Организация защиты информации в корпоративных сетях. Управление сетевыми политиками

обеспечения СЗИ.

 

При разделении СЗИ должна обеспечиваться способность

сообщения административному  персоналу об отказах, ошибках,

попытках     несанкционированного     доступа,   обнаруженных    в

разделенных компонентах  СЗИ. Протоколы, осуществленные в

пределах СЗИ, должны быть разработаны так, что должно

обеспечиваться правильное функционирование СЗИ в случае отказов

(сбоев) коммуникационной  сети или ее индивидуальных  компонентов.

Механизмы      безопасности   должны     быть    проверены   и

функционировать в соответствии с требованиями документации.

 

Уровень защиты корпоративной  АС должен гарантировать:

1. Целостность передачи  информации от ее источников  до адресата:

• Аутентификацию;

• Целостность коммуникационного  поля;

• Невозможность отказа партнеров по связи от факта передачи или приема сообщений.

2. Безотказность в предоставлении  услуг

• Непрерывность функционирования;

• Устойчивость к атакам типа «отказ в обслуживании»;

• Защищенный протокол передачи данных.

3. Защиту от несанкционированного  раскрытия информации:

• Сохранение конфиденциальности данных с помощью механизмов шифрования;

• Выбор маршрута передачи.

 

 

Средства защиты должны обеспечивать:

Конфиденциальность содержания (отправитель должен быть

уверен, что никто не прочитает  сообщения, кроме определенного

получателя);

Целостность содержания (получатель должен быть уверен, что

содержание сообщения  не модифицировано);

 

Целостность последовательности сообщений (получатель должен

быть уверен, что последовательность сообщений не изменена);

Аутентификацию источника  сообщений (отправитель должен иметь

возможность аутентифицироваться  у получателя как источник

сообщения, а также у  любого устройства передачи сообщений, через

который они проходят);

 

Доказательство доставки (отправитель может убедиться  в том, что

сообщение доставлено неискаженным нужному получателю);

Доказательство подачи (отправитель  может убедиться в

идентичности устройства передачи сообщения, на которое оно

передано);

 

Безотказность источника (позволяет  отправителю доказать

получателю, что переданное сообщение принадлежит ему);

 

Безотказность поступления (позволяет отправителю сообщения

получить от устройства передачи сообщения, на которое оно поступило,

доказательство того, что  сообщение поступило на это устройство для

доставки определенному  получателю);

 

Безотказность доставки (позволяет  отправителю получить от

получателя доказательство получения им сообщения);

Управление контролем  доступа (позволяет двум компонентам

системы обработки сообщений  установить безопасное соединение);

 

Защиту от попыток расширения своих законных полномочий (на

доступ, формирование, распределение  и т.п.), а также изменения (без

санкции на то) полномочий других пользователей;

 

Защиту от модификации  программного обеспечения путем

добавления новых функций.

 

 

2. Системы защиты.

 

                2.1.    IPS и IDS.

 

IDS (Intrusion Detection Systems, IDS). IDS – это система призванная обнаружить попытки проникновения в частную сеть и сообщить системному администратору о факте вторжения. Эта технология защиты информации используется довольно давно и уже завоевала популярность среди заказчиков.

 

Однако, многие аналитики  считают, что сегодня существует более эффективный и удобный  способ борьбы с хакерами. Эта система  – Intrusion Prevention System, IPS.

 

Аббревиатура IPS в области  информационной безопасности закреплена за системами и решениями, которые  служат для предотвращения нападений. Под ней подразумевается набор  технологий, которые появились на стыке межсетевых экранов и систем обнаружения нападений IDS. От межсетевых экранов в IPS взят принцип активного  вмешательства в сетевое взаимодействие или поведение программ, а от IDS – интеллектуальные методы мониторинга  происходящих событий. Таким образом, IPS не только обнаруживает нападения, но и пытается предотвратить их. В  России решения IPS появились еще  в составе межсетевых экранов  или классических систем IDS. Сегодня, на рынке есть и специализированные продукты, такие как семейство  аппаратных IPS компании

NetScreen. Среди продуктов  IPS аналитики выделяют пять типов  компонентов, каждый из которых  выполняет свои функции и может  комбинироваться с другими.

 

Сетевая IDS.

 

Устройство, которое анализирует  проходящие через него IP-пакеты, пытаясь  найти в них признаки атаки  по заранее определенным правилам и  сигнатурам, называется сетевой IDS (NIDS). От традиционной IDS такие продукты отличаются тем, что они не только выискивают случаи ненормального и нестандартного использования сетевых протоколов, но и пытаются блокировать все  несоответствия. Хотя NIDS и пользуется базой сигнатур известных атак, они  могут также предотвратить и  неизвестное им нападение, особенно если оно построено на аномальном использовании протоколов.

 

Коммутаторы седьмого уровня.

 

Сетевые устройства, которые  определяют маршруты IP-пакетов в  зависимости от типа приложения, называются коммутаторами седьмого уровня (приложений).

Их можно использовать для разных целей: создание кластеров, балансировки нагрузки, раздельного  хранения данных по типам, а также  для защиты.

Подозрительные пакеты такие  устройства либо полностью уничтожают, либо перенаправляют на специальный  сервер для дальнейшего анализа. Этот тип IPS хорошо отражает атаки, направленные на отказ в обслуживании и на совместный взлом нескольких служб.

 

Экран приложений.

 

Механизм, который контролирует системные вызовы сетевых программ, называется экраном приложений (application firewall/IDS). Он отслеживает не сетевое  взаимодействие, а поведение программ и библиотек, работающих с сетью. Такой экран может работать и  по фиксированному набору правил, однако наибольший интерес представляют самообучающиеся  продукты, которые вначале запоминают штатную работу приложения, а в  последствии фиксируют или не допускают нештатное их поведение. Такие экраны блокируют неизвестные  атаки, но их необходимо устанавливать  на каждый компьютер и «переобучать»  при изменении конфигурации приложений.

 

Гибридные коммутаторы.

 

Есть технологии, которые  объединят в себе экраны приложений и коммутаторы седьмого уровня, - это гибридные коммутаторы. Они, в отличие от экранов приложений, имеют дело уже с IP-пакетами, в  начале обучаясь штатным запросам, а все нештатные либо блокируя, либо направляя на специальный сервер для дальнейшего изучения. Они  могут отразить и атаки на отказ  в обслуживании, и неизвестные  атаки, но их придется каждый раз переобучать  заново при каждом изменении конфигурации системы.

 

Ловушки.

 

К категории IPS относятся  также приложения-ловушки, которые  пытаются активно вмешиваться в  процесс нападения. Такие продукты, эмулируя работу других программ, провоцируют  нападающего атаковать, а потом  контратакуют его, стараясь одновременно выяснить его личность. Ловушки лучше  всего комбинировать с коммутаторами  – гибридными или седьмого уровня, чтобы реагировать не на основной поток информации, а только на подозрительные соединения. Ловушки используют скорее для устрашения и контратаки, чем  для защиты.

 

Следует отметить, что IPS разных типов хорошо интегрируются в  достаточно интеллектуальную систему  защиты, каждый элемент которого хорошо дополняет другие. При этом они  не конкурируют с уже существующими  средствами информационной безопасности: межсетевыми экранами, IDS, антивирусами и др., поскольку дополняют их.

 

IPS в России.

 

В России продукты IPS появились  недавно и сейчас у всех поставщиков  их продано по нескольку экземпляров. В основном это продажи IPS в составе  других продуктов: межсетевых экранов  или IDS. Так, компания NetWell, объявившая прошедшим  летом о начале поставок устройств NetScreen, продает их в составе корпоративной  сети и уже имеет шесть проектов с их использованием. По оценкам  Дмитрия Коваля, генерального директора NetWell, затраты на устройства IPS/IDS составляют не более 10% общей стоимости проекта. Для предустановленных систем IPS цена одного устройства находится в  диапазоне от 7 до 10 тыс. долл. Программное  решение CheckPoint Applications Intelligence поставляется в составе межсетевого экрана и отдельно не продается (только через  модификацию старых версий).

 

2.2. Системы защиты.

 

Исторически Internet и Unix, были слишком тесно переплетены. Из-за своей распространенности, открытости и слабой защищенности Unix стал одним  из основных предметов для атак со стороны хакеров. Большинство взломов Unix связано с плохим администрированием и cкрытыми ошибками в программном  обеспечении. Известный "червь Моррисона", который в 1988 году проник в десятки  тысяч компьютеров использовал  именно скрытые ошибки в программном  обеспечении Firewalls.

 

Обеспечить надежную защиту отдельных компьютеров внутренней сети достаточно сложно, поэтому эффективнее  защищать сразу всю сеть. Для обеспечения  защиты внутренней сети от внешней  используют архитектуру Firewall (русская  интерпретация - брандмауэр). Firewall это  совокупность компонент или система, которая располагается между  двумя сетями и обладает следующими свойствами:

Весь трафик из внутренней сети во внешнюю и из внешней сети во внутреннюю должен пройти через  эту систему;

Только трафик, определенный локальной стратегией защиты, может  пройти через эту систему;

 

Архитектура Firewall.

 

Firewall обычно состоит из  нескольких различных компонент,  включая фильтры или экраны, которые  блокируют передачу некоторых  классов трафика и шлюзов. Шлюз (gateway) это машина или набор  машин, которые обеспечивают сервисы,  компенсируя эффекты фильтров. Сеть, где располагаются шлюзы, часто  называют демилитаризованной зоной. 

 

 

Пакетная фильтрация.

 

Обычно все firewalls осуществляют фильтрацию IP пакетов средствам  и фильтрующих маршрутизаторов. Фильтрация пакетов, проходящих через  интерфейсы маршрутизатора, основана на наборе правил, которые устанавливаются, базируясь на стратегии защиты. Фильтрующие маршрутизаторы обычно могут фильтровать IP пакеты, основываясь на некоторых или всех следующих критериях:

IP адрес источника, 

IP адрес назначения,

TCP/UDP порт источника, 

TCP/UDP порт назначения.

Фильтрация может использоваться, чтобы блокировать соединение на определенные хосты или сети, а  также блокировать соединение с  определенными портами. Например, можно  блокировать соединения от определенных адресов хостов или сетей, которые  рассматриваются как враждебные или незаслуживающие доверие. Также  можно блокировать соединение от всех внешних адресов, исключая, например, только SMTP для получения электронной  почты.

 

Добавление фильтрации TCP или UDP портов к фильтрации IP адресов  дает большую гибкость в стратегии  защиты. Сервисы, такие как TELNET демон, обычно располагаются на определенном порту (для TELNET порт 23). Эти сервисы  можно блокировать на все хосты  и разрешать их только на определенные системы. Например, можно блокировать  все входные соединения, но разрешить  только определенные сервисы, такие  как SMTP, для одного хоста и TELNET или FTP соединения для другого хоста.

 

Фильтрация TELNET и SMTP.

 

Следующие сервисы наиболее уязвимы и обычно блокируются  в firewall:

tftp, порт 69, trivial FTP, используются  для загрузки бездисковых станций,  терминальных серверов и маршрутизаторов. 

X Window, OpenWindows, порт 6000, порт 2000, может пропускать информацию  от X Window дисплеев, включая все нажатия  клавиш.

RPC, порт 111, Remoute Procedure Calls, включая  NIS и NFS, которые могут быть использованы  для захвата системной информации, такой как пароли и для чтения  и записи файлов.

rlogin, rsh и rexec, порты 513, 514 и 512, сервисы, которые при неправильной  конфигурации могут разрешать  несанкционированный доступ в  систему. 

 

Другие сервисы менее  опасные обычно фильтруют и по возможности ограничивают их доступ только к тем системам, которые  нуждаются в них:

TELNET, порт 23.

FTP, порт 20 и 21.

SMTP, порт 25.

RIP, порт 520.

DNS, порт 53.

UUCP, порт 540.

NNTP, порт 119.

gopher, http, порты 70 и 80.

 

Шлюзы приложений (Application gateway).

 

Некоторые фильтрующие маршрутизаторы не могут выполнять все функции, а также могут трудно настраиваться  и поддерживаться. Правила пакетной фильтрации сложны для определения, и обычно не существует средств тестирования для проверки правильности этих правил ( кроме, как тестирование вручную). Некоторые маршрутизаторы не обеспечивают возможность регистрации пакетов, поэтому, если правила фильтрации маршрутизатора все еще пропускают "опасные" пакеты, то они не могут быть обнаружены до тех пор, пока не произошли "нежелательные  события".

 

Часто необходимо сделать  исключения из правил, чтобы позволить  некоторые типы доступа, которые  в обычном случае блокированы, но исключения к правилам пакетной фильтрации могут сделать эти правила  настолько сложными, что они станут неуправляемыми. Некоторые фильтрующие  маршрутизаторы не фильтруют по TCP/UDP порту источника, что может сделать  правила фильтрации более сложными и может открыть "дырки" в  схеме фильтрации.

 

Чтобы компенсировать некоторые  из слабостей фильтрующих маршрутизаторов, firewall может использовать прикладные программы для пропуска и фильтрации соединений для сервисов типа TELNET и FTP. Такие прикладные программы называются уполномоченные программами (proxy service), а хост, на котором работает уполномоченная программа называется шлюзом приложений (application gateway). Работая вместе, шлюз приложений и фильтрующие маршрутизаторы могут  обеспечить высокий уровень защищенности и гибкости. Например, рассмотрим сеть, где используется фильтрующий маршрутизатор для блокировки всех входных TELNET и FTP соединений. Фильтрующий маршрутизатор разрешает TELNET и FTP пакетам проходить только на один хост, шлюз приложений TELNET/FTP. Пользователь, который желает соединиться извне с хостом в этой сети, должен сначала соединиться со шлюзом приложений, а затем с хостом назначения следующим образом: