Управление безопасностью

Под управлением безопасностью чаще всего понимается автоматизация управления информационной безопасностью на основе стандарта ISO 17799. В иных случаях управление безопасностью трактуют как создание некой единой консоли для управления всеми подсистемами — от антивируса до систем обнаружения атак. Однако проблема управления стоит гораздо серьезнее.

Крупная организация использует в своей сети множество аппаратных и программных средств обработки данных (приложения и СУБД, коммутационное оборудование, средства безопасности и т.п.), каждое из которых управляется подчас несколькими людьми. Руководство ставит перед ними различные задачи: перед администраторами — поддерживать работоспособность и надежность сети, перед службой информационной безопасности — обеспечить конфиденциальность данных, и т.п.

Во многих компаниях автоматизировать процессы управления пытаются за счет документооборота: для внесения изменений в объекты, так или иначе влияющие на информационную безопасность предприятия, используют механизм заявок. Но тут возникает новая проблема: по мере накопления заявок невозможно отследить их взаимную непротиворечивость и их соответствие корпоративным требованиям безопасности. Кроме того, отсутствуют механизмы контроля реального состояния объектов.

Масло в огонь подливают и проблемы общения с бизнес-подразделениями компании. Термин отдела кадров «зачислен новый сотрудник» означает для отделов IT «завести учетную запись пользователя в:», «создать сертификат для пользователя:» и множество прочих подобных инструкций.

Работа по автоматизации процессов управления информационной безопасностью уже ведется. Идеология решения заключается в том, что управление безопасностью нанизывается на каркас бизнес-процессов компании. Система, обладая знаниями об информационной системе организации, не только транслирует эту информацию с языка одного подразделения на язык другого, но и раздает поручения на выполнение конкретных операций. Вездесущие агенты системы контролируют своевременность и правильность выполнения этих поручений.

Заключение

Какова бы ни была система защиты информации в конкретной организации, главное — помнить два основных правила.

Первое: комплексная защита информации — это, прежде всего, совокупность принятых в компании мер по защите, а не набор продуктов. Нельзя списывать со счетов и то, что в обеспечении информационной безопасности участвует каждый сотрудник компании.

Второе: основа любой системы защиты — это люди. От того, насколько грамотно персонал настроит эксплуатируемые системы, как он будет готов реагировать на инциденты в области безопасности, зависит защищенность предприятия в целом.

Что же касается технологий и конкретных средств защиты информации, то использование антивирусов, межсетевых экранов и механизмов разграничения доступа обеспечивает лишь минимально необходимый уровень защищенности, а применение дополнительных механизмов защиты должно определяться экономической целесообразностью.

20 Аппаратные и программные средства защиты информации.

Программные средства защиты - это специальные программы, включаемые в состав программного обеспечения системы, для обеспечения самостоятельно или в комплексе с другими средствами, функций защиты данных. По функциональному назначению программные средства можно разделить на следующие группы:

Программные средства идентификации и аутентификации пользователей. Идентификация – это присвоение какому-либо объекту или субъекту уникального образа, имени или числа. Установление подлинности (аутентификация) заключается в проверке, является ли проверяемый объект (субъект) тем, за кого себя выдает. Конечная цель идентификации и установления подлинности объекта в вычислительной системе – допуск его к информации ограниченного пользования в случае положительного результата проверки или отказ в допуске в противном случае. Одним из распространенных методов аутентификации является присвоение лицу уникального имени или числа – пароля и хранение его значения в вычислительной системе. При входе в систему пользователь вводит свой код пароля, вычислительная система сравнивает его значение со значением, хранящимся в своей памяти, и при совпадении кодов открывает доступ к разрешенной функциональной задаче, а при несовпадении – отказывает в нем. Наиболее высокий уровень безопасности входа в систему достигается разделением кода пароля на две части, одну, запоминаемую пользователем и вводимую вручную, и вторую, размещаемую на специальном носителе – карточке, устанавливаемой пользователем на специальное считывающее устройство, связанное с терминалом.

Средства идентификации и установления подлинности технических средств;

Дополнительный уровень защиты по отношению к паролям пользователей. (В ЭВМ хранится список паролей и другая информация о пользователях, которым разрешено пользоваться определенными терминалами, а также таблица ресурсов, доступных с определенного терминала конкретному пользователю);

Средства обеспечения защиты файлов. (Вся информация в системе, хранимая в виде файлов делится на некоторое количество категорий по различным признакам, выбор которых зависит от функций, выполняемых системой. Наиболее часто можно встретить разделение информации: по степени важности, по степени секретности, по выполняемым функциям пользователей, по наименованию документов, по видам документов, по видам данных, по наименованию томов, файлов, массивов, записей, по имени пользователя, по функциям обработки информации: чтению, записи, исполнению,по областям оперативной и долговременной памяти, по времени и т.д. Доступ должностных лиц к файлам осуществляется в соответствии с их функциональными обязанностями и полномочиями;

Средства защиты операционной системы и программ пользователей. (Защита операционной системы – наиболее приоритетная задача. Осуществляется запретом доступа в области памяти, в которых размещается операционная система. Для защиты пользовательских программ применяется ограничение доступа к занимаемым этими программами памяти);

Вспомогательные средства. (К вспомогательным средствам программной защиты информации относятся: программные средства контроля правильности работы пользователей, программные уничтожители остатков информации; программы контроля работы механизма защиты; программы регистрации обращений к системе и выполнения действий с ресурсами; программы формирования и печати грифа секретности; программные средства защиты от компьютерных вирусов.

Аппаратные средства защиты информации — это различные технические устройства, системы и сооружения, предназначенные для защиты информации от разглашения, утечки и несанкционированного доступа.К аппаратным средствам обеспечения информационной безопасности относятся самые разные по принципу работы, устройству и возможностям технические средства, обеспечивающие пресечение разглашения, защиту от утечки и противодействие несанкционированному доступу к источникам конфиденциальной информации.

Использование аппаратных средств защиты информации позволяет решать следующие задачи:

· проведение специальных исследований технических средств на наличие возможных каналов утечки информации;

· выявление каналов утечки информации на разных объектах и в помещениях;

· локализация каналов утечки информации;

· поиск и обнаружение средств промышленного шпионажа;

· противодействие НСД (несанкционированному доступу) к источникам конфиденциальной информации и другим действиям.

По назначению аппаратные средства классифицируют на средства обнаружения, средства поиска и детальных измерений, средства активного и пассивного противодействия. При этом по тех возможностям средства защиты информации могут быть общего на значения, рассчитанные на использование непрофессионалами с целью получения общих оценок, и профессиональные комплексы, позволяющие проводить тщательный поиск, обнаружение и измерения все характеристик средств промышленного шпионажа.

Поисковую аппаратуру можно подразделить на аппаратуру поиска средств съема информации и исследования каналов ее утечки.

Аппаратура первого типа направлена на поиск и локализацию уже внедренных злоумышленниками средств НСД. Аппаратура второго типа предназначается для выявления каналов утечки информации. Определяющими для такого рода систем являются оперативность исследования и надежность полученных результатов.

Профессиональная поисковая аппаратура, как правило, очень дорога, и требует высокой квалификации работающего с ней специалиста. В связи с этим, позволить ее могут себе организации, постоянно проводящие соответствующие обследования. Так что если Вам нужно провести полноценное обследование – прямая дорога к ним.

Конечно, это не значит, что нужно отказаться от использования средств поиска самостоятельно. Но доступные поисковые средства достаточно просты и позволяют проводить профилактические мероприятия в промежутке между серьезными поисковыми обследованиями.

21 Брандмауэры и их характеристики.

Информационные системы корпораций, правительственных учреждении и других организаций постоянно развиваются в следующих направлениях.

• Система централизованной обработки данных, работающая на базе мэйн­фрейма, к которому непосредственно подключено некоторое число терминалов.

• Локальная сеть, объединяющая персональные компьютеры и терминалы друг с другом и мэйнфреймом.

• Объединенная сеть, состоящая из нескольких локальных сетей, связанных друг с другом персональных компьютеров, серверов и, возможно, одного или двух мэйнфреймов.

• Сеть масштаба предприятия, состоящая из нескольких находящихся на дос­таточно большом расстоянии друг от друга объединенных сетей, связывае­мых между собой с помощью ведомственной глобальной сети.

• Связь через Internet, при которой различные объединенные сети оказыва­ются подключенными к Internet и могут быть также связанными друг с другом ведомственной глобальной сетью.

Сегодня связь с Internet для большинства организаций уже является при­вычным делом. Для многих организаций информация и услуги Internet жизнен­но необходимы. Кроме того, доступ к Internet требуется многим индивидуаль­ным пользователям, и если их локальная сеть не обеспечивает такого доступа, они самостоятельно используют средства удгтенного доступа для подключения своих персональных компьютеров к Internet через поставщика услуг Internet (провайдера). Но, хотя доступ к Internet и дает организации очевидные преиму­щества, он в то же время открывает ресурсы внутренней сети организации внешнему миру. Ясно, что это несет в себе определенную угрозу для организа­ции. Для защиты от этой угрозы можно оборудовать каждую рабочую станцию и каждый сервер внутренней сети надежными средствами защиты типа системы защиты от вторжений, но такой подход, очевидно, непрактичен. Рассмотрим, например, сеть с сотнями или даже тысячами отдельных систем, на которых ра­ботают самые разные версии UNIX, да еще и Windows 95, Windows 98 и Win­dows NT. Если будет выявлен какой-либо изъян в системе защиты, придется внести изменения в средства защиты всех систем, которые потенциально могут оказаться уязвимыми. Альтернативой, которая становится все более популяр­ной, является использование брандмауэра. Это устройство размещается между внутренней сетью организации и Internet, обеспечивая контролируемую связь воздвигая внешнюю стену, или границу. Целью создания такой границы являе ся защита внутренней сети от несанкционированного проникновения извне чер< Internet и организация единого центра, в котором должны применяться средст* защиты и контроля. Брандмауэр может представлять собой как отдельный кол пьютер сети, так и группу специально выделенных компьютеров, которые ос; ществляют функции брандмауэра сети, взаимодействуя между собой.

В этом разделе мы сначала обсудим общие характеристики брандмауэров, затем рассмотрим брандмауэры самых распространенных типов. В конце раздел приводятся некоторые типичные конфигурации брандмауэров.

Характеристики брандмауэров

В [BELL94] приводится следующий список основных задач, стоящих пере; разработчиками брандмауэров.

1. Весь поток данных, направляемых из внутренней сети во внешний мир, ка* и идущих в обратном направлении, должен проходить через брандмауэр Для этого физически блокируется любой доступ к локальной сети в обхо* брандмауэра. Как будет показано ниже, эта задача имеет несколько различ­ных конструктивных решений.

2. Из всего потока поступающих к брандмауэру данных пройти его могут только данные, прошедшие аутентификацию в соответствии с локальной политикой защиты. Как будет показано ниже, в брандмауэрах реализуются различные типы политик защиты.

3. Брандмауэр сам по себе должен быть недоступен для вторжения извне. Это предполагает наличие высоконадежной системы с защищенной операцион­ной системой. Данная тема обсуждается в разделе 10.2.

В [SMIT97] перечислены четыре основных средства, с помощью которых брандмауэры осуществляют контроль доступа и обеспечивают реализацию поли­тик защиты соответствующей вычислительной системы. Изначально брандмау­эры осуществляли в основном управление сервисами, но сегодня на них возло­жены и остальные задачи.

• Управление сервисами. Определение типов служб Internet, к которым можно получить доступ из внутренней сети наружу и из внешнего окружения во­внутрь. Брандмауэр может фильтровать поток данных на основе IP-адресов и номеров портов TCP. Он предлагает такой компонент, как прокси-сервер, через который может проходить каждый запрос сервиса и который принимает реше­ние о том, пропустить данный запрос или нет. Брандмауэр может содержать и сами серверные компоненты, например, Web-сервер или почтовую службу.

• Управление направлением движения. Определение направления, в котором могут инициироваться и проходить через брандмауэр запросы к тем или иным службам.

Управление пользователями. Предоставление доступа к службам в зависи­мости от прав доступа пользователей, обращающихся к этим службам. Эта функция обычно применяется к пользователям внутри сети, защищаемой с помощью брандмауэра (локальным пользователям). Однако она может при­ меняться и к потоку данных, поступающему от внешних пользователей, но это требует реализации в какой-то форме технологии аутентификации, на­пример, обеспечиваемой протоколом IPSec (см. главу 6).

• Управление поведением. Контроль за использованием отдельных служб. Так, брандмауэр может фильтровать электронную почту, отсеивая "спэм", или же разрешать доступ извне только к определенной части информации, находящейся на локальном Web-сервере.

Перед рассмотрением особенностей конфигурации брандмауэров различных ипов определим требования, выдвигаемые к ним. Брандмауэр может предлагать ледующие возможности.

1. Брандмауэр определяет единственную точку входа, в которой пресекается несанкционированный доступ внешних пользователей к защищаемой сети, запрещается потенциально уязвимым службам вход в сеть извне или вы­ход изнутри во внешний мир, а также обеспечивается защита от различ­ных атак вторжения, использующих изменение маршрута или указание ложных IP-адресов. Наличие единственной точки входа упрощает задачу контроля безопасности, так как все средства защиты оказываются сосре­доточенными в одном месте.

2. Брандмауэр — это место, где осуществляется мониторинг событий, имею­щих отношение к защите сети. Для этого в брандмауэре могут быть преду­смотрены соответствующие компоненты контроля и извещения.

3. Брандмауэр является удобной платформой для ряда функций Internet, не имеющих непосредственного отношения к безопасности. К таким функциям можно отнести трансляцию локальных сетевых адресов в адреса Internet, а также средства управления сетью, контролирующие использование Internet и ведение соответствующего журнала.

4. Брандмауэр может служить платформой для IPSec. Возможности туннель­ного режима такого брандмауэра (описанные в главе 6) можно использовать при построении виртуальных частных сетей.

Брандмауэры имеют свои ограничения, описанные ниже.

1. Брандмауэр не защищает от атак, идущих в обход. Внутренние компьютер­ные системы могут иметь средства удаленного доступа к внешнему постав­щику услуг Internet. Внутренняя локальная сеть может иметь модемную стойку, обеспечивающую удаленный доступ к сети сотрудникам, находя­щимся в командировке или работающим дома.

2. Брандмауэр не может защитить от внутренних угроз безопасности, напри­мер, со стороны неудовлетворенного служащего или сотрудника, вступив­шего в сговор с внешним нарушителем.

3. Брандмауэр не может защитить от угрозы передачи инфицированных виру­сами программ или файлов. В связи с тем что в рамках защищаемых брандмауэром границ может использоваться множество различных опера­ционных систем и приложений, для брандмауэра оказывается практически невозможным проверять все входящие файлы, электронную почту и полу­чаемые сообщения на предмет наличия вирусов.

Фильтрующий маршрутизатор

Фильтрующий маршрутизатор (packet-filtering router) на основе определен­ного набора правил принимает решение о том, передавать по сети поступивший пакет IP дальше или отвергнуть его. Обычно маршрутизатор настраивается та­ким образом, чтобы фильтровать пакеты, проходящие в обоих направлениях (как извне во внутреннюю сеть, так и из внутренней сети во внешний мир). Пра­вила фильтрования основываются на значениях полей в заголовках IP и транс­портного уровня (TCP или UDP), включая IP-адреса источника и адресата, поле IP-протокола (задающее транспортный протокол), а также номер порта TCP или UDP (определяющий приложение, например SNMP или TELNET).

Фильтр пакетов обычно представляется в виде списка правил, использую­щих значения полей заголовков IP и TCP. Если обнаруживается соответствие одному из правил, на основании этого правила принимается решение о том, можно ли передать пакет дальше или его следует отвергнуть. При несоответст­вии всем правилам выполняется операция, предусмотренная для использования по умолчанию. Существуют следующие возможности.

• Default = discard. Все, что не разрешено, запрещено.

• Default = forward. Все, что не запрещено, разрешено.

Очевидно, что первая политика соответствует более консервативному подхо­ду. Изначально все оказывается запрещенным, и добавление сервисов должно осуществляться для каждого из них в отдельности. В рамках этой политики по отношению к пользователям брандмауэр выступает как препятствие. Вторая по­литика в значительной степени облегчает работу конечных пользователей, но обеспечивает более низкий уровень защиты, поскольку в данном случае админи­стратору системы защиты приходится принимать меры по каждой новой обна­руженной угрозе безопасности.

В табл. 10.1, взятой из [BELL94], представлены примеры наборов правил для брандмауэра, использующего фильтрацию пакетов. В каждом наборе прави­ла применяются "сверху вниз". Символ в поле обозначает соответствие лю­бому значению. Предполагается, что применяется политика default = discard.

A. Разрешено поступление входящей почты (порт 25 предназначен для входя-
щих сообщений SMTP), но только на компьютер, выполняющий роль шлю-
за (OUR-GW). Однако поступление почты с внешнего узла SPIGOT блокиру-
ется, поскольку этот узел печально известен рассылкой сообщений элек-
тронной почты, содержащих очень большие по объему файлы.

B. Явное использование политики по умолчанию. Все наборы правил неявно
включают это правило в качестве последнего правила.

C. Любому узлу внутренней сети позволено отправлять сообщения во внешний
мир. Пакеты TCP с номером порта адресата 25 направляются SMTP-серверу
системы получателя. Проблема применения этого правила заключается в
том, что использование порта 25 для SMTP является только значением по
умолчанию. Внешняя машина может быть сконфигурирована так, что порт
25 будет связан с другим приложением. При использовании этого правила
нарушитель может получить доступ к внутренним компьютерам сети, от-
правляя пакеты с номером TCP-порта источника, равным 25.

D. Этот набор правил решает проблему, возникающую с набором правил С. В
нем используется следующая возможность TCP-соединений. После создания
соединения флаг АСК сегмента TCP используется для сегментов подтвер-
ждения, отправляемых второй стороной. Таким образом, данный набор
правил разрешает пропускать IP-пакеты с IP-адресами источника из ука-
занного списка адресов внутренних узлов сети и с номером TCP-порта на-
значения, равным 25. Кроме того, пропускаются входящие пакеты с номе-
ром порта источника 25, содержащие флаг АСК в сегменте TCP. Обратите
внимание на то, что здесь явно указаны системы отправителя и получате-
ля, чтобы явно определить правила,

E. Данный набор правил представляет один из подходов к обработке FTP-
соединений. FTP предполагает использование двух TCP-соединений: управ-
ляющего соединения для настройки канала передачи файлов и соединения
для передачи данных, по которому происходит пересылка файлов. Соедине-
ние для передачи данных использует свой номер порта, который назначает-
ся динамически. Большинство серверов, а значит, и большинство наруши-
телей ориентированы на порты с малыми номерами. Исходящие же вызовы

обычно используют порты с номерами, превышающими 1023. Поэтому дан­ный набор правил разрешает следующие пакеты.

• Пакеты, отправляемые из внутренней сети.

• Пакеты ответов на соединения, установленные компьютерами внут­ренней сети.

• Пакеты, предназначенные для компьютеров внутренней сети и адресо­ванные портам с достаточно большими номерами.

Эта схема требует настройки систем, при которой задействуются только порты с подходящими номерами.

С помощью набора правил Е выявляется проблема работы с приложениями на уровне фильтрации пакетов. Организовать работу с FTP и другими подобны­ми приложениями позволяет описываемый ниже шлюз прикладного уровня.

Одним из достоинств фильтрующего маршрутизатора является его простота. Кроме того, фильтры пакетов, как правило, остаются незаметными для пользовате­лей и обеспечивают высокую скорость работы. Основными недостатками являются сложность верного выбора правил фильтрации и отсутствие средств аутентификации.

В [SEME96] приводится следующий список возможных атак нарушения за­щиты фильтрующего маршрутизатора с указанием соответствующих контрмер.

• Фальсификация IP-адресов. Нарушитель передает извне пакеты, в которых поле отправителя содержит IP-адрес внутреннего узла сети. Нарушитель надеется, что использование такого адреса даст возможность проникнуть в системы, в которых реализуется простая защита адресов источника, про­пускающая пакеты с адресами внутренних узлов, считающихся надежными. Контрмерой является отторжение поступающих извне пакетов, в которых в качестве адреса источника указываются внутренние адреса.

• Использование маршрутизации от источника. Отправитель указывает мар­шрут, по которому пакет должен пересылаться по Internet, в надежде на то, что удастся обойти средства защиты, не проверяющие информацию о мар­шруте, заданном отправителем. Контрмера — запрет прохождения всех па­кетов, использующих данную возможность.

• Разделение на мелкие фрагменты. Нарушитель использует фрагментации IP-пакетов для создания фрагментов исключите-!ьно малой длины, чтобы информация заголовка TCP попала в отдельный фрагмент. Задача такой атаки —обойти правила фильтрации пакетов, использующие информацию заголовка TCP. Нарушитель надеется, что фильтрующим маршрутизатором будет просмотрен только первый пакет, а остальные фрагменты будут про­пущены. Контрмера — отторжение всех пакетов, в которых указан прото­кол TCP, а значение параметра Fragment Offset протокола IP равно 1.

Шлюз прикладного уровня

Шлюз прикладного уровня, который также часто называют прокси-сервером (proxy server), работает как ретранслятор данных прикладного уровня (см. рис. 10.1, б). Пользователь связывается с этим шлюзом с помощью такого построенного на основе TCP/IP приложения, как Telnet или FTP. Шлюз запра­шивает у пользователя имя удаленного узла, к которому необходимо получить доступ. Если пользователь отвечает на этот запрос, сообщая правильный иден­тификатор пользователя и информацию, необходимую для аутентификации, то шлюз связывается с соответствующим приложением удаленного узла и ретранс­лирует сегменты TCP, содержащие данные приложения. Если в шлюзе не реали­зована поддержка прокси-кода для того или иного приложения, соответствую­щий сервис не предоставляется, и данные соответствующего типа через бранд­мауэр пройти не могут. Более того, шлюз можно настроить так, чтобы он поддерживал только определенные возможности приложения, которые админи­стратор сети считает приемлемыми с точки зрения безопасности.

В общем случае шлюзы прикладного уровня обеспечивают более надежную защиту, чем фильтры пакетов. Вместо того чтобы проверять многочисленные возможные комбинации разрешений и запретов на уровне TCP и IP, шлюзу при­кладного уровня приходится рассматривать лишь ограниченное число приложе­ний. Кроме того, при этом легко протоколировать и контролировать весь входя­щий поток данных прикладного уровня.

Основным недостатком шлюзов данного типа является дополнительная на­грузка на процессор, создаваемая каждым соединением. В действительности ме­жду двумя конечными пользователями устанавливается два связанных соедине­ния, общей точкой которых является шлюз, и шлюзу приходится проверять весь поток данных в обоих направлениях, чтобы переправить его дальше.

Шлюз уровня коммутации

Третьим типом брандмауэров являются шлюзы уровня коммутации (рис. 10.1, в). Данный шлюз может быть реализован как в виде отдельной ком­пьютерной системы, так и в виде дополнительной функции шлюза прикладного уровня, предлагаемой для некоторых приложений. Шлюзы уровня коммутации не разрешают внешним узлам устанавливать сквозные TCP-соединения с узлами внутренней сети, а вместо этого устанавливают два TCP-соединения: одно между самим шлюзом и внутренним узлом, а второе — между шлюзом и внешним уз­лом. Если оба соединения установлены, шлюз обычно ретранслирует сегменты TCP от одного соединения к другому, не проверяя их содержимого. Защита осу­ществляется путем разрешения или запрета тех или иных соединений.

Чаще всего шлюзы уровня коммутации используются тогда, когда систем­ный администратор доверяет внутренним пользователям. Шлюз можно настро­ить так, чтобы он поддерживал работу на уровне приложений или выполнял функции прокси-сервера для входящих соединений и функции шлюза уровня коммутации — для исходящих. В такой конфигурации шлюз испытывает высо­кую нагрузку, связанную с необходимостью проверки входящих данных прило­жений на предмет выполнения ими запрещенных функций, однако для исходя­щих данных такой нагрузки нет.

Примером реализации шлюза уровня коммутации является пакет SOCKS [KOBL92], Версия 5 этого пакета описана в документе RFC 1928. В этом доку­менте RFC пакет SOCKS определяется следующим образом. В пакет SOCKS включены следующие компоненты.

• Сервер SOCKS, работающий в составе брандмауэра на базе UNIX.

• Библиотека клиента SOCKS, работающая на внутренних узлах, защите ных брандмауэром.

• Адаптированные для использования с SOCKS стандартные приложен] клиента типа FTP и TELNET. Реализация протокола SOCKS обычно требу перекомпиляции или перекомпоновки использующих TCP приложен! клиента, чтобы последние получили возможность обращения к соответс вующим процедурам библиотеки SOCKS.

Если использующему протокол TCP клиенту необходимо установить соед] нение с объектом, к которому можно получить доступ только через брандмауэ; клиент должен открыть TCP-соединение с соответствующим SOCKS-портом си темы, в которой установлен SOCKS-сервер. По умолчанию сервис SOCKS испол! зует порт TCP с номером 1080. Если на запрос об установке соединения получе положительный ответ, клиент начинает процесс согласования для выбора метод аутентификации, проходит аутентификацию в соответствии с выбранным мете дом, а затем посылает запрос на ретрансляцию. SOCKS-сервер проверяет пост> пивший запрос и либо устанавливает соответствующее соединение, либо посыла ет отказ. При использовании протокола UDP выполняются аналогичные дейст вия. По существу, для аутентификации пользователя, который намеревается отправлять и получать сегменты UDP, открывается специальное соединени< TCP. Сегменты UDP при этом могут пересылаться до тех пор, пока указанное со единение TCP остается открытым.

Бастионный узел

Бастионный узел представляет собой систему, выбранную администраторо?/ брандмауэра в качестве критически важной точки в схеме защиты сети. Как прави­ло, бастионный узел служит платформой для шлюза прикладного уровня или шлюза уровня коммутации. Бастионный узел имеет следующие характеристики.

• На базе аппаратных средств бастионного узла выполняется защищенная версия операционной системы, в результате чего бастионный узел оказыва­ется высоконадежной системой.

• На бастионном узле устанавливаются только те службы, которые сочтет не­обходимыми сетевой администратор. К таким службам относятся прокси-приложения типа Telnet, DNS, FTP, SMTP и средства аутентификации пользователей.

• Бастионный узел может требовать дополнительной аутентификации, прежде чем предоставить пользователю доступ к прокси-приложениям. Кроме того, каждое прокси-приложение может запросить дополнительную аутентифи­кацию перед тем, как предоставить доступ пользователю.

• Каждое прокси-приложение поддерживает только определенный набор стандартных команд из общего множества команд приложения.

Каждое прокси-приложение предоставляет доступ только к определенным узлам. Это значит, что вышеупомянутый ограниченный набор команд и возможностей можно применить только к определенной части систем за­щищаемой сети.

• Каждое прокси-приложение обеспечивает широкие возможности для кон­троля, регистрируя весь поток данных, каждое соединение и длительность его использования. Контрольный журнал является исключительно важным средством выявления попыток вторжения.

• Каждый прокси-модуль представляет собой небольшой программный пакет, специально созданный для защиты сети. Относительная простота модулей позволяет легко проверить их программный код на предмет отсутствия воз­можных изъянов с точки зрения защиты. Например, исходный текст ти­пичного приложения электронной почты в UNIX может содержать свыше 20000 строк, тогда как длина исходного текста прокси-модуля электронной почты может оказаться менее 1000 строк [SEME96].

• Все прокси-приложения бастионного узла являются независимыми. Если воз­никает проблема с работой какого-либо прокси-приложения или в нем выявля­ется изъян защиты, такое приложение может быть удалено без каких-либо по­следствий для других прокси-приложений. Кроме того, если пользователям по­требуется доступ к новой службе, администратор сети может просто установить дополнительный прокси-модуль на бастионный узел.

• Прокси-приложения обычно не используют доступ к диску, кроме чтения своего файла исходной конфигурации. Это делает задачу внедрения "троянского коня" и других опасных файлов на бастионном узле очень трудной для нарушителя.

• Каждое прокси-приложение выполняется в режиме непривилегированного пользователя в личном защищенном каталоге бастионного узла.

Конфигурации брандмауэров

Помимо конфигурации, при которой брандмауэр представлен отдельной системой типа фильтрующего маршрутизатора или шлюза (см. рис. 10.1), воз­можны более сложные конфигурации. И именно такие конфигурации использу­ются чаще всего. На рис. 10.2, в основу которого положены соответствующие иллюстрации из [SEME96], показаны три самые распространенные конфигура­ции брандмауэров. Рассмотрим эти конфигурации по очереди.

В конфигурации брандмауэра с экранированным одноточечным бастион­ным узлом, показанной на рис. 10.2, а, брандмауэр состоит из двух систем: фильтрующего маршрутизатора и бастионного узла. Как правило, маршрутиза­тор при этом настраивается следующим образом.

1. Из потока данных, поступающего из Internet, пропускаются только IP-пакеты, предназначенные для бастионного узла.

2. Из потока данных, поступающего из внутренней сети, пропускаются только пакеты, исходящие из бастионного узла.

Бастионный узел выполняет задачи аутентификации и функции прокси-сервера. Эта конфигурация обеспечивает гораздо более высокий уровень защиты, чем обычный фильтрующий маршрутизатор или шлюз прикладного уровня по следующим причинам. Во-первых, в данной конфигурации реализована фильтра­ция как на пакетном, так и на прикладном уровне, что обеспечивает достаточную гибкость в выборе политики защиты. Во-вторых, нарушителю для вторжения во внутреннюю сеть приходится преодолевать защиту двух отдельных систем.

Данная конфигурация оказывается достаточно гибкой для прямого доступа к Internet. Например, внутренняя сеть может содержать общедоступный инфор­мационный сервер типа Web-сервера, для которого не требуется высокий уро­ вень защиты. В таком случае маршрутизатор можно настроить ч i ии_Ш w.

зволял прямой доступ к данному серверу из Internet.

Если фильтрующий маршрутизатор в только что описанной конфигурации с одноточечным бастионным узлом будет скомпрометирован (т.е. его защита будет взломана), поток данных из Internet может пойти прямо через маршрутизатор в узлы внутренней частной сети. Брандмауэр с экранированным двухточечным бастионным узлом сконфигурирован так, чтобы физически исключить возмож­ность появления такой бреши в системе защиты (рис. 10.2, б). Все преимущества двухуровневой защиты, которыми обладает описанная выше конфигурация, ос­таются при этом в силе. Опять же, информационный сервер и некоторые другие узлы могут быть подключены к маршрутизатору напрямую, если это согласуется с принятой политикой защиты.

Конфигурация брандмауэра с экранированной подсетью (рис. 10.2, в) из всех рассматриваемых здесь вариантов обеспечивает самую надежную защиту. В этой конфигурации установлено два фильтрующих маршрутизатора: один между бастионным узлом и Internet, а второй — между бастионным узлом и внутрен­ней сетью. Данная конфигурация создает изолированную подсеть, которая мо­жет состоять только из бастионного узла, но может также иметь и один или не­сколько информационных серверов, а также модемы, с помощью которых осу­ществляется удаленный доступ к сети. Обычно к узлам, входящим в состав экранированной подсети, можно получить доступ как из Internet, так и из внут­ренней сети, однако поток данных сквозь подсеть блокируется. Данная конфигу­рация обладает следующими преимуществами.

• Предусмотрено три уровня защиты от вторжения нарушителей.

• Внешний маршрутизатор объявляет в Internet только о существовании экрани­рованной подсети, поэтому внутренняя сеть остается для Internet невидимой.

• Точно так же внутренний маршрутизатор сообщает узлам внутренней сети только о существовании экранированной подсети, поэтому системы внутренней

прокладывают прямые маршруты в Internet.

22 Организационные средства защиты информации.

Данные механизмы в обшем случае предусматривают [5]:

- развёртывание системы контроля и разграничения физического доступа к элементам автоматизированной системы.

- создание службы охраны и физической безопасности.

- организацию механизмов контроля за перемещением сотрудников и посетителей (с использованием систем видеонаблюдения, проксимити-карт и

т.д.);

- разработку и внедрение регламентов, должностных инструкций и тому подобных регулирующих документов;

- регламентацию порядка работы с носителями. содержащими конфиденциальную информацию.

Не затрагивая логики функционирования АС. данные меры при корректной и адекватной их реализации являются крайне эффективным механизмом защиты и жизненно необходимы для обеспечения безопасности любой реальной системы.

23 Физические средства защиты информации.

Средства защиты информации можно разделить на:

1. Средства, предназначенные для защиты информации. Эти средства не предназначены для непосредственной обработки, хранения, накопления и передачи защищаемой информации, но находящиеся в одном помещении с ними.

Делятся на:

пассивные – физические (инженерные) средства, технические средства обнаружения, ОС, ПС, СКУД, ВН, приборы контроля радиоэфира, линий связи и т.п.;

активные – источники бесперебойного питания, шумогенераторы, скремблеры, устройства отключения линии связи, программно-аппаратные средства маскировки информации и др.

2. Средства, предназначенные для непосредственной обработки, хранения, накопления и передачи защищаемой информации изготовленные в защищенном исполнении. НИИЭВМ РБ разрабатывает и выпускает защищенные носимые, возимые и стационарные ПЭВМ.

3. Средства, предназначенные для контроля эффективности защиты информации.

Пассивные средства защиты акустического и виброакустического каналов утечки речевой информации.

Для предотвращения утечки речевой информации по акустическому и виброакустическому каналам осуществляются мероприятия по выявлению каналов утечки. В большинстве случаев для несанкционированного съема информации из помещения противник применяет соответствующие замыслу закладные устройства.

Всю процедуру поиска ЗУ можно условно разбить на несколько этапов:

• физический поиск и визуальный осмотр;

• обнаружение радиозакладных устройств как электронных средств;

• проверка наличия каналов утечки информации.

Поиск по сайту: