Існує ряд програмних засобів, призначених для контролю кореспонденції на поштових серверах на предмет наявності в ній вірусів у процесі прийому й пересилання електронної пошти.
Принцип її роботи полягає в тому, що вся пошта, що проходить через сервер, спочатку перенаправляється спеціальному користувачу, у ролі якого виступає антивірусний процес. Він сканує зміст кожного аркуша на наявність у ньому фрагментів відомих вірусів. Якщо аркуш містить щось схоже на вірус, воно вилучається із процесу передачі й, залежно від настроювань антивірусу, піддається заданій обробці. Повідомлення про виявлений вірус відсилаються відправнику й одержувачу інфікованого аркушу, а також на ім’я зазначених адміністраторів системи. Після перевірки аркуші, що невикликають підозри, відсилаються за призначенням.
Тим самим на рівні поштового сервера ставиться надійний захист відомим вірусам у електронній пошті. Через те, що антивірусна програма розпізнає тільки віруси, сигнатури яких перебувають у її базі даних, необхідно регулярно обновляти антивірусну базу даних з офіційного сайта. Інакше мережа може стати вразливою для знову створених вірусів.
Log-сервер.
Загальновідомий механізм протоколювання системних подій на серверах і клієнтських робочих станціях. Розроблювачі програмного забезпечення включають у свої продукти фрагменти коду, які на ту або іншу подію генерують відповідні текстові повідомлення, що посилають операційній системі. Система збирає дані повідомлення в log-файлах, які потім можуть аналізуватися адміністратором або користувачем з метою з’ясування, які події відбувалися в системі деякий час потому. Це дозволяє, наприклад, з’ясувати, чому не запускається та або інша програма, або чому припинив функціонувати певний сервіс. Дуже корисні log-файли для пошуку слідів зламу системи й відвідування її несанкціонованими гостями. Через те, що злом, як правило, супроводжується множиною заборонених дій, це породжує велику кількість системних повідомлень, що осідають в log-файлах [23; 26; 43]. Із цієї причини противник завжди прагне стерти сліди своєї присутності, або видаливши log-файли, або їх підчистивши. В обох випадках адміністратору після цього буде важко зрозуміти, що ж відбулося в системі насправді – яким чином у неї проникнули, як довго в ній перебували, ніж встигли покористуватися. Або навіть просто переконатися, що все добре.
Тому обов’язковою умовою для мережі, підключеної до Інтернету, є наявність у ній окремого log-сервера.
Принцип його роботи полягає в тому, що кожна операційна система може посилати повідомлення про системні події за UDP-протоколом на вилучений сервер. Це можуть робити також маршрутизатори й міжмережні екрани.
Збираючи такі повідомлення на спеціально виділеному сервері, забезпечується їм схоронність від рук противника. Тому для мінімізації ймовірності зламу log-сервер повинен бути призначений тільки для збору log-повідомлень. Він не повинен виконувати будь-яких інших функцій і виконувати інші мережні додатки, крім syslogd.
У цьому випадку після зламу будь-яких комп’ютерів мережі на logсервері залишаться відповідні повідомлення, знищити які противник уже не зможе. Таким чином, у результаті найбільш оптимальною є наступна схема підключення локальної мережі до Інтернет (рис. 11.7).
Таким чином, проведений аналіз способів захисту комп’ютерних мереж при підключені їх до глобальної мережі Інтернет показав, що для забезпечення захисту при обміні інформацією абоненти локальної мережі повинні використовувати принципи і засоби безпеки в комплексі з організаційними заходами.
Рис. 11.7. Схема з Log-сервером
Це дозволить надійно захистити від атак як активних, так і пасивних противників.
11.2. Захист інформації за допомогою міжмережних екранів
Серед програмно-апаратних і програмних засобів забезпечення автентичності, розподілених КМ, можна виділити міжмережеві екрани (ММЕ), засоби аналізу захищеності й засоби виявлення атак.
Міжмережеві екрани (брандмауери, firewall) реалізують набір правил, які визначають умови проходження пакетів даних з однієї частини розподіленої КМ (відкритої) в іншу (захищену). Залежно від рівня взаємодії об’єктів мережі основними різновидами ММЕ є фільтруючі
маршрутизатори, шлюзи сеансового й прикладного рівнів. Основною функцією фільтруючих маршрутизаторів, що працюють на мережному рівні еталонної моделі, є фільтрація пакетів даних, що входять у захищену частину мережі або вихідних з неї. Правила фільтрації визначають, дозволяється або блокується проходження через ММЕ пакета із правилами, що задаються цими параметрами.
