Садердинов А.А. Информационная безопасность предприятия

Подождите немного. Документ загружается.

Обычно сетевые сенсоры располагаются на следующих уч а-

стках сети:

• между маршрутизатором и межсетевым экраном;

• в «демилитаризованной зоне» (DMZ);

• до межсетевого экрана (в intranet);

• в ключевых сегментах корпоративной сети;

• на магистрали;

• у модемной стойки или сервера удаленного доступа.

Серверный сенсор realsecure server sensor RealSecure Serv-

er Sensor - это программ ное решение, которое позволяет обнару-

живать все атаки (т. е. на всех уровнях), на правленные на кон-

кретный узел сети. Помимо обнаружения атак RealSecure Server

Sensor может также проводить анализ защищенности и обнару-

живатьуязвимости на контролируемом узле.

Рис. 26. Схема расположения серве рного сенсор

RealSecure Server Sensor может функционировать под уп-

равлением операционных систем Windows NT, Windows 2000, So-

laris и Linux и контролировать журналы регистрации этих ОС, а

также журналы регистрации любых приложений, функ-

ционирующих под управлением этих ОС. Кроме того, RealSecure

Server Sensor может обнаруживать атаки в сетях TCP/IP и

SMB/NetBIOS, построенных на базе любых сете вых архитектур,

поддерживаемы х контролируемым компьютером.

Разнообразие вариантов применения серверных сенсоров суще-

ственно расширяет область применения систем обнаружения

атак, вхо дящих в семейства RealSecure и BlacklCE.

Система RealSecure является о дним из лучших решений для

защиты корпоративной сети и предоставляет следующие ключевые

возможности:

• большое число распознаваемы х атак;

• возможность обнаружения уязвимостей на контролиру емом

узле;

• возможность контроля атак, направленны х на конкрет ные

приложения (например, Apache, Netscape Enterprise Wfeb Server,

MS IIS, MS Exchange, MS SQL Server, pcAnywhere и т.д.);

• создание собственных сигнатур атак;

• задание шаб лонов фильтрации трафика и анализа журналов

регистрации;

• различные схемы управления модулями слежения;

• имитация несуществующих приложений с целью введе ния

злоумышленника в заблуждение;

• расширенный анализ журналов регистрации;

• возможность контроля сетевых интерфейсов 10/100 Ethernet

LAN/WAN, кабельных модемов, маршрутизаторов DSL и ISDN

и обычных модемов для коммутируемых линий;

• возможность контроля любого числа сетевых интерфейсов,

установленны х в компьютер;

• возможность функционирования в коммутируемых се

тях и сетях с канальным шифрованием;

• возможность создания правил фильтрации вхо дяще го ис хо-

дящего трафика, реализуя функции персонального межсетевого

экрана;

• автоматическое обновление базы данны х сигнатур атак и

дистанционное обновление ПО сенсоров;

• аварийное завершение соединения с атакующим узлом;

• блокирование учетной записи атакующе го пользова теля;

• задание сце нариев по обработке атак на языке Tel;

• возможность исследования событий безопасности перед вы-

полнением каких-либо действий и изменение вариантов реаги-

рования после исследования;

• семантическое сжатие событий безопасности;

• уведомление атакующего о его обнаружении;

• генерация управляю щих SNMP-после довательностей для

управления системами HP OpenView, IBM NetView HTivoliT-

MElO;

• анализ журналов регистрации маршрутизаторов;

• интеграция с системой Internet Scanner, System Scanner, SA-

FEsuite Decisions и AlarmPoint;

• многоуровневая защита собранной информации;

• установление защищенного соединения между компо-

нентами системами, а также другими устройствами;

• мощная система генерации отчетов;

• различные форматы отчетов;

• управление всеми функциями сенсоров из командной строки;

• мощная система подсказки;

• наличие всеобъемлющей базы данных по всем обнару-

живаемым атакам;

• расширенная регистрация системных событий;

• простота использования и интуитивно понятный графи-

ческий интерфейс;

• невысокие системные требования к программному и ап-

паратному обеспечению.

