|
1. Введение.
В настоящее время проблема защиты конфиденциальной и другой "чувствительной информации" является задачей номер один для службы безопасности любой современной Компании, которая хочет работать на конкурирующем рынке как в мире, так и в России. Учитывая острую конкурентную борьбу практически на любом рынке, задача защиты перспективных планов развития Компании, перечня новых продуктов и услуг, новых направлений в работе и другой информации, помогающей занимать новые ниши рынка и предоставлять новые конкурентоспособные услуги, выглядит не только важной, но и первостепенной.
Защита может осуществляться различными способами. Это и физическая охрана, осуществляемая различными ЧОП, так называемая, техническая защита с использованием специализированных средств и комплексов (например, защита от ПЭМИН (побочные электромагнитные излучения) или ВЧ навязывания). Однако в данной статье эти способы рассматриваться не будут. Нас интересует защита конфиденциальной информации от несанкционированного доступа с использованием средств шифрования (лицензируется ФАПСИ) и без использования средств шифрования (лицензируется Государственной технической комиссией).
2. Угрозы безопасности.
"Наши враги в суждениях о нас гораздо ближе к истине, чем мы сами"- Ж.Лафонтен
Любую защиту строят, исходя из существующей модели угроз (модели действия злоумышленника). Без составления модели действий злоумышленника нельзя достоверно предполагать, достаточны или нет применяемые средства и способы защиты информации. Ведь можно, как и недосмотреть уязвимости системы, так и установить дорогостоящие средства защиты, которые в данном конкретном случае не нужны. Например. Для защиты от несанкционированного доступа в офисную сеть (Интранет) обычно применяют межсетевые экраны (МЭ представляет собой локальное (однокомпонентное) или функционально-распределенное средство (комплекс), реализующее контроль за информацией, поступающей в АС и/или выходящей из АС, и обеспечивает защиту АС посредством фильтрации информации, т.е. ее анализа по совокупности критериев и принятия решения о ее распространении в (из) АС) . Если сеть большая и необходима гибкая защиты, то стоимость удовлетворяющих этим условиям экранов может достигать десятка тысяч долларов США. При этом если у Вас в Компании не проводится политика использования защищенного удаленного доступа в сеть Интранет, то любой администратор (или просто сотрудник) может установить обычный модем для доступа к своему компьютеру из дома. Даже неискушенный в области взлома злоумышленник используя специальные программы (например, WarDialer) может определить телефонный номер модема и войти в сеть Интранет. При этом дорогостоящий межсетевой экран превращается в "кусок ненужного железа".
Точки воздействия злоумышленника можно свести к следующему перечню:
- попытка изменения программного обеспечения системы с целью ввода вирусов и других программ (программ типа "троянский конь"), использование которых может привести к утечке информации или вывода системы из строя;
- попытка получения несанкционированного доступа к информационно телекоммуникационным системам с целью получения доступа к защищаемой информации или вывода систем из строя;
- попытка обмана системы, выдавая себя за зарегистрированного пользователя;
- попытка ввода ложной информации в систему и т.п.
При этом необходимо отметить необходимость защиты и ,так называемой, "общедоступной" информации от ее преднамеренного/ непреднамеренного искажения и уничтожения.
В настоящее время существенно возросли атаки, имеющие целью не получить несанкционированный доступ к информации, а существенно усложнить (и даже прекратить) доступ зарегистрированного пользователя к ресурсам сети. Многие помнят февраль 2000 года, когда серии мощных атак типа "Отказ в обслуживании" (DoS) обрушились на комерческие сайты включая Yahoo, Ebay и E*trade. В январе 2001 года DNS сервер фирмы Microsoft был заблокирован подобными атаками. Проведя анализ данных атак, а также других DoS атак в сети Интернет, можно выделить два класса атак: логические атаки и атаки-затопления. К первому классу можно отнести атаки типа "Ping-of-Death", т.е. это атаки, которые используют уязвимости в программном обеспечении, приводящие к остановке работающего сервера. Защита от многих подобных атак - установка новых версий программного обеспечения и обновлений. Атаки второго класса имеют целью подавление процессора машины-жертвы, памяти и сетевых ресурсов путем пересылки огромного количества запросов на соединение. Также атаки-заполнения можно подразделить на два класса: атаки, направленные на загрузку сети, и атаки, которые влияют на CPU машины жертвы. Пытаясь перегрузить сеть, злоумышленник обычно пересылает огромное количество маленьких пакетов с большой скоростью и многие сетевые устройства (например, маршрутизатор - это устройство сетевого уровня эталонной модели OSI, использующее одну или более метрик для определения оптимального пути передачи сетевого трафика на основании информации сетевого уровня) перестают успевать обрабатывать данные пакеты (ограничение происходит не по полосе пропускания, а по обработке именно пакетов). Также злоумышленник пытается перегрузить процессор машины жертвы (ограничивая циклы процессора), посылая одновременно много односторонних запросов на соединение. Примером является атака, называемая "SYN flood", которая заключается в направлении потока TCP SYN пакетов на открытый TCP порт машины-жертвы. Для каждого подобного SYN пакета машина жертвы обязана найти либо уже существующее соединение , либо создать новое. При этом количество соединений ограниченно операционной системой. При превышении определенного предела машина может перестать отвечать на запросы зарегистрированного пользователя. Следовательно, без отдельной защиты данная атака спокойно может привести к остановке машины жертвы. Важно признать, что практически невозможно остановить нападение типа TCP SYN flooding. Однако, что может быть сделано, - так это ограничение его воздействия на важные части сети. Существует множество подобных атак - TCP ACK, NUL, RST and DATA floods, IP fragment floods, ICMP Echo Request floods, DNS Request floods и т.п.
Примером использования специальных программ-вирусов может быть недавняя шумиха вокруг нового вируса Code Red. Это вирус не просто заражал системы, но и (главное) проводил компьютерную атаку типа DDoS.
В том числе и на сайты Белого Дома. Однако этой атаки подвергались только те компьютеры, на которых была развернута ОС Windows2000. Администраторы многих компаний смогли защитить свои сайты простым переходом на другую ОС (например, Linux). В это же время распространялся другой более опасный вирус SirCarm, который позволял получить доступ к защищаемой конфиденциальной информации компаний, хранимой на машинах сотрудников.
Компании-разработчики программ-антивирусов смогли в короткие сроки разработать защиту от данных вирусов, однако не так быстро как этого бы хотелось компаниям-жертвам.
При разработке модели нарушителя также необходимо учитывать, что 80 процентов всех попыток НСД (несанкционированный доступ) осуществляется в самой сети Интранет, то есть самими сотрудниками. Существуют сотрудники, которые недовольны уровнем заработной платы, отношением к себе со стороны руководства, положением в компании, они-то и представляют довольно реальную угрозу. Проще поднять уровень заработной платы системному программисту (системному администратору), чем его увольнять. Если система, которую он разрабатывал, достаточно сложна и громоздка, то практически в каждом случае существуют специальные программные "лазейки" ("люки") для обхода штатных средств защиты, которыми он и может воспользоваться. Совсем недавно проходил суд над системным программистом, который был уволен из одной из компаний. Он ввел специальный код, запуск которого мог привести к полной остановке системы и к большим финансовым потерям компании. Поймали его совершенно случайно и по его же глупости. Он постоянно названивал в старую компанию и узнавал, как там дела, нет ли каких-либо проблем. Проблемы уже возникали, и на этом злоумышленник попался.
Нельзя забывать и об оставшихся 20 процентах. В принципе, если бы администраторы безопасности при настройке системы защиты хотя бы выполняли минимальные требования "Руководства пользователя", то большинство злоумышленников уже бы отсеивалось. Только не- многие нарушители могут взломать систему. Остальные пользуются их трудом и просто повторяют их действия. Сейчас разработано достаточное количество программ, облегчающих действия злоумышленников (в том числе и программы-генераторы вирусов), однако эти программы и облегчают работу администраторов безопасности (Примером может служить программа-сканер портов TCP или UDP "NMAP"), так как работа их известна заранее и практически любая современная система обнаружения компьютерных атак (IDS) их определяет. Атака - это событие, при котором кто-то (либо "хакер", либо "взломщик") пытается проникнуть внутрь корпоративной сети (попасть на защищаемый сайт) или совершить по отношению к ней какие-либо злоупотребления. "Система обнаружения атак (Intrusion Detection System, IDS)" - это система, предназначенная для обнаружения таких атак.
Если обратиться к зарубежным источникам ("Обзор компьютерных преступлений и защиты CSI\FBI"), то можно отметить такое наибольшее количество атак и нападений:
- 71 процент неавторизированных доступов внутри самой компании;
- 79 процентов зафиксированных нападений (преимущественно через Интернет);
- 85 процентов зафиксированных вирусов.
При подготовке модели нарушителя необходимо провести работу по определению грифа конфиденциальной информации. К строго конфиденциальной необходимо отнести финансовые документы, аналитические отчеты, документы о новых разработках и т.п., к конфиденциальной информации необходимо отнести те документы, разглашение которых может привести к потерям в настоящее время, например аналитический отчет за месяц, в конце года он уже не будет так актуален для конкурентов, они будут охотиться за более новыми.
В конце хотел бы отметить, что данную работу не обязательно проводить силами своей Службы безопасности. Можно привлечь специалистов со стороны, которые и проведут аудит безопасности. Конечно, необходимо придерживаться правила: не привлекать к аудиту безопасности фирмы-производители средств защиты. Несложно предположить, что они предложат для обеспечения защищенности вашей сети.
3. Защита корпоративной сети.
"Не рост и мощь, а разум сулит в войне победу" В.Шекспир
Работая над защитой своей сети, мы предполагаем, что модель нарушителя уже подготовлена и оценка угроз проведена.
Обязательным условием при подключении корпоративной сети в сеть Интернет является наличие межсетевого экрана. Необходимость сертификации определяется в каждом конкретном случае. При этом необходимо учитывать, что если будет существовать необходимость провести сертификационные исследования межсетевого экрана иностранного производства, то сумма, необходимая для проведения работ соизмерима со стоимостью самого экрана. Например, если необходимо провести сертификационные испытания межсетевого экрана фирмы CISCO PIX 515 стоимостью 5 000 $, сумма, которую необходимо затратить на проведение работ, будет начинаться с 4 000 $. Хотелось бы отметить, что практически все существующие межсетевые экраны выполняют функции защиты, на них возложенные. Однако в части гибкости настройки, быстродействия межсетевые экраны отечественной разработки существенно уступают таким экранам как PIX и Check Point. Например, по результатам исследований журнала "Security Magazine" лучшими межсетевыми экранами 2001 года являются:
- Check Point Software Technologies - Check Point FireWall -1;
- Cisco Systems International - Cisco Secure PIX Firewall;
- CyberGuard Europe - CyberGuard Firewall;
- Symantec Corporation - Raptor Firewall;
- BorderWare Technologies - BorderWare Firewall Server
.
При выборе межсетевого экрана необходимо учитывать возможность защищенного удаленного доступа в сеть Интранет с использованием шифрования (например, протокол туннельный IPSec- IP Security - это комплект протоколов, касающихся вопросов шифрования, аутентификации и обеспечения защиты при транспортировке IP-пакетов; в его состав сейчас входят почти 20 предложений по стандартам и 18 RFC. Спецификация IP Security (известная сегодня как IPsec) разрабатывается Рабочей группой IP Security Protocol IETF. В настоящее время IPsec включает 3 алгоритмо-независимые базовые спецификации, опубликованные в качестве RFC-документов "Архитектура безопасности IP", "Аутентифицирующий заголовок (AH)", "Инкапсуляция зашифрованных данных (ESP)", технологий удаленного доступа к виртуальным частным сетям ( L2F, PPTP, L2TP). Протокол эстафетной передачи на втором уровне (Layer 2 Forwarding - L2F) был разработан компанией Cisco Systems. Он обеспечивает туннелирование протоколов канального уровня (то есть фреймов High-Level Data Link Control [HDLC], async HDLC или Serial Line Internet Protocol [SLIP] ) с использованием протоколов более высокого уровня, например, IP. Сквозной туннельный протокол Point-to-Point Tunneling Protocol (PPTP) создан корпорацией Microsoft. Он никак не меняет протокол PPP, но предоставляет для него новое транспортное средство. В рамках этого протокола определяется архитектура клиент/сервер, предназначенная для разделения функций, которые существуют в текущих NAS, и для поддержки виртуальных частных сетей (VPN). Компании Cisco и Microsoft согласились вместе (в рамках IETF) разработать единый стандартный протокол, который получил название туннельного протокола второго уровня (Layer 2 Tunneling Protocol - L2TP). Обе компании будут и далее поддерживать свои собственные решения для виртуальных частных сетей (L2F и PPTP), а также путь перехода от этих решений к L2TP.
В сети должна быть развернута система обнаружения атак (Intrusion detection system - IDS). В общем системы IDS можно разделить на два класса: сетевые IDS (Network IDS) и системы IDS, работающие на хостах (Host IDS). Системы HDIS могут перехватывать вызовы операционных систем и приложений на отдельном хосте, проводя также анализ лог-файлов. Системы NDIS работают на уровне сети, анализируя трафик, сверяя его с шаблонами существующих компьютерных атак (подобно программам антивирусам). При обнаружении атаки IDS может отправить сообщение администратору безопасности, установить временный список доступа ACL на пограничный маршрутизатор, сбросить TCP соединение с помощью TCP reset и прекратить саму атаку.
В качестве IDS хорошо себя зарекомендовали программно-аппаратные средства Cisco Secure Intrusion Detection System Release 2.2.1 http://www.cisco.com/warp/public/cc/pd/sqsw/sqidsz/ (и программные реализации RealSecure 6.0. фирмы Internet Security Systems http://www.infosec.ru/produkt/adapt/real_secure/real_sec.html ).
Конечно нельзя забывать о мощной системе защиты от вирусов. Ранее предполагалось, что каждый пользователь должен сам заботиться о защите своего компьютера от вирусов, программ типа "троянский конь" и других разрушающих программ. При этом он должен был сам заниматься установлением программного средства, отслеживать изменения в новых версиях и проводить обновление антивирусной базы. Однако практика показала, что такой подход ошибочен. Не всякий пользователь умеет хорошо работать с ПЭВМ, а некоторые преднамеренно выключают антивирусное ПО, заявляя, что оно мешает работе компьютера (замедляет работу). Поэтому сейчас на первое место вышли именно корпоративные версии антивирусных программ, позволяющие управлять всеми компьютерами компании с одного места - сервера Отдела безопасности, проводить централизованное обновление антивирусной базы (даже если сам пользователь об этом не знает), оперативно отслеживать работоспособность антивирусной программы.
В настоящее время можно выделить много компаний, продукция которых может работать в качестве корпоративного антивируса. Можно отметить продукты Kaspersky Corporate Suite , Norton AntiVirus Corporate Edition, F-Secure Anti-Virus, антивирус от Trend Micro.
При выборе корпоративного антивируса целесообразно придерживаться следующих правил:
- возможности обнаружения вирусов J;
- возможность обнаружения деструктивного кода типа: "троянский конь", ActiveX, Java;
- готовность быстрого реагирования на появление новых видов угроз;
- обслуживание и поддержка;
- исчерпывающий список защищаемых точек возможного проникновения вирусов;
- управляемость;
- управление антивирусной защитой удаленных пользователей;
- централизованное уведомление;
- производительность системы;
- удаленное администрирование;
- автоматическое распространение и обновление.
Описывая подходы в области защиты информации корпоративной сети, нельзя обойти вопрос использования средств шифрования. Без средств шифрования полнофункциональную систему защиты информации создать невозможно. При этом необходимо учитывать, что в соответствии с Указом Президента № 334 от 3 апреля 1995 г. "О мерах по соблюдению законности в области разработки производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации" запрещена деятельность юридических и физических лиц, связанная с разработкой, производством, реализацией и эксплуатацией шифровальных средств, а также защищенных технических средств хранения, обработки и передачи информации, предоставлением услуг в области шифрования информации, без лицензий, выданных Федеральным агентством правительственной связи и информации при Президенте Российской Федерации.
В качестве примера сертифицированной ФАПСИ библиотеки шифрования можно привести СКЗИ (средство криптографической защиты информации) "Верба-OW", разработанное ЗАО "МО ПНИЭИ www.securityonline.ru www.security.ru .
Используя данную библиотеку, многие ведущие компании разработали свои собственные средства типа клиент-сервер, защищенную электронную почту, защищенный доступ к WWW- серверу и т.п. с использование сертифицированного ФАПСИ ядра.
Примером являются разработки фирмы ООО ВАЛИДАТА http://www.x509.ru/address.htm:
- Система Курьер предназначена для создания конфиденциальной и авторизованной переписки между абонентами и основывается на применении программ электронной почты компании Microsoft. В качестве серверной платформы электронной почты может использоваться Microsoft Exchange Server 5.0/5.5/2000 или любой SMTP-сервер, а в качестве клиента - Microsoft Outlook 97/98/2000.
- Система Корвет предназначена для создания защищенных корпоративных прикладных систем, базирующихся на Web-технологиях, и обеспечивает конфиденциальность и целостность информации, передаваемой между броузером и Web-сервером по открытым IP-сетям, а также аутентификацию взаимодействующих сторон и защиту от несанкционированных повторов ранее переданной в канале информации.
При разработке системы защиты корпоративной сети необходимо учитывать и использование различных технологий аутентификации типа S/Key (система одноразовых паролей, определенная в документе RFC 1760, представляет собой систему генерирования одноразовых паролей на основе стандартов MD4 и MD5). Одним из наиболее приемлемых способов проведения аутентификации пользователей является аутентификация с помощью аппаратных средств (Token Password Authentication). Примером может служить разработка фирмы "RSA Security" - сервер аутентификации "ACE/Server" и специальные карточки "SecurID", которые обеспечивают централизованный сервис двухфакторной аутентификации для корпоративных сетей и операционных систем, гарантируя, что только авторизованные пользователи имеют доступ к сетевым файлам, приложениям и ресурсам. http://www.rsa.com/products/.
Даже если вы провели разработку системы обеспечения безопасности в полном объеме, необходимо помнить, что любая система, а тем более телекоммуникационная, имеет тенденцию к изменению. Поэтому периодическая проверка защищенности системы является неотъемлемой задачей Отдела безопасности. Для облегчения данной рутинной работы существуют различные сканеры безопасности. Данные сканеры обеспечивает всесторонний анализ уязвимости системы безопасности, выполняют подробное отображение сети и составляет электронную опись систем сети. Как активное приложение в наборе средств системы безопасности сети программное обеспечение должно обеспечивать современные средства уведомления администратора сети и консультантов по безопасности о внутренних аспектах уязвимости сети, таким образом, позволяя эффективно решать потенциальные проблемы безопасности. Наибольшее распространение получили сканеры фирм CISCO Cisco Secure Scanner (ранее известный как NetSonar), ISS Internet Security Scanner и бесплатный сканер Nessus Security Scanner, который первый из всех сканеров получил сертификат Государственной технической комиссии № 361 по 4 уровню для НДВ.
(Недекларированные возможности - функциональные возможности ПО, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации. Реализацией недекларированных возможностей, в частности, являются программные закладки.) http://www.infotecs.ru/gtc/New_version/sertificates/sert_281-300.htm.
4. Заключение.
В заключение хотелось отметить, что создание полнофункционального комплекса защиты информации в корпоративной сети влечет за собой не только финансовые вложения, но и труд квалифицированных специалистов области защиты информации. Любой просчет может свести на нет всю предыдущую работу.
Также необходимо не забывать использовать встроенные средства защиты, например, такие как встроенные средства паролирования, Secure ports (фильтрация подключенных к маршрутизаторам/коммутаторам устройств по определенным признакам), VLAN (Virtual Local-Area Network - Виртуальная Локальная Сеть), списки доступа на маршрутизаторах (АСL- Access Control List), системы повышения защищенности для ОС LINUX - RSBAC (Rule Set Based Access Control) и Security-Enhanced Linux.
После разработки системы защиты, развертывании ее на реальной корпоративной сети необходимо провести всесторонний анализ полноты системы с помощью сторонних специалистов. Это может быть специализированная компания или опытные специалисты в области защиты. Здесь уже выбор за Вами.
Дмитрий Костров "Защита корпоративных сетей"
Журнал "Business-on-line"
|