Организация безопасного подключения к INTERNET

46.1

Реализация политики безопасности средствами СУБД

Содержание

46.2

Организация безопасного подключения к INTERNET

Введение

Защита информации в сетевом пространстве Internet является предметом исследований и заботой множе ства людей. Предлагаем слушателям ознакомиться с вариантами подходов (в том числе и с нашим подхо дом разработанном в ООО “Конфидент”) к данной проблеме, связанными с безопасностью корпоратив ных сетей.

Важнейшую проблему, решаемую сегодня разработчиками корпоративных сетей, можно сформулировать в виде вопроса: «Защита в Internet или от Internet?» В рамках построения защищенной корпоративной сети ответ на данный вопрос обуславливает выбор одной из двух концепций:

•построение защищенной корпоративной (виртуальной или наложенной) сети на базе каналов связи и средств коммутации сетей передачи данных общего пользования, в которой применяются открытые про токолы Internet, что предполагает проектирование и воплощение надежной системы защиты;

•отказ от средств Internet как таковых, создание специализированной или выделенной сети корпорации с использованием конкретной сетевой технологии, в частности АТМ, frame relay, ISDN.

Эти концепции являются полярными взглядами на проблему и, как следствие, обладают определенными не достатками.

Первый подход связан с большими затратами на обеспечение достаточной степени защищенности информа ции при подключении к Internet.

Второй предлагает отказаться от использования Сети, причем не только от существующих в ней каналов свя зи, узлов коммутации и предоставляемых сервисов, но и от реализуемых в Internet технологий, убедительно доказавших свою жизнеспособность (доступ и поиск информационных ресурсов, Web реклама и т.д.). При этом можно констатировать, что в рамках указанных телекоммуникационных решений реализованы свои элек тронная почта, компьютерная телефония и другие виды сервиса.

Очевидно, что полный отказ от Internet может нанести урон имиджу предприятия. Поэтому чаще принимается первый вариант построения корпоративных сетей. Вопрос же о необходимости дополнительной защиты ком пьютерной системы при работе в Internet сегодня не вызывает сомнений. Жаркие дискуссии разворачиваются при ответах на следующие вопросы:

1.От чего надо защищать систему?

2.Что надо защищать в самой системе?

3.Как надо защищать систему (при помощи каких методов и средств)? На данном занятии мы рассмотрим ответы на поставленные вопросы.

1.Политика безопасности при работе в INTERNET

Этот вопрос был разработан для тех, кто участвует в формировании политики безопасности на трех уровнях:

•Лица из верхнего звена управления организацией, которым требуется понимать некоторые риски и последствия использования INTERNET, чтобы они могли рационально распределить ресурсы и назна чить ответственных за те или иные вопросы.

•Начальники подразделений безопасности организации, которым требуется разрабатывать специфичес кие политики безопасности

•Администраторы безопасности организации, которым нужно понимать, почему им надо применять те или иные программно аппаратные средства для защиты, и каковы причины использования организационных

мер и правил работы в INTERNET, которым им надо будет обучать пользователей в организации. Известно, что организация, подключившиеся к INTERNET, будет атакована хакерами не позднее, чем через два месяца (для банков и крупных организаций в течение двух дней).

Если конкретизировать вопросы (см. вводную часть занятия), учитывающие возможные последствия под ключения к INTERNET, то их можно сформулировать следующим образом:

•Могут ли хакеры разрушить внутренние системы?

•Может ли быть скомпрометирована (изменена или прочитана) важная информация организации при ее передаче по INTERNET?

•Можно ли помешать работе организации?

Все это – важные вопросы. Существует много технических решений для борьбы с основными проблемами безо пасности INTERNET. Тем не менее, все они имеют свою цену. Многие решения ограничивают функциональность ради увеличения безопасности. Другие требуют идти на значительные компромиссы в отношении легкости ис пользования INTERNET. Третьи требуют вложения значительных ресурсов – рабочего времени для внедрения и поддержания безопасности и денег для покупки и сопровождения оборудования и программ.

Цель политики безопасности для INTERNET– принять решение о том, как организация собирается защищать ся. Политика обычно состоит из двух частей – общих принципов и конкретных правил работы (которые эк вивалентны специфической политике, описанной ниже). Общие принципы определяют подход к безопасно сти в INTERNET. Правила же определяют что разрешено, а что – запрещено. Правила могут дополняться кон кретными процедурами и различными руководствами.

Правда, существует и третий тип политики, который встречается в литературе по безопасности в INTERNET. Это – технический подход. На данном занятии под техническим подходом будем понимать анализ, который помогает выполнять принципы и правила политики. Он, в основном, слишком техничен и сложен для понима

46.3

Реализация политики безопасности средствами СУБД

ния руководством организации. Поэтому он не может использоваться так же широко, как политика. Тем не менее, он обязателен при описании возможных решений, определяющих компромиссы, которые являются необходимым элементом при описании политики.

Чтобы политика для INTERNET была эффективной, разработчики политики должны понимать смысл компро миссов, на которые им надо будет пойти. Эта политика также не должна противоречить другим руководящим документам организации. Данная часть занятия дает техническим специалистам информацию, которую им надо будет объяснить разработчикам политики для INTERNET. Она содержит эскизный проект политики, на основе которого потом можно будет принять конкретные технические решения.

Угрозы в среде INTERNET

Типичными угрозами в среде INTERNET являются:

•Сбой в работе одной из компонент сети – сбой из за ошибок при проектировании или ошибок оборудо вания или программ может привести к отказу в обслуживании или компрометации безопасности из за неправильного функционирования одной из компонент сети. Выход из строя брандмауэра или ложные отказы в авторизации серверами аутентификации являются примерами сбоев, которые оказывают влия ние на безопасность.

•Сканирование информации – неавторизованный просмотр критической информации злоумышленни ками или авторизованными пользователями может происходить, используя различные механизмы – электронное письмо с неверным адресатом, распечатка принтера, неправильно сконфигурированные списки управления доступом, совместное использование несколькими людьми одного идентификато ра и т.д.

•Использование информации не по назначению – использование информации для целей, отличных от автори зованных, может привести к отказу в обслуживании, излишним затратам, потере репутации. Виновниками этого могут быть как внутренние, так и внешние пользователи.

•Неавторизованное удаление, модификация или раскрытие информации – специальное искажение ин формационных ценностей, которое может привести к потере целостности или конфиденциальности ин формации.

•Проникновение – атака неавторизованных людей или систем, которая может привести к отказу в обслу живании или значительным затратам на восстановление после инцидента.

•Маскарад –попытки замаскироваться под авторизованного пользователя для кражи сервисов или ин

формации, или для инициации финансовых транзакций, которые приведут к финансовым потерям или проблемам для организации.

Наличие угрозы необязательно означает, что она нанесет вред. Чтобы стать риском, угроза должна исполь зовать уязвимое место в средствах обеспечения безопасности системы (рассматриваются в следующем раз деле) и система должна быть видима из внешнего мира. Видимость системы – это мера как интереса злоумыш ленников к этой системе, так и количества информации, доступной для общего пользования на этой системе. Так как многие угрозы, основанные на INTERNET, являются вероятностными по своей природе, уровень видимо сти (уровень видимости или заметности может меняться от каких либо событий, например, коммерческие успе хи предприятия, участие в широко рекламируемых проектах и т.п.) организации напрямую определяет вероят ность того, что враждебные агенты будут пытаться нанести вред с помощью той или иной угрозы. В INTERNET любопытные студенты, подростки вандалы, криминальные элементы, промышленные шпионы могут являться носителями угрозы. По мере того как использование глобальных сетей для электронной коммерции и крити ческих задач увеличивается, число атак криминальных элементов и шпионов будет увеличиваться.

2. Варианты безопасного подключения к INTERNET

(при изложении данного вопроса использованы материалы статьи С.А. Петренко «Безопасное подключе ние к Internet», «Конфидент» № 4 5, 2000)

В некоторый момент времени перед руководством предприятия встает вопрос: как подключиться к Internet? При этом, как правило, локальная сеть предприятия уже существует и работает, решая определенные функ циональные задачи.

Сегодня безопасное подключение к Internet, а также поддержание безопасного и надежного доступа стано вится критически важной проблемой для предприятия в целом.

Возможные варианты подключения к Internet

Существует несколько вариантов подключения к Internet. Так, например, среди клиентов ВэбПласа (интернет провайдер, Санкт Петербург)) наибольшей популярностью помимо ADSL пользуются следующие варианты:

Технология ISDN

В таком варианте предприятие получает 2 цифровые коммутирумые линии (2 B канала), которые можно ис пользовать для телефонных переговоров и/или для работы в Интернет в произвольной комбинации. Каждый B канал при выходе в Интернет обеспечивает скорость 64Кб/сек (два B канала – 128К/сек), т.е. предприя тие получает скорость работы в 5 6 раз больше скорости обычного модема (см. рис. 1).

46.4

Организация безопасного подключения к INTERNET

Telephone

Fax

Локальная вычислительная сеть

Рис.1.

Технология Frame Relay

В этом варианте предприятие получает постоянное высокоскоростное соединение с сетью Internet с помо щью специальныго маршрутизатора и пакета специальных услуг (см. рис.2.).

Рис.2.

Надежность канала обеспечивается контролем его работоспособности инженерами «Вэб Плас» и «Петерстар». Скорость передачи данных колеблется между максимальной (64кб/сек) и минимально гарантированной в за висимости от загруженности сети передачи данных «Петерстар» (реальная средняя скорость составляет 2 3 CIR). Дополнительно данный вариант может содержать следующий пакет услуг:

•Аренда маршрутизатора (Cisco или FRAD).

•Выделение до 256 IP адресов для локальной сети. Маршрутизация трафика для выделенных IP адресов.

•Регистрация и поддержка домена в зоне spb.ru

•Размещение сервера DNS (первичного или вторичного) на узле «Вэб Плас».

•Обеспечение доставки электронной почты на почтовый сервер компании по протоколу SMTP.

Выделенный канал точка-точка

В этом варианте предприятие получает постоянный доступ к сети Интернет 24 часа в сутки 365 дней в году с требуемой скоростью. Предоставляемый тип интерфейса V.35 (см. рис.3)

Рис.3.

46.5

Реализация политики безопасности средствами СУБД

Дополнительно можно воспользоваться следующими услугами:

•Выделение до 256 IP адресов для локальной сети. Маршрутизация трафика для выделенных IP адресов.

•Регистрация и поддержка домена в зоне spb.ru

•Размещение сервера DNS (первичного или вторичного) на узле «Вэб Плас».

•Обеспечение доставки электронной почты на почтовый сервер компании по протоколу SMTP. Обеспече ние резервного хранения почты в случае возможных сбоев почтового сервера компании.

Подключение Small Office

Данное решение удобно для обеспечения работы с Internet небольших офисов с локальной сетью из 10 20 компьютеров.

Решение основывается на модемном подключении с помощью арендуемого у «Вэб Плас» маршрутизатора. Данное устройство подключается к локальной сети и к обычному модему и обеспечивает доступ к Интернет с любого компьютера локальной сети.

Кроме аренды маршрутизатора, в рамках услуги SmallOffice предоставляется также возможность организо вать до 20 почтовых ящиков для сотрудников компании вида your_name@your_company.sp.ru. При этом обес печена возможность с помощью обычного броузера Интернет (например, Internet Explorer) добавлять новые ящики и удалять ненужные.

Поддержание безопасного и надежного доступа

Предприятие, подключаясь к Internet, заинтересовано в сохранности своих конфиденциальных данных. Для этого необходимо защитить места соединения локальной сети предприятия с Internet. Эту задачу позволяют решить специальные апаратно программные средства. В настоящее время существует четыре основных спо соба защиты Intranet/Internet систем:

•На основе отдельных серверов безопасности (межсетевых экранов);

•На основе маршрутизаторов со встроенной системой безопасности;

•На основе специализированных маршрутизаторов с обычными листами доступа;

•На основе выделенных серверов доступа (RAS) на основе ОС семейства UNIX и реже MS Windows.

Защита на основе Firewall

Защита на основе Firewall позволяет получить предприятию такие преимущества, как:

•максимальную безопасность, обеспеченную двунаправленным управлением потоками информации между публичными (открытыми) и внутренними (закрытыми) сегментами сети предприятия;

•высокую надежность, обусловленную использованием отдельных серверов безопасности на основе

сертифицированных ГТК при президенте РФ аппаратно программных комплексов (межсетевых экранов).

Вэтом случае можно реализовать следующие существенные возможности:

• фильтрацию на основе сетевых адресов отправителя и получателя;

• фильтрацию запросов на транспортном уровне на установление виртуальных соединений;

• фильтрацию запросов на прикладном уровне к прикладным сервисам;

• локальную сигнализацию попыток нарушения правил фильтрации;

• запрет доступа неидентифицированного субъекта или субъекта, подлинность которого при аутентифи кации не подтвердилась и др.

Внастоящее время все известные Firewall можно условно разделить на несколько основных групп.

По функционированию на уровнях модели OSI:

•Шлюз экспертного уровня;

•Экранирующий шлюз (прикладной шлюз);

•Экранирующий транспорт (шлюз сеансового уровня);

•Экранирующий маршрутизатор (пакетный фильтр).

По используемой технологии:

•Stateful Inspection (контроль состояния протокола);

•На основе модулей посредников (proxy).

По схеме подключения:

•Cхема единой защиты сети;

•Схема с защищаемым закрытым и не защищаемым открытым сегментами сети;

•Схема с раздельной защитой закрытого и открытого сегментов сети.

Цены на Firewall устанавливаются в каждом конкретном случае отдельно и в среднем находятся в диапазоне от 2100$ до 19000$ и выше.

Пример 1. Возможный вариант защиты сети на основе межсетевого экрана.

Данное решение основано на использовании межсетевого экрана Cisco PIX Firewall 520 компании Cisco Systems(см. рис. 4)

Выбор такого решения не случаен. По данным Yankee Group, примерно 80% сетевой магистрали Internet ра ботает на основе продукции Cisco Systems.

Отличительной особенностью межсетевого экрана PIX Firewall является специальная, отличная от UNIX опе рационная система реального времени. Основу высокой производительности сетевого экрана составляет схема

46.6

Организация безопасного подключения к INTERNET

защиты, реализованная на алгоритме адаптивной безопасности (adaptive security algorithm ASA). Достоин ствами этого решения являются:

•высокая производительность и пропускная способность до 170 Мбит/c;

•возможность поддержки до 256000 одновременных сессий (TCP/IP соединений);

•преимущества пакетного и прикладного шлюзов;

•простота и надежность в эксплуатации и установке;

•сертификат ГТК при президенте РФ на МЭ по 3 классу и др.

Стоимость данного решения составляет от 9000$.

Laptop Workstation computer

Рис. 4. Решение на основе Cisco PIX Firewall 520.

Защита на основе маршрутизатора с Firewall

Данный способ защиты основывается на использовании маршрутизатора со встроенной системой безопаснос ти. Данное решение характеризуется высокой эффективностью и безопасностью.

В настоящее время одним из наиболее интересных является вариант защиты на основе маршрутизаторв Cisco серий 1600 и 1700. Например, рассмотрим возможное решение на базе Cisco 1600 R (рис 5.)

Ethernet LAN

Ethernet

Internet

Frame Relay

Cisco 1605

Ethernet

Ethernet LAN_1

Рис.5. Решение на базе Cisco 1600 R

Данное решение обладает следующими основными достоинствами:

•Возможности обеспечения безопасности от точки до точки, такие как брандмауэр (firewall), авторизация маршрута и маршрутизатора, замок и ключ, тоннель для маршрута и криптозащита данных;

•Многопротокольная маршрутизация (IP, IPX, AppleTalk) и прозрачный мост через ISDN, асинхронный и синхронный последовательное соединение, такое, как выделенная линия, Frame Relay, SMDS, Switched 56 и X.25;

•Возможность обеспечения качества услуги от точки до точки посредством: протокола резервирования ресурсов (RSVP), Очереди с весами (WFQ), IP Multicast и AppleTalk Simple Multicast Routing Protocol (SMRP) для обеспечения таких приложений, как: видеоконференции, дистантное обучение и объединение дан ных и голоса;

•Расширенные возможности доступа к Internet/intranet, такие, как: трансляция сетевых адресов (NAT), IPeXchange шлюз IPX в IP, простота и снижение цены доступа к Internet и intranet ;

•Возможности оптимизации WAN: установление соединения по требованию (DDR), предоставление поло

сы по требованию (BOD) и OSPF по требованию, полустатическая маршрутизация, сжатие, фильтрация и буферизация.

Стоимость такого варианта составляет от 5000$

46.7

Реализация политики безопасности средствами СУБД

Защита на основе маршрутизатора

Этот способ защиты основывается на использовании специализированного маршрутизатора и является наи более распространенным способом на сегодняшний день (см. рис 6)

Ethernet LAN

Рис.6. Решение на базе Cisco серии 1600 и 2500

Данное решение обладает высокой эффективностью и достаточной безопасностью. На сегодняшний день наи более интересными здесь являются решения на базе Cisco серии 1700, например, Cisco 1750. Стоимость по добного решения составляет от 4000$ для небольшого предприятия.

Основные преимущества такого решения заключаются в следующем

Гибкость

•Модульность решения позволяет легко адаптировать конфигурации к потребностям конкретного пред приятия за счет модульности.

•Возможность замены WIC карт избавляет от необходимости обновления платформы в целом при переходе на другие технологии передачи данных.

•Слоты для установки голосовых и WAN карт позволяют при необходимости подстраивать конфигурацию.

•Совместимость по модулям с другими моделями уменьшает требуемое количество запасных частей.

Мультисервисный доступ

•Возможность интеграции услуг по передаче данных, голоса, факсов и видео.

•Экономия средств за счет устранения межофисных междугородних/международных телефонных звон ков и взаимодействия с современными мультисервисными приложениями.

•Возможность работы с существующей телефонной инфраструктурой – телефонами, факс аппаратами и офисными АТС.

Более низкая стоимость

•Cisco 1750 обеспечивает полное решение для интеграции передачи голоса и данных в одном продукте, избавляя от необходимости установки и поддержки нескольких устройств.

•Возможность включения таких дополнительных функций, как голосовой шлюз, firewall, сервер туннели рования VPN, ISDN NT1, и другие, для уменьшения эксплуатационных издержек.

•Возможность дистационного управления решения, на основе приложений CiscoWorks или CiscoView.

Защита инвестиций

Особенности RISC архитектуры Cisco 1750, ПО Cisco IOS, и др. модульных конструкций обеспечивают защиту инвестиций для предприятий, которым сегодня нужны только возможности по передаче данных, а в дальней шем планируется переход к мультисервисной сети, или VPN.

Защита на основе сервера доступа

Этот способ защиты основывается на выделенном сервере доступа к Internet на базе ПК с ОС семейства UNIX, например BSD/OS 4.0 и реже ОС семейства MS Windows.

В данном случае ПО выполняет функции:

•маршрутизации;

•фильтрации;

•сервисного обслуживания и др.

Данное решение характеризуется минимальной ценой. Здесь по уровню надежности, безопасности и произ водительности наиболее предпочтительны решения на основе UNIX подобной операционной системы. Заме тим, что затраты на сопровождение данного решения в будущем, как правило, сопоставимы, а в ряде случаев даже превосходят стоимость третьего из перечисленных вариантов защиты.

Иерархическая архитектура защиты копоративной сети

Главными отличительными особенностями корпоративной сети можно считать централизованное управление сетью связи и заданный уровень защищенности сети, который определяется конфиденциальностью инфор

46.8

Организация безопасного подключения к INTERNET

мации, обрабатываемой в сети корпорации, и учитывает средства и каналы связи всех существующих подсе тей. Как правило, при построении корпоративной сети нельзя забывать об организации доступа в INTERNET. Это влечет за собой требование поддержки протоколов INTERNET для служб передачи данных (уровни 1 3 ЭМВОС), т. е. IP. Поэтому практически во всех современных протоколах альтернативных сетевых технологий прописаны правила инкапсуляции IP датаграмм.

Предлагаемое здесь решение для создания корпоративной сети, использующей каналы INTERNET, должно ба зироваться на двух основных принципах:

•обязательное использование закрытого протокола при установлении соединения клиент—сервер, в рам ках которого между абонентами сети согласуются параметры защищенного взаимодействия по виртуаль ному каналу связи (например, необходимость шифрования информации при передаче, применения элект ронной подписи) и решается задача выбора требуемого виртуального канала (если их несколько);

•доступность открытых протоколов (команд Internet — telnet, Ftp и т. д.) для взаимодействия по защи

щенному виртуальному каналу после установления соединения.

Кроме того, если сетевой администратор предоставляет пользователям своей сети возможность выхода в Internet, то администратор безопасности должен позаботиться о защите корпоративного достояния, разграничив их права доступа к внутренним серверам — прежде всего, по именам файлов. Для этого необходимо реализовать вирту альную файловую систему, которая скрывает от пользователя размещение файлов на конкретных серверах. Межсетевой экран, выполняющий такую функцию защиты, имеет свою базу данных безопасности. Используя ее, он сам формирует заголовок соответствующего пакета, в который вставляет только ему известный адрес сервера. Параметрами фильтрации могут служить тип команды Internet, команда обработки файла (запись, счи тывание, чтение с модификацией), IP адрес, время или продолжительность взаимодействия и т. д. Запрос на право доступа располагается в поле данных TCP пакета, который передается по межсетевому экрану при уста новлении соединения.

Рис. 7. Структура корпоративной сети с единым ЦУСС

Рис. 8. Структура корпоративной сети с выделенным ЦУБ

46.9

Реализация политики безопасности средствами СУБД

Функциональные требования защищенности сети определяют конфигурацию корпоративной сети и ограни чения на использование сетевых протоколов:

1.В корпоративной ЛВС должно обеспечиваться физическое разделение (подключение к различным связ ным ресурсам) серверов и рабочих мест, т. е. необходима организация подсетей рабочих мест и серверов.

2.Во всех функциональных подсистемах (подсетях серверов и рабочих мест) нужно реализовать протоколы TCP/IP (для удаленных рабочих мест IP пакеты инкапсулируются в пакеты соответствующих подсетей), что дает возможность использования сервисов Internet в корпоративной сети.

3.Для того, чтобы оградить корпоративную сеть от несанкционированного доступа, требуется обеспечи вать следующие мероприятия:

•протоколы верхних уровней (5—7 уровни ЭМВОС) должны быть закрыты и несовместимы с протоко лами телекоммуникационных служб Internet при установлении соединения и открыты при обмене информацией;

•при установлении соединения необходима защита от возможной подмены алгоритма взаимодей ствия клиента с сервером;

•сервер INTERNET (коммуникационный сервер доступа к INTERNET) должен быть исключен из подсе ти функциональных серверов и иметь собственную группу рабочих станций, исключенных из подсе ти функциональных рабочих мест;

•для реализации взаимодействия через подсети нужно снабдить корпоративную сеть межсетевыми средствами защиты от несанкционированного доступа. Эти средства должны обеспечивать сокры тие структуры защищаемых объектов, в частности IP адресов, поскольку их шифрование недопусти мо при использовании средств коммутации сетей передачи данных общего пользования.

4.Для эффективного функционирования сети должны быть реализованы централизованно ее службы ад министративного управления, перечень которых определяется архитектурой управления взаимодействием открытых систем (ISO/TС/ 97/SC 21 N1371 ISO/DP 7498/4. Information Processing Systems — OS1 Reference Model — Part 4: Management Framework). В этот перечень входят службы управления: эффективностью функционирования, конфигурацией и именами, учетными данными, при отказах и сбоях. Поэтому в струк туру корпоративной сети нужно включать средства маршрутизации и коммутации, функционирующие под протоколами TCP/IP, которые удаленно управляются из единого центра управления сетью связи, ЦУСС (слайд 16 3, рис. 1). К сожалению, не представляется возможным влиять на маршрутизацию, осуществ ляемую внутри подсети, к которой подключаются удаленные пользователи (с точки зрения построения корпоративной сети считаем, что здесь используются виртуальные каналы, которые не могут маршрути зироваться из ЦУСС).

5.Для обеспечения высокого уровня защищенности служба административного управления безопасностью дол жна быть централизованной. В сети необходимо организовать выделенный центр управления безопасностью

(ЦУБ), который занимается сбором информации обо всех зарегистрированных нарушениях, ее обработкой и анализом с целью удаленного управления всеми техническими средствами защиты информации.

Следует особо отметить следующее. Функции ЦУС и ЦУБ не должны быть совмещены на одном рабочем месте администратора сети (несмотря на то, что они являются службами сетевого управления). Требуется предусмот реть алгоритм взаимодействия между ними, поскольку не исключено, что решения, принимаемые администра торами для управления и защиты корпоративной сети в процессе ее функционирования, могут оказаться прямо противоположными.

Межсетевые средства (МС) защиты можно разделить на:

•открытые;

•корпоративные.

Первые — это межсетевые экраны, функционирующие на основе открытых протоколов Internet и предназ наченные для подключения к сети корпорации открытых серверов Internet. Корпоративные МС позволяют организовать в корпоративной сети защищенное взаимодействие клиент сервер с закрытыми серверами кор порации, в том числе по виртуальным каналам сетей общего пользования.

Корпоративные межсетевые средства защиты делятся на:

•внутренние;

•внешние.

При этом внешние МС (они работают на виртуальном канале парами входной и выходной) решают задачу разграничения прав доступа к виртуальному каналу связи и согласования параметров его защищенности при взаимодействии клиент — сервер, а внутренние обеспечи вают разграничение прав доступа к ресурсам информационного сервера.

Структура типовой защищенной корпоративной сети представлена на рис.9.

Важнейшим следствием применения рассмотренных принципов организации межсетевых средств защиты яв ляется возможность разграничения прав доступа к БД безопасности при администрировании средств защи ты, а также мандатного принципа управления доступом к информации. Администратор безопасности может не иметь допуска к данным, обрабатываемым в корпоративной сети, т.е. ему предоставляется доступ только к служебной информации (например, к БД безопасности на МЭ, к маршрутным таблицам и т. д.), а не к соб ственно корпоративной.

При использовании ЦУБ функции маршрутизации, необходимые для подключения технических средств кор порации к каналам связи подсетей, в защищенной корпоративной сети должны дополнительно включать в себя аутентификацию при создании и изменении маршрутных таблиц, а также возможности выбора вирту ального канала и управления потоками на его уровне. Заметим, что при выборе канала нужно учитывать его

46.10

Организация безопасного подключения к INTERNET

вид (выделенный, общий) и уровень защищенности — это необходимо как для согласования качества обслу живания, так и при установлении соединения.

Управление потоками не только повышает эффективность работы сети и ее безопасность, но и помогает бороться с «заваливанием» виртуальных каналов избыточными пакетами. Маршрутизаторы могут отключать «опасных» пользователей или имеющих низкий приоритет доступа к виртуальному каналу при перегрузках сети.

Система обеспечения целостности (проверка по контрольным суммам информации — ПО и данных) при обретает в рамках рассматриваемой концепции весьма важное значение. Она гарантирует обнаружение возможных несанкционированных искажений и подмены маршрутных таблиц, изменений в базах данных безопасности с прописанными в них правами доступа к сетевым ресурсам сети, а также модификаций в ПО рабочих станций, которые используются для установления соединения с сервером по закрытым протоко лам. Очевидно, что следует применять «глобальную» (в рамках сети) систему обеспечения целостности, а вся информация об искажениях должна поступать в ЦУБ.

При этом целесообразна разработка сетевой системы обеспечения целостности, которая позволит эффек тивно контролировать ПО и данные, размещенные на рабочих станциях и серверах корпорации, и имеет встро енные средства предотвращения несанкционированного доступа к защищаемой информации. При этом, на пример, контроль за данными может быть реализован с помощью списков событий (в том числе списка имен зарегистрированных в ОС пользователей, списка санкционированных процессов и т. д.).