Серверный сенсор обнаруживает сетевые атаки аналогично се-

тевому сенсору, и просматривает журналы регистрации ана логично

системному сенсору.

Варианты применения систем обнаружения атак

Кроме применения систем обнаружения атак, предлагае мых

компанией Internet Security Systems, для защиты демили-

таризованной зоны, критичных сегментов сети и т. д., исхо дя из

мест расположения самих этих систем, существует еще не сколько

вариантов их применения:

Резервирование функций межсетевого экрана;

Защита Web-серверов и серверов приложений (включая серве-

ра баз данны х);

Контроль доступа к определенным файлам;

Обнаружение неблагонадежных со трудников;

Контроль действий администратора;

Контроль содержимого и антивирусная защита, включая обна-

ружение макро-вирусов, Internet-червей, троянских коней и Ja-

va-аппле тов;

Контроль доступа к ресурсам Internet;

Обнаружение неизвестных и несанкционированно под-

ключенных устройств;

Анализ настроек межсетевых экранов;

Анализ сетевого трафика и информационных потоков;

Анализ данны х о т маршрутизаторов и другого сетевого обор у-

дования;

Сбор доказательств и расследование инцидентов безопасности;

Контроль эффективности работы ГГ-подразделений.

Конс оль управления realsecure workgroup manager

RealSecure WorkGroup Manager — это программное реше-

ние, ко торое отвечает за управление всеми типами сенсоров. При

помощи RealSecure WorkGroup Manager возможно:

• настраивать сенсоры для обнаружения различны х атак;

• получать данные от сенсоров о событиях, происходящих в

контролируемых сегментах и узлах, и отображать их на конс о-

ли;

• создавать отчеты по различным аспектам сетевой и сис-

темной деятельности контролируемых узлов и сегментов сетей.

Рис 27 Система обнаружения атак RealSecure WorkGroup Manager

Текущая версия системы обнаружения атак RealSecure по-

строена с учетом новой, трехуровневой архитектуры , которая су-

щественно облегчает функционирование этой системы в крупны х,

территориально-распределенных сетях.

RealSecure WorkGroup Manager состоит из следующих ком-

понентов:

• Модуль Event Collector, отвечающий за сбор данны х от сен-

соров и сохранение их в базе данных событий В крупных, тер-

риториально распределенных сетях возможно использование

нескольких модулей Event Collector, объединенных единой ба-

зой событий.

• База данных событий (enterprise database). Все события, со-

бираемые менеджером событий с сенсоров, могут сохра няться в

СУБД MSDE (ограничение по размеру базы -2 Гб) или MS SQL

Server.

• Графическая консоль управления, отвечающая за взаимо-

действиями с неограниченным число сенсоров через менеджер

событий.

Данная архитектура позволяет нескольким консолям одно-

временно обращаться к Event Collector с целью просмотра собран-

ных о т о дного и того же сенсора и ге нерации отчетов по зафикси-

рованной ими деятельности. RealSecure WorkGroup Manager позво-

ляе т эффективно уп равлять неограниченным числом сенсоров

RealSecure по скольку имеет в своем распоряжении следующие

ключевые возможности:

• различные схемы управления модулями слежения;

• управление группами сенсоров (например, при обновле нии

базы данных сигнатур или в случае применения поли тики

безопасности);

• многоуровневую защиту собранной информации;

• может устанавливать защищенное соединене между компо-

нентами системы RealSecure, а также другими устройствами;

• мощную систему генерации отчетов;

• различные форматы отчетов;

• мощную систему подсказки;

• всеобъемлющую базу данных по всем обнаруживаемым ата-

кам;

• доступ к удаленному системному журналу регистрации;

• отображение DNS-, MAC-, NetBIOS- и IP-адресов ата-

кующего и атакуемого компьютеров;

• использование символьных имен контролируемы х узлов се-

ти;

• звуковое оповещение об атаках;

• простота использования и интуитивно понятный графи-

ческий интерфейс;

• невысокие системные требования к программному и ап-

паратному обеспечению.

