правилам модели БЛМ, субъект с уровнем доступа секретный попробует прочитать информацию из объекта, классифицированного как целиком секретный, то такой доступ не будет разрешен.
Белл и Лападула также использовали тезис, по которому субъектам не разрешается размещать информацию или записывать ее в объекты, которые имеют низший уровень безопасности. Например, когда целиком секретный документ перемещается в неклассифицированную мусорную корзину, то может состояться утечка информации, и это привело ко второму правилу БЛМ.
Свойство, известное как правило «запрет записи вниз» (NWD), говорит, что субъект безопасности xs может записать информацию в объект с уровнем безопасности xо только если xо имеет преимущество над xs. Это означает, что когда в системе, которая удовлетворяет правилам модели БЛМ, субъект с уровнем доступа целиком секретный попробует записать информацию в неклассифицированный объект, то такой доступ не будет разрешен. Такое свойство, например, решает проблему троянских коней, поскольку запись информации на низший уровень безопасности (типичное действие троянских коней) запрещен.
Правило запрета записи является упрощением некоторых реализаций БЛМ. Так, некоторые описания содержат более подробное понятие типа доступа (например, такие как добавление и выполнение).
Правила запрета записи и чтения БЛМ отвечают интуитивным понятиям того, как предотвратить утечку информации к неуполномоченным (неавторизованным) источникам.
Рассмотрим формализацию БЛМ. Введем обозначения: S - множество субъектов; ОБ - множество объектов; L - решетка уровней безопасности; F : S O L - функция, которая применяется к субъектам и объектам и
определяет уровни безопасности своих аргументов в данном стане; V - множество состояний (множество упорядоченных пар (F, M), где М - матрица доступа субъектов системы к объектам).
Система описывается начальным состоянием v0 , определенным множеством запросов к системе R и функцией переходов Т: (V × R) → V таким, что система переходит из состояния в состояние после выполнения запроса. В связи с этим сформулируем определения, необходимые для доказательства основной теоремы безопасности, доказанной для БЛМ.
Определение 1. Состояние (F, M) безопасное к чтению (NRU) тогда и только тогда, когда для s S и для в О чтение М [s,o] → F (s) ≥ F (o).
Определение 2. Состояние (F, M) безопасное к записи (NWD) тогда и только тогда, когда для s S и для в О запись М [s, o] → F (o) ≥ F (s).
Определение 3. Состояние безопасное тогда и только тогда, когда оно безопасно к чтению и записи.
Теорема. Система (v0, R, T) безопасна тогда и только тогда, когда состояние v0 безопасно и Т такое, что для любого состояния v, достигнутого с v0 после выполнения конечной последовательности запросов из R, T (v, c) = v*,
690
Глава 9. Методы и средства защиты от несанкционированного доступа
где v = (F, M) и v* = (F*, M*), переходы системы (Т) из состояния в состояние
подлежат таким ограничениям для s S и для в ОБ: если чтение M*[s, o] и чтение M [s, o], то F*(s) ≥ F*(o); если чтение M[s, o] и F*(s)<F*(o), то чтение M* [s, o]; если запись M*[s, o] и запись M[s, o], то F*(о) ≥ F*(s); если запись M[s, o] и F*(о) < F*(s), то запись M*[s, o].
Доказательство. 1. Необходимость. Предположим, что система безопасна, а состояние v0 безопасно по определению. Если есть некоторое состояние v, достигнутое из состояния v0 после выполнения конечной последовательности запросов из R, таких что T(v, c) = v*, хотя v* не удовлетворяет одно из двух первых ограничений для Т, то v* будет достижимым состоянием, но таким, что противоречит ограничению безопасности по чтению. Если v* не удовлетворяет одному из двух последних ограничений для Т, то v* будет достижимым состоянием, но противоречащим ограничению безопасности по записи.
Влюбом случае система опасна.
2.Достаточность. Предположим, что система опасна. В этом случае
или состояние v0 должны быть опасным, или должно быть опасным состояние v, достижимое из состояния v0 после выполнения конечной последовательно-
сти запросов из R . Если v0 опасно, то все доказано, а если v0 безопасно, то предположим, что v* - первое в последовательности запросов опасное состояние. Это означает, что есть безопасное состояние v, такое что T(v, c) = v*, где v* - опасное. Но это противоречит четырем ограничениям безопасности на Т.
Несмотря на все преимущества, выяснилось, что при использовании БЛМ в контексте практического проектирования и разработки реальных информационных систем возникает ряд технических вопросов, которые являются логическим следствием преимуществ БЛМ - ее простоты. Проблемы возникают при рассмотрении вопросов построения политик безопасности для конкретных типов систем, т.е. на менее абстрактном уровне рассмотрения. При данном рассмотрении системный компонент модели усложняется, что может привести к неадекватности БЛМ в ее классической форме, что инициировало широкую полемику по поводу применимости БЛМ для построения безопасных систем.
Мандатная модель контроля целостности (Модель Биба). Известно,
что в БЛМ важность или чувствительность субъектов и объектов возрастает с повышением в иерархии уровней безопасности. При рассмотрении моделей контроля целостности запись вверх может быть угрозой в том случае, когда субъект с низким уровнем безопасности модифицирует или уничтожает данные в объекте, который лежит на более высоком уровне. Поэтому, исходя из задач целостности, существует требование запрета такой записи. Придерживаясь подобных аргументов, можно рассматривать чтения снизу как поток информации, которая идет от объекта нижнего уровня и поднимает целост-
ность субъекта высокого уровня. Поэтому достаточно вероятно, что и такое чтение необходимо запретить.
Таких два наблюдения сделал в середине 1970-х годов Кен Биба. Они были последовательно внесены в модель безопасности, которая с того времени назы-
вается моделью целостности Биба (или просто моделью Биба), который подал ее в таком же виде, что и БЛМ, хотя правила его модели являются полной противоположностью правилам БЛМ. По обыкновению рассматриваются три вариации модели Биба: мандатная модель целостности; модель снижения уровня субъекта; модель снижения уровня объекта, а общий термин «модель Биба» используется для обозначения любой или сразу всех трех моделей. Для мандатной модели контроля целостности известно формальное описание, и ее часто называют инверсией БЛМ. Это довольно точное название, поскольку основные правила этой модели противоположны правилам БЛМ и отображаются как «запрет чтения снизу» (NRD) и «запрет записи вверх» (NWU). Определим их в сроках субъектов, объектов и нового типа уровней безопасности — уровней целостности, к которым введено отношение преимущества.
Правило NRD мандатной модели целостности Биба определяется как запрет субъектам на чтение информации из объекта с более низким уровнем целостности. Правило NRD является полной противоположностью NRU БЛМ, за исключением того, что здесь используются уровни целостности (а не безопасности, как в БЛМ), а правило NWU (запрет субъектам на запись информации в объект с более высоким уровнем целостности) является полной противоположностью правилу NWD БЛМ для того самого случая уровней целостности.
Одним из преимуществ этой модели является то, что она унаследовала много важных характеристик БЛМ, включая ее простоту и интуитивность. Это означает, что проектировщики реальных систем могут легко понять сущность этих правил и использовать их для принятия решений при проектировании. Кроме того, поскольку мандатная модель целостности Биба, как и БЛМ, базируется на простой иерархии, ее легко объяснить и отобразить пользователям системы. Тем не менее, эта модель является очевидным разногласием с правилами NRU и NWD. Это означает, что когда необходимо построить систему, которая предотвращает угрозы секретности и целостности, то одновременное использование правил моделей БЛМ и Биба может привести к ситуации, в которой уровни безопасности и целостности будут достигаться противоположными способами.
Рассмотрим формальное описание модели Биба. Для этого приведем простые математические конструкции, которые помогут описать разные правила, которые образовывают эту мандатную модель.
Пусть существуют множества субъектов и объектов, где уровни целостности субъекта или объекта х обозначаются как уровень (х), и для них введено отношение преимущества. Используя эти определения, сформулируем
692
Глава 9. Методы и средства защиты от несанкционированного доступа
правила NRD и NWU мандатной модели целостности Биба в терминах булевой функции РАЗРЕШИТЬ:
NRD: s субъекты, в объекты:
РАЗРЕШИТЬ (s, o, чтение) тогда и только тогда, когда уровень (о) преобладает над уровнем (s).
Этот тип определения предусматривает условия, при которых функция РАЗРЕШИТЬ приобретает значение истинной. Определение утверждает, что для всех определенных субъектов и объектов операция чтения разрешена только в том случае, когда выполняется условие преимущества. Правило NWU является обратимым к использованию отношения преимущества, как это показано в таком определении:
NWU: s субъекты, в объекты:
РАЗРЕШИТЬ (s, o, запись) clerence (s) ≥ classification (o).
Это определение утверждает, что для всех субъектов и объектов операция записи разрешается только в том случае, когда выполняется условие преимущества. Сходство определения этих двух правил правилам модели БЛМ может предоставить удобный способ для разработчиков системы предусмотреть возможность переконфигурирования правил БЛМ таким образом, чтобы поддерживать мандатную модель целостности Биба.
Модель снижения уровня субъекта (вторая модель Биба) связана с небольшим ослаблением правила чтения снизу. Эта модель не разрешает субъектам с высокой целостностью читать информацию из объектов с низкой целостностью. Такое правило гарантирует, что информация из объекта с низкой целостностью не нарушит целостности субъекта. Но в этой модели субъекта разрешается осуществлять чтение снизу, в результате которого уровень целостности субъекта снижается к уровню целостности объекта.
Модель снижения уровня объекта (третья модель Биба) связанная с ослаблением правил записи вверх, т.е. вместо полного запрета записи вверх модель разрешает такую запись, но снижает уровень целостности объекта к уровню целостности субъекта, который осуществляет запись.
9.4. Противодействие сетевому несанкционированному доступу
Основой современных информационных систем являются компьютерные сети, на которые также распространяются действия прежде описанных методов НСД. В общем случае сеть организации фактически является неоднородным рядом компьютеров разной конфигурации и назначения, управляемых разными операционными системами и связанных между собой с помощью сетевого оборудования. В таких условиях осуществить надежную защиту от несанкционированных действий при взаимодействии с внешними сетями можно лишь с помощью специализированных программно-аппаратных комплексов, которые обеспечивают соответствующую защиту. Такие комплексы называют межсетевыми экранами, межсетевыми фильтрами, экранированными
фильтрами, брандмауэрами или системами FireWall, которые устанавливают на стыке между внутренней и внешней сетями и возлагают на них функции противодействия.
Функции межсетевого экранирования. Как уже отмечалось, для защи-
ты от несанкционированного межсетевого доступа брандмауэр располагается между сетью, которая подлежит защите (внутренней), и сетью, из которой возможен НСД (внешней) (рис. 9.34), при этом все внутрисетевые взаимодействия осуществляются только через экранированный фильтр, который организационно входит в состав внутренней сети.
Межсетевой экран должен учитывать протоколы информационного обмена, которые положены в основу функционирования внутренней и внешней сетей, а если протоколы отличаются, то брандмауэр должен поддерживать многопротокольный режим работы, обеспечивая протокольное преобразование уровней соответственно модели OSI для взаимодействия открытых сетей.
Для межсетевого экрана отдельно задаются правила, которые ограничивают доступ из внутренней сети во внешнюю, и наоборот, и в общем случае его работа базируется на динамическом выполнении двух групп функций:
фильтрации информационных потоков; посредничества в межсетевом взаимодействии.
Внутренняя сеть
Межсетевой
Внешняя сеть
экран
Клиенты
Серверы
Серверы
Клиенты
Рис. 9.34. Схема подключения брандмауэра
При этом простые межсетевые экраны сориентированы на выполнение только одной из указанных функций, а комплексные - обеспечивают совместное их выполнение. Для принятия управленческих решений относительно используемых сервисов брандмауэр должен получать, запоминать, выбирать и обрабатывать информацию, полученную от всех коммуникационных уровней и прикладных программ. Полнота и правильность управления требуют, чтобы комплексный брандмауэр имел возможность анализа и использования ряда факторов:
информации о соединении - информации от всех семи уровней в пакете; истории соединений - информации, полученной от предыдущих соеди-
нений; состояния уровня прикладной программы - информации о состоянии,
694
Глава 9. Методы и средства защиты от несанкционированного доступа
полученной из других прикладных программ; агрегативного элемента - вычисление разнообразных зависимостей, ко-
торые базируются на всех перечисленных факторах.
При экранировании отдельного компьютера поддерживается доступность сетевых сервисов и уменьшается нагрузка, инициированная внешней активностью, которая снижает уязвимость защищенных внутренних сервисов компьютера, поскольку сначала неавторизованная сторона должна преодолеть механизм защиты экранированнго фильтра.
Базовая задача брандмауэра - фильтрация трафика, связанная с выборочным пропуском данных через экранированный фильтр (иногда с выполнением некоторых преобразований).
Фильтрация осуществляется на основе ряда правил, которые загружаются в экран, и сетевых аспектов, которые выражают принятую политику безопасности. С этих позиций брандмауэр удобно представить как последовательность фильтров (рис. 9.35), которые обрабатывают информационные потоки на основе интерпретации отдельных правил фильтрации путем:
анализа информации по заданным в интерпретированных правилах критериям, например, по адресам получателя и (или) отправителя, по типу прикладной программы, для которой предназначена информация, и т.п.
принятия на основе интерпретированных правил одного из таких решений:
1)не пропустить данные;
2)обработать данные от лица получателя и возвратить результат отправителю;
3)передать данные на следующий фильтр для продолжения анализа;
4)пропустить данные, игнорируя следующие фильтры.
Рис. 9.35. Логическая структура межсетевого экрана
При фильтрации могут задаваться и дополнительные действия (посредничества), например преобразование данных, регистрация событий и т.п., и тогда соответствующие правила фильтрации определяют перечень условий, по которым с использованием указанных критериев анализа осуществляются: разрешение или запрет дальнейшей передачи данных; выполнение дополнительных защитных функций.
Критериями анализа информационного потока могут использоваться: служебные поля пакетов сообщений, которые содержат сетевые адреса,
идентификаторы, адреса интерфейсов, номера портов и другие важные данные; непосредственное содержание пакетов сообщений (например, на наличие
компьютерных вирусов), что подлежат проверке; внешние характеристики информационного потока, например, времен-
ные и частотные характеристики, объем данных и т.п.
Используемые критерии анализа зависят от уровней модели OSI, на которых осуществляется фильтрация, а в общем случае действует правило: чем выше уровень модели OSI, на котором брандмауэр фильтрует пакеты, тем выше и обеспечиваемый им уровень защиты.
Еще одной базовой функцией брандмауэра является выполнение посреднических функций, которые он осуществляет с помощью специальных экранированных программ (агентов)-посредников, которые являются резидентными и контролируют (запрещают, разрешают) передачу пакетов между внешней и внутренней сетью.
Вслучае доступа из одной сети в другую сначала устанавливается логическое соединение с программой-посредником, которая проверяет допустимость запроса межсетевого взаимодействия и в случае соответствующего разрешения устанавливает соединение с необходимым компьютером. В дальнейшем обмен между компьютерами сетей осуществляется через программного посредника, который может выполнять фильтрацию трафика и осуществлять другие защитные функции.
Функции фильтрации межсетевой экран может выполнять без про- грамм-посредников, обеспечивая прозрачное взаимодействие между внутренней и внешней сетями. Программные посредники, в свою очередь, могут и не осуществлять соответствующей фильтрации.
Вобщем случае экранированные агенты, блокируя прозрачную передачу, могут выполнять еще ряд функций (рис. 9.36).
Идентификация и аутентификация пользователей необходимы для обеспечения высокой степени безопасности при их доступе к сети, при этом для предотвращения перехвата пароль не передается в открытом виде через общие коммуникации. Наиболее эффективным способом аутентификации является использование одноразовых паролей, а также применение цифровых сертификатов, выданных доверительными органами (например, центром распределения ключей).
696
Глава 9. Методы и средства защиты от несанкционированного доступа
Разделение доступа
к ресурсам внутренней
Проверка действительности
сети
Размежевание доступа
переданных данных
к ресурсам внешней сети
Идентификация и
Фильтрация и
аунтентификация
Ф У Н К Ц И И
преобразования потока
пользователей
сообщений
Хэширование данных, запрашиваемых
Трансляция
из внешней сети
Анализ и регистрация
внутренних сетевых адресов
для начальных пакетов
событий
сообщений
Рис. 9.36. Базовые функции экранирующих агентов
Проверка действительности получаемых и переданных данных является особенно актуальной функцией для аутентификации не только электронных сообщений, а и мигрирующих программ (например, Java), относительно которых может быть выполнена подделка. Эта функция связана с контролем цифровых подписей, при этом также могут применяться цифровые сертификаты.
Разделение доступа к ресурсам внутренней или внешней сети при обращении к межсетевому экрану реализуется с помощью функций идентификации и аутентификации пользователей способами, идентичными поддерживаемым на уровне операционных систем. Функция разделения доступа базируется на одном из следующих подходов:
разрешение доступа только по определенным адресам во внешней сети; фильтрация запросов по обновленным спискам недопустимых адресов и
блокирование поиска с нежелательными ключевыми словами; накопление и возобновление санкционированных информационных ре-
сурсов внешней сети в массиве памяти брандмауэра и полный запрет доступа во внешнюю сеть.
Фильтрация и преобразование потока сообщений выполняется посред-
ником на основе заданного набора правил, при этом различают: экранированные агенты, сориентированные на анализ потока сообщений
для определенных видов сервиса (например, FTP, HTTP, Telnet и т.п.); универсальные экранированные агенты, которые обрабатывают все со-
общения, например, с целью поиска и обезвреживания компьютерных вирусов, прозрачного шифрования данных и т.п.
Трансляция внутренних сетевых адресов реализуется для всех пакетов,
которые идут из внутренней сети во внешнюю. Для этих пакетов осуществляется
автоматическое преобразование IP-адресов компьютеров-отправителей в один IP-адрес, ассоциированный с брандмауэром, из которого передаются все пакеты, исключая прямой контакт между внутренней и внешней сетью, а IP-адрес брандмауэра становится единственным активным IP-адресом, который попадает во внешнюю сеть.
Это позволяет спрятать топологию внутренней сети и иметь внутри сети собственную систему адресации, не согласованную с внешней (например, Интернет), что эффективно решает проблему расширения адресного пространства.
Анализ и регистрация событий, реагирование на определенные события, а также анализ зарегистрированной информации и составление отчетов дают возможность выявить попытки несанкционированных действий. Эффективность брандмауэра в значительной мере зависит от эффективности выполнения этой функции, которая разрешает формировать предупредительные сигналы при выявлении нападения.
Система регистрации, сбора и анализа статистики обрабатывает адреса клиентов и сервера, идентификаторы пользователей, время сеансов и соединений, количество переданных и принятых данных, действия администратора
ипользователей и т.п. и предоставляет администраторам подробные отчеты и оповещает об определенных событиях в режиме реального времени.
Хэширование данных, запрашиваемых при доступе пользователей внутренней сети к информационным ресурсам внешней, осуществляется с помощью сети накопления информации на пространстве жесткого диска брандмауэра (технология proxy-сервера). Поэтому если при запросе нужна хэшированная информация, то она предоставляется без обращения к внешней сети, что существенно ускоряет доступ.
По такой технологии все санкционированные информационные ресурсы внешней сети нагромождаются и обновляются администратором на proxyсервере, а пользователям внутренней сети разрешается доступ только к хэшированным информационным ресурсам.
Экранированные агенты надежнее обычных фильтров и обеспечивают высокую степень защиты, но снижают производительность обмена данными между сетями и не имеют достаточной прозрачности для прикладных программ и конечных пользователей.
Особенности межсетевого экранирования. Брандмауэры поддержива-
ют безопасность межсетевого взаимодействия на разных уровнях эталонной модели OSI, где функции защиты существенным образом отличаются. В этой связи комплексный брандмауэр подают в виде совокупности неделимых экранов, сориентированных на отдельный уровень модели OSI. Обычно комплексный экран функционирует на сетевом, сеансовом и прикладном уровнях эталонной модели, соответственно различают экранирующий маршрутизатор
ишлюзы сеансового и прикладного уровня (рис. 9.37).
698
Глава 9. Методы и средства защиты от несанкционированного доступа
Прикладной
Экранирующий шлюз
Прикладной
прикладного уровня
Представление данных
Представление данных
Сеансовий
Экранирующий шлюз
Сеансовий
сеансового уровня
Транспортный
Транспортный
Сетевой
Экранирующий
Сетевой
маршрутизатор
Канальный
Канальный
Физический
Физический
Рис. 9.37. Типы межсетевых экранов, функционирующих на отдельных уровнях модели OSІ
Используемые в сетях протоколы не всегда однозначно отвечают модели OSI, и потому указанные экраны могут отображать и соседние уровни эталонной модели, например шлюз прикладного уровня может зашифровывать сообщение при их передаче и расшифровывать принятые данные. Тогда он функционирует на уровнях представления данных и прикладных.
Межсетевые экраны каждого из типов имеют свои преимущества и недостатки, но надежную защиту обеспечивают только комплексные системы, которые объединяют все виды экранирования.
Экранирующий шлюз прикладного уровня (пакетный фильтр) пред-
назначен для фильтрации пакетов сообщений. Он обеспечивает прозрачное взаимодействие между внутренней и внешней сетями, функционируя на сетевом уровне модели OSI, а также может охватывать и транспортный. Решение о пропуске пакета принимается независимо по заданным правилам фильтрации на основе анализа пакетов сетевого и транспортного уровней (рис. 9.38).
Адреса отправителя и получателя могут быть IP-адресами, которые определяются при формировании пакета и остаются неизменными при передаче его через сеть.
