2.1.9.4. Методы и средства защиты информации в сетях. Программные средства защиты информации

Защита информации в сети на рис. 157 может быть улучшена за счет использования специальных генераторов шума, маскирующих побочные электромагнитные излучения и наводки, помехоподавляющих сетевых фильтров, устройств зашумления сети питания, скремблеров (шифраторов телефонных переговоров), подавителей работы сотовых телефонов и т.д. Кардинальным решением является переход к соединениям на основе оптоволокна, свободным от влияния электромагнитных полей и позволяющим обнаружить факт несанкционированного подключения.

В целом средства обеспечения защиты информации в части предотвращения преднамеренных действий в зависимости от способа реализации можно разделить на группы:

1. Технические (аппаратные) средства. Это различные по типу устройства (механические, электромеханические, электронные и др.), которые аппаратными средствами решают задачи защиты информации. Они либо препятствуют физическому проникновению (либо, если проникновение все же состоялось) доступу к информации, в том числе с помощью ее маскировки. Первую часть задачи решают замки, решетки на окнах, защитная сигнализация и др. Вторую – упоминавшиеся выше генераторы шума, сетевые фильтры, сканирующие радиоприемники и множество других устройств, «перекрывающих» потенциальные каналы утечки информации или позволяющих их обнаружить. Преимущества технических средств связаны с их надежностью, независимостью от субъективных факторов, высокой устойчивостью к модификации. Слабые стороны – недостаточная гибкость, относительно большие объем и масса, высокая стоимость.

2. Программные средства включают программы для идентификации пользователей, контроля доступа, шифрования информации, удаления остаточной (рабочей) информации типа временных файлов, тестового контроля системы защиты и др. Преимущества программных средств – универсальность, гибкость, надежность, простота установки, способность к модификации и развитию. Недостатки – ограниченная функциональность сети, использование части ресурсов файл-сервера и рабочих станций, высокая чувствительность к случайным или преднамеренным изменениям, возможная зависимость от типов компьютеров (их аппаратных средств).

4. Смешанные аппаратно-программные средства реализуют те же функции, что аппаратные и программные средства в отдельности, и имеют промежуточные свойства.

5. Организационные средства складываются из организационно-технических (подготовка помещений с компьютерами, прокладка кабельной системы с учетом требований ограничения доступа к ней и др.) и организационно-правовых (национальные законодательства и правила работы, устанавливаемые руководством конкретного предприятия). Преимущества организационных средств состоят в том, что они позволяют решать множество разнородных проблем, просты в реализации, быстро реагируют на нежелательные действия в сети, имеют неограниченные возможности модификации и развития. Недостатки – высокая зависимость от субъективных факторов, в том числе от общей организации работы в конкретном подразделении.

По степени распространения и доступности выделяются программные средства, в частности методы шифрования данных, поэтому далее они рассматриваются более подробно (см. п. 2.1.8.5). Другие средства применяются в тех случаях, когда требуется обеспечить дополнительный уровень защиты информации.

Встроенные средства зашиты информации в сетевых ОС доступны, но не всегда могут полностью решить возникающие на практике проблемы. Например, сетевые ОС NetWare 3.x, 4.x позволяют осуществить надежную «эшелонированную» защиту данных от аппаратных сбоев и повреждений. Система SFT (System Fault Tolerance – система устойчивости к отказам) компании Novell включает три основные уровня:

• SFT Level J предусматривает, в частности, создание дополнительных копий FAT и Directory Entries Tables, немедленную верификацию каждого вновь записанного на файловый сервер блока данных, а также резервирование на каждом жестком диске около 2% от объема диска. При обнаружении сбоя данные перенаправляются в зарезервированную область диска, а сбойный блок помечается как «плохой» и в дальнейшем не используется.

• SFT Level II содержит дополнительные возможности создания «зеркальных» дисков, а также дублирования дисковых контроллеров, источников питания и интерфейсных кабелей.

• SFT Level III позволяет применять в локальной сети дублированные серверы, один из которых является «главным», а второй, содержащий копию всей информации, вступает в работу в случае выхода «главного» сервера из строя.

