Лясин Д.Н., Саньков С.Г. Методы и средства защиты компьютерной информации
Подождите немного. Документ загружается.
используют и все остальные сетевые черви: каким-либо образом попадают на
компьютер, ищут потовые адреса и рассылают себя дальше. По данным
Лаборатории Касперского за время своего существования Klez заразил более 110
тыс. компьютеров. Главным способом защиты от подобных вредоносных программ
является регулярное обновление баз антивирусного программного обеспечения, а
также регулярное обновление используемого программного обеспечения, которое
атакуют вирусы, поскольку, например, программная «заплатка», предотвращающая
ошибку ОС, эксплуатируемую вирусом Klez, была выпущена задолго до его
появления.
Список возможных угроз, исходящих из глобальной сети, на этом, конечно,
не исчерпан, тем более что все новые и новые типы атак регулярно проявляются в
сети, но и приведенный список описывает круг проблем, стоящих перед системой
безопасности локальной сети. Далее будут обсуждены способы противодействия
основным сетевым угрозам.
5.2. Средства криптографической защиты соединений в вычислительных сетях
Для обеспечения конфиденциальности информации, передаваемой по сети,
необходимо обеспечить ее шифрование на стороне отправителя и дешифрацию на
стороне получателя по одному из алгоритмов, рассмотренных в главе 2. Существует
несколько средств кодирования, которые шифруют информацию на разных уровнях
модели OSI. Самым простым средством является шифрование информации на
прикладном уровне. В этом случае шифрованию подвергается только
непосредственно передаваемая информация, никакая служебная информация из
заголовков сетевых пакетов в этом случае не кодируется. Примером программы,
которая осуществляет подобного рода шифрование можно назвать PGP (Pretty Good
Privacy). Одно из главных достоинств этой программы состоит в том, что
существуют версии PGP практически для всех программных платформ: DOS,
Windows, Unix, Macintosh. PGP представляет собой криптосистему, которая
позволяет шифровать данные (содержимое файлов, буфера обмена) по
асимметричной схеме, а также формировать ЭЦП для передаваемых сообщений. В
80
PGP используются следующие алгоритмы: RSA, SHA, DES, CAST, IDEA, DSS.
Закодированная информация сохраняется в виде файла, который может быть
передан по сети любым способом (электронная почта, FTP). Для удобства работы
PGP может интегрироваться с почтовыми программами, такими как OutlookExpress,
TheBat, Eudora. Еще одно достоинство PGP – то, что существуют свободно
распространяемые версии этой программы (freeware), которые можно найти по
адресу http://www.pgpru.com
Применение программы PGP и подобных ей может оказаться неудобным
вследствие того, что пользователю необходимо самому принимать меры для
шифрации сообщений. Для того чтобы сделать процедуру шифрования прозрачной
для пользователя, существуют различные сетевые протоколы, реализующие
технологии защищенных соединений. Рассмотрим один из подобных протоколов –
протокол SSL (Secure Socket Layer). Протокол SSL спроектирован компанией
Netscape для своего браузера Netscape Navigator для обеспечения
конфиденциальности обмена между двумя прикладными процессами клиента и
сервера. Он предоставляет также возможность аутентификации сервера и,
опционно, клиента. SSL работает на представительском уровне модели OSI поверх
протокола TCP.
Преимуществом SSL является то, что он независим от прикладного протокола.
Прикладные протоколы, такие как HTTP, FTP, TELNET и другие могут работать
поверх протокола SSL совершенно прозрачно. Протокол SSL может согласовывать
алгоритм шифрования и ключ сессии, а также аутентифицировать сервер до того как
приложение примет или передаст первый байт данных. Все протокольные
прикладные данные передаются зашифрованными с гарантией
конфиденциальности.
Протокол SSL предоставляет безопасный канал, который имеет три основные
свойства:
Канал является частным. Шифрование используется для всех сообщений
после простого диалога, который служит для определения секретного ключа.
Канал аутентифицирован. Серверная сторона диалога всегда
аутентифицируется, в то время как клиентская - аутентифицируется опционно.
81
Канал надежен. Транспортировка сообщений включает в себя проверку
целостности
Протокол SSL использует следующие криптографические алгоритмы: DES,
DSA, MD5, RC2, RC4. Все современные браузеры поддерживают протокол SSL.
Если пользователь вводит в адресной строке URL начинающийся с аббревиатуры
HTTPS, то начинает работать протокол HTTPS, который представляет собой
стандартный протокол HTTP, защищенный средствами SSL. При этом подключение
происходит к порту номер 443, который для HTTPS обычно используется по
умолчанию. После этого браузер и сервер обмениваются пакетами, проводя
взаимную аутентификацию по имеющимся у них сертификатам, обмениваются
сеансовыми ключами шифрования и начинают обмен информацией в
зашифрованном виде (рис. 5.1).
Альтернативой использованию протокола SSL может стать применение
протокола TLS (Transport Layer Security), имеющего практически аналогичную
функциональность
82
Клиент
Сервер
Версия протокола, идентификатор
сеанса, список методов шифрования
Сертификат сервера, выбранный
метод шифрования
Сертификат клиента (по запросу
сервера)
Информация для генерации ключа
сеанса, зашифрованная на публичном
ключе сервера
Обмен информацией, зашифрованной
на ключе сеанса
Рис. 5.1. Обобщенная схема установки соединения по протоколу SSL
Для защиты информации на более низком – сетевом – уровне модели OSI
используется технология VPN (Virtual Private Network). VPN предполагает
использование криптографических методов защиты для обеспечения
конфиденциальности и целостности информации на сетевом уровне с
использованием ряда современных протоколов сетевого уровня (IPSec, PPTP, L2TP,
L2P) при передаче информации по сетям общего пользования. Шифрование
происходит прозрачно для пользователей программными или программно-
аппаратными средствами. При этом данные всех сетевых пакетов, начиная с
транспортного уровня, шифруются и помещаются в закодированном виде в область
данных пакета сетевого уровня. Так образуется скрытый от посторонних «туннель»,
по которому информация может передаваться в сети общего доступа между узлами
воображаемой, виртуальной сети. По сравнению с протоколом SSL VPN
предоставляет возможность скрыть от злоумышленника такую информацию, как
номера используемых портов, а при использовании механизма туннелирования - и
используемые в локальной сети IP-адреса, что затрудняет возможности
сканирования сети, поиска слабых мест в ней.
Существуют три основных метода подключения VPN:
соединением двух сетей, при этом VPN обеспечивается маршрутизаторами
или брандмауэрами на границе сети (рис.5.2);
подключением узла к сети, когда программное обеспечение VPN
устанавливается на клиентском компьютере, который подключается к сети;
подключением через провайдера, когда организацию VPN на
коммутируемых линиях связи берет на себя Интернет-провайдер.
Рассмотрим один из протоколов, посредством которого реализуется
технология VPN. Стандарт IP Security - это комплект протоколов, касающихся
вопросов шифрования, аутентификации и обеспечения защиты при транспортировке
IP-
83
пакетов, который должен стать частью разрабатываемого стандарта IPv6. Он
включает в себя 3 основных протокола – аутентификации заголовка (Authentification
Header, AH), безопасного сокрытия содержимого (Encapsulation Security Payload,
ESP) и обмена ключами (Internet Key Exchange, IKE). Протокол AH обеспечивает
аутентификацию отправителя пакета и целостность заголовка пакета с
использованием механизмов хэширования. Протокол ESP обеспечивает проверку
целостности датаграммы пакета и шифрование информации в ней. Он может
работать в двух режимах: транспортном и туннельном. В транспортном режиме
протокол ESP обеспечивает защиту пакетов (и данных, и заголовков) протоколов
более высокого уровня, заголовок пакета IP не защищается. В туннельном режиме
ESP обеспечивает связь между двумя шлюзами локальных сетей, защищая
информацию в заголовке IP-пакета. В этом режиме IP- пакет полностью кодируется
и помещается в область данных пакета, передаваемого между двумя шлюзами. На
шлюзе принимающей стороны этот пакет распаковывается и отправляется адресату.
Протокол IKE отвечает за процедуру установки соединения, когда стороны
договариваются об используемых криптоалгоритмах, обмениваются сеансовыми
ключами шифрования. Протоколы стандарта IPSec используют такие
криптоалгоритмы, как DES, TripleDES, AES, SHA, MD5.
84
Локальная сеть
Рабочая
станция
Рабочая
станция
Рабочая
станция
Шлюз
Локальная сеть
Рабочая
станция
Рабочая
станция
Рабочая
станция
Шлюз
Internet
VPN
Рис. 5.2. Соединение двух локальных сетей с помощью технологии VPN
Для использования VPN на практике можно использовать аппаратные шлюзы
(например, CSP VPN Gate), через которые осуществляется связь с внешней сетью и
которые сами реализуют все функции VPN. Для конечного пользователя более
простым и дешевым решением может оказаться использование программной
реализации, можно, например, воспользоваться встроенными средствами поддержки
IPSec в Windows 2000/XP.
