Сетевая экономика / Лекции и практические по сетевой экономике (Белых А.Н.) / СЭ_Лекция 7. ТЕХНОЛОГИИ ЗАЩИТЫ

ТЕХНОЛОГИИ ЗАЩИТЫ

Любая эффективная защита начинается с разработки стратегии. Правильно описанная процедура управления, перемещения и досту­па к данным создает фундамент информационной безопасности предприятия.

Способы построения защищенных информационных систем ис­следованы в работах многих авторов. Существует разработанная тео­рия [1,3], накоплен большой практический опыт [4—5]. Все это по­зволяет сформулировать основные принципы обеспечения инфор­мационной безопасности:

• Основой для построения системы информационной безопасно­сти служат положения и требования существующих законов, стандартов и нормативно-методических документов.

• Информационная безопасность обеспечивается одновремен­ным применением организационных мер и программно-техни­ческих средств.

• Информационная безопасность должна обеспечиваться на всех технологических этапах обработки информации в системе, а также во всех режимах, включая регламентные и ремонтные работы.

• Оценка эффективности и периодический контроль системы за­щиты информации являются строго обязательными. Соответствовать перечисленным выше принципам непросто.

Этого можно достичь при выполнении следующих основных правил построения системы информационной безопасности:

• Системность. Это означает необходимость учета всех взаимо­связанных, изменяющихся во времени факторов.

• Комплексность. Использование и согласование разнородных средств при построении системы защиты.

• Непрерывность. Защита информации — это непрерывный про­цесс.

• Разумная достаточность. Необходимо выбрать правильный уро­вень защиты информации, исходя из затрат на построение сис­темы защиты, возможного ущерба от потери информации, вре­мени, в течение которого информация остается актуальной, не­удобства работы пользователей при соблюдении правил безопасности и других факторов.

• Гибкость. Со временем меняется информационная система, со­вершенствуются средства нападения, обеспечения безопасности и управления как системой безопасности, так и всей информа­ционной системой. Система безопасности должна строиться с учетом возможности развития в соответствии с меняющимися задачами.

• Открытость. Знание алгоритмов и механизмов защиты не должно давать никому, даже разработчику системы защиты, воз­можность ее преодоления.

• Простота. Система защиты должна быть простой и интуитивно понятной пользователю. Сложные и неудобные в использова­нии защитные меры применяются пользователями крайне не­охотно, что приводит к пренебрежению правилами безопасно­сти.

Создание надежной защиты от угроз информационной безопас­ности — комплексная задача, для решения которой необходимо:

1. Выбрать модель безопасности, соответствующую назначению и архитектуре информационной системы. При этом используемые в работе приложения должны поддерживать механизмы, заложенные в модель информационной безопасности.

2. Правильно внедрить выбранную модель. Практика показыва­ет, что основные сложности при внедрении возникают со служебны­ми объектами системы, поскольку необходимо обеспечить доступ пользователей с разными правами к различным частям таких объек­тов. Это могут быть конфигурационные файлы, системные утилиты и т.д. Например, при обращении к базе данных учетных записей пользователей каждый из них должен получить полные права на свою запись, но не должен иметь возможности извлечь информацию о других пользователях. Таким образом, правильный подход к внед­рению модели безопасности подразумевает выделение системной и пользовательской частей информационной системы с последующим применением модели к пользовательской части и детальным анали­зом системной составляющей для разработки регламента доступа каждого пользователя к своей части системной информации.

3. Обеспечить надежную идентификацию и аутентификацию. В настоящее время для этого необходимо лишь выбрать одну из уже созданных специалистами по безопасности систем, обеспечивающих идентификацию и аутентификацию с заданной степенью надежности.

4. Использовать наиболее надежные программные средства обес­печения безопасности. Программная составляющая систем безопас­ности является наименее надежной частью системы из-за неизбеж­ных ошибок программирования. Проблема надежности программ­ного обеспечения носит общий характер, и ее решение лежит на пути развития технологий программирования. Если безопасность имеет решающее значение в вашей информационной системе, необходимо использовать для обработки информации только те программные продукты, в которых существуют встроенные средства отладки и тес­тирования.

