Тема 10. Мережева безпека
План.
1.Загальні поняття.
2.Класифікація засобів мережевої безпеки.
3.Види атак.
4.Загальні засоби безпеки.
5.Апаратні засоби безпеки.
6.Програмні засоби безпеки.
1. Загальні поняття.
Інформаційні ресурси держави або суспільства в цілому, а також окремих організацій і фізичних осіб являють собою певну цінність, мають відповідне матеріальне вираження і вимагають захисту від різноманітних за своєю сутністю впливів, які можуть призвести до зниження цінності інформаційних ресурсів.
Кінцевою метою всіх заходів щодо захисту інформації є забезпечення безпеки інформації під час її обробки в АС. Захист інформації повинен забезпечуватись на всіх стадіях життєвого циклу АС, на всіх технологічних етапах обробки інформації й в усіх режимах функціонування.
У випадку, якщо в АС планується обробка інформації, порядок обробки і захисту якої регламентується законами України або іншими нормативно-правовими актами (наприклад, інформація, що становить державну таємницю), для обробки такої інформації в цій АС необхідно мати дозвіл відповідного уповноваженого державного органу. Підставою для видачі такого дозволу є висновок експертизи АС, тобто перевірки відповідності реалізованої КСЗІ встановленим нормам.
Якщо порядок обробки і захисту інформації не регламентується законодавством, експертиза може виконуватись у необов'язковому порядку за поданням замовника (власника АС або інформації).
У процесі експертизи оцінюється КСЗІ АС у цілому. У тому числі виконується й оцінка реалізованих у КС засобів захисту. Засоби захисту від НСД, реалізовані в комп'ютерній системі, слід розглядати як підсистему захисту від НСД у складі КСЗІ. Характеристики фізичного середовища, персоналу, оброблюваної -інформації, організаційної підсистеми істотно впливають на вимога до функцій захисту, що реалізуються КС.
Як КС можуть виступати: ЕОМ загального призначення або персональна ЕОМ; операційна система; прикладна або інструментальна програма (пакет програм); локальна обчислювальна мережа, як сукупність апаратних засобів, ПЗ, що реалізує протоколи взаємодій, мережевої операційної системи і т. ін., ОС автоматизованої системи, яка реально функціонує, у найбільш загальному випадку - сама АС або її частина.
Далі викладається концепція забезпечення ЗІ. Визначаються поняття загрози інформації, політики безпеки, комплекс засобів захисту та об'єкти комп'ютерної системи, визначення несанкціонованого доступу і модель порушника.
Наступний документ присвячений класифікації автоматизованих систем і подає функціональні профілі захищеності оброблюваної інформації від НСД («Класифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблюваної інформації від несанкціонованого доступу»).
Мережева безпека – це комплекс заходів, спрямованих на захист мереж від атак і несанкціонованого доступу. Захист мережі забезпечується як програмними, так і апаратними засобами.
Кожен день хакери піддають загрозі багато ресурсів, намагаючись отримати до них доступ з допомогою спеціальних атак. Цьому сприяють два основні чинники.
По-перше, це повсюдне проникнення Інтернет. Сьогодні до мережі Інтернет підключені мільйони пристроїв. Багато мільйонів пристроїв будуть підключені до неї в найближчому майбутньому. І тому ймовірність доступу хакерів до вразливих пристроїв постійно зростає.
По-друге, це загальне поширення простих у використанні операційних систем і середовищ розробки. Цей фактор різко знижує рівень знань і навичок, які необхідні хакеру. Раніше хакер повинен був володіти хорошими навичками програмування, щоб створювати і розповсюджувати прості у використанні програми. Тепер, щоб отримати доступ до хакерского засобу, потрібно просто знати IP-адресу потрібного сайту, а для проведення атаки досить клацнути мишкою.
І щоб чітко уявити можливі загрози для безпеки мережі або даних, на цьому саті будуть перераховані типи існуючих атак, а також способи щодо їх запобігання.
2. Класифікація засобів мережевої безпеки.
Світові стандарти із захисту даних в комп'ютерних системах
Критерії безпеки комп'ютерних систем Міністерства оборони США, що отримали назву «Оранжева книга» (за кольором обкладинки), були розроблені Міністерством оборони США в 1983 році (перша версія) з метою визначення вимог безпеки, які висуваються до апаратного, програмного і спеціального забезпечення комп'ютерних систем і розробки відповідної методології аналізу політики безпеки, що реалізується в КС військового призначення.
У цьому документі були вперше нормативно визначене таке поняття, як «політика безпеки». Відповідно до «Оранжевої книги» безпечна КС - це система, яка підтримує керування доступом до оброблюваної в ній інформації таким чином, що відповідно авторизовані користувачі або процеси, що діють від їх імені, отримують можливість читати, писати, створювати і видаляти інформацію. Запропоновані в цьому документі концепції захисту і набір функціональних вимог послужили основою для формування інших стандартів безпеки інформації.
В «Оранжевій книзі» запропоновано три категорії вимог щодо безпеки -політика безпеки, аудит та коректність, у рамках яких сформульовано шість базових вимог безпеки. Перші чотири вимоги спрямовані безпосередньо на забезпечення безпеки інформації, дві інші - на якість самих засобів захисту:
Вимога 1 (політика безпеки) - система має підтримувати точно визначену політику безпеки, можливість доступу до об'єктів повинна визначатися на основі їх ідентифікації і набору правил керування доступом;
Вимога 2 (мітки) - кожен об'єкт повинен мати мітку, що використовується як атрибут контролю доступу;
Вимога 3 (ідентифікація та аутентифікація) - всі суб'єкти повинні мати унікальні ідентифікатори; контроль доступу здійснюється на основі ідентифікації та аутентифікації суб'єкта та об'єкта доступу;
Вимога 4 (реєстрація й облік) - всі події, що мають відношення до безпеки, мають відстежуватися і реєструватися в захищеному протоколі;
Вимога 5 (контроль коректності функціонування засобів захисту) -засоби захисту перебувають під контролем засобів перевірки коректності, засоби захисту незалежні від засобів контролю коректності;
Вимога 6 (безперервність захисту) - захист має бути постійним і безперервним у будь-якому режимі функціонування системи захисту і всієї системи в цілому.
Наступними після «Оранжевої книги» були розроблені «Критерії безпеки інформаційних технологій» (далі «Європейські критерії»). Вони були вперше опубліковані в 1991 році, а розроблені чотирма європейськими країнами: Францією, Німеччиною, Нідерландами та Великобританією.
«Європейські критерії» розглядають такі основні завдання інформаційної безпеки:
1. захист інформації від НСД з метою забезпечення конфіденційності;
2. забезпечення цілісності інформації шляхом захисту її від несанкціонованої модифікації або знищення;
3. забезпечення працездатності систем за допомогою протидії загрозам відмови в обслуговуванні.
Загальна оцінка рівня безпеки системи складається з функціональної потужності засобів захисту і рівня адекватності їх реалізації.
Ефективність визначається функціональними критеріями, які розглядаються на трьох рівнях деталізації: перший - цілі безпеки, другий - специфікації функцій захисту, третій - механізми захисту. Специфікації функцій захисту розглядаються з точки зору таких вимог:
- ідентифікація й аутентифікація;
- керування доступом;
- підзвітність;
- аудит;
- повторне використання об'єктів;
-цілісність інформації;
-надійність обслуговування;
- безпечний обмін даними.
Набір функцій безпеки специфікується за допомогою визначених класів-шаблонів. Всього визначено десять класів (Р-С1, Р-С2, Р-В1, Р-В2, Р-ВЗ, Р-ІН, Р-АУ, Р-ВІ, Р-ОС, Р-ВХ) за зростаючими вимогами.
«Європейські критерії» визначають також сім рівнів адекватності - від Е0 до Е6 (за зростанням вимог при аналізі ефективності та коректності засобів захисту).
Адекватність являє собою характеристику ІТ-продукту, що показує, наскільки ефективно забезпечується заявлений рівень безпеки, а також ступінь коректності реалізації засобів захисту. Вимоги адекватності жорстко структуровані і регламентують усі етапи проектування, створення й експлуатації ІТ-продукту з погляду надійності роботи засобів захисту і їхньої адекватності функціональним вимогам, завданням захисту і загрозам безпеки.
Є сім стандартних рівнів адекватності, причому рівень вимог адекватності зростає від першого рівня до сьомого. Кожен рівень характеризується набором вимог адекватності, що регламентують застосування різних методів і технологій розробки, тестування, контролю і верифікації ІТ-продукту:
Рівень 1. Функціональне тестування.
Рівень 2. Структурне тестування.
Рівень 3. Методичне тестування і перевірка.
Рівень 4. Методична розробка, тестування й аналіз.
Рівень 5. Напівформальні методи розробки і тестування.
Рівень 6. Напівформальні методи верифікації розробки і тестування.
Рівень 7. Формальні методи верифікації розробки і тестування.
Таким чином, вимоги «Єдиних критеріїв» охоплюють практично всі аспекти безпеки ІТ-продуктів і технології їх створення, а також містять усі вихідні матеріали, необхідні споживачам і розробникам для формування профілів і проектів захисту. Крім того, стандарт є практично всеосяжною енциклопедією інформаційної безпеки, тому може використовуватися як довідник з безпеки інформаційних технологій.
У 1997 р. Департаментом спеціальних телекомунікаційних систем та захисту інформації служби безпеки України була розроблена перша версія системи нормативних документів із технічного захисту інформації в комп'ютерних системах від НСД. Ця система включає чотири документи:
Загальні положення щодо захисту інформації в комп'ютерних системах від несанкціонованого доступу.
Класифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблюваної інформації від несанкціонованого доступу.
Критерії оцінки захищеності інформації в комп'ютерних системах від несанкціонованого доступу.
Термінологія в галузі захисту інформації в комп'ютерних системах від несанкціонованого доступу.
Нормативний документ технічного захисту інформації (НД ТЗІ) «Загальні положення щодо захисту інформації в комп'ютерних системах від несанкціонованого доступу» визначає концепцію вирішення завдань захисту інформації в комп'ютерних системах і створення нормативних і методологічних документів, що регламентують питання:
- визначення вимог щодо захисту КС від несанкціонованого доступу;
- створення захищених КС і засобів їх захисту від несанкціонованого
доступу;
- оцінки захищеності КС і їх придатності для вирішення завдань споживача.
За сукупністю характеристик АС (конфігурація апаратних засобів ОС і їх фізичне розміщення, кількість різноманітних категорій оброблюваної інформації, кількість користувачів і категорій користувачів) виділено три ієрархічні класи АС, вимоги до функціонального складу КЗЗ яких істотно відрізняються.
Клас «1» - одномашинний однокористувацький комплекс, який обробляє інформацію однієї або кількох категорій конфіденційності.
Істотні особливості: о у кожний момент часу з комплексом може працювати тільки один користувач, хоча у загальному випадку осіб, що мають доступ до комплексу, може бути декілька, але всі воші повинен мати однакові повноваження (права) щодо доступу до інформації, яка обробляється; о технічні засоби (носії інформації і засоби В/У) з точки зору захищеності належать до однієї категорії і всі можуть використовуватись для збереження і/або обробки всієї інформації.
Приклад: автономна персональна ЕОМ, доступ до якої контролюється з використанням організаційних заходів.
Клас «2» - локалізований багатомашинний багатокористувацький комплекс, який обробляє інформацію різних категорій конфіденційності.
Істотна відмінність від попереднього класу - наявність користувачів з різними повноваженнями щодо доступу та технічних засобів, які можуть одночасно здійснювати обробку інформації різних категорій конфіденційності.
Приклад: ЛОМ.
Клас «З» - розподілений багатомашинний багатокористувацький комплекс, який обробляє інформацію різних категорій конфіденційності.
Істотна відмінність від попереднього класу - необхідність передачі інформації через незахищене середовище або, у загальному випадку, наявність вузлів, що реалізують різну політику безпеки.
Приклад: глобальна мережа.
У межах кожного класу АС класифікуються на підставі вимог до забезпечення певних властивостей інформації. З точки зору безпеки інформація характеризується трьома властивостями: конфіденційністю, цілісністю і доступністю.
Перелік функціональних послуг безпеки та рівнів гарантій, їх структура і семантичне позначення наведені в НД ТЗІ «Критерії оцінки захищеності інформації в комп'ютерних системах від несанкціонованого доступу».
У документі «Термінологія в галузі захисту інформації в комп'ютерних системах від НСД» визначено та пояснено 128 основних найбільш поширених термінів, які подані українською, російською та англійською мовами.
Самі засоби безпеки поділяють на :
1. Загальні
2. Апаратні
3. Програмні
3. Види атак.
Мережеві атаки настільки ж різноманітні, як і системи, проти яких вони спрямовані. Мережа Інтернет створювалася для зв'язку між державними установами та університетами з метою надання допомоги навчального процесу та наукових досліджень. Творці цієї мережі не підозрювали, наскільки широке поширення вона отримає. У результаті в специфікаціях ранніх версій Інтернет-протоколу (IP) були відсутні вимоги безпеки.
a) Сніффер пакетів
Сніффер пакетів представляє собою прикладну програму, яка використовує мережеву карту, що працює в режимі promiscuous mode (у цьому режимі всі пакети, отримані по фізичних каналах, мережевий адаптер відправляє додатком для обробки). При цьому сніффер перехоплює усі мережні пакети, які передаються через певний домен. В даний час сніффери працюють в мережах на цілком законній підставі. За допомогою сніфферів можна дізнатися корисну, а іноді і конфіденційну інформацію (наприклад, імена користувачів і паролі).
Знизити загрозу сніффінга пакетів можна за допомогою таких засобів:
• Автентифікація. Сильні засоби автентифікації є найважливішим способом захисту від сніффінга пакетів. Під «сильними» ми розуміємо такі методи автентифікації, які важко обійти. Прикладом такої автентифікації є одноразові паролі (One-Time Passwords, OTP).
• Комутована інфраструктура. Ще одним засобом боротьби зі сніффінгом пакетів у мережевому середовищі є створення комутованій інфраструктури. Якщо у всій організації використовується комутований Ethernet, хакери можуть отримати доступ тільки до трафіку, що надходить на той порт, до якого вони підключені.
• Антисніффери. Цей засіб боротьби зі сніффінгом полягає в установці апаратних чи програмних засобів, які розпізнають сніфери, які працюють у мережі.
• Криптографія. Це самий ефективний засіб боротьби зі сніффінгом пакетів хоча й не запобігає перехоплення і не розпізнає роботу сніффер, але робить цю роботу марною.[1]
b) IP-спуфінг
IP-спуфінг відбувається в тому випадку, коли хакер, що знаходиться усередині корпорації або поза її межами, видає себе за санкціонованого користувача.
Загрозу спуфінга можна послабити за допомогою перерахованих заходів:
• Контроль доступу. Найпростіший засіб запобігання IP-спуфінга полягає в правильному підборі управління доступом.
• Фільтрація RFC 2827. Адміністратор може припинити спроби спуфінга чужих мереж користувачами своє мережі. Для цього необхідно відбраковувати будь-який вихідний трафік, початкова адреса якого не є одним з IP-адрес вашої організації.
Найбільш ефективний метод боротьби з IP-спуфінга - той же, що і у випадку зі сніффінгом пакетів: необхідно зробити атаку абсолютно неефективною. IP-спуфінг може функціонувати тільки за умови, що автентифікація відбувається на базі IP-адрес. Тому впровадження додаткових методів автентифікації робить подібні атаки марними.
c) Відмова в обслуговуванні
Denial of Service (DoS), без сумніву, є найбільш відомою формою хакерських атак. Серед хакерів атаки DoS вважаються дитячою забавкою, а їх застосування викликає зневажливі усмішки, оскільки для організації DoS потрібно мінімум знань і умінь. Тим не менше саме простота реалізації і величезні масштаби завданої шкоди залучають до DoS пильну увагу адміністраторів, що відповідають за мережеву безпеку.
Більшість атак DoS розраховані не на програмні помилки або проломи в системі безпеки, а на загальні слабкості системної архітектури.
Загроза атак типу DoS може бути знижена трьома способами:
• Функції антиспуфінга. Правильна конфігурація функцій антиспуфінга на маршрутизаторах і міжмережевих екранах допоможе знизити ризик DoS.
• Функції анти-DoS. Правильна конфігурація функцій анти-DoS на маршрутизаторах і міжмережевих екранах здатна обмежити ефективність атак. Ці функції часто обмежують кількість напіввідкритих каналів у будь-який момент часу.
• Обмеження обсягу трафіку (traffic rate limiting). Організація може попросити провайдера (ISP) обмежити обсяг трафіку. Цей тип фільтрації дозволяє обмежити обсяг некритичного трафіку, що проходить по вашій мережі. Типовим прикладом є обмеження обсягів трафіку ICMP, який використовується тільки для діагностичних цілей.
d) Парольні атаки
Хакери можуть проводити парольні атаки за допомогою цілого ряду методів, таких як простий перебір (brute force attack), троянський кінь, IP-спуфінга і сніффінг пакетів. Хоча логін і пароль найчастіше можна отримати за допомогою IP-спуфінга і сніффінга пакетів, хакери нерідко намагаються підібрати пароль і логін, використовуючи для цього численні спроби доступу. Такий підхід носить назву простого перебору (brute force attack).
Часто для такої атаки використовується спеціальна програма, яка намагається отримати доступ до ресурсу загального користування (наприклад, до сервера).
Парольних атак можна уникнути, якщо не користуватися паролями в текстовій формі. Одноразові паролі або криптографічний автентифікація можуть практично звести нанівець загрозу таких атак. Нажаль, не всі програми, хости і пристрої підтримують вищезгадані методи автентифікації.
e) Атаки типу Man-in-the-Middle
Для атаки типу Man-in-the-Middle хакеру потрібен доступ до пакетів, що передаються по мережі. Такий доступ до всіх пакетів, що передаються від провайдера в будь-яку іншу мережу, може отримати співробітник цього провайдера. Для атак даного типу часто використовуються сніффери пакетів, транспортні протоколи та протоколи маршрутизації.
Ефективно боротися з атаками типу Man-in-the-Middle можна тільки за допомогою криптографії.
f) Атаки на рівні додатків
Атаки на рівні додатків можуть проводитися кількома способами. Найпоширеніший з них - використання відомих слабкостей серверного програмного забезпечення (sendmail, HTTP, FTP).
Головна проблема при атаках на рівні додатків полягає в тому, що хакери часто користуються портами, яким дозволений прохід через міжмережевий екран.
Заходи, які можна зробити, щоб знизити уразливість для атак цього типу – це читати лог-файли операційних систем і мережеві лог-файли або аналізувати їх за допомогою спеціальних аналітичних додатків;[3]
g) Мережева розвідка
Мережева розвідка - це збір інформації про мережу за допомогою загальнодоступних даних і додатків. При підготовці атаки проти будь-якої мережі хакер, як правило, намагається отримати про неї якомого більше інформації.
Методи захисту:
• використання найсвіжіших версій операційних систем і додатків і найостанніших корекційних модулів («патчів»);
• використання систем розпізнавання атак (IDS).
h) Зловживання довірою
Цей тип дій не є в повному сенсі слова атакою чи штурмом. Він являє собою зловмисне використання відносин довіри, що існують у мережі. Класичним прикладом такого зловживання є ситуація в периферійній частині корпоративної мережі. У цьому сегменті часто розташовуються сервери DNS, SMTP і HTTP. Оскільки всі вони належать до одного й того ж сегменту, злом будь-якого з них призводить до злому всіх інших, тому що ці сервери довіряють іншим системам своєї мережі.
Ризик зловживання довірою можна знизити за рахунок більш жорсткого контролю рівнів довіри в межах своєї мережі.
i) Переадресація портів
Переадресація портів є різновидом зловживання довірою, коли зламаний хост використовується для передачі через міжмережевий екран трафіку, який в іншому випадку був би обов'язково відбракований.
Основним способом боротьби з переадресацією портів є використання надійних моделей довіри.
j) Віруси і додатки типу «троянський кінь»
Робочі станції кінцевих користувачів дуже уразливі для вірусів і троянських коней. Вірусами називаються шкідливі програми, які впроваджуються в інші програми для виконання певної небажаної функції на робочій станції кінцевого користувача.
Троянський кінь - це не програмна вставка, а справжня програма, яка на перший погляд здається корисним додатком, а на ділі виконує шкідливу роль.
Боротьба з вірусами та троянськими кіньми ведеться за допомогою ефективного антивірусного програмного забезпечення, що працює на рівні користувача і, можливо, на рівні мережі.[4]
Таким чином, у мережі не повинна перебувати інформація, розкриття якої приведе до серйозних наслідків. Навпаки, у мережі необхідно розміщати інформацію, поширення якої бажане її власникові. При цьому завжди необхідно враховувати той факт, що в будь-який момент ця інформація може бути перехоплена, перекручена або може стати недоступною. Отже, мова повинна йти не про захищеність Internet, а про забезпечення розумної достатності інформаційної безпеки мережі.
4. Загальні засоби безпеки.
Технічні засоби безпеки можуть бути або вбудовані в програмне (операційні системи і додатки) та апаратне (комп'ютери та комунікаційне обладнання) забезпечення мережі, або реалізовані у вигляді окремих продуктів, створених спеціально для вирішення проблем безпеки. Визначимо основні з них.
Шифрування - це наріжний камінь усіх систем інформаційної безпеки, будь то система аутентифікації чи авторизації, захищений канал або система безпечного зберігання даних. Будь-яка процедура шифрування, що перетворює інформацію з звичайного «зрозумілого» виду в «нечитабельним» зашифрований вигляд, природно повинна бути доповнена процедурою дешифрування, яка після застосування до зашифрованого тексту знову робить його «зрозумілим». Пара процедур - шифрування та дешифрування - називається криптосистемою.
Аутентифікація запобігає доступ до мережі небажаних осіб і дозволяє вхід для легальних користувачів. Термін «аутентифікація» в перекладі з латинської означає «встановлення достовірності». В якості об'єктів, що вимагають аутентифікації, можуть виступати не тільки користувачі, але і різні пристрої, додатки, текстова та інша інформація. Так, користувач, який звертається із запитом до корпоративного серверу, повинен довести йому свою легальність, але він також повинен переконатися сам, що веде діалог дійсно з сервером свого підприємства. Іншими словами, сервер і клієнт повинні пройти процедуру взаємної аутентифікації. Тут ми маємо справу з аутентифікацією на рівні додатків. При встановленні сеансу зв'язку між двома пристроями також часто передбачаються процедури взаємної аутентифікації на більш низькому, канальному рівні. Аутентифікація даних означає доказ цілісності цих даних, а також факт їх надходження саме від тієї людини, який оголосив про це. Для цього використовується механізм електронного підпису. Аутентифікацію слід відрізняти від ідентифікації.
Ідентифікація полягає в повідомленні користувачем системі свого коду, у той час як аутентифікація - це процедура докази користувачем того, що він є тим, за кого себе видає, зокрема доказ того, що саме йому належить введений нею ідентифікатор. Ідентифікатори користувачів застосовуються в системі з тими ж цілями, що і ідентифікатори будь-яких інших об'єктів (файлів, процесів, структур даних), і вони не завжди пов'язані безпосередньо із забезпеченням безпеки.
Авторизація - процедура контролю доступу легальних користувачів до ресурсів системи з наданням кожному з них саме тих прав, які визначені йому адміністратором. Крім надання користувачам прав доступу до каталогів, файлів і принтерів, система авторизації може контролювати можливість виконання користувачами різних системних функцій, таких як локальний доступ до сервера, установка системного часу, створення резервних копій даних, вимикання сервера і т.п.
Аудит - фіксація в системному журналі подій, пов'язаних з доступом до захищається системних ресурсів. Підсистема аудиту сучасних ОС дозволяє диференційовано задавати перелік цікавлять адміністратора подій за допомогою зручного графічного інтерфейсу. Засоби обліку і спостереження забезпечують можливість виявити і зафіксувати важливі події, пов'язані з безпекою; будь-які спроби (у тому числі і невдалі) створити, одержати доступ або видалити системні ресурси.
Технологія захищеного каналу забезпечує безпеку передачі даних по відкритій транспортній мережі, наприклад через Інтернет, за рахунок:
взаємної аутентифікації абонентів при встановленні з'єднання;
захисту переданих по каналу повідомлень від несанкціонованого доступу;
забезпечення цілісності вступників на каналі повідомлень.
Про комп'ютерні мережі дивіться також:
5. Апаратні засоби безпеки.
Методика Firewall як основний програмно-апаратний засіб здійснення мережної політики безпеки у виділеному сегменті IP-мережі
У загальному випадку методика Firewall реалізує наступні основні три функції:
1. Багаторівнева фільтрація мережевого трафіку.
Фільтрація звичайно здійснюється на трьох рівнях OSI:
1. мережному (IP);
2. транспортному (TCP, UDP);
3. прикладному (FTP, TELNET, HTTP, SMTP і т. д.).
Фільтрація мережного трафіка є основною функцією систем Firewall і дозволяє адміністратору безпеки мережі централізовано здійснювати необхідну мережну політику безпеки у виділеному сегменті IP-мережі, тобто, настроївши відповідним чином Firewall, можна дозволити або заборонити користувачам як доступ із зовнішньої мережі до відповідних служб хостів або до хостам, що знаходяться в захищається сегменті, так і доступ користувачів із внутрішньої мережі до відповідних ресурсів зовнішньої мережі. Можна провести аналогію з адміністратором локальної ОС, який для здійснення політики безпеки в системі призначає необхідним чином відповідні відносини між суб'єктами (користувачами) і об'єктами системи (файлами, наприклад), що дозволяє розмежувати доступ суб'єктів системи до її об'єктів відповідно до заданих адміністратором правами доступу . Ті ж міркування застосовні до Firewall-фільтрації: як суб'єктів взаємодії будуть виступати IP-адреси хостів користувачів, а як об'єкти, доступ до яких необхідно розмежувати, - IP-адреси хостів, використовувані транспортні протоколи і служби надання віддаленого доступу.
2. Proxy-схема з додатковою ідентифікацією й аутентифікації користувачів на Firewall-хості.
Proxy-схема дозволяє, по-перше, при доступі до захищеного Firewall сегменту мережі здійснити на ньому додаткову ідентифікацію й аутентифікацію вилученого користувача і, по-друге, є основою для створення приватних мереж з віртуальними IP-адресами. Сенс proxy-схеми полягає в створенні з'єднання з кінцевим адресатом через проміжний proxy-сервер (proxy від англ. Повноважний) на хості Firewall. На цьому proxy-сервері і може здійснюватися додаткова ідентифікація абонента.
3. Створення приватних мереж (Private Virtual Network - PVN) з "віртуальними" IP-адресами (NAT - Network Address Translation).
У тому випадку, якщо адміністратор безпеки мережі вважає за доцільне сховати щиру топологію своєї внутрішньої IP-мережі, то йому можна порекомендувати використовувати системи Firewall для створення приватної мережі (PVN-мережа). Хостам в PVN-мережі призначаються будь-які "віртуальні" IP-адреси. Для адресації в зовнішню мережу (через Firewall) необхідно або використання на хості Firewall описаних вище proxy-серверів, або застосування спеціальних систем роутінга (маршрутизації), тільки через які і можлива зовнішня адресація. Це відбувається через те, що використовуваний у внутрішній PVN-мережі віртуальний IP-адресу, очевидно, не придатний для зовнішньої адресації (зовнішня адресація - це адресація до абонентів, які перебувають за межами PVN-мережі). Тому proxy-сервер чи засіб роутінга має здійснювати зв'язок з абонентами з зовнішньої мережі зі свого справжнього IP-адреси. До речі, ця схема зручна в тому випадку, якщо вам для створення IP-мережі виділили недостатню кількість IP-адрес (у стандарті IPv4 це трапляється часто-густо, тому для створення повноцінної IP-мережі з використанням proxy-схеми досить тільки одного виділеного IP- адреси для proxy-сервера).
Отже, будь-який пристрій, що реалізує хоча б одну з цих функцій Firewall-методики, і є Firewall-пристроєм. Наприклад, ніщо не заважає вам використовувати як Firewall-хоста комп'ютер зі звичайною ОС FreeBSD чи Linux, у якої відповідним чином необхідно скомпілювати ядро ОС. Firewall такого типу буде забезпечувати тільки багаторівневу фільтрацію IP-трафіку. Інша справа, що пропонуються на ринку потужні Firewall-комплекси, зроблені на базі ЕОМ або міні-ЕОМ, звичайно реалізують усі функції Firewall-методики і є повнофункціональними системами Firewall. На наступному малюнку зображений сегмент мережі, відділений від зовнішньої мережі повнофункціональним Firewall-хостом.
Однак адміністраторам IP-мереж, піддавшись на рекламу систем Firewall, не варто помилятися на той рахунок, що Firewall це гарантія абсолютного захисту від вилучених атак у мережі Internet. Firewall - не стільки засіб забезпечення безпеки, скільки можливість централізовано здійснювати мережну політику розмежування вилученого доступу до доступних ресурсів вашої мережі. Так, у тому випадку, якщо, наприклад, до даного хосту заборонений вилучений TELNET-доступ, то Firewall однозначно запобіжить можливість даного доступу. Але справа в тому, що більшість вилучених атак мають зовсім інші цілі (безглуздо намагатися одержати визначений вид доступу, якщо він заборонений системою Firewall). Дійсно, задамо собі питання, а які з розглянутих в 4 чолі віддалених атак може запобігти Firewall? Аналіз мережевого трафіку (п. 4.1)? Очевидно, ні! Помилковий ARP-сервер (п. 4.2)? І так, і ні (для захисту зовсім не обов'язково використовувати Firewall). Помилковий DNS-сервер (п. 4.3)? Ні, на жаль, Firewall вам тут не помічник. Нав'язування помилкового маршруту за допомогою протоколу ICMP (п. 4.4)? Так, цю атаку шляхом фільтрації ICMP-повідомлень Firewall легко відіб'є (хоча досить буде фільтруючого маршрутизатора, наприклад Cisco). Підміна одного із суб'єктів TCP-з'єднання (п. 4.5)? Відповідь негативна; Firewall тут абсолютно ні при чому. Порушення працездатності хосту шляхом створення спрямованого шторму помилкових запитів чи переповнення черги запитів (п. 4.6)? У цьому випадку застосування Firewall тільки погіршить усю справу. Атакуючому для того, щоб вивести з ладу (відрізати від зовнішнього світу) усі хости усередині захищеного Firewall-системою сегмента, досить атакувати тільки один Firewall, а не кілька хостів (це легко пояснюється тим, що зв'язок внутрішніх хостів із зовнішнім світом можливий лише через Firewall ).
З усього вищесказаного аж ніяк не випливає, що використання систем Firewall абсолютно безглуздо. Ні, на даний момент цій методиці (саме як методиці!) Немає альтернативи. Однак треба чітко розуміти і пам'ятати її основне призначення. Нам видається, що застосування методики Firewall для забезпечення мережної безпеки є необхідною, але аж ніяк не достатньою умовою, і не потрібно вважати, що, поставивши Firewall, ви разом вирішите всі проблеми з мережевою безпекою і позбудетеся від усіх можливих віддалених атак з мережі Internet.
6. Програмні засоби безпеки.
До програмних методів захисту можна віднести насамперед захищені криптопротоколи, з використанням яких з'являється можливість надійного захисту з'єднання. Далі мова піде про існуючі на сьогоднішній день в Internet підходах і основних, уже розроблених, криптопротоколів.
SKIP-технологія і криптопротоколи SSL, S-HTTP як основний засіб захисту з'єднання і переданих даних в мережі Internet
Прочитавши, читач, очевидно, усвідомив, що одна з основних причин успіху віддалених атак на розподілені НД криється у використанні мережних протоколів обміну, які не можуть надійно ідентифікувати віддалені об'єкти, захистити з'єднання і передані по ньому дані. Тому цілком природно, що в процесі функціонування Internet були створені різні захищені мережні протоколи, що використовують криптографію як з закритим, так і з відкритим ключем. Класична криптографія з симетричними криптоалгоритмами припускає наявність у передавальної та приймаючої сторін симетричних (однакових) ключів для шифрування і дешифрування повідомлень. Ці ключі заздалегідь мають бути розподілені між кінцевим числом абонентів, що в криптографії називається стандартною проблемою статичного розподілу ключів. Очевидно, що застосування класичної криптографії з симетричними ключами можливо лише на обмеженій множині об'єктів. У мережі Internet для всіх її користувачів вирішити проблему статичного розподілу ключів не є можливим. Проте одним з перших захищених протоколів обміну в Internet був протокол Kerberos, заснований саме на статичному розподілі ключів для кінцевого числа абонентів. Таким же шляхом, використовуючи класичну симетричну криптографію, змушені йти наші спецслужби, що розробляють свої захищені криптопротоколи для Internet. Отже, щоб дати можливість захиститися всій множині користувачів мережі Internet, а не обмеженому його підмножині, необхідно використовувати динамічно вироблювані в процесі створення віртуального з'єднання ключі, застосовуючи криптографію з відкритим ключем (див. розділ 6 і [7]). Далі ми розглянемо основні на сьогоднішній день підходи і протоколи, що забезпечують захист з'єднання.
SKIP-технологією (Secure Key Internet Protocol - Internet-протокол з захищеним ключем) називається стандарт інкапсуляції IP-пакетів, що дозволяє в існуючому стандарті IPv4 на мережному рівні забезпечити захист з'єднання і переданих по ньому даних. Це досягається наступним чином: SKIP-пакет - це звичайний IP-пакет, його поле даних представляє собою SKIP-заголовок визначеного специфікацією формату і криптограму (зашифровані дані). Така структура SKIP-пакета дозволяє безперешкодно направляти його будь-якому хосту в Internet (міжмережний адресація відбувається по звичайному IP-заголовку в SKIP-пакеті). Кінцевий одержувач SKIP-пакета за заздалегідь визначеним розробниками алгоритмом розшифровує криптограму і формує звичайний TCP-або UDP-пакет, який і передає відповідному звичайному модулю (TCP або UDP) ядра операційної системи. В принципі ніщо не заважає розробнику формувати за даною схемою свій оригінальний заголовок, відмінний від SKIP-заголовка.
S-HTTP (Secure HTTP - захищений HTTP) - це захищений HTTP-протокол, розроблений компанією Enterprise Integration Technologies (EIT) спеціально для Web. Протокол S-HTTP дозволяє забезпечити надійний криптозахист тільки HTTP-документів Web-сервера і функціонує на прикладному рівні моделі OSI. Така особливість протоколу робить його абсолютно спеціалізованим засобом захисту з'єднання, отже, його застосування для захисту всіх інших прикладних протоколів (FTP, TELNET, SMTP та ін) неможливо. Крім того, жоден з існуючих на сьогоднішній день основних Web-браузерів (ні Netscape Navigator, ні Microsoft Explorer) не підтримує цей протокол.
SSL (Secure Socket Layer - захищені приховані гнізда) - розробка компанії Netscape - універсальний протокол захисту з'єднання, що функціонує на сеансовому рівні OSI. Він використовує криптографію з відкритим ключем і на сьогоднішній день, на нашу думку, є єдиним універсальним засобом, що дозволяє динамічно захистити яке завгодно з'єднання з застосуванням будь-якого прикладного протоколу (DNS, FTP, TELNET, SMTP і т, д.). Це пов'язано з тим, що SSL, на відміну від S-HTTP, функціонує на проміжному сеансовому рівні OSI - між транспортним (TCP, UDP) і прикладним (FTP, TELNET). При цьому процес створення віртуального SSL-з'єднання відбувається за схемою Діффі і Хеллмана (див. розділ 6), яка дозволяє виробити криптостійкі сеансовий ключ, використовуваний надалі абонентами SSL-з'єднання для шифрування переданих повідомлень.
Протокол SSL вже практично оформився в якості офіційного стандарту захисту для HTTP-з'єднань, тобто для захисту Web-серверів. Його підтримують, природно, Netscape Navigator і, як не дивно, Microsoft Explorer (згадаймо запеклу війну браузерів компаній Netscape і Microsoft). Звичайно, для встановлення SSL-з'єднання з Web-сервером ще необхідно і наявність Web-сервера, що підтримує SSL (наприклад, SSL-Apache).
Завершуючи розповідь про протокол SSL, не можна не відзначити наступний факт: законами США донедавна був заборонений експорт криптосистем з довжиною ключа більше 40 біт (не так давно ліміт був збільшений до 56 біт), тому в існуючих версіях браузерів використовуються саме 40-бітові ключі . Провівши експерименти, криптоаналитики з'ясували, що в наявній версії протоколу SSL шифрування з використанням 40-бітного ключа не є надійним захистом для переданих по мережі повідомлень, тому що шляхом простого перебору (240 комбінацій) цей ключ підбирається за час від 1.5 (на суперкомп'ютері Silicon Graphics ) до 7 діб (в обчисленнях було задіяно 120 робочих станцій і кілька міні-ЕОМ).
Отже, очевидно, що повсюдне застосування захищених протоколів обміну, особливо SSL (звичайно, з довжиною ключа більше 40 біт), поставить надійний бар'єр на шляху всіляких віддалених атак і серйозно ускладнить життя кракерів усього світу. Однак весь трагізм сьогоднішньої ситуації з забезпеченням безпеки в Internet полягає в тому, що поки жоден з існуючих криптопротоколів (а їх уже чимало) не оформився в якості єдиного стандарту захисту з'єднання, що підтримувався б усіма виробниками мережних ОС. Протокол SSL підходить на цю роль найкращим чином, але його не підтримують всі мережні ОС. Тому були створені спеціальні прикладні SSL-сумісні сервери (DNS, FTP, TELNET, WWW та ін.) Якщо не домовитися про прийняття єдиного стандарту на захищений протокол сеансового рівня, то тоді потрібно приймати багато стандартів на захист кожної окремої прикладної служби. Наприклад, вже розроблено експериментальний протокол Secure DNS. Також існують експериментальні SSL-сумісні Secure FTP-і TELNET-сервери. Але все це без прийняття єдиного стандарту на захищений протокол не має абсолютно ніякого сенсу. В даний час виробники мережних ОС не можуть домовитися про єдину позицію з цього питання і тим самим перекладають рішення проблеми безпосередньо на користувачів Internet.
Дата добавления: 2015-08-21; просмотров: 2048;