Игнатьев В.А. Информационная безопасность современного коммерческого предприятия

Подождите немного. Документ загружается.

доступа?

Для начала следует описать все ресурсы компании (фай лы,

каталоги, базы данных), определить категории пользователей (их

роли и задачи) и права доступа для каждой категории к ресурсам

компании. Категорирование ресурсов является важным аспектом

при разграничении доступа к информации, поскольку в нѐм

определяется, какую важность пред ставляет та или иная

информация и соответствующий доступ к ней. Таким образом,

можно разделить три уровня информации:

- строго конфиденциальная информация (например, база

данных сотрудников компании или клиентская база);

- конфиденциальная информация (к примеру, корпоратив ная

почта);

- открытая информация (web-сайт компании).

Вариантов организации различного уровня доступа к сетевым

ресурсам на данный момент достаточно много.

Кроме традиционного доступа на уровне ресурсов, существует

возможность разграничение трафика, например, на основе

виртуальных локальных сетей (VLAN) или IPSec. Администратор

сети организует несколько виртуальных сетей, при этом

пользователи одной виртуальной сети не имеют дос тупа к

ресурсам другой виртуальной сети. Таким способом удобно

организовывать работу разных отделов компании, чтобы каждый

отдел использовал свою виртуальную сеть.

Управление доступом защищает против неавторизованно го

использования ресурсов информационной системы и мо жет быть

обеспечено при помощи механизмов управления доступом и

механизмов привилегий.

Управление доступом может быть достигнуто при исполь-

зовании дискреционного управления доступом или мандатно го

управления доступом [70].

Дискреционное управление доступом - наиболее общий тип

управления доступом, используемого в информационной сис теме.

Основной принцип этого вида защиты состоит в том, что

индивидуальный пользователь или программа, работаю щая от

имени пользователя, имеет возможность явно опреде лить типы

доступа, которые могут осуществить другие пользо ватели (или

программы, выполняющиеся от его имени) к информации,

находящейся в ведении данного пользователя. Дискреционное

управление доступом отличается от мандатной защиты, в том, что

оно реализует решения по управлению доступом, принятые

пользователем.

Мандатное управление доступом реализуется на основе

результатов сравнения уровня допуска пользователя и сте пени

конфиденциальности информации.

Существуют механизмы управления доступом, которые

поддерживают степень детализации управления доступом на

уровне следующих категорий: владелец информации, за данная

группа пользователей и «мира» (всех других авторизованных

пользователей). Это позволяет владельцу файла (или каталога)

иметь права доступа, отличающиеся от прав всех других

пользователей, и позволяет владельцу файла опреде лить особые

права доступа для указанной группы людей, а также для всех

остальных (мира). В общем случае, существуют следующие права

доступа: доступ по чтению, доступ по записи, и доступ для

выполнения. Некоторые операционные системы обеспечивают

дополнительные права доступа, которые позволяют модификацию,

только добавление и т.д.

Операционная система может поддерживать профили

пользователя и списки возможностей или списки управления

доступом ддя определения прав доступа для большого коли чества

отдельных пользователей и большого количества различных групп.

Использование этих механизмов позволяет обеспечить боль-

шую гибкость в предоставлении различных прав доступа для

различных пользователей, которые могут обеспечить более

строгий контроль доступа к файлам (или каталогам). Списки

управления доступом определяют права доступа специфици-

рованных пользователей и групп к данному файлу или ката логу.

Списки возможностей и профили пользователя опреде ляют файлы

и каталоги, к которым можно обращаться данным пользователям

(или пользователю).

Управление доступом пользователя может осуществляться на

уровне каталогов или на уровне файлов. Управление доступом на

уровне каталога приводит к тому, что права доступа для всех

файлов в каталоге становятся одинаковыми. Напри мер,

пользователь, который имеет доступ по чтению к каталогу, может

читать (и, возможно, копировать) любой файл в этом каталоге.

Права доступа к директории могут также обеспе чить явный запрет

доступа, который предотвращает любой доступ пользователя к

файлам в каталоге.

