Мельников Д. А. - Организация и обеспечение безопасности информационно-технологических сетей и систем - 2012

новостей через незащищенные серверы и сети. Данный протокол не предназначен для замены VPN-протоколов, но он может часто ис­ пользоваться вместо них.

Н енадежные способы обеспечения ИБ

Некоторые ненадежные способы обеспечения ИБ скорее всего создают больше проблем безопасности, чем их решают.

Системы с открытыми паролями. Сегодня, системы с откры­ тыми паролями наиболее распространенны в Internet-сети, по срав­ нению с другими известными способами обеспечения ИБ. К сожа­ лению, они также являются и наиболее слабым способом обеспече­ ния ИБ. А если они не защищены с помощью шифрования, то тогда они вообще не приемлемы. Но даже когда используется шифрова­ ние, все равно, системы с открытыми паролями остаются совсем не­ надежными, так как открытые пароли должны транслироваться в удаленные системы. Если такая система была скомпрометирована или если криптомодуль не использует эффективную процедуру ау­ тентификации сервера в интересах пользователя, то нарушитель может подобрать пароли и возможно использовать их против дру­ гих сетевых объектов.

Другая слабая сторона такой системы является следствием самих способов ее применения, которые наиболее распространены в на­ стоящее время. Считается, что сервер должен хранить пароли пользо­ вателей в скрытой форме, для чего использовать однонаправленную хэш-функцию, а не в открытой форме. Однако, что может помешать переходу к более надежным способам аутентификации, такому как НМАС-система на основе «запрос/ ответ»? Самой сильной атакой на системы с открытыми паролями, кроме прямого прослушивания (пе­ рехвата), является «отгадывание» паролей. Если иметь хорошую про­ грамму проверки гипотез и словарь возможных паролей (а они в на­ стоящее время доступны повсеместно), то тогда можно «угадать» 20-30% паролей, используемых в большинстве сетевых сегментов.

Аутентификация на основе адресов. Другим наиболее рас­ пространенным в Internet способом обеспечения ИБ являются сис­ темы аутентификации на основе адресов. В лучшем случае такая система может работать только в тех сетевых сегментах, в которых имеют место существенные функциональные и топологические ог­ раничения. Если сетевой сегмент включает небольшое количество компьютеров, функционирование которых жестко администриру­ ется, системы обеспечения безопасности функционируют под управлением надежных пользователей, и если сегмент «огражден» маршрутизатором, который блокирует маршрутизацию от источ­ ника сообщений и препятствует «прослушиванию» адресов источ­ ника сообщений, а также известно, что в сегменте нет никаких бес­

проводных мостов, и если для компьютеров другой сети запрещена аутентификация на основе адресов, то такой сегмент, скорее всего, имеет высокий уровень защищенности. Но такие условия встреча­ ются одновременно крайне редко.

К другим угрозам безопасности можно отнести атаки типа «маскарад» с использованием ARP-пакетов, DHCP-сообщений (Dy­ namic Host Configuration Protocol - протокол динамической на­ стройки IP-узлов), IP-пакетов с «украденными» IP-адресами и мар­ шрутами доставки, установленными нарушителем, атаки в целях нарушения нормального функционирования уполномоченных сер­ веров, компрометации маршрутных таблиц, распознавания после­ довательного номера сообщения и последующего изменения нуме­ рации. Все перечисленные атаки могут повлечь за собой очень серь­ езные последствия.

Аутентификация на основе DNS-имен. Системы аутентифи­ кации на основе DNS-имен имеют те же проблемы безопасности, как и системы аутентификации на основе адресов, но к ним добав­ ляются и новые: атаки на DNS-систему и проблемы при отображе­ нии IP-адресов в DNS-имена и наоборот. Как минимум, процесс, ко­ торый по DNS-запросу возвращает DNS-имя IP-узла, должен воз­ вращать соответствующие записи с адресами и осуществлять срав­ нение этих записей в разных источниках. Однако атаки типа «за­ грязнение кэш-памяти» очень часто негативно сказываются на ре­ зультатах такой сверки.

