Безопасность информационных систем: практические аспекты.

Кто владеет информацией, – тот правит миром.
Руперт Мердок

Комплексность превыше всего.

Во все времена знания или, если говорить современными терминами, информация являлась продуктом, и зачастую довольно дорогим. Люди всегда стремились сохранить монополию на знания, обеспечивая тем самым свою власть.

В современном мире объёмы хранимой и обрабатываемой информации лавинообразно увеличиваются с каждой секундой. Развитие технологий приводит к появлению новых каналов её передачи, и, соответственно, возможной утечки. С каждым днём становится всё сложнее сохранить монополию на информацию.

Сегодня любая организация, любой человек обладают сведениями, которыми они не желали бы делиться или наоборот - хотели бы продать подороже. Поэтому целью информационной безопасности как раз и является препятствование неконтролируемому распространению информации, предотвращение её потери или невозможности доступа к ней, и как результат - обеспечение бесперебойной работы организации и сведение к минимуму ущерба от событий, таящих угрозу безопасности.

К вопросу защиты информации необходимо подходить комплексно и блокировать сразу все возможные каналы утечки. Зачастую реализация отдельных мер по защите абсолютно не приводит к увеличению защищённости информационной системы. Простейший пример – у нас есть дом, мы установили бронированную дверь, установили сверхсложные замки, но оставили открытыми окна. Мы защитили своё жилище? Нет, ведь злоумышленнику не составляет никакого труда залезть через окно. С другой стороны, если это не частный одноэтажный дом, а 125-й этаж небоскрёба, то в какой-то мере мы повысили безопасность. Точно так же и в информационных системах. В одном случае установка межсетевого экрана может существенно повысить защищённость нашей информационной системы, а в другом - не принести никакой пользы.

Чтобы не ошибиться в выборе средств и методов обеспечения безопасности строят Комплексную Систему Защиты Информации (КСЗИ) – совокупность организационных и инженерных мер, программно-аппаратных средств, которые обеспечивают защиту информации в автоматизированных системах.

Хотелось бы обратить внимание на такую составляющую КСЗИ, как организационные меры. Хотя многие организации при построении систем защиты игнорируют их, на самом деле они являются ещё более важными, чем инженерно-технические. Организационные меры – это выработка официальной политики предприятия в области информационной безопасности. Под ними подразумеваются: составление должностных инструкций для пользователей и обслуживающего персонала; создание правил администрирования компонентов системы, создание правил учёта, хранения, размножения, уничтожения носителей конфиденциальной информации, создание правил идентификации пользователей; разработка планов действий в случае выявления попыток несанкционированного доступа к ресурсам системы, выхода со строя средств защиты, возникновении чрезвычайной ситуации и, конечно, обучение пользователей правилам информационной безопасности.

Нередко невозможность восстановления информационной системы или её длительное восстановление являются причиной отсутствия организационных мер, даже при реализации определённых технических, выполнении регулярного резервного копирования, наличии RAID массивов и кластеров. Дело в том, что иногда довольно простая процедура построения RAID массива, создания кластера или выполнения резервного копирования предполагает гораздо более сложную процедуру восстановления системы, для которой часто требуется наличие дополнительных средств, подготовленных на этапе её создания. При возникновении нештатной ситуации администратор может растеряться, выполнить некорректные действия. Как следствие, информация если и не будет потеряна, то её восстановление может занять довольно длительное время. Однако если бы он попытался смоделировать ситуацию, создал необходимые диски, флеш-носители, задокументировал процедуру восстановления, то никаких проблем не было бы. А теперь представьте, что систему создавал один администратор, а восстанавливать её необходимо другому - тут без наличия подробных инструкций всё может кончиться ещё более плачевно.

Ещё один пример, где невозможно обойтись без организационных мер – это защита от атак, построенных на социальной инженерии. Простейший пример – сотруднику организации приходит электронное письмо (или звонок по телефону) от директора или сетевого администратора с просьбой сообщить свой пароль к базе данных с целью тестирования системы, модификации программного обеспечения или для выполнения другой правдоподобной задачи. На самом деле, это может быть злоумышленник. И это только один из видов атаки, построенной на социальной инженерии, который называется – претекстинг. А ведь существуют и другие, например - фишинг, когда пользователю подставляется подложная веб- страница, являющаяся полной копией официальной, где он вводит свои конфиденциальные данные, или "дорожное яблоко" - вариация на тему троянского коня, когда пользователю подбрасывается инфицированный носитель и т.д. В таких ситуациях без принятия организационных мер, используя только технические средства защититься очень сложно.

КСЗИ строится поэтапно. Сначала производится обследование информационно-телекоммуникационной системы. Анализируется её архитектура, топология, составные части, выполняется инвентаризация всех информационных ресурсов. Каждый ресурс и его владелец и пользователь должны быть чётко идентифицированы и задокументированы. После этого выполняют классификацию ресурсов и по её результатам выходным данным присваиваются грифы секретности. Примерами таких выходных данных являются: печатные отчеты, информация, выводимая на экраны дисплеев, данные, хранимые на магнитных носителях (лентах, дисках, кассетах, флеш-накопителях), электронные сообщения и передаваемые файлы.

После классификации информации необходимо определиться от чего мы будем её защищать, т.е. построить, так называемую, модель угроз. С точки зрения защиты информации, компьютерная система рассматривается как набор функциональных услуг. Каждая услуга представляет собой набор функций, которые позволяют противостоять определённому множеству угроз. Это могут быть: угрозы конфиденциальности (связанные с несанкционированным ознакомлением с информацией), угрозы целостности (относящиеся к несанкционированной модификации или уничтожению информации), угрозы доступности (относятся к нарушению возможности использования компьютерных систем или обрабатываемой информации) и угрозы наблюдательности – (связанные с нарушением идентификации и контролем над действиями пользователей, управляемостью компьютерной системой).

Угрозы могут быть природного характера, технического или люди. Угрозы природного характера (стихийные бедствия, наводнения, пожары и т.д.) приносят наибольший ущерб, защититься от них сложнее всего, но и вероятность их возникновения самая низкая. Для защиты от таких угроз строят геокластеры – это кластеры, ноды которых разнесены территориально (разные здания, города, континенты). Довольно большой ущерб наносят угрозы технического характера (аварии, сбои, отказы оборудования и средств вычислительной техники). Защищаются от таких угроз при помощи механизмов дублирования систем и их компонентов (кластеры, RAID массивы, сетевые протоколы резервирования). Например, межсетевые экраны D-Link NetDefend позволяют одновременно произвести несколько подключений к одному или разным провайдерам интернет услуг, и производить переключение на резервные каналы в случае выхода со строя основного или использовать все линии связи одновременно, выполняя статическую или динамическую балансировку нагрузки между ними. Также, можно выполнить резервирование IPSec туннелей, т.е. автоматически поднять их на резервном канале связи, если основной упал. Старшие модели межсетевых экранов поддерживают технологию высокой доступности (High Availability – HA), позволяющей параллельно установить два устройства, одно из которых будет являться основным, а второе резервным. Доступ в интернет будет выполняться через основное устройство. Резервный экран будет постоянно синхронизировать с основным сессионные таблицы, и проверять его доступность. В случае выхода со строя основного, резервный возьмёт на себя его функции, что произойдёт совершенно прозрачно для пользователей, без разрыва соединений и задержек в работе.