5. Контролировать состояние механизмов защиты. Для этого можно использовать разнообразные стандартные средства, разрабо­танные в настоящее время специалистами по информационной без­опасности.

6. Свести к минимуму ошибки администрирования. Это очень сложная задача. Для ее решения необходимо шире внедрять автома­тизированные системы управления и использовать эргономичные средства управления безопасностью. Большое значение имеют по­стоянное повышение квалификации администраторов и обучение их правильным приемам работы в различных условиях, например при обнаружении несанкционированного доступа к информации в системе. Если невозможно избежать ошибок администрирования, необходимо хотя бы обеспечить протоколирование всех действий администраторов и периодические проверки действующей конфи­гурации системы.

Прежде чем переходить непосредственно к технологиям защиты от перечисленных выше классов угроз информационной безопасно­сти, необходимо отметить, что для каждой информационной систе­мы должен быть разработан документ, определяющий стратегию и тактику защиты от информационных угроз. Это политика информа­ционной безопасности, правилам разработки которой посвящено большое количество работ (см., например, [9]).

Остановимся кратко на способах защиты от перечисленных выше классов атак.

Основной защитой от пассивных атак на потоки данных, от про­слушивания служит шифрование передаваемых данных. Архитекту­ра сети и способ взаимодействия компьютеров в ней определяют, на каком из уровней модели OSI необходимо применять шифрование. Например, в случае межсегментного взаимодействия шифрование целесообразно применять только на уровне приложений.

Важным вопросом является обнаружение самого факта прослу­шивания сети. Способ определения зависит от архитектуры сети. Если сеть построена на основе сетевых концентраторов, можно вос­пользоваться сниффер-детектором, специальной программой, рабо­та которой основана на описанном выше отличии режима работы сетевого адаптера компьютера со сниффером от обыкновенного. На требующие реакции запросы с несуществующим М4С-адресом адре­сата отзовется только компьютер со сниффером. Если таких запросов будет много, то затраты ресурсов на их обработку вызовут замедление работы прослушивающего сеть компьютера. Это можно использовать для его обнаружения.

В сети, построенной на коммутаторах, сниффер, как указывалось выше, должен для достижения успеха производить активные дей­ствия (МAС-шторм), по которым можно определить его присутствие в сети. Действенным методом будет постоянный мониторинг сети на наличие Л/ЛС-штормов, ограничение количества регистрируемых МAС-адресов на портах коммутаторов или закрепление определен­ного МАС-адреса за каждым портом коммутатора.

Спектр активных атак на потоки данных гораздо шире, поэтому и методы противодействия гораздо разнообразнее. Упоминавшаяся выше атака повтором становится невозможной, если в сетевые па­кеты добавляются так называемые метки времени и последователь­ные номера. Кроме того, банки обмениваются подтверждениями при проведении денежных переводов.

Для предотвращения атак класса «Man-In-The-Middle» достаточно обеспечить доверенную доставку ключей компьютерам, участву­ющим в сеансе связи. Для этого необходимо наличие сертификаци­онного агентства, которое генерирует ключи для сеанса связи и по альтернативным каналам связи проводит аутентификацию пользо­вателя. Только после того как личность пользователя установлена, он получает ключи для сеанса.

Атаки на маршрутизаторы легко предотвратить, используя шиф­рование при авторизации служебных пакетов и правильно настраи­вая межсетевые экраны, стоящие на входе в сеть и работающие меж­ду внутренними ее сегментами. Маршрутизатор должен получать только ту информацию, которая необходима ему для работы.

Наиболее опасной из атак, упомянутых в разделе, посвященном атакам на потоки данных, является перехват авторизованной сессии. Чтобы не дать злоумышленнику возможности предугадать номера сетевых пакетов, необходимо совершенствовать способы их генера­ции.

