- •Безопасность вычислительных систем и сетей Учебное пособие
- •Раздел 1. Проектирование и оценка эффективности системы защиты информации 7
- •1.1. Основные понятия и базовые требования к средству защиты информации 7
- •Раздел 2. Проектирование системы защиты персональных данных 52
- •Раздел 3. Основополагающие методы обеспечения информационной безопасности 76
- •3.3. Разграничение доступа к ресурсам 98
- •3.4. Контроль целостности и аудит 163
- •3.5. Защита сети 168
- •3.6. Выводы по разделу 3 182
- •Раздел 1. Проектирование и оценка эффективности системы защиты информации
- •1.1. Основные понятия и базовые требования к средству защиты информации
- •1.1.1. Функциональная безопасность системного средства
- •1.1.1.1. Чем определяются требования к средствам защиты информации
- •1.1.1.2. Требования к достаточности набора механизмов защиты информации
- •1.1.1.2.1. Требования к защите конфиденциальной информации (к классу защищенности 1г)
- •1.1.1.2.2. Требования к защите секретной информации (к классу защищенности 1в)
- •1.1.1.3. Требования к корректности реализации механизмов защиты информации
- •1.1.2. Эксплуатационная безопасность системного средства
- •1.1.2.1. Основы теории надежности систем защиты информации. Основные понятия и определения
- •1.1.2.2. Оценка эксплуатационной безопасности современных ос
- •1.2. Построение системы защиты информации на основе выполения требований к достаточности набора механизмов защиты и корректности их реализации
- •1.3. Общий подход к проектированию системы защиты на основе оценки рисков
- •1.3.1. Общий подход к оценке эффективности системы защиты
- •1.3.2. Способы задания исходных параметров для оценки защищенности
- •1.3.3. Особенности проектирования системы защиты на основе оценки рисков
- •1.3.4. Применение метода последовательного выбора уступок
- •1.3.5. Проектирование системы защиты с избыточным функционалом системы защиты
- •1.4. Выводы по разделу 1.
- •Раздел 2. Проектирование системы защиты персональных данных
- •2.1. Основополагающие документы по защите персональных данных
- •2.2. Классификация испДн
- •2.3. Методика определения актуальных угроз
- •2.3.1 Порядок определения исходной безопасности испДн
- •2.3.2 Порядок определения актуальных угроз безопасности пДн из исходного множества угроз
- •2.3.3. Пример построения модели угроз безопасности пДн и определения актуальных угроз
- •2.4. Выводы по разделу 2.
- •Раздел 3. Основополагающие методы обеспечения информационной безопасности
- •3.1. Общая классификация методов защиты
- •3.2. Идентификация и аутентификация
- •3.2.1. Идентификация и аутентификация субъектов доступа
- •3.2.1.1. Идентификация и аутентификации субъекта доступа «пользователь»
- •3.2.1.1.1. Идентификация и аутентификации пользователя при входе в систему
- •2.2.1.1.2. Идентификация и аутентификации пользователя при доступе к ресурсам
- •3.2.1.2. Идентификация и аутентификации субъекта доступа «процесс»
- •3.2.2. Идентификация и аутентификация объектов доступа
- •3.2.2.1. Идентификация и аутентификация устройств
- •3.2.2.2. Идентификация и аутентификация файловых объектов
- •3.2.2.3. Идентификация и аутентификация сообщений, передаваемых по сети
- •3.3. Разграничение доступа к ресурсам
- •3.3.1. Общие положения
- •3.3.2. Определение и классификация задач, решаемых механизмами управления доступом к ресурсам
- •При функционировании защищаемого объекта в составе лвс дополнительно:
- •3.3.3. Требования к корректности решения задачи управления доступом
- •3.3.3.1. Каноническая модель управления доступом. Условие корректности механизма управления доступом
- •3.3.3.2. Понятие и классификация каналов взаимодействия субъектов доступа. Модели управления доступом с взаимодействием субъектов доступа.
- •3.3.3.3. Классификация методов управления виртуальными каналами взаимодействия субъектов доступа
- •2. В общем случае различие моделей управления доступом базируется на отличиях способов реализации канала взаимодействия субъектов доступа и методах управления им
- •3.3.4. Классификация механизмов управления доступом. Дискреционный и мандатный механизмы управления доступом
- •3.3.5. Разметка иерархических объектов доступа
- •3.3.6. Разграничения доступа для субъекта «процесс»
- •3.3.7. Разграничение доступа к объекту «процесс». Механизм обеспечения замкнутости программной среды
- •3.3.7.1. Механизм обеспечения замкнутости программной среды заданием пользователям списков исполняемых файлов
- •3.3.7.2. Механизм обеспечения замкнутости программной среды заданием пользователям каталогов с исполняемыми файлами, разрешенных на запуск
- •3.3.7.3. Расширение функциональных возможностей механизма обеспечения замкнутости программной среды
- •3.3.8. Управление доступом к каталогам, не разделяемым системой и приложениями
- •3.3.9. Ролевая модель разграничения доступа к ресурсам
- •3.3.10. Разделительная политика доступа к ресурсам. Сессионный контроль доступа
- •3.4. Контроль целостности и аудит
- •3.4.1. Контроль целостности
- •3.4.2. Аудит
- •3.5. Защита сети
- •3.5.1. Задача и способ защиты информации, обрабатываемой в составе лвс. Системный подход к проектированию системы защиты компьютерной информации в составе лвс
- •3.5.2. Задача и способ защиты доступа в сеть
- •5.5.2.1. Трансляция сетевых адресов и портов
- •3.5.2.2. Межсетевое экранирование
- •3.6. Выводы по разделу 3
3.5.2. Задача и способ защиты доступа в сеть
5.5.2.1. Трансляция сетевых адресов и портов
Одной из задач защиты удаленного доступа к ресурсам ЛВС и, соответственно, доступа к ресурсам открытой сети с рабочих станций ЛВС, принято считать трансляцию сетевых адресов и портов.
NAT (от англ. Network Address Translation — «преобразование сетевых адресов») — это механизм в сетях TCP/IP, позволяющий преобразовывать IP-адреса транзитных пакетов. Также имеет названия IP Masquerading, Network Masquerading и Native Address Translation.Преобразование адресов методом NAT может производиться почти любым маршрутизирующим устройством — маршрутизатором, сервером доступа, межсетевым экраном. Суть механизма состоит в замене обратного (source) адреса при прохождении пакета в одну сторону и обратной замене адреса назначения (destination) в ответном пакете. Наряду с адресами source/destination могут также заменяться номера портов source/destination.
Помимо source NAT (предоставления пользователям локальной сети с внутренними адресами доступа к Интернету) часто применяется также destination NAT, когда, например, обращения извне сетевым экраном транслируются на сервер в локальной сети, имеющий внутренний адрес и потому недоступный извне сети непосредственно (без NAT).
Существует 3 базовых концепции трансляции адресов: статическая (Static Network Address Translation), динамическая (Dynamic Address Translation), маскарадная (NAPT, PAT).
Механизм NAT определён в RFC 1631, RFC 3022.
NAT выполняет две важных функции.
- Позволяет сэкономить IP-адреса, транслируя несколько внутренних IP-адресов в один внешний публичный IP-адрес (или в несколько, но меньшим количеством, чем внутренних);
- Позволяет предотвратить или ограничить обращение снаружи ко внутренним хостам, оставляя возможность обращения изнутри наружу. При инициации соединения изнутри сети создаётся трансляция. Ответные пакеты, поступающие снаружи, соответствуют созданной трансляции и поэтому пропускаются. Если для пакетов, поступающих снаружи, соответствующей трансляции не существует (а она может быть созданной при инициации соединения или статической), они не пропускаются.
Static Network Address Translation
Статическая трансляция (static NAT). Маршрутизатор NAT хранит таблицу соответствия внутренних и внешних IP-адресов. В этом случае зарегистрированный адрес Интернета нужен каждому внутреннему компьютеру, но внутренний компьютер становится доступным из Интернета, поскольку NAT обеспечивает взаимнооднозначное преобразование адресов.
Dynamic Address Translation
Динамическая трансляция необходима в случае, когда количество транслируемых адресов (внутренних и внешних) различно, впрочем, иногда применяется и в случае, когда их количество одинаково, но из каких-либо соображений зависимость не может быть описана правилами статической трансляции. Количество взаимодействующих хостов в любом случае будет ограничено числом свободных (доступных) на NAT-интерфейсе адресов. Динамическая реализация NAT более сложна, поскольку требует вести учет взаимодействующих хостов, а иногда и конкретных соединений, в случае, когда требуется просмотр и модификация содержимого на 4-м уровне (например, TCP).
В этой технологии в отличие от статической трансляции появляется новое понятие - таблица NAT (NAT table), которая применительно к динамической трансляции представляет собой таблицу соответствия внутренних адресов и адресов интерфейса NAT (далее для краткости - NAT адресов).
Masquerading (NAPT, PAT)
Трансляция адреса порта PAT (Port Address Translation) это частный случай динамической трансляции, при котором мы имеем только один внешний адрес, за которым "спрятаны" внутренние - их может быть теоретически сколько угодно. В отличие от оригинальной динамической трансляции, PAT, разумеется, не подразумевает функционирование единовременно только одного соединения. Дабы расширить количество одновременных сеансов, эта техника использует информацию о номере TCP порта. Таким образом, количество одновременных сеансов ограничено только количеством свободных (из числа выделенных под NAT портов).
Недостатки:
1. Не все протоколы могут «преодолеть» NAT. Некоторые не в состоянии работать, если на пути между взаимодействующими хостами есть трансляция адресов. Современные маршрутизаторы, осуществляющие трансляцию IP-адресов, могут исправить этот недостаток, соответствующим образом заменяя IP-адреса не только в заголовках IP, но и на более высоких уровнях (например, в командах протоколов FTP или H.323), что приводит к существенному усложнению устройств.
2. Из-за трансляции адресов «много в один» появляются дополнительные сложности с идентификацией пользователей и необходимость хранить полные логи трансляций.
А теперь рассмотрим, как все это соотносится с вопросами обеспечения безопасности. Итак, статическая трансляция адресов предназначена исключительно для преобразования внутренних IP адресов (адресов в ЛВС) во внешние и обратно. Доступ извне становится возможен только к тем рабочим станциям и серверам ЛВС, для которых осуществляется подобное преобразование. О безопасности как таковой здесь речи нет. Динамическая трансляция адресов призвана экономить внешние статические IP адреса. Например, можно использовать следующее необходимое количество внешних статических адресов для ЛВС: один адрес для всех рабочих станций, по одному для каждого сервера внешнего доступа. В итоге получим, что реализуется возможность доступа в сеть с любой рабочей станции в составе ЛВС (обращения во внешнюю сеть с любой рабочей станции произойдут под одним статическим внешним IP адресом), но становится невозможным обращение к рабочим станциям из внешней сети (т.к. все рабочие станции из внешней сети идентифицируются единым статическим внешним IP адресом). При этом из внешней сети можно будет обращаться к серверам внешнего доступа ЛВС, т.к. каждый из них идентифицируется собственным статическим внешним IP адресом. Трансляция портов – это очередная возможность экономии статических внешних IP адресов, позволяющая в пределе использовать только один статический внешний IP адрес на всю ЛВС. В этом случае серверы внешнего доступа в составе ЛВС, к которым необходимо обеспечить доступ извне, идентифицируются парой признаков – единый внешний IP адрес и номер порта, который будет уникальным для каждого сервера. Таким образом, пакет, поступающий по внешнему IP адресу в ЛВС извне, будет перенаправляться на соответствующий сервер, в зависимости от указанного в пакете номера порта.
Подытожим. В части серверов внешнего доступа в составе ЛВС никакой защиты не осуществляется (так или иначе они однозначно идентифицируемы извне). Невозможность обращения извне к рабочим станциям и внутренним серверам в составе ЛВС никак не связана с решением какой-либо задачи обеспечения безопасности, а является побочным эффектом минимизации статических внешних IP адресов в ЛВС (их просто становится невозможно идентифицировать, ввиду отсутствия соответствующих идентификационных признаков объектов доступа).
Вывод. Трансляция сетевых адресов и портов не является решением задачи защиты доступа в сеть. При этом предотвращается возможность доступа извне к рабочим станциям и внутренним серверам в составе ЛВС, что является побочным эффектом минимизации статических внешних IP адресов в ЛВС.