25. Средства защиты информации в глобальных компьютерных сетях.

• Межсетевые экраны (брандмауэры, firewalls).

• Сканеры уязвимостей (vulnerability assessment).

• Системы обнаружения атак (Intrusion Detect Systems, IDS).

• Системы контроля содержания (анализа трафика, MIME-sweeper for Web).

Межсетевые экраны

Реализуют набор правил, которые определяют условия прохождения пакетов данных из одной части распределенной компьютерной системы (открытой) в другую (защищенную). Обычно межсетевые экраны (МЭ) устанавливаются между сетью Интернет и локальной вычислительной сетью организации, но могут устанавливаться и на каждый хост локальной сети (персональные МЭ).

В зависимости от уровня взаимодействия объектов сети основными разновидностями МЭ являются:

• фильтрующие (экранирующие) маршрутизаторы,

• шлюзы сеансового уровня (экранирующие транспорты),

• шлюзы прикладного уровня,

• МЭ экспертного уровня, работающие на разных уровнях модели OSI.

Фильтрующие маршрутизаторы

При фильтрации используется информация из заголовков IP-пакетов:

• IP-адрес отправителя пакета;

• IP-адрес получателя пакета;

• порт отравителя пакета;

• порт получателя пакета;

• тип протокола;

• флаг фрагментации пакета.

Достоинства:

• простота их создания, установки и конфигурирования,

• прозрачность для приложений пользователей КС и минимальное влияние на их производительность,

• невысокая стоимость.

Недостатки :

• отсутствие аутентификации на уровне пользователей КС;

• уязвимость для подмены IP-адреса в заголовке пакета;

• незащищенность от угроз нарушения конфиденциальности и целостности;

• зависимость эффективности набора правил фильтрации от уровня знаний конкретных протоколов;

• открытость IP-адресов компьютеров защищенной части сети.

Шлюзы сеансового уровня

Основные функции:

• контроль виртуального соединения между рабочей станцией защищенной части сети и хостом ее незащищенной части;

• трансляция IP-адресов компьютеров защищенной части сети (технология Network Address Translation, NAT).

Шлюз сеансового уровня

• Устанавливает соединение с внешним хостом от имени авторизованного клиента из защищенной части сети, создает виртуальный канал по протоколу TCP, после чего копирует пакеты данных в обоих направлениях без их фильтрации. Когда сеанс связи завершается, МСЭ разрывает установленное соединение с внешним хостом.

• В процессе выполняемой шлюзом сеансового уровня процедуры трансляции IP-адресов компьютеров защищенной части сети происходит их преобразование в один IP-адрес, ассоциированный с МСЭ. Это исключает прямое взаимодействие между хостами защищенной и открытой сетей и затрудняет нарушителю атаку с подменой IP-адресов .

• К достоинствам относятся их простота и надежность программной реализации.

• К недостаткам – отсутствие возможности проверять содержимое передаваемой информации, что позволяет нарушителю пытаться передать пакеты с вредоносным программным кодом через подобный МСЭ и обратиться затем напрямую к одному из серверов (например, Web-серверу) атакуемой КС.

Шлюзы прикладного уровня

Не только исключают прямое взаимодействие между авторизованным клиентом из защищенной части сети и хостом из ее открытой части, но и фильтрует все входящие и исходящие пакеты данных на прикладном уровне (т.е. на основе анализа содержания передаваемых данных).

К основным функциям относятся:

• идентификация и аутентификация пользователя КС при попытке установить соединение;

• проверка целостности передаваемых данных;

• разграничение доступа к ресурсам защищенной и открытой частей распределенной КС;

• фильтрация и преобразование передаваемых сообщений (обнаружение вредоносного программного кода, шифрование и расшифрование и т.п.);

• регистрация событий в специальном журнале;

• кэширование запрашиваемых извне данных, размещенных на компьютерах внутренней сети (для повышения производительности КС).

Достоинства:

• наиболее высокая степень защиты КС от удаленных атак,

• скрытость структуры защищенной части сети для остальных хостов,

• надежная аутентификация и регистрация проходящих сообщений,

• возможность реализации дополнительных проверок.

Недостатки:

• более высокая стоимость,

• сложность разработки, установки и конфигурирования,

• снижение производительности КС,

• «непрозрачность» для приложений пользователей КС.

Общие недостатки МЭ

В принципе не могут предотвратить многих видов атак (например, угрозы несанкционированного доступа к информации с использованием ложного сервера службы доменных имен сети Интернет, угрозы анализа сетевого трафика, угрозы отказа в обслуживании).

Сканеры уязвимости

Основные функции:

• проверка используемых в системе средств идентификации и аутентификации, разграничения доступа, аудита и правильности их настроек с точки зрения безопасности информации в КС;

• контроль целостности системного и прикладного программного обеспечения КС;

• проверка наличия известных, но не устранённых уязвимостей в системных и прикладных программах, используемых в КС и др.

Работают на основе сценариев проверки, хранящихся в специальных базах данных, и выдают результаты своей работы в виде отчетов, которые могут быть конвертированы в различные форматы (электронных таблиц Microsoft Excel, баз данных Microsoft Access и т.п.).

Классификация сканеров уязвимости

• Уровня хоста (анализируют защищенность конкретного компьютера «изнутри»).

• Уровня сети (анализируют защищенность компьютерной системы «извне»).

К их недостаткам относятся:

• зависимость от конкретных систем;

• недостаточная надежность (их применение может иногда вызывать сбои в работе анализируемых систем);

• малый срок эффективной эксплуатации (не учитываются новые обнаруженные уязвимости, которые и являются наиболее опасными);

• возможность использования нарушителями в целях подготовки к атаке на КС.

Системы обнаружения атак

• Уровня хоста (обнаружение признаков атак на основе анализа журналов безопасности операционной системы, журналов МЭ и других системных и сетевых служб).

• Уровня сети (инспекция пакетов данных непосредственно в каналах связи), которые могут размещаться последовательно или параллельно с межсетевым экраном, маршрутизатором, коммутатором или концентратором.

• Используют базы данных с зафиксированными сетевыми событиями и шаблонами известных атак.

• Работают в реальном масштабе времени и реагируют на попытки использования известных уязвимостей КС или несанкционированного исследования защищенной части сети организации.

• Ведут журнал регистрации зафиксированных событий для последующего анализа.

К основным недостаткам относятся:

• неспособность эффективно функционировать в высокоскоростных сетях;

• возможность пропуска неизвестных атак;

• необходимость постоянного обновления базы данных с шаблонами атак;

• сложность определения реакции этих средств на обнаруженные попытки атаки.

Системы контроля содержания

Предотвращаемые угрозы:

• Увеличение расходов на оплату личных Интернет-услуг сотрудников организации.

• Снижение производительности труда сотрудников.

• Снижение пропускной способности сети организации для деловых нужд.

• Утечки конфиденциальной информации.

• Репутационный ущерб для организации.

Основные функции:

• Анализ входящего и исходящего трафика.

• Контроль утечки конфиденциальной информации.

• Поддержка и анализ различных форматов представления данных.

• Возможность построения гибкой политики безопасности на уровне отдельных пользователей и групп.

• Сбор статистики (при необходимости руководство может получить практически любую информацию: кто и когда посещал какие сайты и Web-страницы, отсылал почту через Web-интерфейс, какие файлы какого объема закачивал и пр.).