Сенсоры системы обнаружения атак RealSecure и BlacklCE

функционируют на уровне сети и уровне узла. Размещение по-

следних систем не вызывает никаких вопросов, так как они разм е-

щаются на наиболее важных узлах сети (серверах баз данны х,

Web-серверах и т. д.). Наибольший интерес вызывает установка

сетевых сенсоров RealSecure Network Sensor, RealSecure for Nokia и

BlacklCE Sentry.

Обычно сетевые сенсоры устанавливаются на следующих уч а-

стках сети:

• между маршрутизатором и межсетевым экраном;

• в «демилитаризованной зоне» (DMZ);

• до межсетевого экрана (в intranet);

• в ключевых сегментах корпоративной сети;

• на магистрали;

• у модемной стойки или сервера удаленного д оступа.

Применение криптографических с редств защиты

Для обеспечения защиты электронны х документов и созда ния

защищенной автоматизированной системы в первую очередь ис-

пользуют криптографические методы защиты, которые позволяю т

обеспечить защиту целостности, авторства и кон фиденциальности

электронной информации и реализовать их в виде программных

или аппаратны х средств, встраиваемых в автоматизированную

систему.

Однако испо льзование криптографии ни в коем случае не ис-

ключает применение организационно -технических мер защиты.

В общем случае созда ние защищенной автоматизированной

системы — это в каждом конкретном случае процесс ин-

дивидуальный, поскольку не бывает абсолютно одинаковых сис-

тем, а бывают лишь типовые решения, реализующие те или иные

функции по защите информации.

В первую очередь при создании защищенной а втоматизи-

рованной системы необходимо определить модель угроз и по -

литику безопасности проектируемой системы. Впоследствии, ис-

хо дя из этого, можно определится и с набором криптографических

функций и организационно-технических мер, для в создаваемой

системы.

Ниже приведены основные функции и по защите инфор мации,

реализуемые с помощью криптографических средств.

Конфиденциальность информации. При передаче данных в

сети обеспечивается использованием функций шифр ования. При

хранении данны х (на дисках, в базе данных) может ис пользоваться

функция шифрования или (для обеспечения НСД к хранимой ин-

формации) функция шифрования на производном (например, от

пароля) ключе.

Идентификация и авторство. При сетевом взаимодействии

(установлении сеанса связи) обеспечивается функциями Э ЦП

(электронно-цифровой подписи) при использовании их в про цессе

аутентификации (например, в соответствии с рекоменда циями

Х.509). Одновременно при аутентификации должна ис пользоваться

защита от переповторов. Для этих целей может быть использована

функция имитозащиты с ограничениями, так как при вычислении

имитовставки используется симметричный ключ шифрования,

единый для двух субъектов (объектов) системы.

При электронном документообороте обеспечивается ис -

пользованием функций ЭЦП электронного документа. Допол -

нительно должна быть предусмотрена защита от навязывания, пе-

реповтора электронного до кумента и целостность справоч ников

открытых ключей ЭЦП.

Целостнос ть. Обеспечивается использованием функций ЭЦП

электронного документа. При использовании функций шифро вания

(без использования ЭЦП) целостность обеспечивается имитозащи-

той. Для обеспечения целостности хранимы х данных может быть

использована функция хеширования или имитоза щиты, но при

этом не обеспечивается авторство информации.

Неотказуемость от передачи электронного документа. Обес-

печивается использованием функций ЭЦП (подпись документа от-

правителем) и хранением документа с ЭЦП в течение установлен-

ного срока приемной стороной.

Неотказуемость от приема электронного д окумента. Обеспе-

чивается испо льзованием функций ЭЦП и квитированием приема

документа (подпись квитанции получателем), хране нием докумен-

та и квитанции с ЭЦП в течении установленного срока отправ-

ляющей стороной.

Защита от переповторов. Обеспечивается использованием

криптографических функций ЭЦП, шифрования или имитоза щиты

с добавлением уникального идентификатора сетевой сессии (элек-

тронного документа) с последующей их проверкой приемной сто-

роной или разработкой специализированного про токола аутенти-

фикации (обмена электронными до кументами).

Защита от навязывания информации. Защита от нарушителя

навязывающего принимающей стороне собственную инфор мацию

как переданную якобы от санкционированного по льзо вателя (на-

рушение авторства информации). Обеспечивается использованием

функций ЭЦП с проверкой атрибутов электронного документа и

открытого ключа отправителя. В случае навязывания информа-

ции при компрометации ключа обеспечивается организационно-

техническими мероприятиями. На пример, созданием системы цен-

трализованного управления ключевой информацией (оповещением

абонентов) или специ ализированных протоколов электронного до-

кументооборота.

Защита от закладок, вирусов, модификации системного и

прикладного ПО. Обеспечивается совместным использова нием

криптографических средств, антивирусов и организаци онных ме-

роприятий.

8.22. Создание виртуальных частных сетей (VPN) [^]

Технология виртуальных защищенны х сетей (VPN-техно-

логия) позволяет организовать корпоративную сеть, защи щенную

от несанкционированного доступа, используя при э том любые ка-

налы связи: коммутируемые и выделенные ка налы, локальные и

глобальные сети передачи данных и т. д. Использование защищен-

ных каналов исключает возможность перехвата информации, под-

ключения незарегистрированного компьютера, изменение инфор-

мации и любые сете вые атаки. Защита VPN может строиться на

уровне сокетов, на основе протоколов SSL и SSH, на транспортном

(TCP) уровне или сетевом (IP). Для решения задач VPN защита на

последнем уровне наиболее предпочтительна ввиду следую щих

условий:

модуль системы защиты реализуется в виде драйвера опера-

ционной системы, располагающегося между ip-стеком и

ndis-драйвером сетевого адаптера, что позволяет контроли-

ровать весь про ходящий трафик;

защита работает на уровне драйверов, что затрудняет атаку

на средство защиты с испо льзованием сервисов опе-

рационной системы;

защита прозрачна для сервисов более высокого уровня и

пользовательских приложений;

защита организуется между любыми двумя точками сети с

использованием топологии сети;

обеспечивается маскирование внутренней топологии сети.

Защита информации в VPN строится с использованием сле-

дующих технических приемов (Рис. 27).

шифрование исхо дного IP-пакета, ч то обеспечивает се-

кретность содержащихс я в пакете данных (поля IP-заголовка

и самих собственно данных);

цифровая подпись IP-пакетов, ч то обеспечивает аутен-

тификацию пакета и источника-отправителя пакета;

инкапсуляция IP-пакета в новый защищенный IP-пакет с но-

вым заголовком, содержащим IP-адрес устройства за щиты,

что маскирует топологию внутренней сети.

Рис 28 Схема защиты информации в сетях VPN 170

Защита информации при передаче между виртуальными по д-

сетями реализуется на алгоритма х асимметричных ключей и элек-

тронной подписи, защищающей информацию от подделки. Факти-

чески данные, подлежащие межсегментной передаче, кодируются

на выхо де из одной сети, и декодируются на входе другой сети, при

этом алгоритм управления ключами обеспечивает их защищенное

распределение между оконечными устройствами. Все манипуляции

с данными прозрачны для работающих в сети приложений. При

этом возможно организовать защиту информации на любом уровне:

защиту всего трафика, т. е. всей информации, передаваемой по ка-

налу связи, например, между географически удаленными филиала-

ми компании; между сервером и пользователем; между клиен тами;

можно организовать защищенный доступ мобильных пользовате-

лей в локальную сеть компании.

Организация защищенных каналов между головным офисом и

филиалами, мобильными по льзователями.

Рис. 29. Организация защищенных камолаюнии VTN

Основной задачей в подобной конфигурации является ор -

ганизация защищенного доступа к серверам базы данных и почто-

вым серверам.

Для этого необходимо установить на маршрутизаторах в го-