DNSsec-протокол обеспечивает защиту от такого типа атак. Однако он ничего не делает для обеспечения достоверности запра­ шиваемого адреса. Более того, атаки на DNS-серверы вызывают ог­ ромное количество ложных «тревог». Однако поиски причин таких «тревог» не обеспечивают сервер надежной информацией, несмот­ ря на то, что могут быть полезны для DNS-администратора при уст­ ранении им неисправностей, а также могут быть полезны для кон­ троля записей доступа к системе во время реконструкции атаки, т.е. как проводилась атака и что было её целью.

Не бывает идеальных (безупречных) способов обеспечения безопасности. Любой сетевой способ обеспечения ИБ может быть «разрушен» путем компрометации его конечных терминалов (поль­ зователей), если, конечно, не выявлено каких-либо других причин. Каждый из рассмотренных выше способов обеспечения ИБ имеет свои собственные ограничения. Любое решение относительно при­ менения определенного способа должно основываться на оценке всех возможных причин отказа в работе системы. В свою очередь, эти возможные причины необходимо сопоставить с рисками конеч­ ного пользователя (терминала) в результате сбоя в системе безопас­ ности (т.е. к каким потерям приведет отказ в работе системы).

Глава 22. Проблемы функционирования сетевых экранов в Internet

Прежде чем понять проблемы функционирования сетевых эк­ ранов (СЭ, «firewall»), очень важно понимать основные принципы, по которым они функционируют.

22.1.Общая характеристика СЭ

иих функциональные свойства

СЭ представляет собой систему или группу систем, которая реализует на практике стратегию управления доступом между двумя или более сетями. Спектр способов и средств, которые способны реа­ лизовать такую стратегию, достаточно широк, но в принципе, СЭ может быть представлен как пара средств, одно из которых предна­ значено для блокировки трафика, а второе - для пропуска разре­ шенного трафика. Некоторые СЭ специально настраиваются с ак­ центом на блокирование трафика (в них указываются признаки тра­ фика, который необходимо блокировать, т.е. не пропускать через се­ бя), в то время как другие акцентированы на пропуск разрешенного трафика (в них, наоборот, указываются признаки трафика, который необходимо пропускать через себя)1. Но скорее всего, наиболее важ­ ным при определении функций СЭ является стратегия управления доступом, которую он реализует на практике. Действительно, если не существует никаких правил организации доступа, т.е., нет решения, какой трафик пропускать, а какой - нет, то тогда СЭ не способен обеспечить ИБ. Это связано с тем, что необходимо определить функ­ циональные настройки СЭ, так как последний - это средство реали­ зации стратегии ИБ, которую СЭ «навязывает» всему, что находится за ним. Администраторы, отвечающие за настройку СЭ и систему функциональной связности большого количества IP-узлов, несут при этом огромную ответственность за обеспечение ИБ.

Почему необходим сетевой экран? Internet-сообществу, как и любому другому сообществу, надоедает определенный вид «хули­ ганов», которые получают удовольствие от того, что, обладая элек­

1 Блокирующие СЭ функционируют по принципу: блокировать только тот трафик, признаки которого указаны. А разрешающие СЭ функцио­ нируют по принципу: пропускать через себя только тот трафик, признаки

которого указаны.

тронными средствами для информационного обмена, подобно «ху- дожникам-граффитистам», рисующим с помощью пульверизаторов и краскопультов на чужих стенах, или любителям просто посидеть на улице и понажимать на клаксоны чужих автомобилей, засоряют чужие электронные почтовые ящики. Некоторые люди пытаются получить настоящую работу, используя возможности Internet-сети, а другие обладают очень важной персональной информацией, кото­ рую они обязаны защищать. Как правило, СЭ нужны для защиты корпоративной сети от таких хулиганов, обеспечивая при этом нормальную работу пользователей корпоративной сети.