Если говорить о людях, то это не обязательно преднамеренные действия нарушителей. К данной категории угроз относятся и ошибки проектирования и разработки компонентов системы, ошибки эксплуатации, развитие технологий (совершенствование технологий написания вирусов, создания средств взлома), а также непреднамеренные действия пользователей. Например, уборщица со шваброй, моющая пол в серверной может представлять не меньшую угрозу, чем опытный хакер.

Построение модели угроз необходимо так как, различные виды информации требуется  защищать по-разному и от различных типов угроз. Например, публичной информации, находящейся на веб-сайте компании необходимо обеспечить целостность и доступность. Этой информации ни в коем случае нельзя обеспечивать конфиденциальность, т.е. её должны видеть все. Для другой информации, циркулирующей внутри компании, возможно, потребуется ещё и обеспечение конфиденциальности. При этом если попытаться защитить абсолютно все ресурсы, то на это не хватит ни сил, ни средств. Поэтому необходимо определиться, что для нас более важно, а что менее, и для защиты более критической информации применять более надёжные и, скорее всего, более дорогостоящие средства, чем для менее важной.

Применительно к людям строится модель нарушителя, т.е. определяются все возможные типы нарушителей, и даётся им подробная характеристика. Это могут быть, например, профессионалы, наёмники, хулиганы, сотрудники предприятия и т.д. Наиболее опасными являются профессионалы, так как они имеют необходимые знания и технические средства для осуществления несанкционированного доступа и сотрудники предприятия, так как они обладают определённой информацией об организации системы обеспечения безопасности на предприятии и уже имеют хотя бы минимальные права доступа к ресурсам организации. В случае определённой мотивации таких сотрудников и предоставления им технических средств взлома они могут нанести довольно большой ущерб. Также не следует забывать, что зачастую на предприятии есть обиженные сотрудники, которые уже имеют мотивацию для выполнения противоправных действий и злоумышленникам достаточно только их вычислить.

Только после этого производится определение требований к системе защиты, и разрабатываются необходимые документы, в том числе: "Политика безопасности информации", "Положение о службе защиты информации", "Техническое задание на создание КСЗИ". После чего осуществляется выбор средств защиты и их характеристики и разрабатывается "Технический проект на создание КСЗИ". И только после этого производится внедрение выбранных мер, способов и средств защиты.

После построения системы защиты информации производится постоянный контроль её целостности, анализ состояния и уточнение требований к средствам защиты. Если для обычных сетевых администраторов фраза "хороший админ – спящий админ" является справедливой, то для администраторов, отвечающих за информационную безопасность она не подходит. Информационная система является динамичной, внешние и внутренние условия постоянно изменяются. Не является постоянной и структура организации – в ней создаются новые отделы и структурные подразделения, приходят и уходят сотрудники, появляются новые информационные службы (базы данных, веб службы и т.д.), осуществляется переезд из одних помещений в другие. Изменяется и циркулирующая в системе информация, а также политика компании в области обеспечения её безопасности. И под все эти изменения необходимо постоянно подстраивать систему защиты информации. Безопасность – это процесс.

Ещё одним важным моментом построения системы защиты информации является оценка правильности построения системы и удовлетворение её критериям гарантии (испытание КСЗИ). Существуют определённые методики, позволяющие определить правильность построения системы защиты информации, но проводить аудит собственными силами крайне сложно. Он по определению должен проводиться третьей стороной. Дело в том, что те, кто строит систему, оперируют всеми своими знаниями и стараются выполнить защиту по максимуму. В результате проверить систему, даже владея необходимыми методиками, самим разработчикам сложно. Если человек при построении системы знал о каких-то уязвимостях или способах взлома, то он наверняка постарался от них защититься. Но людей, которые знают всё - не существует, и в результате в системе могут остаться открытые бреши в безопасности.

А нужно ли защищать наши информационные системы? Применение тех или иных организационных или технических средств защиты зависит не от типа пользователя: домашний или корпоративный, большая это компания или маленькая, а от стоимости информации, которую нужно защищать, т.е. от потерь которые понесёт пользователь в случае нарушения одной или нескольких функций защиты – нарушения конфиденциальности, целостности или доступности информации. Как правило, чем больше компания, тем больше у неё информации, в том числе и с ограниченным доступом, и тем выше потери компании при нарушении функций защиты. Но и обычный пользователь, например, руководитель той же компании на своём домашнем компьютере может содержать информацию, компрометация которой может обойтись очень дорого. Соответственно, его компьютер и линии связи должны быть защищены не хуже, чем корпоративная сеть. Выбор средств защиты и их стоимость определяется стоимостью защищаемой информации. Не имеет смысла тратиться на средства защиты больше, чем стоит сама информация. Оценка стоимости информации является одной из наиболее сложных задач при построении систем информационной безопасности. В случае, если в системе планируется обработка информации, порядок обработки и защиты которой регламентируется законами Украины или другими нормативно-правовыми актами (например, информация, которая принадлежит государству), то для обработки такой информации в этой системе необходимо иметь разрешение соответствующего уполномоченного государственного органа. Основанием для выдачи такого разрешения является вывод экспертизы системы, то есть проверки соответствия реализованной КСЗИ установленным нормам.

КСЗИ – это отечественное понятие и регламентируется оно соответствующими отечественными законодательными актами. Если говорить о международной практике, то во многих странах существуют свои стандарты и требования по обеспечению информационной безопасности. Наверное, дальше всех в этом отношении продвинулась Британия, чья группа стандартов BS 7799 легла в основу серии международных стандартов ISO/IEC 27000. На сегодняшний день есть 18 утвержденных и опубликованных стандартов группы ISO/IEC 27000. Наиболее важными и популярными из них являются: ISO/IEC 27001 — "Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования." и ISO/IEC 27002 — "Информационные технологии. Методы обеспечения безопасности. Практические правила управления информационной безопасностью". Эти два стандарта приняты Национальным банком Украины в качестве отраслевых и носят соответствующие названия: СОУ Н НБУ 65.1 СУИБ 1.0:2010 "Методы защиты в банковской деятельности. Система управления информационной безопасностью. Требования "; СОУ Н НБУ 65.1 СУИБ 2.0:2010 "Методы защиты в банковской деятельности. Свод правил для управления информационной безопасностью".

Так как же на практике всё-таки защищать информационные системы?

Существует довольно много каналов утечки информации. По физическим принципам их можно разделить на следующие группы: акустические (включая вибрационные и акустопреобразовательные), визуально-оптические (наблюдение, фотографирование), электромагнитные (в том числе магнитные, электрические и параметрические), материально-вещественные (бумага, фото, магнитные носители, отходы), компьютерный метод съёма (вирусы, закладки, логические бомбы), перехват при передаче по каналам связи.

Часть задач обеспечения безопасности можно решить при помощи физических средств защиты. Проще говоря, – это: надежные серверные, несгораемые шкафы, средства контроля доступа в помещения, контроль над использованием устройств хранения и ввода/вывода информации (магнитные и оптические накопители, порты ввода/вывода на компьютерном и коммуникационном оборудовании), контроль над использованием печатающей и копировальной техники, пожарная и охранная сигнализация, средства видеонаблюдения. Из всего этого разнообразия рассмотрим подробно способы защиты от компьютерного метода съёма и от перехвата при передаче по каналам связи.

Если говорить о технических средствах защиты, то целесообразно их разбить на несколько групп в зависимости от точки приложения: средства защиты периметра сети, средства обеспечения безопасных соединений, средства обеспечения безопасности в локальных сетях и средства обеспечения безопасности в беспроводных сетях.

