`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Безопасность информационных систем: практические аспекты

0 
 

Сегодня любая компания и любой человек обладают сведениями, которыми они не желали бы делиться или наоборот – хотели бы продать подороже. Поэтому целью информационной безопасности как раз и являются препятствование неконтролируемому распространению данных, предотвращение их потери или отсутствия доступа к ним, и как результат – обеспечение бесперебойной работы организации.

Кто владеет информацией – тот правит миром.
Руперт Мердок

Во все времена знания или, выражаясь современным языком, информация, являлись товаром, и нередко довольно дорогим. Люди всегда стремились сохранить на них монополию, обеспечивая тем самым свою власть.

В последние десятилетия объемы хранимой и обрабатываемой информации ежесекундно лавинообразно увеличиваются. Развитие технологий приводит к появлению новых каналов ее передачи, и, соответственно, – возможной утечки. Сохранять монополию на информацию с каждым днем становится все труднее.

Комплексность превыше всего

К вопросу защиты информации необходимо подходить комплексно и блокировать сразу все возможные каналы утечки. Реализация отдельных мер зачастую не гарантирует увеличения защищенности информационной системы. Простейший пример – у нас есть дом, мы установили бронированную дверь и сверхсложные замки, но оставили открытыми окна. Мы защитили свое жилище? Нет, ведь злоумышленнику не составляет никакого труда залезть через окно. С другой стороны, если это не частный одноэтажный дом, а 125 этаж небоскреба, то в какой-то мере мы повысили безопасность. В информационных системах ситуация аналогичная: в одном случае установка межсетевого экрана может существенно повысить защищенность нашей информационной системы, в другом – не принести никакой пользы.

Чтобы не ошибиться в выборе средств и методов обеспечения безопасности, строят так называемую комплексную систему защиты информации (КСЗИ) – совокупность организационных и инженерных мер, программно-аппаратных средств, которые обеспечивают защиту информации в автоматизированных системах.

Сразу хотелось бы обратить внимание на такую составляющую КСЗИ, как организационные меры. Хотя многие предприятия при построении систем защиты игнорируют их, на самом деле они являются еще более важными, чем инженерно-технические. Организационные меры – это выработка официальной политики в области информационной безопасности, и под ними подразумеваются: составление должностных инструкций для пользователей и обслуживающего персонала; создание правил администрирования компонентов системы, учета, хранения, размножения, уничтожения носителей конфиденциальной информации, идентификации пользователей; разработка планов действий в случае выявления попыток несанкционированного доступа к ресурсам системы, выхода из строя средств защиты, возникновения чрезвычайной ситуации; и, наконец, обучение правилам информационной безопасности пользователей.

Нередко необратимые повреждения информационной системы или ее длительное восстановление являются причиной отсутствия организационных мер, даже при реализации определенных технических, выполнении регулярного резервного копирования, наличии RAID-массивов и кластеров. Дело в том, что иногда относительно простая процедура построения RAID-массива, кластера или выполнения резервного копирования предполагает гораздо более сложную процедуру восстановления системы, для которой довольно часто требуется наличие дополнительных средств, подготовленных на этапе ее построения. Например, далеко не все сетевые администраторы знают, что в случае создания программного «зеркала» средствами Windows NT/ 2000/2003 и выходе из строя одного из HDD система сама не восстанавливается. Для этого необходимо наличие специальной загрузочной дискеты с подправленным файлом boot.ini. То же самое касается и выполнения backup встроенными средствами Windows NT/2000/2003 – с настройками по умолчанию системная информация не копируется, и в результате восстановить сервер с такого носителя нельзя.

При возникновении нештатной ситуации администратор может растеряться, выполнить некорректные действия. Как следствие, информация если и не будет потеряна, то ее восстановление займет довольно длительное время. Однако если бы он попытался смоделировать ситуацию, создал необходимые дискеты, задокументировал процедуру восстановления, то никаких проблем не было бы. А теперь представьте, что систему создавал один администратор, а восстанавливать ее приходится другому – тут без наличия подробных инструкций все может закончиться еще более плачевно.

Еще одна ситуация, в которой невозможно обойтись без организационных мер – защита от атак, построенных на социальной инженерии. Простейший пример – сотруднику фирмы приходит электронное письмо (или звонок по телефону) от директора или сетевого администратора с просьбой сообщить свой пароль к базе данных с целью тестирования системы или выполнения другой правдоподобной задачи. На самом деле это может быть злоумышленник, и тут без принятия организационных мер, только техническими средствами, защититься никак нельзя.

Этапы построения КСЗИ

В процессе построения комплексной системы защиты сначала производится инвентаризация всех информационных ресурсов. Каждый ресурс и его владелец должны быть четко идентифицированы и задокументированы. Далее выполняют классификацию ресурсов и по ее результатам присваивают грифы секретности выходным данным. Примерами могут служить печатные отчеты, выводимая на экраны дисплеев информация, хранимые на магнитных носителях (лентах, дисках, кассетах) данные, электронные сообщения и передаваемые файлы. Эта процедура необходима, поскольку, во-первых, не все ресурсы требуют защиты (некоторые, наоборот, нужно предоставлять в публичное использование), а, во-вторых, если пытаться обезопасить все ресурсы, то на это не хватит никаких сил и ресурсов. Поэтому для защиты самой важной информации следует применять и более надежные и, скорее всего, более дорогостоящие средства, чем для менее важной.

После классификации информации необходимо определиться, от чего мы будем ее защищать, т. е. построить так называемую модель угроз. С точки зрения безопасности информации компьютерная система рассматривается как совокупность функциональных услуг. В свою очередь, каждая услуга представляет собой набор функций, которые позволяют противостоять определенному множеству угроз. Это могут быть: угрозы конфиденциальности (связанные с несанкционированным ознакомлением с информацией), угрозы целостности (относящиеся к несанкционированной модификации или уничтожению информации), угрозы доступности (относятся к нарушению возможности использования компьютерных систем или обрабатываемой информации) и угрозы наблюдательности (связанные с нарушением идентификации и контролем за действиями пользователей, управляемостью компьютерной системой).

Угрозы могут быть природного, технического или человеческого характера. Первые (стихийные бедствия, наводнения, пожары и т. д.) приносят самый ощутимый ущерб, обезопаситься от них сложнее всего, но и вероятность их возникновения невелика. Довольно большой вред наносят угрозы технического характера (аварии, сбои, отказы оборудования и средств вычислительной техники). Для защиты от них применяют различные механизмы дублирования систем и их компонентов. «Человеческие» угрозы – необязательно преднамеренные действия нарушителей: к данной категории принадлежат и просчеты при проектировании и разработке компонентов системы, ошибки эксплуатации, развитие технологий (совершенствование методов написания вирусов и средств взлома), а также непреднамеренные действия. Например, уборщица со шваброй, моющая пол в серверной, может представлять не меньшую угрозу, чем опытный хакер.

Применительно к людям строится модель нарушителя, т. е. определяются все возможные их типы с подробной характеристикой. Нарушителями могут быть, например, профессионалы, хулиганы, сотрудники предприятия и т. д. Наиболее опасными являются профессионалы, так как они специально готовятся (возможно, государством) и имеют все необходимые технические средства для осуществления несанкционированного доступа, и сотрудники предприятия, поскольку они обладают определенной информацией об организации системы обеспечения безопасности и уже имеют хотя бы минимальные права доступа к ресурсам организации. В случае определенной мотивации таких сотрудников и предоставления им технических средств взлома они могут нанести довольно значительный ущерб (бывают и обиженные сотрудники, которые уже имеют мотивацию для выполнения противоправных действий). И только после создания модели нарушителя определяются требования к системе защиты и осуществляется выбор необходимых мер.

Когда система защиты информации построена, проводится постоянный контроль ее целостности, анализ состояния и уточнение требований к выбранным средствам. Если для обычных сетевых администраторов фраза «хороший админ – спящий админ» является справедливой, то для администраторов, отвечающих за информационную безопасность, она не подходит. Информационная система является динамичной, внешние и внутренние условия все время изменяются. Не постоянна и структура организации – в ней создаются новые отделы и подразделения, информационные службы (базы данных, Web-службы), приходят и увольняются сотрудники, осуществляется переезд из одних помещений в другие и т. д. Изменяется и циркулирующая в системе информация, а также политика компании в области обеспечения ее безопасности. И под все эти изменения необходимо постоянно подстраивать систему информационной защиты. Безопасность – это процесс.

Еще один важный момент создания системы защиты информации – оценка правильности ее построения и соответствие так называемым критериям гарантии. Существуют определенные методики, позволяющие определить правильность построения такой системы, но проводить аудит собственными силами крайне сложно, это по определению должна делать третья сторона, иначе в системе могут остаться бреши.

А нужно ли вообще защищать наши информационные системы? Применение тех или иных организационных или технических средств зависит не от типа пользователя (домашний или корпоративный, большая компания или маленькая), а от стоимости защищаемой информации, т. е. от потерь, которые он понесет в случае сбоя одной или нескольких функций защиты – нарушения конфиденциальности, целостности или доступности данных. Как правило, чем крупнее компания, тем больше у нее конфиденциальной информации и тем серьезнее возможные потери. Но и обычный пользователь – например, руководитель той же компании – на своем домашнем компьютере иногда содержит информацию, утечка которой обойдется очень дорого. Поэтому его компьютер и линии связи должны быть защищены не хуже, чем корпоративная сеть.

Не имеет смысла тратить на средства защиты больше, чем стоит сама информация. Но оценка ее стоимости – одна из наиболее сложных задач при построении систем информационной безопасности. Если в системе планируется прохождение информации, порядок обработки и защиты которой регламентируется законами Украины или другими нормативно-правовыми актами (например, составляющей государственную тайну), то для ее обработки в системе необходимо иметь разрешение соответствующего уполномоченного государственного органа. Основанием для выдачи такого разрешения является заключение экспертизы системы, т. е. проверки соответствия реализованной КСЗИ установленным нормам.

КСЗИ – понятие отечественное, и регулируется оно отечественными законодательными актами. В международной практике вместо термина «информационная безопасность» все чаще используют термин «управление рисками» и ориентируются на стандарт ISO 17799.

Ближе к практике

Так как же все-таки защищать информационные системы? Существует довольно много каналов утечки информации. По физическим признакам их можно разделить на следующие группы: акустические (включая вибрационные и акустопреобразовательные), визуально-оптические (наблюдение, фотографирование), электромагнитные (в том числе магнитные, электрические и параметрические), материально-вещественные (бумага, фото, магнитные носители, отходы), компьютерный метод съема (вирусы, закладки, логические бомбы), перехват при передаче по каналам связи.

Часть задач обеспечения безопасности можно решить при помощи физических средств защиты: надежные серверные, несгораемые шкафы, средства ограничения доступа в помещения, контроль за использованием устройств хранения и ввода/вывода информации (магнитные и оптические накопители, порты ввода/вывода на компьютерном и коммуникационном оборудовании), за печатающей и копировальной техникой, пожарная и охранная сигнализация, средства видеонаблюдения.

Из всего этого многообразия рассмотрим подробно способы защиты от компьютерного метода съема и от перехвата при передаче по каналам связи. Если говорить о технических средствах защиты, то их целесообразно разбить на несколько групп в зависимости от точки приложения: средства защиты периметра сети, обеспечения безопасных соединений и обеспечения безопасности в локальных и беспроводных сетях.

Защита периметра

Для защиты периметра сети применяются устройства, называемые межсетевыми экранами. Существует несколько поколений таких устройств. Первое – экраны с пакетной фильтрацией (Packet Filtering Gateways), которые работают на сетевом и транспортном уровне модели OSI и, как правило, анализируют следующие поля пакетов: IP-адрес источника и назначения, номер протокола, порт (TCP, UDP) источника и назначения. Они имеют хорошую масштабируемость и производительность, но обеспечивают не очень высокий уровень безопасности. На сегодняшний день практически все маршрутизаторы и большинство коммутаторов третьего уровня обладают функциональными возможностями экранов с пакетной фильтрацией.

Второе поколение – экраны уровня соединения (Circuit Level Gateways). Эти устройства работают на сетевом, транспортном и сеансовом уровнях и анализируют большее число полей: IP-адрес источника и назначения, номер протокола, порт (TCP, UDP) источника и назначения, информацию о последовательности и состоянии соединения (устанавливается, установлено, завершается), т. е. флаги пакетов. Главное их отличие от предыдущих в том, что экраны уровня соединения ведут так называемую таблицу соединений (session state table), в которую заносят информацию об установленных сессиях и удаляют ее из таблицы только при их завершении. Благодаря такому алгоритму работы обеспечивается гораздо более высокий уровень безопасности – устройства оперируют не только информацией, содержащейся в анализируемом пакете, а и «знают», что происходило раньше. Такие экраны, например, позволяют запретить установку соединения со стороны публичных сетей в сторону локальных и создать динамические правила для прохождения пакетов из Интернета в локальную сеть, если сессия была инициирована именно из нее. С их помощью можно защититься от некоторых атак, использующих подмену адресов, и атак типа «отказ в обслуживании» (Denial of Service – DoS). Производительность экранов уровня соединения практически такая же, как и устройств с пакетной фильтрацией.

Третье поколение – экраны уровня приложений (Application Level Gateways), которые могут отслеживать корректность работы протоколов данного уровня, например, блокировать определенные команды, терминировать сессию в случае неправильного порядка команд. Для протоколов, использующих динамические порты (FTP, SIP, H.323), устройства могут создавать динамические правила для открытия соответствующих портов. Они могут блокировать загрузку определенных файлов или типов файлов, ограничивать доступ к определенным Web-ресурсам, блокировать Java, апплеты ActiveX, Cookies. Экраны уровня приложений, как правило, не выпускаются в виде самостоятельных устройств или отдельного ПО, а являются службами в межсетевых экранах с полной пакетной проверкой (Statefull Packet Inspections – SPI).

Экраны с полной пакетной проверкой дают возможность анализировать пакеты на всех уровнях модели OSI. К этому типу относится большинство выпускаемых сегодня устройств, однако это не означает, что они могут анализировать все протоколы уровня приложений. Самые дешевые из них умеют работать только с протоколом HTTP, более продвинутые поддерживают большее количество протоколов (как правило, еще и FTP, SMTP, POP3, IMAP4). Наиболее функциональные модели могут работать с VoIP-протоколами (такими как SIP, H.323, MGCP, SCCP) и некоторыми другими протоколами уровня приложений. Поэтому при выборе устройств не следует особо обращать внимание на термин SPI, так как он практически ни о чем не говорит. Необходимо детализировать характеристики устройств, перечень поддерживаемых функций, технологий и протоколов, а также такой немаловажный параметр, как производительность.

Безопасность информационных систем практические аспекты
Рис. 1. Прозрачные межсетевые экраны инспектируют сессии, установленные между внешними и внутренними хостами
Безопасность информационных систем практические аспекты
Рис. 2. Межсетевые экраны-посредники устанавливают сессию с хостом-источником, а потом от его имени – сессию к хосту назначения

Экраны уровня соединения и уровня приложения бывают двух типов: прозрачные (transparent) и посредники (proxy). Прозрачные межсетевые экраны инспектируют сессии, установленные между внешними и внутренними хостами (рис.1). Межсетевые экраны-посредники устанавливают сессию с хостом-источником, а потом от его имени – сессию к хосту назначения (рис. 2). Такие устройства обеспечивают более высокий уровень безопасности, поскольку усложняется реализация атаки, т. е. атакуется сразу не конечный хост, а брандмауэр-посредник. Однако их недостаток – невысокое быстродействие.

Имеются как программные, так и аппаратные реализации межсетевых экранов. Первые представляют собой ПО, функционирующее на универсальной аппаратной платформе (обычные серверы или ПК) поверх открытой операционной системы (открытой для разработчиков ПО – Windows, UNIX, Mac и т. д.). Какой экран выбрать, программный или аппаратный? При разработке программных решений существует меньше различных технологических ограничений, к этому процессу привлекается, как правило, меньшее количество разработчиков, и соответственно, их стоимость зачастую ниже. То же самое справедливо и для межсетевых экранов – программные реализации по сравнению с аналогичными по функциональным возможностям аппаратными ощутимо дешевле. При этом программные решения оказываются гибче: в будущем к ним проще добавить дополнительные функции или исправить допущенные ранее ошибки. Казалось бы, что еще нужно? Дешевле, функциональнее, гибче. Почему же тогда существует настолько большой рынок аппаратных устройств, а объемы их продаж превышают таковые программных продуктов? Однако не все так просто.