При использовании такого принципа изменение данных возможно только после модификации определенных списков. Поскольку на проверку списков затрачивается всего несколько миллисекунд (в то время как на тради ционный контроль за целостностью данных — минуты), то ее можно осуществлять постоянно в фоновом режи ме, причем потери производительности не превысят 1%. В этом случае можно не только фиксировать факт на рушения целостности файлов, но и предотвращать несанкционированный доступ, запуская соответствующие оп ции ОС (например, «уничтожить» несанкционированный процесс). При сетевой реализации эталонные списки должны храниться в ЦУБ и периодически сравниваться со списками, получаемыми с рабочих станций и серве ров, где установлены собственные системы контроля за целостностью.

станции

Рис.9. Структура типовой защищенной корпоративной сети (средства ЗИ — средства защиты информации)

Использование средств безопасности для защиты сервисов INTERNET

При выборе архитектуры корпоративной сети необходимо предусмотреть наличие средств безопасности ос новных сервисов, обеспечиваемых связью с INTERNET. В таблице 1 показано соответствие между имеющи мися средствами безопасности и INTERNET сервисами, часто используемыми организациями. Крестики по казывают, какие средства безопасности часто используются для организации безопасной работы данного сервиса. Некоторые из средств, такие, как улаживание последствий инцидентов с безопасностью, обеспечи вают безопасность для всех сервисов, в таких случаях знак стоит напротив тех сервисов, для которых данное средство необходимо.

46.11

Реализация политики безопасности средствами СУБД

Таблица 1.

Использование средств безопасности для защиты сервисов

Допустимое использование

Организациям необходимо определить правила допустимого использования INTERNET и и WWW, аналогично тому, как определяются правила использования служебного телефона. Хотя кажется, что можно просто ска зать что то вроде следующего “ INTERNET может использоваться только для коммерческих задач организа ции”, это требование является невыполнимым. Если политика не может быть реализована, то нарушения не избежны и политика не сможет быть основанием для применения к нарушителям наказаний.

Организации с высоким уровнем риска, которых не устраивает вариант периодического использования INTERNET сотрудниками в личных целях, могут принять некоторое альтернативное решение, более уместное и реализуемое в рамках конкретной организации:

Для использования INTERNET сотрудниками должен использовать либо отдельный канал связи, либо комму тируемое подключение у провайдера INTERNET. Машины, испоьзующие этот сервис, не должны быть соеди нены с внутренними сетями и могут использоваться периодически в соответствии с политикой организации в отношении допустимого использования INTERNET. Могут использоваться программные средства, такие как брандмауэр, для блокирования доступа к сайтам в INTERNET, не включенным в список разрешенных в орга низации сайтов.

Для организаций с любым уровнем риска некоторые виды использования соединения с INTERNET должны быть запрещены в любом случае. Такими видами использования являются:

•компрометация персональных данных пользователей

•внесение помех в работу компьютеров или искажение программ и данных, находящихся на компьютерах

•использование компьютерных систем и их ресурсов по назначению

•чрезмерное использование ресурсов, которые нужны для работы организации (люди, пропускная способ ность канала, процессорное время)

•использование нелицензионных копий программ

•использование компьютера для начала атаки на другие компьютерные системы

•использование государственных, корпоративных или университетских компьютеров для личных целей или в целях, для которых они не предназначены

•неавторизованное сканирование и зондирование, а также другое исследование узлов сети недопусти мым образом

•использование, приводящее к загрузке, выгрузке, модификации или удалению файлов на других маши

нах сети, на которых такие действия считаются неавторизованными

Независимо от типа политики организации в области допустимого использования INTERNET главным фактором, влияющим на поведение пользователей, является их обучение. Пользователи должны знать, что они являются составной частью репутации организации и использование ими INTERNET влияет на репутацию. Пользователи должны знать, что каждое посещение ими сайтов оставляет на них следы, и знать, почему организация оставля ет за собой право наблюдать за использованием INTERNET. Администраторы должны знать о своих обязаннос тях в отношении используемых программно аппаратных средств (например, для блокирования доступа к сай там, наблюдения за работой) для реализации принятой в организации политики.

46.12

Организация безопасного подключения к INTERNET

Политика использования INTERNET - низкий риск

Независимо от типа политики организации в области допустимого использования, INTERNET считается важной ценностью организации. Пользователям рекомендуется использовать Интернет и учиться делать это професси онально. С помощью такого открытого доступа сотрудники должны лучше выполнять свои обязанности.

Сотрудники не должны использовать INTERNET для своих личных целей и не должны посещать вредные и пор нографические сайты, а также не должны получать доступ или использовать информацию, которая считается оскорбительной. Деятельность сотрудников, нарушающих это, будет контролироваться и они будут наказаны, вплоть до уголовного наказания.

Доступ к INTERNET с компьютера, принадлежащего организации или через соединение, принадлежащее орга низации, должен соответствовать требованиям политик, касающихся допустимого использования техники организации. Сотрудники не должны позволять членам своих семей или посторонним лицам получать доступ к компьютерам организации.

Пользователи, посылающие письма в группы новостей USENET и списки рассылки, должны включать пункт о том, что это их личное мнение, в каждое сообщение.

Невозможно составить список всех возможных видов неавторизованного использования, поэтому дисцип линарные наказания применяются только после того, как другие способы исчерпали себя. Примерами непри емлемого использования, которое приводит к наказаниям, являются:

•неавторизованные попытки получить доступ к компьютеру

•использование рабочего времени и ресурсов организации для личной выгоды

•кража или копирование файлов без разрешения

•посылка конфиденциальных файлов организации во внешние компьютеры или в другие внутренние ком пьютеры неавторизованными на это людьми

•отказ помогать сотрудникам отдела информационной безопасности

•посылка писем пирамид по электронной почте

Политика использования INTERNET - средний риск

Компьютеры и сети организации могут использоваться только для выполнения служебных обязанностей. Допускается редкое их использование в личных целях. Любое их использование, которое можно считать не законным или нарушающим политику организации, или такое использование, которое наносит вред органи зации, может явиться причиной административных наказаний, включая увольнение. Все сотрудники должны бережно использовать свои компьютеры .

Другой подход может быть таким:

Сетевое оборудование организации, включая сервера, доступные из INTERNET, а также подключенные к ним компьютеры и установленные на них программы могут использоваться только для разрешенных целей. На чальники подразделений могут разрешить иногда иной доступ, если он не мешает выполнять служебные обя занности, не является слишком продолжительным и частым, служит интересам организации, таким, как по вышение квалификации ее сотрудников, и не приводит к дополнительным расходам для организации.

Письма пользователей в группы новостей USENET, списки рассылки и т.д. должны включать строку о том, что точка зрения, выраженная в письме – личная точка зрения, а не точка зрения организации.

Личные бюджеты пользователей онлайновых сервисов не должны использоваться с компьютеров организации.

Для получения доступа к платным сервисам с компьютера организации, она должна предварительно осуществить подписку на них и заплатить за это деньги.

Пользователям выдаются пароли для работы на компьютерах организации, чтобы защитить критическую ин формацию и сообщения от неавторизованного исопльзования или просмотра. Такие пароли не защищают от просмотра информации руководством организации. Руководство оставляет за собой право периодически контролировать использование сотрудниками компьютерных систем и сетей.

Начальники подразделений отвечают за обеспечение гарантий того, что их подчиненные понимают полити ку допустимого использования INTERNET.

Доступ к INTERNET с домашнего компьютера должен соответствовать требованиям политик, касающихся до пустимого использования техники организации. Сотрудники не должны позволять членам своих семей или посторонним лицам получать доступ к компьютерам организации.

Политика использования INTERNET - высокий риск

Организация полностью соединена с INTERNET и другими сетями. В целом, пользователи имеют неограни ченный доступ к сети. Но доступ из INTERNET или других сетей к ресурсам организации разрешен только тог да, когда это требуется для выполнения служебных обязанностей.

Для личного использования INTERNET сотрудниками имеется отдельный сервер доступа. Этот сервис должен использоваться только для отдельных сотрудников с обоснованием доступа к нему. С его помощью можно получать доступ только с тем сайтам, которые одобрены организацией.

Любое их использование, которое можно считать незаконным или нарушающим политику организации, или та кое использование, которое наносит вред организации, может явиться причиной ажминистративных наказа ний, включая увольнение. Все сотрудники должны бережно использовать свои компьютеры.

46.13

Реализация политики безопасности средствами СУБД

Письма пользователей в группы новостей USENET, списки рассылки и т.д. должны включать строку о том, что точка зрения, выраженная в письме – личная точка зрения, а не точка зрения организации.

Руководство оставляет за собой право периодически контролировать использование сотрудниками компью терных систем и сетей

Доступ к INTERNET с домашнего компьютера должен соответствовать требованиям политик, касающихся до пустимого использования техники организации. Сотрудники не должны позволять членам своих семей или посторонним лицам получать доступ к компьютерам организации.

Заключение

Преимущества, которые предоставляют безграничные возможности информационной супермагистрали, дают основания утверждать, что INTERNET изменит образ жизни всего общества. Все большее количество пользо вателей будут обращаться к услугам глобальной сети для решения своих производственных задач, а потому вопрос контроля за тем, насколько рационально и правильно они используют предоставляемую им возмож ность, будет вставать повсеместно и все более остро.

На следующем занятии мы систематизируем знания о межсетевых экранах, как наиболее мощных средсвах защи ты в INTERNET. Это позволит более полно оценить предложения ООО “Конфидент” по использованию данных средств, которые будут рассмотрены позже.

46.14