Аттестация

При проведении работ со сведениями соответствующей степени конфиденциальности (секретности) системы информатизации должны (могут) быть аттестованы на соответствие требованиям безопасности информации.

Государственная система аттестации объектов информатизации устанавливает основные принципы, организационную структуру, порядок проведения аттестации, а также порядок контроля и надзора за эксплуатацией аттестованных объектов информатизации.

Система аттестации объектов информатизации по требованиям безопасности информации является составной частью единой государственной системы сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации. Деятельность системы аттестации организуют уполномоченные федеральные органы по сертификации продукции и аттестации объектов информатизации по требованиям безопасности информации.

Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа -"Аттестата соответствия" подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных Гостехкомиссией России. Наличие на объекте информатизации действующего "Аттестата соответствия" дает право обработки информации с определенным уровнем конфиденциальности и в указанный в "Аттестате соответствия" период времени.

Обязательной аттестации подлежат объекты информатики, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров.

В остальных случаях аттестация носит добровольный характер (добровольная аттестация) и может осуществляться по инициативе заказчика или владельца объекта информатики.

При аттестации объекта информатизации подтверждается его соответствие требованиям по защите информации от несанкционированного доступа, в том числе от компьютерных вирусов, от утечки за счет побочных электромагнитных излучений и наводок при специальных воздействиях на объект (высокочастотное навязывание и облучение, электромагнитное и радиационное воздействие), от утечки или воздействия на нее за счет специальных устройств, встроенных в объекты информатизации.

Аттестация проводится уполномоченными органами по аттестации объектов информатизации. Органы по аттестации аккредитуются Гостехкомиссией России. Правила аккредитации определяются действующим в системе "Положением об аккредитации органов по аттестации объектов информатизации по требованиям безопасности информации". Каждый такой орган имеет лицензию Гостехкомиссии России на право выполнения работ в области защиты информации и Аттестат аккредитации. Виды работ, которые он может выполнять, указываются в области аккредитации, являющейся приложением к Аттестату аккредитации. В своей деятельности органы по аттестации руководствуются нормативно-методическими документами Гостехкомиссии России.

Аттестат соответствия утверждается руководителем органа по аттестации объектов информатизации, который и несет юридическую и финансовую ответственность за качество проведенных работ. Кроме того, органы по аттестации несут ответственность за обеспечение сохранности государственных и коммерческих секретов, а также за соблюдение авторских прав разработчиков аттестуемых объектов информатизации и их компонент.

28 Защита IP.

В 1994 году Совет по архитектуре Internet (Internet Architecture Board — IAB) опубликовал отчет, названный "Защита в рамках архитектуры Internet" (документ RFC 1636, "Security in the Internet Architecture"). Отчет отразил общее понимание того, что Internet нуждается в большей и лучшей защите, и определил области применения ключей в механизмах защиты. Среди прочего отмечалась необходимость защиты сетевой инфраструктуры от несанкциониро­ванного мониторинга и управления потоками данных, а также защиты сквоз­ного обмена данными между пользователями с помощью средств аутентифика­ции и шифрования.

Такие требования вполне оправданны. Подтверждением могут служить дан­ные ежегодного отчета CERT (Computer Emergency Rresponse Team — группа компьютерной "скорой помощи") 1998 года, в котором сообщается более чем о 1300 зарегистрированных случаях нарушений защиты, повлиявших на работу почти 20000 узлов [CERT99]. К наиболее серьезным типам нарушений относятся фальсификация адресов IP (когда нарушители создают пакеты с ложными IP-адресами и используют приложения, предполагающие аутентификацию на осно­ве адресов IP) и самые разные формы перехвата пакетов с данными (в результате чего нарушители получают передаваемую информацию, включая информацию аутентификации и содержимое баз данных). В ответ на эту угрозу IAB счел необходимым рассматривать аутентифика­цию и шифрование как обязательные средства защиты протокола IP следующего поколения (протокола IPv6). К счастью, эти средства можно применять как с действующим сейчас протоколом IPv4, так и с протоколом будущего IPv6. Это значит, что поставщики могут предлагать соответствующие возможности уже сейчас, и многие из них действительно делают это.