В некоторых реализациях информационных систем мож но

управлять типами обращений к файлу. (Это осуществля ется

помимо контроля за тем, кто может иметь доступ к файлу.)

Реализации могут предоставлять опцию управления доступом,

которая позволяет владельцу помечать файл как разделяемый или

заблокированный (монопольно используемый). Разделяемые

файлы позволяют осуществлять параллельный доступ к файлу

нескольких пользователей в одно и то же время. Блокированный

файл будет разрешать доступ к себе только одному пользователю

в данный момент времени. Если файл доступен только по чтению,

назначение его разделяемым позволяет группе пользователей

параллельно читать его.

Эти средства управления доступом могут также использо -

ваться, чтобы ограничить допустимые типы взаимодействия между

серверами в информационной системе. Большое коли чество

операционных систем информационной системы мо гут ограничить

тип трафика, посылаемого между серверами. Может не

существовать никаких ограничений, что приведет к тому, что для

всех пользователей будут доступны ресурсы всех серверов (в

зависимости от прав доступа пользователей на каждом сервере). А

могут и существовать некоторые ограничения, которые будут

позволять только определенные типы трафика, например, только

сообщения электронной почты, или более сильные ограничения,

которые запретят трафик между определенными серверами.

Политика информационной системы должна определить, какими

типами информации необходимо обмениваться между серверами.

На передачу информации, для которой нет необходимости

совместного использования ее несколькими серверами, должны

быть наложены ограничения.

Механизмы привилегий позволяют авторизованным

пользователям игнорировать ограничения на доступ, или дру гими

словами некоторым способом легально обходить управ ление

доступом, чтобы выполнить какую-либо функцию, получить доступ к

файлу, и т.д. Механизм привилегий должен включать концепцию

минимальных привилегий: принцип, согласно которому «каждому

субъекту в системе предоставляется наиболее ограниченное

множество привилегий, которые необходимы для выполнения

задачи, которую должен решить пользователь». Например,

принцип минимальных привилегий должен применяться при

выполнении функции резервного копирования. Пользователь, кто

авторизован выполнять функцию резервного копирования, должен

иметь доступ по чтению ко всем файлам, чтобы копировать их на

резервные носители информации. (Однако пользователю нельзя

давать доступ по чтению ко всем файлам через механизм уп-

равления доступом). Пользователю предоставляют «привиле гию»

обхода ограничения по чтению (предписанного меха низмом

управления доступом) для всех файлов, чтобы он мог выполнить

функцию резервного копирования. Чем более детальные

привилегии могут быть предоставлены, тем боль ше будет

гарантий, что пользователю не даны чрезмерные привилегии для

выполнения им авторизованной функции. Например,

пользователю, который должен выполнять функцию резервного

копирования, не нужна привилегия обхода ограничения на запись в

файлы, но механизмы привилегий, которые не обеспечивают такую

точность, могут привести к предоставлению ему такой привилегии.

Типы механизмов защиты, которые могли бы быть использованы

для обеспечения службы управления доступом, приведены в

списке ниже:

- механизм управления доступом, использующий права

доступа (определяющий права владельца, группы и всех остальных

пользователей);

- механизм управления доступом, использующий списки

управления доступом, профили пользователей и списки воз-

можностей;

- управление доступом, использующее механизмы мандатного

управления доступом;

- детальный механизм привилегий.

Для введения контроля доступа и разграничения полно мочий

пользователя используются встроенные средства сетевых

операционных систем, крупнейшим производителем ко торых

является, в частности, корпорация Novell [84]. В системе, например,

NetWare, кроме стандартных средств ограничения доступа (смена

паролей, разграничение полномочий), предусмотрена возможность

кодирования данных по принципу «открытого ключа» с

формированием электронной подписи для передаваемых по сети

пакетов.

