- •Безопасность вычислительных систем и сетей Учебное пособие
- •Раздел 1. Проектирование и оценка эффективности системы защиты информации 7
- •1.1. Основные понятия и базовые требования к средству защиты информации 7
- •Раздел 2. Проектирование системы защиты персональных данных 52
- •Раздел 3. Основополагающие методы обеспечения информационной безопасности 76
- •3.3. Разграничение доступа к ресурсам 98
- •3.4. Контроль целостности и аудит 163
- •3.5. Защита сети 168
- •3.6. Выводы по разделу 3 182
- •Раздел 1. Проектирование и оценка эффективности системы защиты информации
- •1.1. Основные понятия и базовые требования к средству защиты информации
- •1.1.1. Функциональная безопасность системного средства
- •1.1.1.1. Чем определяются требования к средствам защиты информации
- •1.1.1.2. Требования к достаточности набора механизмов защиты информации
- •1.1.1.2.1. Требования к защите конфиденциальной информации (к классу защищенности 1г)
- •1.1.1.2.2. Требования к защите секретной информации (к классу защищенности 1в)
- •1.1.1.3. Требования к корректности реализации механизмов защиты информации
- •1.1.2. Эксплуатационная безопасность системного средства
- •1.1.2.1. Основы теории надежности систем защиты информации. Основные понятия и определения
- •1.1.2.2. Оценка эксплуатационной безопасности современных ос
- •1.2. Построение системы защиты информации на основе выполения требований к достаточности набора механизмов защиты и корректности их реализации
- •1.3. Общий подход к проектированию системы защиты на основе оценки рисков
- •1.3.1. Общий подход к оценке эффективности системы защиты
- •1.3.2. Способы задания исходных параметров для оценки защищенности
- •1.3.3. Особенности проектирования системы защиты на основе оценки рисков
- •1.3.4. Применение метода последовательного выбора уступок
- •1.3.5. Проектирование системы защиты с избыточным функционалом системы защиты
- •1.4. Выводы по разделу 1.
- •Раздел 2. Проектирование системы защиты персональных данных
- •2.1. Основополагающие документы по защите персональных данных
- •2.2. Классификация испДн
- •2.3. Методика определения актуальных угроз
- •2.3.1 Порядок определения исходной безопасности испДн
- •2.3.2 Порядок определения актуальных угроз безопасности пДн из исходного множества угроз
- •2.3.3. Пример построения модели угроз безопасности пДн и определения актуальных угроз
- •2.4. Выводы по разделу 2.
- •Раздел 3. Основополагающие методы обеспечения информационной безопасности
- •3.1. Общая классификация методов защиты
- •3.2. Идентификация и аутентификация
- •3.2.1. Идентификация и аутентификация субъектов доступа
- •3.2.1.1. Идентификация и аутентификации субъекта доступа «пользователь»
- •3.2.1.1.1. Идентификация и аутентификации пользователя при входе в систему
- •2.2.1.1.2. Идентификация и аутентификации пользователя при доступе к ресурсам
- •3.2.1.2. Идентификация и аутентификации субъекта доступа «процесс»
- •3.2.2. Идентификация и аутентификация объектов доступа
- •3.2.2.1. Идентификация и аутентификация устройств
- •3.2.2.2. Идентификация и аутентификация файловых объектов
- •3.2.2.3. Идентификация и аутентификация сообщений, передаваемых по сети
- •3.3. Разграничение доступа к ресурсам
- •3.3.1. Общие положения
- •3.3.2. Определение и классификация задач, решаемых механизмами управления доступом к ресурсам
- •При функционировании защищаемого объекта в составе лвс дополнительно:
- •3.3.3. Требования к корректности решения задачи управления доступом
- •3.3.3.1. Каноническая модель управления доступом. Условие корректности механизма управления доступом
- •3.3.3.2. Понятие и классификация каналов взаимодействия субъектов доступа. Модели управления доступом с взаимодействием субъектов доступа.
- •3.3.3.3. Классификация методов управления виртуальными каналами взаимодействия субъектов доступа
- •2. В общем случае различие моделей управления доступом базируется на отличиях способов реализации канала взаимодействия субъектов доступа и методах управления им
- •3.3.4. Классификация механизмов управления доступом. Дискреционный и мандатный механизмы управления доступом
- •3.3.5. Разметка иерархических объектов доступа
- •3.3.6. Разграничения доступа для субъекта «процесс»
- •3.3.7. Разграничение доступа к объекту «процесс». Механизм обеспечения замкнутости программной среды
- •3.3.7.1. Механизм обеспечения замкнутости программной среды заданием пользователям списков исполняемых файлов
- •3.3.7.2. Механизм обеспечения замкнутости программной среды заданием пользователям каталогов с исполняемыми файлами, разрешенных на запуск
- •3.3.7.3. Расширение функциональных возможностей механизма обеспечения замкнутости программной среды
- •3.3.8. Управление доступом к каталогам, не разделяемым системой и приложениями
- •3.3.9. Ролевая модель разграничения доступа к ресурсам
- •3.3.10. Разделительная политика доступа к ресурсам. Сессионный контроль доступа
- •3.4. Контроль целостности и аудит
- •3.4.1. Контроль целостности
- •3.4.2. Аудит
- •3.5. Защита сети
- •3.5.1. Задача и способ защиты информации, обрабатываемой в составе лвс. Системный подход к проектированию системы защиты компьютерной информации в составе лвс
- •3.5.2. Задача и способ защиты доступа в сеть
- •5.5.2.1. Трансляция сетевых адресов и портов
- •3.5.2.2. Межсетевое экранирование
- •3.6. Выводы по разделу 3
3.5.2.2. Межсетевое экранирование
Межсетевой экран или сетевой экран (также брандмауэр или файервол) — комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов на различных уровнях модели OSI в соответствии с заданными правилами.
Сетевые экраны подразделяются на различные типы в зависимости от следующих характеристик:
- обеспечивает ли экран соединение между одним узлом и сетью или между двумя или более различными сетями;
- происходит ли контроль потока данных на сетевом уровне или более высоких уровнях модели OSI;
- отслеживаются ли состояния активных соединений или нет.
В зависимости от уровня, на котором происходит контроль доступа, существует разделение на сетевые экраны, работающие на:
- сетевом уровне, когда фильтрация происходит на основе адресов отправителя и получателя пакетов, номеров портов транспортного уровня модели OSI и статических правил, заданных администратором;
- сеансовом уровне (также известные как stateful) — отслеживающие сеансы между приложениями, не пропускающие пакеты нарушающих спецификации TCP/IP, часто используемых в злонамеренных операциях — сканировании ресурсов, взломах через неправильные реализации TCP/IP, обрыв/замедление соединений, инъекция данных.
- уровне приложений, фильтрация на основании анализа данных приложения, передаваемых внутри пакета. Такие типы экранов позволяют блокировать передачу нежелательной и потенциально опасной информации, на основании политик и настроек.
Некоторые решения, относимые к сетевым экранам уровня приложения, представляют собой прокси-серверы с некоторыми возможностями сетевого экрана, реализуя прозрачные прокси-серверы, со специализацией по протоколам. Возможности прокси-сервера и многопротокольная специализация делают фильтрацию значительно более гибкой, чем на классических сетевых экранах, но такие приложения имеют все недостатки прокси-серверов (например, анонимизация трафика).
В нескольких словах, о прокси-серверах. Из многочисленных значений английского слова proxy в данном контексте применимы такие: «доверенное лицо», «полномочный представитель». То есть некто, кто действует от вашего имени по вашему поручению вместо вас. В компьютерах прокси – это программа, которая передает запросы ваших программ (браузеров и других) в интернет, получает ответы и передает их обратно. Необходимость в такой программе возникает обычно, если с пользовательского компьютера невозможно работать в интернете непосредственно напрямую из-за того, что у него нет прямого подключения к интернету (модема, например), но есть на другом компьютере в его сети. Тогда на этом другом компьютере ставят программу прокси, а все остальные компьютеры в локальной сети настраивают таким образом, чтобы работа велась через прокси. Сейчас через прокси умеют работать практически все популярные интернет-программы. Это значит, что все пользователи локальной сети могут получить полноценный доступ в интернет, если хотя бы один из них этот доступ уже имеет.
Какие бывают виды прокси? Маршрутизатор, меняющий адреса, уже является прокси (его называют NAT-proxy, NAT = network address translation). NAT-proxy – самый простой вид прокси. Теперь он даже входит в состав ОС Windows, начиная с Windows 2000. Там он называется «Общий доступ к подключению интернета» и включается галочкой в свойствах модемного соединения. Этот прокси работает прозрачно для пользователя, никаких специальных настроек в программах не требуется. Но на этом удобства этого прокси заканчиваются. Влиять на работу «общего доступа» Windows (например, ограничивать список доступных сайтов для отдельных пользователей) вы не сможете. Другие NAT-proxy могут быть более гибкими, но их общая проблема – универсальность. Они не «вникают» в тонкости тех прикладных протоколов, которые через себя пропускают, поэтому и не имеют средств управления ими. Специализированные прокси (для каждого протокола интернета свой вид прокси) имеют ряд преимуществ и с точки зрения администраторов, и с точки зрения пользователей.
Таким образом, основное назначение прокси-сервера - это обеспечение трансляции сетевых адресов, например, когда при помощи одного public IP в Интернет может ходить вся сеть с private IP (10.x.x.x, 172.16.x.x-172.31.x.x, 192.168.x.x). Прокси-сервер при прохождении пакета через него меняет в этом пакете IP-адрес и номер порта (а при получении ответного пакета производит те же операции в обратном направлении). Однако, помимо этой базовой функции, прокси-серверы обычно предлагают еще и множество других:
· управление разрешениями. Можно определить, каким пользователям/в какое время/по каким протоколам/к каким Web-ресурсам/в каком объеме можно выходить в Интернет;
· кэширование - за счет кэширования страниц на прокси-сервере снижается трафик работы в Интернет и происходит ускорение доступа пользователей;
· протоколирования работы в Интернете. Обычно обращения пользователей в Интернет протоколируются и на основе логов делаются отчеты, которые позволяют например, выяснить, какой из пользователей как поучаствовал в трафике;
· фильтрации трафика - например, режутся баннерные сети, спам-трафик по SMTP и т.п.
· часто в прокси-сервер встраиваются дополнительные возможности, например, брандмауэров, средств обнаружения вторжений и т.п.
Итак, межсетевой экран (firewall) - это устройство контроля доступа в сеть, предназначенное для блокировки всего трафика, за исключением разрешенных данных. Этим оно отличается от маршрутизатора, функцией которого является доставка трафика в пункт назначения в максимально короткие сроки. Существует мнение, что маршрутизатор также может играть роль межсетевого экрана. Однако между этими устройствами существует одно принципиальное различие: маршрутизатор предназначен для быстрой маршрутизации трафика, а не для его блокировки. Межсетевой экран представляет собой средство защиты, которое пропускает определенный трафик из потока данных, а маршрутизатор является сетевым устройством, которое можно настроить на блокировку определенного трафика.
Межсетевой экран (МСЭ), он же firewall, является одним из самых распространенных средств защиты по результатам многих опросов и исследований (наравне с антивирусами).
Сегодня современный МСЭ существенно отличается от своего классического собрата начала 90-х гг. Если раньше он был предназначен только для разграничения доступа между Интернетом и внутренней сетью, то сегодня спектр его применений гораздо шире. Это и сегментация сети с различными требованиями по безопасности, и защита центров обработки данных, и защита серверов приложений (так называемая application firewall) и т. д. Помимо разграничения доступа современный межсетевой экран позволяет более глубоко вникать в содержимое трафика за счет интегрированных механизмов предотвращения атак (intrusion prevention, IPS), антивируса, контроля содержимого и др.
Возникает принципиальный вопрос: чем же отличается механизм межсетевого экранирования от механизма разграничения доступа к сетевым ресурсам, рассмотренного нами выше? Ведь и в первом, и во втором случае основной задачей является разграничение доступа при передаче пакетов по некоторым идентификационным признакам. На самом деле, разница огромна. Межсетевой экран – это, прежде всего, программно-аппаратный комплекс, устанавливаемый на стыке подсетей. Основной его задачей является «принять на себя» атаку, не допустив ее во внутреннюю сеть. Механизм же разграничения доступа к сетевым ресурсам устанавливается на защищаемых компьютерах (рабочих станциях и серверах). Принципиальное отличие состоит и в идентификационных признаках субъектов и объектов доступа. Для межсетевого экрана – эти признаки располагаются непосредственно в фильтруемых пакетах и сообщениях, для механизма же разграничения доступа к сетевым ресурсам, часть идентификационных признаков субъектов и объектов доступа, например, полнопутевое имя сетевой службы, либо приложения, которым следует обеспечить доступ в сеть, располагаются непосредственно на защищаемом компьютере.
Как следствие, этими механизмами решаются совершенно различные задачи защиты. Поэтому, на наш взгляд, не следует создавать путаницу, используя термин «персональный экран» (брандмауэр или файервол), следует говорить, либо о межсетевом экране, либо о механизме же разграничения доступа к сетевым ресурсам.
Говоря о межсетевых экранах, мы не должны забывать, что они являются средствами защиты, на которые распространяются определенные законодательные требования и ограничения. Если для сетевого оборудования необходимо наличие лишь сертификата Мининформсвязи, то для систем защиты требуется сертификат ФСТЭК России. Есть еще система сертификации межсетевых экранов по требованиям ФСБ, но применима она только к органам высшей государственной власти РФ. Для «обычных» применений достаточно сертификата ФСТЭК России.
В качестве примера, приведем требования к реализации механизма фильтрации пакетов для межсетевых кранов различных классов, в соответствии с нормативным документом [6].
Для межсетевого экрана четвертого класса защищенности (может использоваться для защиты конфиденциальной информации) данные требования состоят в следующем:
Межсетевой экран должен обеспечивать фильтрацию на сетевом уровне;
Решение по фильтрации может приниматься для каждого сетевого пакета независимо на основе, по крайней мере, сетевых адресов отправителя и получателя или на основе других эквивалентных атрибутов.
Дополнительно межсетевой экран должен обеспечивать:
- фильтрацию пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств;
- фильтрацию с учетом входного и выходного сетевого интерфейса как средство проверки подлинности сетевых адресов;
- фильтрацию с учетом любых значимых полей сетевых пакетов.
Для межсетевого экрана третьего класса защищенности (может использоваться при обработке информации с грифом “секретно”), кроме того, вводятся следующие дополнительные требования:
- фильтрацию на транспортном уровне запросов на установление виртуальных соединений. При этом, по крайней мере, учитываются транспортные адреса отправителя и получателя;
- фильтрацию на прикладном уровне запросов к прикладным сервисам. При этом, по крайней мере, учитываются прикладные адреса отправителя и получателя;
- фильтрацию с учетом даты/времени.
Выводы.
1. Межсетевое экранирование – это сегодня основной способ защиты сети (криптографическую защиту в данном курсе не рассматриваем), основанный на реализации разграничительной политики доступа. Как следствие, применительно к решению этой задачи актуальны все требования, сформулированные нами в предыдущем разделе.
2. В части функционального расширения возможностей фильтрации трафика, наряду с реализацией разграничительной политики доступа, межсетевые экраны наделяют дополнительными функциями контроля (сигнатурного, контентного и т.д.), с целью защиты от вирусов, сетевых атак, утечек информации. Понятно, что об эффективности подобной защиты говорить не приходится (вопросы использования механизмов контроля мы ранее обсуждали), особенно, с учетом того, что объектом контроля здесь является пакет и сообщение, что еще ограничивает возможности подобной защиты, но здесь нужно серьезно задуматься над влиянием на пропускную способность канала связи. Ведь через один межсетевой экран может передаваться трафик, генерируемой всей ЛВС, что произойдет с пропускной способностью канала, если проводить контроль содержимого каждого поступающего в межсетевой экран пакета и сообщения?