До основних переваг фільтруючих маршрутизаторів відносяться простота їх створення, установка й конфігурування; прозорість для додатків користувачів КМ і мінімальний вплив на їх продуктивність; невисока вартість.
Недоліками фільтруючих маршрутизаторів є: відсутність автентификації на рівні користувачів КМ; уразливість для підміни IP-адреси в заголовку пакета;
незахищеність від погроз порушення конфіденційності й цілісності переданої інформації;
сильна залежність ефективності набору правил фільтрації від рівня знань адміністратора ММЕ конкретних протоколів;
відкритість IP-адрес комп’ютерів захищеної частини мережі.
Шлюзи сеансового рівня призначені для контролю віртуального з’єднання між робочою станцією захищеної частини мережі й хостом її незахищеної частини і трансляції IP-адрес комп’ютерів захищеної частини мережі.
У процесі виконуваного шлюзом сеансового рівня процедури трансляції IP-адрес відбувається їхнє перетворення в одну IP-адресу, асоційовану із ММЕ. Це виключає пряму взаємодію між хостами захищеної й відкритої мереж і не дозволяє порушнику здійснювати атаку шляхом підміни IP-адрес.
383
До переваг шлюзів сеансового рівня відносяться їх простота й надійність програмної реалізації. Недоліком є відсутність можливості перевіряти вміст переданої інформації. Це дозволяє порушнику намагатися передати пакети зі шкідливим програмним кодом і звернутися потім прямо до одного із серверів, що атакується КМ.
Шлюзи прикладного рівня не тільки виключають пряму взаємодію між уповноваженим користувачем із захищеної частини мережі й хостом з її відкритої частини, але й фільтрують усі вхідні й вихідні пакети даних на прикладному рівні (на основі аналізу змісту переданих даних).
Основні функції шлюзів прикладного рівня:
ідентифікація й автентификація користувача КМ при спробі встановити з’єднання;
перевірка цілісності переданих даних; розмежування доступу до ресурсів захищеної й відкритої частин
розподіленої КМ; фільтрація і перетворення переданих повідомлень (виявлення
шкідливого програмного коду, шифрування й розшифрування та ін.); реєстрація подій у спеціальному журналі; кешування запитуваних ззовні даних, розміщених на комп’ютерах
внутрішньої мережі (для підвищення продуктивності КМ). Перевагами шлюзів прикладного рівня також є:
прихованість структури захищеної частини мережі для інших хостів; надійна автентификація й реєстрація минаючих повідомлень; більш прості правила фільтрації пакетів на мережному рівні, відпо-
відно до яких маршрутизатор повинен пропускати тільки трафік, призначений для шлюзу прикладного рівня, і блокувати весь інший трафік;
можливість реалізації додаткових перевірок.
Основними недоліками шлюзів прикладного рівня є більш висока вартість, складність розробки, установки й конфігурування, зниження продуктивності КМ, "непрозорість" для додатків користувачів КМ.
Міжмережеві екрани є основою для створення віртуальних приватних мереж (Virtual Private Network, VPN), які призначені для приховання топології внутрішніх мереж організацій, що обмінюються інформацією з мережею Інтернет, і захисту трафіка між ними. При цьому використовуються спеціальні системи маршрутизації.
Загальним недоліком ММЕ будь-якого виду є те, що ці програмноапаратні засоби захисту в принципі не можуть запобігти багатьох видів
атак, наприклад, погрози несанкціонованого доступу до інформації з використанням неправильного сервера служби доменних імен мережі Інтернет, погрози аналізу мережного трафіка, погрози відмови в обслуговуванні. Порушнику реалізувати погрозу доступності інформації в КМ, що використовує ММЕ, може виявитися навіть простіше, тому що досить атакувати тільки хост із ММЕ для фактичного відключення від зовнішньої мережі всіх комп’ютерів захищеної частини мережі.
11.3.Захист інформації на мережному рівні
11.3.1.Протокол IPSec
Розглянемо протоколи мережевої безпеки IPSec, досліджуємо застосовувані механізми забезпечення цілісності, автентичності та конфіденційності даних.
Інтернет Protocol Security (IPSec) – це узгоджений набір відкритих стандартів, що має на сьогоднішній день конкретну специфікацію, який, в той же час, може бути доповнений новими протоколами, алгоритмами та функціями мережевої безпеки .
Основне призначення протоколів IPSec – забезпечення безпечної передачі даних IP-мережами. Їх застосування забезпечує:
цілісність, тобто здатність телекомунікаційної мережі забезпечувати передачу даних без спотворення, втрати або дублювання;
автентичність, тобто здатність телекомунікаційної мережі забезпечувати передачу даних з можливістю підтвердити їх достовір-ність, тобто дійсність того, що дані передані саме тим відправником, за кого він себе видає;
конфіденційність, тобто здатність телекомунікаційної мережі забезпечувати передачу даних у формі, що запобігає їх несанкціонованому перегляду.
Специфікація IP Security (відома сьогодні як IPSec) розробляється робочою групою IP Security Protocol IETF. Спочатку IPsec включав 3 алгоритмо-незалежні базові специфікації, опубліковані в якості RFCдокументів "Архітектура безпеки IP", " Автентифікований заголовок (AH)", "Інкапсуляція зашифрованих даних (ESP)" (RFC1825, 1826 і 1827). У листопаді 1998 року робоча група IP Security Protocol запропонувала нові версії цих специфікацій, що мають в даний час статус попередніх стандартів, це RFC2401 – RFC2412. Версії RFC1825-27 впродовж останніх декількох років вважаються застарілими і реально не викорис-
385
товуються. Робоча група IP Security Protocol розробляє також і протоколи управління ключовою інформацією. Завданнями цієї групи є розробка Інтернет Security Association and Key Management Protocol (ISAKMP),
протоколу управління ключами прикладного рівня, не залежного від використовуваних протоколів забезпечення безпеки.
Основними компонентами IPsec є:
RFC2402 "IP Authentication Header" (AH), призначений для контро-
лю цілісності та автентичності пакетів даних в IP-мережах;
RFC2406 "IP Encapsulation Security Payload" (ESP), призначений для забезпечення конфіденційності, контролю цілісності та автентичності пакетів даних у IP-мережах;
RFC2408 "Інтернет Security Association and Key Management Protocol"
(ISAKMP), призначений для забезпечення узгодження параметрів, створення, зміни, знищення контекстів захищених з’єднань (Security Association, SA) і управління ключами в IP-мережах;
RFC2409 "The Інтернет Key Exchange" (IKE), є подальшим розвит-
ком і адаптацією ISAKMP, призначений для роботи з протоколами IPSec. Ядро IPSec складають три протоколи (рис. 11.8): протокол автентичності (Authentication Header, AH), протокол шифрування
(Encapsulation Security Payload, ESP) і протокол обміну ключами (Інтер-
нет Key Exchange, IKE). Функції з підтримання захищеного каналу розподіляються між цими протоколами таким чином:
протокол AH забезпечує цілісність і автентичність даних;
протокол ESP шифрує дані, що передаються, гарантуючи конфіденційність, але він також може підтримувати автентифікацію та цілісність даних;
протокол IKE вирішує допоміжну задачу автоматичного надання секретних ключів, необхідних для роботи протоколів автентифікації і шифрування даних.
Можливості протоколів AH і ESP частково перекриваються. Протокол AH відповідає тільки за контроль цілісності і автентифікації даних, в той час, як протокол ESP дозволяє шифрувати дані, та виконувати функції протоколу AH (в обмеженому вигляді). Для забезпечення цілісності та автентифікації пакетів даних використовуються спеціальні механізми контролю цілісності та автентичності, які засновані присвоєнням у дані, що передаються спеціально сформованої надмірності (коди контролю цілісності та автентичності).
Для забезпечення ефективного функціонування протоколів AH і ESP використовується протокол IKE, який встановлює між двома кінцевими точками логічне з’єднання, яке в IPSec носить назву "безпечна асоціація" (Security Association, SA) .
Internet Key Exchange, IKE
управління автентифікацією партнерів зі взаємодії, узгодження політики захисту і вибору ключового
матеріалу для протоколів AH і ESP
IP Security Architecture,
IPSec
Authentication |
|
Encapsulated |
Header, AH |
|
Secure |
|
|
Payload, ESP |
Забезпечення |
|
Шифрування |
цілісності IP- |
|
вмісту IP-пакетів |
пакетів |
|
|
|
|
|
Рис. 11.8. Основні компоненти протоколу мережевої безпеки IPSec
Встановлення SA починається з взаємної автентифікації сторін. Обрані далі параметри SA визначають, який з двох протоколів, AH чи ESP, застосовується для захисту даних, які функції виконує протокол захисту: наприклад, тільки автентифікацію та перевірку цілісності або, крім того, ще й захист від помилкового відтворення.
Протоколи AH і ESP забезпечують захист даних у двох режимах: транспортному і тунельний (рис. 11.9, 11.10).
У транспортному режимі (рис. 11.9) передача IP-пакета виконується за допомогою оригінального заголовка цього пакета даних. Перевагою такого режиму є істотно менші обчислювальні та комунікаційні витрати. В той же час, з точки зору забезпечення безпеки телекомунікаційної мережі, для транспортного режиму функціонування протоколів AH і ESP притаманні такі недоліки: протокол ESP в транспортному режимі не захищає
заголовок пакета даних; неможливо приховати топологію мережі, оскільки заголовки пакетів даних передаються у відкритому (не захищеному ) вигляді.
Рис. 11.9. Схема захисту пакета даних у транспортному режимі
функціонування протоколів AH і ESP
У тунельному режимі (рис. 11.10) вихідний IP-пакет поміщається в новий, після чого здійснюється передача даних мережою виконується на підставі заголовка нового IP-пакета.
Рис. 11.10. Схема захисту пакета даних у тунельному режимі
функціонування протоколів AH і ESP
Цей режим забезпечує захист заголовка пакета даних, у результаті чого ховається топологія мережі, що є безумовною перевагою при побудові захищених телекомунікаційних систем і мереж. У тож же час
реалізація тунельного режиму вимагає великих обчислювальних і комунікаційних ресурсів.
Застосування того чи іншого режиму залежить від вимог, що висуваються до захисту даних, а також від ролі, яку відіграє в мережі вузол, завершальний захищений канал. Так, вузол може бути хостом (кінцевим вузлом) або шлюзом (проміжним вузлом). Відповідно, є три схеми застосування IPSec: "хост-хост", "шлюз-шлюз" і "хост-шлюз".
У першій схемі захищений канал (безпечна асоціація, SA), встановлюється між двома кінцевими вузлами телекомунікаційної мережі (рис. 11.11). Протокол IPSec в цьому випадку працює на кінцевому вузлі і захищає дані, що надходять на нього. Для схеми "хост-хост" найчастіше використовується транспортний режим захисту, хоча дозволяється і тунельний.
Рис. 11.11. Схема організації захищеного каналу "хост-хост"
Рис. 11.12. Схема організації захищеного каналу "шлюз-шлюз"
Рис. 11.13. Схема організації захищеного каналу "хост-шлюз"
з додатковим каналом "хост-хост"
Відповідно до другої схеми (рис. 11.12), захищений канал встановлюється між двома проміжними вузлами, так званими шлюзами безпеки (Security Gateway, SG), на кожному з яких працює протокол IPSec. Захищений обмін даними може відбуватися між будь-якими двома кінцевими вузлами, підключеними до мереж, які розташовані позаду шлюзів безпеки. Від кінцевих вузлів підтримка протоколу IPSec не потрібна, вони передають свій трафік у незахищеному вигляді через мережу Intranet, яка заслуговує довіри підприємств. Трафік, що направляється в загальнодоступну мережу, проходить через шлюз безпеки, який і забезпечує його захист за допомогою IPSec, діючи від свого імені. Шлюзи можуть використовувати тільки тунельний режим роботи.
Схема "хост-шлюз" (див. рис. 11.13) часто застосовується при віддаленому доступі. Тут захищений канал організується між віддаленим хостом, на якому працює IPSec, і шлюзом, який захищає трафік для всіх хостів, що входять в мережу Intrenet організації. Віддалений хост може використовувати при відправці пакетів шлюзу як транспортний, так і тунельний режим, в свою чергу шлюз відправляє пакет хосту тільки в тунельному режимі. Цю схему можна ускладнити, створивши паралельно ще один захищений канал – між віддаленим хостом і яким-небудь хостом, що належить внутрішній мережі, який захищається шлюзом. Таке комбіноване використання двох SA дозволяє надійно захистити трафік і у внутрішній мережі.
Розглянемо реалізацію захисту пакетів даних з використанням протоколів AH і ESP в IP-мережах.
390
