Межсетевые экраны экспертного уровня

Шлюзы прикладного уровня

Межсетевые экраны данного класса позволяют фильтровать отдельные виды команд или наборы данных в протоколах прикладного уровня. Для этого обычно используются так называемые прокси-серверы. Прокси-сервер – программа специального назначения, управляющая прохождением трафика для определенных высокоуровневых протоколов (HTTP, FTP, Telnet). Порядок использования прокси-серверов показан на рисунке 6:

 

Рисунок 6 – Порядок использования прокси-серверов

 

Если без использования прокси-сервера сетевое соединение устанавливается между взаимодействующими сторонами А и В напрямую, то в случае использования прокси-сервера появляется посредник (прокси), который самостоятельно взаимодействует со стороной В по запросу от А. Такая схема позволяет контролировать допустимость использования команд протоколов высокого уровня, а также фильтровать данные, получаемые прокси-сервером извне. При этом прокси-сервер на основании заданных политик может принимать решение о возможности или невозможности передачи этих данных клиенту А.

 

Это наиболее сложные межсетевые экраны, сочетающие в себе элементы всех трех перечисленных выше категорий. Вместо прокси-сервера в таких экранах используются алгоритмы распознавания и обработки данных на уровне приложений.

Большинство используемых в настоящее время межсетевых экранов корпоративного уровня относятся к категории экспертных. Наиболее известные и распространенные межсетевые экраны – это CheckPointFirewall, продукты семейства Cisco-ASA.

2.4.10.2. Системы обнаружения вторжений.

Обнаружение вторжений представляет собой процесс выявления несанкционированного доступа (НСД) или попыток несанкционированного доступа к ресурсам компьютерной системы.

Система обнаружения вторжений (IDS) в общем случае представляет собой аппаратно-программный комплекс, решающий данную задачу. Общая структура IDS представлена на рисунке 7.

 

Рисунок 7 – Общая структура IDS

Алгоритм функционирования данной системы представлен на рисунке 8.

 

 

Рисунок 8 – Алгоритм функционирования IDS

 

Функционирование систем IDS во многом аналогично межсетевым экранам. Сенсоры получают сетевой трафик, а ядро путем сравнения полученных сетевых пакетов с записями базы сигнатур известных видов атак позволяет выявить следы попыток несанкционированного доступа. Модуль ответного реагирования является опциональным компонентом, который может быть использован для оперативного противодействия угрозе. Например, может быть сформировано правило для межсетевого экрана, блокирующее источник нападения.

Существует две основные категории систем IDS:

1) IDS уровня сети.

В таких системах сенсор функционирует на выделенном для этих целей компьютере (хосте) в защищаемом сегменте сети. Обычно сетевой адаптер данного хоста функционирует в режиме прослушивания, что позволяет анализировать весь проходящий в этом сегменте сетевой трафик.

2) IDS уровня хоста.

В случае, кода сенсор функционирует на уровне хоста, для анализа может быть использована, в том числе и следующая информация:

- записи стандартных средств протоколирования операционной системы и сетевых приложений;

- информация об используемых ресурсах;

- профиль ожидаемого поведения пользователя.

Каждый из типов IDS имеет свои достоинства и недостатки. IDS уровня сети не снижает общую производительность системы, однако IDS уровня хоста более эффективно выявляют атаки и позволяют анализировать активность различных программных средств, функционирующих на данном хосте.

2.4.11. Протоколирование и аудит.

Подсистема протоколирования и аудита является обязательным компонентом любой компьютерной системы.

Протоколирование (регистрация) представляет собой механизм подотчетности системы обеспечения информационной безопасности, фиксирующий все события, относящиеся к вопросам безопасности.

Аудит – это анализ протоколируемой информации с целью оперативного выявления и предотвращения нарушений режима информационной безопасности.

Назначение механизма регистрации и аудита:

1) Обеспечение подотчетности пользователей и администраторов.

2) Обеспечение возможности реконструкции последовательности событий, например, для расследования инцидентов, связанных с информационной безопасностью.

3) Обнаружение попыток нарушения информационной безопасности.

4) Предоставление информации для выявления и анализа технических проблем напрямую не связанных с безопасностью.

Протоколируемые данные помещаются в журнал регистрации, который представляет собой хронологически упорядоченную совокупность записей результатов деятельности субъекта в компьютерной системе, достаточную для восстановления, просмотра и анализа последовательности действий с целью контроля их конечного результата. Запись в журнале регистрации, как правило, включает в себя следующие обязательные поля:

− Метка времени;

− Тип события;

− Инициатор события;

− Объект воздействия;

− Результата события.

В последнее время наметилась тенденция хранения журналов регистрации в виде одной или нескольких таблиц базы данных с использованием соответствующей СУБД.

Поскольку системные журналы являются основным источником информации для последующего аудита и выявления нарушений безопасности, вопросу защиты системных журналов от несанкционированной модификации должно уделяться самое пристальное внимание.

Система протоколирования должна быть спроектирована так, чтобы ни один пользователь, включая администратора, не мог произвольным образом модифицировать записи системных журналов.

