Раздел12_11сок

************** БЛОК 3 – НАЧАЛО **********

12 Защита информации в глобальной сети Internet

Если ранее сеть использовалась исключительно в качестве среды передачи файлов и сообщений электронной почты, то сегодня решаются более сложные

задачи РАСПРЕДЕЛЕНОГО ДОСТУПА К РЕСУРСАМ. Были созданы

оболочки, поддерживающие функции сетевого поиска и доступа к

распределённым информационным ресурсам, электронным архивам.

Фактически Internet состоит из множества локальных и региональных сетей, принадлежащих различным компаниям и предприятиям, связанных между собой различными линиями связи. Internet можно представить в виде мозаики сложенной из небольших сетей разной величины, которые активно взаимодействуют одна с другой, пересылая файлы, сообщения и т. п.

Internet и информационная безопасность НЕСОВМЕСТНЫ по

самой природеInternet.Она родилась как чисто корпоративная сеть, однако,

внастоящее время с помощью единого стека протоколов TCP/IP

иединого адресного пространства объединяет не только корпоратив-

ные и ведомственные сети (образовательные, государственные, коммерческие,

военные и т. д.), являющиеся, по определению, СЕТЯМИ С

ОГРАНИЧЕННЫМ ДОСТУПОМ, но и рядовых пользователей, кото-

рые имеют возможность получить прямой доступ в Internet со своих домашних компьютеров с помощью модемов и телефонной сети общего пользования.

Сколько же потенциально уязвимых мест у сетей, подключённых к Internet, и использующих службы и сервисы сети? Если опускаться до конкретики каждого аппаратно-программного решения, – их сотни.

Оценка специалистов, – в любой сети, основанной на протоколе TCP/IP, существует более 135 потенциальных лазеек.

Если TCP/IP – базовый протокол корпоративной сети, как правило

использующих Unix-системы, её уязвимость многократно возрастает. Также, при необходимости в такой магистрали, компании с не-

большим бюджетом обращаются к Internet, как к готовому недорогому решению, и сталкиваются с незащищённостью открытых систем.

Известно – чем проще доступ в сеть, тем хуже её информационная безопасность, поэтому можно сказать, что вследствие изначальной про-

стоты доступа в Internet пользователь может даже и не узнать, что у него были скопированы файлы и программы, не говоря о возможности их

порчи и корректировки.

У хакера есть возможность запустить программу, делающую одну за другой попытки войти в сеть через telnet, и не исключено, что он добьётся успеха, поскольку при довольно скромных ресурсах компьютера, на котором запускается программа-взломщик, можно производить до 1 000 попыток регистрации в минуту, что составит 1 152 000 паролей в день. Для сравнения, количество бо- лее-менее общеупотребительных слов в английском языке приблизительно равно 150 000 (по Большому англо-русскому словарю).

Администратор может обнаружить следы многократных исполнений команды login с определённого IP-адреса, но не факт, что по этому адресу он сумеет найти злоумышленника.

Распространённый метод сбора конфиденциальной информации – запуск на "инфицированных" рабочих станциях программ, считывающих ввод с клавиатуры. Эта методика даёт шанс получить другие пароли, используемые в системе.

Если пароль состоит из 10 символов, то при приведённой выше производительности программы-взломщика, на перебор всех возможных вариантов уйдёт порядка двух миллиардов дней или трёх миллионов лет. Поэтому методу атаки «в лоб» можно противостоять простыми организационными мероприятиями. Опаснее «прослушивание» IP-пакетов.

Платойза пользование Internet является ВСЕОБЩЕЕ СНИЖЕНИЕ информационной безопасности,

поэтому для предотвращения несанкционированного доступа к

своим компьютерам ставят ФИЛЬТРЫ (fire-wall) между внутренней се-

тью и Internet, что фактически означает выход из единого адресного про-

странства.

Ещё БОЛЬШУЮ безопасность даст отход от протокола TCP/IP

и доступ в Internetчерез шлюзы.

Для решения этих и других вопросов ПРИ ПЕРЕХОДЕ К НОВОЙ

БУДУЩЕЙ АРХИТЕКТУРЕ Internet и в рамках нынешней безопасно-

сти, нужно предусмотреть следующее.

ВО-ПЕРВЫХ, ликвидировать физическую связь между Internet

(которая превратилась во всемирную информационную сеть общего пользования) И

корпоративными и ведомственными сетями, сохранив между ними

лишь информационную связь через систему сети World Wide Web, как

через всемирнуюкомпьютерную сеть связи.

ВО-ВТОРЫХ, заменить маршрутизаторы на коммутаторы, исклю-

чив обработку в узлах сети IP-протокола и заменив его на режим трансляции кадров Ethernet, при котором процесс коммутации сво-

дится к просто операции сравнения MAC-адресов. (MAC реализует алго-

ритм доступа к среде и задаёт адресацию.)

В-ТРЕТЬИХ, перейти в новое единое адресное пространство на

базе физических адресов доступа к среде передачи (MAC-уровень), привя-

занное к географическому расположению сети, и позволяющее в рам-

ках 48-бит создать адреса для более чем 64 триллионов независимых

узлов.

При разработке стандарта IEEE 802 за основу принята модель ISO/OSI. Однако выполнена декомпозиция 1-го и 2-го уровней (1 – физический: основные характеристики канала – пропускная способность и достоверность передачи данных (вероятность искажения передаваемого бита из-

меняется в пределах 10-4 – 10-8); (2 – канальный уровень: устанавливает порядок взаимодействия между соседними компьютерами (маршрутизаторами) по единственному каналу связи. Имеет собственный протокол обмена).

В стандарте IEEE 802 канальный уровень делится на два подуровня: управление логическим каналом LLC (Logical Link Control) и управление доступом к передающей среде MAC (Medium Access Control). LLC обеспечивает передачу кадров, включая исправление ошибок; не зависит от алгоритмов доступа к среде. MAC реализует алгоритм доступа к среде и задаёт адресацию.

Обычно первая реакция на угрозу – стремление спрятать ценные ресур-

сы в недоступное место и приставить к ним охрану. Это не сложно, если ресурсы долго не понадобятся. Сложнее, если необходимо постоянно работать с ними.

Каждое обращение в хранилище за ресурсами потребует выполнения

отдельной процедуры, отнимет время и создаст дополнительные неудобства.

Такова дилемма безопасности: выбор между защищенностью И

доступностью, а значит, и возможностью полезного использования.

Например, база данных, содержащая конфиденциальные сведения, лишь тогда полностью защищена от посягательств, когда она находится на дисках, снятых с компьютера и убранных в охраняемое место. Как только вы установили эти диски в компьютер и начали использовать, появляется сразу несколько каналов, по которым злоумышленник, в принципе, имеет возможность получить к вашим тайнам доступ без вашего ведома. Иными словами, информация либо недоступна для всех, включая и вас, либо не защищена на сто процентов.

В области информации ДИЛЕММА БЕЗОПАСНОСТИ формули-

руется следующим образом: следует выбирать между

ЗАЩИЩЕННОСТЬЮ системы И её ОТКРЫТОСТЬЮ. Правильнее говорить не о выборе, а о балансе, так как система, не

обладающая свойством открытости, не может быть использована.

Например, в банковской сфере проблема безопасности информации осложняется двумя факторами: во-первых, почти все ценности, с которыми имеет дело банк (кроме наличных денег), существуют лишь в виде той или иной информации. Во-вторых, банк не может существовать без связей с внешним миром: без клиентов, корреспондентов и т. п. При этом по внешним связям обязательно передаётся та самая информация, выражающая собой ценности, с которыми работает банк (либо сведения об этих ценностях и их движении, которые иногда стоят дороже самих ценностей). Извне приходят документы, по которым банк переводит деньги с одного счета на другой. Во вне банк передаёт распоряжения о движении средств по корреспондентским счетам, так что открытость банка задана a priori.

12.1 Средства защиты информации

Существует много средств защиты Internet, но по ряду параметров ни

одно НЕ МОЖЕТ быть признано АДЕКВАТНЫМ задачам защиты

именно для этой сети.

Например, т. к. система PGP (Pretty good privacy) обеспечивает шифрование файлов, то она применима только там, где можно обойтись файловым обменом, – защитить приложения on-line сложно. И уровень иерархии управления защиты PGP слишком высок, – систему можно отнести к прикладному (управ-е вычислительными процессами, доступом к внешним устройствам, административное управление сетью) или представительскому (доступ к файлам данных и командным, преобразование данных в требуемый формат, подготовка про-

грамм к работе) уровням модели OSI. Также сложна стыковка защиты PGP с другими прикладными системами.

Альтернативой таким «высокоуровневым» системам защиты сре-

ди традиционных являются УСТРОЙСТВА ЗАЩИТЫ КАНАЛЬНОГО И ФИЗИЧЕСКОГО уровня: скремблеры (scrambler – шифратор) и каналь-

ные шифраторы. Они «невидимы» с прикладного уровня и поэтому совмести-

мы со всеми приложениями.

Скремблер – устройство шифрования данных при их передаче по

цифровому каналу. Может использовать схему шифрования путём перестановки и инвертирования участков спектра или групп символов

НО они имеют ограниченную совместимость с различным каналообразующим оборудованием и физическими средами передачи дан-

ных.

Обычно ЭТО НЕ СЕТЕВЫЕ устройства (которые должны были бы

способные распознавать топологию сети и обеспечить связь из конца в конец через промежуточные узлы), а «ДВУХТОЧЕЧНЫЕ» системы, работающие

на концах защищаемой линии и вносящие значительную аппаратную избыточность.

И на них НЕВОЗМОЖНО построить систему защиты в рамках Internet из-за невозможности обеспечить всеобщую аппаратную совместимость

12.1.1 Программно-аппаратные методы защиты от удалённых атак в Internet

К программно-аппартным средствам обеспечения безопасности каналов связив вычислительных сетях относятся:

а)аппаратные шифраторысетевого трафика;

б) аппаратно-программные средства Firewall (брэндмауэры, межсете-

вые экраны);

в)защищённые сетевые криптопротоколы; д)программно-аппаратные анализаторы сетевого трафика;

е)защищённые сетевые ОС.

Firewall – основное программно-аппаратное средство осуществления сетевой политики безопасности в выделенном сегментеIP-сети.

Эта методика реализует МНОГОУРОВНЕВУЮ ФИЛЬТРАЦИЮ

СЕТЕВОГО ТРАФИКА.

Обычно фильтрация осуществляется на ТРЁХ УРОВНЯХOSI:

–сетевом (IP);

–транспортном(TCP, UDP);

–прикладном(FTP, TELNET, HTTP, SMTPи т. д.).

Это позволяет администратору безопасности сети

ЦЕНТРАЛИЗОВАННО ОСУЩЕСТВЛЯТЬ СЕТЕВУЮ ПОЛИТИКУ БЕЗОПАСНОСТИ:

настроив Firewall, можно разрешить или запретить пользовате-

лям как доступ из внешней сети к соответствующим службам, находящим-

ся в защищаемом сегменте, так и доступ пользователей из внутренней сети

кресурсам внешней сети.

Вкачестве субъектов взаимодействия выступают IP-адреса хостов пользователей, а в качестве объектов, доступ к которым необходимо разграничить, – IP-адреса хостов, используемые транспортные протоколы и службы предо-

ставления удалённого доступа.

Также используется PROXY-схема с дополнительной идентификацией и аутентификацией пользователей на Firewall-хосте. Это позволяет:

а) при доступе к защищённому Firewall сегменту сети осуще-

ствить на нём дополнительную идентификацию и аутентификацию

удалённого пользователя;

б) быть основой для создания приватных сетей с ВИРТУАЛЬНЫМИIP-адресами.

Смысл proxy-схемы состоит в создании соединения с конечным адресатом через промежуточный proxy-сервер (proxy – полномочный) на хо-

сте Firewall.

На этом proxy и может осуществляться дополнительная иденти-

фикация абонента.

Любая деятельность по разработке, продаже и использованию средств защиты информации регулируется множеством законодательных и нормативных документов, а все ИСПОЛЬЗУЕМЫЕ СИСТЕМЫ ПОДЛЕЖАТ ОБЯЗАТЕЛЬНОЙ СЕРТИФИКАЦИИ Гос-

ударственной технической комиссией при президенте России.

Для адресации во внешнюю сеть через FireWall нужно или ис-

пользовать на хосте FireWall proxy-сервер, или применить специальную систему маршрутизации (роуминга), через которые и возможна внешняя адресация.

Внутренний виртуальный адрес не пригоден для внешней адресации.

(роуминг – здесь, процедура предоставления связи вне зоны обслуживания

«домашней» сети (либо базовой станции) абонента , с использованием ресурсов другой (гостевой) сети.)

Эта схема удобна и в том случае, если для создания IP-cети выделено недостаточное количество адресов.

FireWall не является гарантией абсолютной защиты от удалён-

ных атак, – в основном, это средство централизованного осуществле-

ния сетевой политики разграничения удалённого доступа к ресурсам се-

ти.

В основном, FireWall помогает от несанкционированного вида до-

ступа; от ложного ARP-сервера; от навязывания ложного маршрута

при помощи протокола ICMP.

(ICMP – Internet Control Message Protocol: протокол управляющих сообщений в интернете (один из четырёх протоколов межсетевого уровня семейства TCP/IP, обеспечивающий восстановление связи при сбойных ситуациях в передаче пользовательских пакетов).

Также опасно "прослушивание" IP-пакетов. Соответствующие программы называются сниф-

феры (sniffer – буквально "нюхач"). Технология вынюхивания все время совершенствуется. Яркий представитель поколения "слухачей" – это IP-Watcher. Отличительными чертами программы является наличие пользовательского интерфейса, позволяющего выборочно отслеживать любые потоки пакетов, и, главное, примененная в ней технология активного сниффинга, позволяющего взаимодействовать с сетевыми соединениями. Под взаимодействием подразумевается прерывание или даже захват активных соединений.