Однако, такая система защиты слабомощна, т.к. уровень

доступа и возможность входа в систему определяются паро лем,

который легко подсмотреть или подобрать. Для исклю чения

неавторизованного проникновения в компьютерную сеть

используется комбинированный подход - пароль - идентификация

пользователя по персональному «ключу». «Ключ» представляет

собой пластиковую карту (магнитная или со встроенной

микросхемой - смарт-карта) или различные устройства для

идентификации личности по биометрической информации - по

радужной оболочке глаза, отпечаткам паль цев, размерам кисти

руки и т.д. Серверы и сетевые рабочие станции, оснащенные

устройствами чтения смарт-карт и специальным программным

обеспечением, значительно повышают степень защиты от

несанкционированного доступа»

Смарт-карты управления доступом позволяют реализовать

такие функции, как контроль входа, доступ к устройствам ПК, к

программам, файлам и командам. Одним из удачных примеров

создания комплексного решения для контроля дос тупа в открытых

системах, основанного как на программ ных, так и на аппаратных

средствах защиты, стала система Kerberos, в основу которой

входят три компонента:

- база данных, которая содержит информацию по всем се -

тевым ресурсам, пользователям, паролям, информационным

ключам и т.д.;

- авторизационный сервер (authentication server), задачей

которого является обработка запросов пользователей на пре-

доставление того или иного вида сетевых услуг. Получая зап рос, он

обращается к базе данных и определяет полномочия пользователя

на совершение определенной операции. Пароли пользователей по

сети не передаются, тем самым, повышая степень защиты

информации;

- Ticket-granting server (сервер выдачи разрешений) полу чает

от авторизационного сервера «пропуск» с именем пользо вателя и

его сетевым адресом, временем запроса, а также уникальный

«ключ». Пакет, содержащий «пропуск», переда ется также в

зашифрованном виде. Сервер выдачи разрешений после

получения и расшифровки «пропуска» проверяет запрос,

сравнивает «ключи» и при тождественности дает «добро» на

использование сетевой аппаратуры или программ.

По мере расширения деятельности предприятий, роста

численности абонентов и появления новых филиалов, возни кает

необходимость организации доступа удаленных пользо вателей

(групп пользователей) к вычислительным или информационным

ресурсам к центрам компаний. Для организации удаленного

доступа чаще всего используются кабельные линии и радиоканалы.

В связи с этим защита информации, пе редаваемой по каналам

удаленного доступа, требует особого подхода. В мостах и

маршрутизаторах удаленного доступа применяется сегментация

пакетов - их разделение и передача параллельно по двум линиям, -

что делает невозможным «перехват» данных при незаконном

подключении «хакера» к одной из линий. Используемая при

передаче данных процедура сжатия передаваемых пакетов

гарантирует невозможность расшифровки «перехваченных»

данных. Мосты и маршрутизаторы удаленного доступа могут быть

запрограммированы таким образом, что удаленным пользователям

не все ресурсы центра компании могут быть доступны.

В настоящее время разработаны специальные устройства

контроля доступа к вычислительным сетям по коммутируе мым

линиям. Примером может служить, разработанный фир мой AT&T

модуль Remote Port Securiti Device (PRSD), состоящий из двух

блоков размером с обычный модем: RPSD Lock (замок),

устанавливаемый в центральном офисе, и RPSD Key (ключ),

подключаемый к модему удаленного пользоватеяя, RPSD Key и

Lock позволяют устанавливать несколько уровней защиты и

контроля доступа:

- шифрование данных, передаваемых по линии при жшо щи

генерируемых цифровых ключей;

- контроль доступа с учетом дня недели или времени суток.

Глава 8 Межсетевые экраны (брандмауэры)

Корпоративные брандмауэры (межсетевые экраны) конт-

ролируют трафик, поступающий в локальную корпоративную сеть и

выходящий из нее, и могут представлять собой как чисто

программные средства, так и аппаратно-программные комплексы.

Каждый пакет данных, проходящий через брандмауэр,

анализируется им (например, на предмет проис хождения или

соответствия иным правилам пропускания пакетов), после чего

пакет либо пропускается, либо нет. Обыч но брандмауэры могут

выполнять роль фильтра пакетов или роль прокси-сервера, в

последнем случае брандмауэр высту пает в качестве посредника в

выполнении запросов, инициируя собственный запрос к ресурсу и

тем самым не допуская непосредственного соединения между

локальной и внешней сетями.

8.1 Понятие и классификация межсетевых экранов

Термин «брандмауэр» переводится как «firewall». Словом

«firewall» (англ.- пожарная стена) в некомпьютерных сферах

называется стена, сделанная из негорючих материалов и пре-

пятствующая распространению пожара. В сфере компьютер ных

сетей брандмауэр представляет собой барьер, защищающий от

«виртуального» пожара - попыток злоумышленников вторгнуться в

сеть, для того чтобы скопировать, изменить или стереть

информацию, либо чтобы воспользоваться полосой пропускания,

памятью или вычислительной мощностью работающих в этой сети

компьютеров. Брандмауэр устанав ливается на границе двух сетей -

сети Интернет и ЛВС, поэтому его еще называют и межсетевым

экраном. Он фильтрует все входящие и исходящие данные,

пропуская только авторизованные пакеты. Скорее, брандмауэр -

это подход к безопасности; он помогает реализовать политику

безопасности, которая определяет разрешенные службы и типы

доступа к ним, и других мер защиты, таких как усиленная

аутентификация вместо с татических паролей. Основная цель

системы брандмауэра - управление доступом к защищаемой сети.

Оч реализует политику сетевого доступа, заставляя проходить все

соединения с сетью через брандмауэр, где они могут быть

проанализированы, разрешены либо отвергнуты. Схематич но

принцип работы брандмауэра показан на рис. 8.1.

Рис 8.1 Принцип работы брандмауэра

Система брандмауэра может быть маршрутизатором, и^ь

еочальным компьютером, хостом

или группой хостов, со зданной

специально для защиты сети или подсети от к^ир** вичьного

использования протоколов и служб хостами, xiaxo дящимися вне

этой подсети. Обычно система брандмайора ег здается на основе

маршрутизаторов верхнего уровня, обычно на тех, которые

соединяют сеть с Интернетом, хотя можг быть создана и на других

маршрутизаторах, для защиты толь ко части хостов или подсетей.

Существующие брандмауэры сильно различаются как по

уровню защиты, так и по используемым в них способах защиты.

Однако большинство брандмауэров, поставляемых как

коммерческие продукты, можно (впрочем, достаточно услов но)

отнести к одной из четырех категорий [26]:

- брандмауэры с фильтрацией пакетов (packet-filtering firewall);

- шлюзы сеансового уровня (circuit-level gateway);

- шлюзы прикладного уровня (application-level gateway);

- брандмауэры экспертного уровня (stateful inspection firewall).

Лишь немногие брандмауэры относятся только к одной из

перечисленных категорий, ещ е меньше - в точности соответствует

тем определениям, которые будут даны ниже для каж дой из

категорий. Тем не менее, эти определения отражают ключевые

возможности, отличающие один вид брандмауэров от другого.

Брандмауэры с фильтрацией пакетов.

Пакетная фильтрация одно из самых старых и распрост-

раненых средств управления доступом к сети. Все без исклю чения

брандмауэры умеют фильтровать трафик. Идея: уста новить,

разрешено ли данному пакету входить в сеть или вы-ходить из нее

[27].

Брандмауэр с фильтрацией пакетов представляет собой

маршрутизатор или работающую на сервере программу, скон-

фигурированные таким образом, чтобы фильтровать входя щие и

исходящие пакеты. Брандмауэр пропускает или отбра ковывает

пакеты в соответствии с информацией, содержащейся в IP-

заголовках пакетов. Например, большинство брандмауэров с

фильтрацией пакетов может пропускать или отбраковывать пакеты

на основе информации, позволяющей ассоциировать данный пакет

с конкретными отправителем и получателем (полной ассоциации),

которая состоит из следу ющих элементов:

- адреса отправителя;

- адреса получателя;

- информации о приложении или протоколе;

- номера порта источника;

- номера порта получателя.

Все маршрутизаторы (даже те, которые не сконфигуриро ваны

для фильтрации пакетов), обычно проверяют полную ассоциацию

пак.ета, чтобы определить, куда его нужно на править. Брандмауэр

с фильтрацией пакетов, кроме того, перед отправкой пакета

получателю сравнивает его полную ассоциацию с таблицей

правил, в соответствии, с которыми он должен пропустить или

отбраковать данный пакет. Брандма уэр продолжает проверку до

тех пор, пока не найдет правила, с которым согласуется полная

ассоциация пакета. Если брандмауэр получил пакет, не

соответствующий ни одному из табличных правил, он применяет

правило, заданное по умолчанию, которое также должно быть

четко определено в таблице брандмауэра. Из соображений

безопасности это правило обычно указывает на необходимость

отбраковки всех пакетов, не удовлетворяющих ни одному из других

правил.

Можно задать правила фильтрации пакетов, которые будут

«указывать» брандмауэру, какие пакеты должны быть пропущены,

а какие отбракованы. Например, можно определить правила таким

образом, чтобы брандмауэр отбраковывал пакеты, поступающие от

внешних серверов (их обычно называют Internet-хостами), IP-

адреса которых указаны в таблице. Можно также задать правило, в

соответствии с которым будет разрешено пропускать только

входящие сообщения электронной почты, адресованные почтовому

серверу, или правило блокировки всех почтовых сообщений, посту

на-ющих от внешнего хоста, который когда-то «наводнил» вашу

сеть гигабайтами ненужных данных.

Кроме того, можно сконфигурировать брандмауэр для

фильтрации пакетов на основе номеров портов, задаваемых в

.шголовках пакетов TCP и UDP (User Datagram Protocol). В этом

случае можно будет пропускать отдельные виды пакетов

(например, Telnet или FTP), только если они направляются к

определенным серверам (соответственно к Telnet или FTP). Однако

успешное выполнение подобного правила зависит от того, какие

соглашения приняты в сети, функционирующей па основе TCP/IP:

для работы приложений TCP/IP серверы и клиенты обычно

используют конкретные порты (которые часто называют

известными, т.е. заранее определенными), од нако это не является

обязательным условием. Например, приложение Telnet на

серверах сети с TCP/IP обычно работает через порт 23. Чтобы

разрешить сеансы Telnet только с определенным сервером,

необходимо задать правила, одно из которых «заставит»

брандмауэр пропускать все пакеты, запра шивающие порт 23 по

адресу 123.45.6.7 (IP-адрес сервера Telnet), а другое -

отбраковывать входящие пакеты, запрашивающие этот порт по

другим адресам. Конечно, реальные пра вила создавать намного

сложнее, чем описано выше. Более сложные примеры можно

найти, например, в правилах конфигурирования марпфутизаторов

компании «Cisco», которые доступны в Internet.

Преимущества брандмауэров с фильтрацией пакетов [28]:

- относительно невысокая стоимость;

- небольшая задержка при прохождении пакетов. Недостатки

брандмауэров с фильтрацией пакетов [28]:

- локальная сеть видна (маршрутизируется) из Интернет;

- правила фильтрации довольно трудны в описании, по этому

требуются очень хорошие знания технологий TCP и UDP;

- отсутствует аутентификация на пользовательском уровне;

- аутентификацию с использованием IP-адреса можно об-

мануть при помощи IP-спуфинга, когда атакующая система выдает

себя за другую, используя ее IP-адрес.

Шлюзы сеансового уровня

Шлюз сеансового уровня следит за подтверждением (кви -

тированием) связи между авторизованным клиентом и внешним

хостом (и наоборот), определяя, является ли запрашиваемый

сеанс связи допустимым. При фильтрации пакетов шлюз

сеансового уровня основывается на информации, со держащейся в

заголовках IP-пакетов сеансового уровня протокола TCP, т.е.

функционирует на два уровня выше, чем брандмауэр с

фильтрацией пакетов.

Чтобы определить, является ли запрос на сеанс связи до -