5.3. Использование межсетевых экранов для защиты локальных сетей
Одним из самых популярных методов защиты локальной сети от атак извне
является использование межсетевого экрана (МСЭ). Межсетевой экран (firewall,
брандмауэр) представляет собой программную или программно-аппаратную
систему, которая устанавливается на границе охраняемой вычислительной сети и
осуществляет фильтрацию сетевого трафика в обе стороны, разрешая или запрещая
прохождение определенных пакетов внутрь локальной сети (в периметр
безопасности) или из нее в зависимости от выбранной политики безопасности.
Однако, только фильтрацией пакетов задачи современных МСЭ не ограничиваются,
они выполняют также множество дополнительных действий:
кэширование информации, когда часть полученной из внешней сети
информации временно сохраняется на локальных запоминающих устройствах, что
позволяет экономить время и потребляемый трафик при повторном обращении к той
же информации;
трансляция адресов, позволяющая использовать для внешних коммуникаций
компьютеров локальной сети только один IP-адрес – адрес самого брандмауэра,
внутренние адреса локальной сети могут быть любыми;
переадресация, позволяющая отправлять пакеты, приходящие на некоторый
IP-адрес, на компьютер с другим адресом. Это позволяет, например, распределить
нагрузку на Web-сервер.
85
Существуют два основных типа МСЭ: пакетные фильтры и шлюзы
приложений. При этом оба типа могут быть реализованы одновременно в одном
брандмауэре. Пакетные фильтры (packet filter) представляют собой сетевые
маршрутизаторы, которые принимают решение о том, пропускать или блокировать
пакет на основании информации в его заголовке (рис.5.3).
Пакетные фильтры работают с информацией в заголовках IP, ICMP, TCP и
UDP- пакетов. Правила фильтрации пакетов задаются на основе следующих данных:
название сетевого интерфейса и направление передачи информации;
IP-адреса отправителя и получателя;
протокол более высокого уровня (используется TCP или UDP);
порт отправителя и получателя для протоколов TCP и UDP;
опции IP (например, блокировка маршрутизации от источника);
тип сообщения ICMP.
При определении правил фильтрации необходимо придерживаться одной из
двух стратегий политики безопасности:
1. Разрешить весь трафик, не запрещенный правилами фильтрации.
2. Запретить весь трафик, не разрешенный правилами фильтрации.
С точки зрения безопасности более предпочтительной является вторая
стратегия, согласно которой задаются правила, разрешающие прохождение пакетов
определенного типа, прохождение остальных пакетов запрещается. Это связано с
тем, что, во-первых, количество запрещенных пакетов обычно гораздо больше, чем
количество разрешенных, а во-вторых, со временем могут появиться новые службы,
86
Локальная
сеть
Internet
Пакетный
фильтр
Рис.5.3. Пакетный фильтр на границе локальной сети
для которых при использовании первой стратегии необходимо будет дописывать
запрещающие правила (если доступ к ним, конечно, нежелателен), в то время как
вторая стратегия запретит доступ к ним автоматически.
Пакетные фильтры классифицируются на фильтры без памяти и фильтры с
памятью (динамические). Первые из них фильтруют информацию только исходя из
информации в заголовке рассматриваемого пакета. Динамические же пакеты
учитывают при фильтрации текущее состояние соединений, формируя таблицы
входящих и исходящих пакетов, и принимают решение на основании информации в
нескольких взаимосвязанных пакетах.
Кроме того, пакетные фильтры могут реализовывать также множество
дополнительных возможностей. Например, перенаправление пакетов, дублирование
пакетов, подсчет трафика, ограничение полосы пропускания, запись пакетов в файл
протокола и многое другое. Настройка пакетного фильтра требует от
администратора значительной квалификации и понимания принципов работы всех
протоколов стека TCP/IP от протоколов прикладного уровня до протоколов сетевого
уровня.
Большинство современных операционных систем имеют встроенные пакетные
фильтры, например ipfw в Unix или Internet Connection Firewall в Windows. Функции
пакетного фильтра могут выполнять и аппаратные маршрутизаторы, например,
CISCO PIX 515E.
Главным недостатком пакетных фильтров является невозможность
осуществления фильтрации пакетов по содержимому информационной части
пакетов, то есть по данным, относящимся к пакетам более высокого уровня. Этот
недостаток может быть устранен путем использования шлюзов приложений
(application gateway, proxy-server). Proxy-серверы работают на прикладном уровне,
обеспечивая работу той или иной сетевой службы. При этом в отличие от пакетных
фильтров, которые лишь перенаправляют пакет из одной сети в другую, proxy-
серверы принимают запрос от клиента и направляют его во внешнюю сеть от своего
имени, разрывая таким образом нормальный сетевой трафик (см. рис.5.4). Поэтому
брандмауэр в виде шлюза приложений может быть реализован на компьютере всего
с одним сетевым интерфейсом.
87
Поясним схему на рис.5.4. Клиент формирует запрос на сервер какой-либо
службы в Internet (например, запрос на внешний Web-сервер). Запрос поступает на
proxy-сервер (конфигурация брандмауэра должна быть такова, чтобы все запросы к
какой-либо службе в Internet обязательно поступали на соответствующий proxy-
сервер). Приняв запрос от клиента, proxy-сервер проверяет его по заданным
правилам фильтрации содержимого пакета и, если запрос не содержит запрещенных
параметров, формирует пакет с запросом уже от своего имени (со своим обратным
адресом) внешнему серверу. Ответ от внешнего сервера поступает, очевидно, на имя
proxy-сервера. Пройдя проверку, аналогичную запросу, ответ может быть принят
либо отвергнут. Если ответ принят - ответ направляется на адрес клиента,
первоначально сформировавшего запрос.
Фильтрация содержимого может осуществляться по множеству параметров:
IP-адрес отправителя и получателя;
запрашиваемый URL;
наличие вложений (приложения Java, компоненты ActiveX) и т.п.
время запроса и другие, в зависимости от используемого proxy-сервера.
Важной функцией современных proxy-серверов является трансляция сетевых
адресов (Network Address Translation, NAT), которая подразумевает замену адреса
клиента в запросе во внешнюю сеть на собственный адрес (или несколько адресов)
proxy-сервера. Это позволяет скрыть от посторонних структуру внутренней сети,
список используемых в ней адресов. С другой стороны это позволяет иметь на всю
88
Рабочая
станция
Proxy-
сервер
Internet
Запрос (FTP, WWW)
от рабочей станции
Ответ от proxy-
сервера
Запрос (FTP, WWW)
от proxy-сервера
Ответ на имя proxy-
сервера
Рис. 5.4. Выполнение запроса через proxy-сервер
Проверка
контента,
трансляция
адреса,
кэширование
локальную сеть лишь один легальный IP-адрес, который должен быть присвоен
proxy-серверу. Рабочие станции внутри сети могут иметь любые IP-адреса, в том
числе и те, которые запрещено использовать во внешней сети. NAT может быть
организована по статической и динамической схеме. При статической трансляции
адрес клиента в локальной сети привязывается к конкретному адресу, который
транслируется во внешнюю сеть. Динамическая трансляция предполагает наличие
диапазона доступных внешних адресов и при каждом запросе клиента proxy-сервер
выделяет один из свободных адресов для представления клиента во внешней сети,
по окончании транзакции этот адрес возвращается в список свободных и может
быть использован в дальнейшем для передачи запроса другого клиента. Развитием
идеи NAT стала трансляция адресов портов (Network Address Port Translation,
NAPT), когда один и тот же IP-адрес распределяется при трансляции на несколько
пользователей и каждому пользователю сопоставляется в отправляемом во
внешнюю сеть пакете уникальная комбинация IP-адреса и номера порта
отправителя. Иными словами, различным пользователям сети proxy-сервер
сопоставляет один и тот же IP-адрес, но присваивает различные номера портов в
исходящих запросах. Это стало возможным за счет того, что порт отправителя
зачастую не несет в запросе никакой полезной информации и может быть
использован для уникальной идентификации клиента локальной сети для proxy-
сервера.
Современные proxy-серверы выполняют обычно еще одну важную функцию –
кэширование информации. Информация, пришедшая на proxy-сервер, сохраняется
на локальных запоминающих устройствах, и при очередном запросе клиента
запрашиваемая им информация сначала ищется в локальной памяти, и только если
ее там нет - запрос передается во внешнюю сеть. Это позволяет уменьшить объем
трафика, потребляемого из внешней сети, а также уменьшить время доступа к
информации для конечного клиента.
Рассмотрим свойства наиболее распространенных proxy-серверов.
Microsoft Proxy Server (версия 2.0) представляет собой брандмауэр с
расширяемым набором функций и сервер кэширования информации, обеспечивает
поддержку протоколов HTTP и gopher, а также поддержку клиентских приложений
89