Раздел10_11
.pdf
3) Компромиссное решение – использование ЗАКРЫТОГО
ПРОТОКОЛА В ФАЗЕ УСТАНОВЛЕНИЯ СОЕДИНЕНИЯ, а затем ИСПОЛЬЗОВАНИЕ ОТКРЫТОГО ПРОТОКОЛА ДЛЯ информационного
ВЗАИМОДЕЙСТВИЯ клиент-сервер по установленному с точки зрения обеспечения безопасности каналу связи.
Данный подход, с одной стороны, позволяет использовать закрытые для злоумышленника принципы взаимодействия, с другой стороны, обеспечивает возможность использования открытых информационных технологий (в частности, сервисов и команд Internet) при взаимодействии клиент-сервер по установленному каналу.
Сетевое средство (программное) УСТАНОВЛЕНИЯ ЗАЩИЩЕННОГО СОЕДИНЕНИЯ (ССУЗС) устанавливается,
наряду со стандартным ССВ (например, реализующим соответствующую команду Internet), НА КЛИЕНТЫ (пользователи) и НА ВЫДЕЛЕННОЕ
СРЕДСТВО ЗАЩИТЫ информации.
При установлении защищенного соединения используется ССУЗС, после чего – стандартное (открытое) ССВ.
4) Если программные средства защищаемого объекта подвержены ЧАСТОЙ ЗАМЕНЕ, то я техническом средстве защиты необходимо
ИСПОЛЬЗОВАТЬ НАИБОЛЕЕ ПРОВЕРЕННЫЕ, имеющие большие гарантии в отсутствии ошибок программные средства.
НАИЛУЧШИМ РЕШЕНИЕМ ДЛЯ технического СРЕДСТВА ЗАЩИТЫ информации будет ИСПОЛЬЗОВАНИЕ ЗАКРЫТЫХ (мало-
известных, реализуемых не по общепринятым в открытых информационных технологиях стандартам) ПРОГРАММНЫХ СРЕДСТВ на всех уровнях архитектуры.
5)Обязательно НЕПРЕРЫВНОЕ ОТСЛЕЖИВАНИЕ СТАТИСТИКИ по найденным ошибкам в программных средствах, используемых как в защищаемом объекте, так и в средстве защиты, ИХ НЕМЕДЛЕННОЕ УСТРАНЕНИЕ при обнаружении!
6)Необходимо ОБЕСПЕЧЕНИЕ ГАРАНТИЙ НЕВОЗМОЖНОСТИ ПОДМЕНЫ злоумышленником ЛЮБОЙ ПРОГРАММНОЙ КОМПОНЕНТЫ на ту, в которой присутствует ошибка,
прежде всего на выделенном средстве защиты, что должно
ОБЕСПЕЧИВАТЬСЯ НЕПРЕРЫВНЫМ КОНТРОЛЕМ
ЦЕЛОСТНОСТИ программных средств.
??????????????????????????????????????????
7) С целью ПРЕДОТВРАЩЕНИЯ ВОЗМОЖНОСТИ НАКОПЛЕНИЯ злоумышленником ИНФОРМАЦИИ ОБ ОШИБКАХ
необходимо:
a)засекречивание информации о составе программных средств, расположенных как на объекте защиты, так и на техническом средстве защиты;
b)регистрация попыток несанкционированного доступа с целью ПОЛУЧЕНИЯ ИНФОРМАЦИИ О СОСТАВЕ программных средств, расположенных на объекте защиты и техническом средстве защиты;
с) оперативный ПОИСК ЗЛОУМЫШЛЕННИКОВ ПРИ РЕГИСТРАЦИИ ПОПЫТОК взлома.
10.1.2 Многоуровневая защита от закладок
Злоумышленник может совершить хищение информации, если ему ИЗВЕСТНЫ ЗАКЛАДКИ как В ОБЪЕКТЕ ЗАЩИТЫ, так и В ТЕХНИЧЕСКОМ
СЗИ. При этом закладки могут быть расположены в различных компо-
нентах программного обеспечения на различных уровнях.
Поэтому, НЕ СЛЕДУЕТ ИСПОЛЬЗОВАТЬ одинаковые программные средства на различных уровнях защищённой системы для уменьшения информированности злоумышленника относительно закладок
вобоих технических средствах – в ОБЪЕКТЕ ЗАЩИТЫ и В
ВЫДЕЛЕННОМ СЗИ.
Ситуация ОБЕИХ известных закладок возможна только в том случае, если В ОБОИХ технических средствах используются программные средства одного
производителя.
Гарантии защищенности от закладок при многоуровневой защите
информации обеспечиваются, если техническое СРЕДСТВО ЗАЩИТЫ
ИЗГОТАВЛИВАЕТСЯ ОТЕЧЕСТВЕННЫМ ПРОИЗВОДИТЕЛЕМ, причём желательно с применением оригинальных программных компо-
нент.
Если же некоторые из используемых компонент, например ОС, в обоих
средствах иностранного производства, при построении многоуровневой защиты
целесообразно задумываться о том, чтобы максимально исключить возмож-
ность информированности злоумышленника относительно закладок в обоих используемых компонентах.
10.1.3 Многоуровневая защита от НСД
При построении многоуровневой защиты от НСД также НЕОБХОДИМО
УЧИТЫВАТЬ следующее.
1 ГАРАНТИРОВАННАЯ ЗАЩИТА может обеспечиваться лишь в
случае ПРИМЕНЕНИЯ ОТЕЧЕСТВЕННЫХ технических СЗИ, так как в
программных средствах зарубежного производства могут находиться закладки.
2 Ввиду высоких темпов развития информационных технологий, высокой
частоты смены соответствующих программных средств обработки информации ВЫСОКА ВЕРОЯТНОСТЬ НАХОЖДЕНИЯ И ИСПОЛЬЗОВАНИЯ ОШИБОК
Можно сформулировать следующие ТРЕБОВАНИЯ К ПОСТРОЕНИЮ СИСТЕМЫ МНОГОУРОВНЕВОЙ ЗАЩИТЫ от НСД:
a) так как невозможно гарантировать высокий уровень защищенности объекта защиты встроенными СЗИ, то ВСЕ СПОСОБЫ ЗАЩИТЫ
от НСД, в основе которых находится ИСПОЛЬЗОВАНИЕ ПРИНЦИПА АУТЕНТИФИКАЦИИ, должны быть РЕАЛИЗОВАНЫ НА ВЫДЕЛЕННОМ СЗИ.
Как отмечалось ранее, к таким способам относятся:
–использование секретного слова (пароля);
–введение санкционированных для пользователя прав доступа, с
учётом разделения прав между различными пользователями (механизм разграничения прав доступа), где
параметрами доступа могут служить:
–идентификатор пользователя и информационного сервера;
–имя файла, команда над файлом, время доступа, продолжительность доступа и др;
–разграничение прав доступа к информации по уровню
(меткам) конфиденциальности информации и допуска пользователя (ман-
датный механизм управления доступом к информации).
b) Как локальные, так и удаленные ПОЛЬЗОВАТЕЛИ ДОЛЖНЫ ВЗАИМОДЕЙСТВОВАТЬ с защищаемым объектом только ЧЕРЕЗ ВЫДЕЛЕННОЕ ТЕХНИЧЕСКОЕ СРЕДСТВО ЗАЩИТЫ.
c) Техническое СЗИ должно ОБЛАДАТЬ СИСТЕМОЙ
РЕГИСТРАЦИИ всех событий, связанных с попытками несанкционированного доступа как К защищаемому ОБЪЕКТУ, так И К СВОИМ ПРОГРАММНЫМ СРЕДСТВАМ И ДАННЫМ.
d) Как В СЗИ, так и в ОБЪЕКТЕ ЗАЩИТЫ должен быть
РЕАЛИЗОВАН МЕХАНИЗМ КОНТРОЛЯ ЦЕЛОСТНОСТИ программных
средств и данных.
e) Выделенное техническое средство защиты должно ПОДДЕРЖИВАТЬ ВОЗМОЖНОСТЬ ЗАСЕКРЕЧИВАНИЯ (шифрования) информации, передаваемой (получаемой) к (от) пользователю, в случае, если последний является УДАЛЁННЫМ и подключён к выделенному средству защиты информации каналами средств передачи данных общего пользования (СПД ОП).
Шифровать сообщения, передаваемые между защищаемым объектом и выделенным техническим средством защиты, а также файлы, хранящиеся на защищаемом объекте, при реализации многоуровневой защиты не имеет смысла.
Рассмотрим иллюстрацию применения системного подхода при проектировании ЛВС корпорации [11]. Рассмотрим потоки информации, которые требуют защиты, циркулирующие в рамках некой типовой ЛВС корпорации:
-внутренний информационный поток взаимодействия рабочих станций (РС) с информационными серверами (ИС) баз данных;
-внутренний информационный поток взаимодействия РС с внутренними файл-серверами ЛВС корпорации;
-внутренний информационный поток взаимодействия внутренних и внешних файл-серверов между собой;
- внешний информационный поток взаимодействия внешних файл-серверов с удаленными рабочими станциями и серверами по виртуальным каналам сети передачи данных общего пользования (СПДОП).
Структура ЛВС корпорации обладает виртуальной системой защиты информационного потока (ВСЗИП) (виртуальной в том смысле, что может представлять собой как некоторое программное обеспечение, устанавливаемое на существующих технических средствах обработки информации, так и выделенное техническое средство защиты либо некоторую их совокупность) и виртуальной системой разделения информационных потоков (ВСРИП). Реализация первой ВСРИП в общем случае необходима, так как предполагается, что одни и те же РС могут иметь доступ как к серверам БД, так и к внутренним файл-серверам, вторая ВСРИП используется ввиду того, что внутренние файлсерверы могут обмениваться информацией как с соответствующими РС, так и с внешними файлсерверами.
Четыре ВСЗИП предназначаются для защиты соответствующих информационных потоков: 1 – взаимодействия РС с серверами БД;
2– взаимодействия РС с внутренними файл-серверами;
3– взаимодействия внутренних файл-серверов с внешними файл-серверами;
4– взаимодействия внешних файл-серверов с удаленными рабочими станциями и серверами. Приведенная схема составлена в предположении, что все четыре потока характеризуются раз-
личными уровнями конфиденциальности. Например, если 2 и 3 потоки имеют равную конфиденциальность, то сольются 2 и 3 ВСЗИП и не потребуется 2 ВСРИП.
В рамках данной структуры должны быть разработаны требования к ВСЗИП и ВСРИП с учетом используемых средств защиты на РС и ИС. Заметим, что ВСЗИП в рассматриваемой структуре представляет собой технические средства защиты информации, реализуемые на РС и на выделенных серверах безопасности, если они используются; организационные мероприятия обеспечения информационной безопасности, реализуемые для защиты информационного потока.
10.2 Корпоративные сети с многоуровневой коммутацией
Многоуровневый подход к проектированию сетей обеспечивает оптимальное
использование многоуровневой коммутации, что позволит создать масштабируемую, отказоустойчивую и управляемую сеть [12].
Независимо от того, по какой топологии построена корпоративная сеть –
Ethernet или ATM (Asynchronous Transfer Mode) – применение многоуровневой
модели имеет много преимуществ.
Многоуровневая кампусная сеть имеет строгое ИЕРАРХИЧЕСКОЕ РАЗДЕЛЕНИЕ РАЗЛИЧНЫХ КОМПОНЕНТОВ, что обеспечивает значительное упрощение процедур поиска и устранения неисправностей
при масштабировании такой сети.
Кроме того, многоуровневая модель проектирования предоставляет
возможность МОДУЛЬНОСТИ СЕТИ, что позволяет увеличивать общую
производительность сети при добавлении дополнительных строительных блоков.
Первоначально кампусные сети представляли собой единую локальную вычислительную сеть (ЛВС, LAN, Local-Area Network), к которой по необходимости добавлялись новые пользователи. Эти ЛВС имели логический или физический кабель, к которому подключались все устройства сети. В случае с Ethernet имелась полоса пропускания в 10 Мбит/с, которая в равной мере использовалась всеми узлами сети. Такая ЛВС образовывала единый коллизионный домен, в котором все пакеты в равной степени обрабатывались всеми устройствами. В такой ЛВС использовался метод передачи, называемый “множественный доступ с контролем несущей и обнаружением коллизий” (Carrier Sense Multiaccess With Collision Detection, CSMA/CD). При таком подходе возникновение коллизий в таких ЛВС было обычным делом, что приводило к тому, что реальная скорость сети была значительно ниже расчетной.
При достижении максимального числа пользователей в одном домене появлялась необходимость добавления в состав оборудования сети устройств, называемых мостами (Bridge).
Мост обеспечивал разделение всей сети на несколько коллизионных доменов, что позволяло увеличить доступную полосу пропускания для каждого узла сети за счет сокращения количества этих самых узлов в одном коллизионном домене.
Мост можно условно назвать коммутатором, работающим по принципу “store-and-forward”. Мост производит распространение широковещательных (broadcast), многоцелевых (multicast) и неизвестных одноцелевых (unknown unicast) пакетов по всем сегментам сети. Таким образом, можно сказать, что все сегменты такой сети образуют единый широковещательный домен.
Теоретически количество широковещательного трафика устанавливает практический предел размеров широковещательного домена. На практике же происходит так, что управление и поиск неисправностей в такой сети усложняются прямо пропорционально количеству подключенных пользователей. Одна неправильно настроенная рабочая станция может вывести из строя весь широковещательный домен на достаточно длительное время.
При проектировании сетей с использованием мостов каждый сегмент сети ставился в соответствие рабочей группе. Сервер рабочей группы располагался в том же сегменте, что и его клиенты, что обеспечивало ограничение трафика, передаваемого по всей сети. Здесь необходимо упомянуть о правиле 80/20, по которому строились такие ЛВС. Это правило гласит, что 80 % трафика, генерируемого рабочей станцией, не должно выходить за пределы локального сегмента.
Появилась возможность масштабируемости пропускной способно-
сти. Маршрутизатором называется пакетный коммутатор, обеспечивающий взаимодей-
ствие разных широковещательных доменов.
Маршрутизаторы перенаправляют пакеты узлам сети ориентируясь на сетевые адреса.
Сети с маршрутизаторами обладают лучшими возможностями по масштабированию по сравнению с сетями, построенными с использованием мостов. Это достигается за счет более интеллектуального управления трафиком.
На рисунке 10.3 показана типичная иерархическая модель сети,
объединяющей в себе маршрутизаторы и концентраторыповторители (хабы).
Рисунок 10.3 – Традиционная кампусная сеть с применением маршрутизаторов и концентраторов
Коммутация уровня 2 представляет собой аппаратно реализованный бриджинг. Коммутаторы уровня 2 заменяют концентраторы-повторители в составе коммуникационных узлов кампусной сети.
Увеличение производительности систем, построенных на коммутации уровня 2, по сравнению с сетями на концентраторах, достаточно велико. Рассмотрим рабочую группу из 100 пользователей на подсети, использующей 1 разделяемый сегмент Ethernet. Средняя полоса пропускания для каждого пользователя вычисляется путем деления общей полосы пропускания на количество пользователей, т. е. 10 Мбит/с на 100 пользователей, что составляет всего 100 Кбит/с. Замена концентратора на полнодуплексный коммутатор Ethernet приведет к тому, что средняя полоса пропускания для каждого узла составит удвоенную полосу пропускания всей сети, т. е. 20 Мбит/с. Общая про-
пускная способность коммутируемой рабочей группы на 100 пользователей в 200 раз больше пропускной способности аналогичной разделяемой рабочей группы. Ограничивающим фактором, препятствующим достижения высокой скорости обмена данными в такой сети, является подключение сервера на скорости 10 Мбит/с. Порт коммутатора, к которому подключается сервер рабочей группы, является узким местом коммутируемой сети. Высокая производительность коммутируемых сетей может явиться достаточным требованием для тех заказчиков, которые просто хотят увеличить число рабочих мест в каждой отдельной подсети.
Коммутация уровня 3 представляет собой аппаратную маршрутизацию. В частности, передачей пакетов занимаются специализированные
устройства. В зависимости от протоколов, интерфейсов и поддерживаемых
функций коммутаторы уровня 3 могут использоваться в кампусных сетях вместо маршрутизаторов.
Коммутация уровня 4 заключается в аппаратном анализе трафика, создаваемого различными типами пользовательских приложений.
В потоках данных, создаваемых протоколами TCP (Transmission Control Protocol) и UDP (User Datagram Protocol), порт того или иного приложения со-
держится в заголовке каждого пакета.
10.2.1 Безопасность в многоуровневой модели
ПОДДЕРЖКА КОНТРОЛЬНЫХ СПИСКОВ доступа (Access Control List) обеспечивается многоуровневой коммутацией без уменьшения про-
изводительности.
В связи с тем, что весь трафик сети проходит через уровень распределения (УРОВЕНЬ № 2), то именно ЭТОТ УРОВЕНЬ И ЕСТЬ
НАИБОЛЕЕ ПОДХОДЯЩЕЕ МЕСТО для установки списков доступа и средств обеспечения разграничения прав доступа. Эти списки доступа
могут также использоваться для ограничения взаимодействия коммутаторов на разных уровнях сети. Использование коммутации уровня 2 на уровне доступа и в
фермах серверов привносит в общую сеть дополнительные возможности по разграничению прав доступа.
А НА РАЗДЕЛЯЕМОЙ (общей) СРЕДЕ передачи все пакеты видны для всех пользователей логической подсети. Это может быть использовано при взломе систем защиты данных, т. к. имеется возможность от-
слеживать передачу файлов и паролей пользователей.
В КОММУТИРУЕМОЙ ЖЕ СЕТИ при взаимодействии двух узлов
пакеты ВИДНЫ ТОЛЬКО ОТПРАВИТЕЛЮ И ПОЛУЧАТЕЛЮ данных.
А также, если коммутация уровня 2 применяется в фермах серверов, то весь
межсерверный трафик не выпускается в общую сеть.
Для обеспечения функций безопасности и защиты данных в УСЛОВИЯХ ГЛОБАЛЬНЫХ СЕТЕЙ (Wide-Area Network, WAN) используется КОНЦЕПЦИЯ БРЭНДМАУЭРОВ (firewall).
Firewall имеет в своем составе один или несколько маршрутизаторов и выступает в качестве бастиона, защищающего внутренние узлы
сети от доступа из специальной зоны, называемой DMZ (Demilitarized
Zone).
Специализированные устройства кэширования содержимого серверов WWW и другие устройства Firewall могут быть подключены к DMZ.
Внутренние маршрутизаторы Firewall подключаются к ядру кампусной сети, что можно назвать уровнем распределения WAN.
На рисунке 10.4 показан строительный блок сети, представляющий собой уровень распределения WAN с элементами Firewall.