Многие традиционные корпоративные системы и информа­ ционные центры имеют определенные стратегии и опыт по обеспе­ чению ИБ, которые, как правило, следующие. В случае, когда кор­ поративные стратегии безопасности предписывают, как должны быть защищены данные, СЭ чрезвычайно необходим, так как он яв­ ляется «проводником в жизнь» этих стратегий. Очень часто, труд­ ной стороной подключения к Internet-сети, для крупной компании, является необъяснимо высокая стоимость или большой объем работ, но убедительный менеджмент говорит, что так делать безопаснее. СЭ обеспечивает не только определенный уровень безопасности, он часто играет важную роль «заградительного щита» для менеджмента.

Таким образом, СЭ может функционировать как корпоратив­ ный «посол» в Internet-сети. Многие корпорации используют свои СЭ-системы как место хранения информации общего пользования, которая посвящена корпоративным товарам и услугам, файлам для загрузки пользователями, обнаруженным ошибкам в программном обеспечении и др. Некоторые из таких СЭ-систем стали очень важ­ ными компонентами технологической инфраструктуры Internet-

оказались весьма полезными для своих организаций- спонсоров. (Примечание. Тем не менее, исторически сложилось так, что сегодня большинство организаций размещают свою информа­ цию общего пользования на W 3-cepBepax, очень часто защищаемых СЭ, а не на самих СЭ.)

От чего может защитить сетевой экран? Некоторые СЭ про­ пускают через себя только разрешенный почтовый трафик, защи­ щая, таким образом, корпоративную сеть от любых атак, за исклю­ чением атак, которые направлены на электронную почтовую служ­ бу. Другие СЭ обеспечивают более низкий уровень защищенности и блокируют сообщения тех служб (протоколов), о которых заранее известно, что они могут быть причиной многих проблем.

В целом, СЭ настраиваются для защиты от несанкциониро­ ванного доступа (НСД) со стороны «внешнего мира». СЭ больше, какое-либо другое средство, помогает защититься от «ванда-

396 Глава 22. Проблемы функционирования сетевых экранов в Internet

лов», пытающихся «прорваться» в корпоративную сеть. Более слож­ ные СЭ блокируют трафик, поступающий в корпоративную сеть из внешней сети, но разрешают корпоративным пользователям сво­ бодно соединяться с внешними сетевыми объектами. СЭ может за­ щитить персональный компьютер от любых сетевых атак, если он соединен с сетью только через СЭ.

Кроме того, значимость СЭ заключается в том, что они могут выступать в роли непосредственной «заглушки» («choke point») трафика в тех корпоративных системах, в которых реализуется на практике определенная политика безопасности и система монито­ ринга (аудита). В другой ситуации, когда компьютерная система, которая может быть атакована злоумышленником, подключена к Internet-сети с помощью модема через линию телефонной связи, СЭ может выступать в роли эффективного «телефонного клапана» («phone tap», подобно водопроводному крану) и средства «слеже­ ния» за трафиком. СЭ выполняют важные регистрационные и ауди­ торские функции. Очень часто они предоставляют администратору данные о типах и количестве трафика переданного через них, а также о числе попыток НСД в целях взлома системы защиты, а так­ же другую информацию.

Исходя из сказанного, все записи СЭ являются важными кри­ тическими данными. Они могут быть использованы в качестве дока­ зательства в судебных инстанциях во многих странах мира. Поэтому необходимо охранять, анализировать и защищать данные СЭ над­ лежащим образом.

Это очень важный момент: по аналогии с реализацией сетевой «заглушки» необходимо использовать контрольно-пропускной пункт для физической защиты офиса компании, который имеет се­ тевую инфраструктуру. Это означает, что всегда имеется возмож­ ность корректировать «зоны» и устанавливать необходимые уровни физической защиты, если конечно такой пункт подходит для этих целей. В реальной жизни, редко бывает, когда компания имеет только внешний контрольно-пропускной пункт и не имеет дежур­ ного или персонала по безопасности для проверки пропусков. Если офис компании поделен на зоны с различными уровнями защиты, то тогда имеет смысл, чтобы корпоративная сеть предусматривала несколько уровней защищенности.