Захват законного соединения возможен даже при использовании в сети системы одноразовых или же зашифрованных паролей. Проникновение в систему при этом не только упрощается, но и становится практически незаметным: взломщик, по сути дела, лишь разбавляет поток пакетов (что избавляет его от необходимости подделывать свой IP-адрес в случае фильтрации системой входящих пакетов по этому признаку). Пользователь заметит только некоторое замедление сети, что свяжет с перегрузкой трафика или проблемами связи, а сервер, естественно, это никак не воспримет.

12.1.1.1 Создание приватных сетей (Private Virtual Network – PVN

или частная сеть), сетей с «виртуальными» IP-адресами (VPN) и

трансляциейадресов(NAT – Network Address Translation)

Если администратор безопасности сети считает ЦЕЛЕСООБРАЗНЫМ СКРЫТЬ ТОПОЛОГИЮ ВНУТРЕННЕЙ IP-сети, рекомендуется использовать FireWallдля создания приватной (PVN)-сети.

Частные сети используются организациями для соединения с удалёнными сайтами и с другими организациями. Частные сети состоят из каналов связи, арендуемых у различных телефонных компаний и поставщиков услуг интернета. Эти ка-

налы связи характеризуются тем, что они соединяют только два объекта, будучи отделёнными от другого трафика, так как арендуемые каналы

обеспечивают двустороннюю связь между двумя сайтами. Частные сети обладаютмножеством преимуществ:

–информация сохраняется в секрете;

–удалённые сайты могут осуществлять обмен информацией незамедлительно;

–удалённые пользователи не ощущают себя изолированными от системы, к ко-

торой они осуществляют доступ.

Этот тип сетей обладает одним большим недостатком – высокой стоимостью.

Хостамв PVN-сети назначаются любые «виртуальные» адреса.

VPN (Virtual Private Network) – виртуальная частная сеть; или подсеть корпоративной сети, обеспечивающая безопасное вхождение в неё

удалённых пользователей.

Подсети используются для безопасной пересылки через Интернет конфиденциальных данных за счёт инкапсуляции (туннелирования)

IP-пакетов внутрь других пакетов, которые затем маршрутизируются wireless VPN (беспроволочными).

С увеличением числа пользователей интернета многие организации перешли на исполь-

зование виртуальных частных сетей (VPN). Виртуальные частные сети обеспечивают многие преимущества частных сетей за меньшую цену. Правильно построенная виртуальная частная сеть приносит пользу. Если же VPN реализована некорректно, вся информация, передаваемая через VPN, может быть доступна из интернета.

Для передачи через интернет секретных данных организации без использования арендуемых каналов связи, для отделения своего тра-

фика от трафика остальных пользователей глобальной сети используют шифрование.

В интернете можно встретить трафик любого типа. Значительная часть этого трафика передается в открытом виде, и любой пользователь, наблюдающий за этим трафиком, сможет его распознать. Это относится к большей части почтового и веб-трафика, а также сеансам связи через протоколы telnet и FTP. Трафик типа SSH и HTTPS не образует виртуальную частную сеть VPN.

Виртуальные частные сети обладают несколькими характерными чертами:

–трафик шифруетсядля обеспечения защиты от прослушивания;

–осуществляется аутентификация удалённого сайта;

–виртуальные частные сети обеспечивают поддержку множества протоколов;

–соединение обеспечивает связь только между двумя конкретными абонентами.

Трафик Secure Shell (SSH) и Hypertext Transfer Protocol Secure (HTTPS) яв-

ляется шифруемым трафиком, и его не сможет просмотреть пользователь, отслеживающий пакеты.

(SSH – Secure SHell – «безопасная оболочка» – сетевой протокол сеансового уровня, позволяющий производить удалённое управление операционной системой и туннелирование TCP- соединений (например, для передачи файлов). Шифрует весь трафик, включая и передаваемые пароли. SSH допускает выбор различных алгоритмов шифрования. SSH-клиенты и SSH-серверы доступны для большинства сетевых операционных систем.

SSH позволяет безопасно передавать в незащищенной среде практически любой другой сетевой протокол. Таким образом, можно не только удаленно работать на компьютере через командную оболочку, но и передавать по шифрованному каналу звуковой поток или видео (например, с веб-камеры). Также SSH может использовать сжатие передаваемых данных для последующего их шифрования).

VPN-пакеты смешиваются с потоком обычного трафика в ин-

тернете и существуют сами по себе по той причине, что данный трафик