все лекции
.pdf
доступа клиентов из одного множества систем к информации, храня-
щейся на серверах в другом множестве, рисунок 10.3.
Экран выполняет свои функции, контролируя все информационные потоки между этими двумя множествами информационных систем,
работая как некоторая «информационная мембрана».
В этом смысле экран можно представлять себе как набор фильтров, анализирующих проходящую через них информацию и, на основе за-
ложенных в них алгоритмов, принимающих решение: пропустить ли
эту информацию или отказать в её пересылке.
Рисунок 10.3 – Экран FireWall
Кроме того, такая система может выполнять РЕГИСТРАЦИЮ со-
бытий, связанных с процессами разграничения доступа, в частности,
фиксировать все «незаконные» попытки доступа к информации и, дополнитель-
но, СИГНАЛИЗИРОВАТЬ о ситуациях, требующих немедленной реак-
ции, то есть поднимать тревогу. Примером потенциально враждебной внешней сети является InterNet.
Рассматривая проблемы, возникающие при построении экранирующих си-
стем, следует рассматривать не только проблему безопасного подклю-
чения к InterNet, но и РАЗГРАНИЧЕНИЕ ДОСТУПА ВНУТРИ корпо-
ративной сети организации.
Администратору безопасности сети ДЛЯ КОНФИГУРИРОВАНИЯ
комплекса FireWall необходимо выполнить ряд действий:
а) ОПРЕДЕЛИТЬ ОБЪЕКТЫ, участвующие в процессе обработки
информации. Имеются в виду пользователи и группы пользователей, компью-
теры и их группы, маршрутизаторы и различные подсети локальной сети орга-
низации.
б) ОПИСАТЬ СЕТЕВЫЕ ПРОТОКОЛЫ И СЕРВИСЫ, с которы-
ми будут работать приложения. Обычно достаточным оказывается набор
из примерно 40 описаний, поставляемых с системой FireWall.
в) С помощью введённых понятий ОПИСЫВАЕТСЯ ПОЛИТИКА
РАЗГРАНИЧЕНИЯ ДОСТУПА в следующих терминах: «Группе пользова-
телей А разрешён доступ к ресурсу Б с помощью сервиса или протокола С, но об этом необходимо сделать пометку в регистрационном журнале».
Совокупность таких записей компилируется в исполнимую форму блоком управления и далее передаётся на исполнение в модули фильтрации.
МОДУЛИ ФИЛЬТРАЦИИ могут располагаться на компьютерах-
шлюзах или выделенных серверах – или в маршрутизаторах, как часть
конфигурационной информации.
Модули фильтрации просматривают все пакеты, поступающие на сетевые интерфейсы, и, в зависимости от заданных правил, пропускают или отбрасывают эти пакеты, с соответствующей записью в регистрационном журнале.
Эти модули, работая непосредственно с драйверами сетевых интерфейсов, обрабатывают весь поток данных, располагая полной информацией о передаваемых
пакетах.
Пример реализации политики безопасности.
Расcмотрим практическую реализацию политики безопасности организации с помощью программного пакета FireWall (рисунок 10.4).
А) Прежде всего разрабатываются и утверждаются на уровне руководства организации правила политики безопасности.
Б) После утверждения эти правила воплощают в жизнь. Для этого их нужно перевести в структуру типа
“откуда, куда и каким способом доступ разрешен или, наоборот, запрещен". Такие структуры легко перено-
сятся в базы правил системы FireWall.
В) Далее, на основе этой базы правил формируются списки доступа для маршрутизаторов и сценарии работы фильтров на сетевых шлюзах. Списки и сценарии переносятся на физические компоненты сети, после чего правила политики безопасности “вступают в силу”.
Д) В процессе работы фильтры пакетов на шлюзах и серверах генерируют записи обо всех событиях, которые им приказали отслеживать, а также запускают механизмы “тревоги”, требующие от администратора немедленной реакции.
Е) На основе анализа записей, сделанных системой, отдел компьютерной безопасности организации может разрабатывать предложения по изменению и дальнейшему развитию политики безопасности.
Рисунок 10.4 – Реализация политики безопасности FireWall Рассмотрим простой пример реализации следующих правил.
1)Из локальных сетей подразделений, возможно удаленных, разрешается связь с любой локальной сетью организации после аутентификации, например, по UNIX-паролю.
2)Всем запрещается доступ к сети финансового отдела, за исключением генерального директора и начальника этого отдела.
3)Из Internet разрешается только отправлять и получать почту. Обо всех других попытках связи необходимо делать подробную запись.
Все эти правила естественным образом представляются средствами графического интерфейса Редактора Правил FireWall. После загрузки правил, FireWall для каждого пакета, передаваемого по сети, последовательно просматривает список правил до нахождения элемента, соответствующего текущему случаю.
Важным моментом является защита системы, на которой разме-
щен административно-конфигурационный модуль FireWall. Ре-
комендуется запретить средствами FireWall все виды доступа к данной
машине, или по крайней мере строго ограничить список пользователей, которым
это разрешено, а также принять меры по физическому ограничению доступа и по защите обычными средствами ОC.
Если первоначальная конфигурация сети меняется, то вместе с ней меняется и политика безопасности.
Ситуации, когда корпоративная сеть содержит лишь один внешний канал,
является, скорее, исключением, чем правилом. Типична ситуация, при которой
корпоративная сеть состоит из нескольких территориально разнесен-
ных сегментов, каждый из которых подключён к сети общего пользования
(рисунок 10.5).
Рисунок 10.5 – Экранирование корпоративной сети из нескольких терри-
ториально разнесённых сегментов
В этом случае КАЖДОЕ ПОДКЛЮЧЕНИЕ должно защищаться
СВОИМ экраном. Можно считать, что корпоративный внешний межсетевой
экран является составным, и требуется решать задачу согласованного админи-
стрирования (управления и аудита) всех компонентов.
Пусть в организации решили установить несколько общедоступных
серверов для предоставления информационных услуг. Это могут быть, например,
серверы World Wide Web, FTP или другие информационные серверы.
Поскольку такие системы обособлены от работы всей остальной
сети организации, для них часто выделяют свою собственную под-
сеть, имеющую выход в Internet через шлюз (рисунок 10.6).
Рисунок 10.6 – Схема шлюза Internet
АУТЕНФИКАЦИЯ ПОЛЬЗОВАТЕЛЕЙ ПРИ РАБОТЕ с ftp: FireWall позволяет администратору устано-
вить различные режимы работы с интерактивными сервисами FTP и telnet для различных пользователей и групп пользователей.
При установленном режиме аутентификации, FireWall заменяет стандартные FTP и telnet, демоны UNIX на свои собственные, располагая их на шлюзе, закрытом с помощью модулей фильтрации пакетов.
Пользователь, желающий начать интерактивную сессию по FTP или telnet (это должен быть разрешённый пользователь и в разрешённое для него время), может сделать это только через вход на такой шлюз, где и выполняется вся процедура аутентификации. Она задаётся при описании пользователей или групп пользователей и может проводиться следующими способами: Unix-пароль; программа S/Key генерации одноразовых паролей; карточки SecurID с аппаратной генерацией одноразовых паролей.
UDP-протоколы, входящие в состав набора TCP/IP, представляют собой осо-
бую проблему для обеспечения безопасности. С одной стороны на их основе со-
здано множество приложений. С другой стороны, все они являются протоколами
«без состояния», что приводит к отсутствию различий между запросом и ответом, приходящим извне защищаемой сети.
С UDP компьютерные приложения могут посылать сообщения (называемые датаграммами) другим хостам по IP-сети без необходимости предварительного сообщения для установки специальных каналов передачи или путей данных. UDP использует простую модель передачи, без неявных «рукопожатий» для обеспечения надёжности, упорядочивания или целостности данных. UDP предоставляет ненадёжный сервис, и датаграммы могут прийти не по порядку, дублироваться или вовсе исчезнуть без следа. UDP подразумевает, что проверка ошибок и исправление либо не нужны, либо должны исполняться в приложении.
Пакет FireWall решает эту проблему созданием контекста соединений поверх UDP-сессий, запоминая параметры запросов. Пропускаются назад только
ответы внешних серверов на высланные запросы, которые однозначно отлича-
ются от любых других UDP-пакетов (незаконных запросов), поскольку их пара-
метры хранятся в памяти FireWall.
Подобные механизмы задействуются для приложений, использующих RPC, и для FTP-сеансов.
RPC (Remote Procedure Call) – вызов удаленных процедур: протокол, являющийся частью стандарта DCE, – основа построения распределённых приложений. Позволяет приложениям вызывать процедуры, физически расположенные в другой части сети. Механизм RPC скрывает от программиста детали сетевых протоколов нижележащих уровней. RPC использует синхронный механизм взаимодействия: запрашивающее приложение выдаёт запрос и ждёт ответа. На время ожидания приложение оказывается заблокированным. В связи с этим применение RPC представляется целесообразным в локальных сетях, где время ответа обычно не очень велико.
Это удаленный вызов процедуры (средство передачи сообщений, которое позволяет распределенному приложению вызывать сервис различных компьютеров в сети; обеспечивает процедурно-ориентированный подход в работе с сетью; применяется в распределенных объектных технологиях, таких как, DCOM, CORBA, Java RMI). Это процедура дистанционного вызова.
Вопросы, связанные с динамическим выделением портов для сеансов связи, FireWall отслеживает, запоминая необходимую инфор-
мацию при запросах на такие сеансы и обеспечивая только «законный»
обмен данными.
Для ограничение доступа в WWW серверах применяются два основ-
ных способа:
–ограничить доступ по IP адресам клиентских машин;
–ввести идентификатор получателя с паролем для данного вида документов.
****************************************************************
ЛЕКЦИЯ |
11 |
. |
МНОГОУРОВНЕВАЯ |
ЗАЩИТА |
КОРПОРАТИВНЫХ СЕТЕЙ
Типовые атаки на интрасети и направления защиты. Модели многозвенной и многоуровневой защиты. Реализации многоуровневой комплексной защиты. Высокопроизводительные корпоративные сети с многоуровневой коммутацией. Защита информации в базах данных.
(Сост. Никонов А.В.)
ЭЛЕКТРОННЫЙ ВАРИАНТ КУРСА ЛЕКЦИЙ
https://yadi.sk/d/NzaPS2X_aVcC5
Слово «корпорация» происходит от «corporatio» – объединение, и к корпоративным сетям относят те, которые используются как объединение отдельных ло-
кальных сетей, обычно в составе какой-либо организации (ведомственные или офисные сети). Иногда их называют кампусными сетями (университетская сеть) – Campus Area Network (CAN), подразумевая объединённые локальные сети близко расположенных зданий.
Для корпоративных сетей наиболее часто используют термин «интрасе-
ти, интранет». Интранет (англ. Intranet) – в отличие от сети Интернет, это
внутренняя частная сеть организации.
Как правило, интранет – это Интернет в миниатюре, который построен на
использовании протокола IP для обмена и совместного использования
некоторой части информации внутри этой организации. Чаще всего под этим
термином имеют в виду только видимую часть интранет – внутренний веб-сайт организации.
Основанный на базовых протоколах HTTP и HTTPS и организованный по принципу клиентсервер, интранет-сайт доступен с любого компьютера через браузер. Таким образом, интранет – это «частный» Интернет, ограниченный виртуальным пространством отдельно взятой организации. Intranet допускает использование публичных каналов связи, входящих в Internet, (VPN), но при этом обеспечивается защита передаваемых данных и меры по пресечению проникновения извне на корпоративные узлы.
Приложения в intranet основаны на применении Internet-технологий и в особенности Webтехнологии: гипертекст в формате HTML, протокол передачи гипертекста HTTP и интерфейс серверных приложений CGI. Составными частями Intranet являются Web-серверы для статической или динамической публикации информации и браузеры для просмотра и интерпретации гипертек-
1
ста.
Выгода использования интранет: высокая производительность при совместной работе над общими проектами; лёгкий доступ персонала к данным; гибкий уровень взаимодействия (можно менять бизнес-схемы взаимодействия как по вертикали, так и по горизонтали). Мгновенная публикация данных на ресурсах интранет позволяет специфические корпоративные знания всегда поддерживать в форме и легко получать отовсюду в компании, используя технологии сети и гипермедиа. Например: служебные инструкции, внутренние правила, стандарты, службы рассылки новостей, и даже обучение на рабочем месте. Позволяет проводить в жизнь общую корпоративную культуру и использовать гибкость и универсальность современных информационных технологий для управления корпоративными работами.
КОРПОРАТИВНАЯ ИНФОРМАЦИОННАЯ СИСТЕМА – это ин-
формационная система, участниками которой может быть ограничен-
ный круг лиц, определенный её владельцем или соглашением участников этой
информационной системы.
При наличии InterNet сливаются понятия компьютерной безопасности и безопасности сетей. Внутренние сети организаций – сети ИНТРАНЕТ (intranet), или сети на уровне организаций, – называются корпоративными сетями и ис-
пользуют программные средства, основанные на семействе протоколов TCP/IP, но предназначены только для внутреннего пользования.
Семейство протоколов TCP/IP было разработано по инициативе Министерства обороны США и было продемонстрировано в действии в составе сети ArpaNet в 1972 г.
Под ЭКСТРАНЕТ-СЕТЯМИ понимают интранет-сети, подключён-
ные к InterNet, но санкционирующие доступ к ресурсам интранет-
сети только определённой категории пользователей, наделённой соот-
ветствующими полномочиями [17], рисунок 11.1. При рассмотрении средств защиты для этих сетей не важно, используются ли в них Web-технологии.
2
Рисунок 11.1 – Современная корпоративная сеть
Уровневая структура семейства протоколов TCP/IP привела к по-
явлению в 1984 г. модели компьютерной сети под названием OSI (Open Systems Interconnection) – модель ОТКРЫТЫХ СЕТЕВЫХ ПОДКЛЮЧЕНИЙ, рисунок 11.2.
По уровням структуры стеков протоколов TCP/IP наблюдаются несанкционированные проникновения в сеть организации.
Повсеместное распространение InterNet привело к тому, что сете-
вой стек протоколов TCP/IP стал практически основным при организа-
ции сетевого взаимодействия. Технология этого стека оказалась настолько удобной, что она стала использоваться не только для работы в InterNet,
но и при организации работы в корпоративных сетях.
Поэтому, все корпоративные и ведомственные сети (а также пред-
приятия) используют технологию INTRANET: технология создания кор-
поративной локальной сети ПОВЫШЕННОЙ НАДЁЖНОСТИ с ограничен-
ным доступом, использующей сетевые стандарты и сетевые про- граммно-аппаратные средства, аналогичные Internet.
3
Модель |
Модель |
|
TCP/IP |
OSI |
|
|
Прикладной |
|
|
(Application) |
|
Прикладной |
Представительный |
|
(Application) |
||
(Presentation) |
||
|
||
|
Сеансовый |
|
|
(Session) |
|
Транспортный |
Транспортный |
|
(Transport) |
||
(Transport) |
||
|
||
Сетевой |
Сетевой |
|
(InterNetwork) |
||
(Network) |
||
|
||
Сетевой интерфейс |
Канальный |
|
(Data link) |
||
(Data link) |
||
|
||
Физический |
Физический |
|
(Physical) |
||
(Physical) |
||
|
Рисунок 11.2 – Уровневые структуры стеков протоколов TCP/IP и по мо-
дели OSI
Типичные виды угроз в корпоративных сетях – это:
а) ОЗНАКОМЛЕНИЕ с конфиденциальной информацией (хотя физически
информация остаётся на месте);
б) ПОДМЕНА ИНФОРМАЦИИ (что можно сделать на значительном уда-
лении от места хранения документа);
в) РАЗРУШИТЕЛЬНЫЕ ДЕЙСТВИЯ (от форматирования HDD до
отказа обслуживания, когда сеть отчуждается от внешнего мира).
Всё это ведёт к значительным финансовым потерям организации или раскрытию ведомственных секретов.
11.1 Типовые атаки на интрасети и направления защиты
Принципиальным отличием атак, осуществляемых в компьютерных сетях, является фактор расстояния злоумышленника от объекта атаки. Такие атаки называют удалёнными атаками. Выделяют следующие классы типовых удалённых атак, осу-
4