Инструментальные средства обеспечения безопасности


         

Учреждение обеспечило текстовый файл, который


Учреждение обеспечило текстовый файл, который содержал более чем 12000 телефонных номеров из семи различных АТС двух штатов и инструкцию: "Найдите наши модемы". Имея 12000 номеров для проверки, она решает прозвонить их все как можно быстрее (используя 20-секундное время ожидания) с помощью THC-Scan, чтобы посмотреть, не появятся ли какие-нибудь модемы. Довольно уверенно появился один модем с привлекательным баннером "IRIX (seecos) Login:". Джейн некоторое время работала в системе Unix, и ее первая мысль была попробовать просмотреть пользователей командой lp с пустым паролем. Это простая и весьма старая уловка (смотрите консультацию службы компьютерной безопасности CERT на сайте http://www.cert.org/advisories/CA-1995-15.html). При дальнейшем исследовании она обнаруживает, что эта система поддерживается в качестве запасной, предназначенной для обработки команд ных файлов ночью, в случае, если откажут первичные службы TCP/IP. В результате, она получила доступ к чувствительным финансовым данным, даже не нуждаясь в пароле!

Первое правило защиты от несанкционированного доступа в систему через телефонный звонок состоит в использовании сильных паролей. Сильные пароли не только подразумевают "несловарные" слова из восьми символов или более, но и системные средства управления, сбрасывающие carrier после трех или пяти неудачных попыток входа в систему. Многие серверы удаленного доступа поддерживают идентификацию RADIUS, через которую легко применять двухфакторную идентификацию. Двухфакторная идентификация, типа одноразовых паролей S/key или электронных карт SecurID, добавляет случайный фактор к процессу входа в систему, который резко уменьшает потенциальный успех слепого угадывания паролей.

Доступ может также контролироваться заданием интервалов времени, которые ограничивают возможность принятия запросов модемом определенными днями или определенным временем в течение дня. Некоторые приложения поддерживают также "аутентификацию по обратным звонкам" (dial-back security), в которой исходящий телефонный номер пользователя хранится в аутентификационной базе данных.

Содержание  Назад  Вперед