Арутюнов В.В. Основы информационной безопасности

Подождите немного. Документ загружается.

151

регистрационной информации позволяет распределять нагрузку, чтобы

сложная обработка не тормозила процес сы, от которых требуется работа в

реальном масштабе времени.

Экранирование как сервис безопасности выполняет следующие функ-

ции:

– разграничение межсетевого доступа путем фильтрации переда ваемых

данных;

– преобразование передаваемых данных.

Современные межсетевые экраны фильтруют данные на основе зара-

нее заданной базы правил, что позволяет, по сравнению с тра диционными

операционными системами, реализовывать гораздо бо лее гибкую полити-

ку безопасности. При комплексной фильтрации, ох ватывающей сетевой,

транспортный и прикладной уровни, в правилах могут фигурировать сете-

вые адреса, количество переданных дан ных, операции прикладного уровня,

параметры окружения (например, время) и т. п.

Преобразование передаваемых данных может затрагивать как слу-

жебные поля пакетов, так и прикладные данные. В первом случае обычно

имеется в виду трансляция адресов, помогающая скрыть топологию защи-

щаемой системы. Это — уникальное свойство серви са экранирования, по-

зволяющее скрывать существование некоторых объектов доступа. Преоб-

разование данных может состоять, напри мер, в их шифровании.

В процессе фильтрации (точнее, параллельно с ней) может вы полняться

дополнительный контроль (например, антивирусный).

Применение межсетевого экранирования поставщиками Интернет-

услуг в соответствии с рекомендациями разработчиков позволило бы суще-

ственно снизить шансы злоумышленников и облегчить их про слеживание.

Данная мера еще раз показывает, как важно рассмат ривать каждую ВС как

152

часть глобальной инфраструктуры и прини мать на себя долю ответствен-

ности за общую ИБ.

Туннелирование, как и экранирование, следует рассматривать как са-

мостоятельный сервис безопасности. Его суть состоит в том, чтобы «упако-

вать» передаваемую порцию данных, вместе со слу жебными полями, в но-

вый «конверт». Данный сервис может приме няться для нескольких целей:

– осуществление перехода между сетями с разными протоколами

– обеспечение конфиденциальности и целостности всей переда ваемой

порции, включая служебные поля.

Комбинация туннелирования и шифрования (с необходимой крип-

тографической инфраструктурой) на выделенных шлюзах позволяет реа-

лизовать такое важное в современных условиях защитное средство, как

виртуальные частные сети. Такие сети, наложенные обычно поверх Интер-

нет, существенно дешевле и гораздо безопаснее, чем действительно соб-

ственные сети организации, построенные на выде ленных каналах. Комму-

никации на всем их протяжении физически защитить невозможно, поэтому

лучше изначально исходить из пред положения об уязвимости и соответ-

ственно обеспечивать защиту. Современные протоколы, направленные на

поддержку классов об служивания, помогут гарантировать для виртуаль-

ных частных сетей заданную пропускную способность, величину задержек

и т. п., ликви дируя тем самым единственное на сегодняшний день реальное

преи мущество сетей собственных.

Шифрование — важнейшее средство обеспечения конфиденци-

альности. У компьютерной криптографии две стороны — собственно

криптографическая и интерфейсная, позволяющая сопрягаться с дру гими

частями информационной системы. Важно, чтобы были обеспе чены до-

статочное функциональное богатство интерфейсов и их стан дартизация.

Криптографией, в особенности шифрованием, должны, разумеется, зани-

маться профессионалы. От них требуется разработ ка защищенных инвари-

антных компонентов, которые можно было бы свободно (по крайней мере,

с технической точки зрения) встраивать в существующие и перспективные

конфигурации.

У современного шифрования есть и внутренние проблемы — как техни-

ческие, так и нормативные. Из технических наиболее острой является про-

блема производительности. Программная реализация на универсальных

процессорах не является адекватным средством (здесь можно провести

аналогию с компрессией видеоизображений). Еще одна техническая зада-

ча — разработка широкого спектра продуктов, предназначенных для ис-

пользования во всех видах компьютерного и сетевого оборудования.

Контроль целостности относится к числу «благополучных» сер висов

безопасности, несмотря на его криптографическую природу. Здесь и про-

блема производительности стоит не так остро, как в слу чае шифрования, и

отечественные стандарты лучше согласуются с международными.

153

В современных системах контроль целостности должен распро страняться

не только на отдельные порции данных, аппаратные или программные ком-

поненты. Он обязан охватывать распределенные кон фигурации, защищать

от несанкционированной модификации потоки данных.

Имеются средства контроля целостности, разработанные компа ниями

Sun Microsystems и Axent Technologies.

Контроль защищенности по сути представляет собой попытку «взло-

ма» информационной системы, осуществляемого силами самой организа-

ции или уполномоченными лицами. Идея данного сервиса в том, чтобы ра-

нее злоумышленников обнаружить слабости в защите. В первую очередь,

имеются в виду не архитектурные (их ликвидиро вать сложно), а «оператив-

ные» бреши, появившиеся в результате ошибок администрирования или

из-за невнимания к обновлению вер сий программного обеспечения.

Средства контроля защищенности позволяют накапливать и много-

кратно использовать знания об известных атаках. Очевидна их схо жесть с

антивирусными средствами; формально последние можно счи тать их под-

множеством. Очевиден и реактивный, запаздывающий характер подобного

контроля (он не защищает от новых атак). Следует помнить, что оборона

должна быть эшелонированной, так что в качестве одного из рубежей кон-

троль защищенности вполне адекватен. Подав ляющее большинство атак

носит рутинный характер; они возможны только потому, что известные

уязвимости годами остаются неустраненными.

Продукт CyberCop Scanner компании Network Associates выпол няет бо-

лее 300 различных проверок и обеспечивает контроль опера ционных си-

стем, Web-серверов, межсетевых экранов, фильтрующих маршрутизаторов

и т. д.

Обнаружение и нейтрализация отказов, оперативное вос-

становление относится к числу сервисов, обеспечивающих высо кую до-

ступность (готовность). Его работа опирается на элементы ар хитектурной

безопасности, а именно на существование избыточности в аппаратно-

программной конфигурации.

В настоящее время спектр программных и аппаратных средств данного

класса можно считать сформировавшимся. На программном уровне соот-

ветствующие функции берет на себя программное обес печение промежу-

точного слоя. Среди аппаратно-программных про дуктов стандартом стали

кластерные конфигурации. Восстановление производится действительно

оперативно (десятки секунд, в крайнем случае минуты), прозрачным для

приложений образом.

Обнаружение отказов и оперативное восстановление может иг рать по

отношению к другим средствам безопасности роль инфра структурного сер-

виса, обеспечивая высокую готовность последних. Это особенно важно для

межсетевых экранов, средств поддержки виртуальных частных сетей, серве-

ров аутентификации, нормальное функционирование которых критически

154

важно для корпоративной ин формационной системы в целом. Такие комби-

нированные продукты получают все более широкое распространение.

Управление можно отнести к числу инфраструктурных сервисов, обе-

спечивающих нормальную работу функционально полезных ком понентов

и средств безопасности. Сложность современных систем такова, что без

правильно организованного управления они постепен но (а иногда и до-

вольно быстро) деградируют как в плане эффектив ности, так и в плане за-

щищенности.

Особенно важной функцией управления является контроль согла-

сованности конфигураций различных компонентов (имеется в виду се-

мантическая согласованность, относящаяся, например, к наборам правил

нескольких межсетевых экранов). Процесс администрирова ния идет посто-

янно; требуется, однако, чтобы при этом не наруша лась политика безопас-

ности.

Компания «Инфосистемы Джет» имеет уникальный для России опыт

установки и эксплуатации комплексной системы управления СА Unicenter

компании Computer Associates. Эта система охватывает все дисциплины

управления, она позволяет работать не только в техни ческих терминах, но

и в терминах бизнес-процессов, что особенно важно для руководителей ор-

ганизаций.

Выше были перечислены десять сервисов безопасности. Как объеди-

нить их для создания эшелонированной обороны, каково их место в общей

архитектуре сети?

На внешнем рубеже располагаются средства выявления зло-

умышленной активности и контроля защищенности. Далее идут межсе-

тевые экраны, защищающие внешние подключения. Они, вместе со сред-

ствами поддержки виртуальных частных сетей (обыч но объединяемых с

межсетевыми экранами), образуют периметр бе зопасности, отделяющий

корпоративную систему от внешнего мира.

Сервис активного аудита (как и управление) должен присутство вать

во всех критически важных компонентах и, в частности, в защит ных. Это

позволит быстро обнаружить атаку, даже если по каким-либо причинам она

окажется успешной.

Управление доступом также должно присутствовать во всех сер висах,

функционально полезных и инфраструктурных. Доступу должна предше-

ствовать идентификация и аутентификация субъектов.

Криптографические средства (шифрование, контроль целост ности)

целесообразно выносить на специальные шлюзы, где им мо жет быть обе-

спечено квалифицированное администрирование. Мас штабы пользова-

тельской криптографии следует минимизировать.

Наконец, последний рубеж образуют средства пассивного ауди та, по-

могающие оценить последствия нарушения безопасности, най ти виновно-

го, выяснить, почему успех атаки стал возможным.

155

6.2. Международные стандарты X.800 и Х.509

Стандарт X.800 описывает основы безопасности распределенных си-

стем в привязке к эталонной семиуровневой модели взаимодей ствия от-

крытых систем ISO/OSI (ВОС).

Стандарт предусматривает следующие сервисы безопасности:

– аутентификация — имеются в виду два различных аспекта: аутен-

тификация партнеров по общению и аутентификация источника данных;

– управление доступом — обеспечивает защиту от несанкциони-

рованного использования ресурсов, доступных по сети;

– конфиденциальность данных. В Х.800 под этим понятием объе динены

существенно разные вещи -— от защиты отдельной порции данных до кон-

фиденциальности трафика;

– целостность данных. Этот сервис подразделяется на подвиды в зави-

симости оттого, что контролируется — целостность сообщений или потока

данных, обеспечивается ли восстановление в случае на рушения целостно-

сти;

– неотказуемость. Данный сервис относится к прикладному уров ню,

то есть имеется в виду невозможность отказаться от содержатель ных дей-

ствий, таких, например, как отправка или прочтение письма.

Администрирование средств безопасности включает в себя распростра-

нение информации, необходимой для работы сервисов безопасности, а так-

же сбор и анализ информации об их функциони ровании. Примерами могут

служить распространение криптографи ческих ключей, установка прав до-

ступа, анализ регистрационного журнала и т. п.

Концептуальной основой администрирования является информа-

ционная база управления ИБ. Эта база может не существовать как единое

(распределенное) хранилище, но каждый компонент системы должен рас-

полагать информацией, достаточной для проведения в жизнь избранной

политики безопасности.

При этом в условиях глобальной связности администрирование пере-

стает быть внутренним делом организации. Во-первых, плохо защищенная

система может стать плацдармом для подготовки и про ведения злоумыш-

ленных действий. Во-вторых, прослеживание нару шителя эффективно

лишь при согласованных действиях многих ад министраторов.

Стандарт Х.509 описывает процедуру аутентификации с исполь-

зованием службы каталогов. Впрочем, наиболее ценной в стандарте оказа-

лась не сама процедура, а ее служебный элемент — структура сертификатов,

хранящих имя пользователя, криптографические ключи и сопутствующую

информацию. Подобные сертификаты — важнейший элемент современных

схем аутентификации и контроля целостности.

Следует отметить, что с точки зрения безопасности существенны ми

при защите сетей представляются следующие аспекты:

156

– корпоративная сеть имеет несколько территориально разнесен-

ных частей (поскольку организация располагается на нескольких про-

изводственных площадках), связи между которыми находятся в ве дении

внешнего поставщика сетевых услуг, выходя за пределы контролируемой

зоны;

– корпоративная сеть имеет одно или несколько подключений к Интер-

нету;

– на каждой из производственных площадок могут находиться кри-

тически важные серверы, в доступе к которым нуждаются работники, ба-

зирующиеся на других площадках, мобильные работники и, возмож но, со-

трудники сторонних организаций и другие внешние пользователи;

– для доступа пользователей могут применяться не только ком пьютеры,

но и потребительские устройства, использующие, в частно сти, беспровод-

ную связь;

– в течение сеанса работы пользователю приходится обращаться к не-

скольким информационным сервисам, опирающимся на разные аппаратно-

программные платформы;

– к доступности информационных сервисов предъявляются жест кие

требования, обычно выражающиеся в необходимости круглосу точного

функционирования с максимальным временем простоя по рядка минут или

десятков минут;

– ВС представляет собой сеть с активными агентами, то есть в процессе

работы программные компоненты передаются с одной ма шины на другую

и выполняются в целевой среде, поддерживая связь с удаленными компо-

нентами;

– не все пользовательские системы контролируются администра торами

организации;

– программное обеспечение, особенно полученное по сети, не может

считаться безопасным, в нем могут присутствовать зловред ные элементы

или ошибки, создающие слабости в защите;

– конфигурация информационной системы постоянно изменяется на

уровнях административных данных, программ и аппаратуры (ме няется со-

став пользователей, их привилегии, версии программ, появ ляются новые

сервисы, новая аппаратура и т. п.).

Для защиты сетей одним из методов предотвращения поврежде ния ин-

формации является мониторинг сетей. Средства для мониторинга сети и

обнаружения в её работе «узких мест» можно разделить на два основных

класса:

– стратегические;

– тактические.

Назначение стратегических средств состоит в контроле над ши роким

спектром параметров функционирования всей сети и решении проблем

конфигурирования.

157

Назначение тактических средств — мониторинг и устранение неис-

правностей сетевых устройств и сетевого кабеля.

К стратегическим средствам относятся:

– системы управления сетью;

– встроенные системы диагностики;

– распределённые системы мониторинга;

– средства диагностики операционных систем, функционирующих на

больших машинах и серверах.

Наиболее полный контроль над работой осуществляют системы управ-

ления сетью, разработанные такими фирмами, как DEC, Hewlett-Packard,

IBM и AT&T. Эти системы обычно базируются на отдельном компьютере

и включают системы контроля рабочих станций, кабель ной системой, со-

единительными и другими устройствами, базой дан ных, содержащей кон-

трольные параметры для сетей различных стан дартов, а также разнообраз-

ную техническую документацию.

Одной из лучших разработок для управления сетью, позволяю щей ад-

министратору сети получить доступ ко всем её элементам вплоть до рабо-

чей станции, является пакет LANDesk Manager фирмы Intel, обеспечиваю-

щий с помощью различных средств мониторинг прикладных программ,

инвентаризацию аппаратных и программных средств и защиту от вирусов.

Этот пакет обеспечивает в реальном времени разнообразной информацией

о прикладных программах и серверах, данными о работе в сети пользова-

телей.

Распределённые системы мониторинга представляют собой спе-

циальные устройства, устанавливаемые на сегменты сети и предназ-

наченные для получения комплексной информации о трафике, а так же на-

рушениях в работе сети. Эти устройства, обычно подключаемые к рабочей

станции администратора, в основном используются в мно госегментных

сетях.

К тактическим средствам относят различные виды тестирующих

устройств (тестеры и сканеры сетевого кабеля), а также устройства для ком-

плексного анализа работы сети — анализаторы протоколов. Тестирующие

устройства помогают администратору обнаружить не исправности сетево-

го кабеля и разъёмов, а анализаторы протоко- лов - получать информацию

об обмене данными в сети. Кроме того, к этой категории средств относят

специальное ПО, позволяющее в режиме реального времени получать под-

робные отчёты о состоянии работы сети.

На сегодняшний день крупными поставщиками программных средств

разработаны различные механизмы для решения широкого спектра вопро-

сов по обеспечению общей безопасности информации в Internet. Самый из-

вестный и наиболее развитый среди них — про токол Secure Socket Layer

(SSL), предложенный фирмой Netscape. Широкое его распространение

обусловлено не только значительным влиянием на рынке самой компа-

158

нии Netscape, но и реализацией SSL другими крупными фирмами — IBM,

Microsoft и др. Они внедрили этот протокол в свои прикладные системы,

предназначенные для работы в системах с архитектурой клиент-сервер.

Последняя ее версия — SSL 2.0 — учитывает два наиболее важ ных

аспекта защиты информации в сети: задачи аутентификации и шифрова-

ния. Аутентификация необходима для подтверждения того, что пользова-

тель и сервер именно те, за кого себя выдают. Для пользователя это обычно

означает лишь ввод своего идентификатора (сетевого «имени») и пароля.

Однако аутентификация предполагает не просто старомодную иденти-

фикацию пользователя в начале сеан са связи. Любопытный хакер мог бы

«подслушать» по каналу связи эти незамысловатые процессы при подклю-

чении терминала и пере хватить пароль и идентификатор пользователя.

Для избавления от этого зла используется механизм шифрования пароля и

идентифика тора перед их отправкой по сети.

По мере развития технологий электронных платежей, «безбу мажного»

документооборота и других, серьезный сбой локальных сетей может просто

парализовать работу целых корпораций и банков, что приводит к ощути-

мым материальным потерям. По ста тистике при сбое в среднестатистиче-

ской локальной вычислитель ной сети (ЛВС) потери компании — владельца

сети — составляют от 120 тыс. до 6 млн. долларов в год (здесь учитываются

не только прямые затраты на ликвидацию повреждения, но и упущенная

выгода, потеря рабочего времени и иной ущерб).

На сегодняшний день защита данных в компьютерных сетях ста новится

одной из самых острых проблем в современной информатике.

ИБ в ЛВС предполагает обеспечение:

– целостности данных — защиту от сбоев, ведущих к потере ин формации,

а также неавторизованного создания или уничтожения данных;

– конфиденциальности информации и одновременно ее доступно сти

для всех авторизованных пользователей.

Следует отметить, что отдельные сферы деятельности (банковские и

финансовые институты, информационные сети, системы государ ственного

управления, оборонные и специальные структуры) требуют специальных

мер безопасности данных и предъявляют повышенные требования к на-

дежности функционирования информационных систем в соответствии с

характером и важностью решаемых ими задач.

Одним из удачных примеров создания комплексного решения для кон-

троля доступа в открытых системах, основанного как на программах, так

и на аппаратных средствах защиты, стала система Kerberos. В основе этой

схемы авторизации лежат три компонента.

База данных, содержащая информацию по всем сетевым ресур сам, поль-

зователям, паролям, шифровальным ключам и т. д.

Авторизационный сервер, обрабатывающий все запросы пользо вателей

на предмет получения того или иного вида сетевых услуг. Авторизацион-

159

ный сервер, получая запрос от пользователя, обраща ется к базе данных и

определяет, имеет ли пользователь право на совершение данной операции.

Примечательно, что пароли пользова телей по сети не передаются, что так-

же повышает степень ЗИ.

Сервер выдачи разрешений — получает от авторизационного сер вера

«пропуск», содержащий имя пользователя и его сетевой адрес, время запро-

са и ряд других параметров, а также уникальный сесси онный ключ. Пакет,

содержащий «пропуск», передается также в за шифрованном по алгоритму

DES виде. После получения расшифров ки «пропуска» сервер выдачи раз-

решений проверяет запрос и сравнивает ключи, затем дает «добро» на ис-

пользование сетевой аппаратуры или программ.

Среди других подобных комплексных схем можно отметить раз-

работанную Европейской Ассоциацией Производителей Компьюте-

ров (ЕСМА) систему SESAME (Secure European System for Applications in

Multivendor Environment), предназначенную для использования в круп ных

гетерогенных сетях.

Необходимо также отметить, что сеть Интернет породила неле гальный

рынок, где сбывается информация, составляющая коммер ческую тайну

корпораций.

