30. Межсетевые экраны и методы создания защищенных систем включающих межсетевые экраны. Классы защищенности мсэ.

Учитывая насущность проблемы защиты сетей, использующих протоколы TCP/IP, Государственная Техническая Комиссия при Президенте Российской Федерации 25 июня 1997 г. издала руководящий документ "Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" (далее РД к МЭ) как дополнение к руководящим документам "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации" и "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требований по защите информации", 1992 г. (РД к АС).

В РД к МЭ межсетевые экраны определяются как "локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в АС и/или выходящей из АС. МЭ обеспечивает защиту АС посредством фильтрации информации, то есть ее анализа по совокупности критериев и принятия решения о ее распространении в (из) АС на основе заданных правил, проводя таким образом разграничение доступа субъектов из одной АС к объектам другой АС. Каждое правило запрещает или разрешает передачу информации определенного вида между субъектами и объектами. Как следствие, субъекты из одной АС получают доступ только к разрешенным информационным объектам из другой АС. Интерпретация набора правил выполняется последовательностью фильтров, которые разрешают или запрещают передачу данных (пакетов) на следующий фильтр или уровень протокола".

Обычно МЭ защищают внутреннюю сеть компании от "вторжений" из Internet. Однако они могут использоваться и для защиты от "нападений", например, из корпоративной интрасети, к которой подключена и ваша сеть. Как и в случае реализации любого другого механизма сетевой защиты, организация, вырабатывающая конкретную политику безопасности, кроме всего прочего, должна определить тип трафика TCP/IP, который будет восприниматься брандмауэром как "авторизованный". Например, необходимо решить, будет ли ограничен доступ пользователей к определенным службам на базе TCP/IP, и если будет, то до какой степени. Выработка политики безопасности позволит выяснить, какие компоненты брандмауэра вам необходимы и как их сконфигурировать, чтобы обеспечить ограничения доступа, заданные вами.

Установка межсетевых экранов

Наиболее простым решением является установка экрана на границе локальной и глобальной сети. Общедоступные WWW и FTP сервера можно установить как в защищенной зоне (но надо помнить, что это отрицательно скажется на прозрачности работы системы), так и вынести за пределы защищаемой зоны. Возможен также вариант с установкой двух экранов, один из которых будет защищать локальную сеть, а другой — доступные сервера.

Межсетевые экраны реализуются на базе подобных Unix-систем, таких как Solaris, BSDI, Linux и т.д., а также Window NT. При этом настоятельно рекомендуется использовать для установки firewall отдельную станцию с соответствующими аппаратными требованиями (500 Мб дискового пространства, 32 Мб оперативной памяти). Кроме того, в ядро ОС для МЭ вносятся некоторые изменения, повышающие защищенность системы. Так, запрещается иметь на шлюзе разделы пользователей, некоторые из них работают только в однопользовательском режиме и формируют специальные коды для отслеживания целостности программного обеспечения.

Принципы работы межсетевых экранов

Базовым протоколом для передачи данных по Internet является набор протоколов TCP/IP. Передаваемые по сети данные представляют собой набор пакетов. Каждый пакет имеет исходящий и входящий IP адрес, а также указание на службу TCP/IP, которая будет обрабатывать данный пакет.

Межсетевые экраны позволяют устанавливать гибкие правила для доставки пакетов в любой из сегментов.

Работа всех межсетевых экранов основана на использовании информации разных уровней модели OSI (табл. 1). Модель OSI, разработанная Международной организацией по стандартизации (International Standards Organization — ISO), определяет семь уровней, на которых компьютерные системы взаимодействуют друг с другом, — начиная с уровня физической среды передачи данных и заканчивая уровнем прикладных программ, используемых для коммуникаций. В общем случае, чем выше уровень модели OSI, на котором брандмауэр фильтрует пакеты, тем выше и обеспечиваемый им уровень защиты.

Типы межсетевых экранов

Функционально межсетевые экраны разделяются на три категории: системы фильтрации пакетов, серверы-посредники (шлюзы) уровня приложений и уровня соединения. Кроме того, возможен более развернутый вариант пакетной фильтрации — экраны экспертного уровня, основанные на реализации механизма контроля состояний. Каждая из этих систем имеет свои преимущества и свои недостатки.

Электронная почта и методы защиты почтовых сообщений.

Большинство проблем, с которыми сталкиваются пользователи электронной почты (спам, вирусы, разнообразные атаки на конфиденциальность писем и т. д.), связано с недостаточной защитой современных почтовых систем. Для того чтобы защита электронной почты была на максимально возможном уровне, а достижение этого уровня не требовало чрезмерных усилий и затрат, необходим систематический и комплексный, с учетом всех угроз, подход к решению данной проблемы.

Борьба со спамом и вирусами

Сегодня доступно множество программных продуктов, в том и числе и бесплатных, предназначенных для борьбы с этой угрозой. Самыми яркими представителями российских антивирусных средств можно назвать продукты компаний «Лаборатория Касперского» и «Диалог-Наука», на основе которых осуществляется защита от вирусов, встраиваемая в почтовые клиенты и публичные почтовые системы. Что же касается решений по борьбе со спамом, здесь возможно несколько вариантов защиты.

Можно реализовать систему фильтров, позволяющих отсекать входящую корреспонденцию по адресу, теме или содержанию письма. Фильтры обычно размещаются на клиентской стороне, и пользователь сам может задавать необходимые параметры. В качестве примера можно назвать системы Spam Buster производства компании Contact Plus, MailWasher, Active Email Monitor (VicMan Software), eMailTrackerPro (Visualware), Spamkiller (Novasoft) и др. Кроме фильтрации спама такие программы могут выполнять функции очистки почтового ящика, проверки почты, чтения заголовков писем и т.д.

Система фильтров устанавливается на почтовом сервере; в таком случае напоминающие спам письма отсекаются еще до попадания в ящик пользователя. Также может быть реализована защита на основе «спам-листов», содержащих список Internet-провайдеров, с адресов которых производится несанкционированная рассылка рекламного характера. Примерами могут служить служба Mail-Filtering Service проекта Mail Abuse Prevention Project и Realtime Blackhole List, база данных по открытым почтовым серверам (под открытостью в данном случае понимается отсутствие адекватного администрирования, что приводит к неконтролируемым рассылкам спама через такие почтовые серверы).

Хакеры

Предпосылки некоторых проблем, связанных непосредственно с конфиденциальностью почтовых сообщений, закладывались при возникновении электронной почты три десятилетия назад. Во многом они не разрешены до сих пор.

• Ни один из стандартных почтовых протоколов (SMTP, POP3, IMAP4) не включает механизмов защиты, которые гарантировали бы конфиденциальность переписки.

• Отсутствие надежной защиты протоколов позволяет создавать письма с фальшивыми адресами. Нельзя быть уверенным на 100% в том, кто является действительным автором письма.

• Электронные письма легко изменить. Стандартное письмо не содержит средств проверки собственной целостности и при передаче через множество серверов, может быть прочитано и изменено; электронное письмо похоже сегодня на открытку.

• Обычно в работе электронной почты нет гарантий доставки письма. Несмотря на наличие возможности получить сообщение о доставке, часто это означает лишь, что сообщение дошло до почтового сервера получателя (но не обязательно до самого адресата).

Какие наиболее типичные средства используют хакеры для атак систем электронной почты? Это могут быть «снифферы» (sniffer — дословно «тот, кто нюхает»), которые представляют собой программы, перехватывающие все сетевые пакеты, передающиеся через определенный узел. Снифферы используются в сетях на вполне законном основании для диагностики неисправностей и анализа потока передаваемых данных. Ввиду того, что некоторые сетевые приложения, в частности почтовые, передают данные в текстовом формате (SMTP, POP3 и др.), с помощью сниффера можно узнать текст письма, имена пользователей и пароли.

Другой способ — IP-спуфинг (spoofing) — возможен, когда злоумышленник, находящийся внутри организации или вне ее выдает себя за санкционированного пользователя. Атаки IP-спуфинга часто являются отправной точкой для других атак, например, DoS (Denial of Service — «отказ в обслуживании»). Обычно IP-спуфинг ограничивается вставкой ложной информации или вредоносных команд в обычный поток передаваемых по сети данных. Это происходит в случае, если главная задача состоит в получении важного файла. Однако злоумышленник, поменяв таблицы маршрутизации данных и направив трафик на ложный IP-адрес, может восприниматься системой как санкционированный пользователь и, следовательно, иметь доступ к файлам, приложениям, и в том числе к электронной почте.

Атаки для получения паролей можно проводить с помощью целого ряда методов, и хотя входное имя и пароль можно получить при помощи IP-спуфинга и перехвата пакетов, их часто пытаются подобрать путем простого перебора с помощью специальной программы.

Еще один тип атаки на конфиденциальность — Man-in-the-Middle («человек в середине») — состоит в перехвате всех пакетов, передаваемых по маршруту от провайдера в любую другую часть Сети. Подобные атаки с использованием снифферов пакетов, транспортных протоколов и протоколов маршрутизации проводятся с целью перехвата информации, получения доступа к частным сетевым ресурсам, искажения передаваемых данных. Они вполне могут использоваться для перехвата сообщений электронной почты и их изменений, а также для перехвата паролей и имен пользователей.

И, наконец, атаки на уровне приложений используют хорошо известные слабости серверного программного обеспечения (sendmail, HTTP, FTP). Можно, например, получить доступ к компьютеру от имени пользователя, работающего с приложением той же электронной почты.

Итак, защита электронной почты должна начинаться еще на уровне ИТ-инфрастуктуры организации и прежде всего ее сетевой инфрастуктуры.

Основные методы и средства защиты

Для защиты сетевой инфраструктуры используется немало всевозможных заслонов и фильтров: SSL (Secure Socket Layer), TSL (Transport Security Layer), виртуальные частные сети. Основные методы защиты от атак хакеров строятся именно на основе этих средств. Это, прежде всего, сильные средства аутентификации, например, технология двухфакторной аутентификации, при которой происходит сочетание того, что у вас есть, с тем, что вы знаете.

Другие средства защиты заключаются в эффективном построении и администрировании сети. Речь идет о построении коммутируемой инфраструктуры, мерах контроля доступа и фильтрации исходящего трафика, закрытии «дыр» в программном обеспечении с помощью модулей-»заплаток» и регулярном его обновлении, установке антивирусных программ и многом ином.

И, наконец, самый эффективный метод — криптография, которая не предотвращает перехвата информации и не распознает работу программ для этой цели, но делает эту работу бесполезной. Криптография также помогает от IP-спуфинга, если используется при аутентификации. Наиболее широко для криптографической защиты передаваемых по каналам связи данных, включая письма электронной почты, применяется протокол SSL, в котором для шифрования данных используются ключи RSA. Однако SSL защищает письма только при передаче; если не используются другие средства криптозащиты, то письма при хранении в почтовых ящиках и на промежуточных серверах находятся в открытом виде.

Совокупность всех этих средств можно представить как многоуровневую эшелонированную систему обороны. И, тем не менее, как показывает практика, существует возможность пробраться сквозь все эти уровни и получить доступ к данным. В марте этого года Financial Times сообщила о скандале в Турции, связанном с перехватом писем электронной почты Карен Фогг, чиновницы Европейской Комиссии. Она приехала в Турцию для проверки соответствия этой страны требованиям на вступление в ЕС и в своих отчетах, пересланных по электронной почте, оценила это соответствие не самым благоприятным для Турции образом. Турецкие спецслужбы, очевидно, перехватили эти отчеты и, увидев заговор против себя, подняли скандал и в обоснование своих заявлений раскрыли факт перехвата писем Фогг. Итак, последним рубежом обороны являются криптографические средства защиты внутри системы электронной почты.