Защита периметра

Для защиты периметра сети применяются устройства, называемые межсетевыми экранами. Существует несколько поколений межсетевых экранов. Первое поколение – экраны с пакетной фильтрацией (Packet Filtering Gateways). Данные устройства работают на сетевом и транспортном уровне модели взаимодействия открых систем (Open Systems Interconnection - OSI), и как правило анализируют следующие поля пакетов: IP адрес источника и назначения, номер протокола, порт (TCP, UDP) источника и назначения. Данные устройства обладают высокой масштабируемостью и производительностью, но обеспечивают не очень высокий уровень безопасности. На сегодняшний день, практически все маршрутизаторы и большинство коммутаторов 3-го уровня обладают функциональными возможностями экранов с пакетной фильтрацией.

Второе поколение – экраны уровня соединения (Circuit Level Gateways). Устройства работают на сетевом, транспортном и сеансовом уровне и анализируют большее число полей: IP адрес источника и назначения, номер протокола, порт (TCP, UDP) источника и назначения, информацию о последовательности и состояние соединения (устанавливается, установлено, завершается), т.е. флаги пакетов. Главное отличие данных устройств от предыдущих заключается в том, что экраны уровня соединения ведут так называемую таблицу соединений (session state table). Они записывают в эту таблицу информацию об установленных сессиях и удаляют из таблицы информацию только тогда, когда сессия завершается. Благодаря такому алгоритму работы они обеспечивают гораздо более высокий уровень безопасности. Эти устройства оперируют не только информацией, содержащейся в анализируемом пакете, а и знают, что происходило раньше. Такие экраны, например, позволяют запретить установку соединения со стороны публичных сетей в сторону локальных и создать динамические правила для прохождения пакетов с интернет в локальную сеть, если сессия была инициирована из локальной сети. Они могут ограничить количество сессий, открываемых пользователем и позволяют защититься от некоторых атак, использующих подмену адресов и не сложных атак типа "отказ в обслуживании" (Denial of Service - DoS). Данные экраны обладают практически такой же производительностью, как и экраны с пакетной фильтрацией. Если говорить о межсетевых экранах D-Link NetDefend, то они имеют свою особенность при работе с таблицей соединений. При написании правил контроля трафика (ACL – access control list) все действия над пакетами описываются непосредственно в каждом правиле, что позволяет очень гибко манипулировать пакетами внутри файрвола и разворачивать их как угодно. Действия могут быть следующими: Drop – отбрасывание пакета, Reject – отбрасывание пакета и уведомление отправителя о том, что пакет отброшен при помощи TCP reset или ICMP, Allow – маршрутизация пакета и занесение информации о пакете в таблицу соединений, NAT – маршрутизация пакета, подмена IP адреса источника и занесение информации о пакете в таблицу соединений, Forward fast – маршрутизация пакета, SAT – подмена IP адреса или IP адреса и порта источника или назначения, SAT SLB - подмена IP адреса или IP адреса и порта назначения, причём в качестве адреса назначения может использоваться несколько адресов, чередующихся в соответствии с выбранным алгоритмом (используется для балансировки нагрузки между хостами), Multiplex SAT – трансляция мультикастового трафика. Обратите внимание, что правила SAT сами по себе не маршрутизируют трафик, после них обязательно должно стоять правило, которое выполнит продвижение пакетов (Allow, NAT или Forward fast), причём, например, использование в паре правил SAT и NAT позволяет подменить в пакете все IP адреса (источника и назначения) и таким образом смаршрутизировать пакет как угодно. Наглядным примером использования таких хитрых правил может быть маршрутизация пакета из локальной сети обратно в локальную сеть через WAN интерфейс межсетевого экрана, что часто встречается, когда почтовый сервер установлен в локальной сети, а на межсетевом экране настроен проброс портов. В этом случае пользователям, которые работают, и из локальной сети, и из внешних сетей не нужно каждый раз изменять адрес почтового сервера в своём почтовом клиенте. Если говорить непосредственно о работе с сессионной таблицей, то необходимо помнить, что в эту таблицу информация о пакете заносится только при использовании действий Allow или NAT.

Третье поколение – экраны уровня приложений (Application Level Gateways - ALG). Данные экраны работают на уровне приложений и могут отслеживать корректность работы протоколов данного уровня, например, блокировать определённые команды, терминировать сессию в случае неправильного порядка команд. Для протоколов, использующих динамические порты, например: FTP, SIP, H.323, устройства могут создавать динамические правила для открытия соответствующих портов. Такие экраны могут блокировать загрузку определённых файлов или типов файлов, ограничивать размер и количество почтовых сообщений, доступ к определённым веб ресурсам, блокировать Java, ActiveX апплеты, Cookies. Устройства уровня приложений, как правило, не выпускаются в виде отдельных устройств или отдельного программного обеспечения, а являются службами в межсетевых экранах с полной пакетной проверкой (Statefull Packet Inspections - SPI). Для работы с каждым приложением экран должен иметь соответствующую службу (соответствующий ALG). Межсетевые экраны D-Link NetDefend имеют ALG для следующих протоколов: FTP, TFTP, SIP, H.323, HTTP, SMTP, POP3, TLS, PPTP.

Экраны с полной пакетной проверкой позволяют анализировать пакеты на всех уровнях модели OSI. К этому типу относится большинство выпускаемых сегодня устройств, однако это не означает, что они могут анализировать все протоколы уровня приложений. Самые дешёвые из них умеют работать только с протоколом HTTP, более продвинутые поддерживают большее количество протоколов, как правило, ещё и FTP, SMTP, POP3. Более функциональные модели могут работать с VoIP протоколами, такими как SIP, H.323 и некоторыми другими протоколами уровня приложений. Поэтому при выборе устройств не следует особо обращать внимание на термин SPI, он практически ни о чём не говорит. Необходимо уточнять более детальные характеристики устройств, перечень поддерживаемых функций, технологий и протоколов, а также такой немаловажный параметр как производительность.

Экраны уровня соединения и уровня приложения бывают двух типов: прозрачные (transparent) и посредники (proxy).

Прозрачные межсетевые экраны инспектируют сессии, установленные между внешними и внутренними хостами (Рис.1).


Рисунок 1

Межсетевые экраны - посредники устанавливают сессию с хостом источником, а потом от его имени устанавливают сессию к хосту назначения (Рис. 2). Такие устройства обеспечивают более высокий уровень безопасности, так как реализация атаки усложняется, т.е. атакуется сразу не конечный хост, а файрвол посредник, а их недостатками являются невысокая производительность и подверженность DoS атакам.


Рисунок 2

Несмотря на то, что межсетевые экраны с полной пакетной проверкой работают на всех уровнях модели OSI, они не могут защитить от вирусов и "троянских" программ, так как данное вредоносное содержимое находится в поле данных пакета, которое не анализируется даже  межсетевыми экранами с полной пакетной проверкой. Для защиты от таких атак применяется антивирусное ПО и системы обнаружения и предотвращения вторжений (IDS/IPS – intrusion detection and prevention systems). Такие системы, в отличие от межсетевых экранов анализируют не только служебные поля пакетов, а и их содержимое, в результате они могут обнаруживать довольно сложные по реализации атаки, вирусы и "троянские" программы. В связи с тем, что IDS/IPS просматривают всё содержимое пакета, а иногда в качестве содержимого может выступать заархивированная информация, которую перед проверкой необходимо сначала разархивировать, то производительность таких систем является довольно низкой – это один из основных критериев при выборе системы обнаружения вторжений.

Данные системы для обнаружения атак могут использовать различные механизмы. Наиболее часто используемый способ – это сигнатурный анализ, т.е. информация, передаваемая в полях данных пакетов, сравнивается с сигнатурами (описаниями атак) на предмет совпадения. Например, наличие строки "GET . cgi-bin ./etc/passwd" в области данных HTTP пакета свидетельствует об использовании эксплоитов типа phf, php или aglimpse.

Недостатком данного способа является то, что обнаружить можно только известные атаки, под которые подготовлены и подгружены в устройство сигнатуры. Для обнаружения неизвестных атак используется эвристический анализ, анализ аномалий сетевой активности и анализ аномалий в работе системы.

Системы IDS/IPS в зависимости от типа и реализации могут выполнять определённые действия: уведомить системного администратора, отбрасывать пакеты вредоносной сессии, разорвать такую сессию, удалить вредоносное содержимое из поля данных пакета, запретить изменение системной информации.

Существует три основных класса систем обнаружения вторжений. Прозрачные сетевые IDS (Transparent Network IDS – TNIDS) (Рис. 3) устанавливаются в разрыв сетевого подключения.


Рисунок 3

Сенсорные сетевые IDS (Sensor Network IDS – SNIDS) (Рис. 4) подключаются к сегменту сети одним портом и прослушивают трафик, попадающий на этот порт. Если локальная сеть является коммутируемой, то подключение сенсорных IDS/IPS необходимо производить к зеркальным портам коммутаторов, на которые зеркалировать необходимый для прослушивания трафик.


Рисунок 4

Хостовые IDS (Host IDS – HIDS) представляют собой программное обеспечение, устанавливаемое на рабочих станциях или серверах и обеспечивающее их защиту.

На сегодняшний день, многие межсетвые экраны имеют встроенные системы IDS/IPS и механизмы антивирусной проверки. Такие экраны называются UTM (Unified Threat Management), а такая проверка трафика Deep Packet Inspections. Все межсетевые экраны D-Link NetDefend (Рис. 5) являются UTM устройствами. Они имеют встроенный антивирус и систему IDS/IPS. Данная система имеет три группы сигнатур: IDS, IPS и Policy. IDS и IPS сигнатуры предназначены для блокировки вредоносного содержимого, а Policy сигнатуры предназначены для блокировки определённых типов трафика, который невозможно заблокировать ACLями, т.е. трафик, который использует динамические порты или прячется под другой вид трафика (обычно http), включая различные мессенджеры и пиринговые сети (torrent, skype, icq и т.д.). Для использования антивируса и системы IDS/IPS необходимо приобретение дополнительной подписки.


Рисунок 5

Также, межсетевые экраны D-Link NetDefend имеют встроенную систему веб-контент фильтрации, функцию контроля приложений и антиспамовую защиту. Веб-контент фильтрация используется для ограничения доступа пользователей к определённым веб ресурсам. Ограничение может производиться двумя способами: администратор может вручную прописывать разрешённые или запрещённые URL адреса или может использовать категоризированную базу URL ресурсов. В категоризированной базе имеется 31 категория ресурсов, к которым администратор может разрешать или запрещать доступ пользователей. Если какой-то ресурс отсутствует в базе, то он будет подгружен, проанализирован и автоматически отнесён к определённой категории. Если автоматическая классификация оказалась неверной, то администратор может вручную переклассифицировать данный URL. Для использования категоризированной базы необходимо приобретение дополнительной подписки. Возможность занесения ресурсов вручную есть в базовой поставке межсетевого экрана и не требует подписки. Функция контроля приложений озволяет администраторам осуществлять мониторинг и контроль различных приложений, которые невозможно распознать и заблокировать обычными списками контроля доступа или фильтрацией Web-содержимого. Функция позволяет не только целиком заблокировать использование какого-то приложения, а и заблокировать использование определённых функций этого приложения не блокируя его целиком. Для использования функции контроля приложений необходимо приобретение дополнительной подписки. Для борьбы со спамом в семействе межсетевых экранов D-Link NetDefend обеспечивается два метода фильтрации спам сообщений – при помощи списка запрещённых спам отправителей в Blacklist и через DNSBL (DNS Blacklist). D-Link не поставляет свою базу DNSBL, но межсетевые экраны позволяют подключить любые публичные базы и присвоить каждой из них определённый коэффициент доверия. При этом можно настроить устройство так, что бы сообщение считалось спамом при достижении определённого суммарного коэффициента с учётом всех подключённых баз.

Кроме аппаратных межсетевых экранов существуют и программные. Это ПО, функционирующее на универсальной аппаратной платформе (имеется ввиду не специализированной, т.е. обычные сервера, компьютеры и т.д.) поверх открытой операционной системы (имеется ввиду не Open Source, а открытой для разработчиков ПО, т.е. Windows, Unix, Mac OS и т.д.). Какой экран выбрать, программный или аппаратный? Стоимость программных межсетевых экранов по сравнению с аналогичными по функциональным возможностям аппаратными решениями, как правило, ниже. При этом программные решения оказываются гибче. К ним в будущем проще добавить дополнительные функциональные возможности или исправить допущенные ранее ошибки. Казалось бы, что ещё нужно? Дешевле, функциональней, гибче. Почему же тогда существует настолько большой рынок аппаратных устройств, а объёмы их продаж превышают объёмы продаж программных продуктов? Не всё так просто. Во-первых, для конечного пользователя программное решение может оказаться дороже, чем аппаратное, так как законченное решение включает в себя не только стоимость программного обеспечения межсетевого экрана и аппаратной платформы, а иногда и дополнительного ПО – операционной системы, поверх которой работает брандмауэр, баз данных в которых храняться логи, различных интерпретаторов и др. Во-вторых, программные решения обладают ещё целым рядом недостатков, и основным из них является то, что их взлом или обход можно произвести не напрямую, а через уязвимости операционной системы, поверх которой они работают. Количество уязвимостей, содержащихся в операционных системах гораздо выше, чем в специализированном программном обеспечении межсетевого экрана или их аппаратных аналогах. Кроме того, надёжность программных решений ниже, так как они работают на универсальных аппаратных платформах, которые содержат большое количество компонентов (чем меньше компонентов содержит система, тем выше её надёжность). Причём, некоторые из этих компонентов содержат: движущиеся механические элементы (винчестеры, вентиляторы), у которых наработка на отказ гораздо ниже, чем у электронных; магнитные элементы (винчестеры), которые имеют низкую стойкость к повреждениям и подвержены электромагнитному излучению; большое количество контактных групп. Программные межсетевые экраны требуют более высокого уровня квалификации от обслуживающего их персонала, так как необходимо правильно настроить не только сам экран, а и операционную систему и другое вспомогательное ПО, что не так просто, как многие полагают. Зачастую настройка операционной системы является более сложной и трудоёмкой, чем настройка самого экрана. Программные межсетевые экраны более дорогие в обслуживании, так как необходимо постоянно отслеживать не только обнаруженные уязвимости в специализированном программном обеспечении и устанавливать заплатки, а и уязвимости операционных систем, которых, как я уже сказал, гораздо больше. Кроме того, возможны некоторые проблемы с совместимостью между программным обеспечением, особенно после установки дополнительных заплаток. Также, необходимо постоянно отслеживать состояние механических и магнитных компонентов на отсутствие повреждений. Помещение, в котором находится программный межсетевой экран, должно иметь более строгие правила по допуску персонала, так как универсальная аппаратная платформа позволяет произвести подключение к ней различными путями. Это и внешние порты (USB, HDMI, LPT, RS-232), и встроенные приводы (CD, Floppy), а вскрыв платформу можно подключиться через SATA, IDE или SCSI интерфейс. При этом открытая операционная система позволяет без проблем установить различные вредоносные программы. И, наконец, универсальная аппаратная платформа имеет большую потребляемую мощность, что негативно сказывается на её времени работы от источника бесперебойного питания в случае пропадания электроэнергии.

