Мельников Д. А. - Организация и обеспечение безопасности информационно-технологических сетей и систем - 2012
.pdf362 |
Гла ва 21 . П ринципы архит ект уры безопасност и в Internet |
должны иметь доступ к этим данным. Этот принцип миними зирует зависимость от промежуточных сетевых компонентов, а поэтому уменьшает количество зон возможной компромета ции данных пользователя. Это позволяет защитить данные, передаваемые между оконечными системами, таким(и) способом(ами), который(е) независим(ы) от сетевых технологий, ис пользуемых в промежуточных подсетях, и на который(е) не могут повлиять промежуточные системы (например, маршру тизаторы);
вразработка секретных (защищенных) операционных систем, действующих как системы проверки полномочий (reference monitors). Такие системы должны, с одной стороны, обеспечи вать все обращения субъектов к ресурсам, которые они защи щают, а с другой, - защищать последние от несанкциониро ванного доступа субъектов;
вприоритетность конфиденциальности. Цель информационной безопасности - обеспечение конфиденциальности информа ции, что предусматривает значительное снижение роли других способов (например, обеспечение целостности данных);
©гарантированность обеспечения безопасности, а не возмож ность обеспечения безопасности. Этот принцип распространя
ется на средства обеспечения информационной безопасности. Аппаратные средства (hardware) представляют собой специ альное (тщательно разработанное) оборудование, обеспечивающее высокий уровень (гарантированной) безопасности. Применение программного обеспечения в таких устройствах сведено к миниму му, кроме тех случаев, когда его необходимо адаптировать к прото
колам и интерфейсам, используемым в ИТС.
С точки зрения использования коммерческого (массового) компьютерного оборудования, информационная безопасность США основывалась, как правило, на тщательной разработке, анали зе и использовании программных средств (software) обеспечения безопасности.
Вместе с тем, DOD до сих пор полагает, что безопасность, пре доставляемая программными средствами, намного ниже той, кото рую обеспечивают аппаратные средства безопасности. Более того, подход DOD к сетевой безопасности основывается на необходимо сти использования «промежуточного звена» (средств гарантирован ной безопасности, например, систем проверки полномочий) между защищаемым компьютером и сетью передачи данных, к которой он подключен. В противном случае, необходимо наличие высокой сте пени доверия к компьютерной системе (в частности к операцион ной системе). А последнее в ближайшем будущем не достижимо.
366 |
Глава 21. Принципы архитектуры безопасности в Internet |
ва более удобны для подключения ЛВС к глобальным ИТС (напри мер, Internet). Поэтому средства безопасности канального уровня, как правило, являются дополнительными по отношению к устрой ствам безопасности IP-уровня. Вместе с тем, они предпочтительнее при работе в сложных интегральных сетях, реализующих различ ные режимы и протоколы передачи данных.
Важным преимуществом средств безопасности канального уровня является возможность создания многоуровневых секретных ЛВС, которые затем могут быть подключены к многоуровневым глобальным сетям, созданным с использованием средств безопасно сти IP-уровня. Например, рис. 21.4 иллюстрирует два способа обес печения такого соединения. ЛВС «А» и «В» обе являются много уровневыми, в каждой из них находятся компьютеры с уровнем конфиденциальности «Secret» и «Top secret». ЛВС «А» полагается на надежное программное обеспечение в рабочих станциях при раз граничении доступа к конфиденциальным данных. ЛВС «В» ис пользует внешние криптографические устройства для разделения трафика в ней. ЛВС «А» использует один надежный маршрутизатор
1 Media access control - управление доступом у среде передачи данных. Этот термин относится к канальному уровню ЛВС.
Раздел III. |
367 |
(шлюз «С») для подключения к средству безопасности глобальной сети, которое способно обеспечить разграничение доступа с помо щью грифов безопасности в сообщениях и криптографических ме тодов. ЛВС «В» использует два «ненадежных» маршрутизатора (шлюзы «А» и «В» - по одному на каждый уровень безопасности), и два средства безопасности глобальной сети, каждое из которых ог раничено только одним уровнем безопасности для обеспечения аналогичных соединений в глобальной сети.
В принципе, оба этих подхода допустимы и для обеспечения ИБ в корпоративных ЛВС.
Обеспечение конфиденциальности на физическом уровне.
Средства безопасности физического уровня (часто называемые ка нальными (линейными) шифраторами) используются в ИТС прак тически таким же образом, каким они использовались еще до появ ления сетей с коммутацией пакетов, являясь примером успешного применения известных криптографических методов в новой сете вой среде.
Эти средства обеспечивают конфиденциальность, и в основ ном - конфиденциальность потока данных в линиях (каналах) связи (сквозные соединения) между оконечными устройствами (point-to- point). Рис. 21.5 иллюстрирует несколько «точек», где могут исполь зоваться устройства шифрования на физическом уровне в сетевой среде. Шифраторы могут использоваться на выделенных, коммути руемых и магистральных линиях (каналах) связи. Данные специ альные устройства могут отличаться между собой конструктивно из-за различий в пропускной способности каналов, а используемые в них базовые криптографические методы одни и те же.
Глобальная сеть, защищенная устройствами шифрования на физическом уровне, будет уязвима в каждом из коммутаторов, в ко торых пакеты обрабатываются в незашифрованном виде. Это, есте ственно, нарушает принцип наименьших привилегий. Сеть, ис пользующая только шифрование на физическом уровне, должна быть «уверена» в том, что коммутаторы работают корректно (иначе пакет, направленный по неправильному маршруту может нару шить безопасность).
Очевидно, что если сеть имеет несколько уровней безопасности (например, «Secret» и «Top secret») и полагается только на шифрование каналов (даже, если коммутаторы используют достаточно надежные способы и алгоритмы коммутации), то существует возможность воз никновения ситуации, когда наименее защищенный коммутатор (с точки зрения физической, процедурной безопасности и наличия «человеческого фактора») сможет скомпрометировать всю сеть.
368 |
Глава 21. Принципы архитектуры безопасности в Internet |
rS
Рис. 21.5. Средства безопасности физического уровня
Гибридные системы. В реальных системах архитектура безо пасности DOD основывается на способах и средствах безопасности всех трех уровней. На рис. 21.6 представлен пример такой системы, в которой устройства безопасности физического, MAC- и IPуровней используются вместе для обеспечения защиты информа ции, а именно:
•устройства физического уровня используются для защиты коммутируемых локальных линий связи (для защиты (обеспе чения конфиденциальности) абонентского трафика), линий связи для удаленного доступа к глобальным сетям (для защиты (обеспечения конфиденциальности) потока данных и або нентского трафика) и магистральных линий связи между ком мутаторами глобальных сетей (для защиты (обеспечения кон фиденциальности) потока данных);
•в ЛВС «А» устройства МАС-уровня обеспечивают конфиден циальность, управление доступом, целостность и аутентифи кацию (или поддержку этих услуг на более высоких уровнях);
раздел III. |
369 |
ов ЛВС «В», и в маршрутизаторах (шлюзы «А» и «В»), присое диненных к глобальной сети, устройства IP-уровня обеспечи вают конфиденциальность IP-пакетов (но не конфиденциаль ность потока данных), управление доступом и целостность для IP-пакетов, а также аутентификацию источника данных.
Рис. 21.6. Комплексное применение средств безопасности трех уровней
Internet-архитектуры (гибридная система)
Недостатки модели DOD. Очевидно, что в модели архитекту ры безопасности DOD вообще нет упоминаний об информацион ной безопасности прикладного уровня. Это - не случайность, это, скорее всего, - естественное следствие взглядов DOD того времени,
раздел III. |
371 |
уровня будут находить свое применение, но только тогда, когда средства безопасности нижних уровней не обеспечивают необходи мый уровень безопасности, а системные и прикладные процессы обеспечивают достаточные гарантии для разработки и реализации секретных информационных технологий, удовлетворяющих высо ким требованиям DOD.
21.3. Принципы архитектуры безопасности Internet (IETF)
Internet-сеть как открытая система основывается на принципах архитектуры безопасности ISO, частично - на некоторых принци пах DOD. Кроме того, IETF определила следующие дополнительные принципы:
вспособы и средства безопасности должны быть настраиваемы ми и адаптивными с целью их возможного использования всем сообществом Internet. Этот принцип весьма актуален для Inter net. Б этой глобальной ИВС большое количество подсетей, компьютеров и пользователей, имеющих свои различные уни кальные адреса и имена. Поэтому используемые способы и средства безопасности (например, способы и средства управ ления доступом и аутентификации) должны легко адаптиро ваться к любым адресным множествам;
•способы и средства безопасности должны быть «прозрачны ми». Это означает, что их анализ (используемых алгоритмов и протоколов) позволяет определить обеспечиваемый ими уро вень безопасности. В связи с этим, протоколы и алгоритмы не должны иметь внутренних ошибок, которые являются следст вием их некорректной реализации, а не следствием их алго ритмической (функциональной) «слабости»;
•на реализацию способов и функционирование средств безо пасности не должна оказывать влияния топология ИТС. На пример, нежелательно, чтобы они использовались в интересах
только отдельных корпоративных ЛВС, подключенных к дру гим ИТС с помощью всего лишь одного маршрутизатора;
0наиболее предпочтительны к использованию в Internet только те способы и средства безопасности, которые не имеют огра ничений на их экспорт/импорт и доступны для международ ного применения. Тем не менее, ни один способ (средство) безопасности не должен отвергаться архитектурой безопасно сти Internet только из-за того, что его применение ограничено.