Злоумышленники пользуются преимуществами, которые дает им си-

стема защиты Интернет, включая свободно распространяемые алго ритмы

шифрования с открытым ключом и анонимные узлы ретрансля ции элек-

тронной почты. Эти средства служат укрытием для торговцев похищенной

информации во всем мире. Однако угрозу представляет не только возмож-

ность проникновения в корпоративную сеть через брандмауэр, но и само

становление интерактивного рынка корпоратив ных данных, которые мо-

гут быть украдены и собственными сотрудни ками компании.

Многие интерактивные сделки по купле-продаже так называемых «чер-

ных» данных нередко осуществляются через частные электрон ные доски

объявлений, организованные специально для незаконной торговли. При

этом используются легитимные наименования, а также осуществляется

несколько уровней проверки на основе паролей с вопросами и ответами.

Обеспечив собственную безопасность, хаке ры или владельцы нелегальной

информации дают объявления для потенциальных покупателей и продав-

цов. Такие доски объявлений обычно через два-три месяца закрываются,

меняют адрес в сети и телефонный номер.

ЗЛ, располагающий ценной информацией, посылает в одну из телекон-

ференций через анонимный почтовый узел самоадресуемое текстовое по-

чтовое сообщение, исходящий адрес IP которого про следить невозможно.

Покупатель отвечает зашифрованным сообще нием. Если продавец согла-

сен на сделку, он отвечает другой шиф ровкой. Возникшая проблема не в

технологии, а в образе поведения. Если кто-то уверен в своей анонимности,

он начинает делать такие вещи, какие в ином случае не пришли бы ему в

160

голову.

Но нанести вред и причинить финансовый ущерб компании-жер тве

кракеры могут и не прибегая к краже. Приемом, известным как «пинание»,

кракер способен вывести из строя IP-адрес Интернета, бомбардируя его

тысячами почтовых сообщений посредством авто матических инструмен-

тов переадресации почты. Следствием этого может стать так называемое

игнорирование атак, запросов на обслу живание и выходом из строя комму-

никаций.

Общим правилом стало молчание пострадавших. Компании, сети кото-

рых были выведены из строя ЗЛ, избегают огласки этих инциден тов. Они

боятся дурной славы и новых атак со стороны других ха керов, вынюхиваю-

щих слабые места.

Еще одна потенциальная угроза — расширение информационных бро-

керов, использующих интерактивные коммуникации для устране ния кон-

такта между покупателями и продавцами. Все большее число таких броке-

ров, многие из которых являются бывшими сотрудниками разведыватель-

ных организаций США, Восточной Европы и СНГ, тес но сотрудничают с ха-

керами, добывая информацию независимыми путями.

6.3. Основные проблемы разработки

системы защиты сети от НСД

На самом начальном этапе разработки системы защиты локаль ной вы-

числительной сети (ЛВС) организации руководством фирмы перед группой

специалистов по ЗИ должна быть поставлена задача разработать модель

нарушителя в ЛВС. При создании СЗИ исполь зуется комплексный подход к

ЗИ от всех существующих видов уг роз. Одним из основных принципов ЗИ от

НСД является разграниче ние доступа к ней.

Организация разграничения доступа к информации ЛВС заключа ется в

определении объектов защиты (текстовых файлов, программ ных продук-

тов, внешних устройств), субъектов защиты (пользовате лей и вызываемых

ими вычислительных процессов) и установлении субъектам видов доступа

к объектам защиты (по отношению к тек стовым файлам — чтение, запись,

создание нового файла, по отноше нию к программам - выполнение, моди-

фикация и т. д.).

Реализация разграничения доступа осуществляется техничес кими и

организационно-административными методами и средства ми ЛВС.

При создании механизмов разграничения доступа к информации реша-

ются следующие задачи:

– разграничение доступа к программно-аппаратным ресурсам средств

СВТ и носителям информации;

– разграничение доступа к информационным ресурсам ЛВС.

Разграничение доступа к программно-аппаратным ресурсам пре-