Споры о том, какие решения, в конечном итоге, программные или аппаратные лучше ведутся давно, но я хотел бы заметить, что любые технические средства - это лишь инструмент в руках тех, кто их эксплуатирует. И в большинстве случаев, проблемы с безопасностью происходят по причине невнимательности или низкой квалификации ответственного за это персонала, а не выбора той или иной платформы. Опытный сетевой администратор может из программного экрана сделать решение не хуже, а то и лучше чем аппаратное. Вся проблема в том, что таких специалистов не так уж много. Некоторые из известных производителей аппаратных межсетевых экранов используют в своих устройствах программные решения других компаний. В данном случае производитель аппаратного решения как раз и решает те проблемы, которые присущи программным продуктам, т.е. он подбирает специализированную аппаратную платформу, устанавливает и предконфигурирует операционную систему, устанавливает и предконфигурирует ПО межсетевого экрана.

Где устанавливаются межсетевые экраны? Мы уже говорили, что данные устройства предназначены для защиты периметра сети и соответственно они должны устанавливаться на её границе таким образом, что бы весь трафик, циркулирующий между сетями, проходил через них. Существует довольно много различных топологий установки устройств. Рассмотрим основные из них. Самый простейший представлен на рисунке 6. В этом случае экран устанавливается между корпоративной и публичной сетями и контролирует проходящий через него трафик.


Рисунок 6

Ещё одним вариантом может являться установка двух межсетевых экранов и выделение между ними, так называемой демилитаризованной зоны (DMZ) (Рис. 7).


Рисунок 7

Демилитаризованных зон может быть несколько как, например, на рисунках 8 и 9.


Рисунок 8


Рисунок 9

Как правило, для организации демилитаризованных зон используют не несколько устройств, а реализуют их на одном устройстве, используя для каждой зоны различные физические или логические интерфейсы экрана. Лучше использовать именно физические интерфейсы, так как в этом случае трафик из разных зон не будет проходить по одним и тем же физическим линиям связи.

Зачем вводятся демилитаризованные зоны? DMZ –это зона с пониженным уровнем доверия. Т.е. кроме этих зон обязательно существуют ещё две зоны: зона внутренней локальной сети – это зона с самым высоким уровнем доверия и зона внешней публичной сети – зона с самым низким уровнем доверия.

Необходимость наличия и правила построения демилитаризованных зон лучше всего рассмотреть на примере организации служб реальной корпоративной сети (Рис. 10).


Рисунок 10

В данном случае для каждой из зон выделен отдельный физический интерфейс межсетевого экрана. Интерфейс WAN подключён к публичной сети (интернету). Интерфейс LAN подключён к локальной сети, в которой находятся все корпоративные службы: контроллер домена, корпоративный почтовый сервер, прокси сервер для обеспечения доступа пользователей в интернет, DNS сервер, обслуживающий локальную сеть, базы данных и др. На интерфейсе DMZ1 находится демилитаризованная зона, обеспечивающая доступ корпоративных (локальных) пользователей к сети интернет. На интерфейсе DMZ2 находится демилитаризованная зона, в которой размещены корпоративные ресурсы, к которым необходим доступ внешних пользователей, например Веб и FTP сервера, к которым может обратиться любой пользователь интернета.

На межсетевом экране при помощи пакетных фильтров мы создаём списки контроля доступа (ACLи), в которых указываем, кто и куда имеет право ходить. Первое, что мы делаем – это, запрещаем любой обмен трафиком между LAN и WAN интерфейсами. Если какому-то локальному пользователю необходим доступ в интернет, то он обращается к соответствующей службе в локальной сети, далее эта служба обращается к службе посреднику в зоне DMZ1, а далее посредник обращается к нужному ресурсу в интернете. Почему всё так сложно? Рассмотрим на примере почтовой службы. Корпоративный почтовый сервер довольно сложная система, на нём поддерживаются почтовые ящики пользователей, и производится их аутентификация, причем, как правило, аутентификация производится не локально на самом сервере, а при помощи какой-то централизованной базы, например, на котроллере домена Windows. Если такому почтовому серверу мы разрешим непосредственный доступ в интернет, то в случае его взлома нарушитель может получить доступ к информации, находящейся в почтовых ящиках пользователей, которая наверняка является конфиденциальной, а также может получить доступ к пользовательским аккаунтам, после чего он будет разгуливать по локальной сети как у себя дома. Даже если он не получит доступ к почтовым ящикам и аккаунтам, он может вывести со строя сервер, подъём которого может занять довольно длительное время. Если же мы установим в DMZ1 SMTP Relay и разрешим почтовому серверу общаться только с ним, то мы значительно усложним взломщику задачу. Т.е. ему необходимо будет сначала взломать Relay, а с него уже производить взлом почтового сервера в локальной сети, что гораздо сложнее. Вывод со строя релея тоже ничем особым нам не грозит, так как его подъём даже с подъёмом операционной системы займёт не более пары часов. Тоже самое касается и прокси служб для доступа пользователей к HTTP, FTP и другим ресурсам. DNS сервера, находящиеся в локальной сети и в DMZ1, вообще, не общаются друг с другом. Атаки на DNS сервера чреваты довольно серьёзными последствиями, так вывод со строя локального DNS сервера может парализовать работу практически всех локальных служб, т.е. приведёт к остановке всей информационной системы предприятия. Поэтому DNS сервер, находящийся в локальной сети выполняет разрешение имён только для локальных служб, а запросы к внешнему DNS серверу, находящемуся в DMZ1 выполняют прокси службы, находящиеся в этой же зоне и внешние пользователи. Как правило, DNS зоны внешнего DNS сервера дублируются ещё и на серверах провайдера.

Если зона DMZ1 предназначена для доступа локальных пользователей к чужим ресурсам, то зона DMZ2, наоборот, для доступа чужих пользователей к нашим ресурсам. Такими ресурсами чаще всего являются Веб и FTP сервера. На сегодняшний день реализация веб служб, а особенно дополнительных плугинов к ним оставляет желать лучшего. Данные службы обладают наибольшим количеством уязвимостей, а если в них используются ещё и какие-то скриптовые интерпретаторы, то лучшей точки входа в корпоративную сеть для взломщика и не найти (Рис. 11). Поэтому такие службы категорически не рекомендуется устанавливать в локальной сети и лучше всего вынести их в совершенно отдельную демилитаризованную зону.


Рисунок 11

Демилитаризованных зон может быть гораздо больше двух. Это зависит от структуры каждой конкретной организации. Например, очень часто выделяются отдельные зоны для работы со своими партнёрами. Т.е. у организации могут быть какие-то ресурсы (базы данных и др.) к которым необходим доступ партнёрам по бизнесу. Разместить такую базу в локальной сети опасно, всё таки партнёр – это не собственная структура и доверия к нему гораздо меньше, но и размещать её в зонах, к которым есть доступ из интернета тоже опасно, поэтому их размещают в отдельных зонах.

