Защита информации в информационных вычислительных сетях
Основные понятия и классификация компьютерных сетей
В широком смысле слова любой способ соединения двух и более компьютеров с целью распределения ресурсов – файлов, принтеров и т. п. – можно назвать сетью. Более строгое определение звучит следующим образом[1].
Сетью ЭВМ или информационно-вычислительной сетью(ИВС) принято называть совокупность взаимодействующих станций, организованных на базе ЭВМ (в том числе и ПЭВМ), называемых узлами сети (УС), взаимосвязанных между собой посредством каналов передачи данных (КПД), образующих среду передачи данных (СПД). Каждый УС может осуществлять обработку информации в автономном режиме и обмениваться информационными сообщениями с другими станциями. УС подразделяются на рабочие станции и сервера.
Рабочая станция или хост (РС) – это компьютер в сети с определенным адресом на котором работает пользователь.
Сервер (файл-сервер) – компьютер, который используется как управляющий центр в сети и как общий банк данных.
К настоящему времени разработано значительное число разновидностей организационного и архитектурного построения информационно-вычислительных сетей. Системную их классификацию можно осуществить по следующим критериям:[2]
по масштабу – локальные и глобальные;
по способу организации – централизованные и децентрализованные;
по топологии (конфигурации) – звездообразные, кольцевые, шинные, комбинированные.
Локальная вычислительная сеть(ЛВС)(Local Area Network - LAN) представляет собой особый тип сети, объединяющий расположенные недалеко друг от друга компьютеры, как правило, в пределах одной комнаты, одного здания или в нескольких близко расположенных зданиях. Примером может служить ЛВС нашего учебного заведения.
Эти компьютеры и другое оборудование соединены однотипными средствами коммуникаций – чаще «витой парой»[3] или коаксиальным кабелем, хотя существуют и беспроводные локальные сети с инфракрасным или радиоволновыми линиями связи.
Глобальная сеть (Wide Area Network (WAN)) объединяет компьютеры или локальные сети, расположенные на значительном удалении друг от друга (в разных районах города, в разных городах или на разных континентах), например, Internet.
Централизованные сети – сети, в которых предусмотрен главный узел (сервер), через который осуществляются все обмены информацией и который осуществляет управление всеми процессами взаимодействия узлов.
Децентрализованные (одноранговые) сети – сети с относительно равноправными компьютерами, управление доступом к каналам передачи данных в этих сетях распределено между компьютерами.
Как отмечалось выше, различают четыре возможных типа топологии компьютерных сетей.
В сети с топологией «звезда» предусматривается сервер (рис. 28), через который все рабочие станции обмениваются данными.
Данная топология обеспечивает самое высокое быстродействие обмена данными между ПЭВМ в сети, поскольку передача данных между рабочими станциями проходит через центральный узел (при его хорошей производительности) по отдельным линиям, используемым только этими рабочими станциями.
В кольцевой сети не выделяется узел (рис. 29), управляющий передачей сообщений, их передача осуществляется от одного компьютера к другому как бы по эстафете. Если компьютер получает данные, предназначенные для другого компьютера, он передает их дальше по кольцу. Если данные предназначены для получившего их компьютера, они дальше не передаются.
Шинная структура предполагает использование одного кабеля (незамкнутого в кольцо), к которому подключаются все компьютеры сети (рис. 30). В случае топологии «общая шина» кабель используется совместно всеми станциями по очереди. Принимаются специальные меры для того, чтобы при работе с общим кабелем компьютеры не мешали друг другу передавать и принимать данные.
В топологии «общая шина» все сообщения, посылаемые отдельными компьютерами, принимаются всеми остальными компьютерами, подключенными к сети.
Комбинированные сети организуются путем объединения нескольких локальных сетей, выполненных с использованием разных топологий, в единую локальную сеть.
Между взаимодействием компьютеров в сети и общением группы людей можно провести некоторую аналогию. В обоих случаях для плодотворного обмена информацией необходимо договориться о языке и правилах общения, иначе компьютеры, также как и люди, будут играть в «испорченный телефон». По этой причине специальная Международная организация по стандартизации (англ. ISO - International Standards Organization) попыталась стандартизировать правила построения информационно-вычислительных сетей. В результате была разработана базовая модель взаимодействия открытых систем (англ. Open Systems Interconnection (OSI))[4], к которым относят и ИВС.
Модель содержит семь отдельных уровней:
Уровень 1: физический (Phisical Layer) – отвечает за формирование битовых протоколов передачи информации;
Уровень 2: канальный (Data Link) – отвечает за формирование кадров (блоков) информации и управляет доступом к среде;
Уровень 3: сетевой (Network Layer) – обеспечивает маршрутизацию и управляет потоками данных;
Уровень 4: транспортный (Transport Layer) – обеспечивает взаимодействие удаленных процессов;
Уровень 5: сеансовый (Session Layer) – поддерживает диалог между удаленными процессами;
Уровень 6: представления (Presentation Layer) – интерпретирует передаваемые данные;
Уровень 7: прикладной (Application Layer) – обеспечивает пользовательское управление данными.
Основная идея этой модели заключается в том, что каждому уровню отводится конкретная роль. Благодаря этому общая задача передачи данных расчленяется на отдельные легко обозримые задачи.
Для правильной и, следовательно, полной и безошибочной передачи данных необходимо придерживаться согласованных и установленных правил. Все они оговариваются в протоколах передачи данных. Среди них наиболее известные – это IPX/SPX и TCP/IP (используется для обмена данными в Internet).
Международный институт инженеров по электронике и радиоэлектронике (Institute of Electrical and Electronics Engineers – IEEE) разработал стандарты для протоколов передачи данных в локальных сетях, которые описывают методы доступа к сетевым каналам данных. Наибольшее распространение получили конкретные реализации метода доступа Ethernet.
На основе даже такого беглого рассмотрения возможных структур информационно-вычислительных сетей нетрудно заключить, что для тех объектов (предприятий, учреждений, других организаций), в которых регулярно обрабатываются значительные объемы подлежащей защите информации, наиболее целесообразной будет комбинированная структура ЛВС. Например, для обработки конфиденциальной информации может быть создана самостоятельная подсеть, организованная по звездообразной схеме, а для обработки общедоступной – подсеть, организованная по шинной схеме, причем сервер первой подсистемы может быть подсоединен к общей шине второй подсистемы в качестве полноправного ее узла.
Перемены в экономической жизни России – создание новой финансово-кредитной системы, а также появление различных форм собственности – оказывают существенное влияние на вопросы защиты информации, циркулирующей в ИВС.
Каждый сбой работы компьютерной сети это не только моральный ущерб для работников предприятия и сетевых администраторов. По мере развития технологий электронного бизнеса и электронного документооборота серьезный сбой вычислительных сетей может просто парализовать работу целых корпораций и банков, что приводит к ощутимым материальным потерям. Не случайно, что защита данных в компьютерных сетях становится одной из самых острых проблем современной информатики.
При рассмотрении проблем защиты данных в сети зададимся вопросами: «Что нужно защищать?» и «От каких негативных факторов мы хотим защитить наше информационное пространство?»
Опустим философский аспект и выделим практическую сторону дела. Отвечая на первый вопрос, можно разделить защиту одиночного компьютера и защиту сети.
Защиту персонального компьютера мы рассматривали в соответствующем разделе настоящего пособия.
Защита же в информационных сетях (локальные, глобальные и корпоративные) усложняется с появлением новых возможностей со стороны противника. Возникают новые угрозы вторжения, которые не имеют места в компьютерах, не подключенных к ИВС. С одной стороны выделяют угрозы несанкционированного доступа к информации в ИВС. К их числу относятся:
Прослушивание каналов, т.е. запись (перехват) и последующий анализ всего проходящего по информационным магистралям потока сообщений.
Умышленное уничтожение или искажение(фальсификация) проходящих по сети сообщений, а также включение в поток ложных сообщений. Ложные сообщения могут быть восприняты получателем как подлинные.
Внедрение сетевых вирусов, т.е. передача по сети тела вируса с его последующей активизацией пользователем удаленного или локального узла.
С другой стороны выделяют угрозы нарушения бесперебойной работы ИВС:
1. Ошибки обслуживающего персонала.
2. Сбои оборудования, вызванные нарушением работы сетевого кабеля; отключением электропитания, отказом дисковых систем и систем архивации данных, нарушением работы серверов, рабочих станций.
3. Некорректная работа ПО, приводящая к потере или порче данных из-за ошибок в прикладном или сетевом ПО.
Универсального решения, предотвращающие все перечисленные угрозы, нет. Однако разработаны и применяются технические средства и административные меры, позволяющие свести к минимуму потери от перечисленных выше угроз.
Таким образом, информационная безопасность ИВС, то есть способность системы защитить данные от несанкционированного доступа, является аспектом общей надежности. В распределенной системе это сделать гораздо сложнее, чем в централизованной. В сетях сообщения передаются по линиям связи, часто проходящим через общедоступные помещения, в которых могут быть установлены средства прослушивания линий. Другим уязвимым местом могут стать оставленные без присмотра персональные компьютеры. Кроме того, всегда имеется потенциальная угроза взлома защиты сети от неавторизованных пользователей, если сеть имеет выходы в глобальные общедоступные сети.
Рассмотрим основные средства обеспечения безопасности ИВСи ее сервисов, применяемых для поддержки конкретных приложений.
2.1. Средства мониторинга и анализа надежности и безопасности ИВС
Одним из первоочередных мероприятий по обеспечению надежности и информационной безопасности ИВС является применение средств мониторинга и анализа, которые предназначены для обнаружения в работе ИВС «узких мест». Эти средства можно подразделить на два основных класса: стратегические и тактические. Назначение стратегических средств состоит в контроле за параметрами функционирования всей сети и решения проблем конфигурирования ИВС; тактических – мониторинг и устранение неисправностей сетевых устройств и сетевого кабеля.
К стратегическим средствам относятся системы управления сетью, встроенные системы диагностики, распределенные системы мониторинга, средства диагностики серверов.
К тактическим средствам относят различные виды тестирующих устройств (тестеры и сканеры сетевого кабеля), а также устройства для комплексного анализа работы сети – анализаторы протоколов.
Тестирующие устройства помогают обнаружить неисправности сетевого кабеля и разъемов, а анализаторы протоколов – получать информацию о характере обмена данными в сети. Кроме того, к этой категории средств относят специальное ПО, позволяющее в режиме реального времени получать подробные отчеты о состоянии работы ЛВС. Причину и место повреждения кабельной системы позволяют установить сканеры сетевого кабеля.
Существуют автоматизированные средства, выполняющие анализ трафика в реальном масштабе времени и используют экспертные системы для обнаружения необычной активности, которая может оказаться признаком атаки. Эти средства могут размещаться на отдельной рабочей станции и устанавливаться на каждой критической системе или выполнять функции по контролю сегментов сетей и устанавливаться в центральных местах для наблюдения за трафиком. После установки этих средств могут быть обнаружены как внешние, так и внутренние атаки. Так как они не зависят от операционной системы, установленной на сервере или хосте, и систем управления доступом периметра безопасности, то атакующим, даже если они и проникли на эти системы, гораздо труднее обойти их. Успешность применения этих систем зависит от точности предсказания последовательностей событий, являющихся признаками проникновения, а это не всегда возможно. Если программа настроена на слишком специфическую последовательность событий, то поведение реального атакующего может выходить за рамки прогнозируемых в программе. Если же указаны слишком общие последовательности событий, то система будет выдавать слишком много ложных сигналов тревоги. Этот подход требует использования сложных эвристик, которые могут чрезмерно усложнить использование этого средства.
Существуют средства, которые анализируют статистические аномалии и делают на их основе выводы о наличии атаки. Это делается путем создания статистического профиля различных субъектов сетевой активности, таких как отдельные пользователи, группы пользователей, приложения, серверы, и последующего наблюдения за поведением таких субъектов. Если наблюдаемое поведение выходит за рамки статистического профиля, то это признак возможной атаки. Этот подход также требует использования сложных эвристик, которые сильно затрудняют использование рассматриваемого средства.
Использование электронных цифровых подписей для программ может помочь установить авторство модулей программ. При периодическом анализе подлинности модулей в защищаемых системах можно выявить подмену программ злоумышленником. Этот подход позволяет защититься от атак, которые не обнаруживаются средствами периметра безопасности сети, от таких атак, которые используют скрытые каналы, или от атак внутренних пользователей, которые достаточно «умны», чтобы обойти средства защиты рабочей станции. Возможные преимущества этого подхода должны быть сопоставлены с низкой вероятностью атак такого рода и сложностью защиты, а также с его возможностью обнаружить только модификации программ, такие как замена программ троянскими конями.
Контроль программного обеспечения и данных
Данные на компьютерах редко бывают статичными. Принимаются новые электронные письма, устанавливаются новые программы с различных электронных носителей или. Интерактивные веб-программы загружают исполняемые файлы. Любое изменение несет в себе риск заражения вредоносными программами, разрушения конфигурации компьютера или нарушения лицензий на использование программ. Организациям нужно защищаться с помощью различных механизмов в зависимости от уязвимости к этим рискам.
Контроль за импортом программ позволяет организации решить следующие задачи: защиту от вредоносного ПО, его обнаружение и удаление; контроль за интерактивными программами (Java, Active X) и за соблюдением лицензий на программы.
Каждая задача может быть классифицирована по следующим критериям:
- контроль – кто является инициатором процесса и как можно определить, что была импортирована программа;
- тип угрозы – выполняемая программа, макрос, апплет, нарушение лицензионного соглашения;
контрмеры – проверка на вирусы, отключение сервиса, изменение прав по доступу, аудирование, удаление.
При импорте программ на компьютере и их запуске на нем имеется риск, что эти программы обладают дополнительной функциональностью или их реальные функции отличаются от заявленных. Импорт может происходить в форме непосредственного действия пользователя или являться побочным эффектом других действий и не быть заметен. Примерами явного импорта
являются:
- передача файлов – использование FTP для переноса файла на компьютер;
- чтение электронной почты – чтение сообщения, загруженного на компьютер, или использование внешней программы (например, MS Word) для чтения приложений к письму;
- загрузка программ с носителя или по сети.
Примерами скрытого импорта является чтение веб-страницы, загружающей Java-апплет на компьютер, или открытие файла, зараженного макро-вирусом.
Контроль за интерактивными программами осуществляется в соответствии с их спецификой. Так, модель безопасности Java производит строгий контроль среды, в которой выполняются апплеты, с помощью создания безопасной отдельной среды выполнения для работы апплета. Апплеты могут взаимодействовать только с сервером, с которого они были загружены, и им запрещено обращаться к локальным дискам и устанавливать сетевые соединения. Но в Java было обнаружено много ошибок, которые позволяют профессионалам создавать апплеты, легко обходящие ограничения безопасной среды. Модель безопасности Active X сильно отличается от модели Java. Active X позволяет пользователю указать взаимоотношения доверия с сервером, с которого загружается апплет. Если серверу доверяют и он аутентифицирован с помощью электронных сертификатов, апплет Active X может быть загружен и будет работать как обычная программа. Могут использоваться цифровые подписи, называемые Authenticode, для проверки того, что программа была написана доверенным программистом и не была модифицирована.
Типовым решением по обеспечению безопасности является следующая политика. Если это возможно, брандмауэры должны быть сконфигурированы так, чтобы блокировать загрузку апплетов из внешних источников и загрузку апплетов из внутренних доверенных сетей внешними пользователями, если только для защиты от недоверенных источников не используется технология аутентификации. Пользователи должны сконфигурировать свои браузеры так, чтобы загрузка апплетов была возможна только из надежных источников. Если это невозможно, то браузеры следует сконфигурировать так, чтобы загрузка апплетов была запрещена. При необходимости следует разрешить загружать апплеты только в исследовательских сетях, но не в тех, которые используются для обеспечения работы организации.
Нарушение политики в отношении лицензирования программ приводит к тому, что когда пользователи из внешних источников загружают тестовые версии программ или версии, которые работают ограниченное время, не регистрируются или делают это неправильно, организация может оказаться нарушителем правил лицензирования программ. Это может привести к судебным искам или к потере репутации при обнаружении таких фактов. Политика безопасности должна детально описывать корпоративную политику в отношении загрузки коммерческих программ.
2.2. Предотвращение потерь и восстановление данных
В настоящее время наиболее надежным средством предотвращения потерь информации является установка источников бесперебойного питания. Крупные компании устанавливают резервные линии электропитания, подключенные к разным подстанциям, и при выходе из строя одной из них, электричество подается с другой.
В настоящее время для восстановления данных при сбоях применяется два способа: использование дублирующих друг друга зеркальных дисков и организация надежной и эффективной системы архивации.
Использование зеркальных дисков иначе называют архитектурой RAID (Redundant Arrays of Inexpensive Disks), которая предусматривает хранение избыточной информации (Parity), используемой для быстрого восстановления данных при сбое любого из дисков. Для реализации Raid-архитектуры используется специальная плата Raid-контроллера, соединяющего с помощью специального интерфейса с дисковым массивом и снабженного специальной системой диагностики контроля данных, а также быстрого восстановления данных после сбоя. В производстве Raid-контроллеров лидирующее положение занимают фирмы Micropolis, Dynatek [6].
Организация надежной и эффективной системы архивации – еще одна важная задача по обеспечению сохранности информации в сети. В больших корпоративных сетях для организации резервного копирования данных, поступающих с любого из сетевых серверов и рабочих станций, используют специализированный архивационный сервер. При архивации выполняется сжатие данных.
2.3. Контроль доступа и управление ключами
Основным средством ограничения доступа в ВС является система идентификации и аутентификации. Идентификация и аутентификация (ИдиА) – это процессы распознавания и проверки подлинности заявлений о себе пользователей и процессов [5]. ИдиА обычно используется при принятии решения, можно ли разрешить доступ к системным ресурсам пользователю или процессу. Определение того, кто может иметь доступ к тем или иным данным, должно быть составной частью процесса классификации данных и ресурсов.
Особо затруднена ИдиА в общественных сетях. Достаточно легко можно перехватить данные идентификации и аутентфикации (или вообще любые данные) и повторить их, чтобы выдать себя за пользователя. Другой проблемой является возможность вклиниться в сеанс пользователя после выполнения им аутентификации.
Существует три основных вида аутентификации – статическая, устойчивая и постоянная. Статическая аутентификация использует пароли и другие технологии, которые могут быть скомпрометированы с помощью повтора этой информации атакующим [5]. Часто эти пароли называются повторно используемыми паролями. Устойчивая аутентификация использует криптографию или другие способы для создания одноразовых паролей, которые генерируются при каждом новом сеансе работы. Этот способ может быть скомпрометирован с помощью вставки сообщений атакующим в соединение. Постоянная аутентификация предохраняет от вставки сообщений атакующим.
Статическая аутентификация обеспечивает защиту только от атак, в ходе которых атакующий не может видеть, вставить или изменить информацию, передаваемую между аутентифицируемым и аутентифицирующим в ходе аутентификации и последующего сеанса. В этом случае атакующий может только попытаться определить данные для аутентификации пользователя с помощью инициации процесса аутентификации (что может сделать законный пользователь) и совершения ряда попыток угадать эти данные. Традиционные схемы с использованием паролей обеспечивают такой вид защиты, но сила аутентификации в основном зависит от сложности угадывания паролей и того, насколько хорошо они защищены.
Устойчивая аутентификация использует динамические данные аутентификации, меняющиеся с каждым сеансом аутентификации. Атакующий, который может перехватить информацию, передаваемую между аутентифицируемым и аутентифицирующим, может попытаться инициировать новый сеанс аутентификации с аутентифицирующим и повторить записанные им данные аутентификации в надежде замаскироваться под легального пользователя. Усиленная аутентификация первого уровня защищает от таких атак, так как данные аутентификации, записанные в ходе предыдущего сеанса аутентификации, не смогут быть использованы для аутентификации в последующих сеансах. Тем не менее устойчивая аутентификация не защищает от активных атак, в ходе которых атакующий может изменить данные или команды, передаваемые пользователем серверу после аутентификации. Так как на время сеанса сервер связан с пользователем (прошедшим аутентификацию) логическим соединением, то оба участника (сервер и пользователь) уверены в источнике получаемых команд по этому соединению. Традиционные пароли не могут обеспечить устойчивую аутентификацию, так как пароль пользователя можно перехватить и использовать в дальнейшем, в то время как одноразовые пароли и электронные цифровые подписи способны обеспечить такой уровень защиты.
Постоянная аутентификация обеспечивает защиту от атакующих, которые могут перехватить, изменить и вставить информацию в поток данных, передаваемых между аутентифицирующим и аутентифицируемым даже после аутентификации. Такие атаки обычно называются активными атаками, так как подразумевается, что атакующий может активно воздействовать на соединение между пользователем и сервером. Одним из способов реализации этого является обработка с помощью алгоритма генерации электронных подписей каждого бита данных, посылаемых от пользователя к серверу. Возможны и другие комбинации на основе криптографии, которые могут позволить реализовать данную форму аутентификации, но текущие стратегии используют криптографию для обработки каждого бита данных. Иначе незащищенные части потока данных могут показаться подозрительными.
Политика администрирования паролей предполагает следующие правила. Идентификаторы пользователей и их пароли должны быть уникальными для каждого пользователя. Пароли должны состоять как минимум из семи символов (не должны быть именами или известными фразами). Должно производиться периодическое тестирование специальными программами на предмет выявления угадываемых паролей (в этих программах должен быть набор правил по генерации угадываемых паролей). Пароли должны держаться в тайне, то есть не должны сообщаться другим людям, не должны вставляться в тексты программ, и не должны записываться на бумагу. Большинство систем могут заставить принудительно поменять пароль через определенное время и предотвратить использование того же самого или угадываемого пароля. Учетные записи пользователей должны быть заморожены после трех неудачных попыток входа в систему. Все случаи неверно введенных паролей должны быть записаны в системный журнал, чтобы потом можно было предпринять действия. Сеансы пользователей с сервером должны блокироваться после 15-минутной неактивности (или другого указанного периода). Для возобновления сеанса должен снова требоваться ввод пароля. При успешном входе в систему должны отображаться дата и время последнего входа в систему.
Существует много технологий для реализации устойчивой аутентификации, включая генераторы динамических паролей, системы «запрос – ответ» на основе криптографии и смарт-карт, а также цифровые подписи и сертификаты. Если для аутентификации должны использоваться электронные подписи, то требуется использование сертификатов. Сертификаты обычно состоят из определенной информации и электронной подписи информационной части сертификата, выданной доверенным лицом. Сертификаты выдаются ответственным лицом в вашей организации или внешней доверенной организацией. В рамках Интернета появилось несколько коммерческих инфраструктур для распространения сертификатов электронных подписей (PKI). Пользователи могут получить сертификаты различных уровней.
С помощью сертификатов первого уровня проверяют истинность адресов электронной почты. Это делается с помощью персонального информационного номера, который пользователь должен сообщить при своей регистрации в системе сертификатов. Сертификаты этого уровня могут содержать имя пользователя, а также адрес электронной почты, но идентификационная информация в сертификате может не быть уникальной. С помощью сертификатов второго уровня проверяют истинность имени пользователя, его адреса и другой уникальной персональной информации или информации, связанной с получением кредитов. Сертификаты третьего уровня используются внутри организаций. В их состав кроме информации, содержащейся в сертификате второго уровня, входит фотография сотрудника.
После получения сертификата он может быть загружен в программу электронной почты или в веб-браузер, в котором он будет использоваться для удостоверения личности пользователя при запросе веб-сайта или при другой ситуации. Для эффективного использования таких систем нужны доверенные сертификационные центры, иначе могут появиться фальшивые сертификаты.
Во многих современных веб-серверах и веб-браузерах имеются возможности по использованию электронных сертификатов. SSL – это технология, используемая в большинстве веб-приложений. SSL версии 2.0 поддерживает усиленную аутентификацию на веб-сервере, а SSL 3.0 добавил поддержку аутентификации клиента. После того как обе стороны произвели взаимную аутентификацию, все данные, передаваемые в ходе сеанса, шифруются, обеспечивая защиту как от перехвата данных, так и от вставки данных в сеанс. Электронные сертификаты используют стандарт X.509, содержат в себе информацию о том, кто выдал сертификат, период его использования и другую информацию [5]. Даже при использовании электронных сертификатов пароли продолжают играть важную роль. Так как сертификат хранится в компьютере, он может быть использован только для аутентификации компьютера, а не пользователя, если только пользователь не осуществляет свою аутентификацию при использовании компьютера. Очень часто для этого используются пароли или ключевые фразы, смарт-карты. Применяется также организация контроля доступа в помещения или к конкретному компьютеру в ЛВС с помощью различных видов идентификационных пластиковых карточек, как правило, – микропроцессорных. Установка специального считывающего устройства карточек производится как на входе в помещение, где расположены сетевые станции, так и на рабочих станциях и серверах ВС.
Для предотвращения ознакомления с компьютерной информацией лиц, не имеющих к ней доступа, чаще всего используется шифрование данных как программными, так и аппаратными средствами (например, криптоплатами Hasp), причем процесс шифрования выполняется на уровне представления данных. Существует большое число алгоритмов шифрования и стандартов длин ключей. Политика должна требовать использования алгоритмов, которые уже достаточно долго используются и доказали на практике, что они обеспечивают безопасность данных. Длина ключей шифрования должна определяться на основе важности шифруемых данных.
2.4. Применение брандмауэра для контроля доступа
Другим важным вопросом является обеспечение безопасности доступа извне к внутренним ресурсам. Для небольших, относительно статичных групп пользователей (сотрудников организации) решением может оказаться создание VPN, которая охватывает всех пользователей, которым нужен доступ к внутренним ресурсам. Однако для больших и часто меняющихся групп пользователей требуются другие способы обеспечения безопасности доступа.
Одним из решений является размещение ресурсов снаружи брандмауэра. Это приводит к снижению риска для внутренних систем, но делает базу данных уязвимой для атак извне и может потребовать организации взаимодействия через брандмауэр с внутренними системами для внесения изменений в базу. Такой подход является в большинстве случаев неприемлемым во многих случаях, когда к базе данных требуется частый доступ из внутренних систем.
Основная функция брандмауэра – централизация управления доступом. Если удаленные пользователи могут получить доступ к внутренним сетям в обход брандмауэра, его эффективность близка к нулю.
Брандмауэры обеспечивают несколько типов защиты:
– блокировать нежелательный трафик;
– направлять входной трафик только к надежным внутренним системам;
– скрыть уязвимые системы, которые нельзя обезопасить от атак из Интернета другим способом;
– протоколировать трафик в (из) внутренней сети;
– скрывать информацию от других пользователей Интернета об именах систем, топологии сети, типах сетевых устройств и внутренних идентификаторах пользователей;
– обеспечить более надежную аутентификацию, чем та, которую представляют стандартные приложения.
Прозрачность – это видимость брандмауэра как внутренним пользователям, так и внешним, осуществляющим взаимодействие через брандмауэр. Брандмауэр прозрачен для пользователей, если он не мешает им получить доступ к сети. Обычно брандмауэры конфигурируются так, чтобы быть прозрачными для внутренних пользователей сети (посылающих пакеты наружу за брандмауэр); с другой стороны, брандмауэр конфигурируется так, чтобы быть непрозрачным для внешних пользователей, пытающихся получить доступ к внутренней сети извне. Это обычно обеспечивает высокий уровень безопасности и не мешает внутренним пользователям.
Брандмауэры на основе маршрутизаторов не обеспечивают аутентификации пользователей. Брандмауэры, в состав которых входят прокси-серверы, обеспечивают следующие типы аутентификации:
- имя и пароль – это самый ненадежный вариант, так как эта информация может быть перехвачена в сети или получена иным способом;
- одноразовый пароль – используют программы или специальные уст-ройства для генерации нового пароля для каждого сеанса. Это означает, что старый пароль не может быть повторно использован, если он был перехвачен в сети или украден другим способом;
- электронный сертификат, который использует шифрование с открытыми ключами.
Тривиальным случаем брандмауэра является маршрутизатор, который может выступать в роли устройства для фильтрации пакетов; он может только маршрутизировать пакеты, а прикладные шлюзы, наоборот, не могут быть сконфигурированы для маршрутизации трафика между внутренним и внешним интерфейсами брандмауэра, так как это может привести к обходу средств защиты. Все соединения между внешними и внутренними хостами должны проходить через прикладные шлюзы (прокси-серверы).
Существует несколько различных реализаций брандмауэров, которые могут быть созданы разными путями.
Брандмауэры с фильтрацией пакетов используют маршрутизаторы с правилами фильтрации пакетов для предоставления или запрещения доступа на основе адреса отправителя, адреса получателя и порта; они обеспечивают минимальную безопасность за низкую цену, и это может оказаться приемлемым для среды с низким риском. Брандмауэры с фильтрацией пакетов являются
быстрыми, гибкими и прозрачными. Правила фильтрации часто нелегко администрировать, но имеется ряд средств для упрощения задачи создания и поддержания правил [2].
Шлюзы с фильтрацией имеют свои недостатки, включая:
адреса и порты отправителя и получателя, содержащиеся в заголовке IP-пакета, – единственная информация, доступная маршрутизатору при принятии решения о том, разрешать или запрещать доступ трафика во внутреннюю сеть;
не защищают от фальсификации IP- и DNS-адресов;
атакующий получит доступ ко всем хостам во внутренней сети после того, как ему был предоставлен доступ брандмауэром;
усиленная аутентификация пользователя не поддерживается некоторыми шлюзами с фильтрацией пакетов;
практически отсутствуют средства протоколирования доступа к сети.
Прикладной шлюз использует программы (называемые прокси-серверами), запускаемые на брандмауэре. Эти прокси-серверы принимают запросы извне, анализируют их и передают безопасные запросы внутренним хостам, которые предоставляют соответствующие сервисы. Прикладные шлюзы могут обеспечивать такие функции, как аутентификация пользователей и протоколирование их действий. Так как прикладной шлюз считается самым безопасным типом брандмауэра, эта конфигурация имеет ряд преимуществ с точки зрения сайта со средним уровнем риска:
брандмауэр может быть сконфигурирован как единственный хост, видимый из внешней сети, что будет требовать прохода всех соединений с внешней сетью через него. Использование прокси-серверов для различных сервисов предотвращает прямой доступ к этим сервисам, защищая организацию от небезопасных или плохо сконфигурированных внутренних хостов. С помощью прикладных шлюзов может быть реализована усиленная аутентификация. Прокси-серверы могут обеспечивать детальное протоколирование на прикладном уровне;
брандмауэры прикладного уровня должны конфигурироваться так, чтобы весь выходящий трафик казался исходящим от брандмауэра (чтобы только брандмауэр был виден внешним сетям). Таким образом, будет запрещен прямой доступ ко внутренним сетям. Все входящие запросы различных сетевых сервисов, таких как Telnet, FTP, HTTP, RLOGIN и т. д., независимо от того, какой внутренний хост запрашивается, должны проходить через соответствующий прокси-сервер на брандмауэре.
Прикладные шлюзы требуют прокси-сервера для каждого сервиса, такого как FTP, HTTP и т. д., поддерживаемого брандмауэром. Когда требуемый сервис не поддерживается прокси, у организации имеется три варианта действий:
отказаться от использования этого сервиса, пока производитель брандмауэра не разработает для него безопасный прокси-сервер – это предпочтительный подход, так как многие новые сервисы имеют большое число уязвимых мест;
разработать свой прокси – это достаточно сложная задача, которая должна решаться только техническими организациями, имеющими соответствующих специалистов;
пропустить сервис через брандмауэр – использование того, что обычно называется «заглушками», большинство брандмауэров с прикладными шлюзами позволяет пропускать большинство сервисов через брандмауэр с минимальной фильтрацией пакетов. Это может ограничить число уязвимых мест, но привести к компрометации систем за брандмауэров.
Гибридные шлюзы объединяют в себе два описанных выше типа брандмауэра и реализуют их последовательно, а не параллельно. Если они соединены последовательно, то общая безопасность увеличивается, с другой стороны, если их использовать параллельно, то общая безопасность системы будет равна наименее безопасному из используемых методов. В средах со средним и высоким риском гибридные шлюзы могут оказаться идеальной реализацией бранд-мауэра.
2.5. Архитектура брандмауэра
Брандмауэры могут быть сконфигурированы в виде одной из нескольких архитектур, что обеспечивает различные уровни безопасности при различных затратах на установку и поддержание работоспособности. Организации должны проанализировать свой профиль риска и выбрать соответствующую архитектуру. Ниже описываются типичные виды архитектуры брандмауэра.
Хост, подключенный к двум сегментам сети, – такой хост, который имеет более одного интерфейса с сетью, причем каждый интерфейс с сетью подключен физически к отдельному сегменту сети [2]. Самым распространенным примером является хост, подключенный к двум сегментам. Брандмауэр на основе хоста, подключенного к двум сегментам сети, – брандмауэр с двумя сетевыми платами, каждая из которых подключена к отдельной сети. Например, одна сетевая плата соединена с внешней (небезопасной) сетью, а другая – с внутренней (безопасной). В этой конфигурации ключевым принципом обеспечения безопасности является запрет прямой маршрутизации трафика из недоверенной сети в доверенную – при этом брандмауэр всегда должен быть промежуточным звеном. Маршрутизация должна быть отключена на брандмауэре такого типа, чтобы IP-пакеты из одной сети не могли пройти в другую.
Экранированный хост. При архитектуре данного типа используется хост (хост-бастион), с которым может установить соединение любой внешний хост, но запрещен доступ ко всем другим внутренним, менее безопасным хостам. Для этого фильтрующий маршрутизатор конфигурируется так, что все соединения с внутренней сетью из внешних сетей направляются к хосту-бастиону. Если шлюз с пакетной фильтрацией установлен, то хост-бастион должен быть сконфигурирован так, чтобы все соединения из внешних сетей проходили через него для предотвращения прямого соединения между сетью организации и Интернетом.
Экранированная подсеть. Архитектура экранированной сети по существу совпадает с архитектурой экранированного хоста, но добавляет еще одну линию защиты с помощью создания сети, в которой находится хост-бастион, отделенной от внутренней сети. Экранированная подсеть должна внедряться с помощью добавления сети-периметра для того, чтобы отделить внутреннюю сеть от внешней. Это гарантирует, что даже при успехе атаки на хост-бастион атакующий не сможет пройти дальше сети-периметра из-за того, что между внутренней сетью и сетью-периметром находится еще один экранирующий маршрутизатор.
Хотя брандмауэры обычно помещаются между сетью и внешней небезопасной сетью, в больших организациях или компаниях брандмауэры часто используются для создания различных подсетей в сети, часто называемой интранетом. Брандмауэры в интранете размещаются для изоляции отдельной подсети от остальной корпоративной сети. Причиной этого может быть то, что доступ к этой сети нужен только для некоторых сотрудников, и этот доступ должен контролироваться брандмауэрами и предоставляться только в том объеме, который нужен для выполнения обязанностей сотрудника. Примером может быть брандмауэр для финансового отдела или бухгалтерии в организации.
Требования обеспечения большой пропускной способности канала, его надежности часто могут потребовать установки нескольких брандмауэров, работающих параллельно. Управление нагрузкой – это процесс, посредством которого сетевой трафик, проходящий по сети, распределяется между несколькими брандмауэрами для достижения высокой пропускной способности сети. Причин для этого две – необходимость разделения нагрузки и наличия резервного брандмауэра (в случае выхода из строя одного брандмауэра безопасность будет все равно обеспечиваться). Так как они работают параллельно, политики безопасности, реализуемые ими, должны быть идентичны, иначе результирующий уровень безопасности будет равен уровню безопасности наименее безопасного брандмауэра.
При использовании нескольких параллельно работающих брандмауэров для обеспечения нужной надежности или пропускной способности конфигурация каждого брандмауэра должна быть идентичной и все они должны администрироваться одним и тем же администратором. Несколько внутренних брандмауэров могут использоваться для сегментации сетей в целях управления доступом к критическим данным и протоколирования такого доступа. Называемые брандмауэрами интранета такие конфигурации брандмауэров часто используются в организациях для защиты компьютеров, работающих с финансовой информацией или информацией о сотрудниках.
2.6. Формирование виртуальных локальных вычислительных сетей
Безопасность каналов передачи данных в локальных ВС (ЛВС) наиболее полно реализуется посредством коммутаторов, которые позволяют реализовывать технологии виртуальных локальных сетей. Несмотря на схожесть терминов не следует путать виртуальные частные (VPN – Virtual Private Network) и локальные (Virtual LAN, VLAN) сети. Виртуальные частные сети позволяют на сетевом уровне безопасно объединить через глобальные сети (например, Интернет) или линии телефонной связи несколько локальных сетей в единую виртуальную ЛВС. Виртуальные локальные сети позволяют на канальном уровне выделить внутри одной физически существующей ЛВС несколько изолированных друг от друга виртуальных ЛВС. Виртуальной сетью называется группа узлов сети, кадры которых, в том числе и широковещательные, на канальном уровне полностью изолированы от других узлов сети [1].
Несмотря на то, что все узлы сети могут, например, быть подключены к одному и тому же коммутатору, передача кадров на канальном уровне между ними невозможна. Передача кадров между разными виртуальными сетями возможно только на сетевом уровне при помощи маршрутизатора. В то же время, внутри виртуальной сети кадры передаются коммутатором стандартным образом – на канальном уровне и только на необходимый порт. Виртуальные сети могут пересекаться, если один или несколько компьютеров входят в состав более чем одной виртуальной сети. В таком случае виртуальные локальные сети могут взаимодействовать между собой через эти общие компьютеры, которые могут являться, например, файловыми или почтовыми серверами.
Технология виртуальных сетей создает гибкую основу для построения крупной сети, соединенной маршрутизаторами, так как коммутаторы позволяют создавать полностью изолированные сегменты программным путем, что очень удобно в крупных сетях. До появления технологии VLAN для создания отдельной сети использовались либо физически изолированные сегменты коаксиального кабеля, либо несвязанные между собой сегменты, построенные на повторителях и мостах. Затем эти сети связывались маршрутизаторами в единую составную сеть посредством подключения сетевого оборудования к портам концентраторов, коммутаторов и маршрутизаторов, изменения в прокладке кабеля и т. д. В больших сетях это требовало значительного объема работ, что повышало вероятность ошибок. При создании виртуальных сетей программным способом порты коммутатора при помощи графической программы легко группируются в отдельные виртуальные сети. Другим, более гибким способом, является группировка в виртуальные сети не портов коммутатора, а МАС-адресов отдельных компьютеров.
2.7. Безопасность каналов удаленного доступа
В корпоративных сетях для удаленного доступа могут использовать как Интернет, так и телефонные линии. За обоими видами соединений требуется контроль, но большую опасность представляют соединения с Интернетом. Злоумышленник, перехватывающий сеанс удаленного пользователя может прочитать весь трафик, включая передаваемые файлы, письма и информацию для аутентификации. Если же организации шифруют весь сеанс, то это решит как проблему аутентификации, так и вопросы конфиденциальности. Для организаций с уровнем риска не ниже среднего следует использовать шифрование для предотвращения неавторизованного просмотра информации, передаваемой в ходе сеанса удаленного пользователя.
Весь удаленный доступ к компьютерам организации либо через Интернет, либо через телефонные линии должен использовать шифрование для обеспечения конфиденциальности сеанса. Для удаленного доступа должны использоваться только утвержденные в организации программные продукты, чтобы обеспечить гарантии взаимной работоспособности программ, реализующих технологии шифрования удаленного доступа к серверу.
Информация о получении доступа к компьютерам организации, такая как телефонные номера модемов, считается конфиденциальной. Эта информация не должна сообщаться в BBS, телефонных справочниках, визитных картах или иным способом быть доступной посторонним лицам без соответствующего разрешения [1].
Многие организации имеют несколько локальных сетей и информационных серверов, находящихся в физически удаленных друг от друга местах. Если требуется обеспечить доступ к информации для всех сотрудников организации, то часто для соединения ЛВС с глобальными сетями используются выделенные линии, которые достаточно дороги, и поэтому Интернет является хорошей альтернативой для соединения нескольких ЛВС.
Основным недостатком использования Интернета для этой цели является отсутствие конфиденицальности данных, передаваемых по Интернету между ЛВС, а также уязвимость к подмене пакетов и другим атакам. Виртуальные частные сети VPN решают данную проблему путем шифрования трафика для обеспечения безопасности. Обычно шифрование выполняется между брандмауэрами и безопасное взаимодействие возможно только для небольшого числа ЛВС [4]. Однако виртуальные частные сети не должны использовать Интернет для передачи критичного к оперативности передачи трафика. Если уровень надежности, предоставляемый Интернетом, недостаточен для обеспечения требуемого уровня сервиса, для передачи данных должны использоваться другие способы. Желательно иметь средства, обеспечивающие быстрое создание резервного канала для передачи в случае временной невозможности передачи через Интернет. Важным вопросом при создании виртуальных частных сетей является то, что в каждой ЛВС должны использоваться эквивалентные политики безопасности. VPN по существу создает одну большую сеть из группы независимых ранее сетей, поэтому безопасность VPN будет равна безопасности наименее защищенной ЛВС – если хотя бы одна ЛВС позволяет осуществить незащищенный доступ по коммутируемым линиям, то под угрозой окажутся все ресурсы VPN.
Существует несколько вариантов создания VPN [2].
Защищенные каналы – брандмауэр шифрует весь трафик, передаваемый удаленному хосту или сети, и расшифровывает весь трафик, принятый от них. Трафик между хостами в VPN, связанными защищенными каналами, передается свободно, как будто между ними нет брандмауэров. На самом деле трафик маршрутизируется брандмауэрами VPN, обработка его прокси-серверами и аутентификация не требуются. Любые два хоста внутри VPN, связанные защищенными каналами, могут свободно обмениваться данными между собой и предоставлять все сервисы TCP/IP, которые у них имеются. Защищенные каналы часто используются для соединения географически разделенных сетей, принадлежащих одной организации, каждая из которых имеет свое собственное подключение к Интернету через провайдера в одну виртуальную сеть безопасным способом.
Частные каналы – трафик между брандмауэром и удаленным хостом шифруется так же, как и для защищенного канала, но трафик между удаленными хостами, связанными частными каналами, не передается свободно, а должен быть обработан прокси-сервером брандмауэра, а соединение аутентифицировано, как того требует обычная политика доступа для прокси-сервера. Этот вид канала обеспечивает аутентификацию отправителя трафика и конфиденциальность данных, но в данном случае две сети обеспечивают наличие двух различных периметров безопасности и могут использоваться только те сервисы, для которых сконфигурирована передача прокси-серверу в брандмауэре. Частные каналы часто используются для организации связи между сетями различных организаций, которые не хотят предоставлять полного доступа к их сетям и требуют конфиденциальности трафика между ними.
Промежуточные каналы используются для промежуточной передачи зашифрованного трафика между хостами за брандмауэрами, которые (хосты) сами входят в состав другой VPN. Это позволяет брандмауэру, находящемуся между двумя другими VPN, быть сконфигурированным так, что он только передает зашифрованные данные, но не расшифровывает трафик и даже не знает ключа шифрования, ему надо лишь знать адреса хостов по обе стороны брандмауэра, участвующих в организации этого канала, чтобы определить, какие зашифрованные пакеты пропускать. Такая архитектура позволяет использовать промежуточный брандмауэр как маршрутизатор.
При использовании для удаленного доступа коммутируемых каналов, несмотря на существование нескольких конфигураций, основной проблемой безопасности является аутентификация, обеспечение гарантий того, что только законные пользователи могут получить удаленный доступ к вашей системе. Другой проблемой является контроль за использованием возможностей удаленного доступа. Самым эффективным является объединение модемов, используемых для удаленного доступа, в серверы доступа или модемные пулы, администрируемые из одной точки.
Новые информационные технологии открывают огромные возможности не только в развитии глобальных сетей, но и в создании неизвестных ранее средств и методов совершения преступлений разного вида в мировой информационной среде. Поэтому вопрос о безопасности не может быть решен окончательно, научные и технические исследования в этой области не могут быть односторонними и единовременными, в тоже время должны постоянно отслеживать динамику развития информационных вычислительных сетей.