Xpoint
   [напомнить пароль]

Защита от НСД из Интернет - механизмы требующие доработки

Метки: [без меток]
2005-04-04 17:31:26 [обр] Creeping Shadow(0/6)[досье]

Собрался я наконец писать диплом по теме "Защита от НСД из Интернет". Придумывать что-то новое мало времени, да и надо ли? Вот и придумал я обратиться к существующим механизмам. Например, механизм аутентификации средствами Апача и PHP, SSL... Так ли они хороши?

Посоветуйте, плз, механизм, к которому рученки свои приложить! Какой наиболее дырявый? (Windows и ICQ не прдлагать! :)

спустя 17 минут [обр] Владимир Палант(49/4445)[досье]
аутентификации средствами Апача и PHP
Диплом пишете? Ну-ну, успехов... Может все-таки сначала ознакомитесь с областью, в которой собираетесь писать? Не знаю, как у вас, но обычно на это выделяется существенное время.
спустя 18 часов [обр] Creeping Shadow(0/6)[досье]
Владимир Палант[досье] спасибо за исчерпывающий ответ. Вы считаете что механизм аутентификации совершенен?
спустя 3 часа 18 минут [обр] Виталий Ульченков(22/116)[досье]
Creeping Shadow[досье], а Вы бы тему уточнили. Что Вы собираетесь защищать от НСД?
спустя 3 минуты [обр] Creeping Shadow(0/6)[досье]
Вообще тема диплома звучит так: Создание механизма по предотвращению угроз несанкционированного проникновения из Internet во внутреннюю сеть организации. Так как это очень обще, то под это многое можно подвести...
спустя 2 минуты [обр] Виталий Ульченков(22/116)[досье]
Если во внутреннюю сеть, то при чём тогда Apache и PHP?
спустя 11 минут [обр] Андрей Новиков(8/1242)[досье]
Это кто Вам такой подарок с темой сделал? Компании с тысячами сотрудников над этим годами бьются, а Вам предлагают за пару месяцев решить.
спустя 34 минуты [обр] Creeping Shadow(0/6)[досье]

Виталий Ульченков[досье] можно и не ко внутренней... Я тут волен выбирать - тема широкая.
А Апач с PHP - просто я помню как столкнулся в вопросом безопасности при аутентификации. Выбрал аутентификацию на основе .htaccess - как более безопасную. Но, к примеру, допустим что хакер узнал логин и пароль... Можно жи ввести дополнительные проверки...
И потом - про аутентификацию я и сам в курсе. Вопрос-то в другом: что еще есть такое незащищенное?

Андрей Новиков[досье] У меня не стоит задача обеспечить полную безопасность ЛВС. Можно взять какой-то момент и его рассмотреть.

спустя 16 минут [обр] Владимир Палант(49/4445)[досье]
Creeping Shadow[досье]
FYI: Ничего безопасного в аутентификации на основе .htacess нет, потому она и называется Basic Auth — это самый примитивнейший метод аутентификации. "аутентификации средствами PHP" — просто бред. Поищите в Google по ключевым словам secure и authentication, найдёте массу статей на эту тему, к примеру Authentication for Web Sites, Extending SSH Authentication Protocol with RSA Secure ID или Authentication tokens - a response to the challenge of Internet banking fraud. Вы же должны сначала понять, что вообще есть в этой области, какие существуют проблемы, что пишут другие. Тогда и собственные идеи появятся.
спустя 6 минут [обр] Андрей Новиков(8/1242)[досье]

Владимир Палант[досье], но при чем тут всём ЛВС?

Creeping Shadow[досье], упомините NAT, как решение 99% базовых проблем и подробно рассмотрите IDS, как решение 1% самых насущных на данный момент проблем.

спустя 9 минут [обр] Виталий Ульченков(22/116)[досье]
Андрей Новиков[досье], т.е. nat+ids= стопроцентное решение проблем с безопасностью? :)
спустя 38 минут [обр] Андрей Новиков(8/1242)[досье]
Виталий Ульченков[досье], 100% — это не иметь ЛВС :), хватит придираться к словам :).
спустя 17 минут [обр] Владимир Палант(49/4445)[досье]

Андрей Новиков[досье]
Изначальный вопрос был об авторизации — то есть, в сети есть какие-то данные, которые должны быть доступны извне, но только авторизованным лицам. Даже если в результате дипломная никакого отношения к авторизации иметь не будет, почитать немного о концепциях авторизации явно поможет вопрошающему отделить мух от котлет.

Виталий Ульченков[досье]
Векторное сложение не проходили? :)

спустя 16 часов [обр] Виталий Ульченков(22/116)[досье]

Владимир Палант[досье], про что был изначальный вопрос - непонятно. В названии заявлена одна тема, в первом сообщении говорится совсем про другое, а дальше речь идёт совсем про третье:)

Creeping Shadow[досье], судя по тому, что Вы не можете внятно сформулировать, что Вы хотите - Вы не действительно не очень хорошо ориентируетесь в области информационной безопасности. Авторизация в Apache тянет максимум на реферат, imho. А в дипломной работе Вы должны разработать что-то своё, а сделать это без достаточных знаний невозможно.

Могу предложить тему "Технические способы защиты периметра ЛВС крупного предприятия при подключении к сетям общего пользования". Это примерная формулировка. Не забудьте рассмотреть способы организации надёжного входа в корпоративную сеть удалённых пользователей, партнёров. Но я всё равно не знаю, что можно тут придумать нового. Это будет просто сбор информации и систематизация её.

спустя 13 часов [обр] Creeping Shadow(0/6)[досье]
Виталий Ульченков[досье] Сформулировать вопрос довольно тяжело на самом деле... "Создание механизма по предотвращению угроз несанкционированного проникновения из Internet во внутреннюю сеть организации" - это тема диплома. И по ней мне надо писать. Но разве аутентификация - это не доступ к ресурсам? Пройдя аутентификацию, через web-интерфейс разве я не могу к примеру обращаться к ФТП архиву локальной сети? Думается что это осуществимо, а значит, подходит под тему - вот как я думал.
Я ознакомился с материалами, ссылки на которые любезно предоставил Владимир Палант[досье]. И в первой же статье Authentication for Web Sites рассмотрены нерешенные проблемы по аутентификации. Как решение - SSL. Но так как мне необходимо предложить нечто новое, то, если работать по этому направлению, придется предложить некую бесплатную альтернативу SSL... Я не думаю что успею разработать защищенный протокол за два месяца ;)
Поэтому, аутентификация, видимо, отпадает.
спустя 52 минуты [обр] Владимир Палант(49/4445)[досье]
Вот вам следующая ссылка для ознакомления: http://www.openssl.org/
Что уж точно никому не нужно, так это альтернатива SSL.
спустя 7 часов [обр] Виталий Ульченков(22/116)[досье]

Аутентификация - это определение пользователя (человека или устройства) и ничего более. После аутентификации идёт процес авторизации - имеет ли пользователь право на доступ к запрашиваемым ресурсам. И даже аутентификация+авторизация не есть механизм "по предотвращению угроз несанкционированного проникновения из Internet во внутреннюю сеть организации". Это лишь одна из его составляющих.

Тем более Вы упорно говорите только про веб-сервер, а в задаче у Вас сказано "внутренняя сеть организации". Свести защиту всей сети к веб-авторизации не получится:)

спустя 44 минуты [обр] Creeping Shadow(0/6)[досье]
Виталий Ульченков[досье] А сводить всю защиту к аутентификации и не надо. Можно рассмотреть отдельную составляющую механизма - нет проблем.
Мне всегда казалось что определение пользователя - это идентификация, а вот аутентификация - это определение его прав. Пользователь прошедший аутентификацию авторизован. Разве не так? По крайней мере нас этому учили...
спустя 47 минут [обр] Виталий Ульченков(22/116)[досье]
Меня учили другому.

authentication
сущ.
идентификация, опознание, отождествление

Syn: identification

спустя 37 минут [обр] Андрей Новиков(8/1242)[досье]
Creeping Shadow[досье], плохо Вас учили :(. Даже акроним такой есть AAA (не путать с обществом анонимных алкоголиков) — Authentication and Authorization.
спустя 52 минуты [обр] Виталий Ульченков(22/116)[досье]
Андрей Новиков[досье], у Cisco AAA - Authentication, Authorization, and Accounting :)
спустя 2 часа 37 минут [обр] Андрей Новиков(8/1242)[досье]
угу :), что-то я чушь сморозил
спустя 5 дней [обр] Creeping Shadow(0/6)[досье]

Сегодня встречался с дипломным руководителем. Нашли два предмета для изысканий:

  1. Шифрация трафика внутри ЛВС посредством OpenSSL
  2. Создание программы для обнаружения расшаренных ресурсов/открытых портов в ЛВС и сигнализацией пользователю/админу

Вот...

спустя 2 часа 57 минут [обр] Владимир Палант(49/4445)[досье]
Ну-ну, как раз области, которые уже перепаханы вдоль и поперек...
  1. http://openvpn.net/
  2. Заглянул в свою дипломную, вот вам ссылки: http://www.blackhat.be/cst/, http://www.cirt.net/code/nikto.shtml, http://www.insecure.org/nmap/
спустя 9 часов [обр] Creeping Shadow(0/6)[досье]
Ценные ссылочки - особенно первая. А разрешите полюбопытствовать - у вас работа на какую тему была?
спустя 4 часа 24 минуты [обр] Владимир Палант(49/4445)[досье]
На тему Intrusion Detection.
спустя 17 минут [обр] Андрей Новиков(8/1242)[досье]
...на немецком небось :)
спустя 28 минут [обр] Владимир Палант(49/4445)[досье]
А на каком же?
Powered by POEM™ Engine Copyright © 2002-2005