Не менее важен вопрос о порядке хранения системных журналов. Поскольку файлы журналов хранятся на том или ином носителе, неизбежно возникает проблема превышения максимально допустимого объема системного журнала. При этом реакции системы могут быть различными. Например:

1) система может быть заблокирована вплоть до решения проблемы с доступным дисковым пространством;

2) могут быть автоматически удалены самые старые записи системных журналов;

3) система может продолжить функционирование, временно приостановив протоколирование событий.

Безусловно, последний вариант в большинстве случаев является неприемлемым, и порядок хранения журналов должен быть четко регламентирован в политике безопасности организации.

 

2.5. Построение систем защиты от угроз нарушения целостности.

2.5.1. Принципы обеспечения целостности.

Большинство механизмов, реализующих защиту информации от угроз нарушения конфиденциальности, в той или иной степени способствуют обеспечению целостности информации. Основные принципы обеспечения целостности были сформулированы Кларком и Вилсоном. Принципы обеспечения целостности:

1. Корректность транзакций.

Данный принцип требует невозможности произвольной модификации данных пользователем. Данные должны модифицироваться исключительно таким образом, чтобы обеспечить сохранение их целостности.

2. Аутентификация пользователей.

Изменение данных может осуществляться только аутентифицированными пользователями, имеющими разрешение на выполнение соответствующих действий.

3. Минимизация привилегий.

Пользователи должны быть наделены теми и только теми привилегиями в компьютерной системе, которые минимально достаточны для выполнения их служебных обязанностей.

4. Разделение обязанностей.

Для выполнения критических или необратимых операций требуется участие нескольких независимых пользователей.

5. Аудит произошедших событий.

Данный принцип требует создания механизма подотчетности пользователей, позволяющего отследить моменты возможного нарушения целостности информации.

6. Объективный контроль.

Необходимо реализовать оперативное выделение данных, контроль целостности которых является оправданным.

7. Управление передачей привилегий.

Порядок передачи привилегий должен полностью соответствовать организационной структуре предприятия.

Принципиально новыми по сравнению с сервисами, применявшимися для построения системы защиты от угроз нарушения конфиденциальности, являются криптографические механизмы обеспечения целостности. Механизмы обеспечения корректности транзакций также могут включать в себя криптографические операции.

2.5.2. Криптографические методы обеспечения целостности информации.

При построении систем защиты от угроз нарушения целостности информации используются следующие криптографические примитивы:

1) Цифровые подписи;

2) Криптографические хэш – функции;

3) Коды проверки целостности;

4) Коды проверки подлинности.

 

1. Цифровые подписи.

Цифровая подпись представляет собой механизм подтверждения подлинности и целостности цифровых документов. Во многом она является аналогом рукописной подписи. В частности, к ней предъявляются практически аналогичные требования:

− Цифровая подпись должна позволять доказать, что именно законный автор и никто другой сознательно подписал документ;

− Цифровая подпись должна представлять собой неотъемлемую часть документа, которую невозможно отделить от этого документа и использовать для подписывания других документов;

− Цифровая подпись должна обеспечивать невозможность изменения подписанного документа, в том числе и самим автором;

− Факт подписывания документа должен быть юридически доказуем. Должен быть невозможным отказ от авторства подписанного документа.

 

В простейшем случае для реализации цифровой подписи может быть использован механизм аналогичный асимметричной криптосистеме. Разница будет состоять в том, что для зашифрования, являющегося в данном случае подписыванием, будет использоваться закрытый ключ, а для расшифрования, играющего роль проверки подписи, - общеизвестный открытый ключ.

Механизм реализации цифровой подписи представлен на рисунке 9.

 

Рисунок 9 – Механизм реализации цифровой подписи

 

Порядок использования цифровой подписи в данном случае будет следующим:

I. Документ зашифровывается закрытым ключом подписывающего, и эта зашифрованная копия передается получателю.

II. Получатель, используя общедоступный ключ подписывающего, расшифровывает документ и, если это удалось, убеждается, что подпись верна.

Данная реализация цифровой подписи имеет принципиальный недостаток, связанный с длительность выполнения операций зашифрования и расшифрования всего документа с помощью асимметричного алгоритма шифрования.

 

2. Криптографические хэш – функции.

Функция вида y=f(x) называется криптографической хэш – функцией, если она обладает следующими свойствами:

− На вход хэш – функции может поступать последовательность данных произвольной длины, а её результат, называемый ХЭШ (дайджест), имеет фиксированную длину.

− Значение y по имеющемуся значению x вычисляется за ограниченное время, а значение x по имеющемуся значению y практически во всех случаях вычислить невозможно.

− Вычислительно невозможно найти два различных значения x1 и x2, дающих при вычислении хэш – функции одно и то же значение y.

− При вычислении хэша используется вся информация входной последовательности.

− Описание функции является открытым и общедоступным.

Хэш-функции могут быть использованы в схемах цифровой подписи. Если подписывать не само сообщение, а его хэш, можно существенно сократить объем производимых вычислений и, следовательно, затраты времени на операции формирования и проверки электронной цифровой подписи.