Во-первых, для конечного пользователя программная реализация может оказаться дороже, чем аппаратная, ведь законченное решение включает в себя стоимость не только ПО межсетевого экрана, а и ОС, поверх которой работает брандмауэр, аппаратной платформы, производительность которой должна быть гораздо выше, чем в случае аппаратного решения, а иногда и дополнительного ПО – баз данных, в которых могут храниться логи, различные интерпретаторы и др. Свободно распространяемые бесплатные межсетевые экраны практически не востребованы компаниями (по данным различных агентств, их применяют лишь 3–5% организаций). Низкий процент использования обусловлен главным образом проблемами с поддержкой, что очень важно для данного класса продуктов, а в некоторых случаях – и качеством такого ПО. Во-вторых, программные решения обладают еще целым рядом недостатков, и основным из них является то, что их взлом или обход можно произвести не напрямую, а через уязвимости операционной системы, поверх которой они работают. Кроме того, надежность программных решений ниже, поскольку они работают на универсальных аппаратных платформах, содержащих множество компонентов и механических элементов. Программные межсетевые экраны требуют более высокого уровня квалификации обслуживающего персонала: необходимо правильно настроить не только сам экран, но и ОС и другое вспомогательное ПО, что нередко бывает значительно сложнее. Некоторые программные межсетевые экраны даже не продаются без предоставления платных услуг по их настройке. Их обслуживание требует больших затрат, так как нужно постоянно отслеживать уязвимости и устанавливать заплатки не только в специализированном ПО, а и в операционных системах, в которых их гораздо больше. Кроме того, возможны некоторые проблемы с совместимостью между программным обеспечением, особенно после установки дополнительных заплаток. Правила допуска персонала в помещение, в котором установлен программный межсетевой экран, должны быть более строгими, ведь к универсальной аппаратной платформе можно произвести подключение различными путями. Это и внешние порты (USB, LPT, RS-232), и встроенные приводы (CD, Floppy), а, вскрыв платформу, можно подключиться через дисковый интерфейс (IDE, SATA или SCSI). При этом открытая операционная система позволяет без проблем установить различные вредоносные программы. И, наконец, универсальная аппаратная платформа имеет большую потребляемую мощность, что негативно сказывается на времени ее работы от источника бесперебойного питания в случае исчезновения электроэнергии.

Споры о предпочтительности программных или аппаратных решений ведутся давно, но любые технические средства – это лишь инструмент в руках тех, кто их эксплуатирует. И чаще всего проблемы с безопасностью возникают из-за невнимательности или низкой квалификации ответственных за это лиц, а не выбора той или иной платформы. Опытный сетевой администратор может из программного экрана сделать решение не хуже, а то и лучше, чем аппаратное. Вопрос в том, что таких специалистов не так уж много. Мало того, некоторые из известных производителей аппаратных межсетевых экранов используют в своих устройствах программные решения других компаний. В данном случае производитель аппаратного решения как раз и берет на себя те проблемы, которые присущи программным продуктам, т. е. подбирает специализированную аппаратную платформу, устанавливает и конфигурирует ОС и ПО межсетевого экрана. В качестве примера можно привести устройства от Nokia и Nortel Networks, в которых используются программные продукты компании Check Point. Аппаратные экраны конструктивно могут быть реализованы в виде отдельного устройства, а также как модуль или программная служба маршрутизатора или коммутатора.

Безопасность информационных систем практические аспекты
Рис. 3. В простейшем случае межсетевой экран устанавливается между корпоративной и публичной сетями и контролирует проходящий через него трафик
Безопасность информационных систем практические аспекты
Рис. 4. При установке двух межсетевых экранов между ними выделяется так называемая демилитаризованная зона (DMZ)
Безопасность информационных систем практические аспекты
Безопасность информационных систем практические аспекты
Рис. 5. Демилитаризованных зон может быть несколько

Итак, межсетевые экраны предназначены для защиты периметра сети, и соответственно должны устанавливаться на ее границе таким образом, чтобы весь трафик, циркулирующий между сетями, проходил через них. Существует довольно много различных топологий установки устройств, рассмотрим лишь основные. Простейший из них представлен на рис. 3: экран располагается между корпоративной и публичной сетями и контролирует проходящий через него трафик. Еще один вариант – установка двух межсетевых экранов и выделение между ними так называемой демилитаризованной зоны (DMZ, рис. 4). Таких зон может быть несколько (рис. 5).

Как правило, для организации демилитаризованных зон используют не несколько устройств, а реализуют их на одном, применяя для каждой различные физические или логические интерфейсы экрана. Предпочтительнее именно физические интерфейсы – в этом случае трафик из разных зон не будет проходить по одним и тем же физическим линиям связи.

DMZ – это зона с пониженным уровнем доверия, т. е. кроме нее обязательно есть еще две: зона внутренней локальной сети (с самым высоким уровнем доверия) и зона внешней публичной сети (c самым низким уровнем доверия).

Демилитаризованных зон может быть больше двух. Это зависит от структуры каждой конкретной компании. Очень часто выделяются отдельные зоны для работы с партнерами, например, одна – для доступа локальных пользователей к Интернету, другая – для размещения в ней публичных ресурсов, третья – для работы с партнерами. Размещать такую базу в локальной сети опасно, все-таки партнер – это не часть собственной структуры и доверия к нему гораздо меньше. Но и оставлять ее в зонах, к которым есть доступ из Интернета, тоже опасно, поэтому такие ресурсы размещают в отдельных зонах.

При правильной реализации межсетевой экран может обеспечить довольно высокий уровень безопасности, однако следует помнить, что данные устройства не защищают от вирусов и «троянских» программ. Межсетевые экраны, даже работающие на уровне приложений, не просматривают содержимое пакета (поле данных), они анализируют только служебные поля. И если сессия HTTP, FTP, SMTP или другого протокола уровня приложений протекает нормально, то она не будет заблокирована, но в полях данных пакетов, передаваемых в пределах этих сессий, может находиться вредоносное содержимое. Поскольку межсетевой экран устанавливается на периметре, он не защищает и от атак, реализованных из локальной сети. Для защиты от вышеперечисленных угроз применяются устройства, называемые системами обнаружения вторжений (Intrusion Detection System – IDS).

Как защищают данные украинские предприятия?

Дмитрий Петращук

руководитель отдела информационной безопасности компании
«БМС Консалтинг»
Безопасность информационных систем практические аспекты

Для небольших компаний веским аргументом при выборе средств сетевой безопасности является невысокая совокупная стоимость владения ими, а для крупных – общий эффект от решения, сроки его внедрения и качество услуг системного интегратора.