Система контроля и ограничения прав доступа в сетях NetWare (защита от несанкционированного доступа) также содержит несколько уровней:

• уровень начального доступа (включает имя и пароль пользователя, систему учетных ограничений – таких как явное разрешение или запрещение работы, допустимое время работы в сети, место на жестком диске, занимаемое личными файлами данного пользователя, и т.д.);

• уровень прав пользователей (ограничения на выполнение отдельных операций и/или на работу данного пользователя как члена подразделения, в определенных частях файловой системы сети);

• уровень атрибутов каталогов и файлов (ограничения на выполнение отдельных операций, в том числе удаления, редактирования или создания, идущие со стороны файловой системы и касающиеся всех пользователей, пытающихся работать с данными каталогами или файлами);

• уровень консоли файл-сервера (блокирование клавиатуры файл-сервера на время отсутствия сетевого администратора до ввода им специального пароля).

Однако полагаться на эту часть системы защиты информации в ОС NetWare можно далеко не всегда. Свидетельством тому являются многочисленные инструкции в Интернете и готовые доступные программы, позволяющие взломать те или иные элементы защиты от несанкционированного доступа.

То же замечание справедливо по отношению к более поздним версиям ОС NetWare (вплоть до последней 6-й версии) и к другим «мощным» сетевым ОС со встроенными средствами защиты информации (Windows NT, UNIX,...). Дело в том, что защита информации – это только часть тех многочисленных задач, которые решаются сетевыми ОС. Усовершенствование одной из функций в ущерб другим (при понятных разумных ограничениях на объем, занимаемый данной ОС на жестком диске) не может быть магистральным направлением развития таких программных продуктов общего назначения, которыми являются сетевые ОС. В то же время в связи с остротой проблемы зашиты информации наблюдается тенденция интеграции (встраивания) отдельных, хорошо зарекомендовавших себя и ставших стандартными средств в сетевые ОС, или разработка собственных «фирменных» аналогов известным программам защиты информации. Так, в сетевой ОС NetWare 4.1 предусмотрена возможность кодирования данных по принципу «открытого ключа» (алгоритм RSA) с формированием электронной подписи для передаваемых по сети пакетов.

Специализированные программные средства защиты информации от несанкционированного доступа обладают в целом лучшими возможностями и характеристиками, чем встроенные средства сетевых ОС. Кроме программ шифрования и криптографических систем, существует много других доступных внешних средств защиты информации. Из наиболее часто упоминаемых решений следует отметить следующие две системы, позволяющие ограничить и контролировать информационные потоки.

1. Firewalls – брандмауэры (дословно firewall – огненная стена). Между локальной и глобальной сетями создаются специальные промежуточные серверы, которые инспектируют и фильтруют весь проходящий через них трафик сетевого/транспортного уровней. Это позволяет резко снизить угрозу несанкционированного доступа извне в корпоративные сети, но не устраняет эту опасность полностью. Более защищенная разновидность метода – это способ маскарада (masquerading), когда весь исходящий из локальной сети трафик посылается от имени firewall-сервера, делая локальную сеть практически невидимой.

2. Proxy-servers (proxy – доверенность, доверенное лицо). Весь трафик сетевого/транс-портного уровней между локальной и глобальной сетями запрещается полностью – маршрутизация как таковая отсутствует, а обращения из локальной сети в глобальную происходят через специальные серверы-посредники. Очевидно, что при этом обращения из глобальной сети в локальную становятся невозможными в принципе. Этот метод не дает достаточной защиты против атак на более высоких уровнях – например, на уровне приложения (вирусы, код Java и JavaScript).

Использование брандмауэров. Повышение безопасности данных достигается также разбиением структуры сети на подсети, так как при подключении пользователей к различным физическим сегментам сети можно запретить доступ определенных пользователей к ресурсам других сегментов, установив различные логические фильтры на мостах, коммутаторах и маршрутизаторах. Такой способ защиты называется установлением брандмауэра, или сетевого экрана. Этот экран располагается между защищаемым внутренним сегментом сети и внешней сетью или другими сегментами внутренней сети интранет и контролирует, а также выборочно фильтрует трафик.

Брандмауэры выполняются в виде аппаратного или программного комплекса, записанного в коммутирующее устройство или на сервер доступа (другие названия: сервер-шлюз, прокси-сервер, хост-компьютер). Межсетевой экран переписывает реализуемый стек протокола TCP/IP, и поэтому нарушить его работу искажением протоколов внешней сети невозможно.

Брандмауэр Windows. Для того чтобы защитить компьютер от несанкционированного доступа к нему, в состав Windows Vista включено средство, которое закрывает доступ к компьютеру извне во всех случаях, кроме явно разрешенных пользователем. Брандмауэр настраивается системой автоматически при первом указании пользователем вида сети, в которую входит компьютер. В дальнейшем можно изменить настройки защиты.

Получить доступ к настройкам брандмауэра Windows можно, открыв из окна Центра обеспечения безопасности Windows окно Брандмауэр Windows, воспользовавшись соответствующим пунктом меню. Воспользовавшись ссылкой Изменить параметры, имеющейся в этом окне, можно открыть окно Параметры брандмауэра Windows, которое имеет три вкладки, на каждой из которых можно выполнить определенные настройки.

Так, на вкладке Общие можно выключить брандмауэр Windows или включить выбрать режим Блокировать все входящие подключения, который может быть полезен при работе в неизвестных вам и небезопасных сетях.

На вкладке Дополнительно можно указать те сетевые подключения, которые должны быть защищены брандмауэром. Вполне возможно, что одно из подключений используется вами для связи со вторым своим компьютером. Защищать себя от себя, возможно, вам не потребуется.

На вкладке Исключения можно указать программы или отдельные порты, к которым необходимо обеспечить беспрепятственный доступ из сети или Интернета. Автор использует, например, удаленный доступ к рабочему столу своего компьютера. Конечно, Дистанционное управление рабочим столом должно быть исключено из числа блокируемых внешних обращений к компьютеру.

Исключения пользователь может добавлять самостоятельно, указав, например, порт, используемый программой. Но исходя из соображений безопасности, возможно ограничить число компьютеров, с которых будет возможен доступ к этому порту, указав конкретные значения разрешенных IP-адресов, воспользовавшись кнопкой Изменить область. Можно, конечно, разрешить доступ для всех или для определенной сети. Если вопросы безопасности имеют очень серьезное значение, то через меню Администрирование в Панели управления, можно открыть апплет Брандмауэр Windows в режиме повышенной безопасности. Здесь есть возможность очень тонкой настройки правил для входящих и исходящих пакетов.

Файервол в Mandriva Linux. В Linux настройка защиты компьютера не сложнее, чем в Windows. Откройте Центр управления Mandriva Linux и выберите Безопасность в левой части окна. В правой части откройте утилиту Настройка файервола. В открывшемся одноименном окне выберите службы, которым необходимо предоставить доступ к компьютеру. Если есть особые службы, отсутствующие в списке, можно указать номера портов и протоколов, через которые они работают. Нажмите кнопку ОК, и в следующем окне можно выбрать службы, обращение к которым будет сопровождаться сообщением. В следующем окне отметьте интерфейсы, которые необходимо защитить. Файервол следует настраивать каждый раз, когда появляются новые программы или службы, требующие доступа к компьютеру из локальной сети или Интернета.

Файервол для Windows Comodo.

По адресу в Интернете http://www.personaIfirewaIl.comodo.com можно бесплатно получить бесплатную программу Comodo Firewall Pro. Программа предлагается в двух версиях. Более новая версии 3.0, но не имеющая русскоязычного интерфейса, но совместимая с Windows Vista, и преды­дущая версия 2.4 с русскоязычным интерфейсом, предназначенная для работы в Windows 2000/ХР/2003.