 

Рисунок 10 – Механизм реализации криптографической хэш-функции

 

Подписав вместо исходного сообщения его хэш, отправитель передает результат такой подписи вместе с исходным сообщением. Получатель расшифровывает подпись, вычисляет хэш сообщения и сравнивает полученные значения. В случае совпадения делается вывод о том, что подпись верна.

 

3. Коды проверки целостности.

Часто криптографические хэш – функции используются в качестве аналогов средств для вычисления контрольной суммы некоторого файла, например, размещенного для публичного доступа в сети Интернет. Хэш может быть подсчитан с использованием некоторого алгоритма (чаще всего используются алгоритмы MD5 и SHA-1). В этом случае пользователь, скачивающий данный файл, может убедиться в его целостности.

Однако в этом случае злоумышленник может подменить файл и привести хэш, соответствующий новому файлу. Выявить подобные действия, используя обычные хэш – функции, невозможно. Защита от подобного рода атак обеспечивается путем применения кодов проверки подлинности.

 

4. Коды проверки подлинности (MAC – коды).

Коды проверки подлинности представляют собой алгоритмы, основанные на вычислении криптографических хэш – функций с применением определенного секретного ключа. Использование ключа позволяет гарантировать невозможность подмены защищаемых объектов. Злоумышленник, не знающий секретного ключа, не сможет правильно пересчитать хэш для нового файла.

 

Рисунок 11. 1 - вычисление хэша сообщения; 2 - использование MAC-алгоритма

 

2.6. Построение систем защиты от угроз нарушения доступности.

В общем случае обеспечение защиты от угроз нарушения доступности информации реализуется путем создания той или иной избыточности. Применяются следующие мероприятия для защиты от угроз нарушения доступности на различных этапах обработки информации:

1. Этап получения информации

а. Дублирование каналов связи;

б. Дублирование «узких мест» (шлюзов, межсетевых экранов, маршрутизаторов);

в. Создание запаса в пропускной способности сетевого оборудования;

2. Этап обработки информации

а. Дублирование серверов;

б. Использование кластеров;

в. Управление надежностью оборудования;

3. Этап хранения информации

а. Резервное копирование информации;

б. Создание RAID – массивов;

в. Зеркалирование серверов;

4. Этап передачи информации

а. Дублирование каналов связи,

б. Дублирование «узких мест»,

в. Создание запаса в пропускной способности сетевого оборудования;

г. Избыточные маршруты (динамическая маршрутизация);

 

Дублирование каналов связи может осуществляться как в пределах компьютерной системы, так и в отношении каналов связи, связывающих компьютерную систему с внешней средой. Пример: использование нескольких каналов доступа в Интернет.

Дублирование шлюзов и межсетевых экранов позволяет избежать ситуаций, когда связность компьютерной системы нарушается из-за неисправности узла, представляющего собой «узкое место» - единую точку входа для всего трафика. Дублирование может осуществляться, например, следующим образом:

 

Рисунок 12 – Дублирование шлюзов и межсетевых экранов

 

В нормальных условиях функционирования работает межсетевой экран FW1. Связь У обеспечивает непрерывную синхронизацию FW2 с FW1 и в случае сбоя FW1 все управление берет на себя FW2.

 

Резервное копирование информации является одним из важнейших механизмов, обеспечивающих её доступность и целостность. Имеются следующие методы резервного копирования:

1) Полное копирование.

В этом случае все файлы, помеченные для резервного копирования, переносятся на резервный носитель.

2) Инкрементное копирование.

Резервному копированию подвергаются только файлы, измененные с момента последнего инкрементного копирования.

3) Дифференциальное копирование.

Копируются файлы, измененные с момента полного резервного копирования. Количество копируемых данных в этом случае с каждым разом возрастает.

На практике резервное копирование обычно осуществляется следующим образом. Периодически производится полное резервное копирование, а в промежутках – инкрементное или дифференциальное.

Использование RAID-массивов решает задачу оптимального, с точки зрения надёжности и производительности, распределения данных по дисковым накопителям.

Выделяют следующие основные виды RAID-массивов:

  1. Уровень 0. В данном случае несколько дисков представляются как один виртуальный диск, имеющий объём равный сумме объёмов входящих в него дисков. Защита от сбоев на этом уровне не обеспечивается.

N дисков
N дисков

 

N дисков (файл пишется параллельно на все диски по секторам)

Используется, например, для монтажа видео.

Характеристики: высокая скорость и большой объём, очень низкая надёжность

  1. Уровень 1. Здесь реализуется полное зеркалирование: идентичные данные хранятся на нескольких (2-х или более) дисках. Данный вариант обеспечивает защиту от сбоев.

 

 

 

Характеристики: надёжен, объём не изменяется, скорость чтения может быть высока, скорость записи определяется по самому медленному диску.

 

  1. Уровень 5. Здесь данные и их контрольные суммы распределяются по всем дискам. Достоинство такого подхода состоит в том, что возможно выполнение операций чтения и записи на всех этих дисках параллельно, что существенно повышает производительность системы.

N
N – 1