Следует также подчеркнуть, что понимание угроз информации у компаний отличается. Для банков основная опасность заключается в несанкционированном вмешательстве в базы данных финансовых транзакций, для заводов – в хищении конфиденциальной конструкторской и технологической документации, а для интернет-провайдеров главное – обеспечить работоспособность и доступность каналов.

Исходя из этих предпосылок компании и выбирают системы безопасности. Их базовый уровень образуют брандмауэры и антивирусы. Маленькие фирмы часто ими и ограничиваются, стараясь максимально использовать средства защиты операционных и прикладных систем и сетевого оборудования. Банки докупают решения по мониторингу и контролю целостности данных и доступа к ним, компании сферы связи внедряют системы обнаружения атак и мониторинга сетей, а государственные организации – централизованные средства управления безопасностью и контроля действий администраторов.

В целом число проектов, в которых безопасность значится одним из главных условий, неуклонно растет. Мы всегда подчеркиваем, что это не дополнительная опция к корпоративным системам, а их обязательная характеристика. Согласно стандарту ITIL, процесс обеспечения безопасности не может быть вычленен из информационной системы. В комплексных проектах нашей компании аспект защиты данных учитывается всегда, даже если он не был явно прописан в первоначальных требованиях.

Основные затраты заказчиков комплексных решений, как правило, приходятся на специальное ПО. На втором месте – услуги по внедрению проекта, а затраты на аппаратную часть занимают только третью позицию. К сожалению, у многих IT-директоров, особенно в государственных организациях, сложилось стереотипное мнение, что аппаратное решение – это надежно, а программное – нет. Однако нужно отметить, что программный код включают любые средства защиты, и от того, на чем он выполняется, – на специализированных микросхемах или универсальной серверной платформе, – надежность не зависит.

Александр Марковец

директор департамента продаж компании ProNet
Безопасность информационных систем практические аспекты

Комплексные системы сетевой безопасности больше востребованы в корпоративном сегменте, реже – в государственных учреждениях. Такие организации не только внедряют отдельные решения, но и объединяют их в комплексы, получая возможности мониторинга событий и реагирования на них. Компании из сегментов SOHO и SMB, как правило, решают частные задачи: защищают периметр сети и ее отдельные ресурсы (это позволяют делать антивирусы и брандмауэры), внедряют средства аутентификации на сетевых устройствах (включая работающие на базе технологий 802.1x) и т. д.

Вообще тема безопасности хранения и передачи информации в компьютерных сетях весьма многогранна. Здесь можно говорить о нескольких уровнях: от административных вопросов доступа посторонних к узловым точкам коммутации до очень узких, связанных с сетевым дизайном, выбором протоколов и приложений, взаимосвязью бизнес-процессов с информационными потоками, определением уровней доступа и средств контроля.

Отмечу, что количество компаний, называющих задачу обеспечения безопасности своих информационных систем в числе первоочередных, все возрастает (хотя при проектировании корпоративных систем требования к защищенности данных учитываются всегда). Однако есть организации, которые обращаются за помощью только после того, как начинаются проблемы.

Как показывает практика, наибольшим спросом пользуются комплексные аппаратно-программные системы, поэтому утверждать, что аппаратные средства имеют преимущество над программными, нельзя – одним решением невозможно полностью удовлетворить потребности заказчика. Так что вопрос выбора технологии больше зависит от средств, выделяемых на защиту информации. К тому же далеко не всегда есть возможность решить поставленную задачу с помощью систем защиты от одного производителя. Мы предлагаем решения в виде комплекса, независимо от того, какие продукты он включает.

Владимир Гонцул

начальник отдела информационной безопасности и планирования систем компании «Квазар-Микро»
Безопасность информационных систем практические аспекты

Специфика нашей компании предполагает обслуживание главным образом крупных корпоративных заказчиков и государственных структур. Они действительно с каждым годом уделяют проблеме безопасности все больше внимания, и все проекты, осуществляемые «Квазар-Микро», в той или иной степени касаются вопросов ее обеспечения (защита логического и физического доступа, катастрофоустойчивость информационной системы и пр.). Другой вопрос, что вкладывает в понятие безопасности сам заказчик. И здесь мы часто сталкиваемся с трудными ситуациями, поскольку уровень зрелости IT-специалистов госпредприятий и среднего бизнеса, как правило, невысок.

Проблему вложений в специализированные средства защиты нужно рассматривать в количественном и финансовом выражении. Если принимать во внимание число одиночных продаж, то на каждые три реализованных программно-аппаратных комплекса приходится четыре «чистых» программных решения. А вот по стоимости программно-аппаратные средства превалируют над программными в соотношении пять к одному. Хотя, покупая любой комплекс защиты, бо2льшую часть денег заказчик тратит на поддержку именно программной составляющей. Причем никакой отраслевой специфики в этом вопросе не просматривается, поэтому приведенные данные, по моему мнению, характеризуют общее состояние рынка средств защиты информации.

Безопасность в локальных сетях

Прежде чем перейти к рассмотрению способов обеспечения безопасности в локальных сетях, обратимся к статистическим данным. Ежегодно ФБР и Институт компьютерной безопасности США проводят совместные исследования и собирают статистические данные на тему информационной безопасности. Один из вопросов, задаваемых респондентам, звучит так: «Какое количество инцидентов, связанных с безопасностью, зафиксировано в вашей организации? Какое их количество вызвано внешними нарушителями, а какое внутренними?». Согласно отчету за 2004 г., число внутренних и внешних инцидентов практически одинаково, т. е. из локальной сети атаки реализуются не реже, чем снаружи, а следовательно, и защищать ее необходимо не меньше.