Интерфейсы и возможности версий программы отличаются довольно существенно. В последней версии программы есть режим обучения. В качестве программы для защиты от сетевых вторжений вполне достаточно версии 2.4. Применяя эту программу, можно отключать брандмауэр Windows, выполнив все необходимые настройки в Comodo Firewall Pro. Сетевые правила легко добавляются, удаляются и редактируются. Конкретные рекомендации по настройке файервола давать сложно. Кто-то работает в безопасной сети, где только доверенные компьютеры, и защита от вторжений из этой сети не требуется. Кто-то наоборот, обеспокоен возможностью атак на его компьютер с любой стороны и устанавливает самый высокий уровень защиты, когда пере­крыты возможности обмена информацией с внешним миром по всем портам, адресам и протоколам, за исключением самых необходимых. Приведем небольшое описание функций программы, которые появились в новой версии.

Режим чистого ПК (Clean PC Mode). При этом режиме все установленные на компьютере программы по умолчанию признаются безопасными. И только новые программы, пытающиеся получить права на управление компьютером, будут блокироваться, пока не получат на это разрешение. Этот режим защищает от большинства вредоносных программ и руткитов. Полезно при установке Comodo Firewall Pro на новый компьютер (или после переустановки системы).

Примечание: Руткит – это набор программ, которые модифицируют имеющиеся исполняемые файлы в системе. Данный процесс нарушает целостность базы доверия компьютера (Trusting Computer Base).

Defense+. Defense+ закрывает доступ к критическим системным файлам и блокирует вредоносные программы до того, как они получат шанс установиться.

Продвинутый движок сетевого файервола (Advanced Network Firewall Engine). В новой версии появились новые системы и инструменты: скрытый режим (Stealth Mode), что делает компьютер практически невидимым для вредоносных программ; автоопределитель безопасных зон; защита настроек Comodo Firewall Pro паролем; диагностика возможного конфликта системы с файерволом и многое другое.

Режим обучения (Training Mode). Comodo Firewall Pro 3.0 больше не будет прерывать работу беспочвенными сообщениями по поводу программ, которым доверяет пользователь. Режим «Train with Safe Mode» позволяет компьютеру запомнить безопасные приложения и тихо создать правила для них.

Увеличенная база данных программ. На сегодняшний день Comodo Firewall Pro распознает около миллиона программ по степени их безопасности. Перед установкой каждой из известных программ проверяются ее параметры, чтобы исключить возможность маскировки вредоносных программ под безопасные.

Установив и настроив эту программу, можно быть уверенным, что вредоносные программы не нарушат целостности операционной системой Windows.

Использование антивирусных программ. Для Linux существует около сотни вирусов. Еще не было вирусных эпидемий в среде пользователей Linux. Но это не значит, что вирусы совершенно безопасны для пользователей Linux. Linux способна оградить от вирусов и хакерских атак, но только в том случае, если пользователь поможет системе проявить ее лучшие свойства. Поэтому следует использовать простые правила:

1. Выполнять всю повседневную работу от имени рядового пользователя, root-аккаунт задействуется только для администрирования системы;

2. Удалять все ненужные программы; избавляться от программ неизвестного назначения; отключать все сервисы, которые не используются:

3. При установке программ, использовать только официальными файловыми архивами, а с течением времени, по возможности собирать новые программы из исходников.

Это рекомендации со страницы http://knoppix.ru/130306.shtml.

Наибольшее распространение в компьютерных сетях нашел Windows, а для Windows написано несколько десятков тысяч вирусов. Можно соблюдать правила, приведенные выше, при работе в Windows (в Windows Vista эту возможность применять удобнее, чем в более старых версиях), но даже в этом случае опасность поражения вирусом в Windows весьма высока.

Это значит, что без антивирусной программы не обойтись. Известных антивирусных пакетов довольно много. Все они достаточно эффективно обнаруживают и уничтожают большинство вирусов. Многие имеют антивирусные мониторы, которые обнаруживают и обезвреживают вирусы на лету. К сожалению, наиболее эффективные антивирусы нередко затрудняют работу пользователя, постоянно сообщая о подозрительных файлах, блокируя работу некоторых программ.

Имея в своей сети Linux, можно использовать ее высокий иммунитет к вирусным заражениям для повышения безопасности работы всей сети. Никто не мешает совершать прогулки в Интернет через Linux. Linux имеет простые средства для удаленного подключения к рабочему месту. Можно, не отходя от машины с Windows, подключаться к компьютеру под управлением Linux. Сохраненные файлы затем можно скопировать или перенести на свой компьютер. Но здесь уже требуется осторожность. Файлы должны быть проверены антивирусной программой.

Многие пользователи Windows хотели бы найти бесплатную антивирусную программу. И такая программа есть. Она не имеет ограничений по времени использования, обновляет через Интернет свои базы и совершенно бесплатна. Она не содержит антивирусных мониторов, но сканирует папки, диски, отдельные файлы, которые ей указаны. Получить программу, которая называется Clam Antivirus, можно, загрузив ее со страницы http://ru.clamwin.com/content/view/18/46/. Интересно, что существует портативная версия программы, которая не требует установки и может быть запущена с флеш-накопителя http://portableapps.com/apps/utilities/ clamwin_portable.

Программа существует и для Linux. При желании можно получить версии программы для других операционных систем со страницы http://www.clamav.org/download/.

Среди многих упомянем также программу Avast! Это еще одна бесплатная антивирусная программа. Для ее легального использования требуется регистрация на сайте программы. Существует русскоязычный сайт http://www.avast.ru, где можно найти информацию и о коммерческих версиях программы. Работа с avast! Не вызывает проблем даже у начинающих пользователей. Русскоязычный интерфейс, настройки по умолчанию, которые вполне подходят для повседневной работы с компьютером, возможность, как ручного режима работы, так и автоматического, когда сканирование файлов, программ, сетевой активности, электронной почты происходит «налету».

Криптографическое закрытие информации. Еще одно средство защиты информации – криптографическое закрытие информации, или шифрование (encryption, от crippling – деформация). Это мощная алгоритмическая техника кодирования. Зашифрованные с помощью преобразования данные могут быть прочитаны только с использованием специального ключа деформации. Криптозащита снижает опасность несанкционированного доступа, обеспечивая конфиденциальность, аутентификацию целостность и управление доступом (access control) системы управления данными.

В работе сети шифрование выполняется на одном из четыре; уровней модели OSI (рис. 158).

Рис. 158. Уровни сети OSI, на которых чаще всего применяется шифрование

При шифровании на канальном уровне, или уровне управления линией передачи данных (уровень 2), отправитель шифрует информацию только один раз, затем передает по линии связи. При переходе с одной линии связи на другую данные расшифровываются, а затем снова зашифровываются, на что затрачивается много времени, поэтому скорость передачи и производительности сети снижаются. Кроме того, в каждом узле данные некоторое время находятся в незащищенном виде.

Опасность утечки информации и снижение производительнос­ти сети исключены при шифровании на транспортном уровне (уровень 4). Еще эффективнее этот метод тогда, когда протокол поддержки уровня 4 выполнен в виде аппаратного обеспечения, а не реализуется программой, работающей в главном узле, с которого можно получить ключ и метод шифровки.

Шифрование на прикладном уровне, или уровне приложений (уровень 7), мало зависит от нижележащих уровней и совсем не зависит от их протоколов. При таком подходе необходимо обеспечить одновременную работу соответствующего программного обеспечения.

Один из подходов к шифрованию данных был в 1976 г. предложен IBM и отражен в стандарте шифрования данных DES (Data Encryption Standard). На основе стандарта DES было разработано много различных продуктов.

Для оценки степени защиты информации от несанкционированного доступа в руководящих документах Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации» и «Показатели защищенности от несанкционированного доступа к информации», изданных в 1998 г., рекомендовано использовать показатели: Р_а – вероятность попадания информации абоненту, которому она не предназначена; Р_с – вероятность непрохождения сигнала тревоги. При оптимизации систем защиты информации вместо вероятностей Р_а и Р_с удобнее использовать коэффициенты К_а = Р_а/Р_обр К_с = Р_с/Р_обр, где Р_обр – вероятность появления несанкционированного обращения. Коэффициенты К_а и К_с – это условные вероятности событий при появлении несанкционированного обращения. Определены пять классов конфиденциальности информации и для первых четырех рекомендованы значения показателей Р_а и Р_с:

1. Особо секретная 10^-5;

2. Совершенно секретная 10^-4;

3. Секретная 10^-3;

4. Конфиденциальная 10^-2;

5. Открытая –.