Logo GenDocs.ru

Поиск по сайту:  

Загрузка...

Ответы для экзамена - Информационная безопасность - файл 1.doc


Ответы для экзамена - Информационная безопасность
скачать (974 kb.)

Доступные файлы (1):

1.doc974kb.16.11.2011 00:46скачать

1.doc

1   ...   4   5   6   7   8   9   10   11   12
^

35. Стандарт цифровой подписи DSS


Национальный институт стандартов и технологии США (NIST) разработал федеральный стандарт цифровой подписи   DSS. Для создания цифровой подписи используется алгоритм DSA (Digital Signature Algorithm). В качестве хэш-алгоритма стандарт предусматривает использование алгоритма SHA-1 (Secure Hash Algorithm). DSS первоначально был предложен в 1991 году и пересмотрен в 1993 году в ответ на публикации, касающиеся безопасности его схемы.
^

Подход DSS


DSS использует алгоритм, который разрабатывался для использования только в качестве цифровой подписи. В отличие от RSA, его нельзя использовать для шифрования или обмена ключами. Тем не менее, это технология открытого ключа.

Рассмотрим отличия подхода, используемого в DSS для создания цифровых подписей, от применения таких алгоритмов как RSA.


Рис. 10.1.  Создание и проверка подписи с помощью алгоритма RSA


Рис. 10.2.  Создание и проверка подписи с помощью стандарта DSS

В подходе RSA подписываемое сообщение подается на вход сильной хэш-функции, которая создает хэш-код фиксированной длины. Для создания подписи этот хэш-код шифруется с использованием закрытого ключа отправителя. Затем сообщение и подпись пересылаются получателю. Получатель вычисляет хэш-код сообщения и проверяет подпись, используя открытый ключ отправителя. Если вычисленный хэш-код равен дешифрованной подписи, то считается, что подпись корректна.

Подход DSS также использует сильную хэш-функцию. Хэш-код является входом функции подписи вместе со случайным числом k, созданным для этой конкретной подписи. Функция подписи также зависит от закрытого ключа отправителя KRa и множества параметров, известных всем участникам. Можно считать, что это множество состоит из глобального открытого ключа KUG. Результатом является подпись, состоящая из двух компонент, обозначенных как s и r.

Для проверки подписи получатель также создает хэш-код полученного сообщения. Этот хэш-код вместе с подписью является входом в функцию верификации. Функция верификации зависит от глобального открытого ключа KUG и от открытого ключа отправителя KUa. Выходом функции верификации является значение, которое должно равняться компоненте r подписи, если подпись корректна. Функция подписи такова, что только отправитель, знающий закрытый ключ, может создать корректную подпись.

Теперь рассмотрим детали алгоритма, используемого в DSS.
^

36. Отечественный стандарт цифровой подписи ГОСТ 3410


В отечественном стандарте ГОСТ 3410, принятом в 1994 году, используется алгоритм, аналогичный алгоритму, реализованному в стандарте DSS. Оба алгоритма относятся к семейству алгоритмов ElGamal.

В стандарте ГОСТ 3410 используется хэш-функция ГОСТ 3411, которая создает хэш-код длиной 256 бит. Это во многом обуславливает требования к выбираемым простым числам p и q:

  1. р должно быть простым числом в диапазоне

  2. 2509 < p < 2512

  3. либо

21020 < p < 21024

  1. q должно быть простым числом в диапазоне

2254 < q < 2256

q также должно быть делителем (р-1).

Аналогично выбирается и параметр g. При этом требуется, чтобы gq (mod p) = 1.

В соответствии с теоремой Ферма это эквивалентно условию в DSS, что g = h(p-1)/q mod p.

Закрытым ключом является произвольное число х

0 < x < q

Открытым ключом является число y

y = gx mod p

Для создания подписи выбирается случайное число k

0 < k < q

Подпись состоит из двух чисел (r, s), вычисляемых по следующим формулам:

r = (gk mod p) mod q

s = (k H(M) + xr) mod q

Еще раз обратим внимание на отличия DSS и ГОСТ 3410.

  1. Используются разные хэш-функции: в ГОСТ 3410 применяется отечественный стандарт на хэш-функции ГОСТ 3411, в ^ DSS используется SHA-1, которые имеют разную длину хэш-кода. Отсюда и разные требования на длину простого числа q: в ГОСТ 3410 длина q должна быть от 254 бит до 256 бит, а в DSS длина q должна быть от 159 бит до 160 бит.

  2. По-разному вычисляется компонента s подписи. В ГОСТ 3410 компонента s вычисляется по формуле

s = (k H(M) + xr) mod q

В DSS компонента s вычисляется по формуле

s = [k-1 (H(M) + xr)] mod q

Последнее отличие приводит к соответствующим отличиям в формулах для проверки подписи.

Получатель вычисляет

w = H(M)-1 mod q

u1 = w s mod q

u2 = (q-r) w mod q

v = [(gu1 yu2) mod p] mod q

Подпись корректна, если v = r.

Структура обоих алгоритмов довольно интересна. Заметим, что значение r совсем не зависит от сообщения. Вместо этого r есть функция от k и трех общих компонент открытого ключа. Мультипликативная инверсия k (mod p) (в случае DSS) или само значение k (в случае ГОСТ 3410) подается в функцию, которая, кроме того, в качестве входа имеет хэш-код сообщения и закрытый ключ пользователя. Эта функция такова, что получатель может вычислить r, используя входное сообщение, подпись, открытый ключ пользователя и общий открытый ключ.

В силу сложности вычисления дискретных логарифмов нарушитель не может восстановить k из r или х из s.

Другое важное замечание заключается в том, что экспоненциальные вычисления при создании подписи необходимы только для gk mod p. Так как это значение от подписываемого сообщения не зависит, оно может быть вычислено заранее. Пользователь может заранее просчитать некоторое количество значений r и использовать их по мере необходимости для подписи документов. Еще одна задача состоит в определении мультипликативной инверсии k-1 (в случае DSS). Эти значения также могут быть вычислены заранее.

Подписи, созданные с использованием стандартов ГОСТ 3410 или DSS, называются рандомизированными, так как для одного и того же сообщения с использованием одного и того же закрытого ключа каждый раз будут создаваться разные подписи (r,s), поскольку каждый раз будет использоваться новое значение k. Подписи, созданные с применением алгоритма RSA, называются детерминированными, так как для одного и того же сообщения с использованием одного и того же закрытого ключа каждый раз будет создаваться одна и та же подпись
^

37. Алгоритмы распределения ключей с использованием третьей доверенной стороны

Понятие мастер-ключа


При симметричном шифровании два участника, которые хотят обмениваться конфиденциальной информацией, должны иметь один и тот же ключ. Частота изменения ключа должна быть достаточно большой, чтобы у противника не хватило времени для полного перебора ключа. Следовательно, сила любой криптосистемы во многом зависит от технологии распределения ключа. Этот термин означает передачу ключа двум участникам, которые хотят обмениваться данными, таким способом, чтобы никто другой не мог ни подсмотреть, ни изменить этот ключ. Для двух участников А и B распределение ключа может быть выполнено одним из следующих способов.

  1. Ключ может быть создан А и физически передан B.

  2. Третья сторона может создать ключ и физически передать его А и B.

  3. А и В имеют предварительно созданный и недолго используемый ключ, один участник может передать новый ключ другому, применив для шифрования старый ключ.

  4. Если А и В каждый имеют безопасное соединение с третьим участником C, C может передать ключ по этому безопасному каналу А и B.

Первый и второй способы называются ручным распределением ключа. Это самые надежные способы распределения ключа, однако во многих случаях пользоваться ими неудобно и даже невозможно. В распределенной системе любой хост или сервер должен иметь возможность обмениваться конфиденциальной информацией со многими аутентифицированными хостами и серверами. Таким образом, каждый хост должен иметь набор ключей, поддерживаемый динамически. Проблема особенно актуальна в больших распределенных системах.

Количество требуемых ключей зависит от числа участников, которые должны взаимодействовать. Если выполняется шифрование на сетевом или IP-уровне, то ключ необходим для каждой пары хостов в сети. Таким образом, если есть N хостов, то необходимое число ключей [N (N - 1)]/2. Если шифрование выполняется на прикладном уровне, то ключ нужен для каждой пары прикладных процессов, которых гораздо больше, чем хостов.

Третий способ распределения ключей может применяться на любом уровне стека протоколов, но если атакующий получает возможность доступа к одному ключу, то вся последовательность ключей будет раскрыта. Более того, все равно должно быть проведено первоначальное распространение большого количества ключей.

Поэтому в больших автоматизированных системах широко применяются различные варианты четвертого способа. В этой схеме предполагается существование так называемого центра распределения ключей (Key Destribution Centre - KDC), который отвечает за распределение ключей для хостов, процессов и приложений. Каждый участник должен разделять уникальный ключ с KDC.

Использование центра распределения ключей основано на использовании иерархии ключей. Как минимум используется два типа ключей: мастер-ключи и ключи сессии.

Для обеспечения конфиденциальной связи между конечными системами используется временный ключ, называемый ключом сессии. Обычно ключ сессии используется для шифрования транспортного соединения и затем уничтожается. Каждый ключ сессии должен быть получен по сети из центра распределения ключей. Ключи сессии передаются в зашифрованном виде, используя мастер-ключ, который разделяется между центром распределения ключей и конечной системой.

Эти мастер-ключи также должны распределяться некоторым безопасным способом. Однако при этом существенно уменьшается количество ключей, требующих ручного распределения. Если существует N участников, которые хотят устанавливать соединения, то в каждый момент времени необходимо [N (N - 1)]/2 ключей сессии. Но требуется только N мастер-ключей, по одному для каждого участника.

Время жизни ключа сессии как правило равно времени жизни самой сессии.

Чем чаще меняются ключи сессии, тем более безопасными они являются, так как противник имеет меньше времени для взламывания данного ключа сессии. С другой стороны, распределение ключей сессии задерживает начало любого обмена и загружает сеть. Политика безопасности должна сбалансировать эти условия для определения оптимального времени жизни конкретного ключа сессии.

Если соединение имеет долгое время жизни, то должна существовать возможность периодически менять ключ сессии.

Для протоколов, не поддерживающих соединение, таких как протокол, ориентированный на транзакции, нет явной инициализации или прерывания соединения. Следовательно, неясно, как часто надо менять ключ сессии. Большинство подходов основывается на использовании нового ключа сессии для каждого нового обмена. Наиболее часто применяется стратегия использования ключа сессии только для фиксированного периода времени или только для определенного количества транзакций.
^

38. Протоколы аутентификации


Рассмотрим основные протоколы, обеспечивающие как взаимную аутентификацию участников, так и аутентификацию только одного из участников.
^
Взаимная аутентификация

Данные протоколы применяются для взаимной аутентификации участников и для обмена ключом сессии.

Основной задачей таких протоколов является обеспечение конфиденциального распределения ключа сессии и гарантирование его своевременности, то есть протокол не должен допускать повторного использования старого ключа сессии. Для обеспечения конфиденциальности ключи сессии должны передаваться в зашифрованном виде. Вторая задача, обеспечение своевременности, важна, потому что существует угроза перехвата передаваемого сообщения и повторной его пересылки. Такие повторения в худшем случае могут позволять взломщику использовать скомпрометированный ключ сессии, при этом успешно подделываясь под другого участника. Успешное повторение может, как минимум, разорвать операцию аутентификации участников.

Такие повторы называются replay-атаками. Рассмотрим возможные примеры подобных replay-атак:

  1. Простое повторение: противник просто копирует сообщение и повторяет его позднее.

  2. Повторение, которое не может быть определено: противник уничтожает исходное сообщение и посылает скопированное ранее сообщение.

Один из возможных подходов для предотвращения replay-атак мог бы состоять в присоединении последовательного номера (sequence number) к каждому сообщению, используемому в аутентификационном обмене. Новое сообщение принимается только тогда, когда его последовательный номер правильный. Трудность данного подхода состоит в том, что каждому участнику требуется поддерживать значения sequence number для каждого участника, с которым он взаимодействует в данный момент. Поэтому обычно sequence number не используются для аутентификации и обмена ключами. Вместо этого применяется один из следующих способов:

  1. ^ Отметки времени: участник А принимает сообщение как не устаревшее только в том случае, если оно содержит отметку времени, которая, по мнению А, соответствует текущему времени. Этот подход требует, чтобы часы всех участников были синхронизированы.

  2. Запрос/ответ: участник А посылает в запросе к В случайное число (nonce - number only once) и проверяет, чтобы ответ от В содержал корректное значение этого nonce.

Считается, что подход с отметкой времени не следует использовать в приложениях, ориентированных на соединение, потому что это технически трудно, так как таким протоколам, кроме поддержки соединения, необходимо будет поддерживать синхронизацию часов различных процессоров. При этом возможный способ осуществления успешной атаки может возникнуть, если временно будет отсутствовать синхронизация часов одного из участников. В результате различной и непредсказуемой природы сетевых задержек распределенные часы не могут поддерживать точную синхронизацию. Следовательно, процедуры, основанные на любых отметках времени, должны допускать окно времени, достаточно большое для приспособления к сетевым задержкам, и достаточно маленькое для минимизации возможности атак.

С другой стороны, подход запрос/ответ не годится для приложений, не устанавливающих соединения, так как он требует предварительного рукопожатия перед началом передач, тем самым отвергая основное свойство транзакции без установления соединения. Для таких приложений доверие к некоторому безопасному серверу часов и постоянные попытки каждой из частей синхронизировать свои часы с этим сервером может быть оптимальным подходом.
^

39. Элементы проектирования защиты сетевого периметра.


Одной из причин того, что существует огромное количество вариантов архитек­туры сетевого периметра, является различная степень важности как данных, так и сетевых ресурсов с этими данными. Как правило, web-сервер Apache со статической HTML-страницей меньше подвержен риску взлома, чем, например, база данных Oracle, хранящая информацию о сделанных клиентами заказах.

В принципе, каждый системщик может в произвольной манере изменять поря­док и количество компонентов системы безопасности, но, тем не менее, некоторые из элементов проекта защиты встречаются чаще, чем другие. Поэтому далее будут рассмотрены некоторые основные общие модели построения защиты, призванные выработать правильно сформированный образ мышления по данному вопросу.


40. Брандмауэр и маршрутизатор.

Брандмауэр и маршрутизатор, по сути, являются двумя самыми распространен­ными элементами защиты сетевого периметра. Далее основное внимание будет сконцентрировано на вопросах взаимодействия брандмауэра с маршрутизатором, а также на нескольких типичных примерах их конфигурации, обеспечивающей безопасность сети.

Рис. 9 иллюстрирует один из наиболее распространенных способов использо­вания связки маршрутизатор-брандмауэр. Хосты корпоративной подсети использу­ют только внутренним персоналом организации. Общедоступные сервера экрани­рованной подсети доступны также из Интернет. В данном сценарии ни один из внутренних серверов корпоративной подсети не доступен из внешнего мира. На­пример, вместо того, чтобы для нужд внутреннего почтового сервера открыть в бран­дмауэре TCP-порт 25, SMTP-трафик перенаправляется через ретранслятор почты расположенный внутри экранированной подсети.


^ Основы фильтрации.

Маршрутизатор отвечает лишь за свои непос­редственные функции маршрутизации, т.е. он обеспечивает канал связи локальной сети с Интернет. Но в большинстве случаев целесообразно использовать расширен­ные возможности маршрутизатора по фильтрации пакетов. Это позволяет отсеивать "бесполезные" пакеты, которые, как правило, ускользают от внимания брандмауэра, или не допускать во внутреннюю сеть заведомо нежелательные пакеты.



^ Рис. 9. Схема сети с маршрутизатором и развернутым за ним брандмауэром.


Отметим, что в рамках приведенной на рис. 9 схемы было бы нежелательно блокировать чрезмерно большое количество пакетов еще на уровне маршрутизато­ра, поскольку львиная доля такой работы лежит на брандмауэре. Кроме того, след­ствием блокировки основной массы пакетов средствами маршрутизатора является недостаточно подробная информация в log-файлах брандмауэра, что зачастую не позволяет провести качественный анализ происходящего.


^ Управление доступом.

В описанном выше сценарии зашиты брандмауэр несет на себе основную ответ­ственность за контроль доступа. Именно здесь уместнее всего задать в качестве по­литики по умолчанию полную блокировку всего входящего трафика за исключени­ем нескольких необходимых для нормальной работы протоколов. Брандмауэр в та­ком случае представляет собой перечень правил, определяющих политику безопасности с точки зрения нужд конкретно взятой сети. И в соответствии с дан­ной точкой зрения, нужно, как минимум, обладать отличным пониманием нужд конкретной сети. Иначе реа­лизация подобного брандмауэра превратится в неразрешимую задачу.

Помните, что размещение некоторых систем под прикрытием экранированной подсети в отдельных случаях является недопустимым. В частности, это может быть связано с нехваткой производительности брандмауэра, или же тем, что некоторые хосты, входящие в состав локальной сети, не вызывают такого большого доверия, чтобы располагать их на том же уровне защиты, что и важные серверы. В подобных случаях можно рассмотреть вариант помещения такой системы внутри самой деми­литаризованной зоны, т.е. между пограничным маршрутизатором и брандмауэром. При этом для защиты такой системы от воздействия извне используются возможно­сти фильтрации маршрутизатора, а для защиты корпоративной подсети применяет­ся настроенный определенным образом брандмауэр.


^ Маршрутизатор в зоне контроля поставщика Интернет-услуг.

В некоторых случаях Интернет-провайдер вполне способен предоставить клиен­ту Ethernet-соединение со своим сетевым оборудованием. Это освобождает клиента от необходимости устанавливать и настраивать свой собственный пограничный маршрутизатор, но зато клиент не может вносить изменения в конфигурации при­надлежащего провайдеру маршрутизатора. Другими словами, брандмауэр в таких случаях располагается сразу за маршрутизатором провайдера. В некотором отноше­нии это упрощает задачу установки и настройки собственной сети хотя бы с той точки зрения, что в ней становится на один компонент меньше. Но, в то же время, нет никакой гарантии, что маршрутизатор провайдера настроен именно так, как этого хотелось бы. Описанная архитектура не очень отличается от рассмотренной ранее. А отсутствие контроля над маршрутизатором означает, что уровень защиты сети может не соответствовать тому уровню, который был бы при наличии собственноручно настроенного маршрутизатора.

Другими словами, главным ограничением подобной конфигурации является от­сутствие полной информации о том, какой именно трафик блокируется маршрути­затором провайдера. Если провайдер позаботился о блокировке каких-то пакетов, то они никогда не попадут в log-файл локальной подсети. А раз так, то стоит обра­титься к провайдеру с просьбой либо ослабить контроль трафика со стороны их мар­шрутизатора, либо предоставить log-файлы, возникающие в результате такого конт­роля.


^ Маршрутизатор без брандмауэра.

Корректно настроенный маршрути­затор вполне способен блокировать нежелательный трафик. Особенно в случае, ког­да для этого применяются так называемые рефлексивные списки доступа (reflexive access lists) или же речь идет о высокотехнологичных маршрутизаторах Cisco со встроенными функциями брандмауэра.

Не говоря уже о том, что достаточно типичным случаем является наличие в сети внутренних маршрутизаторов, не отделяющих сеть от внешнего мира. Ведь главной задачей любого маршрутизатора является соединение двух сетей между собой, а у компании вполне может быть потребность соединить между собой два сегмента ло­кальной сети, не имеющих отношения к Интернету. Например, в том случае, когда организация обладает несколькими географически удаленными друг от друга сайта­ми, для их соединения между собой наверняка применяется именно маршрутиза­тор. В подобных случаях маршрутизатор лишен поддержки брандмауэра.

Блокировать те устройства, конфигурация которых связана с запретом ненужных служб и установкой списков доступа, нужно даже в тех случаях, когда речь идет о применении маршрутизаторов для глобальных приватных соединений типа T1 или frame relay. Такой шаг вполне соответствует концепции выше рассмотренной много­уровневой защиты, предназначенной оградить сеть от многочисленных потенци­альных угроз извне.


41. Брандмауэр и виртуальная частная сеть.

Очень часто брандмауэры и виртуальные частные сети обсуждаются в пределах одного контекста. Ведь, по сути, брандмауэры контролируют доступ к ресурсам, а VPN-устройства отвечают за безопасность каналов связи между сетевыми компьютерами. Поэтому очень важно понимать основы взаимодействия брандмауэров и вир­туальных частных сетей:

  • В зависимости от сетевой архитектуры, крайне важная функция трансляции сетевых адресов NAT (Network Address Translation) может оказаться несовмес­тимой с некоторыми реализациями VPN.

  • VPN способны создавать сквозные связующие "туннели", проходящие через сетевой периметр, а потому крайне проблемные в плане контроля доступа со стороны брандмауэра, которому трудно анализировать зашифрованный тра­фик.

  • Только конечные точки VPN-канала обладают доступом к данным в незашиф­рованном виде, поскольку именно VPN-устройства отвечают за дешифрацию и аутентификацию данных; сам по себе такой подход может гарантировать определенную защищенность VPN-устройств.

Благодаря своим функциям шифрования и охраны конфиденциальности пе­редаваемых данных, VPN можно использовать для обхода IDS-систем (IDS - Intrusion Detection Systems, Системы обнаружения вторжений), не спо­собных обнаружить вторжения со стороны зашифрованных каналов связи.

По сути, во время принятия решения о внедрении VPN-компонентов в сетевую архитектуру администратор сети стоит перед выбором из двух вариантов: поддержка VPN-модуля в качестве обособленного от брандмауэра устройства или же интегра­ция VPN в брандмауэр для обеспечения обеих функций одной системой. Разумеет­ся, каждый из этих вариантов наделен своими сильными и слабыми сторонами.


^ Брандмауэр плюс VPN в качестве обособленного, внешнего устройства.

Существует множество вариантов проектирования сети, позволяющих сделать конечную точку VPN внешним по отношению к брандмауэру устройством. Далее пере­числены наиболее типичные варианты размещения аппаратного обеспечения VPN:

  • внутри DMZ-зоны, между брандмауэром и граничным маршрутизатором;

  • внутри подзащитной сети, на сетевых адаптерах брандмауэра;

  • внутри экранированной сети, позади брандмауэра;

  • параллельно с брандмауэром на точке входа в подзащитную сеть.

Система трансляции адресов NAT является причиной большинства проблем, возникающих в случае обособленного по отношению к брандмауэру варианта раз­мещения VPN-оборудования. Например, в случае применения какой-либо схемы аутентификации вроде АН-заголовка, исходящие пакеты, которые вначале проходят обработку в VPN-устройстве и лишь затем обрабатываются брандмауэром для трансляции адресов, скорее всего не смогут пройти проверку целостности на другом конце VPN-соединения. Это происходит потому, что во время расчета контрольной суммы пакета с АН-аутентификацией принимаются во внимание все его заголовки. Проблема в том, что во время последующей трансляции адресов, NAT заменяет адрес источника пакета, а, значит, рассчитанная на предыдущем этапе контрольная сумма оказывается ошибочной. Еще одна проблема отдельно расположенных VPN-устройств заключается в управлении адресами: некоторые из VPN-спецификации требуют, чтобы внешнее VPN-устройство обладало легальным IP-адресом. Например, в случае аутентифика­ции согласно стандарту Х.509, сбой может произойти на IKE-фазе работы IPSec из-за того, что данный стандарт привязан к конкретным сетевым адресам, которые за­меняются согласно схеме NAT-преобразования.

Большинство вышеперечисленных потенциальных проблем с NAT-преобразова­ниями адресов можно решить путем размещения VPN-устройств ближе к внешнему миру, т.е. между брандмауэром и маршрутизатором, но это, в свою очередь, может вызвать ряд принципиально иных проблем. Многие читатели, вероятно, знают, что большинство приложений, использующих в своей работе DCOM-протоколы (Distributed Component Object Model - распределенная модель компонентных объектов) не работают с некоторыми применениями NAT. Это вызвано тем, что сис­тема трансляции адресов NAT преобразует только расположенные в заголовках па­кетов адреса источника, а приложения (на уровне протоколов прикладного уровня OSI) вкладывают информацию об адресе и в содержимое пакета.

Еще одним очевидным недостатком размещения VPN-устройств перед брандма­уэром является отсутствие соответствующей защиты с его стороны. Другими слова­ми, в случае взлома VPN-системы, злоумышленник получает прямой доступ к дан­ным, конфиденциальность которых обеспечивалась средствами VPN.


Брандмауэр и VPN, размещенные как единое целое.

Вариант устройства, объединяющего функции брандмауэра и VPN в одной сис­теме, наверняка позволит сэкономить определенное количество денег по сравне­нию с решением, использующим два отдельных устройства. Правда, большая часть этой экономии не касается первоначальных затрат на приобретение соответствую­щего комплекса средств, поскольку добавление к брандмауэру VPN-функциональ­ности потребует покупки дополнительных программных лицензий, а также, воз­можно, обновления аппаратной части. Иначе говоря, интегрированное решение оказывается менее дорогостоящим в плане своего дальнейшего технического сопро­вождения. Более того, коммерческие реализации VPN наподобие Check Point VPN-1 могут похвастаться интеграцией в графическую оболочку, используемую для управ­ления соответствующим брандмауэром Check Point. Большинство интегрированных решений попросту не вызывают ранее описанных проблем, связанных с NAT, а зна­чит, обеспечивают более надежный доступ к данным, за который отвечает брандма­уэр.

Один из главных минусов интегрированного решения заключается в ограничен­ности вариантов оптимизации соответствующих VPN и брандмауэр-компонент. Другими словами, максимально удовлетворяющие запросам реализации брандмауэ­ров могут оказаться не приспособленными к построению на их основе VPN-компо­нентов. А значит, вполне возможны ситуации, в которых выгоднее обратиться к ранее рассмотренному варианту применения внешнего специализированного VPN-устройства. Иначе использование интегрированного решения лишь привяжет сеть к пожизненно неизменному и неоптимальному применению брандмауэра и VPN в рамках одной системы.


42. Многоуровневые брандмауэры.

В некоторых случаях для надежной защиты сети необходимы многоуровневые брандмауэры. Такой подход служит для обеспечения зашиты различного уровня для ресурсов с различными требованиями к ней. Один из подобных сценариев подразу­мевает цепочку расположенных друг за другом брандмауэров, что позволяет разбить ресурсы с различными требованиями к безопасности по соответствующим им сег­ментам сети. Однако многоуровневые брандмауэры могут располагаться и на равном удалении от Интернета, параллельно друг другу.

Применение многоуровневых брандмауэров в полной мере обеспечивает способ­ность контроля над доступом к ресурсам. Но стоимость установки и поддержки такой сетевой инфраструктуры многократно возрастает с добавлением каждого нового брандмауэра. Некоторые из существующих программ, например Check Point Firewall-1, обеспечивают интуитивно понятный интерфейс управления не­скольким брандмауэрами с одного единственного компьютера. Другие, вроде NetFilter, могут потребовать от администратора более значительных усилий для под­держки конфигурации брандмауэра в соответствии с требованиями текущей поли­тики безопасности организации.


^ Внутренние брандмауэры.

Схема многоуровневого брандмауэра может подразумевать наличие нескольких внутри сетевых брандмауэров, расположенных друг за другом и обеспечивающих ог­раниченный доступ внешнего трафика к определенным ресурсам. Такая конфигура­ция не так необычна, как может показаться на первый взгляд. Рассмотрим типич­ную архитектуру, в которой за маршрутизатором расположен один-единственный брандмауэр. В случае использования функции маршрутизатора по контролю спис­ков доступа взамен обычной фильтрации пакетов, маршрутизатор начинает дей­ствовать подобно брандмауэру. Безусловно, данная идея вносит избыточность в схе­му контроля доступа, но именно такой запас прочности позволяет надеяться, что если одно из устройств не сумеет пресечь злонамеренный трафик, то это удастся сделать другому.

Возможно, такое решение пока­жется неоправданным, в этом случае имеет смысл изучить при­веденную на рис. 10 схему.

Данная схема позволяет извлечь преимущества из сегментированной согласно различным уровням безопасности сети. Чем ближе по отношению к Интернету рас­положена подсеть, тем меньшим уровнем безопасности она обладает. В приведен­ном на рисунке примере web-сервер расположен под прикрытием первого брандмауэра, в то время как более чувствительные серверы с базами данных отделены от него вторым брандмауэром. Соответственно, первый брандмауэр сконфигурирован в расчете на доступ извне только на web-сервер, а второй брандмауэр разрешает дос­туп к серверам с базами данных только со стороны защищенного, внутреннего web-сервера.




^ Рис. 10. Внутренние брандмауэры.


Одна из самых главных проблем, связанных с корпоративными многоуровневы­ми брандмауэрами, заключается в сложности управления ими. Администратор дол­жен не только установить, настроить и поддерживать несколько уровней брандмауэ­ров, но и обеспечить их совместимость друг с другом. Если, например, требуется обеспечить доступ в Интернет с системы, расположенной за двумя брандмауэрами, то необходимо внести соответствующие правила доступа в настройки обоих бранд­мауэров. Коммерческие программы брандмауэров, например, Check Point Firewall-1 и Cisco PIX, нередко наделены программными решениями, позволяющими управ­лять несколькими брандмауэрами средствами одной единственной системы. Это облегчает корректную настройку всех внутренних брандмауэров, входящих в состав многоуровневой защиты. Однако если некое устройство нуждается в прямом досту­пе в Интернет, то целесообразно пересмотреть проект сети с целью минимизации брандмауэров, препятствующих этому.


^ Брандмауэры, расположенные параллельно.

Существует множество ситуаций, вынуждающих расположить брандмауэры па­раллельно друг другу. В подобных конфигурациях разные брандмауэры, как прави­ло, защищают ресурсы с разными требованиями к уровню безопасности. Если бран­дмауэры расположены последовательно, как это описывалось в предыдущем разде­ле, то пакеты, предназначенные спрятанному в недрах сети хосту, неизбежно задерживаются, что вызвано несколькими проверками прав их доступа. В случае же с параллельными брандмауэрами такой вариант в принципе невозможен, по­скольку все брандмауэры оказываются равно удаленными от внешнего мира.

Другими словами, каждый брандмауэр в параллельной конфигурации защищает лишь непосредственно прикрываемые им устройства. Один из подобных сценариев отображен на рис. 11. В данном примере используются два брандмауэра, каждый из которых защищает различные системные ресурсы.

Предполагается, что для защиты доступных из Интернета устройств типа Web, SMTP и DNS-сервера, требуются надежные защитные способности уровня прокси-сервера, названного здесь "шлюзом прикладного уровня" (application gateway). Другими словами, относительно низкое быстродействие прокси-брандмауэра вполне допус­тимо для подобных целей. В то же время, корпоративная часть сети, состоящая из рабочих станций и серверов с данными, нуждается в брандмауэре экспертного уров­ня (stateful firewall). В конечном счете, только параллельное расположение двух принципиально отличных брандмауэров позволяет достичь желаемого эффекта. Впрочем, данное решение лишено той надежности, которую обеспечивают много­уровневые брандмауэры, рассмотренные ранее.





^ Рис. 11. Брандмауэры, расположенные параллельно.

43. Прокси-брандмауэры.


Прокси-сервер, называемый иногда шлюзом прикладного уровня (application gateway), представляет собой специализированное приложение, обеспечиваю­щее связь между внутренними защищенными сетями и внешним миром (Интернет) с помощью Интернет-протоколов. Вообще говоря, прокси работают с программа­ми, основанными на протоколе TCP/IP. Обычно прокси-серверы запускают не­сколько программ (прокси), которые могут быть защищенными и доверительными. Это специализированные программы, и каждый поддерживаемый протокол должен обладать собственной службой прокси или обрабатываться общим прокси. Прокси может быть также и прозрачной программой, создаваемой для передачи пакетов в любой данный порт через границы сети.

Прокси (proxy) действует по команде клиента или пользователя для доступа к ус­лугам сети и защищает каждую сторону от прямого равноправного (pear-to-pear) со­единения. Клиенты устанавливают соединения, выполняя три стадии организации соединения с прокси-сервером. После этого прокси устанавливает соединение с удаленным сервером. Прокси-сервер вы­сылает данные, которые поступили к нему от клиента, на искомый сервер, а также пересылает данные, полученные от искомого сервера, клиенту. Строго говоря, прокси-сервер является как сервером, так и клиентом. Он являет­ся сервером в отношении своего клиента и клиентом в отношении искомого серве­ра.

Этапы организации соединения через прокси требуют различные уровни аутентификации или доверия программному обеспечению, которое будет использовано для установ­ки соединений. Далее приводится пример типов соединений, которые устанавливаются с помо­щью прокси для связи внутренней сети с Интернетом:

  1. Пользователь производит запрос служб Интернета, таких как HTTP, FTP, Telnet.

  2. Программные средства пользователя направляют запросы службам Интернета в соответствии с политикой безопасности.

  3. Прокси обеспечивают соединения, функционируя в качестве шлюзов для уда­ленных служб.

  4. Прокси организовывают связь, необходимую для установки соединения с внешней системой, защищая системы, находящиеся за брандмауэром так, что для внешних систем они оказываются невидимыми.

  5. Весь трафик, маршрутизируемый между внутренним пользователем и вне­шними системами, обрабатывается посредством прокси-шлюзов.


Обычно прокси-сервер работает на двустороннем барьерном хосте или шлюзе и поддерживает один или более Интернет протоколов (см. рис. 12). Барьерными, или бастионными, хостами (bastion hosts) являются укрепленные системы, сконфигури­рованные для работы с Интернетом. Двусторонний шлюз состоит из хост-системы с двумя сетевыми интерфейсами: один интерфейс для внутренней защищенной сети и один для внешней сети. Эти хосты запрещают прямой трафик между сетями и мо­гут использоваться для функций регистрации и аудита проходящего через них тра­фика. Хост не выполняет маршрутизацию пакетов между двумя соединенными се­тями, поскольку перенаправление IP пакетов невозможно. Двусторонний шлюз полностью блокирует IP-трафик между внешней и внутренней сетью. Прокси-сер­веры в шлюзе обеспечивают службы и возможность соединения с Интернетом. Во избежание случайной пересылки IP-трафика может оказаться очень полезным яв­ный запрет возможности перенаправления IP-пакетов.

В качестве примера простой конфигурации двустороннего шлюза можно привес­ти использование прокси-служб для электронной почты. Служба брандмауэра при­нимает всю электронную почту, адресуемую внутренним пользователям, и пересы­лает ее внутренним системам или централизованному внутреннему почтовому серверу. Для конечного пользователя такой тип соединения является прозрачным. Соединение выглядит так, как будто оно является прямым соединением между внутренней системой пользователя и внешней системой.




^ Рис. 12. Двусторонний хост (бастионный) с прокси-службами.


Поскольку данные передаются между внутренним клиентом и бастионным хостом, информация о внутреннем IP-адресе клиента, а также некоторая информация о протоколе защищаются от широкого вещания в Интернете. Изучая некоторые особенности пакетов – включая установки по умолчанию для поля Time to Live (TTL – время жизни), размера окна и опций TCP – можно определить операционную систему клиента. Для определения действий, которые можно осуществить в от­ношении системы клиента, злоумышленник может использовать технологию иден­тификации операционной системы клиента, известную под названием passive fingerprinting ("пассивное снятие отпечатков (пальцев)").

Эти типы служб/серверов обеспечивают функциональность внутренних и вне­шних пользователей, находясь с внешней стороны сетевого периметра. На рис. 13 по­казаны несколько серверов, размещенных с внешней стороны защищенной сети.

В идеале, для адресации одной прокси-службы мог бы использоваться один бас­тионный хост – это так называемый принцип разделения безопасности. На басти­онных хостах не следует размещать учетные записи пользователей, компиляторы или ненужные программы. Кроме этого необходимо заблокировать и неиспользуе­мые службы; следует разрешить только те службы, которые предлагает прокси-сер­вер – тогда в случае дискредитации барьера или службы повреждена будет только одна служба. Это, однако, не всегда возможно. К сожалению, объединение всех прокси в одном бастионном хосте в результате удачной атаки может привести к образо­ванию одной точки сбоя.

Кроме классических вспомогательных протоколов (прокси-протоколов), таких как Telnet, FTP, электронной почты и новостей, организациям может понадобиться обеспечение доступа к web (HTTP), широковещание, распределенные протоколы для музыки, видео/аудио, конференций, доступа к базам данных, совместного ис­пользования файлов и т.п. В результате это приведет к увеличению нагрузки адми­нистраторов сетевой безопасности – им придется вести сражение за поддержку сис­тем на самом современном уровне и добиваться удовлетворительных откликов кли­ентов/пользователей от возможностей существующих служб.




^ Рис. 13. Несколько барьерных хостов.


Брандмауэры прикладного уровня в использовании выглядят предпочтительнее, поскольку они обладают возможностями декодирования информации заголовка на прикладном уровне. Благодаря этому они могут обеспечить создание более деталь­ного контрольного журнала (audit log).


44.Типы прокси.

Рассмотрим некоторые разно­видности прокси: прямые (пересылочные) прокси (forward proxy) и реверсные (обратные) прокси (reverse proxy), прокси приклад­ного уровня и прокси сеансового уровня.

^ Реверсный прокси.

С некоторого момента Интернет становится все более и более враждебным, и организации начинают испытывать необходимость в развертывании более защи­щенных периметров, чем это было возможно при использовании статических па­кетных фильтров. После развертывания первых брандмауэров внутренним пользова­телям был необходим способ, позволяющий добраться до серверов Интернета через периметр. Эту проблему смог решить прокси. Как вы уже знаете, прокси одновре­менно является и клиентом, и сервером, поэтому трактовка прямой и реверсный прокси (forward/reverse proxy) достаточно двусмысленна. Большинство людей счита­ет, что если внутренний пользователь осуществляет доступ к службе Интернета через прокси, то такой прокси является прямым прокси (forward proxy). Реверсный (обратный) прокси (reverse proxy) подразумевает отличное использо­вание технологии прокси. Реверсный прокси может использоваться с внешней сто­роны брандмауэра для представления внешним клиентам защищенного контент-сервера, предохраняя от прямого, неконтролируемого доступа к данным ваших серверов. Реверсный прокси может быть использован также с целью повышения производительности; перед интенсивно используемым сервером можно размес­тить несколько прокси – это позволит регулировать его нагрузку. Прямые или реверсные приложения могут быть тем же прокси-сервером; различие состоит толь­ко в конфигурации.


^ Преимущества прокси-брандмауэров.

  • В сравнении с остальными типами брандмауэров, прокси-брандмауэры обладают целым рядом преимуществ:

  • Внутренние IP-адреса защищены от внешнего мира благодаря тому, что прокси-службы не допускают прямых соединений между внешними серверами и внутренними компьютерами.

  • Администраторы имеют возможность производить мониторинг нарушений политики безопасности брандмауэра, используя для этого записи аудита, ге­нерируемые службами прокси.

  • Использование прокси-брандмауэров позволяет организовать защиту, осно­ванную на пользователях. Службы прокси эффективны при защите от неавто­ризованного использования на однопользовательской основе и способны поддерживать строгую аутентификацию.

  • Вследствие того, что возможность организации соединений основана на службах, а не на физических соединениях, прокси-брандмауэры оказываются неуязвимыми перед IP-спуфингом (подмена IP адреса). IP-адреса хостов в пределах внутренней защищенной сети не требуют соединения посредством прокси-брандмауэра.

  • Прокси-брандмауэры обладают лучшими возможностями регистрации, чем брандмауэры фильтрации и маршрутизации, и предлагают единственную точ­ку для аудита и управления.

  • Пользователи не могут войти в прокси-серверы. В бастионных хостах не тре­буются никакие учетные записи. Прокси-службы работают по команде пользователей.

  • Прокси-сервер обеспечивает централизованную точку для сети, и наблюде­ние за трафиком может выполняться очень тщательно. Это, однако, может создать узкие места сетевого трафика.

  • Топология внутренней защищенной сети в прокси-брандмауэрах является скрытой.

  • Некоторые прокси предлагают улучшенные средства выполнения аудита, имея инструменты для мониторинга трафика.

  • Прокси-брандмауэры предлагают строгую аутентификацию и регистрацию. Возможно выполнение предварительной аутентификации прикладного тра­фика, прежде чем он достигнет внутренних хостов, а также более эффектив­ная регистрация по сравнению со стандартной регистрацией хоста.

  • Прокси-брандмауэры имеют менее сложные правила фильтрации, нежели брандмауэры пакетных фильтров. Правила в маршрутизаторе пакетной филь­трации менее сложные, чем если бы маршрутизатору необходимо было от­фильтровывать прикладной трафик и пересылать его нескольким определен­ным системам. Маршрутизатору необходимо разрешить только прикладной трафик, направляемый шлюзу прикладного уровня, а весь остальной трафик удалить.

46.Недостатки прокси-брандмауэров.

Несмотря на то, что прокси-брандмауэры предлагают более высокий уровень бе­зопасности по сравнению с брандмауэрами пакетной фильтрации, они, тем не ме­нее, имеют некоторые недостатки. К ним можно отнести следующее:

  • Снижение производительности вследствие дополнительных запросов на об­работку, необходимых для прикладных служб. Прикладные прокси работают медленнее по сравнению с пакетными фильтрами.

  • Для каждого нового приложения или протокола, которые необходимо пропу­стить через брандмауэр, необходимо разрабатывать новый прокси.

  • Доступным является лишь ограниченное количество служб. Доступ к другим, не предоставляемым прокси, службам (non-proxiable services), остается невозмож­ным.

  • Неотъемлемые проблемы в операционных системах и их компонентах могут негативно повлиять на безопасность сервера брандмауэра (firewall server). Прокси-службы уязвимы перед ошибками в операционных системах и ошиб­ками на прикладном уровне.

  • Операционная система хоста, содержащего прокси, остается незащищенной перед внешними угрозами и может быть подвергнута атакам.

  • Процесс установки прокси-службы может оказаться довольно сложным для каждого приложения, использующего шлюз.

  • Поскольку прокси-сервер может оказаться узким местом в сети, он может стать также и единственной точкой сбоя.
^

48. Виртуальные локальные сети.


Виртуальные локальные сети VLAN были созданы с одной единственной це­лью – предоставить администраторам возможность определять гибкие широкове­щательные домены с множеством коммутаторов.

С точки зрения перспектив быстродействия, идеальным вариантом является размещение часто общающихся друг с другом устройств в пределах одного широко­вещательного домена. Это вдвойне верно для тех систем, которые используют в сво­ей работе широковещательные протоколы типа NetBIOS или IPX SAP. Нередко быва­ет так, что физически разделенные между собой системы логически должны при­надлежать к одной подсети. Например, зарегистрированные пользователи могут сидеть на разных этажах, но обладать доступом к одному и тому же файлу или серве­ру печати. Виртуальные локальные сети предоставляют возможность группировать в широковещательный домен различные сетевые устройства без привязки к установ­ленным коммутатором границам подсети или, в некоторых случаях, без привязки к географическому местоположению. Правильно настроенная виртуальная сеть также способна оказать помощь в группировке ресурсов в соответствии с их функциональ­ностью и связанным с ними риском даже в том случае, если эти системы физически расположены на разных этажах здания, и не могут соединяться между собой посред­ством одного коммутатора.

Виртуальные сети часто применяются для определения на основе одного физи­ческого коммутатора множества виртуальных коммутаторов. Эта функция применя­ется в тех случаях, когда множество серверов должны находиться в относительной близости друг от друга, например, в условиях серверной площадки. Благодаря этой функции, один коммутатор способен управлять множеством виртуальных сетей, каждая из которых представляет свой широковещательный домен. Нередко исполь­зование виртуальных сетей для структурирования подсетей привлекательно с пози­ций освобождения от необходимости устанавливать в каждой подсети свой коммутатор. Появляется возможность добавления новых портов посредством простых изменений в конфигурации главного коммутатора без приобретения какого-либо до­полнительного оборудования. Очевидно, что использование одного-единственного коммутатора для реализации множества подсетей минимизирует количество уст­ройств, которые неизбежно нуждаются в поддержке и мониторинге. Гибкая природа настройки виртуальных сетей и обилие опций для внутри и межсетевых подсетей по умолчанию доступны в высококачественных реализациях VLAN. Все это делает вир­туальные сети крайне привлекательным средством для сетевых администраторов.

К сожалению, применение виртуальных сетей с целью определения границ зон безопасности менее надежно, чем использование для каждой подсети выделенных коммутаторов. Не очень надежная изоляция ресурсов при помощи VLAN порожда­ет ряд уязвимых мест в программных реализациях виртуальных сетей, а также лег­кость, с которой взломщик может преодолеть установленные виртуальной сетью границы в случае внесения нарушений в ее настройку.


49. Границы виртуальных локальных сетей.

Даже если считать виртуальными разделенные VLAN сети, то они все равно нуж­даются в маршрутизаторе, который будет перенаправлять трафик между виртуаль­ными сетями. Маршрутизация в пределах виртуальной сети (intra-VLAN) может быть достигнута при помощи традиционных средств контроля трафика, т.е. благо­даря маршрутизатору и списку контроля доступа ACL (Access Control List). Постав­щики высокотехнологичных коммутаторов, в частности Cisco, предлагают в составе своих продуктов аппаратные модули, реализующие высокоскоростную маршрутиза­цию внутренних VLAN-пакетов средствами самого коммутатора. Например, высо­кокачественные коммутаторы Cisco Catalyst поддерживают функцию многоуровневой коммутации MLS (Multilayer Switching), которая реализуется при помощи специаль­ных карт расширения, обладающих возможностями виртуальных маршрутизаторов и способных маршрутизировать трафик между виртуальными сетями. MLS также поддерживает списки контроля доступа, которые можно использовать для управле­ния трафиком, пересекающем границы виртуальных сетей.

Поскольку виртуальные локальные сети подразумевают создание изолированных широковещательных доменов, то для реализации зон безопасности в представлен­ном ранее примере можно использовать виртуальные сети, основанные на одном единственном коммутаторе. Как и в случае обычных локальных сетей, в основу кон­тролируемой передачи пакетов через границы подсети положены маршрутизаторы (или их MLS-эквиваленты) и брандмауэры. Во время реализации всего вышеопи­санного на практике необходимо убедиться, что управляющий виртуальными сетя­ми коммутатор не позволит взломщику "перепрыгнуть" границы виртуальных сетей и тем самым избежать контроля со стороны маршрутизатора и/или брандмауэра.


^ Пересечение границ виртуальных локальных сетей.

Согласно со стандартом IEEE 802.1q, проходящие через VLAN-коммутаторы Ethernet-кадры относятся к той виртуальной сети, чей заголовок тега (tag header) указан в кадре сразу же за полем аппаратного МАС-адреса. Такой способ задания меток кадров применяется в случае наличия в сети логически связанных (trunked) между собой коммутаторов, которые функционируют как одно целое устройство, управляющее множеством виртуальных сетей. Тег-заголовок кадра определен в стан­дарте 802.1q и несет информацию о породившей его виртуальной сети, приписывая тем самым свою принадлежность к конкретной VLAN.

При определенных условиях существует реальная возможность подделать пользовательские кадры стандарта 802.1q, которые коммутатор перенаправляет ука­занному адресату (VLAN), минуя 3-ий уровень сетевой модели OSI, хотя обычно ме­ханизм маршрутизации этого уровня все же принимает участие в организации внут­ри сетевых соединений. В частности, коммутаторы Cisco Catalyst 2900 обнаружива­ют в своей работе уязвимость к подобным атакам в отношении реализованных на их основе логически связанных коммутаторов. Но чтобы данная атака имела ус­пех, взломщик должен обладать доступом к активному логическому порту. Другими словами, взломщик способен взломать Ethernet-кадры, предназначенные для произвольной виртуальной сети, за счет подключения к виртуальной сети, содержащей логически связанные порты.

Это был только один тип атаки на коммутатор, который позволяет взломщику "перепрыгнуть" через несколько виртуальных сетей и, тем самым, избежать ограни­чении доступа на маршрутизирующем устройстве. Описанная в предыдущем пара­графе дыра была тщательно изучена, в результате чего появились специальные реко­мендации по снижению риска за счет особой настройки логически связанных портов. Но с учетом многогранности применения виртуальных сетей вполне существует вероятность наличия множества неизвестных доселе подобных дыр.

Главная причина, побуждающая скептически относится к будущему виртуальных сетей в плане усиления зон безопасности, заключается в том, что виртуальные сети разрабатывались для оптимизации сетевого быстродействия, но не для обеспечения безопасности как таковой. Поэтому неудивительно, что регулярное издание специ­ального бюллетеня Cisco, посвященного вопросам безопасности, рекомендует не использовать межсетевые виртуальные соединения для усиления безопасности под­сети: "Вероятность срабатывания человеческого фактора, помноженная на то, что прото­колы реализации виртуальных сетей разрабатывались без учета вопросов сетевой бе­зопасности, делает их использование при работе с важной информацией нецелесо­образным".

Часто очень трудно побороть соблазн использования виртуальных сетей для представления зон безопасности. Особенно в случае наличия в сети высокотехноло­гичных коммутаторов, которые позволяют создавать новые виртуальные подсети при помощи незначительных изменений своей конфигурации. Если все же решить­ся на использование виртуальных сетей, то необходимо в обязательном порядке учитывать вероятность взлома такой инфраструктуры на 1-ом и/или 2-ом уровнях сетевой модели OSI. Отсюда следует, что если необходимо создать сетевое окруже­ние с высокой степенью безопасности, нужно пользоваться исключительно "чест­ными", а не виртуальными коммутаторами для реализации каждого сетевого сег­мента. Путем такого коренного отказа от виртуальных сетей удается физически гарантировать неспособность взломщика устанавливать межсетевые соединения в обход маршрутизатора. В случае же применения одного-единственного коммутато­ра, разделенного на виртуальные составляющие, не приходится волноваться на счет сложности или запутанности сетевых настроек, но зато приходится поволноваться за то, что в результате коммутатор будет игнорировать заданные ограничения меж­сетевого доступа.


50. Частные виртуальные локальные сети.

Появление высокотехнологичных коммутаторов значительно усиливает защи­щенность сетевых границ виртуальных сетей. Поэтому применения VLAN с каждым днем становятся более надежными, а сетевые инженеры постепенно накапливают опыт по созданию и поддержке виртуальных сетей. Некоторые из коммутаторов фирмы Cisco поддерживают весьма привлекательную технологию сетевой безопас­ности под названием частные виртуальные локальные сети (private VLAN), которые явно выигрывают у обычных VLAN в плане своей безопасности. Частной виртуаль­ной локальной сетью называется такая группа сетевых портов, которая специально настроена на изоляцию от прочих портов той же виртуальной сети. Соответственно, частные VLAN позволяют ограничивать взаимодействие хостов, размещенных в пределах одной виртуальной сети. Как уже упоминалось ранее, маршрутизаторы и брандмауэры способны накладывать такие ограничения только на пересекающий границы сетевых сегментов трафик. Частные же VLAN по­зволяют изолировать друг от друга хосты, расположенные в пределах одной и той же подсети. Такая способность особенно полезна для усиления ограничений на серверной площадке, где серверы часто располагаются в пределах одной и той же физической подсети, но крайне редко нуждаются в неограниченном доступе друг к другу. Короче говоря, частные виртуальные локальные сети, благодаря совершенно иному уровню своей безопасности, способны улучшить эффективность от применения виртуальных сетей как таковых.

При этом обязательно необходимо так настроить сетевые порты частной виртуальной сети, чтобы однозначно определить возможность соединения заданного се­тевого устройства с другими портами той же подсети. Существуют так называемые универсальные порты (promiscuous ports), которые способны устанавливать соедине­ние с любым другим портом. Как правило, такие порты принадлежат маршрутиза­торам и брандмауэрам. Напротив, изолированные порты (isolated ports) полностью от­горожены от всех прочих портов частной виртуальной сети за исключением универ­сальных. И, наконец, групповые порты (community ports) способны общаться только друг с другом и с универсальными портами.

Нужно понимать, что некорректная конфигурация частной виртуальной локаль­ной сети способна перечеркнуть те свойства данной сети, которые по идее должны улучшать безопасность. Например, можно обойти ограничения частной VLAN за счет маршрутизации внутреннего трафика выделенным маршрутизатором. Обычная ситуация подразумевает, что расположенные в пределах одной подсети хосты на­прямую общаются между собой. А, значит, взломщик, получивший доступ к одному из хостов частной виртуальной сети, может маршрутизировать пакеты в направле­нии соседней системы. Поскольку маршрутизаторы, как правило, соединены с уни­версальными портами, то они способны перенаправлять сетевой трафик на 3-ем уровне сетевой модели вопреки любой изоляции, созданной средствами частной виртуальной сети на 2-м уровне. Для предотвращения подобной ситуации необхо­димо настроить списки контроля доступа ACL главной виртуальной сети на отказ в доступе трафика, источник и приемник которого расположены в пределах одной подсети.

Очевидно, что виртуальные сети предоставляют множество различных возмож­ностей, позволяющих по желанию разработчика гибко разделять сетевые ресурсы. В то же время вероятность взлома границ виртуальных сетей намного выше аналогич­ной вероятности для сетей, физически разделенных коммутаторами. С этой точки зрения, будет сомнительным рекомендовать виртуальные сети для определения подверженных высокому риску зон безопасности, особенно если они расположены в непосредственной близости к Интернету. Однако преимущества администрирова­ния виртуальных сетей позволяют применять их для разделения внутренних сете­вых сегментов в зависимости от их требований по безопасности и нужд конкретной организации.
^

51. Виртуальные частные сети.


Сегодня во взаимосвязанном мире все более общей становится необходимость перемещать информацию с одного веб-сайта на другой. Вне зависимости от дальности перемещения этой информации, то ли с одного конца города на другой, то ли в мировом масштабе, основной вопрос один и тот же: "Как мы можем безопас­но передавать наши данные?" В течение многих лет подобное транспортирование информации достигалось с помощью дорогих частных линий связи, которые арен­довались у поставщиков услуг связи таким образом, чтобы компания получала ча­стный сегмент такой линии связи. С увеличением расстояний значительно возрос­ла стоимость подобных подключений, превратив глобальные сети (wide area network - WAN) в роскошь, которую многие фирмы не могли себе позволить. В то же время многие фирмы уже не могут существовать без глобальных сетей. Поскольку широкополосные Интернет-подключения превратились в основной элемент инф­раструктуры многих организаций, стала привлекательной концепция использова­ния существующей структуры Интернет в качестве глобальной сети. Затраты на со­здание глобальной сети можно значительно уменьшить при использовании уже существующих точек публичного доступа. Вновь на первое место вышло беспокой­ство о безопасности передаваемых данных. Решение данной проблемы заключается в использовании тех­нологии виртуальной частной сети (Virtual Private NetworkingVPN).


52. Основы построения виртуальной частной сети.

Виртуальная частная сеть (VPN) – это подключение, установленное по суще­ствующей общедоступной инфраструктуре и использующее технологии шифрования и аутентификации для обеспечения безопасности содер­жания передаваемых пакетов. Виртуальная частная сеть создает виртуальный сегмент между любыми двумя точками доступа к сети. Она может проходить через общедоступную инфраструктуру локальной сети (local area network LAN), подключе­ния глобальной сети (wide-area networkWAN) или Интернет. Далее будут рассмотрены преимущественно виртуальные частные сети, ис­пользующиеся в качестве средства создания безопасного канала передачи данных, пересекающего общедоступную инфраструктуру сети Интернет. Такие каналы дела­ют недорогими и эффективными удаленные сетевые решения, поскольку для их организации можно использовать любой доступ к сети Интернет.

Виртуальные частные сети по конфигурации можно разделить на три основных типа: узел-узел (host-to-host), узел-шлюз (host-to-gateway) и шлюз-шлюз (gateway-to-gateway). Для организации канала связи, проходящего через Интернет, можно ис­пользовать виртуальную частную сеть любого типа, хотя виртуальные частные сети типа узел-узел часто также используются в качестве средства конфиденциальной связи в отдельном локальном сегменте сети.

Независимо от используемой среды передачи данных, типа конфигурации и со­вместно используемой инфраструктуры, которую пересекают информационные па­кеты, виртуальные частные сети – это мощный инструмент, который можно ис­пользовать различными способами для создания безопасного коммуникацион­ного канала.


53. Основы методологии виртуальных частных сетей.

Основной концепцией виртуальных частных сетей является защита шифровани­ем канала связи. Связь можно защитить шифрованием на различных уровнях сете­вой модели взаимодействия открытых систем OSI, а именно:

  • прикладном (7-й уровень);

  • транспортном (4-й уровень);

  • сетевом (3-й уровень);

  • канальном (2-й уровень).

На уровне приложения шифрование можно применять при помощи программ, подобных пакету Pretty Good Privacy (PGP), или через каналы типа Secure Shell (SSH). Кроме того, удаленные односеансовые программы, подобные pcAnywhere, и многосеансовые программы, подобные Terminal Server, могут применять шифрова­ние для зашиты удаленных соединений. Большинство этих программ работает на участке сети от узла до узла, что означает, что они предлагают защиту только для со­держательной части (payload) пакета, а не всего пакета в целом. Исключение состав­ляет протокол SSH, который может использовать режим port-forwarding для созда­ния туннеля.

На транспортном уровне сетевой модели для защиты содержимого пакетов конк­ретного сеанса связи между двумя сторонами можно использовать протоколы, ана­логичные протоколу защищенных сокетов (Secure Sockets LayerSSL). Обычно такой метод используется при соединениях, установленных посредством web-браузера. При этом вновь защищается только содержательная часть передаваемых пакетов, а IP-пакеты, которые несут эту информацию, доступны для просмотра. Протокол защищенных сокетов (SSL) также может использоваться для организации туннеля при других типах соединения.

На сетевом уровне протоколы, подобные IPSec, не только зашифровывают содер­жательную часть пакета, но они также зашифровывают информацию самого прото­кола TCP/IP. Хотя информация об IP-адресах сторон, шифрующих и расшифровы­вающих пакет, необходима для облегчения надлежащей маршрутизации, высоко­уровневая информация, включая транспортные протоколы и связанные порты, может быть полностью скрыта. Информация об IP-адресе получателя может также быть скрыта, если шлюзовое устройство такое, как маршрутизатор, брандмауэр или концентратор, выполняет шифрование, используя концепцию, называемую туннелированием (tunneling).


54. Туннелирование.

Туннелирование – это процесс инкапсуляции одного типа пакета внутри другого с целью получения некоторого преимущества при его транспортировке. Например, туннелирование можно использовать, чтобы послать широковещательный трафик через маршрутизируемую сетевую среду или трафик протокола NetBEUI через сеть Интернет, или чтобы применить шифрование для обеспечения безопасности IP-па­кетов. Использование технологии туннелирования в качестве средства шифрования можно проиллюстрировать на примере виртуальной частной сети типа шлюз-шлюз. На рис. 14 представлены две сети связанные через виртуальную частную сеть, кото­рая располагается между двумя брандмауэрами.

В приведенном примере брандмауэр переводит все пакеты, предназначенные для удаленной сети, в зашифрованный вид и добавляет к ним новый IP-заголовок со своим собственным IP-адресом в качестве адреса отправителя и адресом удаленного брандмауэра в качестве IP-адреса получателя пакета. Шифрование скрывает факти­ческую информацию IP-заголовка оригинального пакета. Когда удаленный бранд­мауэр получает пакет, он расшифровывает его снова в первоначальный вид и переда­ет узлу сети, для которого он изначально предназначался. Виртуальный сегмент сети, создаваемый между двумя шлюзовыми оконечными точками, называют тунне­лем (tunnel). Узлы сети не имеют ни малейшего представления ни о том, что пакеты зашифровывались, ни о том, что их посылали через общественную сеть. При этом от узлов сети не требуется ни наличия специального программного обеспечения, ни дополнительной настройки. Все, что должно присутствовать, так это пакет, пред­назначенный для узла удаленной подсети и процесс, полностью контролируемый шлюзовыми устройствами.

Несмотря на то, что при использовании процесса туннелирования системные IP-адреса узлов сети замаскированы от внешнего мира, они все же не обладают пол­ной анонимностью. Поскольку доступны IP-адреса шлюзовых устройств, то подслу­шивающие все еще могут определить, кто с кем поддерживает связь.




^ Рис. 14. Виртуальный туннель.


Применение шифрования, инкапсуляции и туннелирования не обеспечивает не­доступность отправляемых пакетов. Пакеты все еще могут собираться и анализиро­ваться. Однако если используется должным образом реализованный, адекватно сильный алгоритм шифрования, то содержимое пакетов находится в безопасности.


Достоинства VPN.

Главной выгодой от использования виртуальной частной сети для удаленного до­ступа можно считать совокупность стоимостной эффективности возможного ис­пользования общественной сетевой среды для транспортирования частной инфор­мации и достижение высокого уровня безопасности. Виртуальная частная сеть (VPN) может предоставить множество уровней безопасности в общедоступной сете­вой среде, включая усовершенствование конфиденциальности, целостности и аутентификации. Поскольку виртуальная частная сеть использует существующую сетевую инфраструктуру, ее можно реализовать без промедления, не ожидая прокладки линий связи или других факторов, которые обычно сдерживают подобные проекты. Если виртуальные частные сети используются для подключения удален­ных пользователей, то они могут предложить безопасное и более рентабельное ре­шение "дорожному воину". Этим способом люди, нуждающиеся в удаленном досту­пе, могут использовать в своих интересах местный доступ к Интернет везде, где бы они ни находились, вместо того, чтобы делать дорогостоящие междугородные звон­ки. Комбинация безопасности, быстрой установки и рентабельности с точки зре­ния стоимости может сделать виртуальную частную сеть превосходным коммуника­ционным решением.


Недостатки виртуальной частной сети.

Несмотря на все свои положительные стороны, виртуальные частные сети не из­бавлены от недостатков. Нужно взвесить множество факторов, чтобы подтвер­дить то, что виртуальная частная сеть является подходящим решением для сетевой среды. Использование шифрования вызывает дополнительную сетевую на­грузку, которая, наиболее вероятно, не сможет быть обработана существующими шлюзовыми устройствами или другим оборудованием, поэтому эти аппаратные средства должны быть закуплены дополнительно. Встраивание виртуальной част­ной сети в существующую сеть может также быть в некоторых сетевых средах слож­ной задачей из-за дополнительных накладных расходов на пакет. Существуют опре­деленные проблемы с проектированием виртуальных частных сетей, которыми но­вичок (так же, как и посредники), вероятно, не захочет заниматься самостоятельно. А проблема ликвидации конфликтов формируемого трафика может бросить вызов даже самым опытным практикам.
^

55. Защита хоста.


Здесь термин защита описывает инсталляцию типичной или стандартной уста­новки операционной системы или приложения, а также проведение модифика­ций для уменьшения ее потенциальной подверженности опасностям. Объем защи­ты зависит от роли хоста в сети. Защита позволяет построить надежный сетевой периметр.


Уровни защиты.

Сколько людей искренне верят, что, просто установив брандмауэр между сетью Интернет и своей внутренней сетью, они защитятся от потенциальных нарушите­лей? К сожалению, если брандмауэр и операционная система не заблокированы в соответствии с принципами зашиты, изложенными в этом разделе, это чувство безо­пасности окажется ложным.

Любое приложение, установленное на незащищенную операционную систему, имеет повышенный шанс успешно эксплуатироваться злоумышленниками вслед­ствие уязвимых мест операционной системы. Несомненно, уязвимые места прило­жения играют не менее важную роль. Ошибка разработки или ошибка в коде прило­жения могут обеспечить доступ к основному хосту и дать нарушителю внутренний "остров", с которого можно продолжать атаку. Например, действия с переполненным буфером приложения позволяют нарушителю исполнять привилегированные команды на избранной системе. При строительстве дома вы хотите убедиться в том, что используется высококачественный бетон, который сделает прочным фундамент и всю постройку и который не треснет от нагрузки. В системе безопасности сети каждый защищенный уровень позволяет построить качественный хост, подходящий для приложений и пользователей. Операционные системы и приложения содержат уязвимые места, которые могут использовать нарушители, даже если эти уязвимые места еще не обнаружены и о них не объявлено публично.

При разработке методов защиты для хостов своей сети, учитывайте цену, кото­рую придется заплатить за установку средств защиты и поддержание системы в заб­локированном состоянии. Не все хосты необходимо защищать в одинаковой степе­ни. Надо самостоятельно найти и установить соответствующие уровни защиты, в зави­симости от значимости роли хоста в сети. Трудная задача защитить хост по возможности максимально, но так, чтобы он мог выполнять свои функции. Отчасти потому, что некоторые сценарии и приложения дают сбой, если используются сред­ства защиты. Необходимо найти золотую середину между безопасностью и функци­ональными возможностями и определить, какая степень риска допустима для обес­печения работы важных деловых служб.

При увеличении уровня безопасности хоста мы, как правило, уменьшаем уро­вень удобства для его пользователей. Это одна из причин, по которой системы не поставляются нам защищенными по умолчанию. Например, Microsoft поставляет свои продукты с удобными для пользователя стандартными параметрами, упроща­ющими установку и использование. Однако такие параметры часто несовершенны с точки зрения безопасности. Другая причина, по которой хосты не являются безо­пасными по умолчанию, состоит в том, что одна и та же операционная система или приложение могут быть установлены в различном окружении: на домашнем компь­ютере или в крупной корпорации. Функциональные запросы и требования безопас­ности широко варьируют в зависимости от роли хоста. Поскольку рабочая станция конечного пользователя, web-сервер и сервер виртуальной частной сети имеют раз­ные обязанности в сети, то и уровень их защиты, как правило, разный.

Далее будут рассмотрены три уровня средств защиты от локальных, сете­вых посягательств и посягательств в приложениях. Деление средств защиты на эти категории поможет заблокировать систему контролируемым способом и определить уровень защиты, соответствующий конкретному хосту. Раз­дельный подход к периметру безопасности сетевых устройств применим и для по­вышения безопасности персонального хоста.


Уровень 1: Защита от локальных атак.

Защита конфигурации хоста от локальных атак довольно проста:

  • ограничить использование утилит управления;

  • использовать правильные права доступа к файлам;

  • правильно обращайться с пользователями;

  • эффективно работать с группами;

  • регистрировать данные, относящиеся к безопасности.

Применяя лучшие методы при конфигурации безопасности хоста на локальном уровне, закладывается прочная основа для установки дополнительных уровней защиты. Распределение пользователей по группам и установка надлежащих права доступа к файловой системе для этих групп является основой безопасности хоста. Потенциальным нарушителям будет труднее добраться до скрытых админис­тративных учетных записей и до учетных записей с ограниченным доступом. Регис­трация действий, относящихся к безопасности, дает ценную информацию для об­наружения вторжений на ранней стадии и помогает установить, что произошло, в случае успешного проникновения. После этого можно расширить безопасность до сетевого уровня, где с целью защиты операционной системы и приложений удаля­ются опасные службы.


Уровень 2: Защита от сетевых атак.

Этот уровень является критичным в отношении общей безопасности хоста, потому что большинство проникновений в систему осуществ­ляется через сеть. Необходимо выполнить следующие действия:

  • удалить ненужные учетные записи;

  • применять сложные пароли;

  • заблокировать неиспользуемые сетевые службы;

  • изменить стандартные последовательности SNMP-протокола;

  • заблокировать службы совместного использования ресурсов (Windows);

  • заблокировать службы удаленного доступа (UNIX).

Уязвимые места на сетевом уровне открывают перед нарушителями множество возможностей для атаки хостов. Нарушители могут использовать преимущества, предоставляемые легкими паролями, и присвоить себе идентификатор пользовате­ля или получить доступ к сервисной учетной записи. Они также могут воспользоваться конфиденциальной информацией и получить расширенный доступ к хосту, отыскав не­защищенные или уязвимые сетевые службы выбранной системы. Защита от подобных атак заключается в правильной эксплуатации системы, блокировке ненужных служб и наблюдении за системным журналом на предмет подозрительных действий.


Уровень 3: Защита от атак, направленных против приложений.

Обеспечив безопасность хоста на локальном и сетевом уровнях, можно сосредо­точить внимание на приложениях как на последнем уровне защиты хоста. Каждый уровень безопасности основан на двух других. Мы создали прочную основу при по­мощи файлов, пользователей и групп на локальном уровне безопасности и устано­вили сетевой уровень безопасности за счет надежных паролей, блокировки потен­циально уязвимых пользователей и служб. На последнем уровне защиты внимание уделяется безопасности приложений. Она защищает хост от атак, направленных на приложения и не имеющих отношение к конфигурации операционной системы хо­ста. Принципы, рассмотренные в этом разделе, применимы ко многим приложени­ям. Нам хочется защитить каждое приложение, установив методы доступа и аутен­тификации, которые лучше всего удовлетворяют нашим потребностям. Наиболее частые недостатки приложений можно легко устранить. Для этого, к примеру, про­грамма должна использовать самые последние заплаты по безопасности и должна сообщаться с наименее возможным количеством портов. Уязвимые места, имеющие под собой ненадежную стандартную конфигурацию, позволяют несведущему пользователю создать большую проблему. Именно такие бреши ищут нарушители. Две характеристики, которые нарушители эксплуатируют наиболее часто – это плохая стандартная конфигурация и переполнение буфера.

Эксплуатация переполненного буфера – частая причина, позволяющая исполь­зовать незащищенность кода приложения для получения несанкционированного доступа к системе. Переполнение буфера происходит в случае, если программа не проверяет должным образом размер поступающих данных и пытается поместить слишком много информации в буфер памяти. Дополнительные данные переполня­ют буфер и могут перезаписать другие ячейки памяти, выполняя выбранную нару­шителем команду. Впоследствии такая программа может выполнить инструкции, которые повредят файлы, расширят привилегии пользователя или приведут к отка­зу от обслуживания. Чтобы ограничить воздействие переполнений буфера, обнов­ляйте приложения и применяйте надежные методы доступа и аутентификации. Для обеспечения безопасности на уровне приложений необходимо обратить внимание на следующие моменты:

  • методы доступа

  • пароли для приложении

  • патчи для операционной системы и приложений


56. Компьютерные вирусы

Менее 15 лет тому назад компьютерные вирусы были еще мало известны [8], а интерес к ним проявлялся лишь в научных кругах. Сегодня они представляют собой серьезную угрозу для всех аспектов обработки данных с применением автоматизированных систем и ИВС. Всему миру уже известна способность компьютерных вирусов уничтожать или изменять массивы информации и программные средства. Однако в принципе вирусы могут выводить из строя некоторые узлы компьютеров, например, прецизионные механические системы дисководов, вводя их в резонанс.

В наибольшей опасности находятся пользователи операционной системы (ОС) MS-DOS/Windows и ее разновидностей как наиболее часто употребляемой и широко распространенной, однако в последние несколько лет наметилась отчетливая тенденция к расширению “сферы влияния” компьютерных вирусов [34]. Так, в некоторых странах НАТО в открытой печати публиковались материалы о случаях полной или частичной потери работоспособности боевых ракет вследствие неправильного функционирования средств программного обеспечения в системах пуска и наведения.

Было, например, точно установлено, что отказ системы автоматического пуска ракет “Пэтриот” (Patriot), размещенных в ходе конфликта в Персидском заливе в 1991 году в Турции, был обусловлен ошибкой в одной из программ компьютера пусковой установки, попавшей туда, как полагают, уже в процессе эксплуатации. После тщательного анализа эксперты США пришли к выводу, что эта же ошибка стала причиной и самопроизвольного пуска одной ракеты “Пэтриот” в Турции в районе города Инсирлик.

Кроме того, в ходе учебных пусков французских противокорабельных ракет “Экзосет” (Exocet) в том же году было зарегистрировано несколько случаев полного отказа системы наведения ракет на цель. В ходе тщательного анализа французские специалисты установили, что эти отказы вызваны компьютерным вирусом, попавшим в бортовую систему наведения ракеты, наиболее вероятно, на этапе производства и сборки. Среди прочих версий попадания вируса в программное обеспечение не исключают также возможность его намеренного ввода фирмой-производителем для получения в последующем прибылей за счет выполнения дорогостоящего ремонта.

Были зарегистрированы также и другие случаи попадания в боевые системы компьютерных вирусов и программных ошибок с более легкими последствиями.

Анализ всех этих фактов свидетельствует о достаточно реальных возможностях преднамеренного ввода программных ошибок и компьютерных вирусов в программное обеспечение средств управления системами военного назначения как на этапе сборки и отладки, так и в процессе эксплуатации. При этом можно заранее предусмотреть желаемое нарушение в работе аппаратных средств за счет ввода вируса, а сам вирус можно замаскировать под обычную непреднамеренную ошибку программирования.

Таким образом, проблема компьютерных вирусов чрезвычайно актуальна и перспективна. Для ее исследования создаются новые и расширяются действующие научно-исследовательские органы; возникли сотни частных компаний, специализирующихся на изучении компьютерных вирусов и разработке средств борьбы с ними.

Технология компьютерных вирусов предоставляет возможность осуществления почти анонимных диверсий. Например, если бы Роберт Моррис не признался в содеянном в знаменитом случае внедрения “червя” в сеть Internet [42], вряд ли бы его удалось привлечь к ответственности в соответствии с законодательством. Правда, здесь необходимо сделать оговорку в отношении анонимности. Данное утверждение верно, если злоумышленник не оставляет за собой следа, например не использует вирусы для получения денег по именному документу. Так, остались анонимными большинство разработчиков компьютерных вирусов, не преследующих цели наживы, а большая часть искателей наживы была так или иначе изобличена.
1   ...   4   5   6   7   8   9   10   11   12



Скачать файл (974 kb.)

Поиск по сайту:  

© gendocs.ru
При копировании укажите ссылку.
обратиться к администрации