Безопасность информационных систем практические аспекты
Рис. 6. Настораживает количество затруднившихся ответить, что с точки зрения информационной безопасности еще хуже, чем если бы респондент сказал, что у него произошло более 100 инцидентов. Это свидетельствует о том, что система информационной безопасности построена абсолютно неправильно, т. е. служба безопасности совершенно не знает, что происходит в организации

Аналогичное исследование в том же году попыталась провести и Российская компания InfoWatch. Его результаты (рис. 6) заметно отличаются от данных западных исследований, причем очень сильно настораживает количество затруднившихся ответить, что с точки зрения информационной безопасности еще хуже, чем если бы респондент сказал, что у него произошло более 100 инцидентов. Это свидетельствует о том, что система информационной безопасности построена абсолютно неправильно, т. е. служба безопасности совершенно не знает, что происходит в организации.

Более-менее четкий ответ смогли дать лишь 6% респондентов, из которых 99% затруднились оценить нанесенный ущерб в денежном выражении по причине отсутствия системы учета или нежелания терять время. 26% опрошенных заявили об отсутствии подобных инцидентов, однако уточняющий вопрос о возможности существования неучтенных утечек выявил почти 100%-ную латентность: такие случаи наверняка имеют место, но остаются неучтенными или намеренно не фиксируются по различным причинам.

Так как же все-таки обеспечить безопасность в локальной сети? Один из наиболее простых и дешевых способов – сегментировать ее при помощи технологии виртуальных сетей (VLAN), т. е. выделить для каждой из структурных групп свою виртуальную подсеть. Например, бухгалтерию разместить в одном сегменте сети, сетевых администраторов во втором, руководство – в третьем, чтобы ни при каких обстоятельствах трафик из одной подсети не попадал в другую. Наверняка в организации будут какие-то общие ресурсы, к которым обязателен доступ и бухгалтерии, и руководства, и других сотрудников. В этом случае рекомендуется такие ресурсы вынести в отдельную виртуальную подсеть и настроить для доступа в нее правила ограничения и контроля трафика при помощи списков контроля доступа, т. е. точно так же, как это делается на межсетевых экранах. Естественно, коммутаторы локальной сети при этом должны обладать необходимой функциональностью.

Одним из надежных способов обеспечения безопасности является применение протокола IEEE 802.1x. До его появления аутентификация пользователей производилась только на конечных ресурсах – почтовых и Web-серверах, базах данных и др. В результате злоумышленник, подключившись к порту коммутатора, уже мог реализовать определенные типы атак. Стандарт 802.1x позволяет аутентифицировать пользователя на канальном уровне, т. е. непосредственно на порту коммутатора. Если пользователь не прошел аутентификацию, то коммутатор не будет принимать от него и передавать ему пакеты данных. Для организации этого процесса в соответствии с 802.1х в сети нужно установить сервер аутентификации (например, RADIUS) и данный способ аутентификации должен поддерживаться коммутатором и клиентской операционной системой, или же, если в ОС нет встроенных средств, – устанавливается дополнительный саппликант. В продуктах компании Microsoft поддержка 802.1х присутствует начиная с Windows 2000.

Естественно, один из самых эффективных способов обеспечения безопасности в локальных сетях – использование систем обнаружения вторжений (IDS). Такие системы, в отличие от межсетевых экранов, анализируют не только служебные поля пакетов, а и их содержимое, в результате они могут выявлять довольно сложные по реализации атаки, вирусы и «троянские» программы. На сегодняшний день большинство таких систем научились обнаруживать работу пиринговых сетей и различных мессенджеров, работающих поверх стандартных протоколов, чаще всего – HTTP и условно вредоносного ПО (adware, spyware).

Поскольку IDS просматривают все содержимое пакета (а иногда в качестве такового может выступать заархивированная информация, которую перед проверкой необходимо сначала разархивировать), то производительность их является довольно низкой – это один из основных критериев при выборе системы обнаружения вторжений.

Данные системы для обнаружения атак могут использовать различные механизмы. Наиболее распространенный способ – сигнатурный анализ – заключается в том, что информация, передаваемая в полях данных пакетов, сравнивается с сигнатурами (описаниями атак) на предмет совпадения. Например, наличие строки «GET . cgi-bin ./etc/passwd» в области данных HTTP-пакета свидетельствует об использовании эксплойтов типа phf, php или aglimpse. Недостаток этого способа в том, что обнаружить можно лишь известные атаки, сигнатуры которых уже подготовлены и загружены в устройство. Для выявления неизвестных атак используется эвристический анализ, а также анализ аномалий в сетевой активности и в работе системы.

В зависимости от типа и реализации IDS могут выполнять определенные действия: уведомлять системного администратора, отбрасывать пакеты вредоносной сессии, разрывать такую сессию, удалять вредоносное содержимое из поля данных пакета, запрещать изменение системной информации.

Безопасность информационных систем практические аспекты
Рис. 7. Прозрачные сетевые IDS (Transparent Network IDS – TNIDS) устанавливаются в разрыв сетевого подключения
Безопасность информационных систем практические аспекты
Рис. 8. Сенсорные сетевые IDS (Sensor Network IDS – SNIDS) подключаются к сегменту сети одним портом и прослушивают попадающий на него трафик
Безопасность информационных систем практические аспекты
Рис. 9. Системы обнаружения вторжений в первую очередь устанавливаются между сетевым экраном и локальной сетью и в демилитаризованных зонах, организованных на интерфейсах экрана

Существует три основных класса систем обнаружения вторжений. Прозрачные сетевые IDS (Transparent Network IDS – TNIDS) устанавливаются в разрыв сетевого подключения (рис. 7). Сенсорные сетевые IDS (Sensor Network IDS – SNIDS, рис. 8) подключаются к сегменту сети одним портом и прослушивают трафик, попадающий на этот порт. Если локальная сеть является коммутируемой, то подключение сенсорных IDS производят к зеркальным портам коммутаторов, на которые направляется необходимый для прослушивания трафик. Хостовые IDS (Host IDS – HIDS) представляют собой программное обеспечение, инсталлируемое на рабочих станциях или серверах и обеспечивающее их защиту.