При правильной реализации межсетевой экран может обеспечить довольно высокий уровень безопасности, но следует помнить, что так как межсетевой экран устанавливается на периметре сети, то он не защищает и от атак, реализованных из локальной сети, в случае если злоумышленник уже каким-то образом проник в неё.

Обеспечение безопасных соединений через каналы передачи данных.

Для обеспечения безопасных соединений через каналы передачи данных, чаще всего, используют, или физические средства обеспечения безопасности, или виртуальные частные сети (VPN – Virtual Private Networks). VPN представляет собой объединение отдельных машин или локальных сетей в единую виртуальную сеть, которая должна обеспечивать доступность целостность и конфиденциальность передаваемых данных. Она обладает свойствами выделенной частной сети и позволяет передавать данные через промежуточную сеть, например, интернет. VPN является наиболее экономичным способом объединения локальных сетей и подключения удалённых пользователей к корпоративной сети. В случае если данные передаются через интернет, где нет возможности их контролировать на узлах и каналах, принадлежащих разным провайдерам, VPN является единственным способом, позволяющим обеспечить их безопасность.

При построении VPN используются две процедуры: туннелирование и шифрование. В процессе туннелирования создаётся логическое соединение между двумя конечными точками (они так и называются – точки терминации туннеля) и исходные пользовательские пакеты помещаются внутрь вновь сформированных пакетов, к которым добавляются специальные служебные поля соответствующего протокола туннелирования. Процедура туннелирования может обеспечивать целостность данных за счёт наличия механизмов аутентификации и добавления к пакетам криптографических хеш сумм, подтверждающих их целостность (не все VPN протоколы это поддерживают). Но сама по себе процедура туннелирования не обеспечивает конфиденциальность данных. Для этого используется шифрование. Как правило, для непосредственного шифрования данных используются блочные симметричные алгоритмы шифрования, обладающие необходимой криптостойкостью и скоростью (наиболее быстрым и криптостойким считается алгоритм AES (Advanced Encryption Standard) (Rijndael)). Так как данные алгоритмы имеют недостатки, связанные со сложностью обмена и управления ключами, то для решения этих задач используются, или ассиметричные алгоритмы шифрования, или способы обмена ключами, использующие аналогичные механизмы, например, алгоритм обмена ключами Diffie-Hellman.

Существует довольно много протоколов построения VPN. В зависимости от уровня модели OSI, на котором они работают их можно разделить на протоколы: канального (PPTP, L2TP, PPPoE), сетевого (IPSec) и прикладного (SSL, SSH) уровней. В большинстве случаев инкапсулируемый протокол относится к тому же или более высокому уровню, чем используемый в качестве туннеля, например, протокол PPTP без проблем позволяет инкапсулировать практически любой протокол сетевого уровня (IP, IPX), при этом внутрь IPSec можно завернуть только IP и т.д. Но, существуют реализации конкретных VPN клиентов под конкретные операционные системы, которые могут нарушать это правило и передавать через протоколы туннелирования высоких уровней инкапсулируемые протоколы более низких уровней, например, они могут передать через SSH соединение IP трафик. Также VPN протоколы можно разделить на клиент-серверные и равнозначные. Клиент-серверные подразумевают наличие выделенного сервера, который принимает соединения и клиентов, которые устанавливают соединения. Недостатком такой реализации является то, что соединение устанавливается всегда со стороны клиента в сторону сервера, т.е. если мы, например, в головном офисе установим сервер, а в региональном клиент, то пока клиент не поднимет соединение в сторону сервера, мы не сможем попасть по туннелю из локальной сети головного офиса в локальную сеть филиала. В равнозначных протоколах нет выделенного клиента и сервера, любая сторона может инициализировать поднятие туннеля. На сегодняшний день наиболее популярным является протокол IPSec. Он поддерживает надёжные механизмы обеспечения безопасности и может работать, как в равнозначном режиме, так и в клиент-серверном. Все устройства D-Link NetDefend позволяют организовывать безопасные соединения через публичные сети (интернет) и поддерживают различные технологии построения VPN. Экраны имеют встроенных клиентов PPTP, L2TP, L2TPv3 и PPoE, а также PPTP, L2TP, L2TPv3 и SSL сервера. Они поддерживают различные механизмы аутентификации и шифрования. Также, поддерживается чистое GRE туннелирование и тунелирование 6in4. Естественно, такие устройства поддерживают протокол IPSec, включая такие опции как: восстановление туннеля в случае сбоя (Dead Peer Detection – DPD), расширенную аутентификацию (Extended Authentication – xAuth) и возможность работать через NAT (NAT Traversal – NAT-T). При использовании IPSec поддерживаются механизмы шифрования: AES, Twofish, Blowfish, CAST-128, 3DES, DES, и хеширование по: SHA512, SHA256, SHA1 и MD5. Длинна ключа DH может варьироваться от group 18 до group 1. Управление ключами может производиться, или на основании предопределённого ключа (Pre-shared key), или на основании сертификатов X.509v3. База данных пользователей может находиться, или локально на межсетевом экране, или получаться по RADIUS и LDAP протоколам, а также напрямую с контроллера домена Windows при помощи Identity Awareness клиента.

Обеспечение безопасности в локальных сетях.

Перед тем, как рассмотреть способы обеспечения безопасности в локальных сетях, хотелось бы обратиться к статистическим данным, периодически публикуемым различными компаниями, работающими в области обеспечения безопасности, а именно к отчёту Forrester Research (Understand The State Of Data Security And Privacy: 2013 To 2014), в котором показано распределение по типам исполнителей атак (Рис. 12).


Рисунок 12

Не трудно заметить, что на сегодняшний день количество атак из внутренней сети практически такое же, как и снаружи. Это говорит о том, что предпринимаемые меры обеспечения безопасности в локальной сети должны быть не хуже, чем на её периметре.

Так как же все-таки обеспечить безопасность в локальной сети? Один из наиболее простых и дешёвых способов – это сегментировать сеть при помощи технологии виртуальных сетей (VLAN), т. е. выделить для каждой из структурных организационных групп свою виртуальную подсеть. Например, бухгалтерию разместить в одном сегменте сети, сетевых администраторов в другом, руководство организации в третьем, что бы ни при каких обстоятельствах трафик из одной подсети не попадал в другую. Наверняка, в организации будут какие-то общие ресурсы, к которым необходим доступ и сотрудникам бухгалтерии, и руководству, и другим работникам предприятия. В этом случае рекомендуется такие ресурсы вынести в отдельную виртуальную подсеть и настроить для доступа к ней правила ограничения и контроля трафика при помощи списков контроля доступа (ACLей), т.е. точно также, как это делается на межсетевых экранах. Естественно, в данном случае коммутаторы локальной сети должны обладать необходимой функциональностью.

