Мельников Д. А. - Организация и обеспечение безопасности информационно-технологических сетей и систем - 2012
.pdf352 |
Глава 20. Основные угрозы информационной безопасности в ИТс |
протокольного сообщения этого уровня, передаваемого по виртуальному соединению, а также выбирает способ обна ружения «повреждённых» отдельных полей вследствие их модификации, ложной вставки, ложного удаления или по вторной передачи;
-целостность информационного обмена без установления со единения (connectionless integrity). Если эта услуга предос тавляется на л-ом уровне архитектуры ЭМВОС, то она обес печивает гарантированную целостность при запросе субъек та (п+1)-го уровня. Кроме того, данная услуга обеспечивает целостность одиночной дейтаграммы (дейтаграммный ре жим доставки сообщений), а также может выбирать способ обнаружения модификации принятой дейтаграммы. Более того, она может выбрать способ (но не любой среди всех воз можных) обнаружения повторной передачи дейтаграммы;
-целостность отдельных полей при организации информаци онного обмена без установления соединения (selective field connectionless integrity). Эта услуга обеспечивает целостность отдельных полей одиночной дейтаграммы (дейтаграммный режим доставки сообщений), а также может выбирать способ обнаружения модификации отдельных полей;
•неотказуемость (non-repudiation). Эта услуга может быть двух видов:
-защита от ложного отказа источника (non-repudiation with proof of origin). Эта услуга защищает получателя данных от любой попытки отправителя умышленно отказаться от пе редачи этих данных или их компонентов;
-защита от ложного отказа получателя (non-repudiation with proof delivery). Эта услуга защищает отправителя данных от любой попытки получателя умышленно отказаться от по лучения этих данных или их компонентов.
Архитектура безопасности ЭМВОС включает следующие спо собы обеспечения безопасности:
вшифрование (encipherment). С помощью шифрования можно обеспечить конфиденциальность данных или информации о потоке трафика. Кроме этого шифрование может использо ваться и в других способах обеспечения ИБ;
вэлектронная цифровая подпись (ЭЦП). Применение ЭЦП предусматривает реализацию двух процедур:
-собственно процедура формирования ЭЦП (подписывание электронного сообщения). В этой процедуре используется информация, которая секретна (т.е. уникальна или конфи денциальна) с точки зрения субъекта - автора подписи. Формирование ЭЦП предусматривает либо шифрование
раздел III. |
353 |
сообщения, либо вычисление криптографической прове рочной суммы сообщения, используя для этого секретную информацию автора подписи в качестве секретного ключа;
-процедура проверки подписанного электронного сообще ния. В этой процедуре используются дополнительные про цедуры и информация, которые являются общеизвестными, но из которых нельзя получить секретную информацию ав
тора подписи.
Основным свойством ЭЦП является то, что подпись может быть сформирована только на основе использования секретной информа ции автора ЭЦП. Таким образом, после проверки ЭЦП, она в после дующем (причём в любой момент времени) может быть удостоверена доверенной третьей стороной (например, судьёй или третейским судь ёй), т.е. последняя может доказать то, что только владелец уникальной секретной информации мог сформировать (быть автором) ЭЦП;
оуправление доступом. При управлении доступом могут ис пользоваться, либо аутентификация личности субъекта, либо информация о субъекте (например, принадлежность к извест ной группе субъектов), либо мандат доступа с целью опреде ления и реализации прав доступа субъекта. Если же субъект пытается использовать неавторизованный ресурс или автори зованный ресурс недозволенным способом, то функция управления доступа будет блокировать попытку и дополни тельно может оповещать об инциденте с целью включения сигнала тревоги и/ или записи об инциденте в исходные дан ные для проведения аудита СОИБ. При передаче данных в дейтаграммном режиме любое оповещение передающей сто роны об отказе ей в доступе может быть объяснено только как обман средств управления доступом источником данных.
Способы управления доступом могут быть реализованы с по мощью соответствующих средств защиты (средств управления дос тупом), размещаемых на одной (или обеих) стороне виртуального соединения и/ или в любой промежуточной точке;
•целостность данных. Существуют два вида услуг по обеспече нию целостности данных:
-целостность одного сообщения или поля данных;
-целостность потока сообщений или полей данных.
Вобщем, для реализации этих двух видов услуг используются разные способы обеспечения целостности, хотя реализация второй без реализации первой бессмысленна. Обеспечение целостности одиночного сообщения или поля предполагает два процесса, один из которых осуществляется отправителем, а другой - получателем:
0отправитель присоединяет к сообщению параметр, который является функцией самого сообщения. Этот параметр может
354 |
Глава 20. Основныеугрозы информационной безопасности в ИТС |
быть дополнительной информацией (например, блочный проверочный код или криптографической проверочной сум мой), которая сама может быть зашифрована;
ополучатель формирует соответствующий параметр и сравни вает его с полученным параметром с цель установления факта модификации сообщения в процессе передачи.
При использовании только одного такого способа невозможно обеспечить защиту от атак типа «Повторная передача сообщения». На соответствующих уровнях архитектуры ЭМВОС обнаружение манипуляции с данными может привести к процедуре восстановле ния (например, с помощью повторной передачи или исправления ошибки) на этом или более высоком уровне.
При доставке данных в режиме виртуального соединения обес печение целостности последовательности сообщений (т.е. защита про тив нарушения порядка следования, потери, повторной передачи и вставки или модификации сообщений) требует применения дополни тельного способа точного соблюдения порядка следования сообще ний, например, последовательной нумерации сообщений, включения
вних меток времени или их криптографической «связки».
Вдейтаграммном режиме доставки сообщений для защиты от некоторых подвидов атак типа «Повторная передача сообщения» может использоваться процедура включения в сообщения меток времени;
вобмен аутентификационной информацией. Средства защиты, реализующие данный способ, могут встраиваться на л-ом уровне архитектуры ЭМВОС с целью обеспечения аутентифи кации взаимодействующего субъекта. Если средство аутенти фикации субъекта не аутентифицировало последнего, то это приводит к удалению или прерыванию соединения и может повлечь за собой оповещение администрации СОИБ об инци
денте и/или дополнение исходных данных для проведения аудита СОИБ записью о произошедшем инциденте.
Этот способ обеспечения ИБ может основываться на использо вании:
оаутентификационной информации (например, пароли), кото рая передаётся отправителем и проверяется получателем;
в криптографических алгоритмов;
®особенностей и/или собственности субъекта;
озаполнение трафика. Средства защиты, реализующие запол нение трафика могут использоваться для обеспечения различ ных уровней защиты от анализа трафика. Этот способ может быть эффективным только тогда, когда заполнение трафика защищено с помощью услуги конфиденциальности;
раздел III. |
355 |
®управление маршрутизацией. Маршруты доставки, либо мо гут выбираться динамически, либо могут быть заранее спла
нированы с учётом использования только защищённых подсе тей, ретрансляционных участков или каналов/линий связи. Оконечные (прикладные) системы в целях выявления посто
янных атак, связанных с манипуляцией данными, могут затребовать от провайдера сетевых услуг формирование соединения с использо ванием различных маршрутов.
Маркеры безопасности для обеспечения надёжной доставки данных могут быть запрещены в соответствие с политикой безопас ности при передаче таких данных через надёжные подсети, ретрансляционные участки или каналы/линии связи. Кроме этого, инициатор соединения (или отправитель, в случае дейтаграммного режима доставки) может заявить протест относительно предостав ляемых маршрутов доставки и при этом запросить, чтобы опреде ленные подсети, ретрансляционные участки или каналы/линии связи были исключены из маршрутов доставки;
внотаризация (нотариальное заверение). Свойства (такие как целостность, авторство, время и получатель) данных, которые циркулируют между двумя или более субъектами, могут быть гарантированы с помощью нотариального заверения. Гаран тии предоставляются нотариусом, выступающим в роли ДТС, которому доверяют взаимодействующие субъекты и который хранит необходимую информацию для подтверждения вос требованной гарантии путём свидетельствования. Каждая сто рона информационного обмена может использовать средства ЭЦП, шифрования и защиты целостности как соответствую щие услуги, предоставляемые нотариусом. При запросе нота риального заверения данные циркулируют между взаимодей ствующими субъектами, с использованием защищённого со единения, и нотариусом.
Кобщесистемным способам обеспечения ИБ (т.е. независимым от архитектуры ЭМВОС) относятся:
•надёжность (гарантированность) функционирования. Обеспечение надёжности функционирования используется, в первую оче редь, для корректной реализации других способов обеспече ния ИБ в средствах защиты. Любая процедура, напрямую обеспечивающая реализацию способа безопасности или дос туп к услуге по обеспечению безопасности, должна заслужи вать доверия;
0использование маркеров безопасности. Ресурсы, включая собст венно данные, могут иметь маркеры безопасности, непосред ственно связанные с ними, например, для указания критично-
356 |
Глава 20. Основныеугрозы информационной безопасности в ИТС |
сти уровня. Маркеры безопасности могут представлять собой дополнительные данные, которые связаны с транслируемыми данными. Соответствующие маркеры безопасности должны быть чётко идентифицируемыми, чтобы они могли быть кор ректно проверены. Кроме того, они должны быть отделены (иметь границу) от данных, с которыми они связаны;
вобнаружение событий, влияющих на безопасность;
внакопление и использование исходных данных для аудита безопасности;
ввосстановление безопасности. Этот способ связан с запросами средств защиты, реализующих другие способы безопасности, на выполнение процедур восстановления на основе принятых правил.
На рис. 20.5 представлена таблица, иллюстрирующая связи
между услугами и способами обеспечения безопасности.
С п о с о б
У с л у г а
Аутентификация взаимодействующего субъекта
Аутентификация источника данных
Управление доступом
Конфиденциальность виртуального соединения
Конфиденциальность информационного обмена без установления соединения
Конфиденциальность отдельных полей
Конфиденциальность потока трафика
Целостность соединения с последующим восстановлением
Целостность соединения без последующего восстановления
Целостность отдельных полей при организации виртуального соединения
Целостность информационного обмена без установления соединения
Целостность отдельных полей при организации информационного обмена без установления соединения
Защита от ложного отказа источника
Шифрование |
с |
Управление |
доступом |
Целостность |
данных |
Обмен |
нтификационноауте й |
информацией |
Заполнениетрафика |
Управление |
маршрутизацией |
Нотариальное |
заверение |
|
я |
|
|
|
|
|
|
|
|
|
|
|
|
V'
/S
|
|
|
|
/ |
|
|
/ |
/ |
|
|
/ |
/ |
|
|
|
/ |
|
|
/ |
/ |
|
/ |
|
/ |
|
/ |
|
Y |
|
/ |
|
S |
S |
/ |
|
/ |
/ |
/ |
|
|
/ |
/ |
/ |
Защита от ложного отказа получателя |
7\ |
Рис. 20.5. Связи между услугами и способами обеспечения ИБ ИТС
раздел III. |
357 |
Архитектура безопасности ЭМВОС1 содержит следующие
принципы распределения услуг и способов обеспечения ИБ по уровням:
околичество альтернативных вариантов реализации услуги должно быть минимальным;
одопускается создание защищённых систем путём встраивания услуг по обеспечению безопасности в архитектуру ЭМВОС на нескольких уровнях;
~У р о в е н ь а р х и те кту р ы
|
" ---------Э М В О С |
1 |
2 |
3 |
4 |
5 |
6 |
7 1 |
У с л у г а |
— -— _ _ _ _ |
|
|
|
|
|
|
|
Аутентификация взаимодействующего субъекта |
|
|
У |
У |
|
|
У |
|
Аутентификация источника данных |
|
|
У |
У |
|
|
У |
|
|
Управление доступом |
|
|
У |
У |
|
|
У |
Конфиденциальность виртуального соединения |
У' |
У |
У |
у |
|
У |
У |
|
Конфиденциальность информационного обмена |
|
У |
У |
У |
|
У |
У |
|
|
без установления соединения |
|
|
|||||
|
|
|
|
|
|
|
|
|
Конфиденциальность отдельных полей |
|
|
|
|
|
У |
У |
|
Конфиденциальность потока трафика |
У |
|
У |
|
|
|
У |
|
Целостность соединения с последующим |
|
|
|
У |
|
|
У |
|
|
восстановлением |
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
Целостность соединения без последующего |
|
|
У |
У |
|
|
У |
|
|
восстановления |
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
Целостность отдельных полей при организации |
|
|
|
|
|
|
У |
|
|
виртуального соединения |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Целостность информационного обмена без |
|
|
У |
У |
|
|
У |
|
|
установления соединения |
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
Целостность отдельных полей при организации |
|
|
|
|
|
|
У |
|
информационного обмена без установления соединения |
|
|
|
|
|
|
||
|
|
|
|
|
|
|
||
Защита от ложного отказа источника |
|
|
|
|
|
|
У |
|
Защита от ложного отказа получателя |
|
|
|
|
|
|
У |
|
Рис. 20.6. Распределение услуг безопасности по уровням
архитектуры ЭМВОС (архитектура безопасности ЭМВОС)
вцелесообразно, чтобы дополнительные функции, востребо ванные СОИБ, без необходимости не дублировали сущест вующие функции ЭМВОС;
•любые возможные нарушения функциональной независимо сти уровня ЭМВОС должны быть исключены;
•количество реализуемых надёжных функций должно быть минимальным;
1 Рекомендация IT U -T Х.800 предусматривает, что все открытые си стем ы
имеют оконечные системы, включающие семь уровней архитектуры, и промежуточные системы (например, узлы коммутации).
358Глава 20. Основные угрозы информационной безопасности в ИТС
ов тех случаях, когда субъект зависит от способа обеспечения ИБ, реализуемого средством защиты, которое встроено субъек том на нижнем уровне архитектуры, любые промежуточные уровни должны функционировать таким образом, чтобы вся кое нарушение безопасности исключалось;
втам, где это возможно, дополнительные функции безопасно сти, реализуемые на конкретном уровне архитектуры, должны быть определены (описаны) таким образом, чтобы это не по мешало их внедрению в форме независимых и самостоятель ных модулей.
Рис. 20.7. Распределение способов обеспечения безопасности
по уровням ЭМВОС
Кроме того, архитектура ЭМВОС включает модель запроса, управления и использования защищенных услуг информационного взаимодействия, которая состоит из описания:
вособенностей защиты взаимодействующих процессов;
вусловий применения услуг безопасности;
вфункционирования защищенного информационного обмена в режиме с установлением соединения;
офункционирования защищенного информационного обмена в режиме без установления соединения;
На рис. 20.6 и рис. 20.7 представлены распределение услуг и способов безопасности по уровням архитектуры ЭМВОС (архитек тура безопасности ЭМВОС).
Глава 21. Принципы архитектуры безопасности в Internet
На сегодняшний день архитектура безопасности Internet до кон ца не определена и тем более не стандартизирована. Существует ряд моделей безопасности в ИТС. Однако модель безопасности ЭМВОС не приемлема для Internet-сетей (RFC-791, RFC-1349, RFC-1958), так как их архитектуры отличаются количеством уровней (ЭМВОС - 7, a Inter net - 5, см. рис. 4.1 и рис. 8.2), тем не менее, услуги и способы обес печения безопасности, определённые в архитектуре безопасности ЭМВОС, аналогичны тем, которые используются в различных вари антах архитектуры безопасности Internet. Поэтому для Internet наи более приемлемыми моделями безопасности являются модели Ме ждународной организации по стандартизации (ISO), министерства обороны США (DOD) и собственно рабочей группы по безопасно сти IETF (IRTF) Internet.
Всоответствии с идеологией сетевой безопасности Internet услу ги по обеспечению безопасности распределены следующим образом (рис. 21.1).
21.1.Принципы архитектуры безопасности ISO
Вмеждународном стандарте ISO 7498-2 предложены следую щие семь принципов архитектуры безопасности:
1) тот или иной способ обеспечения безопасности должен ис пользоваться только на одном из уровней архитектуры сети (повторное его применение не желательно);
2) допускается использование того или иного способа обеспече ния безопасности на двух и более уровнях архитектуры сети. Очевидно, что данное утверждение входит в противоречие с первым принципом;
3) способы обеспечения безопасности не должны дублировать способы обеспечения информационного обмена, предусмот ренные архитектурой защищаемой сети. Если способ преду сматривает, например использование последовательных номе ров сообщений или защиту от ошибок, то тогда эти способы должны быть направлены только на обеспечение безопасно сти, а не на повторение базовых способов, в соответствующих способах обеспечения информационного обмена;
360 |
Глава 21. Принципы архитектуры безопасности в Internet |
|
У р ове н ь архитектуры |
|
|
|
|
|
|
Internet |
1 |
2 |
3 |
4 |
5 |
У с л у г а |
~ |
|
|
|
|
|
Аутентификация и авторизация |
|
|
|
взаимодействующего субъекта |
|
|
|
|
|
|
|
Аутентификация источника данных |
|
|
V" |
Управление доступом |
|
|
|
Конфиденциальность виртуального |
|
|
|
соединения |
|
|
|
|
|
|
|
Конфиденциальность информационного |
|
S |
|
обмена без установления соединения |
|
||
|
|
|
У
У
У
У
У
Конфиденциальность отдельных полей |
|
|
|
У |
Конфиденциальность потока трафика |
|
/ |
|
/ |
Целостность виртуального соединения |
|
|
S |
/ |
Целостность информационного обмена |
|
|
|
/ |
Без установления соединения |
|
|
|
|
|
|
|
|
|
Целостность отдельных полей при |
|
|
|
/ |
организации информационного обмена |
|
|
|
|
|
|
|
|
|
Защита от ложного отказа источника |
|
|
|
/ |
Защита от ложного отказа получателя |
|
|
|
/ |
Рис. 21.1. Распределение услуг безопасности по уровням архитектуры
Internet (архитектура безопасности Internet)
4)независимость уровней архитектуры защищаемой сети не должна нарушаться из-за реализации в последней различных способов обеспечения безопасности. Необходимость соблюде ния этого принципа очевидна. Но это не означает, что способ обеспечения безопасности на одном из уровней архитектуры сети не может учитывать функционирование другого способа обеспечения безопасности близлежащего (или иного) уровня. Однако это взаимодействие должно быть прозрачным и осно вываться на использовании стандартных интерфейсов;
5)используемый способ обеспечения безопасности должен быть реализован минимальным количеством средств безопасности. Следствием этого принципа является то, что способы обеспе чения безопасности должны размещаться на более высоких уровнях архитектуры сети с целью концентрации средств безопасности в оконечных точках сквозного (end-to-end) со единения, по которому осуществляется информационный об
раздел III. |
361 |
мен между терминалами пользователей. Другими словами, нельзя доверять средствам безопасности промежуточных уча стников сеанса связи;
6)если способ (средство) обеспечения безопасности одного уров ня архитектуры сети взаимодействует со способом (средством) обеспечения безопасности другого уровня, то должно быть ис ключено влияние со стороны других процессов системы на это взаимодействие;
7)внедрение способов (средств) обеспечения безопасности на од ном из уровней архитектуры сети не должно препятствовать возможному усовершенствованию базовых способов (средств) обеспечения информационного взаимодействия оконечных цользователей. Данный принцип призван упростить разработку и реализацию новых протоколов и интерфейсов информацион ного обмена взаимодействия, что особенно важно в Internet.
21.2. Принципы архитектуры безопасности DOD
Концептуальные взгляды (парадигма1) DOD на обеспечение безопасности ИТС зиждутся на трех основных идеях:
1)обеспечение конфиденциальности - это основной способ обеспечения сетевой безопасности;
2)обеспечение максимально высокой степени безопасности;
3)«компьютерам, в принципе, доверять нельзя».
Архитектура безопасности, предложенная DOD, ведет свое происхождение от совокупности ТСР/ IP-протоколов, которая со ставляет основу Internet. DOD первоначально была разработана концепция безопасности, которая, в свою очередь, оказала большое влияние на последующую разработку архитектуры безопасности ИТС. В целом архитектура безопасности DOD неприемлема для со временной Internet-сети, как открытой системы, однако, многие из её принципов могут быть использованы. Основные принципы архи тектуры безопасности DOD следующие:
•минимум привилегий («каждый знает только то, что ему по ложено»). Он заключается в том, что только те элементы ИТС, которые имеют законные основания для обработки данных,
1Парадигма (от греч. paradeigma - пример, образец), в философии, социо логии - исходная концептуальная схема, модель постановки проблем и их решения, методов исследования, господствующих в течение определенно го исторического периода в научном сообществе. Смена парадигм пред ставляет собой научную революцию.