Устанавливать системы обнаружения вторжений следует в первую очередь между сетевым экраном и локальной сетью и в демилитаризованных зонах, организованных на интерфейсах экрана (рис. 9). В этом случае IDS будут обеспечивать как безопасность периметра сети (поскольку сами межсетевые экраны не обладают такой функциональностью), так и защиту локальной сети (при реализации атаки из которой взломщику все равно потребуется передать какую-то информацию во внешние сети и в этом случае IDS смогут обнаружить такую атаку). Рекомендуется устанавливать IDS-системы и в самых критических местах локальной сети, например, в сегментах, где находятся рабочие места руководства компании, в зонах подключения серверных ферм, магистральных каналах связи (между коммуникационными центрами). Но важно помнить, что производительность IDS ограничена и контроль трафика в таких местах как серверные фермы и магистральные соединения может быть затруднительным.

Для серверов оптимальным будет применение хостовых IDS. Иногда системы обнаружения вторжений устанавливают перед брандмауэром или маршрутизатором, со стороны его WAN-порта. В этом случае можно более точно отследить, кто, каким образом и к каким ресурсам пытается получить доступ, но данная IDS будет генерировать значительное количество сообщений, которые придется разбирать системным администраторам, на что нередко не хватает ресурсов. Поэтому чаще всего IDS устанавливают так, чтобы они обнаруживали атаки, прошедшие через межсетевой экран или реализованные из локальной сети.

Системы IDS могут быть выполнены в виде отдельного аппаратного устройства, программного обеспечения, модулей или программных служб межсетевых экранов, маршрутизаторов или коммутаторов. Некоторые межсетевые экраны имеют встроенные службы обнаружения вторжений, но они, как правило, используют только сигнатурный способ. У разных производителей различный подход к реализации систем IDS. Например, в продуктовой линейке компании Cisco есть выделенные полноценные аппаратные SNIDS, HIDS, модули к маршрутизаторам и коммутаторам, реализующие различные механизмы обнаружения вторжений, большие обновляемые базы сигнатур, при этом межсетевые экраны Cisco (PIX) поддерживают довольно ограниченную необновляемую базу. Компания D-Link не имеет выделенных систем IDS, но ее межсетевые экраны оснащены полноценными встроенными IDS с обновляемыми базами сигнатур.

Кроме систем обнаружения вторжений существуют еще и системы предотвращения вторжений (Intrusion Prevention System – IPS). Данный термин применяют для двух абсолютно разных классов устройств. Во-первых, так называют системы обнаружения вторжений, умеющие выполнять активные действия, т. е. разрывать сессии, удалять вредоносное содержимое и т. д. (говоря о таких системах, чаще всего используют аббревиатуру IDS/IPS). Во-вторых, этим термином именуют анализаторы безопасности. Как правило, это программное обеспечение, позволяющее проанализировать хосты системы на предмет наличия последних сервисных пакетов и заплаток, открытых портов, запущенных, но не использующихся служб, правильности настроенной политики безопасности и аудита. Такие анализаторы выдают подробные отчеты об обнаруженных потенциальных уязвимостях и рекомендации по их устранению. Из бесплатных продуктов хотелось бы выделить анализатор для ПО Microsoft – Microsoft Baseline Security Analyzer (MBSA), который доступен для свободной загрузки с сайта компании.

Построение демилитаризованных зон – пример

Необходимость и правила построения демилитаризованных зон лучше всего рассмотреть на примере реальной корпоративной сети. В данном случае для каждой из них выделен отдельный физический интерфейс межсетевого экрана. Интерфейс WAN подключен к публичной сети (Интернету), LAN – к локальной сети, в которой находятся все корпоративные службы: контроллер домена, корпоративный почтовый сервер, прокси-сервер для обеспечения доступа пользователей в Интернет, DNS-сервер, обслуживающий локальную сеть, базы данных и др. На интерфейсе DMZ1 расположена демилитаризованная зона, обеспечивающая доступ к Интернету корпоративных (локальных) пользователей. На интерфейсе DMZ2 – зона, в которой размещены корпоративные ресурсы с доступом со стороны внешних клиентов, например, Web- и FTP-серверы, к которым может обратиться любой пользователь Интернета.

Безопасность информационных систем практические аспекты
Построение демилитаризованных зон на примере организации служб реальной корпоративной сети

На межсетевом экране при помощи статических пакетных фильтров создаются списки контроля доступа – в них указывается, кто и куда имеет право заходить. Прежде всего запрещается любой обмен трафиком между LAN- и WAN-интерфейсами. Если какому-то локальному клиенту необходим доступ в Интернет, он обращается к соответствующей службе в локальной сети, последняя, в свою очередь, – к службе-посреднику в зоне DMZ1, а посредник – к нужному ресурсу в Интернете. Почему все так сложно? Рассмотрим на примере почтовой службы. На корпоративном почтовом сервере производится аутентификация пользователей (причем, как правило, не локально на самом сервере, а при помощи какой-то централизованной базы, скажем, на котроллере домена Windows NT/2000/2003) и поддерживаются их почтовые ящики. Если такому серверу мы разрешим непосредственно выходить в Интернет, то в случае его взлома нарушитель может получить доступ к конфиденциальной информации, хранящейся в почтовых ящиках пользователей, а также к их учетным записям. Даже не получив доступа к почтовым ящикам, злоумышленник может вывести из строя сервер, на восстановление которого потребуется несколько дней. Если же в DMZ1 установить SMTP Relay и разрешить почтовому серверу общаться только с ним, задача взломщика значительно усложнится: ему необходимо будет сначала взломать Relay, установить туда «троянскую» программу, а с него уже производить атаку почтового сервера в локальной сети.