Одним из надёжных способов обеспечения безопасности является использование протокола IEEE 802.1x. До появления этого протокола, аутентификация пользователей производилась только на конечных ресурсах на уровне приложения, т.е. почтовых, веб серверах, базах данных и др. В результате злоумышленник, подключившись к порту коммутатора, уже мог реализовать определённые типы атак. Стандарт 802.1x позволяет произвести аутентификацию пользователя на канальном уровне, т.е. непосредственно на порту коммутатора. Если пользователь не прошёл аутентификацию, то коммутатор не примет от него и не передаст ему пакеты данных. Для работы протокола 802.1х в сети должно быть три участника аутентификации: сервер аутентификации, например, RADIUS; аутентификатор – коммутатор или точка беспроводного доступа; саппликант – программный модуль, встроенный в клиентское устройство. Все три участника должны поддерживать одинаковый EAP протокол аутентификации. На сегодняшний день, наиболее популярным EAP протоколом является PEAP. Управляемые и настраиваемые коммутаторы D-Link поддерживают протокол IEEE 802.1x. Управляемые коммутаторы поддерживают также технологию Microsoft Network Access Protection (NAP). С помощью NAP администраторы компании могут поддерживать состояние «здоровья» сети. Параметры системы клиента проверяются на соответствие политике безопасности, например: наличие свежих обновлений операционной системы, наличие антивирусной программы и состояние её обновлений, установлен и работает ли на клиенте сетевой экран. На основе этих параметров каждый компьютер получает свою оценку безопасности. Компьютер, удовлетворяющий требованиям системы контроля, получает доступ в сеть предприятия. Компьютеры, не удовлетворяющие требованиям безопасности, не смогут получить доступ в сеть или смогут получить доступ лишь в изолированную часть сети, предоставляющую сервисы для достижения клиентом требуемого уровня безопасности. Реализуется это при помощи передачи коммутатору Network Policy Serverом (NPS) дополнительных параметров для пользователя по результатам его аутентификации. Коммутаторы позволяют реализовать и гостевой доступ для тех пользователей, которые не прошли аутентификацию. Им, например, можно предоставить выход только в интернет. Если клиентское устройство не поддерживает 802.1х, то на коммутаторах можно настроить Web-Based Authentication (WAC). В этом случае, что бы пользователь прошёл аутентификацию ему необходимо будет запустить на устройстве браузер и попытаться зайти на любой сайт. Коммутатор перехватит его http запрос и отправит ему страницу аутентификации.

Кроме описанных выше, коммутаторы обладают и другими механизмами обеспечения безопасности. Port Security, IP-MAC-Port Binding, DHCP Snooping –все эти технологии позволяют привязать адрес пользователя к порту коммутатора. Делается это для того, что бы он не смог сменить адрес своего клиентского устройства и выполнить атаку от чужого имени. А функция MAC Notification позволяет уведомить системного администратора в случае попытки смены MAC адреса на порту. ARP Inspection и ARP Spoofing Prevention предназначены для защиты от атак типа ARP Spoofing, когда злоумышленник, манипулируя arp ответами, может выполнить атаку man-in-middle и как результат прослушать или подменить чужой трафик. Restricted role, Restricted TCN, BPDU protection призваны защитить протокол STP (Spanning Tree Protocol), а функция Loopback Detection обнаруживает петли, которые им не определяются. Traffic Control защищает от неожиданных штормов в сети, а SafeGuard Engine от перегрузок процессора самого коммутатора.

Одним из важных способов обеспечения безопасности в локальных сетях является применение систем обнаружения и предотвращения вторжений (IDS/IPS). Такие системы могут быть запущены не только на межсетевом экране на периметре сети, а и внутри локальной сети. Это может быть, как отдельное устройство, например, дополнительный межсетевой экран D-Link NetDefend переведённый в режим маршрутизатора (без NATа) или бриджа и установленный в ключевой точке сети, так и тот же межсетевой экран, который установлен на периметре (в этом случае он может маршрутизировать и инспектировать трафик проходящий между разными локальными сегментами сети, подключёнными к разным интерфейсам экрана или проходящий между VLANами, благодаря поддержке 802.1Q). В любом случае, при установке систем IDS/IPS в локальной сети нужно помнить, что объём циркулирующего там трафика гораздо выше, чем уходящего за пределы сети, соответственно при выборе системы IDS/IPS особое внимание нужно обратить на её производительность. Межсетевые экраны D-Link NetDefend, используя встроенные механизмы безопасности (IDS/IPS, антивирус и др.) могут заблокировать атакующий хост в локальной сети, даже если они не инспектируют локальный трафик. В случае реализации атаки из локальной сети взломщику, как правило, потребуется передать какую-то информацию во внешние сети и в этом случае межсетевой экран сможет обнаружить такую атаку и дать команду коммутатору локальной сети, что бы тот заблокировал атакующего. Данная технология называется ZoneDefense (Рис. 13). Так как, это фирменная технология компании D-Link, то что бы она работала, в сети должны быть установлены управляемые коммутаторы производства D-Link.


Рисунок 13

В корпоративной сети может быть довольно большое количество сетевых устройств, и чем их больше, тем сложнее администратору отслеживать их работоспособность, контролировать уровень защищённости сети, проверять были ли попытки нарушить её безопасность, удачные эти попытки или нет и т.д. Данные задачи выполняются путём анализа логов устройств. При большом их количестве трудоёмкость выполнения такой работы вырастает катастрофически, поэтому в больших компаниях это делается при помощи автоматизированных средств – специального программного обеспечения, которое носит общее название SIEM (Security Information and Event Management). SIEM системы решают следующие задачи:

  • • Консолидация и хранение журналов событий от различных источников — сетевых устройств, приложений, журналов ОС, средств защиты.
  • • Предоставление инструментов для анализа событий и разбора инцидентов. Форматы событий в различных источниках различаются. Продукты класса SIEM унифицируют события и делают их более читабельными.
  • • Корреляция и обработка по правилам. По одному событию не всегда можно судить об инциденте. SIEM правила содержат набор условий, триггеры, счетчики, сценарии действий.
  • • Автоматическое оповещение и инцидент-менеджмент. Основная задача SIEM — не просто сбор событий, а автоматизирование процесса обнаружения инцидентов с документированием и своевременным информированием о них.

Естественно, SIEM система должна понимать формат логов, анализируемых устройств. Зачастую такие системы выпускаются не производителями сетевого оборудования, а третьими компаниями, например, формат логов межсетевых экранов D-Link NetDefend понимают продукты компаний ManageEngine, Splunk и др.

Хочется упомянуть ещё о двух типах программного обеспечения, применяемого для обеспечения безопасности в корпоративных сетях – это анализаторы безопасности и системы предотвращения утечек информации (Data Loss Prevention - DLP).

Анализаторы безопасности - это программное обеспечение, позволяющее проанализировать хосты системы на наличие последних сервисных пакетов и заплаток, на правильность настроенной политики безопасности и аудита, на наличие открытых портов, запущенных, но не использующихся служб. Такие анализаторы выдают подробные отчёты об обнаруженных потенциальных уязвимостях и рекомендации по их устранению. Из бесплатных, свободно доступных продуктов хотелось бы выделить анализатор для программного обеспечения Microsoft – Microsoft Baseline Security Analyzer (MBSA), который доступен для свободной загрузки с сайта компании.

Основной задачей DLP-систем является предотвращение передачи конфиденциальной информации за пределы информационной системы. Такая передача (утечка) может быть намеренной или ненамеренной. Распознавание конфиденциальной информации в DLP-системах производится двумя способами: анализом формальных признаков (например, грифа документа, специально введённых меток, сравнением хэш-функции) и анализом контента. В состав DLP-систем входят компоненты (модули) сетевого уровня и уровня хоста. Сетевые компоненты контролируют трафик, пересекающий границы информационной системы. Обычно они стоят на прокси-серверах, серверах электронной почты, а также в виде отдельных серверов. Компоненты уровня хоста стоят обычно на персональных компьютерах работников и контролируют такие каналы, как запись информации на компакт-диски, флэш-накопители и т.п. Хостовые компоненты также стараются отслеживать изменение сетевых настроек, инсталляцию программ для туннелирования, стеганографии и другие возможные методы для обхода контроля.

Обеспечение безопасности в беспроводных сетях

Как известно, в беспроводных сетях данные передаются с помощью радиосигнала, который, в отличие от кабельных систем, не имеет четко определенных границ и точек терминации. Естественно, это значительно затрудняет контроль над подключением устройств к такой сети. Учитывая особенности технологии, классические способы обеспечения безопасности могут не оказать должного эффекта, поэтому для защиты таких сетей используются специально разработанные механизмы и алгоритмы защиты.

Как защитить беспроводную сеть? Существует специальный стандарт, призванный обеспечить безопасные коммуникации в беспроводных сетях – IEEE 802.11i. Последний вводит понятие надежно защищенной сети (Robust Security Network, RSN) и надежно защищенного сетевого соединения (Robust Security Network Association, RSNA), после чего делит все алгоритмы на:

  • · RSNA-алгоритмы (для создания и использования RSNA);
  • · Pre-RSNA-алгоритмы (не надёжные).

К Pre-RSNA-алгоритмам относятся:

  • · WEP;
  • · существующая аутентификация IEEE 802.11 (имеется в виду аутентификация, определенная в стандарте редакции 1999 г.). Т. е. Open System с WEP-шифрованием или без и Shared Key.

К RSNA-алгоритмам относятся:

  • · TKIP;
  • · CCMP;
  • · процедура установления и терминации RSNA (включая использование IEEE 802.1x аутентификации)
  • · процедура обмена ключами.

Т.е. способами шифрования, удовлетворяющими RSNA, являются: WPA-EAP (WPA-Enterprise), WPA-PSK (WPA-Preshared Key, WPA-Personal), WPA2-EAP (WPA2-Enterprise), WPA2-PSK (WPA2-Preshared Key, WPA2-Personal).

Temporal Key Integrity Protocol (TKIP) – это протокол, который предназначен для решения основных проблем WEPа в области шифрования данных. Что бы обеспечить совместимость с существующим аппаратным обеспечением TKIP использует тот же алгоритм шифрования, что и WEP – RC4. Данный протокол подразумевает несколько механизмов, повышающих защищённость беспроводных сетей: динамические ключи, изменённый механизм генерации ключей, более надёжный механизм проверки целостности сообщений, увеличенный по длине вектор инициализации, нумерация пакетов.

В отличие от протокола WEP, где для обеспечения целостности передаваемых данных использовался механизм CRC-32, протокол TKIP использует Message Integrity Code (MIC), обеспечивающий криптографическую контрольную сумму от полей: адрес источника, адрес назначения и поля данных. Так как классические MIC алгоритмы, например, HMAC-MD5 или HMAC-SHA1 для существующего беспроводного оборудования являлись очень тяжёлыми и требовали больших вычислительных затрат, то специально для использования в беспроводных сетях Niels Ferguson разработал алгоритм Michael. Этот алгоритм использует для шифрования 64-х битный ключ и выполняет действия над 32-х битными блоками данных. MIC включается в зашифрованную часть фрейма между полем данных и полем ICV.

CCMP (Counter mode (CTR) with CBC-MAC (Cipher-Block Chaining (CBC)) with Message Authentication Code (MAC) Protocol) так же, как и TKIP призван обеспечить конфиденциальность, аутентификацию, целостность и защиту от атак воспроизведения. Данный алгоритм основан на методе CCM алгоритма шифрования AES. Алгоритм AES определён в спецификации FIPS PUB 197. Все AES процессы, используемые в CCMP, используют AES с 128-битным ключом и 128-битным размером блока. Сам алгоритм CCM определён в IETF RFC 3610. В принципе, сам способ CCM не является криптографическим алгоритмом и может быть использован с любым блочным алгоритмом шифрования. Алгоритм CTR используется непосредственно для шифрования данных, а CBC-MAC для обеспечения целостности (аналогично функции Michael в TKIP).

Для работы алгоритмов WPA-EAP и WPA2-EAP необходимо наличие в сети сервера аутентификации, который при каждом подключении пользователя будет производить его аутентификацию, и выдавать ему персональный ключ. WPA-PSK и WPA2-PSK не требуют наличия сервера аутентификации. Ключ генерируется из парольной фразы, прописанной на точке беспроводного доступа и клиентах. Недостаток WPA-PSK и WPA2-PSK заключается в том, что во-первых, прописываемая парольная фраза одинакова для всех клиентов сети, т.е. если кто-то из пользователей сообщит её злоумышленнику, то мы даже не узнаем кто это сделал, во вторых, если парольная фраза не будет достаточно уникальной, то возможен её подбор при помощи простого перебора.

Несмотря на то, что алгоритм TKIP относится к RSNA алгоритмам, его взлом на сегодняшний день не составляет большого труда, так как в 2008 году криптографы Erik Tews и Martin Beck нашли в нём уязвимость, которая позволяет получить ключ за довольно короткое время. Т.е. на сегодня единственным надёжным алгоритмом можно считать только WPA2, хотя и в нём уже найдена уязвимость, носящая название Hole 196. Эта уязвимость не позволяет получить ключ, но она даёт возможность пользователю уже авторизованному в сети Wi-Fi перехватывать и дешифровать данные, передаваемые и принимаемые другими пользователями этой же сети.

Также, беспроводные сети остаются совершенно беспомощными перед атаками типа "Отказ в обслуживании (Denial of Service – DoS)". Причём такие атаки могут быть реализованы как на физическом уровне, например при использовании генератора излучения с высокой мощностью на частоте работы беспроводной сети, так и на канальном. При реализации атаки на канальном уровне используется уязвимость беспроводных сетей, заключающаяся в отсутствии аутентификации для служебных фреймов, т.е. любой источник может сгенерировать любое количество служебных фреймов и точка доступа будет пытаться их все принять. В результате можно, или создать такую нагрузку, что бы устройство не справилось с ней, или посылать клиентам данной точки доступа от её имени фрейм на дисассоциацию. Проблема канального уровня решена в новом стандарте обеспечения безопасности в беспроводных сетях IEEE 802.11w (Protected Management Frames), который позволяет защитить семь из двенадцати служебных фреймов и в частности фрейм на дисассоциацию.

Кроме механизмов, разработанных специально для обеспечения безопасности в беспроводных сетях, в них можно использовать и классические варианты, применяемые в кабельных системах, например: туннелирование, вынос беспроводной сети в отдельную демилитаризованную зону с контролем трафика при помощи системы IDS/IPS, дополнительную аутентификацию пользователей на пограничном ресурсе и т.д. Для построения корпоративных беспроводных сетей рекомендуется применять централизованно управляемые беспроводные решения с использованием специализированных контроллеров, например, решения D-Link на базе устройств серий DWS и DWC (Рис. 14). Они имеют ряд механизмов для обеспечения безопасности, включая систему обнаружения беспроводных вторжений (WIDS), механизмы обеспечения отказоустойчивости, динамического контроля и подстройки радио обстановки, обеспечения роуминга клиентов и т.д.


Рисунок 14

В данном материале мы попытались более-менее целостно рассказать о существующих способах и средствах защиты информационных систем и дать рекомендации по их применению. Тема информационной безопасности настолько широкая, что осветить её полностью невозможно, в принципе, но чем большей информацией обладает администратор безопасности, тем правильнее он сможет выбрать необходимую модель защиты. Предупреждён – значит вооружён.

 

Иван Мартынюк