От чего не может защитить сетевой экран? СЭ не могут про тивостоять атакам, которые проводятся в обход СЭ. Многие корпо­ ративные сети, которые подключены к Internet-сети, очень озабоче­ ны проблемой утечки корпоративной информации по таким кана­ лам. К сожалению, это относиться и к различным электронным но­ сителям информации: кассетные накопители на магнитной ленте

398 Глава 22. Проблемы функционирования сетевых экранов в Internet

ния доступа на модемный пул. Прежде чем принять решение, что в той или иной корпоративной сети такой проблемы не существует, необходимо задаться вопросом, а как много нарушений сделал тот или иной сотрудник компании (работающий по контракту), имею­ щий зарегистрированный доступ в корпоративную ИТС, или как много проблем возникает тогда, когда пользователь сети, который забыл свой пароль, имеет доступ в систему для смены пароля. Если сотрудники компании, обращаясь к системе сетевой поддержки пользователей, верят, что каждый запрос был внутренним, то тогда может возникнуть проблемная ситуация, которая не может быть зафиксирована на СЭ, так как последний не контролирует ситуа­ цию внутри сети.

СЭ не могут защитить корпоративные системы от прикладных протоколов, использующих туннелирование своих сообщений, так как режим туннелирования трафика может использоваться нару­ шителями для внедрения «троянских коней» или иных противо­ правных действий. В сетях не существует волшебства, а СЭ не могут оправдываться за то, что не использовали программные системы управления корпоративными сетями или игнорировали внутрен­ нюю корпоративную систему безопасности, используемую корпо­ ративными серверами (IP-узлами). Туннелирование «вредоносных» HTTP- и SMTP-сообщений, а также сообщений других протоколов, довольно простая и весьма наглядная процедура. Информационная безопасность не может обеспечиваться по принципу «выстрелил и забыл» («fire and forget»).

И последнее, СЭ не могут защитить корпоративные системы от вредоносных продуктов, трансляция которых через СЭ разреше­ на. Например, многие «троянские кони» используют IRC-протокол (Internet Relay Chat - интерактивная диалоговая Internet-служба), что позволяет нарушителю контролировать скомпрометированный внутренний IP-узел с помощью IRC-сервера общего пользования. Если разрешить любой корпоративной подсистеме устанавливать соединение с любой внешней системой, то тогда корпоративный СЭ не обеспечит защиту сети от атак по такому соединению.

Вирусы и другие вредоносные программные продукты.

СЭ не могут надежно защитить корпоративные сети от проникно­ вения в них программных продуктов типа вирусы и «вредоносные» программные закладки. Существует слишком много способов коди­ рования двоичных файлов для их последующей передачи по сетям, а также существует слишком много различных архитектур и виру­ сов, которые пытаются отыскать такие файлы. Другими словами, СЭ не может заставить некоторых своих пользователей сознательно ис­ пользовать ту или иную систему обеспечения ИБ. В общем, СЭ нс

может защитить корпоративную сеть от атак типа «доставка данных», т.е. от атак, при которых какие-либо данные передаются с помощью протокола электронной почтовой службы в корпоративный 1Р-узел или копируются в нем (при их дальнейшей ретрансляции), а после эти данные подвергаются соответствующей обработке в этом же 1Р-узле. Этот вид атак направлен в первую очередь против различных поль­ зовательских программных модулей, обеспечивающих доставку и обработку данных, среди которых «Outlook» и «Internet Explorer».

Организации, которые серьезно озабочены проблемой виру­ сов, должны повсеместно внедрять средства обнаружения и нейтра­ лизации вирусов. Прежде чем пытаться выводить на экран монито­ ра вирусы, выявленные СЭ, необходимо убедиться, что каждый уяз­ вимый компьютер имеет в своем программном обеспечении спе­ циализированный программный обнаружитель вирусов, который начинает функционировать с момента перезагрузки компьютера. Если программный обнаружитель вирусов охватывает всю корпора­ тивную сеть, то тогда он обеспечит защиту от вирусов, которые проникли в сеть через гибкие магнитные диски, CD-диски, модемы и Internet-сеть. Если блокировать вирусы только с помощью СЭ, то тогда сеть будет защищена только от вирусов, которые могут про­ никнуть в нее из Internet-сети. Применение обнаружителя вирусов в составе СЭ или почтового шлюза позволит защитить корпоратив­ ную сеть от большого количества возможных «инфекций».

В настоящее время, все больше и больше компаний-продавцов (vendor) предлагают СЭ только с функциями обнаружения и нейтра­ лизации вирусов. Такие СЭ, вероятнее всего, полезны только для «на­ ивных» пользователей, обменивающимися между собой программами, используемыми в операционной среде «Windows» базе процессора «In­ tel», и прикладными документами, которые могут содержать вредо­ носные «macro-вирусы». Существует много СЭ-подобных программ­ ных продуктов, которые ориентированы на решение проблемы обна­ ружения и нейтрализации «червей» типа «ILOVEYOU» и атак на их основе. Однако такие продукты - чрезвычайно упрощенные системы, которые позволяют снизить опасные последствия каких-либо проти­ воправных вторжений, являющихся по своей сути весьма «бестолко­ выми», и поэтому такие вторжения никогда не должны стоять на пер­ вом месте среди прочих проблем обеспечения ИБ. Никогда не пола­ гайтесь на систему защиты с такими свойствами при отражении воз­ можных атак нарушителей. (Так как червь «ILOVEYOU» прошелся по всей Internet-сети, было обнаружено, по крайней мере, полдюжины подобных атак, включая «Melissa», «Нарру99», «Code Red» и «Badtrans.B», которые весьма удачно проходили сквозь многие СЭ, предназначенные только для обнаружения и нейтрализации вирусов, и почтовые шлюзы.)

такие системы, как VPN-сети/системы, независимо от компанийвендоров, лучшие фильтрующие системы (на основе фильтрации IP-пакетов, имеющих IPsec/AH-заголовок - Authentication Header) и СЭ прикладного уровня будут способны верифицировать 1Р-узлы на основе проверки текущего IPsec/AH-заголовка вместо проверки IP-адреса, который является всего лишь «надежным IP-адресом».

22.2. Проблемы разработки и внедрения СЭ

Некоторые основные проектные решения для сетевых эк­ ранов. Существует несколько основных проблем разработки СЭ, с которыми приходится сталкиваться при проектировании, специфи­ кации, внедрении или во время наблюдения за процедурой инстал­ ляции СЭ.

Первое и наиболее важное решение отражает определяемую компанией или организацией стратегию того, как должна функ­ ционировать система. При этом возможны две версии такого реше­ ния, а именно:

1)СЭ должен устанавливаться для того, чтобы в явной форме от­ казывать в доступе всем службам, за исключением тех крайне необходимых служб, которые предназначены для обеспечения соединений в интересах корпоративной сети;

2)СЭ должен устанавливаться для того, чтобы реализовывать из­ мерительно-контрольный способ обслуживания «очереди за­ просов» для доступа в корпоративную сеть, исключая возмож­

ные угрозы безопасности.

Выбор одной из двух версий является весьма трудным и болез­ ненным процессом, так как окончательное решение относительно функционального предназначения СЭ будет скорее всего политиче­ ским, нежели техническим.

Второе: какой уровень мониторинга, избыточности и управляе­ мости необходимо обеспечить в корпоративной сети? Установив приемлемый уровень рисков, на основе решения первой проблемы, затем можно сформировать перечень тех объектов и подсистем, ко­ торые должны находиться под контролем, должны быть запрещены и которым должно быть отказано в доступе. Другими словами, необхо­ димо начать с подсчета всех входящих в корпоративную сеть объек­ тов и подсистем, затем провести полный анализ всей системы с оцен­ кой всех возможных рисков, и затем выделить почти всегда конфлик­ тующие между собой требования и удалить их из основного перечня требований, что позволит разработать план развертывания СЭ.