Деревянко_БС ЭВМ

3.12.Проблемы обеспечения сетевой безопасности

3.12.1.Контроль внешнего периметра сети

Периметр сети – это граница, отделяющая внутреннюю (доверенную) сеть от внешних (недоверенных) сетей.

Возможными точками взаимодействия с «окружающим миром» могут быть:

беспроводные сегменты, делающие весьма вероятной возможность нарушения границ сети на физическом и канальном уровнях;

клиентские приложения, часто имеющие постоянное соединение с ресурсами, расположенными в недоверенных сетях;

сегменты, обеспечивающие удалённый доступ к сети, включая доступ посредством виртуальных частных сетей;

выделенные каналы, соединяющие филиалы друг с другом или с сетями партнёров;

точка подключения к Internet.

Периметр – это первая линия защиты от внешних угроз. Для защиты периметра используются следующие средства.

1.Межсетевые экраны (МЭ).

2.Антивирусные системы сетевого уровня.

3.Устройства для построения виртуальных частных се-

тей.

4.Системы противодействия атакам.

Периметр может состоять из одного или нескольких МЭ и набора контролируемых серверов, расположенных де-

милитаризованной зоне (demilitarized zone, DMZ). DMZ обыч-

но содержит почтовые серверы, Web-серверы, там же могут быть расположены и антивирусные средства сетевого уровня.

281

Защита периметра – это контроль взаимодействия внутренней сети с внешними сетями. В рамках защиты периметра решаются следующие задачи.

5.Фильтрация трафика.

6.Построение VPN.

7.Антивирусная защита.

8.Противодействие атакам.

9.Анализ содержимого трафика.

10.Защита от спама.

11.Контроль беспроводных устройств.

3.12.2.Контроль доступа к сетевым службам

Внешние сети в разной степени недоверенные. Некоторые недоверенные сети считаются более надежными, чем другие. Вот, например, список разных зон безопасности по убыванию степени надежности.

Сегмент сетевых служб.

Сегмент разработчиков.

Сегмент для всех пользователей.

DMZ с авторизованным доступом.

Сегмент анонимных клиентов беспроводной ЛВС.

DMZ с неавторизованным доступом.

При определении политики безопасности для сети, имеющей выход в Интернет, целесообразно выработать две политики: доступа к сетевым службам Интернета и доступа к ресурсам внутренней сети.

Политика доступа к сетевым службам Интернета включает следующие пункты.

Определение списка служб Интернета, к которым пользователи внутренней сети должны иметь ограниченный доступ.

Определение ограничений на методы доступа, например, на использование протоколов SLIP (Serial

282

Line Internet Protocol) и PPP (Point-to-Point Protocol).

Ограничения методов доступа необходимы для того, чтобы пользователи не могли обращаться, к «запрещенным» службам Интернета обходными путями. Например, если для ограничения доступа в Интернет установить в сети специальный шлюз, который не дает возможности пользователям работать в системе WWW, они могут устанавливать с веб-серверами

РРР-соединения по коммутируемой линии. Во избежание этого надо просто запретить применение протокола РРР.

Принятие решения о том, разрешен ли доступ внешних пользователей из Интернета во внутреннюю сеть. Если да, то кому. Часто доступ разрешают только некоторым абсолютно необходимым для работы предприятия службам, например, электронной почте.

Политика доступа к ресурсам внутренней сети может быть выражена в одном из двух принципов:

запрещать все, что не разрешено в явной форме;

разрешать все, что не запрещено в явной форме.

Всоответствии с выбранным принципом определяются правила обработки внешнего трафика межсетевыми экранами

имаршрутизаторами. Реализация защиты на основе первого принципа дает более высокую степень безопасности, однако при этом могут возникать большие неудобства у пользователей, а кроме того, такой способ защиты обойдется значительно дороже. При реализации второго принципа сеть окажется менее защищенной, однако пользоваться ей будет удобнее и потребуется меньше затрат.

283

3.12.3. Активный аудит

13.

Суть активного аудита состоит в том, что с помощью специального программного обеспечения (в том числе, с помощью систем анализа защищенности) и специальных методов осуществляется сбор информации о состоянии системы сетевой защиты. По окончании активного аудита выдаются рекомендации по устранению опасных уязвимостей и повышению уровня защищенности информационной системы от действий внешнего злоумышленника.

Активный аудит условно можно разделить на два вида: «внешний» активный аудит и «внутренний» активный аудит.

При «внешнем» активном аудите моделируются действия внешнего злоумышленника. В данном случае проводятся следующие процедуры:

определение IP-адресов, доступных из внешних сетей;

сканирование данных адресов с целью определения работающих сервисов и служб, определение назначения отсканированных хостов;

определение версий сервисов и служб сканируемых хостов;

изучение маршрутов прохождения трафика к хостам сети;

сбор информации о сети из открытых источников;

анализ полученных данных с целью выявления уязвимостей.

«Внутренний» активный аудит по составу работ аналогичен «внешнему», однако при его проведении с помощью специальных программных средств моделируются действия «внутреннего» злоумышленника.

284

3.12.4. Противодействие компьютерным вирусам

14.

Антивирусная защита используется для профилактики и диагностики вирусного заражения, а также для восстановления работоспособности пораженных вирусами информационных систем. Термин «вирусы» толкуется здесь расширенно — это не только собственно вирусы, но и другие виды вредоносных программ, такие как черви, троянские и шпионские программы.

Профилактика заключается в проверке файлов на присутствие вирусов перед их загрузкой в компьютер или перед их выполнением. Для проверки файлов используют три группы методов.

Методы, основанные на анализе содержимого файлов: сканирование сигнатур вирусов, а также проверка целостности и сканирование подозрительных команд.

Методы, основанные на отслеживании поведения программ при их выполнении.

Методы регламентации порядка работы с файлами и программами. Эти методы относятся к административным мерам обеспечения безопасности. Один из наиболее распространенных методов этой группы состоит в том, что в системе выполняются только те программы, запись о которых присутствует в списке программ, разрешенных к выполнению в данной системе. Этот список формируется администратором сети.

Сканирование сигнатур

Сигнатура вируса — это уникальная последовательность байтов, которая всегда присутствует в определенном виде вирусов и по которой этот вид вируса можно с большой вероятностью опознать. Для каждого вновь обнаруженного ви-

285

руса определяется сигнатура. Полученный код помещают в специальную базу данных вирусных сигнатур.

К достоинствам данного метода относят относительно низкую долю ложных срабатываний.

Главным же недостатком является принципиальная невозможность обнаружить присутствие в системе нового вируса, для которого еще нет сигнатуры в базе данных. Кроме того, создание базы данных сигнатур является делом очень трудоемким, а ее эксплуатация требует постоянного оперативного обновления.

Метод контроля целостности

Метод контроля целостности основывается на том, что любое неожиданное и беспричинное изменение данных является подозрительным, требующим внимания антивирусной системы.

Факт изменения данных — нарушение целостности — легко устанавливается путем сравнения ранее подсчитанной контрольной суммы (дайджеста) и текущей контрольной суммы (дайджеста) тестируемого кода. Если они не совпадают, значит, целостность нарушена и следует провести проверку, например, сканирование вирусных сигнатур.

В отличие от сканирования сигнатур метод контроля целостности позволяет обнаруживать следы деятельности любых, в том числе неизвестных, вирусов, для которых в базе данных еще нет сигнатур. Он работает быстрее, поскольку подсчет контрольных сумм требует меньше вычислений, чем операции сравнения кодовых фрагментов.

Сканирование подозрительных команд

В арсенале вирусных программ есть особенно опасные средства. Примером такого грозного оружия может служить код, вызывающий форматирование жесткого диска. Каждый

286

случай обнаружения такого кода должен переводить систему в состояние тревоги.

Известно, что вирусные программы разных видов могут содержать функционально подобные (но программно не идентичные) блоки. Например, многие виды вирусов содержат функцию внедрения в исполняемый код. Для этого они сначала отыскивают файлы с расширениями ехе, а затем выполняют для них операции открытия и записи. Совокупность этих действий может стать опознавательным знаком для функции внедрения вируса.

Если при сканировании в файле обнаруживают подозрительные команды и/или признаков подозрительных кодов, то делается предположение о вредоносной сущности файла и предпринимаются дополнительные действия по его проверке. Этот метод обладает хорошим быстродействием, но часто он не способен выявлять новые вирусы.

Отслеживание поведения программ

Тестируемую программу запускают на выполнение, но все ее подозрительные действия контролируются и протоколируются антивирусной системой. Если программа пытается выполнить какую-либо потенциально опасную команду, например записать данные в исполняемый файл другой программы, то ее работа приостанавливается, и антивирусная система запрашивает пользователя о том, какие действия надо предпринять.

При использовании антивирусных систем, анализирующих поведение программ, всегда существует риск выполнения команды вирусного кода, способной нанести ущерб защищаемому компьютеру или сети.

Другой метод – выполнение тестируемой программы в искусственно созданной (виртуальной) вычислительной среде, которую иногда называют песочницей (sandbox). Такой способ называют эмуляцией. При эмуляции фиксируются все подо-

287

зрительные действия программы, однако в этом случае отсутствует риск повреждения системы.

Принцип работы антивирусных средств, построенных на основе анализа поведения программ, показывает, что эти средства могут использоваться для обнаружения не только известных, но и не известных вредоносных программ.

15.

3.12.5. Организация ложного информационного ресурса в сети

16.

Основными функциями таких систем (обманных систем, ОбС) являются привлечение и удержание внимания злоумышленников на ложных информационных целях, введение злоумышленников в заблуждение, обнаружение и фиксация действий нарушителей, их контроль, а также сбор данных о действиях нарушителей из различных источников.

Уровень взаимодействия с нарушителем определяет, какие возможности предоставляет ему ОбС по реализации атак. Чем большую свободу имеет атакующий, тем больше информации можно собрать о его действиях, и тем больше объем работ по установке и поддержке системы, а также выше риск ее компрометации. Типы ОбС различают по уровню взаимодействия с нарушителем. Уровень интерактивности определяет, насколько активно может вести себя нарушитель, проникший в систему. Чем больше уровень интерактивности, тем больше нарушитель может сделать, и тем больше можно получить информации о нарушителе, но и тем больше вреда он может нанести.

Перечислим основные достоинства применения ОбС.

1. ОбС базируются на сборе данных небольшого объема, так как они ориентированы на фиксацию только действий нарушителей и любое взаимодействие с ОбС, вероятнее всего, вызвано неправомочными или злонамеренными действиями. Вследствие этого в используемых данных практически нет «шума», что обуславливает отсутствие ложных срабатываний

288

при обнаружении вторжений и возможность выявления новых атак, средств их реализации и стратегий злоумышленников.

2.ОбС требуют минимальных ресурсов, так как они используют данные, характеризующие только неправомочные или злонамеренные действия.

3.Все типы ОбС основываются на простой стратегии: если кто-то взаимодействует с ОбС, отслеживай его действия и реагируй на них. Чем проще компонент защиты, тем менее вероятны ошибки функционирования и сбои в работе.

4.В отличие от большинства компонентов защиты (например, систем обнаружения вторжений) ОбС могут работать с зашифрованным трафиком, так как не имеет значения, какая информация поступает на вход ОбС, она будет обнаружена и зафиксирована.

5.Так как практически любой трафик, направленный на ОбС, отражает действия нарушителя, ОбС могут обнаруживать новые атаки.

6.ОбС позволяют непрерывно подтверждать роль других механизмов защиты. Всякий раз, когда на ОбС осуществляется атака, администраторы безопасности и руководство будут проинформированы об этом.

Основные недостатки использования ОбС следующие.

1.ОбС имеют ограниченную область применения, так как могут отслеживать только деятельность, которая непосредственно направлена на них; ОбС не могут обнаруживать и реагировать на деятельность против других систем, если нарушитель не взаимодействует с ОбС.

2.ОбС обуславливают риск полной компрометации и использования для атак на другие компьютерные системы.

3.Наличие у ОбС «демаскирующих признаков», т.е. отличительных характеристик и поведения, обнаруживаемых нарушителем по ответной реакции на его действия. Это может привести к тому, что нарушитель, в свою очередь, попытается обмануть систему защиты. Например, если нарушитель обна-

289

ружил использование ОбС, он может атаковать ее от имени реального компьютера целевой системы. ОбС обнаружит эту атаку и ошибочно оповестит администратора о том, что целевая система была использована нарушителем, порождая цепочку разбирательств, ведущих по ложному следу, а в это время нарушитель сможет сосредоточиться на реальных целях. ОбС может специально оповещать нарушителей о себе. Это может делаться для отпугивания злоумышленников от защищаемой сети. Обычно разумнее, чтобы ОбС действовали скрытно и не были обнаружены.

ОбС за рубежом получили название Honeypots (другое называние – Deception или Decoy systems). В соответствии со своим названием они действуют как приманка для хакеров. Honeypots поставляются в виде коммерческих и некоммерческих продуктов, отдельных аппаратных решений или образов готовых Unix-систем. Honeypot несложно создать, на старом компьютере (или виртуальном компьютере). На него помещаются уязвимые приложения и привлекательные для хакера ресурсы - и одновременно там же стоит система обнаружения вторжений (например, SNORT), которая фиксирует все действия хакера. Для атакующих из Интернета обычно такие приманки помещаются в DMZ, а во внутренней сети роль Honeypots обычно играют каталоги с привлекательными названиями и настроенным аудитом.

Наиболее продвинутым интернациональным проектом в области создания ОбС является Honeynet Project.

3.12.6. Построение систем аутентификации

Информационная безопасность требует комбинации различных методов для исключения подтасовки и частичной потери конфиденциальной информации, необходимой для аутентификации. Однофакторная аутентификация вроде паро-

290