- •Введение
- •Глава 1. Информационно-телекоммуникационная система как объект атак, связанных с удаленным и непосредственным доступом к ее элементам
- •Механизмы взаимодействия элементов иткс
- •1.2. Понятие угрозы информационной безопасности иткс
- •1.3. Уязвимости иткс
- •1.3.1. Уязвимости иткс в отношении угроз удаленного доступа
- •1.4. Классификация и описание процессов реализации угроз удаленного доступа к элементам иткс
- •1.4.1. Классификация атак
- •1.4.1.2. Классификация удаленных атак
- •1.4.2. Описание атак как процессов реализации угроз
- •1.4.2.1. Описание процессов реализации угроз удаленного доступа к элементам иткс
- •Глава 2. Меры и средства защиты от атак, связанных с непосредственным и удаленным доступом к элементам иткс
- •2.1. Общее понятие о мерах и средствах защиты информации. Выбор актуальных направлений для защиты иткс от исследуемых атак
- •2.2. Криптографические меры
- •2.2.1. Применение криптографических протоколов
- •2.2.2. Создание виртуальных частных сетей
- •2.3. Применение межсетевых экранов
- •2.4.1. Виды межсетевых экранов
- •2.4.1.1. Фильтрующие маршрутизаторы
- •2.4.1.2. Шлюзы сеансового уровня
- •2.4.1.3. Шлюзы уровня приложений
- •2.4.2. Реализация функций межсетевых экранов
- •2.4.2.1. Механизм трансляции сетевых адресов
- •2.4.2.2. Дополнительная идентификация и аутентификация
- •2.4.3. Анализ достоинств и недостатков применения межсетевых экранов
- •2.5. Применение специфической конфигурации иткс для защиты от исследуемых атак
- •2.5.1. Применение коммутаторов в сети
- •2.5.2. Применение статических arp-таблиц
- •2.5.3. Специальные правила работы протоколов маршрутизации
- •2.5.4. Применение технологии «тонкого клиента»
- •Глава 3. Определение объектов защиты от угроз удаленного доступа
- •3.1. Определение множества объектов защиты
- •3.1.1. Определение множества типов иткс с учетом их назначения и специфики функционирования
- •3.1.2. Определение функциональных требований к иткс различных типов
- •3.1.3. Определение характеристик атак, реализуемых в отношении иткс различных типов
- •3.2.Определение множеств мер защиты, применимых для иткс различных типов
- •3.2.1. Обоснование требований безопасности для иткс различных типов
- •3.2.2. Рекомендации по реализации защиты иткс различных типов
- •3.3. Определение комплексов мер защиты иткс различных типов
- •3.3.1. Выявление соответствия применяемых мер защиты функциональным требованиям к иткс
- •3.3.2. Определение отношения рассматриваемых мер защиты к противодействию исследуемым атакам
- •Глава 4. Аналитическое моделирование процессов реализации угроз удаленного доступа к элементам иткс
- •4.1.Моделирование процессов реализации сетевого анализа
- •4.1.1. Сниффинг пакетов в сети без коммутаторов
- •4.1.2. Сканирование сети
- •4.2. Моделирование процесса реализации атаки «Отказ в обслуживании» (syn-flood)
- •4.3. Моделирование процессов реализации внедрения в сеть ложного объекта
- •4.3.1. Внедрение в сеть ложного объекта на основе недостатков алгоритмов удаленного поиска (arp-spoofing)
- •4.3.2. Внедрение в сеть ложного объекта путем навязывания ложного маршрута
- •4.4. Моделирование процессов реализации подмены доверенного объекта сети
- •4.4.1. Подмена доверенного объекта сети (ip-spoofing)
- •4.4.2. Подмена доверенного объекта сети. Перехват tcp-сессии (ip-hijacking)
- •4.5. Моделирование процессов реализации внедрения ложного dns-сервера
- •4.5.1. Внедрение ложного dns-сервера
- •4.5.2. Межсегментное внедрение ложного dns-сервера
- •Глава 5. Методика анализа и регулирования рисков при реализации нескольких угроз удаленного доступа к элементам иткс
- •5.1. Выбор параметров для осуществления количественного анализа рисков иткс
- •5.1.1. Определение видов ущерба иткс при реализации угроз удаленного доступа к ее элементам
- •5.1.2. Определение взаимосвязей между атаками и их отношения к видам наносимого ущерба
- •5.2. Определение вероятностей реализации атак
- •5.2.1. Выбор закона Пуассона в качестве закона распределения вероятностей возникновения атак
- •5.2.2. Расчет интенсивности возникновения атак
- •5.2.3. Расчет вероятности реализации атак
- •5.3. Расчет рисков реализации угроз удаленного доступа к элементам иткс
- •5.4. Расчет рисков реализации угроз, наносящих различный ущерб
- •5.4.1. Оценка ущерба от реализации атак
- •5.4.2. Оценка вероятностей реализации атак
- •5.4.3. Нахождение распределения вероятностей нанесения ущерба в условиях воздействия нескольких атак
- •Глава 6. Оценка эффективности применения комплексов мер противодействия угрозам удаленного доступа к элементам иткс
- •6.1. Понятие эффективности защиты информации
- •6.2. Алгоритм оценки эффективности применения комплексов мер
- •6.2.1. Введение функции соответствия исследуемого показателя требованиям
- •6.2.2. Расчет общей эффективности применения комплексов мер защиты иткс
- •6.3.Оценка соответствия функциональным требованиям при применении комплексов мер защиты
- •6.4. Оценка эффективности защиты иткс
- •6.4.1. Оценка вероятностных параметров реализации атак
- •6.4.1.1. Сниффинг пакетов в сети без коммутаторов
- •6.4.1.2. Сканирование сети
- •6.4.1.3. Отказ в обслуживании syn-flood
- •6.4.1.4. Внедрение ложного объекта (arp-спуфинг)
- •6.4.1.5.Внедрение ложного объекта (на основе недостатков протоколов маршрутизации)
- •6.4.1.6. Подмена доверенного объекта (ip-hijacking)
- •6.4.1.7. Подмена доверенного объекта (перехват сессии)
- •6.4.1.8. Внедрение ложного dns-сервера
- •6.4.2. Расчет рисков иткс при использовании мер противодействия угрозам удаленного доступа
- •6.4.3. Численная оценка эффективности защиты иткс
- •6.4.3.1.Оценка эффективности защиты иткс при фиксированной активности злоумышленника
- •6.4.3.2. Оценка защищенности иткс как функции от активности злоумышленника
- •6.5. Оценка общей эффективности применения комплексов мер защиты иткс
- •Заключение
- •Библиографический список
- •Глава 1. Информационно-телекоммуникационная система как объект атак, связанных с удаленным и непосредственным доступом к ее элементам 6
- •Глава 2. Меры и средства защиты от атак, связанных с непосредственным и удаленным доступом к элементам иткс 42
- •Глава 3. Определение объектов защиты от угроз удаленного доступа 87
- •Глава 4. Аналитическое моделирование процессов реализации угроз удаленного доступа к элементам иткс 112
- •Глава 5. Методика анализа и регулирования рисков при реализации нескольких угроз удаленного доступа к элементам иткс 158
- •Глава 6. Оценка эффективности применения комплексов мер противодействия угрозам удаленного доступа к элементам иткс 196
- •394026 Воронеж, Московский просп., 14
2.3. Применение межсетевых экранов
Согласно Руководящему документу ФСТЭК РФ, «…межсетевым экраном (МЭ) называется локальное (однокомпонентное) или функционально распределенное средство (комплекс), которое реализует контроль за информацией, поступающей в автоматизированную систему и/или выходящей из нее, и обеспечивает защиту автоматизированной системы посредством фильтрации информации, т.е. анализа по совокупности критериев и принятия решения об ее распространении в (из) автоматизированной системе».
МЭ, установленные в точках соединения с сетью Internet, обеспечивают защиту внешнего периметра сети предприятия и защиту собственных Internet-серверов, открытых для общего пользования, от несанкционированного доступа.
Механизмы защиты, реализуемые МЭ:
— фильтрация сетевого трафика,
— шифрование (создание VPN),
— трансляция адресов,
— аутентификация (дополнительная),
— противодействие некоторым сетевым атакам (наиболее распространенным),
— управление списками доступа на маршрутизаторах (не обязательно) [8].
Основная функция МЭ — фильтрация сетевого трафика. Она может осуществляться на любом уровне модели OSI. В качестве критериев может выступать информация с разных уровней: адреса отправителя или получателя, номера портов, содержимое поля данных [3,30].
2.4.1. Виды межсетевых экранов
2.4.1.1. Фильтрующие маршрутизаторы
Простая фильтрация пакетов — возможность некоторых МЭ по блокированию (уничтожению) пакетов, попадающих на МЭ, по заданному критерию на основе данных, содержащихся в заголовках пакетов и текущих параметров окружающей среды. Дополнительной возможностью являются: модификация некоторых полей в заголовках пакетов, трансляция адресов и номеров портов, протоколирование и ведение статистики, немедленное уведомление администратора о появлении пакетов, которые блокируются фильтром. Конструктивной особенностью простых фильтров пакетов является отсутствие памяти состояния соединения. Простая фильтрация пакетов действует только на сетевом уровне. В качестве данных из заголовков IP-пакетов для фильтрации могут использоваться (в порядке убывания значимости):
— цифровой адрес компьютера-источника,
— цифровой адрес компьютера-приемника,
— тип протокола транспортного уровня,
— порт источника TCP/UDP,
— порт приемника TCP/UDP,
— дополнительные параметры TCP/UDP,
— длина IP-пакета,
— дополнительные параметры IP-пакета.
Параметрами окружающей среды, которые могут использоваться для фильтрации, являются:
— интерфейс контроля,
— направление передачи пакета,
— текущее время.
Фильтрация на основе цифровых адресов источника и приемника является минимальным требованием к МЭ с возможностью простой фильтрации пакетов. Задание только этих данных в критериях фильтрации позволяет запретить установление связи между определенными компьютерами, что позволяет сделать достижимыми из глобальной сети только те компьютеры организации, которые предоставляют службы внешним пользователям или пользуются службами внешней сети. Следует отметить, что фильтрацию на основе цифровых адресов, указанных в заголовках IP-пакетов, могут осуществлять все маршрутизаторы.
Однако злоумышленник может подменить свой адрес (из внешней сети) адресом внутренней сети, таким образом, делая невозможной надежную фильтрацию на основе только цифровых адресов, если необходимо запретить доступ к отдельным компьютерам извне, разрешив к ним доступ для внутренних пользователей. Поэтому очень необходимым параметром фильтрации является направление пакета: входящий во внутреннюю сеть или исходящий из нее.
Данные об интерфейсе при фильтрации необходимы, если СВТ содержит более двух сетевых интерфейсов, или если СВТ не имеет собственного сетевого адреса и содержит два сетевых интерфейса (как, например, маршрутизатор, физически разделяющий сеть на два сегмента и передающий пакеты между ними).
Текущее время может использоваться для запрещения доступа к некоторым ресурсам организации в нерабочее время и выходные дни. Кроме того, возможно запрещение доступа внешних пользователей в часы наибольшей загрузки локальной сети.
Длина IP-пакета может использоваться для блокирования слишком длинных пакетов, получение которых компьютером-приемником может привести к выведению последнего из строя («зависанию» или перезагрузке).
Тип протокола транспортного уровня (TCP, UDP или ICMP) используется для более качественной фильтрации — можно блокировать весь ICMP-трафик, заблокировав тем самым атаки маршрутизации источника и ей аналогичные. Типы TCP и UDP совместно с номерами портов источника и приемника используются для блокирования доступа к отдельным службам на отдельных компьютерах. Следует отметить, что эффективную защиту службы можно организовать, только если данная служба имеет конкретный фиксированный порт, в противном случае приходиться полностью блокировать доступ к компьютеру, что зачастую неприемлемо.
Используя дополнительные параметры IP-пакета и TCP/UDP-заголовка, можно, например, запретить фрагментацию и сделать соответствующие атаки неэффективными. Некоторые пакетные фильтры предоставляют возможность изменения указанных параметров с той же целью.
Важной дополнительной возможностью МЭ на основе простой фильтрации пакетов является трансляция сетевых адресов и портов (network address & port translation) или изменение реальных адресов компьютеров внутренней сети на вымышленные (виртуальные), причем несколько (или все) реальных внутренних адресов могут транслироваться в один сетевой адрес (с изменением номеров портов). Кроме аспектов, связанных с аспектами защиты, данная возможность может использоваться в случае, если количество компьютеров, подключенных к сети Internet, в организации больше, чем количество сетевых адресов, официально выделенных данной организации.
Рассмотрим метод задания правил фильтрации и принцип функционирования устройства, реализующего простую фильтрацию пакетов. Политика фильтрации задается с помощью упорядоченного набора правил. Каждое правило состоит из условия срабатывания правила и, собственно, действия. При получении очередного IP-пакета начинается просмотр всех правил. Правила просматриваются последовательно, начиная с первого. Просмотр правил заканчивается в случае нахождения первого правила, у которого выполняется условие его срабатывания, либо когда просмотрены все правила. Под условием срабатывания правила понимается совпадение всех контролируемых параметров, перечисленных ранее, с указанными в данном правиле, причем обычно в правиле можно задавать диапазон значений конкретных параметров (с помощью знаков «—», «?» и «*»). Комплексное действие правила состоит из действия по разрешению или блокированию пакета (с уведомлением об этом отправителя пакета или без него), действия по трансляции адреса и номера порта, действия по изменению дополнительных параметров TCP/UDP/IP-заголовка, действия по учету пакета (ведение статистики) и действия по возможному немедленному информированию администратора безопасности. Если подходящее правило не было найдено, то используется политика по умолчанию — либо разрешено все, что не запрещено, либо запрещено все, что не разрешено.
К положительным качествам простой пакетной фильтрации (по сравнению с другими методами фильтрации) следует отнести следующие:
— относительно невысокая стоимость,
— гибкость в определении правил фильтрации,
— «прозрачность» связи,
— небольшая задержка при прохождении пакетов.
Недостатки у простой фильтрации пакетов следующие:
— локальная сеть видна (маршрутизируется) из сети Internet,
— не учитывается содержимое IP-пакетов,
— правила фильтрации пакетов трудны в описании,
— не учитывается состояние соединения транспортного и прикладного уровней,
— при нарушении работоспособности МЭ все компьютеры за ним становятся полностью незащищенными либо недоступными,
— аутентификацию с использованием IP-адреса (внешней сети) можно обмануть подменой адреса,
— отсутствует аутентификация на пользовательском уровне.