Юринець В.Є., Юринець Р.В. Автоматизовані інформаційні системи. Електронний посібник

Подождите немного. Документ загружается.

353

іноді містить інформацію, витік якої може спричинити небезпеку. Тому

його комп’ютер і лінії зв’язку мають бути захищені не гірше, ніж

корпоративна мережа.

Немає сенсу витрачати на засоби захисту більше, ніж коштує

сама інформація. Але оцінка її вартості – одне з найскладніших завдань

при побудові систем інформаційної безпеки. Якщо у системі плану-

ється

проходження інформації, порядок оброблення і захисту якої

регламентується законами України або іншими нормативно-правовими

актами (що, наприклад, складають державну таємницю), то для її

оброблення в системі необхідно мати дозвіл відповідного уповно-

важеного державного органу. Підставою для видачі такого дозволу є

висновок експертизи системи, тобто перевірки відповідності

реалізованої КСЗІ встановленим нормам.

КСЗІ – поняття вітчизняне

, і регулюється воно вітчизняними

законодавчими актами. У міжнародній практиці замість терміну

“інформаційна безпека” усе частіше використовують термін “управ-

ління ризиками” і орієнтуються на стандарт ISO 17799.

Існує досить багато каналів просочування інформації. За фізич-

ними ознаками їх можна поділити на такі групи: акустичні (включаючи

вібраційні й акустоперетворюючі), візуально-оптичні (спостереження,

фотографування), електромагнітні, матеріально-

речовинні (папір, фото,

магнітні носії, відходи), комп’ютерний метод знімання (віруси, закладки,

логічні бомби), перехоплення під час передання каналами зв’язку.

Частину завдань забезпечення безпеки можна розв’язати за

допомогою фізичних засобів захисту: надійні серверні, незгоряючі шафи,

засоби обмеження доступу до приміщення, контроль за використову-

ванням пристроїв зберігання й уведення-виведення

інформації (магнітні

й оптичні накопичувачі, порти уведення-виведення на комп’ютерному

і комунікаційному обладнанні), за друкуючою і копіювальною технікою,

пожежна й охоронна сигналізація, засоби відеоспостереження.

Зі всього цього різноманіття розглянемо детально способи захисту

від комп’ютерного методу знімання і від перехоплення під час передан-

ня інформації каналами зв’язку. Якщо говорити про

технічні засоби

захисту, то їх доцільно розбити на декілька груп залежно від точки

прикладення: засоби захисту периметра мережі, забезпечення безпеч-

них з’єднань і забезпечення безпеки в локальних і безпровідних мережах.

354

2.4.2. Захист периметра

Для захисту периметра мережі застосовують пристрої, т. зв.

міжмережні екрани. Існує декілька поколінь таких пристроїв.

Перше покоління – це екрани з пакетною фільтрацією (Packet Fil-

tering Gateways), які працюють на мережному і транспортному рівні

моделі OSI і, зазвичай, аналізують такі поля пакетів: IP-адреси джерела,

номер протоколу, порт (TCP, UDP) джерела. Вони мають добру

масштабованість і продуктивність, але забезпечують не

дуже високий

рівень безпеки. Нині практично всі маршрутизатори і більшість

комутаторів третього рівня мають функціональні можливості екранів

з пакетною фільтрацією.

Друге покоління – екрани рівня з’єднання (Circuit Level Gateways).

Ці пристрої працюють на мережному, транспортному і сеансовому

рівнях й аналізують більшу кількість полів: IP-адреси джерела, номер

протоколу, порт (TCP, UDP) джерела, інформацію про послідовність і

стан з’єднання. Головна

їх відмінність від попередніх полягає в тому,

що екрани рівня з’єднання ведуть так звану таблицю з’єднань (session

state table), до якої заносять інформацію про встановлені сесії і

вилучають її з таблиці тільки під час їх завершення. Завдяки такому

алгоритму роботи забезпечується значно вищий рівень безпеки –

пристрої оперують не лише інформацією, що міститься

в аналізованому

пакеті, а й “знають”, що відбувалося раніше. Такі екрани, наприклад,

дають змогу заборонити установку з’єднання з боку публічних мереж

у бік локальних і створити динамічні правила для проходження пакетів

з Інтернету в локальну мережу, якщо сесія була ініційована саме з неї.

З їх допомогою можна захиститися від деяких атак

, що використовують

підміну адрес, і атак типу “відмова в обслуговуванні” (Denial Service –

DoS). Продуктивність екранів рівня з’єднання практично така ж, як і

пристроїв з пакетною фільтрацією.

Третє покоління – екрани прикладного рівня (Application Level

Gateways), які можуть відстежувати коректність роботи протоколів

заданого рівня, наприклад, блокувати певні команди, термінувати сесію

у разі неправильного порядку команд. Для протоколів, що

використовують

динамічні порти (FTP, SIP, H.323), пристрої можуть

створювати динамічні правила для відкриття відповідних портів. Вони

355

можуть блокувати завантаження певних файлів або типів файлів,

обмежувати доступ до певних Web-ресурсів, блокувати Java, аплети

ActiveX, Cookies. Екрани прикладного рівня, зазвичай, не випускаються

у вигляді самостійних пристроїв або окремого ПЗ, а є службами у

міжмережевих екранах з повною пакетною перевіркою (Statefull Packet

Inspections – SPI).

Екрани з повною пакетною перевіркою дають можливість аналі-

зувати пакети на всіх рівнях

моделі OSI. До цього типу належить

більшість тих пристроїв, що випускаються сьогодні, проте це не озна-

чає, що вони можуть аналізувати всі протоколи прикладного рівня.

Найдешевші з них вміють працювати лише з протоколом HTTP, трохи

кращі підтримують більшу кількість протоколів (здебільшого, ще і FTP,

SMTP, POP3, IMAP4). Найфункціональніші моделі можуть працювати

з VoI P - протоколами (такими як SIP, H.323, MGCP, SCCP) і деякими

іншими

протоколами прикладного рівня. Тому при виборі пристроїв не

варто особливо звертати увагу на термін SPI, оскільки він практично

ні про що не говорить. Необхідно деталізувати характеристики

пристроїв, перелік підтримуваних функцій, технологій і протоколів, а

також такий важливий параметр, як продуктивність.

Екрани рівня з’єднання і прикладного рівня бувають двох типів:

прозорі (transparent) і посередники (proxy). Прозорі

міжмережні екрани

інспектують сесії, встановлені між зовнішніми і внутрішніми хостами.

Міжмережні екрани-посередники встановлюють сесію з хостом-

джерелом, а потім від його імені – сесію до хосту призначення. Такі

пристрої забезпечують більш високий рівень безпеки, оскільки усклад-

нюється реалізація атаки, тобто атакується відразу не кінцевий хост, а

брандмауер-посередник. Проте, їх недолік – невисока

швидкодія.

Є як програмні, так і апаратні реалізації міжмережних екранів.

Перші є ПЗ, функціонуюче на універсальній апаратній платформі

(звичайні сервери або ПК) поверх відкритої операційної системи

(відкритої для розробників ПЗ – Windows, UNIX, Mac тощо). Під час

розроблення програмних рішень існує менше різних технологічних

обмежень, до цього процесу притягується, зазвичай, менша кількість

розробників, і відповідно, їх

вартість часто нижча. Те ж саме

справедливо і для міжмережних екранів – програмні реалізації,

порівняно з аналогічними за функціональними можливостями

356

апаратними, відчутно дешевші. Водночас програмні рішення вияв-

ляються гнучкішими: у майбутньому до них простіше додати додаткові

функції або виправити допущені раніше помилки. Здавалося б, що ще

потрібно? Дешевше, функціональніше, гнучкіше. Чому ж тоді існує

настільки великий ринок апаратних пристроїв, а обсяги їх продажів

перевищують обсяги програмних продуктів? Проте, не все так просто.

По

-перше, для кінцевого користувача програмна реалізація може

виявитися дорожчою, ніж апаратна, адже закінчене рішення вміщує

вартість не лише ПЗ міжмережного екрана, а й ОС, поверх якої працює

брандмауер, апаратної платформи, продуктивність якої має бути значно

вищою, ніж у разі апаратного рішення, а іноді й додаткового ПЗ – баз

даних, в яких можуть зберігатися балки

, різні інтерпретатори тощо.

Вільно поширювані безкоштовні міжмережні екрани практично не

використовуються компаніями (за даними різних агентств, їх засто-

совують лише 3–5 % організацій). Низький відсоток використовування

обумовлений, головним чином, проблемами з підтримкою, що дуже

важливо для цього класу продуктів, а в деяких випадках – і якістю

такого ПЗ.

По-друге, програмні рішення мають ще низку

недоліків, і основним

з них є те, що їх злом або обхід можна провести не напряму, а через

уразливості операційної системи, поверх якої вони функціонуюють.

Окрім того, надійність програмних вирішень нижча, оскільки вони

працюють на універсальних апаратних платформах, що містять безліч

компонентів і механічних елементів. Програмні міжмережні екрани

потребують більш високого рівня кваліфікації

обслуговуючого

персоналу: необхідно правильно налаштувати не лише сам екран, а й

ОС та інше допоміжне ПЗ, що нерідко буває значно складніше. Деякі

програмні міжмережні екрани навіть не продають без надання платних

послуг з їх налаштування. Їх обслуговування потребує чималих витрат,

оскільки потрібно постійно відстежувати уразливості і встановлювати

латочки не лише у спеціалізованому ПЗ,

а й в операційних системах, в

яких їх значно більше. Також можливі певні проблеми з сумісністю

між програмним забезпеченням, особливо після встановлення додат-

кових латочок.

Правила допуску персоналу до приміщення, в якому встановлено

програмний міжмережний екран, мають бути більш суворими, адже

357

до універсальної апаратної платформи можна під’єднатися різними

шляхами. Це і зовнішні порти (USB, LPT, RS-232), і вбудовані приводи

(CD, Floppy), а, розкривши платформу, можна під’єднатися через

дисковий інтерфейс (IDE, SATA або SCSI). Водночас відкрита

операційна система дає змогу без проблем встановити різні шкідливі

програми. І, нарешті, універсальна апаратна платформа має велику

споживану потужність, що негативно позначається на часі її

роботи

від джерела безперебійного живлення у разі зникнення електроенергії.

Суперечки про перевагу програмних або апаратних вирішень

проводяться давно, але будь-які технічні засоби – це лише інструмент у

руках тих, хто їх експлуатує. І найчастіше проблеми з безпекою виникають

через неуважність або низьку кваліфікацію відповідальних за це осіб, а не

вибору тієї чи іншої

платформи. Досвідчений мережний адміністратор може

з програмного екрана зробити рішення не гірше, а то й краще, ніж апаратне.

Однак, таких фахівців не так уже й багато. Мало того, деякі з відомих

виробників апаратних міжмережних екранів використовують у своїх

пристроях програмні рішення інших компаній. У цьому випадку виробник

апаратного рішення саме і бере на

себе ті проблеми, які властиві

програмним продуктам, тобто підбирає спеціалізовану апаратну

платформу, встановлює і конфігурує ОС і ПЗ міжмережного екрана. Як

приклад, можна навести пристрої від Nokia і Nortel Networks, в яких

використовуються програмні продукти компанії Check Point. Апаратні

екрани конструктивно може бути реалізовано у вигляді окремого пристрою,

а також як модуль або програмна служба маршрутизатора чи комутатора

Отже, міжмережні екрани призначені для захисту периметра

мережі, і відповідно повинні встановлюватися на її межі так, щоб весь

трафік, циркулюючий між мережами, проходив через них. Існує досить

багато різних топологій встановлення пристроїв, розглянемо лише

основні. Найпростіший з них подано на рис. 2.11: екран розташовується

між корпоративною і публічною мережами і контролює трафік, який

проходить

через нього.

Ще один варіант – встановлення двох міжмережних екранів і

виділення між ними так званої демілітаризованої зони (DMZ) (див.

рис. 2.12). Таких зон може бути декілька (див. рис. 2.13, 2.14).

Зазвичай, для організації демілітаризованих зон використовують

не декілька пристроїв, а реалізують їх на одному, застосовуючи для

358

Рис. 2.11. Найпростіший випадок встановлення міжмережного екрана

Рис. 2.12. Випадок з двома встановленими міжмережними екранами

Рис. 2.13. Перший випадок встановлення декількох міжмережних екранів

359

кожної різні фізичні або логічні інтерфейси екрану. Переважно саме

фізичні інтерфейси – у цьому випадку трафік з різних зон не проходитиме

по одних і тих же фізичних лініях зв’язку.

DMZ – це зона із зниженим рівнем довіри, тобто, окрім неї, обов’язково

є ще дві: зона внутрішньої локальної мережі (з найвищим рівнем довіри) і

зона зовнішньої публічної мережі (з найнижчим рівнем довіри).

Демілітаризованих зон може бути більше двох. Це залежить від

структури кожної конкретної компанії. Дуже часто виділяються окремі

зони для роботи з партнерами, наприклад, одна – для доступу локальних

користувачів до Інтернету, інша – для розміщення у ній публічних

ресурсів, третя – для роботи з партнерами. Розміщувати таку базу

локальній мережі небезпечно, все-таки партнер – це не частина власної

структури, і довіра до нього значно менша. Але і залишати її в зонах,

до яких є доступ з Інтернету, теж небезпечно, тому такі ресурси

розміщують в окремих зонах.

За правильної реалізації міжмережний екран може забезпечити

досить високий рівень безпеки, проте варто

пам’ятати, що ці пристрої

не захищають від вірусів і “троянських програм”. Міжмережні екрани,

навіть працюючі на прикладному рівні, не проглядають вміст пакету

(поле даних), вони аналізують лише службові поля. І якщо сесія HTTP,

FTP, SMTP або іншого протоколу прикладного рівня протікає нормально,

то вона не буде заблокована, але в полях цих пакетів, які

передають у

межах цих сесій, може знаходитися шкідливий вміст. Оскільки

міжмережний екран встановлюється на периметрі, він не захищає і від

Рис. 2.14. Другий випадок встановлення декількох міжмережних екранів

360

атак, реалізованих з локальної мережі. Для захисту від вищеперелічених

загроз застосовують пристрої, які називають системами виявлення

вторгнень (Intrusion Detection System – IDS).

2.4.3. Безпека в локальних мережах

Один із найпростіших і дешевих способів забезпечення безпеки в

локальній мережі – сегментувати її за допомогою технології віртуальних

мереж (VLAN), тобто виділити для кожної зі структурних груп свою

віртуальну підмережу. Наприклад, бухгалтерію розмістити в одному

сегменті мережі, мережних адміністраторів у другому, а керівництво – у

третьому, щоб за жодних обставин трафік з однієї підмережі не потрапляв

до

іншої. Напевно, в організації будуть якісь загальні ресурси, до яких

обов’язковий доступ і бухгалтерії, і керівництва, й інших співпрацівників.

У цьому випадку рекомендують такі ресурси винести до окремої

віртуальної підмережі й налаштувати для доступу до неї правила

обмеження і контролю трафіку за допомогою списків контролю доступу,

тобто так, як це роблять

на міжмережних екранах. Природно, комутатори

локальної мережі при цьому повинні мати необхідну функціональність.

Одним із надійних способів забезпечення безпеки є застосування

протоколу IEEE 802.1x. До його появи аутентифікація користувачів

проводилася лише на кінцевих ресурсах – поштових і We b-серверах,

базах даних тощо. У результаті зловмисник, під’єднавшись до порту

комутатора, вже міг реалізувати певні типи атак.

Стандарт 802.1x дає

змогу аутентифікувати користувача на канальному рівні, тобто

безпосередньо на порту комутатора. Якщо користувач не пройшов

аутентифікацію, то комутатор не прийматиме від нього і передаватиме

йому пакети даних. Для організації цього процесу відповідно до стандарту

802.1х, у мережі потрібно встановити сервер аутентифікації (наприклад,

RADIUS), і цей спосіб аутентифікації має підтримуватися комутатором

і клієнтською

операційною системою, або ж, якщо в ОС немає вбудованих

засобів, – встановлюється додатковий сапликант. У продуктах компанії

Microsoft підтримка 802.1х наявна, починаючи з Windows 2000.

Природно, один з найефективніших способів забезпечення безпеки

в локальних мережах – використовування систем виявлення вторгнень

(IDS). Такі системи, на відміну від міжмережних екранів, аналізують не

361

лише службові поля пакетів, а й їхній вміст, у результаті вони можуть

виявляти досить складні за реалізацією атаки, віруси і “троянські програми”.

Нині більшість таких систем навчилася знаходити роботу пірингових

мереж і різних месенджерів, що працюють поверх стандартних протоколів,

найчастіше – HTTP і умовно шкідливого ПЗ (adware, spyware).

Оскільки IDS проглядають весь вміст пакету, то їхня продук

тивність є досить низькою – це один з основних критеріїв при виборі

системи виявлення вторгнень.

Для виявлення атак ці системи можуть використовувати різні

механізми. Найпоширеніший спосіб – сигнатурний аналіз – полягає в

тому, що інформація, яка передається у полях цих прикладних пакетів,

порівнюється зі сигнатурами (описами атак) на предмет збігу. Недолік

цього способу полягає в

тому, що знайти можна лише відомі атаки,

сигнатури яких уже підготовлено і завантажено у пристрій. Для

виявлення невідомих атак використовують евристичний аналіз, а також

аналіз аномалій у мережній активності і в роботі системи.

Залежно від типу і реалізації, IDS можуть виконувати певні дії:

повідомляти системного адміністратора, відкидати пакети шкідливої

сесії, розривати таку сесію,

вилучати шкідливий вміст з поля даних

пакету, забороняти зміну системної інформації.

Існує три основні класи систем виявлення вторгнень. Прозорі

мережні IDS (Transparent Network IDS – TNIDS) встановлюють у

розрив мережного під’єднання (див. рис. 2.11). Сенсорні мережні IDS

(Sensor Network IDS – SNIDS) (див. рис. 2.12) під’єднують до сегменту

мережі одним портом і прослуховують трафік, що потрапляє на цей

порт. Якщо локальна мережа є комутованою, то

під’єднання сенсорних

IDS проводять до дзеркальних портів комутаторів, на яких прямує

необхідний для прослуховування трафік. Хостовим IDS (Host IDS –

HIDS) є програмне забезпечення, яке встановлюють на робочих

станціях або серверах для забезпечення їхнього захисту.

Встановлювати системи виявлення вторгнень потрібно передусім

між мережним екраном та локальною мережею і в демілітаризованих

зонах, організованих на інтерфейсах екрану (див. рис

. 2.13). У цьому

випадку IDS забезпечуватимуть як безпеку периметра мережі (оскіль-

ки самі міжмережні екрани не мають такої функціональності), так і

захист локальної мережі (при реалізації атаки з якої зломщику все одно

362

буде потрібно передати якусь інформацію до зовнішніх мереж і в цьому

випадку IDS зможуть знайти таку атаку).

Рекомендується встановлювати IDS-системи і в найкритичніших

місцях локальної мережі, наприклад, у сегментах, де знаходяться робочі

місця керівництва компанії, в зонах під’єднання серверних ферм,

магістральних каналах зв’язку (між комунікаційними центрами). Але

важливо пам’ятати, що продуктивність

IDS обмежена, і контроль тра-

фіку в таких місцях як серверні ферми і магістральні з’єднання може

бути скрутним.

Для серверів оптимальним буде застосування хостових IDS. Іноді

системи виявлення вторгнень встановлюють перед брандмауером або

маршрутизатором, з боку його WAN - порту. В цьому випадку можна

більш точно відстежити, хто, яким чином і до яких ресурсів намагається

Рис. 2.17. Системи виявлення вторгнень передусім встановлюються між

мережним екраном і локальною мережею в демілітаризованих зонах,

організованих на інтерфейсах екрану

Рис. 2.15. Прозорі мережні IDS (Transparent Network IDS – TNIDS)

встановлюють у розрив мережного під’єднання

Рис. 2.16. Сенсорні мережні IDS (Sensor Network IDS – SNIDS) під’єднуються

до сегменту мережі одним портом і прослуховують трафік, що потрапляє

на нього