14. Методы несанкционированного доступа в локальные сети

Проблема несанкционированного доступа

Несанкционированный доступ (НСД) злоумышленника на компьютер опасен не только возможностью прочтения и/или модификации обрабатываемых электронных документов, но и возможностью внедрения злоумышленником управляемой программной закладки, которая позволит ему предпринимать следующие действия:

1. Читать и/или модифицировать электронные документы, которые в дальнейшем будут храниться или редактироваться на компьютере.

2. Осуществлять перехват различной ключевой информации, используемой для защиты электронных документов.

3. Использовать захваченный компьютер в качестве плацдарма для захвата других компьютеров локальной сети.

4. Уничтожить хранящуюся на компьютере информацию или вывести компьютер из строя путем запуска вредоносного программного обеспечения.

Защита компьютеров от НСД является одной из основных проблем защиты информации, поэтому в большинство операционных систем и популярных пакетов программ встроены различные подсистемы защиты от НСД. Например, выполнение аутентификации в пользователей при входе в операционные системы семейства Windows. Однако, не вызывает сомнений тот факт, что для серьезной защиты от НСД встроенных средств операционных систем недостаточно. К сожалению, реализация подсистем защиты большинства операционных систем достаточно часто вызывает нарекания из-за регулярно обнаруживаемых уязвимостей, позволяющих получить доступ к защищаемым объектам в обход правил разграничения доступа. Выпускаемые же производителями программного обеспечения пакеты обновлений и исправлений объективно несколько отстают от информации об обнаруживаемых уязвимостях. Поэтому в дополнение к стандартным средствам защиты необходимо использование специальных средств ограничения или разграничения доступа. Данные средства можно разделить на две категории:

1. Средства ограничения физического доступа.

2. Средства защиты от несанкционированного доступа по сети.

Средства защиты от НСД по сети

Наиболее действенными методами защиты от несанкционированного доступа по компьютерным сетям являются виртуальные частные сети (VPN – Virtual Private Network) и межсетевое экранирование. Рассмотрим их подробно.

Виртуальные частные сети

Виртуальные частные сети обеспечивают автоматическую защиту целостности и конфиденциальности сообщений, передаваемых через различные сети общего пользования, прежде всего, через Интернет. Фактически, VPN – это совокупность сетей, на внешнем периметре которых установлены VPN-агенты (см. рис. 3). VPN-агент – это программа (или программно-аппаратный комплекс), собственно обеспечивающая защиту передаваемой информации путем выполнения описанных ниже операций.

Рис. 3.

Перед отправкой в сеть любого IP-пакета VPN-агент производит следующее:

1. Из заголовка IP-пакета выделяется информация о его адресате. Согласно этой информации на основе политики безопасности данного VPN-агента выбираются алгоритмы защиты (если VPN-агент поддерживает несколько алгоритмов) и криптографические ключи, с помощью которых будет защищен данный пакет. В том случае, если политикой безопасности VPN-агента не предусмотрена отправка IP-пакета данному адресату или IP-пакета с данными характеристиками, отправка IP-пакета блокируется.

2. С помощью выбранного алгоритма защиты целостности формируется и добавляется в IP-пакет электронная цифровая подпись (ЭЦП), имитоприставка или аналогичная контрольная сумма.

3. С помощью выбранного алгоритма шифрования производится зашифрование IP-пакета.

4. С помощью установленного алгоритма инкапсуляции пакетов зашифрованный IP-пакет помещается в готовый для передачи IP-пакет, заголовок которого вместо исходной информации об адресате и отправителе содержит соответственно информацию о VPN-агенте адресата и VPN-агенте отправителя. Т.е. выполняется трансляция сетевых адресов.

5. Пакет отправляется VPN-агенту адресата. При необходимости, производится его разбиение и поочередная отправка результирующих пакетов.

При приеме IP-пакета VPN-агент производит следующее:

1. Из заголовка IP-пакета выделяется информация о его отправителе. В том случае, если отправитель не входит в число разрешенных (согласно политике безопасности) или неизвестен (например, при приеме пакета с намеренно или случайно поврежденным заголовком), пакет не обрабатывается и отбрасывается.

2. Согласно политике безопасности выбираются алгоритмы защиты данного пакета и ключи, с помощью которых будет выполнено расшифрование пакета и проверка его целостности.

3. Выделяется информационная (инкапсулированная) часть пакета и производится ее расшифрование.

4. Производится контроль целостности пакета на основе выбранного алгоритма. В случае обнаружения нарушения целостности пакет отбрасывается.

5. Пакет отправляется адресату (по внутренней сети) согласно информации, находящейся в его оригинальном заголовке.

VPN-агент может находиться непосредственно на защищаемом компьютере (например, компьютеры «удаленных пользователей» на рис. 3). В этом случае с его помощью защищается информационный обмен только того компьютера, на котором он установлен, однако описанные выше принципы его действия остаются неизменными. Основное правило построения VPN – связь между защищенной ЛВС и открытой сетью должна осуществляться только через VPN-агенты. Категорически не должно быть каких-либо способов связи, минующих защитный барьер в виде VPN-агента. Т.е. должен быть определен защищаемый периметр, связь с которым может осуществляться только через соответствующее средство защиты.

Политика безопасности является набором правил, согласно которым устанавливаются защищенные каналы связи между абонентами VPN. Такие каналы обычно называют туннелями, аналогия с которыми просматривается в следующем:

1. Вся передаваемая в рамках одного туннеля информация защищена как от несанкционированного просмотра, так и от модификации.

2. Инкапсуляция IP-пакетов позволяет добиться сокрытия топологии внутренней ЛВС: из Интернет обмен информации между двумя защищенными ЛВС виден как обмен информацией только между их VPN-агентами, поскольку все внутренние IP-адреса в передаваемых через Интернет IP-пакетах в этом случае не фигурируют.

Правила создания туннелей формируются в зависимости от различных характеристик IP-пакетов, например, основной при построении большинства VPN протокол IPSec (Security Architecture for IP) устанавливает следующий набор входных данных, по которым выбираются параметры туннелирования и принимается решение при фильтрации конкретного IP-пакета:

1. IP-адрес источника. Это может быть не только одиночный IP-адрес, но и адрес подсети или диапазон адресов.

2. IP-адрес назначения. Также может быть диапазон адресов, указываемый явно, с помощью маски подсети или шаблона.

3. Идентификатор пользователя (отправителя или получателя).

4. Протокол транспортного уровня (TCP/UDP).

5. Номер порта, с которого или на который отправлен пакет.

Межсетевое экранирование

Межсетевой экран представляет собой программное или программно-аппаратное средство, обеспечивающее защиту локальных сетей и отдельных компьютеров от несанкционированного доступа со стороны внешних сетей путем фильтрации двустороннего потока сообщений при обмене информацией. Фактически, межсетевой экран является «урезанным» VPN-агентом, не выполняющим шифрование пакетов и контроль их целостности, но в ряде случаев имеющим ряд дополнительных функций, наиболее часто из которых встречаются следующие:

• антивирусное сканирование;

• контроль корректности пакетов;

• контроль корректности соединений (например, установления, использования и разрыва TCP-сессий);

• контент-контроль.

Межсетевые экраны, не обладающие описанными выше функциями и выполняющими только фильтрацию пакетов, называют пакетными фильтрами.

По аналогии с VPN-агентами существуют и персональные межсетевые экраны, защищающие только компьютер, на котором они установлены.

Межсетевые экраны также располагаются на периметре защищаемых сетей и фильтруют сетевой трафик согласно настроенной политике безопасности.

Комплексная защита

Электронный замок может быть разработан на базе аппаратного шифратора. В этом случае получается одно устройство, выполняющее функции шифрования, генерации случайных чисел и защиты от НСД. Такой шифратор способен быть центром безопасности всего компьютера, на его базе можно построить полнофункциональную систему криптографической защиты данных, обеспечивающую, например, следующие возможности:

1. Защита компьютера от физического доступа.

2. Защита компьютера от НСД по сети и организация VPN.

3. Шифрование файлов по требованию.

4. Автоматическое шифрование логических дисков компьютера.

5. Вычислени/проверка ЭЦП.

6. Защита сообщений электронной почты.

Пример организации комплексной защиты компьютеров и межсетевого обмена данными на базе программных и аппаратных решений фирмы АНКАД приведен на рисунке ниже

Методы несанкционированного доступа в локальные сети

Рассматривая объект защиты с позиций защиты циркулирующей в ней информации, в общем случае автономную ЛВС можно представить как сеть, элементами которой являются малые комплексы средств автоматизации - персональные компьютеры с различным набором внешних устройств, а каналами связи - кабельные магистрали. Возможные каналы несанкционированного доступа к информации в ЛВС такие же, как в больших вычислительных сетях. Единственным отличием ЛВС, учитывая ее относительно малую территорию размещения, является возможность расположения каналов связи ЛВС на охраняемой территории, что значительно сокращает количество потенциальных нарушителей и в некоторых менее ответственных системах позволяет с целью экономии уменьшить прочность защиты информации в кабельных линиях связи. Малые габариты компьютера позволяют разместить его на столе в отдельном защищенном помещении и облегчают, с одной стороны, проблему контроля доступа к его внутренним линиям связи и монтажу устройств.

С другой стороны, возникает вопрос контроля целостности ЛВС, т. е. схемы соединений сети, так как ЛВС - система по своей идее децентрализованная. Вполне естествен вопрос: а всегда ли необходим такой контроль? Специалисты считают, что в очень маленьких ЛВС с парой компьютеров, которые разделяют жесткий диск и принтер, диагностика является ненужным излишеством. Но по мере роста сети возникает необходимость в мониторинге сети и ее диагностике. Большинство ЛВС имеют процедуры самотестирования низкого уровня, которые должны запускаться при включенной сети. Эти тесты обычно охватывают кабель, конфигурацию аппаратных средств, в частности плату интерфейса сети. В составе больших ЛВС предусмотрены сложные системы с двойным назначением - мониторингом и диагностикой. Центр управления сетью (ЦУС) - это пассивное мониторинговое устройство, которое собирает данные о потоках сообщений в сети, ее характеристиках, сбоях, ошибках и т. д. Данные о потоках сообщений показывают, кто пользуется сетью, а также когда и как она применяется.

NetWare фирмы Novell одна из систем, содержащих диагностику ЛВС. Консоль и монитор этой системы совместно действуют как маленькая версия ЦУС. Применяются в сети и аппаратные средства сетевой диагностики, например чип Intel 82586.

Однако упомянутые выше средства диагностики ЛВС не обнаруживают несанкционированное подключение к сети посторонней ПЭВМ. Отключение компьютера от сети контролируется, иногда с перерывами по желанию оператора или по запросу пользователя.

В больших ЛВС (до 10 км) кабельные линии могут выходить за пределы охраняемой территории или в качестве линий связи могут использоваться телефонные линии связи обычных АТС, на которых информация может подвергнуться несанкционированному доступу. Кроме того, сообщения в локальной сети могут быть прочитаны на всех ее узлах, несмотря на специфические сетевые адреса. Посредством пользовательских модификаций последних все узлы сети могут считывать данные, циркулирующие в данной ЛВС.

Таким образом, можно перечислить максимальное количество возможных каналов преднамеренного несанкционированного доступа к информации для ЛВС. Со стороны "периметра" системы они будут следующими:

•        доступ в ЛВС со стороны штатной ПЭВМ;

•        доступ вЛВС со стороны кабельных линий связи.

Несанкционированный доступ со стороны штатной ПЭВМ (включая серверы) возможен по различным каналам. Но в ЛВС необходимо защищаться и от пользователя-нарушителя, допущенного только к определенной информации файл-сервера и/или ограниченного круга других пользователей данной ЛВС.

Несанкционированный доступ в ЛВС со стороны кабельных линий может произойти по следующим каналам:

•        со стороны штатного пользователя-нарушителя одной ПЭВМ при обращении к информации другой, в том числе файл-серверу;

•        при подключении посторонней ПЭВМ и другой посторонней аппаратуры;

•        при побочных электромагнитных излучениях и наводках информации.

Кроме того, в результате аварийных ситуаций, отказов аппаратуры, ошибок операторов и разработчиков ПО ЛВС возможны переадресация информации, отображение и выдача ее на рабочих местах, для нее не предназначенных, потеря информации в результате ее случайного стирания или пожара. Практика показывает, что большинство людей не уделяют серьезного внимания защите данных, особенно резервированию, до тех пор, пока у них не произойдет серьезная потеря данных.

Магнитная память - достоинство автоматизированной системы: освобождение от многочисленных бумаг открывает большие возможности для пользователя. Но хранение данных в этой изменчивой среде значительно повышает вероятность потери данных: несколько нажатий клавиш могут уничтожить результаты работы многих часов и даже лет. Проникновение программного вируса в ПЭВМ может также неприятно отразиться на всей работе и информации ЛВС, а также остальных ПЭВМ, входящих в состав ЛВС.