В связи с атаками на межсегментные потоки данных следует уде­лить особое внимание межсетевым экранам — специальным про­граммным или аппаратно-программным средствам для блокирова­ния угроз, исходящих из внешней сети. Межсетевой экран позволяет контролировать информацию, поступающую в и исходящую из за­щищенной сети. Основными функциями межсетевого экрана явля­ются:

• Фильтрация данных. В зависимости от требуемого уровня защи­ты она может осуществляться на канальном, сетевом, транс­портном и прикладном уровнях. При защите информации вы­сокой степени важности необходимо обеспечивать возможность фильтрации по следующим параметрам:

• по адресам отправителя и получателя (или по другим эквива­лентным атрибутам);

• по любым значимым полям сетевых пакетов;

• по пакетам служебных протоколов, служащих для диагнос­тики и управления работой сетевых устройств;

• 

  с учетом входного и выходного сетевого интерфейса как средства проверки подлинности сетевых адресов;

• на транспортном уровне запросов на установление виртуаль­ных соединений;

• на прикладном уровне запросов к сервисам;

• по дате и времени;

• работа в качестве прокси-сервера, позволяющего управлять ин­тернет-трафиком находящихся в защищаемом сегменте ком­пьютеров и скрывать информацию о них;

• трансляция адресов, позволяющая скрыть топологию и истин­ные адреса внутренней сети от внешних абонентов и использо­вать в ней практически любое количество немаршрутизируемых iр-адресов;

• регистрация с различной степенью полноты событий, связан­ных с прохождением сетевого трафика через его интерфейсы. Анализ записей позволяет выявить попытки нарушения правил обмена информацией в сети и определить злоумышленника. Наличие у межсетевого экрана нескольких сетевых интерфейсов

позволяет поддерживать несколько сетевых сегментов с различными уровнями безопасности. Обычно выделяют внешнюю сеть (как пра­вило, это сеть Интернет), демилитаризованную зону — сегмент сети, в котором расположены корпоративные серверы, доступные из внешней сети, и внутреннюю сеть предприятия. Наиболее безопас­ной считается, естественно, внутренняя сеть предприятия. Соответ­ственно, наименее безопасной — внешняя сеть. Уровень безопасно­сти демилитаризованной зоны определяется существующей на пред­приятии политикой информационной безопасности. На рис. 27.1 приведена одна из типовых схем организации такой сети.

Межсетевой экран может быть реализован как на программном, так и на аппаратном уровнях. В качестве примеров аппаратной реа­лизации можно привести приборы производства ведущих мировых производителей: Cisco ASA 5500 и Firebox® XEdge различных серий. Наиболее известными программными реализациями можно считать Checkpoint Firewall-1 компании Check Point Software Technologies и Mi­crosoft ISA Server.

Как правило, межсетевые экраны осуществляют трансляцию се­тевых адресов для внутренней сети и демилитаризованной зоны. Во внешней сети всем серверам демилитаризованной зоны может соот­ветствовать один-единственный сетевой адрес. При этом перена­правление запросов к ним может производиться по номерам портов, указанных в запросах. Серверы демилитаризованной зоны доступны и из внутренней сети, однако права внутренних пользователей суще­ственно шире, чем пользователей из внешнего мира. Администра­торы из внутренней сети могут управлять серверами в демилитаризованной зоне. Доступ из демилитаризованной зоны и из внешней сети во внутреннюю строго ограничен в соответствии с политикой информационной безопасности.

Межсетевые экраны используются внутри корпоративных сетей для отделения сегментов с различной степенью конфиденциальности информации. Очень часто фрагменты защищенной (например, кор­поративной) сети связываются между собой через общедоступную сеть. В этом случае они подключаются к общедоступной сети через межсетевые экраны. Как правило, межсетевой экран способен со­здавать защищенное соединение (Р/ТР-соединение) с другим меж­сетевым экраном. Использование таких соединений позволяет су­щественно уменьшить риск несанкционированного доступа к ин­формации, передаваемой между фрагментами защищенной сети.

В зависимости от степени конфиденциальности и важности ин­формации установлены 5 классов защищенности межсетевых экра­нов [1, 6]. Каждый класс характеризуется минимальными требова­ниями к уровню защиты информации. Межсетевые экраны первого класса (самый высокий класс защищенности) устанавливаются при обработке информации с грифом «особой важности». Как правило, межсетевые экраны представляют собой отдельные специализиро­ванные устройства или компьютеры со специальным программным обеспечением. Производительность таких систем должна быть до­статочно высокой, поскольку весь внешний трафик защищаемых сегментов анализируется экраном. Поскольку межсетевой экран яв­ляется важным элементом системы информационной безопасности, к нему предъявляются высокие требования по разграничению доступа, обеспечению целостности информации, скорости восстановле­ния при сбоях, тестированию и т.д. Часто межсетевые экраны допол­нительно выполняют функции шлюза, а также ряда инфраструктур­ных серверов {DHCP, DNS и др.) для защищаемого сегмента сети.

К недостаткам межсетевых экранов при использовании в сетях TCP/IP можно отнести сложность организации доступа к внешним сетевым сервисам, которые используют для ответа клиенту не тот порт, который был использован при формировании запроса. Приме­ром такого сервиса может служить широко распространенная ин­формационно-справочная система «Гарант». Источник проблемы — в алгоритме работы экрана. Когда один из компьютеров защищаемой сети обращается к такому внешнему сервису, экран запоминает па­раметры этого запроса: //j-адрес и порт отправителя и ip-адрес и порт получателя запроса. Экран пропустит ответ на запрос только в том случае, если он содержит те же самые параметры, что и запрос. Если сервис использует для ответа другой порт, экран его проигнорирует.

Рассмотрим возможности противодействия атакам на средства аутентификации пользователя. Как уже указывалось выше, защита от атак на средства доставки пароля к аутентифицирующей системе заключается в своевременной установке выпускаемых производите­лем операционной системы обновлений, устраняющих уязвимости в средствах аутентификации. Для построения эффективной защиты хранящихся в системе паролей пользователей необходимо изучить возможные варианты атак на хранилище паролей, реализуемые в используемой вами операционной системе, и способы противодей­ствия им. Очень важен учет всех ответвлений информационных по­токов, связанных с хранением паролей. Например, пароли можно восстановить из резервных копий системы или образов жестких дис­ков, хранящихся недостаточно надежно.

Мощным инструментом обеспечения безопасности является по­литика паролей. Она, как правило, предлагает широкий набор средств, основной целью которых является затруднение работы па­рольного взломщика — программы подбора пароля по тем или иным алгоритмам. Она включает в себя установку минимального времени ожидания между последовательными попытками входа, ограничение по количеству попыток входа в систему с последующей блокировкой учетной записи пользователя и посылкой сообщения администрато­ру системы или администратору безопасности.

Большое внимание уделяется работе с пользователями, которые, будучи предоставленными сами себе, не очень затрудняются при выборе пароля для входа в систему. Чаще всего в качестве пароля выбирают год рождения, собственное имя или фамилию, телефон (рабочий или домашний), имя любимого человека, кличку собаки и т.п. Верхом секретности в этом случае будет ввод русского слова с

использованием английской раскладки клавиатуры или замена не­которых букв сходными по начертанию спецсимволами. Все эти осо­бенности человеческой психики давно учтены создателями пароль­ных взломщиков. Поскольку прямой перебор комбинаций при под­боре достаточно длинного пароля является длительной процедурой, большинство парольных взломщиков работают со словарями часто используемых типовых паролей, учитывающих особенности языко­вой среды, менталитета и других особенностей атакуемого пользова­теля. Данный метод в сочетании с предварительной разведкой дает неплохие результаты, если пользователи не пользуются програм­мой — генератором хороших паролей.

Для обеспечения должного качества паролей политика паролей устанавливает автоматические ограничения на минимальную длину пароля и обязательность его смены через определенный интервал времени. При этом использованные ранее указанным пользователем пароли хранятся в базе данных, и система следит за тем, чтобы он каждый раз использовал новые пароли. Можно определить мини­мальное качество пароля, заставив пользователя применять при из­менении пароля символы на различных регистрах и спецсимволы, отбраковывать легко подбираемые пароли. Недостатком применения очень строгой политики может быть сложность запоминания непро­износимых паролей пользователями, поскольку любое осмысленное сочетание букв в этом случае автоматически считается слабым паро­лем. В результате пароли будут записываться на бумажках и наклеи­ваться на монитор, что, очевидно, сведет на нет все меры безопасно­сти.

При анализе журналов аудита администратору системы следует обратить внимание на часто повторяющиеся случаи неверного ввода пароля и блокировать учетные записи пользователей, находящихся в отпуске и отсутствующих продолжительное время (например, более двух недель).

Говоря о защите от удаленных атак, в первую очередь остановим­ся на защите от компьютерных вирусов и троянских программ. Эти атаки очень тесно связаны с описанными выше методами социаль­ной инженерии. Очень часто заражение вирусом происходит после определенных действий пользователя, на которые его вынудили ме­тодами социальной инженерии. Использование антивирусного про­граммного обеспечения на всех компьютерах и серверах информа­ционной системы является обязательным. Современные антивирус­ные программные комплексы позволяют управлять всей системой антивирусной защиты из единого центра, своевременно обновляя антивирусные базы на клиентских компьютерах. Выбор конкретного антивирусного программного обеспечения целиком зависит от лич­ных предпочтений руководства предприятия и администраторов

системы. Использование антивирусного ПО любого из ведущих ми­ровых производителей при условии его правильной настройки при­водит практически к одним и тем же результатам. Необходимо защи­тить антивирусными фильтрами интернет-соединение и почтовый сервер организации.

Если невозможно полностью запретить загрузку программного обеспечения из Интернета, необходимо организовать проверку ска­чанных программ на специальном «полигоне» или воспользоваться встроенными в систему (например, Microsoft.NET) возможностями ограничения прав подозрительных программ.

Если все же злоумышленники воспользовались уязвимостями в одном из функционирующих на компьютере сервисов, необходимо по возможности ограничить их возможности в системе. Для этого следует ограничить права сервиса необходимым минимумом. Нельзя давать ему больше прав, чем нужно для работы.

Электронная почта стала повсеместно доступным средством об­щения и передачи информации. Многие угрозы информационной безопасности реализуются с ее применением. Поэтому ее использо­вание должно быть строго регламентировано в политике безопасно­сти. В работе [9] в качестве примера приведены следующие «запове­ди» пользователя электронной почты:

1. Вы должны оказывать то же уважение, что и при устном общении.

2. Вы должны проверять правописание, грамматику и трижды перечитывать свое сообщение перед отправлением.

3. Вы не должны участвовать в рассылке посланий, пересыла­емых по цепочке (чаще всего это письма религиозно-мистического содержания).

4. Вы не должны по собственной инициативе пересылать по про­извольным адресам незатребованную информацию.

5. Вы не должны рассылать сообщения, которые являются зло­вредными, раздражающими или содержащими угрозы.

6. Вы не должны отправлять никаких сообщений противозакон­ного или неэтичного содержания.

7. Вы должны помнить, что электронное послание является эк­вивалентом почтовой открытки и не должно использоваться для пе­ресылки секретной информации.

8. Вы не должны использовать широковещательные возможности электронной почты, за исключением выпуска уместных объявлений.

9. Вы должны свести к минимуму количество электронных пос­ланий личного характера.

10. Вы должны неукоснительно соблюдать правила и инструкции и помогать администраторам бороться с нарушителями правил.

Полное устранение угроз, связанных с электронной почтой, воз­можно только при полном контроле трафика электронной почты и

содержимого посланий. Архивация сообщений поможет разобрать­ся в проблеме, если она возникнет. Правила хранения архивов долж­ны исключать возможность их несанкционированного использова­ния. Как правило, такие меры не находят одобрения у сотрудников, но воспринимаются как необходимое зло.

Правила пересылки по электронной почте конфиденциальной информации (отправлять или нет, шифровать или нет, использовать цифровую подпись или нет) целиком зависят от позиции админи­страции компании, и они обязательно должны найти свое отражение в политике безопасности.

Защита от атак типа «отказ в обслуживании» сложна в первую очередь потому, что средством для такой атаки, подчас, служит боль­шое число совершенно корректных сетевых пакетов, направленных к серверу из разных точек сети (распределенная атака типа «отказ в обслуживании). Основным методом противодействия такой атаке является увеличение производительности атакуемого сервера, по­скольку вредоносные пакеты невозможно отличить от реальных за­просов. Иногда может помочь анализ участвующих в атаке пакетов. Если удается выделить в них общие признаки, пригодные для их идентификации, возможно построение фильтра, не пропускающего их в сеть. Если злоумышленник использует специальный (возможно, некорректный) запрос к серверу, то вряд ли можно противостоять такой атаке, если она проводится в первый раз. Возможность повто­ров такой атаки, как правило, минимальна, поскольку изготовители ПО оперативно реагируют на новые типы подобных атак выпуском соответствующих обновлений для своего программного обеспечения.

Удаленные атаки на маршрутизацию пакетов и атаки типа «мас­кировка» связаны прежде всего с неправильной настройкой системы аутентификации, что позволяет атакующему получить информацию об учетной записи одного из пользователей системы или админис­тратора системы маршрутизации. Необходимо избегать идентифи­кации пользователя по IP-адресу его компьютера.

Успех атаки на веб-сервисы основан чаще всего на уязвимостях, связанных с ошибками программирования на этапе разработки. Мы не рассматриваем сейчас случаи, когда злоумышленник получил до­ступ к учетным данным пользователя или администратора системы. Чаще всего такие ошибки связаны с пренебрежением проверкой дан­ных, вводимых пользователем. Полагая, что пользователь будет ис­пользовать создаваемую им программу только по прямому назначе­нию и вводить только корректные данные, программист делает боль­шую ошибку. Пользователь может случайно ошибиться при вводе или намеренно ввести некорректные данные (например, чересчур длинную строку или спецсимволы). Известны случаи, когда исполь­зование специальных символов в написании адреса службы приводило к неожиданным для разработчиков последствиям. Целый класс атак на веб-сервисы основан на посылке ему специально сформиро­ванной адресной строки для получения недокументированной реак­ции. Защитой от такого рода атак может стать использование меж­сетевых экранов, работающих на всех уровнях модели OSI, способ­ных анализировать получаемые сервером данные и отфильтровывать некорректные.

При загрузке активного содержимого веб-страниц необходимо ясно представлять себе цель использования этого потенциально опасного исполняемого кода. Как правило, это средства анимации и декоративные элементы веб-страницы. С точки зрения информа­ционной безопасности правильным решением будет запрет их ис­пользования. Однако такое решение не всегда оправданно. Не ис­ключено, что бизнес-процессы в организации реализованы на осно­ве интернет-технологий, включающих распределенные приложения, построенные на использовании тонких клиентов, когда вся функ­циональность приложения загружается на клиентскую машину с сервера, например при работе с банковскими счетами. В этом случае приходится использовать активные элементы веб-страниц. Такой вариант возможен только при соблюдении строгих мер безопасно­сти, включающих в себя передачу данных по защищенному каналу, обязательную идентификацию клиента и сервера, использование специальных механизмов типа электронной подписи для проверки целостности загружаемых активных компонентов. Необходимо так­же до необходимого минимума ограничить права учетной записи, в контексте которой будет выполняться активное содержимое.

Для организации удаленных атак на серверы часто используют некорректные данные, вызывающие ошибку приложения. Если раз­работчики не предусмотрели аккуратную обработку так называемых исключительных ситуаций, ошибка приложения может вызвать не­предсказуемые последствия от сбоя в работе сервера до получения злоумышленником возможности выполнения посторонней програм­мы. Избежать этого можно, своевременно устанавливая обновления, выпущенные производителем программного обеспечения, и отфиль­тровывая некорректные данные, направляющиеся к серверам.