Вывод из строя посредника тоже ничем особым не грозит – его восстановление займет не более пары часов. То же самое касается и прокси-служб для доступа пользователей к HTTP, FTP и другим ресурсам. DNS-серверы, находящиеся в локальной сети и в DMZ1, вообще не общаются друг с другом. Атаки на них чреваты довольно серьезными последствиями, так как вывод из строя локального DNS-сервера может парализовать работу практически всех локальных служб, т. е. приведет к остановке всей информационной системы предприятия. Поэтому DNS-сервер, расположенный в локальной сети, производит разрешение имен только для локальных служб, а запросы к внешнему DNS-серверу, установленному в DMZ1, выполняют прокси-службы, находящиеся в той же зоне, и внешние пользователи. Как правило, DNS-зоны внешнего DNS-сервера дублируются еще и на серверах провайдера.

Если зона DMZ1 предназначена для доступа локальных пользователей к чужим ресурсам, то зона DMZ2 – наоборот, для доступа чужих пользователей к собственным (чаще всего ими являются Web- и FTP-серверы). На сегодняшний день реализация Web-служб далека от совершенства: они обладают наибольшим количеством уязвимостей, а если в них используются еще и какие-то скриптовые интерпретаторы, то более удобной точки входа в корпоративную сеть для взломщика не найти. Поэтому такие службы категорически не рекомендуется устанавливать в локальной сети и лучше всего вынести их в отдельную демилитаризованную зону.

Безопасность в беспроводных сетях

Как известно, в беспроводных сетях данные передаются с помощью радиосигнала, который, в отличие от кабельных систем, не имеет четко определенных границ и точек терминации. Естественно, это значительно затрудняет контроль над подключением устройств к такой сети. Учитывая особенности технологии, классические способы обеспечения безопасности могут не оказать должного эффекта, поэтому для защиты таких сетей используются специально разработанные механизмы и алгоритмы защиты.

Как защитить беспроводную сеть? Существует специальный стандарт, призванный обеспечить безопасные коммуникации в беспроводных сетях - IEEE 802.11i. Последний вводит понятие надежно защищенной сети (Robust Security Network, RSN) и надежно защищенного сетевого соединения (Robust Security Network Association, RSNA), после чего делит все алгоритмы на RSNA (для создания и использования RSNA) и Pre-RSNA. К Pre-RSNA-алгоритмам относятся WEP и существующая аутентификация IEEE 802.11 (имеется в виду аутентификация, определенная в стандарте редакции 1999 г.). То есть к данным типам алгоритмов относятся аутентификация Open System с WEP-шифрованием или без (точнее, отсутствие аутентификации) и Shared Key. К RSNA-алгоритмам относятся TKIP, CCMP, процедура установления и терминации RSNA (включая использование IEEE 802.1x аутентификации) и процедура обмена ключами.

Таким образом, способами шифрования, удовлетворяющими RSNA, являются: WPA-EAP (WPA-Enterprise), WPA-PSK (WPA-Preshared Key, WPA-Personal), WPA2-EAP (WPA2-Enterprise), WPA2-PSK (WPA2-Preshared Key, WPA2-Personal). На сегодняшний день нет известных уязвимостей для WPA и WPA2. Разница между WPA и WPA2 заключается в использовании в последней более криптостойкого алгоритма - AES.

Для работы алгоритмов WPA-EAP и WPA2-EAP необходимо наличие в сети сервера аутентификации, который при каждом подключении пользователя будет производить его аутентификацию и выдавать ему персональный ключ. WPA-PSK и WPA2-PSK не требуют наличия сервера аутентификации. Ключ генерируется из парольной фразы, прописанной на точке беспроводного доступа и клиентах. Недостаток WPA-PSK и WPA2-PSK заключается в том, что, во-первых, прописываемая парольная фраза одинакова для всех клиентов сети, т.е. если кто-то из пользователей сообщит ее злоумышленнику, то мы даже не узнаем кто это сделал, во-вторых, если парольная фраза не будет достаточно уникальной, то возможен ее подбор при помощи простого перебора.

Если наша сеть является сетью организации, то крайне рекомендуется использовать алгоритмы WPA-EAP и WPA2-EAP, если же это домашняя сеть, то вполне достаточно и WPA-PSK или WPA2-PSK. Кроме нас самих, других пользователей нет, т.е. парольную фразу никто никому не сообщит, и при небольшом количестве беспроводных устройств мы можем ее довольно часто менять. Если мы используем беспроводные устройства в режиме моста, т.е. организуем, например, беспроводную связь между двумя офисами при помощи двух точек доступа, то в этом случае мы можем использовать только алгоритмы WPA-PSK и WPA2-PSK, в результате необходимо или довольно часто менять на точках доступа парольные фразы или же поднять поверх такой сети шифрованный туннель, например, при помощи протокола IPSec. Из классических способов обеспечения безопасности целесообразным будет вынос беспроводной сети в отдельную демилитаризованную зону с установкой туда системы обнаружения вторжений и настройка на точках доступа фильтров по MAC-адресам. Более подробно об обеспечении безопасности в беспроводных сетях можно прочитать в предыдущих номерах журнала (itc.ua/17055 и itc.ua/21244).

Заключение

Мы попытались более-менее целостно рассказать о существующих способах и средствах защиты информационных систем и дать рекомендации по их применению.

Тема информационной безопасности настолько широка, что полностью осветить ее невозможно в принципе. Автор не претендует на истинность в последней инстанции, но личный опыт показывает, что описанный подход и механизмы обеспечения безопасности оказываются наиболее эффективными.

Об авторе: Иван Мартынюк – консультант по проектам представительства D-Link в Украине, IMartynyuk@dlink.ru

0 
 

Напечатать Отправить другу

Читайте также

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT