Информационная безопасность

Настройка мандатного механизма доступа к иерархическим объектам

Настройка мандатного механизма управления доступом с иерархической структурой объектов доступа отличается от настройки мандатного механизма управления доступом с неиерархической структурой объектов доступа следующим:

Вводится дополнительная группа объектов (Ок4 1), которую образуют корневые включающие объекты доступа элементы.

Вводится дополнительная метка безопасности Мк+1 (причем М1 < М2 <':'■■'' < Мк+1), которая присваивается корневым включающим объекты доступа элементам (для файловой системы - логическим дискам или томам), образующим группу дополнительно вводимую группу объектов Ок+1.

Метка Мк+1 наследуется всеми включаемыми элементами иерархии, вплоть до первого размеченного объекта в иерархии (которые уже, в свою очередь, должны размечаться метками безопасности из исходного множества М).

При реализации в диспетчере доступа рассмотренных выше правил назначения и обработки меток безопасности иерархических объектов доступа, можем говорить об общности мандатного механизма управления доступом применительно к структуре объекта доступа.

Рассмотренная реализация мандатного механизма управления доступом является универсальной в том смысле, что объектом доступа (ресурсом, к которому разграничивается доступ посредством назначения меток безопасности) может являться любой элемент иерархии (например, для файловой системы — логический диск, каталог, подкаталог, файл).

Процедура создания группы объектов Ок+1 и назначение ей метки безопасности Мк+1 легко формализуется и может быть реализована диспетчером доступа автоматически. При такой реализации диспетчера доступа настройка мандатного механизма (задание правил разграничения доступа в диспетчере доступа) с иерархическими объектами доступа не сложнее, чем с неиерархическими объектами доступа.

Использование анализатора протоколов на практике не является такой уж легкой задачей, как это может показаться. Чтобы добиться от него хоть какой-то пользы, компьютерный взломщик должен хорошо знать сетевые технологии. Просто установить и запустить анализатор протоколов нельзя, поскольку даже в небольшой локальной сети из пяти компьютеров трафик составляет тысячи и тысячи пакетов в час. И следовательно, за короткое время выходные данные анализатора протоколов заполнят жесткий диск полностью.

Поэтому компьютерный взломщик обычно настраивает анализатор протоколов так, чтобы он перехватывал только первые 200—300 байт каждого пакета, передаваемого по сети. Обычно именно в заголовке пакета размещается информация о регистрационном имени и пароле пользователя, которые, как правило, больше всего интересуют взломщика. Тем не менее, если в распоряжении взломщика имеется достаточно пространства на жестком диске, то увеличение объема перехватываемого трафика пойдет ему только на пользу. В результате он может дополнительно узнать много интересного.

На серверах в сети Internet есть множество анализаторов протоколов, которые отличаются лишь набором доступных функций. Например, поиск по запросам protocol analyzer и sniffer на сервере www.softseek.com сразу дает ссылки на добрый десяток программных пакетов.

Для компьютеров, работающих под управлением операционных систем Windows, одними из лучших являются анализаторы протоколов Lan Explorer компании Intellimax и NetXRay компании Network Associates. NetXRay (в переводе с английского — Сетевой рентген) обладает обширным набором функций, которые позволяют делать моментальный снимок “внутренностей” сети Ethernet, определять, какие ее узлы и сегменты несут наибольшую нагрузку, составлять отчеты и строить диаграммы на основе полученных данных (рис. 4.4). Бесплатная версия NetXRay доступна в Internet по адресу http://www.nai.com/asp_set/products/tnv/snifferbasic_intro.asp. Анализатор протоколов Lan Explorer (в переводе с английского — Анализатор ЛВС) не уступает по своей функциональности NetXRay, имеет очень хороший пользовательский интерфейс, удобен и прост в использовании (рис. 4.5). Пробная 15-дневная версия Lan Explorer доступна по адресу http:// www.intellimax.com/ftpsites.htm.

  Рис. 4.4. Основное рабочее окно анализатора протоколов NetXRay

Общие принципы построения вычислительных сетей