Области применения IPSec¹

Протокол IPSec обеспечивает защиту обмена данными в локальных сетях, корпоративных и открытых глобальных сетях и в Internet. Примеры его приме­нения включают следующее.

• Защищенный доступ к филиалу организации через Internet. Компания может построить защищенную частную виртуальную сеть в рамках сети Internet или другой открытой глобальной сети. Это позволяет использовать каналы Internet и тем самым сократить расходы на создание и поддержку частной сети.

• Защищенный удаленный доступ через Internet. Конечный пользователь, в системе которого предусмотрены протоколы защиты IP, может с помощью локального телефонного вызова обратиться к поставщику услуг Internet и получить защищенный доступ к сети компании. Это сокращает транспорт­ные расходы служащих и надомных работников.

• Внутрисетевое и межсетевое взаимодействие с партнерами. Средства IPSec могут обеспечить защищенную связь с другими организациями, гарантируя аутентификацию и конфиденциальность, а также предлагая механизм об­мена ключами.

• Усиление защиты электронных коммерческих операций. Даже если какие-то приложения Web и электронной коммерции имеют встроенные протоко­лы защиты данных, использование IPSec усиливает эту защиту.

Главной особенностью IPSec, позволяющей этому протоколу поддерживать самые разнообразные приложения, является возможность шифрования и/или аутентификации всего потока данных на уровне IP. Таким образом, защита мо­жет быть обеспечена любому распределенному приложению, включая приложе­ния удаленной регистрации, приложения типа клиент-сервер, приложения элек­тронной почты, передачи файлов, доступа к ресурсам Web и т.д.

На рис. 6.1 показан типичный сценарий использования IPSec. Некоторая организация поддерживает ряд локальных сетей, находящихся в разных местах. В рамках этих локальных сетей трафик IP не защищается. Для обмена данными через корпоративную или открытую внешнюю глобальную сеть используются протоколы IPSec. Эти протоколы применяются устройствами, размещенными по периметру сети (например, маршрутизаторами или брандмауэрами) и соединяю­щими локальные сети с внешним миром. Использующее IPSec сетевое устройст­во обычно шифрует и сжимает весь поток данных, отправляемый в глобальную сеть, и дешифрует и разворачивает данные, приходящие извне. Все выполняе­мые в этом случае операции не заметны для рабочих станций и серверов локаль­ нои сети, защищенный оомен данными возможен и с индивидуальными пользо­вателями, использующими удаленный доступ к сети через глобальные сети. Что­бы обеспечить защиту, рабочие станции таких пользователей тоже должны ис­пользовать протоколы IPSec.

Система

Рис. 6.1. Защита на уровне IP

Преимущества IPSec

В [MARK97] перечислены следующие преимущества IPSec.

• Если поддержку IPSec реализовать в брандмауэре или маршрутизаторе, это обеспечит надежную защиту всему потоку данных, идущему через границу локальной сети. При этом поток данных внутри локальной сети компании или рабочей группы не перегружается лишними операциями, связанными с защитой.

• Средства IPSec в брандмауэре трудно обойти, если использование IP пред­полагается для всего потока данных, а брандмауэр является единственной точкой, связывающей сеть организации с Internet.

• Средства IPSec размещаются ниже транспортного уровня (TCP, UDP), а по­этому оказываются незаметными для приложений. Нет необходимости ме­нять программное обеспечение в системах пользователя или сервера, когда в брандмауэре или маршрутизаторе реализуется IPSec. Даже если IPSec реализуется в конечных системах, на программное обеспечение верхнего уровня, включая приложения, это не влияет.

• Использование IPSec может быть незаметным для конечного пользователя. Нет необходимости объяснять пользователю механизмы защиты, выдавая ему соответствующие инструкции и требуя их вернуть, когда он покинет организацию.

• При необходимости IPSec может обеспечить защиту индивидуальным поль­зователям. Это может понадобиться для лиц, работающих вне территории предприятия, или при создании защищенной виртуальной подсети внутри организации для работы с особо важными приложениями.

Приложения маршрутизации

Кроме поддержки конечных пользователей и защиты систем и сетей пред­приятия, IPSec может участвовать в создании архитектуры маршрутизации при межсетевом взаимодействии. В [HUIT98] приводится следующий список приме­ров использования IPSec. Применение IPSec может гарантировать, что:

• прибывающее извещение маршрутизатора (т.е. сообщение нового маршру­тизатора, объявляющее о его присутствии в сети) действительно исходит от авторизованного маршрутизатора;

• прибывающее извещение соседнего маршрутизатора (т.е. маршрутизатора, пытающегося установить отношения соседства с маршрутизатором из друго­го домена маршрутизации) действительно исходит от авторизованного мар­шрутизатора;

• прибывающее сообщение переадресации исходит именно от того маршрути­затора, которому посылался исходный пакет;

• прибывающее обновление маршрута не является фальсифицированным.

Если не использовать меры защиты, противник может разорвать связь или направить поток данных в обход по некоторому другому пути. Для защищенных связей между маршрутизаторами, определенных протоколом IPSec, должны поддерживаться протоколы маршрутизации типа OSPF (Open Shortest Path First — первоочередное открытие кратчайших маршрутов).

АРХИТЕКТУРА ЗАЩИТЫ НА УРОВНЕ IP

Спецификации IPSec довольно сложны. Чтобы получить общее представле­ние об архитектуре IPSec, мы начнем с обсуждения документов, определяющих этот протокол. Затем мы исследуем сервисы IPSec и определим понятие защи­щенных связей.

Документы IPSec

Спецификации IPSec определяются целым рядом документов. Наиболее важными из них, опубликованными в ноябре 1998 года, являются документы RFC с номерами 2401, 2402, 2406 и 2408 (см. приложение 1 в конце книги):

• RFC 2401 — обзор архитектуры защиты;

• RFC 2402 — описание расширений аутентификации пакетов IPv4 и IPv6;

• RFC 2406 — описание расширений шифрования пакетов IPv4 и IPv6;

• RFC 2408 — спецификации средств управления ключами.

Поддержка этих возможностей обязательна для IPv6 и допустима, но не обяза­тельна для IPv4. В обоих случаях средства защиты реализуются в виде заголов ков расширений, которые следуют за основным заголовком IP. Заголовок рас­ширения аутентификации называют заголовком АН (Authentication Header — заголовок аутентификации), а заголовок расширения шифрования — заголовком ESP (Encapsulating Security Payioad header — заголовок защищенного полезного груза, или заголовок защищенного содержимого).

В дополнение к этим четырем документам Рабочая группа разработки про­токола защиты IP (IP Security Protocol Working Group), созданная IETF, опуб­ликовала еще ряд проектов стандартов. Все документы разделены на следующие семь групп (рис. 6.2).

• Архитектура. Содержит описание общих принципов, требований защиты, а также определения и механизмы реализации технологии IPSec.

• Защищенный полезный груз (ESP). Описание формата пакета и общих принципов использования ESP для шифрования пакетов и, если нужно, для аутентификации.

• Заголовок аутентификации (АН). Описание формата пакета и общих прин­ципов использования АН для аутентификации пакетов.

• Алгоритм шифрования. Набор документов, определяющих использование различных алгоритмов шифрования для ESP.

• Алгоритм аутентификации. Набор документов, определяющих использова­ние различных алгоритмов аутентификации для АН и для опции аутенти­фикации ESP.

• Управление ключами. Документы, описывающие схемы управления ключами.

• Область интерпретации (DOI — Domain of Interperetaion). Содержит значе­ния, необходимые для соответствия одних документов другим. Это, в част­ности, идентификаторы проверенных алгоритмов шифрования и аутенти­фикации, а также некоторые параметры, например, продолжительности жизненного цикла ключей.

Сервис IPSec

IPSec обеспечивает сервис защиты на уровне IP, позволяя системе выбрать не­обходимые протоколы защиты, определить алгоритм (алгоритмы) для соответст­вующего сервиса (сервисов) и задать значения любых криптографических ключей, требующихся для запрашиваемого сервиса. Для защиты используется два протокола: протокол аутентификации, указанный заголовком аутентификации АН, и комбини­рованный протокол шифрования/аутентификации, определенный форматом пакета для протокола ESP. В данном случае обеспечиваются следующие виды сервиса:

• управление доступом;

• целостность без установки соединений;

• аутентификация источника данных;

• отторжение воспроизведенных пакетов (форма целостности последователь­ностей);

• конфиденциальность (шифрование);

• ограниченная конфиденциальность транспортного потока.

Защищенные связи

Ключевым объектом в механизмах аутентификации и конфиденциальности IP является защищенная связь (Security Association). Связь представляет собой одностороннее отношение между отправителем и получателем, применяющим сервис защиты к транспортному потоку. Если требуется равноправное отношение для двустороннего защищенного обмена, необходимы две защищенные связи. Сервис защиты дает возможность для защищенной связи использовать либо АН, либо ESP, но никак не оба эти протокола одновременно.

Защищенная связь однозначно определяется следующими тремя параметрами.

• Индекс параметров защиты. Строка битов, присваиваемая данной защи­щенной связи и имеющая только локальное значение. Индекс параметров защиты передается в заголовках АН и ESP, чтобы принимающая система имела возможность выбрать защищенную связь, в рамках которой должен обрабатываться принимаемый пакет.

• Адрес IP пункта назначения. В настоящее время допускаются только одно­направленные адреса — это адрес пункта назначения защищенной связи, который может представлять систему конечного пользователя или сетевой объект типа брандмауэра или маршрутизатора.

• Идентификатор протокола защиты. Этот идентификатор указывает, являет­ся ли данная связь защищенной связью АН или это защищенная связь ESP.

Таким образом, в любом пакете IP² защищенная связь однозначно идентифи­цируется адресом пункта назначения, указанным в заголовке IPv4 или IPv6, и ин­дексом параметров защиты во вложенном заголовке расширения (АН или ESP).

Параметры защищенной связи

В каждой реализации IPSec имеется номинальная³ таблица защищенных связей (Security Association Database), которая определяет параметры защищен­ных связей. Защищенная связь характеризуется следующими параметрами.

• Счетчик порядкового номера. 32-битовое значение, используемое при гене­рировании значений поля порядкового номера в заголовках АН или ESP (требуется во всех реализациях).

• Флаг переполнения счетчика порядкового номера. Флаг, указывающий на переполнение счетчика порядкового номера, должен генерировать регистри­руемое событие и вести к прекращению дальнейшей передачи пакетов с применением этой защищенной связи (требуется во всех реализациях).

• Окно защиты от воспроизведения. Используется для выявления воспроиз­веденных пакетов среди прибывающих пакетов АН или ESP, как описано ниже (требуется во всех реализациях).

• Информация АН. Алгоритм аутентификации, ключи, параметры продол­жительности жизни ключей и другие необходимые параметры, используе­мые в рамках АН (требуются в реализациях АН).

• Информация ESP. Алгоритм шифрования и аутентификации, ключи, зна­чения инициализации, параметры продолжительности жизни ключей и другие необходимые параметры, используемые в рамках ESP (требуются в реализациях ESP).

• Продолжительность жизни данной защищенной связи. Интервал времени или значение счетчика байтов, по достижении которого защищенная связь должна быть заменена новой (с новым индексом параметров защиты) или завершена с указанием того, какое именно из этих событий должно про­изойти (требуется во всех реализациях).

• Режим протокола IPSec. Туннельный, транспортный или задаваемый груп­повым символом (требуется во всех реализациях). Режимы описаны в этом разделе ниже.

• Максимальная единица передачи (Maximum Transmission Unit — MTU) маршрута. Максимальная единица передачи (максимальный размер пакета, который может быть передан без фрагментации) для всех участков маршру­та и переменные времени существования (требуются во всех реализациях).

Механизм управления ключами связывается с механизмами аутентифика­ции и конфиденциальности только через индекс параметров защиты. Таким об­разом, аутентификация и конфиденциальность оказываются определенными не­зависимо от конкретного механизма управления ключами.

Селекторы защищенной связи

IPSec обеспечивает пользователю значительную гибкость в выборе способа применения средств IPSec к трафику IP. Как мы вскоре убедимся, защищенные связи могут комбинироваться, чтобы предоставить пользователю желаемую кон­фигурацию. Кроме того, IPSec обеспечивает достаточную избирательность, раз­личая трафик, подлежащий защите IPSec, и трафик, которому позволяется обойти IPSec, что достигается путем ассоциации части потока данных IP с имеющимися защищенными связями.

Средством, с помощью которого реализуется ассоциация потока IP с защи­щенными связями (или отсутствием таковой, если потоку данных позволено обойти IPSec), является номинальная база данных политики защиты (Security Policy Database — SPD). В наиболее простой своей форме база данных политики защиты представляет собой набор записей, каждая из которых определяет неко­торое подмножество потока IP и указывает защищенную связь для этого под­множества потока. В более сложных средах может определяться несколько запи­сей, потенциально соответствующих одной защищенной связи, или множество защищенных связей, ассоциируемых с одним элементом базы данных политики защиты. (Более подробную информацию по этому вопросу можно почерпнуть из соответствующих документов IPSec.)

Каждая запись базы данных политики защиты состоит из набора значений полей протокола IP и протоколов более высокого уровня — эти поля называются селекторами. Селекторы используются для фильтрации исходящего потока с целью его отображения в конкретную защищенную связь. Каждый отправляе­мый пакет IP обрабатывается следующим образом.

1. Сравниваются значения соответствующих полей пакета (селекторов) с по­лями базы данных политики защиты и в результате этого находится нуж­ная запись базы данных политики защиты, в которой указано некоторое (возможно, нулевое) число защищенных связей.

2. Определяется защищенная связь и соответствующий индекс параметров за­щиты для данного пакета, если защита требуется.

3. Выполняются необходимые операции IPSec (т.е. обработка АН или ESP).

Запись базы данных политики защиты состоит из следующих селекторов.

• Адрес IP пункта назначения. Это может быть один адрес IP, нумерованный список или диапазон адресов, либо группа адресов, задаваемая групповым символом (маской). Последние два варианта предназначены для указания нескольких систем-адресатов, использующих одну защищенную связь.

• Адрес IP источника. Это может быть один адрес IP, нумерованный список или диапазон адресов, либо группа адресов, задаваемая групповым симво­лом (маской). Последние два варианта обеспечивают возможность указать несколько систем-источников, использующих одну защищенную связь.

• Идентификатор пользователя (UserlD). Идентификатор пользователя, по­лучаемый от операционной системы. Это не поле в заголовке IP или заго­ловке протокола более высокого уровня, но оно доступно, когда IPSec вы­полняется в той же операционной системе, с которой работает пользователь.

• Уровень (гриф) секретности данных. Предусмотрен для систем, обеспечи­вающих соответствующую защиту информационного потока (например, секретный или несекретный).

• Протокол транспортного уровня. Соответствующая информация берется из протокола IPv4 и поля Next Header (следующий заголовок) IPv6. Это может быть конкретный номер протокола, список номеров протоколов или диапа­зон номеров протоколов.

• Протокол IPSec (АН, или ESP, или АН/ESP). Если присутствует, то взят из протокола IPv4 или из поля Next Header (следующий заголовок) IPv6.

• Порты источника и адресата. Это либо конкретные значения портов TCP или UDP, нумерованный список портов, либо порт, представленный груп­повым символом (wildcard).

• Класс IPv6. Соответствующая информация берется из заголовка IPv6. Это может быть конкретное значение для класса IPv6 или значение, задаваемое групповым символом.

• Метка потока IPv6. Соответствующая информация берется из заголовка IPv6. Это может быть конкретное значение для метки потока IPv6 или зна­чение, задаваемое групповым символом.

• Тип сервиса IPv4 (Type of Service — TOS). Соответствующая информация берется из заголовка IPv4. Это может быть конкретное значение для типа сервиса IPv4 или значение, задаваемое групповым символом.

• Транспортный и туннельный режимы

• Заголовки АН и ESP поддерживают два режима использования: транспорт­ный и туннельный. Суть этих двух режимов лучше всего понять в контексте описаний заголовков АН и ESP, о которых пойдет речь соответственно в разде­лах 6.3 и 6.4. Здесь же мы ограничимся кратким определением этих режимов.

•

• Транспортный режим

• Транспортный режим обеспечивает защиту прежде всего для протоколов высшего уровня. Это значит, что защита транспортного режима распространяет­ся на полезный груз пакета IP. Примерами могут быть сегменты TCP (Transmission Control Protocol — протокол управления передачей) или UDP (User Datagram Protocol — протокол передачи дейтаграмм пользователя), или же пакет ICMP (Internet Control Message Protocol — протокол управления сообще­ниями в сети Internet), размещающиеся в стеке протоколов хоста непосредствен­но над IP. Обычно транспортный режим обеспечивает сквозную связь двух узлов (например, клиента и сервера или двух рабочих станций). Когда система исполь­зует заголовки АН или ESP над IPv4, полезным грузом являются данные, обыч­но размещаемые сразу после заголовка IP. Для IPv6 полезным грузом являются данные, обычно следующие после заголовка IP и всех имеющихся заголовков расширений IPv6, за возможным исключением заголовка параметров адресата, который тоже может подлежать защите.

• ESP в транспортном режиме шифрует и, если нужно, аутентифицирует по­лезный груз IP, но не заголовок IP. АН в транспортном режиме предполагает аутентификацию полезного груза IP и некоторых частей заголовка IP.

•

• Туннельный режим

• Туннельный режим обеспечивает защиту всего пакета IP. Чтобы выполнить эту задачу, после добавления к пакету IP полей АН или ESP весь пакет вместе с полями защиты рассматривается как полезный груз некоторого нового "внешнего" пакета IP с новым внешним заголовком IP. Весь оригинальный (внутренний) пакет при этом пересылается через "туннель" от одной точки сети IP к другой, и ни один из маршрутизаторов на пути не может проверить внутренний заголовок IP. По­скольку оригинальный пакет инкапсулирован в новый, больший пакет, этот новый пакет может иметь совершенно другие параметры источника и адресата, что, оче­видно, усиливает защиту. Туннельный режим используется тогда, когда один или оба конца защищенной связи являются шлюзами защиты, например, брандмау­эрами или маршрутизаторами, использующими IPSec. При использовании тун­нельного режима размещенные за брандмауэрами системы могут осуществлять защищенный обмен данными без применения IPSec. Незащищенные пакеты, гене­рируемые такими системами, передаются по туннелям, проложенным через внеш­ние сети с помощью защищенных связей в туннельном режиме, устанавливаемых программным обеспечением IPSec брандмауэра или защищенного маршрутизатора на границе локальной сети.

Рассмотрим пример использования туннельного режима IPSec. Узел А сети генерирует пакет IP с адресом узла назначения В в другой сети. Этот пакет на­правляется от создавшего пакет узла к брандмауэру или защищенному маршру­тизатору на границе сети А. Брандмауэр фильтрует все исходящие пакеты, что бы выяснить, нужно ли их защищать с помощью IPSec. Если направляющийся от А к В пакет требует применения средств IPSec, брандмауэр выполняет функ­ции IPSec и инкапсулирует оригинальный пакет во внешний пакет IP. Адресок IP отправителя этого внешнего пакета IP будет данный брандмауэр, а адресом получателя может быть брандмауэр, формирующий границу локальной сети В. Теперь пакет направляется брандмауэру узла В, а промежуточные маршрутиза­торы будут иметь дело только с внешним заголовком IP. В брандмауэре узла В внешний заголовок IP удаляется, а внутренний пакет доставляется узлу В.

ESP в туннельном режиме шифрует и, если нужно, аутентифицирует весь внут­ренний пакет IP, включая внутренний заголовок IP. АН в туннельном режиме ау­тентифицирует весь внутренний пакет IP и некоторые части внешнего заголовка IP.

­

29 Оперативно-диспетчерское управление защитой информации.

30 Защита Web.

Поиск по сайту: