Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.
Предоплата всего
Подписываем
Федеральное агентство связи
Федеральное государственное образовательное бюджетное учреждение высшего
профессионального образования
«Поволжский государственный университет телекоммуникаций и информатики»
___________________________________________________________________________
Кафедра ___МСИБ________________________________________
(наименование кафедры)
«УТВЕРЖДАЮ»
Заведующий кафедрой МСИБ
Карташевский В.Г.
.
« ____ » _______________ 2012__ г.
КОНСПЕКТ ЛЕКЦИЙ
ПО УЧЕБНОЙ ДИСЦИПЛИНЕ
Основы технической эксплуатации защищённых
телекоммуникационных систем
(наименование учебной дисциплины)
по специальности: 210403 и 090106
(наименование специальности подготовки)
Обсуждено на заседании кафедры
«_____» ____________________ 2012 г.
протокол № ___________
1 И.В. Аникин, Т.М. Гильмуллин, А.Ю. Горев, М.А.Кривилёв.Проектирова-ние и техническая эксплуатация защищенных телекоммуникационных систем: Учебное пособие // Казань: Изд-во Казан. гос. техн. ун-та, 2008. с.
2 Баталова Н. Эксплуатация защищенных информационных систем / Н. Баталова, Б. Симис // Jet Info: Информационный бюллетень №8 за 2005 г. – М.: Изд-во Инфосистемы Джет, 2005. – 27 с.
3Милославская Н.Г., Толстой А.И. Интрасети: обнаружение вторжений. Учебное пособие для вузов. – М.: ЮНИТИ-ДАНА, 2001.
4 Петренко С.А., Курбатов В.А. Политики информационной безопасности. – М.: Компания АйТи, 2006. – 400 с.
5 Хилл Б. Полный справочник по Cisco. – М.: Вильямс, 2004. – 1078 с.
6 Леинванд А, Пински Б. Конфигурирование маршрутизаторов Cisco. – М.: Вильямс, 2001. – 368 с.
7 Хабракен Д. Как работать с маршрутизаторами Cisco. – М.: ДМК
Пресс, 2005. – 320 с.
8 Норткатт С., Новак Д. Обнаружение вторжений в сеть. Настольная книга специалиста по системному анализу. – М.: Лори, 2001. – 384 с.
Список используемых сокращений
DMZ – Demilitarized Zone
IDS – Intrusion Detection System
IT – Information Technology
БД – База данных
VPN – Виртуальная частная сеть
ИБ – Информационная безопасность
ИС – Информационная система
МЭ – Межсетевой экран
НСД – Несанкционированный доступ
ПБ – Политика безопасности
ППП – Пакеты прикладных программ
СЗИ – Система защиты информации
ТЗ – Техническое задание
ТКС – Телекоммуникационная система
ТПР – Типовое проектное решение
1 Проблемы обеспечения безопасности эксплуатации
защищённых телекоммуникационных систем (ТКС)
1.1 Классификация угроз информационной безопасности в ТКС
Интенсивное развитие телекоммуникационных систем, привлечение при их создании новых технологий хранения, поиска и обработки информации влечет за собой необходимость построения эффективных систем защиты информации в телекоммуникационных сетях. Ежегодные потери, обусловленные недостаточным уровнем защищенности ТКС, оцениваются десятками миллионов долларов.
Рисунок 1.1- Основные причины реализации угроз информационной безопасности в телекоммуникационных системах
На рисунке 1.1 представлены основные причины реализации угроз информационной безопасности в телекоммуникационных системах. Диаграмма показывает, что основными причинами реализации угроз безопасности являются действия пользователей, а также уязвимости, присущие ТКС.
Дисциплина и грамотность пользователей имеет большое значение для обеспечения информационной безопасности предприятия. В то же время пользователи в организациях часто считают, что защита информации не входит в их обязанности и является навязанной функцией. Последнее время в условиях быстрого роста автоматизации деятельности предприятий средний уровень знаний, навыков и профессионализма пользователей часто отстает. А это означает, что небрежность действий сотрудника может иметь весьма серьезные последствия – от нарушения работы его собственной рабочей станции до блокирования критичных для компании подсистем и сервисов (например, систем электронной почты или Web-сервисов).
Масштаб бедствия окажется еще больше, если внутренний сотрудник будет преднамеренно выполнять определенные действия против собственной организации, поскольку законный пользователь имеет для этого массу возможностей и способов, в том числе простых для использования и не требующих от него особой квалификации или знаний. Поэтому, защита от инсайдеров приобретает серьезное значение для организации.
Второй основной причиной реализации угроз безопасности в ТКС является уязвимости их компонентов. В настоящее время ежедневно обнаруживается около 300 уязвимостей компонентов ТКС, в связи с чем вопросы выявления и устранения данных уязвимостей приобретают большое значение.
Классификация типовых угроз в компьютерных сетях может быть проведена по большому числу типов классификационных признаков [3].
1.1.1 Классификация по используемым средствам:
− удаленное проникновение;
− локальное проникновение;
− удаленный отказ в обслуживании – тип атак, которые позволяют нарушить функционирование системы в рамках глобальной сети;
− локальный отказ в обслуживании – тип атак, позволяющих нарушить функционирование системы в рамках локальной сети.
− атаки с использованием сетевых сканеров – тип атак, основанных на использовании сетевых сканеров – программ, которые анализируют топологию сети и обнаруживают сервисы, доступные для атаки;
− атаки с использованием сканеров уязвимостей – тип атак, основанных на использовании сканеров уязвимостей – программ, осуществляющих поиск уязвимостей на узлах сети, которые в дальнейшем могут быть применены для реализации сетевых атак;
− атаки с использованием взломщиков паролей – тип атак, которые основаны на использовании программ-взломщиков паролей пользователей;
− атаки с использованием анализаторов протоколов – тип атак, основанных на использовании программ, «прослушивающих» сетевой трафик.
1.1.2 Классификация по характеру действий, используемых в атаке
− «черные ходы» (Backdoors) — атаки, основанные на использовании недокументированных разработчиками возможностях ПО, которые могут привести к выполнению пользователем несанкционированных операций на атакуемом сервере;
− атаки типа «отказ в обслуживании» (Denial of Service – DoS) – атаки, основанные на использовании ошибок, позволяющие атакующему сделать какой-либо сервер недоступным для легитимных пользователей;
− распределенные атаки типа «отказ в обслуживании» (Distributed Denial of Service – DDoS) – несколько пользователей (или программ) посылают большое количество фиктивных запросов на сервер, приводя последний в нерабочее состояние;
− потенциально незащищенная операционная система (OS Sensor);
− неавторизованный доступ (Unauthorized Access Attempts).
1.1.3 Классификация по характеру уязвимостей:
− «черные ходы» (Backdoors);
− ошибки в CGI-скриптах (CGI abuses);
− атаки типа «отказ в обслуживании» (Denial of Service);
− ошибки в программах – FTP-серверах (FTP);
− наличие на компьютере сервиса Finger или ошибки в программах, реализующих этот сервис (Finger abuses);
− ошибки в реализации межсетевых экранов (Firewalls);
− ошибки, позволяющие пользователю, имеющему терминальный вход на данный сервер, получить права администратора (Gain a shell remotely);
− ошибки, позволяющие атакующему удаленно получить права администратора (Gain root remotely);
− прочие ошибки, не вошедшие в другие категории (Misc);
− ошибки в программах – NIS-серверах (NIS);
− ошибки в программах – RPC-серверах (RPC);
− уязвимости, позволяющие атакующему удаленно получить любой файл с сервера (Remote file access);
− ошибки в программах SMTP-серверов (SMTP problems);
− неиспользуемые сервисы (Useless services).
1.1.4 Классификация типовых удаленных атак по виду воздействия:
− прослушивание каналов связи – сниффинг (sniffing);
− нарушение работоспособности программных компонентов удаленных систем с целью дезорганизации их работы – атаки вида отказа в обслуживании (Denied of Service – DoS);
− получение прав доступа к удаленной системе, использующей нестойкие алгоритмы аутентификации пользователя (маскарад, spoofing);
− сканирование компьютерных сетей;
− внедрение в системы и сети организаций разрушающих программных воздействий;
− нарушение целостности ПО систем и сетей организаций с целью модификации выполняемых ими функций;
− несанкционированный (или неавторизованный) доступ (НСД) пользователей к функциям КИС, предоставляемым легальным пользователям.
1.2 Базовые подходы к защите от типовых удаленных атак
Для защиты от анализа сетевого трафика с применением снифферов существуют следующие подходы:
1 Использование анти-снифферов. Осуществляется диагностика перевода сетевой платы удаленного ПК в смешанный режим. Устанавливаются аппаратные или программные средства, распознающие снифферы.
2 Создание коммутируемой инфраструктуры. Такая инфраструктура снижает актуальность угрозы использования снифферов, но не ликвидирует ее полностью.
3 Криптография. В этом случае применяют шифрование сетевого трафика и используют безопасные протоколы удаленной аутентификации пользователей. Самый эффективный способ борьбы со сниффингом пакетов. Не предотвращает перехвата, но делает эту работу бесполезной.
Для защиты от атак подмены доверенного субъекта необходимо применение стойких алгоритмов И/АУ хостов и пользователей. Нельзя через МЭ допускать в компьютерную сеть организации пакеты, посланные с внешних ПК, но имеющих внутренний сетевой адрес.
Для защиты от DoS-атак необходимо использовать стойкие протоколы аутентификации, ограничивать доступ в сеть с использованием межсетевых экранов (МЭ), применять системы обнаружения вторжений, использовать для поддержки сервисов программные продукты, в которых устранены уязвимости, позволяющие выполнить подобные атаки.
Дополнительно рекомендуется:
− использование функций анти-спуфинга;
− использование функций анти-DoS, которые ограничивают число полуоткрытых каналов в любой момент времени;
− ограничение объема трафика (Traffic Rate Limiting).
Для защиты от сетевого сканирования необходимо скрывать внутреннюю структуру сети и идентифицировать факт сканирования, использовать межсетевые экраны и системы обнаружения вторжений. Таким образом, для защиты от рассмотренных выше атак применяют следующие средства:
− межсетевые экраны (разграничивающие доступ к ресурсам сетей);
− виртуальные частные сети (защищающие от нарушения конфиденциальности и целостности передаваемых сообщений);
− стойкие протоколы аутентификации (для защиты от подмены доверенного субъекта);
− системы обнаружения вторжений (для активной идентификация атак);
− сканеры безопасности;
− анализ журналов безопасности (аудита) компьютерных систем (для идентификации свершившихся атак).
1.3 Требования по защите ТКС, устанавливаемые Российским
законодательством
Информационно-телекоммуникационные системы являются автоматизированными системами, требования к которым по защите информации от НСД устанавливаются в соответствии с Руководящими Документами Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требованияпо защите информации», 1992.
Согласно данному документу, комплекс средств защиты информации в автоматизированных системах (АС) должен включать в себя подсистемы:
− управления доступом;
− регистрации и учета;
− криптографической;
− обеспечения целостности.
Состав указанных подсистем зависит от класса защиты ТКС. Выбор требуемого класса защиты определяется:
− перечнем защищаемых информационных ресурсов ТКС и их уровнем конфиденциальности;
− перечнем лиц, имеющих доступ к штатным средствам ТКС, с указанием их уровня полномочий;
− матрицей доступа или полномочий субъектов доступа по отношению к защищаемым информационным ресурсам ТКС;
− режимом обработки данных в ТКС.
Исходя из этого может быть установлена одна из трех групп АС:
1 Третья группа классифицирует АС, в которых работает один пользователь, допущенный ко всей информации, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса – 3Б, 3А.
2 Вторая группа классифицирует АС, в которых пользователи имеют одинаковые права доступа ко всей информации, обрабатываемой или хранимой на носителях различного уровня конфиденциальности. Группа содержит два класса – 2Б, 2А.
3 Первая группа классифицирует многопользовательские АС, в которых одновременно обрабатывается или хранится информация разных уровней конфиденциальности и не все пользователи имеют право доступа ко всей информации. Группа содержит пять классов – 1Д, 1Г, 1В, 1Б, 1А.
В таблице 1.1 приведены требования к подсистемам защиты для каждого класса защищенности.
Таблица 1.1- Требования к подсистемам для каждого класса защищённости
щенности.
Продолжение таблицы 1.1
Нормативно-методический документ «Специальные требования и рекомендации по защите конфиденциальной информации (СТР-К)» устанавливает порядок организации работ, требования и рекомендации по обеспечению технической защиты информации с ограниченным доступом, не содержащей сведений составляющих государственную тайну (конфиденциальная информация), на территории Российской Федерации.
Данный документ определяет следующие основные вопросы защиты конфиденциальной информации:
− организацию работ по защите информации, в том числе при разработке и модернизации объектов информатизации и их систем защиты информации;
− состав и основное содержание организационно-распорядительной, проектной, эксплуатационной и иной документации по защите информации;
− требования и рекомендации по защите речевой информации при ведении переговоров, в том числе с использованием технических средств;
− требования и рекомендации по защите информации при ее автоматизированной обработке и передаче с использованием технических средств;
− порядок обеспечения защиты информации при эксплуатации объектов информатизации;
− особенности защиты информации при разработке и эксплуатации ТКС, использующих различные типы средств вычислительной техники (СВТ) и информационные технологии;
− порядок обеспечения защиты информации при взаимодействии абонентов с сетями.
В качестве основных мер защиты информации в автоматизированных, в том числе ТКС рекомендуется:
1 Документальное оформление перечня сведений конфиденциального характера, в том числе с учетом ведомственной и отраслевой специфики.
2 Реализация разрешительной системы допуска исполнителей (пользователей, обслуживающего персонала) к информации и связанным с ее использованием работам, документам.
3 Ограничение доступа персонала и посторонних лиц в защищаемые помещения, где размещены средства информатизации и коммуникационное оборудование, а также хранятся носители информации.
4 Разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации.
5 Регистрация действий пользователей ТКС и обслуживающего персонала, контроль несанкционированного доступа и действий пользователей, обслуживающего персонала и посторонних лиц.
6Учет и надежное хранение бумажных и машинных носителей конфиденциальной информации и их обращение, исключающее хищение, подмену и уничтожение.
7 Использование сертифицированных по требованиям безопасности информации специальных защитных знаков, создаваемых на основе физио-химических технологий для контроля доступа к объектам защиты и для защиты документов от подделки.
8 Резервирование технических средств, дублирование массивов и носителей информации.
9 Использование сертифицированных серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации.
10 Использование технических средств, удовлетворяющих требованиям стандартов по электромагнитной совместимости.
11Использование сертифицированных средств защиты информации.
12Размещение объектов защиты на максимально возможном расстоянии от границы контролируемой зоны.
13.Размещение понижающих трансформаторных подстанций электропитания и контуров заземления объектов защиты в пределах контролируемой зоны.
14Использование сертифицированных систем гарантированного электропитания (источников бесперебойного питания).
15Развязка цепей электропитания объектов защиты с помощью сетевых помехоподавляющих фильтров, блокирующих (подавляющих) информативный сигнал.
16Электромагнитная развязка между информационными цепями, по которым циркулирует защищаемая информация и линиями связи, другими цепями ВТСС, выходящими за пределы контролируемой зоны.
17Использование защищенных каналов связи.
18Размещение дисплеев и других средств отображения информации, исключающее ее несанкционированный просмотр.
19Организация физической защиты помещений и собственно технических средств обработки информации с использованием технических средств охраны, предотвращающих или существенно затрудняющих проникновение в здания, помещения посторонних лиц, хищение документов и носителей информации, самих средств информатизации.
20Предотвращение внедрения в ТКС программ-вирусов, программных закладок.
ТКС, обрабатывающие информацию, содержащую сведения, составляющие служебную тайну, или персональные данные, должны иметь класс защищенности не ниже 3Б, 2Б и 1Г. и 3Б, 2Б и 1Д соответственно. По решению руководителя организации могут быть приняты дополнительные меры по защите от НСД информации обрабатываемой в ТКС. Например, может быть введено управление потоками информации и сигнализация попыток нарушения защиты.
Доступ к информации исполнителей (пользователей, обслуживающего персонала) осуществляется в соответствии с разрешительной системой допуска исполнителей к документам и сведениям конфиденциального характера, действующей в организации.
Для обеспечения защиты информации в процессе эксплуатации ТКС рекомендуется соблюдать следующие основные положения и требования.
1 Допуск к защищаемой информации лиц, работающих в ТКС (пользователей, обслуживающего персонала), должен производиться в соответствии с порядком, установленным разрешительной системой допуска.
2 На период обработки защищаемой информации в помещениях, где размещаются ОТСС, могут находиться только лица, допущенные в установленном порядке к обрабатываемой информации, допуск других лиц для проведения необходимых профилактических или ремонтных работ может осуществляться в эти помещения только с разрешения руководителя организации или руководителя службы безопасности.
3 В случае размещения в одном помещении нескольких технических средств отображения информации должен быть исключен несанкционированный просмотр выводимой на них информации.
4 По окончании обработки информации пользователь обязан произвести стирание остаточной информации на несъёмных носителях (жестких дисках) и в оперативной памяти. Одним из способов стирания остаточной информации в оперативной памяти является перезагрузка ПЭВМ.
5 Изменение или ввод новых программ обработки защищаемой информации в ТКС должен осуществляться совместно разработчиком ТКС и администратором ТКС, при этом ТКС подлежит переаттестации.
6 При увольнении или перемещении администраторов ТКС руководителем организации по согласованию со службой безопасности должны быть приняты меры по оперативному изменению паролей и идентификаторов.
7 Все носители информации на бумажной, магнитной, оптической (магнитооптической) основе, используемые в технологическом процессе обработки информации в ТКС, подлежат учету в соответствующем подразделении.
Обмен конфиденциальной информацией между автоматизированными рабочими местами в составе защищаемой сети должен осуществляться только на учтенных носителях информации с учетом допуска исполнителей, работающихна компьютере, к передаваемой информации.
На рабочих местах исполнителей, работающих по этой технологии, во время работы не должно быть неучтенных накопителей информации. В случае формирования конфиденциальных документов с использованием открытой текстовой и графической информации, представленной на накопителях информации, такие накопители информации должны быть «закрыты на запись».
Состав пользователей ТКС устанавливается письменным распоряжением руководителя организации (структурного подразделения) и должен контролироваться. Все изменения состава пользователей, их прав и привилегий должны регистрироваться. Каждый администратор и пользователь должен иметь уникальные идентификатор и пароль.
Контроль взаимодействия ТКС с другими вычислительными сетями должен быть постоянным и осуществляться с использованием сертифицированных по требованиям безопасности информации средств контроля (средств обнаружения вторжений, мониторинга сети, активного аудита и т.п.) Коммуникационное оборудование и все точки соединения с локальными периферийными устройствами ТКС должны располагаться в пределах контролируемой зоны.
При конфигурировании коммуникационного оборудования (маршрутизаторов, концентраторов, мостов и мультиплексоров) рекомендуется разделять трафик сетевых фрагментов с учетом решаемых пользователями задач.
Подключение ЛВС к другой автоматизированной системе (локальной или распределенной вычислительной сети) должно осуществляться с использованием МЭ, требования к которым определяются РД Гостехкомиссии России.
Например, для защиты ТКС при ее взаимодействии с другой ТКС по каналам связи необходимо использовать:
− в ТКС класса 1Г – МЭ не ниже класса 4;
− в ТКС класса 1Д и 2Б, ЗБ – МЭ класса 5 или выше.
Для защиты конфиденциальной информации, передаваемой между ТКС по каналам связи, выходящим за пределы контролируемой зоны, необходимо использовать защищенные каналы связи, включая доверенные каналы и защищенные волоконно-оптические линии связи. При использовании открытых каналов связи следует использовать сертифицированные криптографические средства защиты информации.
Методами обеспечения безопасности информации при взаимодействии защищаемой сети с сетью общего пользования являются.
1 Межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов для сокрытия структуры сети организации.
2 Мониторинг вторжений в ТКС, нарушающих или создающих предпосылки к нарушению установленных в организации требований по защите информации.
3 Анализ защищенности ТКС, предполагающий применение специализированных программных средств (сканеров безопасности), позволяющих осуществлять анализ защищенности ТКС.
4 Шифрование информации при ее передаче по Сети, а также использование электронно-цифровой подписи для контроля целостности и подтверждения подлинности отправителя и/или получателя информации;
5 Использование смарт-карт, электронных замков и других носителей информации для идентификации и аутентификации пользователей.
6 Использование средств антивирусной защиты.
7 Централизованное управление системой ИБ ТКС.
Для обеспечения защиты информационных ресурсов ТКС при подключении к общей сети необходимо:
1Обеспечивать фильтрацию входящих/исходящих сетевых пакетов по правилам, заданным администратором безопасности.
2 Скрывать внутреннюю структуру защищаемой ТКС.
3 Осуществлять периодический анализ безопасности установленных межсетевых экранов на основе имитации внешних атак на ТКС.
4 Осуществлять активный аудит безопасности ТКС (узлов, сегментов, сетевого оборудования и т.д.) на предмет обнаружения в режиме реального времени несанкционированной сетевой активности.
5 Осуществлять анализ принимаемой из сети общего пользования информации, в том числе на наличие компьютерных вирусов.
Для реализации сформулированных рекомендаций могут применяться следующие основные типы программных и программно-технических средств:
− межсетевые экраны;
− системы обнаружения вторжений;
− средства анализа защищенности ТКС;
− специализированные комплексы защиты и анализа защищенности информации.
1.4 Классы защищенности межсетевых экранов
Одна из важнейших задач, решаемая при защите компьютерных сетей, ограничение доступа внешних субъектов (приложений, пользователей) к ресурсам внутренней сети организации, а также обеспечение безопасного доступа внутренних пользователей сети к ресурсам внешней. Это ограничение должно выполняться в соответствие с правилами, определяющими политику безопасности в сети организации.
Межсетевой экран (МЭ, Firewall) – это система межсетевой защиты, позволяющая разделить общую сеть на две части или более и реализовать набор правил, определяющих условия прохождения сетевых пакетов через границу из одной части сети в другую.
МЭ пропускает через себя весь трафик, принимая для каждого из проходящих пакетов решение – пропускать его дальше или отбросить. Для этого на межсетевом экране задают набор правил фильтрации трафика.
Обычно МЭ защищают внутреннюю сеть организации от несанкционированного доступа из открытой сети Интернет, однако, они могут использоваться и для ограничения доступа внутренних пользователей к различным подсетям внутри корпоративной сети предприятия. Таким образом, МЭ регламентирует использование ресурсов одних сетей пользователями других, для него, как правило, определены понятия «внутри» и «снаружи» (рисунок 1.2).
Рисунок 1.2- Схема возможного расположения межсетевого экрана
Решение о том, каким образом фильтровать пакеты, зависит от принятой в защищаемой сети политики безопасности, МЭ только ее реализует. Как правило, с помощью МЭ ограничивается доступ к различным сетевым сервисам для различных сетевых адресов. Например, МЭ может запретить доступ к внешним ресурсам по протоколам POP3 и SMTP для всех пользователей внутренней сети организации кроме почтового сервера, так чтобы пользователи были вынуждены забирать свою почту только с выделенного почтового сервера организации, на котором она проходит все необходимые проверки (на вирусы, спам и .п.).
В качестве критериев анализа могут быть:
− служебные поля пакетов сообщений, содержащие сетевые адреса, идентификаторы, адреса интерфейсов, номера портов и др.;
− непосредственное содержимое пакетов сообщений, проверяемое, например, на наличие компьютерных вирусов;
− внешние характеристики потока информации, например, временные, частотные характеристики, объем данных и т.п.
Правила доступа к сетевым ресурсам, в соответствие с которыми конфигурируется МЭ, могут базироваться на одном из следующих принципов:
1 Запрещать все, что не разрешено в явной форме.
2Разрешать все, что не запрещено в явной форме.
Реализация МЭ на основе первого принципа позволяет обеспечить более хорошую защищенность, но требует больших затрат и доставляет больше неудобств пользователям.
Различают следующие основные виды МЭ:
1 Фильтрующие маршрутизаторы (пакетные фильтры).
2 Шлюзы сеансового уровня.
3 Шлюзы прикладного уровня.
1.4.1 Фильтрующие маршрутизаторы (пакетные фильтры)
Данные МЭ осуществляют фильтрацию входящих в сеть и исходящих из сети пакетов на основе информации, содержащихся в их TCP и IP заголовках.
Обычно фильтрация осуществляется на основе следующих основных полей:
− IP адреса отправителя;
− IP адреса получателя;
− порта отправителя;
− порта получателя.
Порты отправителя и получателя используются для идентификации сетевой службы, к которой производится обращение, например, FTP (21), Telnet (23) и т.д.
Межсетевой экран имеет несколько интерфейсов, по одному на каждую из сетей, к которым подключен экран.
Примеры – межсетевые экраны, встроенные в операционные системы (iptables для UNIX, МЭ Windows XP), МЭ Застава, аппаратные платформы МЭ – CISCO PIX.
1.4.2 Шлюзы сеансового уровня
Использование подобных МЭ позволяет исключить прямое взаимодействие между хостами. Данные шлюзы принимают запросы доверенных клиентов, и после проверки допустимости сеанса связи устанавливают соединение с требуемым хостом. Такой МЭ выполняет роль посредника между соединяемыми хостами, не давая им взаимодействовать напрямую.
Шлюз сеансового уровня предназначен для контроля виртуальных соединений и трансляции IP-адресов при взаимодействии с внешней сетью. Защитные функции относятся к функциям посредничества. Контроль виртуальных соединений заключается в контроле квитирования связи, а также контроле передачи информации по установленным виртуальным каналам.
При контроле квитирования шлюз определяет, является запрашиваемый сеанс связи допустимым. Эта процедура состоит из обмена ТСР-пакетами, которые помечаются флагами SYN (синхронизировать) и ACK (подтвердить). Сеанс считается допустимым только в том случае, когда флаги SYN и ACK, а также числа, содержащиеся в заголовках ТСР-пакетов, оказываются логически связанными друг с другом.
После того как шлюз определил, что рабочая станция внутренней сети и компьютер внешней сети являются авторизованными участниками сеанса, и проверил допустимость данного сеанса, он устанавливает соединение. Начиная с этого момента шлюз копирует и перенаправляет пакеты туда и обратно, контролируя передачу информации по установленному виртуальному соединению.
Он поддерживает таблицу установленных соединений. Когда сеанс завершается, из таблицы удаляется соответствующая запись.
Шлюз сеансового уровня обеспечивает трансляцию внутренних адресов сетевого уровня (IP-адресов) при взаимодействии с внешней сетью. При этом IP-адреса пакетов, следующих из внутренней сети во внешнюю, автоматически преобразуются в один IP-адрес, ассоциируемый с экранирующим транспортом.
Это исключает прямой контакт между внутренней и внешней сетью. Недостатки у шлюза сеансового уровня такие же, как и у экранирующего маршрутизатора: не обеспечивается контроль и защита содержимого пакетов, не поддерживается аутентификация пользователей и конечных узлов.
1.4.3 Шлюзы прикладного уровня
Шлюзы прикладного уровня, или proxy-серверы, функционируют на прикладном уровне модели OSI. Прикладной уровень отвечает за доступ приложений в сеть. К задачам этого уровня относятся перенос файлов, обмен почтовыми сообщениями и управление сетью.
Получая информацию о пакетах на прикладном уровне, шлюзы прикладного уровня могут реализовывать блокировку доступа к определенным сервисам.
Поскольку эти МЭ анализируют пакеты на прикладном уровне, они способны осуществлять фильтрацию специфических команд, например, http: post, get и т.д. Данная функция недоступна ни пакетным фильтрам, ни шлюзам сеансового уровня. Шлюзы прикладного уровня могут также использоваться для регистрации активности отдельных пользователей и для установления ими сеансов связи. Эти МЭ предлагают более надежный способ защиты сетей по сравнению со шлюзами сеансового уровня и пакетными фильтрами.
Данные МЭ используют стойкие протоколы аутентификации пользователей, не позволяющие осуществить подмену доверенного источника, позволяют снизить вероятность взлома систем с использованием уязвимостей ПО.
Такие МЭ обладают некими свойствами Proxy-сервера и IDS.
Примеры – BLACK HOLE, BorderWare Firewall Server, ЗАСТАВА JET Z2, Symantec Enterprise Firewall 8.0, Microsoft ISA Server Firewall (Internet Security and Acceleration).
1.4.4 Межсетевые экраны экспертного уровня
МЭ экспертного уровня сочетают в себе элементы всех трех описанных выше категорий. Как и межсетевые экраны с фильтрацией пакетов, они работают на сетевом уровне модели OSI, фильтруя входящие и исходящие пакеты на основе проверки IP-адресов и номеров портов. Межсетевые экраны экспертного уровня также выполняют функции шлюза сеансового уровня, определяя,
относятся ли пакеты к соответствующему сеансу. И, наконец, они берут на себя функции шлюза прикладного уровня, оценивая содержимое каждого пакета в соответствии с политикой безопасности конкретной организации.
Специфика указанных межсетевых экранов состоит в том, что для обеспечения защиты они перехватывают и анализируют каждый пакет на прикладном уровне модели OSI. Вместо применения связанных с приложениями программ посредников, МЭ экспертного уровня используют специальные алгоритмы распознавания и обработки данных на уровне приложений. С помощью этих алгоритмов пакеты сравниваются с известными шаблонами данных, что должно обеспечить более эффективную фильтрацию пакетов.
1.4.5 Схемы подключения межсетевых экранов
В организации часто возникает потребность в создании в составе корпоративной сети нескольких сегментов с различными уровнями защищенности, например, свободных сегментов, сегментов с ограниченным доступом, закрытых сегментов. В этом случае могут понадобиться различные варианты установки МЭ. Рассмотрим основные схемы расстановки МЭ и реализуемые при этом функции по защите.
На рисунке 1.3 представлен вариант подключения МЭ – с выделением демилитаризованной зоны (DMZ). Организация DMZ предназначена для защиты хостов данной зоны от атак из Интернета, а также от внутренних пользователей организации. В DMZ могут выноситься WEB, FTP SMTP, DNS серверы и пр.
DMZ создается посредством реализации полузащищенной сетевой зоны. Данная зона в обычном порядке отделяется сетевыми устройствами, такими как межсетевые экраны или маршрутизаторы со строгими фильтрами. Затем посредством элементов управления сетью определяется политика, какому трафику разрешается проникновение в DMZ, а какому трафику разрешено выходить за пределы DMZ. Как правило, любая система, с которой может быть установлен прямой контакт внешним пользователем, должна находиться в DMZ.
Системы, открытые для прямого доступа внешних систем или пользователей, являются главными целями злоумышленников и потенциально подвержены проявлению угроз. Эти системы не могут пользоваться полным доверием, так как они подвержены нападению в любое время. Следовательно, мы пытаемся ограничить доступ этих систем к действительно важным и секретным компьютерам, расположенным внутри сети.
Рисунок 1.4- Вариант подключения МЭ с выделением DMZ
Общие правила доступа для DMZ позволяют внешним пользователям осуществлять доступ к соответствующим службам, расположенным на системах в демилитаризованной зоне. На системы в DMZ налагаются строгие ограничения на доступ к внутренним системам сети. По возможности соединение между внутренней системой и DMZ должно инициироваться внутренней системой.
Внутренние системы могут осуществлять доступ к DMZ или в Интернет согласно политикам, однако внешним пользователям доступ ко внутренним системам запрещен.
Для предъявления требований к межсетевым экранам используется РД ФСТЭК «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации».
МЭ в соответствии с эти документом разделяются на 5 классов защищенности, по уровням контроля межсетевых информационных потоков Дифференциация подхода к выбору функций защиты в МЭ определяется автоматизированной системой, для защиты которой применяется данный экран. Каждый
класс характеризуется определенной минимальной совокупностью требований по защите информации.
Самый низкий класс защищенности – пятый, применяемый для безопасного взаимодействия ТКС класса 1Д с внешней средой, четвертый – для 1Г, третий – 1В, второй – 1Б, самый высокий класс защищенности – первый, применяемый для безопасного взаимодействия ТКС класса 1А с внешней средой.
При включении МЭ в ТКС определенного класса защищенности, класс защищенности ТКС не должен понижаться. Для ТКС класса ЗБ, 2Б должны применяться МЭ не ниже 5 класса. Для ТКС класса ЗА, 2А в зависимости от важности обрабатываемой информации должны применяться МЭ следующих классов: при обработке информации с грифом «секретно» – не ниже 3 класса, при обработке информации с грифом «совершенно секретно» – не ниже 2 класса, при обработке информации с грифом «особой важности» – не ниже 1 класса.
Перечень показателей по классам защищенности МЭ приведен в Таблице 1.2.
Таблица 1.2- Показатели по классам защищенности МЭ
Обозначения в таблице:
«-» – нет требований к данному классу,
«+» – новые или дополнительные требования;
«=» – требования совпадают с требованиями к МЭ предыдущего класса.
Требования к пятому классу защищенности МЭ
Управление доступом. МЭ должен обеспечивать фильтрацию на сетевом уровне. Решение по фильтрации может приниматься для каждого сетевого пакета независимо на основе, по крайней мере, сетевых адресов от правителя и получателя или на основе других эквивалентных атрибутов.
Администрирование: идентификация и аутентификация. МЭ должен обеспечивать идентификацию и аутентификацию администратора МЭ при его локальных запросах на доступ. МЭ должен предоставлять возможность для идентификации и аутентификации по идентификатору (коду) и паролю условно-постоянного действия.
Администрирование: регистрация. МЭ должен обеспечивать регистрацию входа (выхода) администратора МЭ в систему (из системы) либо загрузка и инициализация системы и ее программный останов. Регистрация выхода из системы не проводится в моменты аппаратурного отключения МЭ.
В параметрах регистрации указываются:
− дата, время и код регистрируемого события;
− результат попытки осуществления регистрируемого события – успешная или неуспешная;
− идентификатор администратора МЭ, предъявленный при попытке осуществления регистрируемого события.
Целостность. МЭ должен содержать средства контроля над целостностью своей программной и информационной части.
Восстановление. МЭ должен предусматривать процедуру восстановления после сбоев и отказов оборудования, которые должны обеспечивать восстановление свойств МЭ.
Тестирование. В МЭ должна обеспечиваться возможность регламентного тестирования:
− реализации правил фильтрации;
− процесса идентификации и аутентификации администратора МЭ;
− процесса регистрации действий администратора МЭ;
− процесса контроля над целостностью программной и информационной части МЭ;
− процедуры восстановления.
Руководство администратора МЭ. Документ должен содержать:
− описание контролируемых функций МЭ,
− руководство по настройке и конфигурированию МЭ,
− описание старта МЭ и процедур проверки правильности старта;
− руководство по процедуре восстановления.
Тестовая документация. Должна содержать описание тестов и испытаний, которым подвергался МЭ, и результаты тестирования.
Конструкторская (проектная) документация должна содержать:
− общую схему МЭ,
− общее описание принципов работы МЭ;
− описание правил фильтрации;
− описание средств и процесса идентификации и аутентификации;
− описание средств и процесса регистрации;
− описание средств и процесса контроля над целостностью программной и информационной части МЭ;
− описание процедуры восстановления свойств МЭ.
Дополнительные требования к четвертому классу защищенности МЭ
Управление доступом. Дополнительно МЭ должен обеспечивать:
− фильтрацию пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств;
− фильтрацию с учетом входного и выходного сетевого интерфейса как средство проверки подлинности сетевых адресов;
− фильтрацию с учетом любых значимых полей сетевых пакетов.
Регистрация. МЭ дополнительно должен обеспечивать возможность регистрации и учета фильтруемых пакетов. В параметры регистрации включаются адрес, время и результат фильтрации.
Администрирование: регистрация. Дополнительно МЭ должен обеспечивать регистрацию запуска программ и процессов (заданий, задач).
Тестирование. В МЭ должна обеспечиваться возможность регламентного тестирования процесса регистрации.
Тестовая документация. Должна содержать описание тестов и испытаний, которым подвергался МЭ и результаты тестирования.
Дополнительные требования к третьему классу защищенности МЭ
Управление доступом. Дополнительно МЭ должен обеспечивать:
− фильтрацию на транспортном уровне запросов на установление виртуальных соединений, при этом, по крайней мере, должны учитываться транспортные адреса отправителя и получателя;
− фильтрацию на прикладном уровне запросов к прикладным сервисам, при этом, по крайней мере, должны учитываться прикладные адреса отправителя и получателя;
− фильтрацию с учетом даты/времени.
Идентификация и аутентификация. МЭ должен обеспечивать возможность аутентификации входящих и исходящих запросов методами, устойчивыми к пассивному и/или активному прослушиванию сети.
Регистрация. Дополнительно МЭ должен обеспечивать:
− регистрацию и учет запросов на установление виртуальных соединений;
− локальную сигнализацию попыток нарушения правил фильтрации.
Администрирование: идентификация и аутентификация. Дополнительно МЭ должен препятствовать доступу не идентифицированного субъекта или субъекта, подлинность идентификации которого при аутентификации не подтвердилась. При удаленных запросах администратора МЭ на доступ идентификация и аутентификация должны обеспечиваться методами, устойчивыми к пассивному и активному перехвату информации.
Администрирование: регистрация. Дополнительно МЭ должен обеспечивать регистрацию действия администратора МЭ по изменению правил фильтрации.
Администрирование: простота использования. Многокомпонентный МЭ должен обеспечивать возможность дистанционного управления своими компонентами, в том числе, возможность конфигурирования фильтров, проверки их взаимной согласованности, анализа регистрационной информации.
Тестирование. В МЭ дополнительно должна быть возможность регламентного тестирования процесса идентификации и аутентификации запросов.
Конструкторская (проектная) документация. Дополнительно документация должна содержать описание средств и процесса централизованного управления компонентами МЭ.
Дополнительные требования ко второму классу защищенности МЭ
Управление доступом. Дополнительно МЭ должен обеспечивать:
− возможность сокрытия субъектов (объектов) и/или прикладных функции защищаемой сети;
− возможность трансляции сетевых адресов.
Регистрация. Дополнительно МЭ должен обеспечивать:
− дистанционную сигнализацию попыток нарушения правил фильтрации;
− регистрацию и учет запрашиваемых сервисов прикладного уровня;
− программируемую реакцию на события в МЭ.
Администрирование: идентификация и аутентификация.
МЭ должен предоставлять возможность для идентификации и аутентификации по идентификатору (коду) и паролю временного действия. МЭ должен препятствовать доступу не идентифицированного субъекта или субъекта, подлинность иденти-
фикации которого при аутентификации не подтвердилась. При удаленных запросах на доступ администратора МЭ идентификация и аутентификация должны обеспечиваться методами, устойчивыми к пассивному и активному перехвату информации.
Целостность. МЭ должен содержать средства контроля над целостностью своей программной и информационной части по контрольным суммам, как в процессе загрузки, так и динамически.
Восстановление. МЭ должен предусматривать процедуру восстановления после сбоев и отказов оборудования, которые должны обеспечивать оперативное восстановление свойств МЭ.
Тестирование. В МЭ должна обеспечиваться возможность регламентного тестирования:
− реализации правил фильтрации;
− процесса идентификации и аутентификации;
− процесса регистрации;
− процесса идентификации и аутентификации администратора МЭ,
− процесса регистрации действий администратора МЭ;
− процесса контроля над целостностью программной и информационной части МЭ;
− процедуры восстановления.
Тестовая документация. Должна содержать описание тестов и испытаний, которым подвергался МЭ, и результаты тестирования.
Требования к первому классу защищенности МЭ
Идентификация и аутентификация. Дополнительно МЭ должен обеспечивать идентификацию и аутентификацию всех субъектов прикладного уровня.
Администрирование: идентификация и аутентификация. МЭ должен обеспечивать идентификацию и аутентификацию администратора МЭ при его запросах на доступ. МЭ должен предоставлять возможность для идентификации и аутентификации по биометрическим характеристикам или специальным устройствам (жетонам, картам, электронным ключам) и паролю временного действия. МЭ должен препятствовать доступу неидентифицированного субъекта или субъекта, подлинность идентификации которого при аутентификации не подтвердилась. При удаленных запросах на доступ администратора МЭ идентификация и аутентификация должны обеспечиваться методами, устойчивыми к пассивному и активному перехвату информации.
Администрирование: простота использования. Многокомпонентный МЭ должен обеспечивать возможность централизованного управления своими компонентами, в том числе, конфигурирования фильтров, проверки взаимной согласованности всех фильтров, анализа регистрационной информации. Должен быть предусмотрен графический интерфейс для управления МЭ.
Целостность. МЭ должен содержать средства контроля над целостностью своей программной и информационной части по контрольным суммам аттестованного алгоритма как в процессе загрузки, так и динамически.
Тестирование. В МЭ должна обеспечиваться возможность регламентного тестирования процесса централизованного управления компонентами МЭ и графического интерфейса.
Конструкторская (проектная) документация Дополнительно документация должна содержать описание графического интерфейса управления МЭ.
Требования к первому классу защищенности МЭ
Идентификация и аутентификация. Дополнительно МЭ должен обеспечивать идентификацию и аутентификацию всех субъектов прикладного уровня.
Администрирование: идентификация и аутентификация. МЭ должен обеспечивать идентификацию и аутентификацию администратора МЭ при его запросах на доступ. МЭ должен предоставлять возможность для идентификации и аутентификации по биометрическим характеристикам или специальным устройствам (жетонам, картам, электронным ключам) и паролю временного действия. МЭ должен препятствовать доступу неидентифицированного субъекта или субъекта, подлинность идентификации которого при аутентификации не подтвердилась. При удаленных запросах на доступ администратора МЭ идентификация и аутентификация должны обеспечиваться методами, устойчивыми к пассивному и активному перехвату информации.
Администрирование: простота использования. Многокомпонентный МЭ должен обеспечивать возможность централизованного управления своими компонентами, в том числе, конфигурирования фильтров, проверки взаимной согласованности всех фильтров, анализа регистрационной информации. Должен быть предусмотрен графический интерфейс для управления МЭ.
Целостность. МЭ должен содержать средства контроля над целостностью своей программной и информационной части по контрольным суммам аттестованного алгоритма как в процессе загрузки, так и динамически.
Тестирование. В МЭ должна обеспечиваться возможность регламентного тестирования процесса централизованного управления компонентами МЭ и графического интерфейса.
Конструкторская (проектная) документация Дополнительно документация должна содержать описание графического интерфейса управления МЭ.
2 Основные направления эксплуатации защищенных ТКС
2.1 Специфика эксплуатации защищенных ТКС
Основная особенность эксплуатации средств и систем информационной безопасности (ИБ) в отличие от других IT-компонентов заключается в том, что ИС, которая сегодня надежно защищена, завтра может оказаться уязвимой, причем владелец не обязательно будет знать об этом [2].
Серверный комплекс может надежно работать несколько лет, не требуя внесения изменений в его конфигурацию. При этом его неработоспособность (например, поломка процессора) станет очевидной сразу. В то же время система защиты информации (СЗИ) в организации, не учитывающая появление новых угроз ИБ или неправильно эксплуатируемая, вскоре утратит адекватность и станет уязвимой. Причем владелец заметит это лишь после осуществления атаки, проникновения вируса, халатных действий пользователей и других инцидентов ИБ. Тому есть несколько объективных причин глобального характера.
Во-первых, сложность ТКС возрастает, и это неизменно вызывает рост числа уязвимостей в IT-компонентах и средствах защиты. Эти уязвимости активно используются злоумышленниками для проведения различных видов атак, организации сбоев в работе критических приложений, сетей передачи данных и в предоставлении сервисов, а также в кражах конфиденциальных данных и в других подобных действиях.
Во-вторых, появляются новые угрозы безопасности, вирусы, способы атак.
Методы и инструменты проведения атак постоянно совершенствуются, скорость их распространения стремительно растет (корпоративную систему можно вывести из строя за несколько секунд), а последствия иногда оказываются катастрофическими для бизнеса.
Эти причины вновь подтверждают необходимость грамотного проектирования ТКС организации, в том числе инфраструктуры ее компьютерной сети и СЗИ, а также правильного администрирования всей системы в дальнейшем.
Имеется ряд особенностей, которые могут быть в той или иной степени присущи конкретной организации и ее ТКС. В больших и сложных ТКС набор применяемых решений по защите бывает достаточно широк. Используются средства защиты разных производителей, взаимосвязи между этими средствами в рамках комплексной системы безопасности довольно сложны. Кроме того, механизмы работы современных средств защиты становятся все сложнее, применяются все более тонкие методы обнаружения атак, фильтрации трафика и реализации иных защитных функций (например, контекстный анализ).
Еще одна проблема, особенно актуальная для обслуживания и поддержки комплексных систем безопасности, – производители постоянно выпускают новые версии продуктов, содержащие улучшения, изменения, вводящие новый функционал и программные коррекции, исправляющие ошибки. И нужно постоянно проводить мониторинг выпуска этих изменений и своевременно устанавливать их в своей системе. Многие уязвимости, которые использовались для осуществления атак на ТКС организации, на момент атаки были уже обнаружены и известны производителям средств защиты или атакуемых IT-компонентов.
Эти уязвимости можно было устранить заранее, просто установив соответствующую программную заплатку (т.н. патч).
2.2 Состав работ на этапе эксплуатации защищённых ТКС
Эксплуатация защищённых ТКС должна включать комплекс работ, обеспечивающих необходимый уровень защищенности ТКС.
К таким работам относятся.
1 Грамотная эксплуатация системы – поддержка средств защиты информации (СЗИ) в состоянии, наиболее точно соответствующем предъявляемым к ТКС требованиям, своевременная модификация системы и тестирование новых компонентов.
2 Мониторинг в режиме реального времени и анализ происходящих в ТКС событий, относящихся к ИБ, реагирование на критичные события.
3 Контроль безопасности системы – тестирование защищенности, выявление потенциальных проблем, проверка выполнения регламентов.
4 Преодоление нештатных ситуаций – локализация технических проблем и предотвращение/ликвидация последствий.
5 Мониторинг событий в области ИБ на наличие новых уязвимостей, угроз и новых видов атак, внесение необходимых изменений в СЗИ.
2.3 Техническая поддержка средств и систем защиты
Квалифицированная техническая поддержка является необходимым условием эффективной и надежной работы не только средств и систем защиты, но и всей ТКС в целом. Некоторые услуги поддержки средств защиты оказывают сами производители: выпуск новых версий, программных коррекций (патчей), обновления используемых баз данных (антивирусных, сигнатур атак и других), а также предоставление доступа к Web- и другим ресурсам (технической документации, базе знаний и т.д.).
Эти услуги являются необходимыми, но для эффективного выполнения названными средствами своих функций необходимы также технические консультации и помощь по их обслуживанию, интеграции с другими средствами и системами, интерпретации сложных событий безопасности и т.д. Производители часто оказывают такие услуги недостаточно оперативно и качественно.
Услуги технической поддержки СЗИ могут включать:
− «горячую линию» – консультации по телефону и электронной почте врабочие часы или круглосуточно;
− удаленную помощь в диагностике и устранении сбоев и других технических проблем в работе средств защиты;
− удаленное решение технических проблем специальными средствами мониторинга и управления;
− профилактические визиты для контроля функционирования СЗИ, проведения штатных модификаций, выявления потенциальных проблем;
− аварийные визиты для устранения неисправностей и ликвидации последствий нештатных ситуаций.
Такая поддержка позволит обеспечить надежную эксплуатацию СЗИ, повысить эффективность их работы, значительно сократить время обнаружения, локализации и устранения технических проблем.
Услуги специализированных сервисных центров интеграторов имеют еще одно важное преимущество по сравнению с поддержкой производителей: можно приобрести поддержку СЗИ различных фирм у одного исполнителя. Тогда не придется обращаться за поддержкой к нескольким производителям.
Для поддержки комплексных систем защиты, помимо грамотной эксплуатации отдельных компонентов, необходим непрерывный контроль безопасности ИС в целом, сбор и анализ событий от различных СЗИ, адекватное реагирование на инциденты ИБ. Поэтому техническая поддержка комплексных СЗИ включает более широкий набор услуг, в дополнение к вышеперечисленным:
− изучение и фиксация структуры, размещения, режимов функционирования и настроек средств защиты;
− централизованный контроль функционирования и техническая поддержка средств защиты информации, включая «горячую линию», удаленную помощь, профилактические и аварийные визиты;
− контроль происходящих событий безопасности и реагирование на них, причем время реагирования определяется степенью критичности возникающих проблем.Комплексная техподдержка обеспечивает безопасность ресурсов и надежную работу ИС, контроль над состоянием защиты и выполнением политики безопасности, снижает риски и ущерб от нарушений.
2.4 Анализ и контроль защищенности ресурсов ТКС
Контроль уровня защищенности – важная часть программы обеспечения ИБ организации, поскольку позволяет определить степень защищенности или уязвимости ресурсов и оценить эффективность всей программы. В зависимости от конкретной цели, работы по анализу и контролю защищенности могут проводиться разово (один раз в год или полгода), периодически (раз в неделю или месяц) или непрерывно.
Разовый и периодический анализ дает объективную информацию об уровне безопасности (или уязвимости) ресурсов ТКС и IT-компонентов на текущий момент, существующих проблемах в системе защиты и их причинах. Эта информация дает возможность обоснованного планирования и финансирования работ по защите ТКС, модернизации или развитию СЗИ, выявления и устранения уязвимостей в защите, а также для оценки эффективности инвестиций в ИБ.
Работы, проводимые в рамках такого анализа, должны включать:
− анализ характеристик ТКС, существенных с точки зрения безопасности;
− анализ конфигурации IT-компонентов и применяемых СЗИ;
− поиск и анализ уязвимостей компонентов ТКС с помощью специализированных средств (сканеров безопасности);
− оценка защищенности ресурсов ИС;
− разработка (и реализация) рекомендаций по обеспечению требуемого уровня защищенности.
Результатом работы является подробный отчет, содержащий детальную информацию о выявленных проблемах в системе безопасности, а также предложения по устранению этих проблем (настройке существующих и применению дополнительных средств и мер защиты).
Непрерывный анализ защищенности позволяет контролировать уровень безопасности системы в течение определенного периода, отслеживать нарушения безопасности, устранять их причины и минимизировать ущерб, а также поддерживать требуемый уровень безопасности в изменяющихся условиях.
Анализ защищенности выполняется с помощью специализированного ПО,так называемых сканеров безопасности, примерами которых являются XSpider, Nessus, Internet Scanner. Более подробно эти средства рассматриваются далее.
3 Подход компании Cisco Systems по формированию политик информационной безопасности
С точки зрения специалистов Cisco, отсутствие сетевой политики безопасности (ПБ) может привести к серьезным инцидентам в области безопасности.
Разработку политики ИБ организации рекомендуется начинать с оценки рисков ИБ и создания рабочей группы по реагированию на инциденты [4].
3.1 Описание политики информационной безопасности
Политика использования. Компания Cisco рекомендует создать политики использования, которые описывают роли и обязанности сотрудников организации для надлежащей защиты конфиденциальной информации. При этом можно начать с разработки главной политики безопасности, в которой четко прописать общие цели и задачи организации режима ИБ организации.
Политика допустимого использования для партнеров нужна, чтобы проинформировать партнеров организации о том, какая информация им доступна. Следует четко описать любые действия, которые будут восприниматься как враждебные, а также возможные способы реагирования при обнаружении таких действий.
Политика допустимого использования для администраторов нужна, чтобы описать процедуры администрирования учетных записей сотрудников и проверки привилегий. Если организация имеет определенные предпочтения относительно использования паролей или категорирования информации, то здесь их нужно упомянуть. Далее необходимо проверить названные политики на не противоречивость и полноту, а также убедиться в том, что сформулированные требования к администраторам нашли свое отображение в планах по обучению.
Анализ рисков. Назначение анализа рисков состоит в том, чтобы категорировать информационные активы организации, определить наиболее значимые угрозы и уязвимости активов и обоснованно выбрать соответствующие контрмеры безопасности. Подразумевается, что это позволит найти и поддерживать приемлемый баланс между безопасностью и требуемым уровнем доступа к ресурсам.
Обычно выделяют следующие уровни информационных рисков.
1 Низкий уровень – ТКС и данные, будучи скомпрометированными (доступны для изучения неавторизованными лицами, повреждены или утеряны), не приведут к серьезному ущербу, финансовым проблемам или к проблемам с правоохранительными органами.
2 Средний уровень – ТКС и данные, будучи скомпрометированными, приведут к умеренному ущербу, или некоторым проблемам с правоохранительными органами, или к умеренному финансовому ущербу, а также к получению злоумышленником доступа к другим системам. ИС и данные требуют умеренных усилий по восстановлению.
3 Высокий уровень – ТКС и данные, будучи скомпрометированными, приведут к значительному ущербу или к серьезным проблемам с правоохранительными органами, или к значительному финансовому ущербу, нанесению ущерба здоровью и безопасности сотрудников. ИС и данные требуют существенных усилий по восстановлению.
Рекомендуется определить уровень риска для каждого из перечисленных устройств: сетевые устройства, устройства мониторинга сети, серверы аутентификации (TACACS+ и RADIUS), почтовые серверы, файловые серверы, серверы сетевых приложений (DNS и DHCP), серверы баз данных (Oracle, MS SQLServer), ПК и другие устройства. Считается, что сетевое оборудование, такое, как коммутаторы, маршрутизаторы, DNS- и DHCP-серверы в случае компрометации могут быть использованы для дальнейшего проникновения в сеть и поэтому должны относиться к группе среднего или высокого риска. Возможное повреждение этих устройств может привести к прекращению работы всей сети. Такие инциденты наносят серьезный ущерб организации.
Роли пользователей в ИС. В политике ИБ рекомендуется выделять следующие пять наиболее общих типов пользователей:
1 Администраторы – внутренние пользователи, отвечающие за сетевые ресурсы ИС организации.
2 Привилегированные пользователи – внутренние пользователи с необходимостью большего уровня доступа к ресурсам ИС.
3 Обычные пользователи – внутренние пользователи с обычным уровнем доступа к ресурсам ИС.
4 Партнеры – внешние пользователи с необходимостью доступа к некоторым ресурсам ИС.
5 Прочие пользователи – внешние пользователи или клиенты организации, которым обычно предоставляется гостевой доступ к ресурсам ИС.
Определение уровней риска и типов доступа, требуемых для каждой сети, позволяет сформировать «Матрицу безопасности». Матрица безопасности является начальной точкой для дальнейших шагов по обеспечению ИБ, например таких, как создание соответствующей стратегии ограничения доступа к сетевым ресурсам. Матрица безопасности Cisco приведена в таблице 3.1.
Таблица 3.1- Примерный вид матрицы безопасности Cisco
3.2 Состав и структура группы сетевой безопасности
Рекомендуется создать группу сетевой безопасности под руководством менеджера ИБ с представителями из каждой значимой бизнес-единицы организации. Члены группы должны хорошо знать ПБ, технические аспекты защищаемых систем и сетей
организации. Группа безопасности должна принимать участие в разработке политики безопасности, организации режима информационной безопасности, а также своевременно реагировать на инциденты в области ИБ организации.
Процесс сопровождения политик безопасности заключается в контроле и, при необходимости, пересмотре политик ИБ организации. Необходим как минимум ежегодный пересмотр политики ИБ и проведение анализа рисков.
Группа сетевой безопасности должна проводить анализ рисков, подтверждать запросы на проведение изменений в системе ИБ, отслеживать новые уязвимости с использованием списков рассылок вендоров и независимых аналитических центров, например CERT или SANS, поддерживать соответствие требованиям политики ИБ с помощью технических и организационных мер.
Члены группы сетевой безопасности должны участвовать в расследовании инцидентов и предупреждении подобных нарушений в дальнейшем. Каждый член группы безопасности должен обладать хорошими знаниями в области прикладного, системного и сетевого программного и аппаратного обеспечения
СЗИ. При этом рекомендуется определить индивидуальные роли и обязанности каждого члена группы сетевой безопасности.
Под предупреждением нарушений компания Cisco понимает подтверждение изменений в системах безопасности и мониторинг безопасности сети.
3.3 Подтверждение изменений в системах безопасности
Изменения в системах безопасности – это изменения в сетевом оборудовании, которые способны оказать потенциальное воздействие на состояние безопасности сети.
Политика безопасности организации должна определять специфические требования конфигурации безопасности и содержать минимум технических деталей. Другими словами, вместо требования ПБ: «Не разрешены внешние FTP-соединения во внутреннюю сеть», нужно определить это требование, например,так: «Через внешние соединения не должно быть возможности получения файлов из внутренней сети». Желательно стремиться к определению уникальных требований организации. Использование стандартных шаблонов и настроек поумолчанию в подходе компании Cisco настоятельно не рекомендуется.
Важно просмотреть изменения, наиболее значимые и существенные для сети организации в плане безопасности. Например, к ним относятся изменения:
− в конфигурации межсетевых экранов (МЭ);
− в списках контроля доступа;
− в конфигурации SNMP;
− версий программного обеспечения.
Контроль эталонных конфигураций оборудования Cisco можно осуществлять с помощью продукта Cisco Works.
Компания Cisco рекомендует следовать следующим правилам:
1 Регулярно изменять пароли на сетевых устройствах.
2 Ограничить физический доступ к сетевым устройствам.
3. Гарантировать, что текущая версия программного обеспечения сетевого и серверного оборудования соответствует требованиям безопасности.
В добавление к этим правилам необходимо включить представителя группы сетевой безопасности в постоянно действующую комиссию организации по утверждению изменений для отслеживания всех изменений, происходящих в сети организации. Представитель группы безопасности может запретить реализацию любого изменения, связанного с безопасностью, до тех пор, пока это изменение не будет разрешено руководителем группы сетевой безопасности.
3.4 Мониторинг сетевой безопасности
Мониторинг сетевой безопасности фокусируется на обнаружении изменений в сети, позволяющих определить нарушение безопасности. Отправной точкой мониторинга безопасности является определение в ПБ понятия «нарушение безопасности». Анализ угроз и информационных рисков позволяет определить уровень полноты мониторинга сетевой безопасности. В дальнейшем при утверждении изменений безопасности каждый раз проверяется значимость выявленных угроз сети. Оценкой этих угроз определяется объект и частота мониторинга.
Например, в матрице анализа рисков межсетевой экран определен как устройство с высоким уровнем риска. Это означает, что мониторинг МЭ должен выполняться постоянно в режиме реального времени. Из раздела подтверждения изменений безопасности следует, что необходимо выявлять все изменения в настройках конфигурации МЭ. Т.е. SNMP-агент должен отслеживать такие события, как отвергнутые попытки регистрации, необычный трафик, изменения на МЭ, предоставление доступа к МЭ и установление соединений через МЭ.
Таким образом, можно создать политику мониторинга для каждого компонента сети, определенного при проведении анализа рисков. Рекомендуется проводить мониторинг компонент сети с низким уровнем риска – еженедельно, со средним уровнем риска – ежедневно, с высоким уровнем риска – раз в час. Если требуется более быстрое время реагирования, необходимо уменьшить назван-
ные временные промежутки.
3.5 Нарушения безопасности
Как правило, средства мониторинга безопасности сети будут первыми обнаруживать нарушения. Важно определить в ПБ порядок уведомления о нарушениях. Должна быть предусмотрена возможность отправки по любым доступным каналам связи уведомлений в центр реагирования на инциденты.
Под реагированием на нарушения в ИБ будем понимать определение нарушений безопасности, порядка восстановления и пересмотра правил ПБ. Здесь главное правило – своевременное оповещение группы сетевой безопасности об обнаружении нарушения. Если это правило не выполняется, то реагирование будет замедлено и последствия вторжения более тяжелыми.
Далее необходимо четко определить уровень привилегий по внесению изменений, а также порядок внесения изменений. Здесь возможны следующие корректирующие действия:
1. Реализация изменений для предупреждения дальнейших нарушений.
2. Изолирование поврежденных систем.
3. Взаимодействие с провайдером для отслеживания источника атаки.
4. Использование записывающих устройств для сбора доказательств.
5. Отключение поврежденных систем или источников атаки.
6. Обращение в правоохранительные органы или федеральные агентства.
7. Выключение поврежденных систем.
8. Восстановление систем в соответствии со списком приоритетности.
9. Уведомление руководства и юристов организации.
Для определения последствий нарушения безопасности рекомендуется:
1. Зафиксировать инцидент с помощью записи сетевого трафика, снятия копий файлов журналов, активных учетных записей и сетевых подключений.
2. Ограничить дальнейшие нарушения путем отключения учетных записей, отсоединения сетевого оборудования от сети и от Интернета.
3. Провести резервное копирование скомпрометированных систем для проведения детального анализа повреждений и метода атаки.
4. Попытаться найти другие подтверждения компрометации. Часто при компрометации системы оказываются затронутыми другие системы и учетные записи.
5. Просматривать хранимые файлы журналов устройств безопасности и сетевого мониторинга, так как они часто являются ключом для определения метода атаки.
Восстановление. Восстановление работоспособности сервисов ИС организации является конечной целью процедуры реагирования на нарушения в области ИБ. Здесь необходимо определить порядок восстановления доступности сервисов, например, файловых серверов с помощью процедур резервного копирования. При этом нужно учитывать, что каждая система имеет свои собственные механизмы резервного копирования. Поэтому ПБ, являясь общей для всех элементов сети, должна позволять детализировать условия восстановления конкретного элемента. Если требуется получить разрешение на восстановление, нужно описать порядок получения разрешения в политике безопасности.
Пересмотр политики безопасности. Это заключительный этап жизненного цикла ПБ. Политика безопасности должна быть «жизнеспособным» документом, адаптированным к изменяющимся условиям. Необходимо регулярно обращаться на Web-сайты различных независимых аналитических центров, на пример CERT или SANS, за полезными советами и рекомендациями по обеспечению безопасности и учитывать их в поддерживаемой ПБ организации.
Также рекомендуется проводить аудит безопасности сети путем обращения в соответствующие консалтинговые организации, специализирующиеся на оказании подобных услуг. Для сетей с высокими требованиями к доступности нформационных ресурсов рекомендуется проведение независимого аудита ИБ как минимум раз в год. Кроме того, достаточно эффективны и внутренние тренировки для отработки действий в чрезвычайных ситуациях.
3.6 Пример политики сетевой безопасности
3.6.1 Особенности политики сетевой безопасности организации
Как авторизованный пользователь корпоративной сети каждый сотрудник организации обладает доступом к информации с различным уровнем конфиденциальности. Ознакомление и соблюдение политики сетевой безопасности организации (далее кратко – Политика) является важной обязанностью каждого сотрудника для обеспечения конфиденциальности, целостности и доступности информационных активов организации. При этом организация следует принципу «знать только то, что необходимо знать для выполнения своих служебных обязанностей».
Политика является частью программы организации по обеспечению безопасности ее информационных активов. Политика определяет допустимые правила доступа сотрудников, клиентов, партнеров и вендоров к открытым и конфиденциальным информационным активам в сети организации.
Целевая аудитория. Политика обязательна для следующих сотрудников:
1. Рядовых пользователей сети, выполняющих свои служебные обязанности на рабочих местах.
2. Специалистов IT-службы и службы безопасности, ответственных за эксплуатацию и сопровождение информационной системы, а также за соблюдение Политики.
3. Менеджеров, ответственных за организацию режима информационной безопасности организации.
4. Руководство организации, которое стремится обеспечить целостность, конфиденциальность и доступность информационных активов организации в соответствии с целями и задачами бизнеса.
5. Юристов и аудиторов организации, которые обеспокоены сохранением репутации организации и ответственностью организации перед клиентами и партнерами.
Юридические права. Совет директоров уполномочен акционерами организации создать, внедрить и поддерживать Политику в соответствии с требованиями государственных органов, федерального и международного законодательства. Директор (начальник) службы информационной безопасности (далее кратко – ИБ) и главный юрист организации несут ответственность за реализацию Политики.
Заинтересованные стороны. Следующий персонал организации несет личную ответственность за создание, поддержку и внедрение Политики:
1. Директор по финансам.
2. Директор по развитию.
3. Директор службы продаж и маркетинга.
4. Исполнительный директор.
5. Директор информационной службы.
6. Директор службы информационной безопасности.
7. Директор по сетям и телекоммуникациям.
8. Главный менеджер по информационным системам.
9. Директор службы качества и внутреннего аудита.
10.Главный юрист организации.
11.Директор службы персонала.
12.Директор системной поддержки и сопровождения.
13.Директор службы разработки приложений.
3.6.2Обязанности системного администратора
Системный администратор сетевого оборудования отвечает за выполнение следующих требований:
1. Назначение учетной записи отдельным сотрудникам (не группам).
2. Обеспечение уникальности учетных записей сотрудников.
3. Установка обновлений безопасности и сервисных пакетов, рекомендованных отделом ИБ, в соответствии с их уровнем критичности.
4. Осуществление управления учетными записями и паролями.
5. Отключение учетных записей при увольнении сотрудников.
6. Хранение файлов конфигураций сетевых устройств на защищенном TFTP-сервере. Защита конфигураций от разглашения. Использование протокола Kerberos между маршрутизаторами Cisco и сервером TFTP.
7. Ежедневное исследование файлов журналов. Немедленное оповещение отдела ИБ об инцидентах, связанных с безопасностью. Еженедельная отправка отчетов о небольших нарушениях безопасности (типа многократных неудачных попыток регистрации) в отдел ИБ.
8. Использование средств управления и контроля сетевой безопасности для поиска «слабых» паролей, сетевых уязвимостей и средств проверки целостности файлов и системных конфигураций (таких, как Cisco IDS, Cisco Netsys, Crack, COPS, Tiger, Tripwire) на постоянной основе.
3.6.2 Процедуры поддержки политики безопасности
Заинтересованные стороны организации должны просматривать и обновлять Политику не реже одного раза в год. IT-отдел под руководством отдела ИБ проводит аудит сети на регулярной основе и документирует результаты проверок.
Процедура реализации. Директор по развитию сетей и телекоммуникаций должен определить точную сетевую топологию и сетевое оборудование организации, в рамках которых будет действовать настоящая Политика. Для проверки дееспособности Политики проводится аудит после установки и подключения к сети нового сетевого оборудования и компьютеров.
Обучение и ознакомление сотрудников с Политикой. Ознакомление с Политикой осуществляется в ходе первичного инструктажа сотрудников. Сотрудники должны ежегодно перечитывать и подписывать Политику, как условие продолжения их работы.
Для предупреждения случаев социальной инженерии сотрудники обязаны соблюдать осторожность при общении с людьми, не являющимися сотрудниками организации. Перед началом разговора следует определить границы того, что можно сообщить постороннему человеку.
Политика допустимого использования определяет права и порядок доступа к информационным активам организации, порядок использования разрешенных программно-аппаратных средств, а также права и обязанности сотрудников согласно накладываемым ограничениям со стороны федеральных, законодательных актов и требований руководящих документов.
Допустимое использование сети. Сотрудникам запрещается делать и распространять копии конфигураций сетевого оборудования или серверов, если они не являются системными администраторами. Сотрудникам запрещается пытаться получить административный доступ к сетевому оборудованию и серверам, если они не являются системными адмиистраторами или если это не входит в их служебные обязанности.
Требования по соответствию. Сотрудники обязаны выполнять все требования Политики и любых ее последующих версий. Доступ к инфраструктуре организации и ее данным является привилегией, но не правом. Т.е. организация может изменить привилегии доступа сотрудника любым способом в любое время. К сотруднику, нарушившему эту политику, могут быть применены дисциплинарные и административные меры, вплоть до увольнения.
3.6.3 Политика идентификации и аутентификации
Политика идентификации и аутентификации определяет процедурные и технические методы, используемые для идентификации и аутентификации.
Руководство по управлению паролями. Следующие принципы определяют правила выбора паролей:
− в паролях, по возможности, должны использоваться строчные и прописные буквы, знаки препинания и числа,
− пароли должны иметь длину как минимум восемь символов;
− изменять пароли следует ежеквартально;
− нельзя записывать пароли;
− нельзя сообщать пароли кому бы то ни было.
Руководство по аутентификации. Организация должна использовать защищенную БД записей на основе протокола TACACS+ для аутентификации.
3.6.4 Политика доступа в Интернет
Организация осознает важность доступа сотрудников в Интернет для ведения бизнеса и принимает возможные риски, связанные с этими подключениями. Политику доступа в Интернет определяет «Руководство по доступу в Интернет». Исходящий доступ в Интернет может быть свободно использован сотрудниками для выполнения служебных обязанностей. Должно быть определено и реализовано разумное ограничение на общее время работы в Интернете.
Политика межсетевого экрана. Межсетевой экран, состоящий как минимум из пограничного маршрутизатора и защищенного компьютера, должен быть использован для защиты от несанкционированного доступа к внутренней сети организации из Интернета. Необходимо разработать правила фильтрации пакетов для управления доступом через периметр, с регистрацией попыток нарушения доступа на сервере syslog.
Политика публичных сервисов. Входящий доступ из Интернета во внутреннюю сеть организации будет запрещен, если только не используется шифрование на сетевом уровне. Входящий доступ должен быть ограничен сервисами защищенного хоста, такими, как SMTP, HTTP, FTP, DNS.
Политика доступа во внутреннюю сеть организации определяет процесс выдачи прав доступа сотруднику к ресурсам.
3.6.5 Политика доверительных отношений
Доступ к компьютерам внутренней сети разрешен для всех сотрудников организации на основе уровня доверия, определяемого руководителем сотрудника. Организация старается балансировать между прозрачным доступом сотрудника к ресурсам и безопасностью сети.
Организация устанавливает пять уровней доверия. Каждый сотрудник получает определенный уровень доверия в соответствии с его служебными обязанностями. Для соблюдения требуемых уровней доверия должны быть реализованы соответствующие технические средства защиты.
Доступ к компьютерам внутренней сети сторонним организациям запрещен, если специально не разрешен IT-отделом и его руководителем.
Безопасность сетевого оборудования. Административный доступ к сетевому оборудованию запрещен, за исключением сотрудников IT-отдела, определяемых руководителем этого отдела. Для защиты управляющего трафика между внутренними серверами используется шифрование на сетевом уровне.
3.6.6 Политика основных видов удаленного доступа
Сотрудники, получающие доступ во внутреннюю сеть организации с домашних компьютеров или через телефонные сети общего доступа, должны четко понимать и выполнять обязанности по защите ресурсов организации при получении такого доступа.
Компьютер, с которого сотрудник получает удаленный доступ в сеть, должен быть защищен паролем и сконфигурирован таким образом, чтобы не допустить доступ посторонних во внутреннюю сеть организации.
Аутентификация удаленного доступа должна происходить с использованием TACACS+ или токенов.
Сотрудники организации и сторонние организации могут использовать телефонные сети общего доступа для получения доступа во внутреннюю сеть организации, при этом обязательно должны использоваться одноразовые пароли.
Сотрудники, имеющие привилегию удаленного доступа по телефонным сетям общего пользования, несут ответственность за то, что никто кроме них не получит доступа в сеть организации, используя их соединение.
Доступ из дома. Сотрудники организации, желающие организовать домашние офисы, могут использовать удаленный доступ к сети организации. Удаленные подключения должны использовать метод аутентификации CHAP.
Соглашение с сотрудниками, работающими вне офиса. Сотрудники подписывают документ, в котором определяется важность защиты информации организации от разглашения, их ответственность при выполнении Политики.
Мобильные компьютеры. Сотрудники организации, нуждающиеся в удаленном доступе в сеть организации с мобильных компьютеров, получают его через серверы сетевого доступа, находящиеся под управлением IT-отдела. Сотрудники должны использовать компьютеры с операционными системами Windows 95, Windows 98, Windows 2000 или Apple Macintosh с ПО для организации удаленного доступа, утвержденным IT-отделом.
Доступ филиалов. Для обеспечения безопасности внутренней сети организации доступ в нее филиалов определяется и разрешается IT-отделом.
Доступ бизнес-партнеров. Для обеспечения безопасности внутренней сети организации порядок получения доступа в нее партнеров определяется и разрешается IT-отделом. Для управления и защиты такого подключения должен быть использован межсетевой экран.
Политика шифрования. Для всех видов удаленного доступа необходимо использовать шифрование. Выбор алгоритма шифрования основывается на достижении баланса между конфиденциальностью передаваемых данных и требуемой скоростью передачи.
3.6.7 Политика процедуры описания инцидентов
Все заинтересованные в выполнении данной политики лица совместно разрабатывают детальную процедуру описания всех инцидентов, связанных с безопасностью. Любой инцидент должен быть обработан определенным образом IT-отделом.
Требования к системам обнаружения вторжений. Для получения важной и своевременной информации о состоянии защиты сетевого периметра должны быть внедрены системы обнаружения вторжений, такие, как Cisco IDS. Системы обнаружения вторжений уровня организации, работающие в режиме реального времени, разработанные для обнаружения, журналирования и ограничения несанкционированной активности, должны:
1. Обладать возможностью мониторинга демилитаризованной зоны и соответствующей производительностью для этого.
2. Быть реализованной в виде многоуровневой архитектуры и обладать возможностью быстрого внедрения в растущую сеть.
3. Обладать возможностью удаленного администрирования через интуитивно понятный графический интерфейс, интегрированный в систему управления сетью.
4. Возможностью сохранять события в базе данных.
Процедура реагирования на инциденты. Начальник IT-отдела создает детальную процедуру реагирования на инциденты, и этот документ следует пересматривать и обновлять один раз в квартал или в течение одной недели после крупного инцидента.
Вице-президент по информационным системам и начальник отдела ИБ подписывают и утверждают данный документ. Процедура реагирования на инциденты должна определять реакцию организации при возникновении инцидента так, чтобы можно было сразу приступить к нейтрализации последствий.
В процедуре реагирования на инциденты должны быть описаны:
1. Подготовка и планирование – персонал IT-отдела должен минимум 16 часов ежегодно обучаться обнаружению и нейтрализации инцидентов.
2. Определение инцидентов – системные администраторы должны проводить мониторинг системы обнаружения вторжений несколько раз в день. Системные журналы следует просматривать один раз в час и в конце рабочего дня. Старший системный администратор несет ответственность за обнаружение и реагирование на инциденты. Процедура реагирования на инциденты должна определять уровни приоритетов инцидентов так, как предлагается в RFC 2196, «Site Security Handbook».
3. Обработка инцидента – процедура реагирования на инциденты определяет то, как администратор будет обрабатывать инцидент.
Ниже описаны шаги по обработке и документированию инцидента:
− определение типа и приоритета атаки;
− определение времени начала и окончания атаки;
− определение источника атаки;
− определение затронутых атакой компьютеров и сетевых устройств;
− журналирование атаки;
− попытка остановить атаку или уменьшить ее последствия;
− изолирование затронутых систем;
− уведомление соответствующих контактных лиц;
− защита доказательств атаки (файлов журналов);
− восстановление работоспособности сервисов.
4. Документирование – под руководством директора службы информационных технологий должен быть создан отчет об инциденте, в котором необходимо отразить следующие вопросы:
− инвентаризация ценности затронутых атакой систем;
− описание атаки;
− пересмотр политики сетевой безопасности (при необходимости);
− поиск и наказание злоумышленников.
3.6.8 Состав коллектива реагирования на инциденты
Контактная информация о членах команды по реагированию на инциденты, приведена в таблице 3.2
Таблица 3.2- Контактная информация о членах команды по реагированию на инциденты
Вопросы для самоконтроля
1. Перечислите классы угроз ИБ для ТКС.
2. Перечислите и охарактеризуйте базовые подходы к защите от типовых удаленных атак.
3. Какие АС относятся к первой группе?
4. Каковы требования по защите АС класса 1Г?
5. Какой класс межсетевых экранов должен использоваться при взаимодействии АС класса 1Г с внешней средой?
6. Дайте определение межсетевому экрану.
7. Какие выделяют виды межсетевых экранов?
8. Что понимают под демилитаризованной зоной?
9. Какие требования предъявляются к показателям защищенности межсетевых экранов 4 класса защищенности?
10. Перечислите и охарактеризуйте каждую из стадий проектирования защищенных ТКС.
11. Охарактеризуйте подход компании Cisco Systems к формированию политики ИБ.
3 Сведения об аппаратных решениях компании Cisco Systems
Устройства CISCO выпускаются в двух основных исполнениях – как стоечные и настольные. Некоторые устройства фактически поставляются как настольные, но включают аппаратные средства, которые по своему исполнению предназначены для монтажа в стойке [5].
3.1 Внутренние и внешние компоненты
Состав внутренних компонентов устройств Cisco в определенной степени зависит от многих параметров, но во всех устройствах почти всегда имеются некоторые основные компоненты. В частности, любой маршрутизатор или коммутатор можно рассматривать как своего рода специализированный компьютер, в котором аналогичные компоненты используются для тех же целей.
Почти любой компонент в устройстве Cisco спроектирован специально для использования не просто в продуктах Cisco, но и во многих случаях в конкретной модели определенного продукта Cisco.
К числу наиболее широко применяемых внутренних компонентов относятся модули оперативной памяти, процессор, объединительная плата и энергонезависимое ОЗУ.
В устройствах Cisco модули DRAM применяются для той же цели, что и в персональном компьютере – в качестве оперативной памяти. Оперативная память в устройствах Cisco содержит информацию о текущей конфигурации, называемой эксплуатационной конфигурацией и исполняемую версию операционной системы для объединенных сетей (IOS).
Флэш-память в устройстве Cisco применяется примерно для той же цели, что и жесткий диск на компьютере. Флэш-память содержит хранимый образ IOS и служит в качестве более долговременного устройства хранения, чем оперативная память, поскольку информация в ней не теряется после выключения питания маршрутизатора. Флэш-память является обязательной частью устройства Cisco.
Постоянное запоминающее устройство (ПЗУ) в устройстве Cisco обычно используется для хранения упрощенной, резервной версии IOS, предназначенной для использования в том случае, если все прочие способы загрузки устройства оканчиваются неудачей.
Процессор в устройстве Cisco служит для той же цели, что и в ПК – он является «мозгом» устройства. В большинстве устройств Cisco программным обеспечением выполняется большой объем вычислений и для этого используется процессор. Особо важное значение процессор имеет в маршрутизаторе, поскольку основная часть функций маршрутизатора выполняется в программном обеспечении и производительность в основном зависит от быстродействия процессора. В коммутаторах процессор обычно является менее важным, поскольку основная часть вычислений выполняется коммутатором с помощью специализированных аппаратных компонентов, называемых ASIC (Application-Specific Integrated Circuit – специализированная интегральная схема).
В контексте, касающемся сетевых устройств (обычно, коммутаторов), часто приходится встречать термин «производительность объединительной платы». Объединительную плату можно сравнить с магистралью, по которой осуществляется вся сетевая связь внутри сетевого устройства. Производительность объединительной платы имеет наиболее важное значение в коммутаторах и других устройствах с высокой плотностью размещения портов. Для стандартного маршрутизатора с низкой плотностью портов производительность объединительной платы имеет не столь важное значение. Количество пакетов, обрабатываемых маршрутизатором в секунду, в большей степени зависит от быстродействия процессора, чем от производительности объединительной платы. К тому же, как правило, маршрутизатор не предназначен для обработки пакетов на скорости физической линии.
Энергонезависимым ОЗУ называется устройство оперативной памяти (ОЗУ), которое не теряет записанную в нем информацию после выключения питания. Это устройство используется для хранения информации о конфигурации, которая необходима после начальной загрузки, называемой начальной конфигурацией.
Кроме внутренних компонентов, устройства Cisco могут включать различные внешние компоненты, состав которых также зависит от модели рассматриваемого устройства.
К некоторым наиболее широко применяемым внешним устройствам относят консольный порт, вспомогательный (AUXiliary – AUX) порт, порты Ethernet, последовательные порты и слоты PCMCIA.
Консольный порт является основным интерфейсом настройки в большинстве устройств Cisco. Этот порт применяется для ввода в систему IOS первоначальной информации о конфигурации и представляет собой отдельный соединитель RJ-45.
Вспомогательный порт, представляет собой еще один низкоскоростной асинхронный последовательный порт, который обычно применяется для подключения к устройству Cisco модема, позволяющего осуществлять дистанционное администрирование. Порт AUX имеется в большинстве устройств Cisco.
Порты Ethernet 10BaseT могут быть предусмотрены или не предусмотрены в устройстве Cisco (в зависимости от модели), но большинство устройств действительно включают, по меньшей мере, один такой порт. В некоторых устройствах также предусмотрен порт AUI (Attachment Unit Interface – интерфейс подключаемых модулей).
Некоторые модели устройств Cisco включают и высоко- и низкоскоростные последовательные интерфейсы. В маршрутизаторах обычно применяется высокоскоростной синхронный последовательный интерфейс для взаимодействия с устройством распределенной сети CSU/DSU, а в серверах доступа чаще всего имеется несколько низкоскоростных асинхронных последовательных портов для подключения модемов.
В некоторых устройствах Cisco предусмотрены слоты PCMCIA, что позволяет легко установить дополнительную флэш-память. Если маршрутизаторы оборудованы такими слотами то задача перевода на новую версию IOS нескольких маршрутизаторов одной и той же модели упрощается до предела.
Вместо применения протокола TFTP для загрузки нового образа IOS, в каждый маршрутизатор достаточно загрузить этот образ в устройство PC Card и передать его в каждый маршрутизатор из этой платы PC Card.
3.2 Конфигурации устройств Cisco и их соединения
3.2.1Модульность устройств
Устройства Cisco поставляются в двух основных конфигурациях: постоянной и модульной. Устройства с постоянной конфигурацией не могут быть дополнены. Они просто поставляются с заданным количеством и типом интерфейсов и не могут быть в дальнейшем модернизированы с добавлением большего количества интерфейсов. А модульные устройства поставляются с гнездами для установки модулей, которые позволяют в дальнейшем расширить возможности устройства.
Модульные устройства могут иметь одно из четырех основных исполнеий. В простейшем, первом исполнении устройство просто позволяет вставлять линейные платы (аналогичные платам расширения для персональных компьютеров) для получения дополнительных функциональных возможностей. Такие платы называются платами с интерфейсом распределенной сети (WAN Interface Card – WIC). Подобное устройство обычно поставляется с определенным количеством пустых гнезд для установки дополнительных плат.
В устройствах второго типа предусмотрены гнезда для более крупных плат, называемых сетевыми модулями, которые обычно включают один или несколько интерфейсов локальной или распределенной сети, а также могут быть предусмотрены гнезда в самом сетевом модуле для других плат WIC.
В устройствах третьего типа используется еще более крупный компонент, который обычно принято называть пластиной (blade). В документации Cisco такой компонент может выступать под разными именами в зависимости от рассматриваемой модели устройства. Каждая пластина такого типа обычно поддерживает только один тип сетевого интерфейса, но на каждой пластине может быть установлено большое количество портов.
Устройства четвертого типа включают комбинацию гнезд WIC и гнезд для сетевых модулей. Такое исполнение представляет больше возможностей при выборе необходимых средств.
3.2.2 Кабельная разводка устройств Cisco
Задача определения правильного типа кабеля для конкретного интерфейса в устройстве Cisco может оказаться чрезвычайно сложной. В устройствах Cisco используется целый ряд различных типов соединений для поддержки фактически одинаковых средств. Рассмотрим некоторые из наиболее широко применяемых кабелей и определим, какой тип кабеля является наиболее подходящим для указанного соединителя и интерфейса.
Консольные соединения являются довольно простыми и обычно могут быть выполнены с помощью правильного типа кабеля и адаптера, поставляемых вместе с устройством. Консольные соединения по сути представляют собой асинхронные последовательные соединения, в которых применяется немного необычное расположения выводов. В них используется кабель, который принято называть кабелем с обратным расположением выводов, и адаптер, называемый адаптером DCE, для преобразования соединителя RJ-45 в соединитель DB-9 или DB-25 для подключения к последовательному порту.
Кабель с обратным расположением выводов, поставляемый вместе с устройством (называемый также консольным кабелем), имеет недостаточную длину (чуть больше трех метров). Вам может потребоваться подготовить свой собственный кабель, если длина кабеля, который входит в комплект устройства, является недостаточной.
Порт AUX аналогичен консольному порту в том, что касается физических соединений. А различие между этими портами состоит в способе их использования. Порт AUX может служить для создания терминального соединения, но, как правило, он не применяется для этой цели.
Наиболее распространенный способ использования порта AUX состоит в подключении его к модему. Для этого также требуется кабель с обратным расположением выводов, но на этот раз применяется адаптер DCE. Следует отметить, что существуют адаптеры DCE двух типов: модемные и немодемные. В данном случае требуется именно модемный адаптер, а немодемные адаптеры являются устаревшими.
Соединение Ethernet RJ-45 использует стандартные соединительные кабели UTP для создания соединения. В коммутаторах Cisco не предусмотрена кнопка, позволяющая изменить последовательность подключения передающих и приемных выводов на противоположную, поэтому для соединения одного коммутатора Cisco с другим коммутатором Cisco (или любым коммутатором, на котором не предусмотрена кнопка смены последовательности подключения передающих и приемных выводов, обычно обозначенная как MDI/MDX), требуется кабель специального типа (так называемый перекрестный кабель), в котором просто переставлены местами приемная и передающая пары проводов для того, чтобы данные, передаваемые одним коммутатором, поступали на прием в другой коммутатор.
Отдельные последовательные соединения используют самые сложные варианты кабельной разводки. Существует шесть основных спецификаций (EIA/TIA-232, X.21, V.35, EIA/TIA-449, EIA-530 и HSSI), причем при использовании синхронных последовательных соединений приходится выбирать между кабельной разводкой DCE и DTE.
Обычно приходится иметь дело с соединителями двух типов, такими как соединитель DB-60 и интеллектуальный последовательный соединитель. Соединитель DB-60 имеет наибольшие физические размеры и обычно используется, если требования к пространственному размещению соединителей в маршрутизаторе или плате WIC не являются наиболее значимыми. А интеллектуальные последовательные соединители обычно применяются в тех случаях, если на относительно небольшой площади требуется разместить два или несколько последовательных соединений.
Соединения с помощью восьмиконечных последовательных кабелей (содержащие 8 кабелей в 1) используются для подключения специализированных маршрутизаторов, для которых требуется наличие в одном корпусе большого количества асинхронных последовательных портов. Восьмиконечный кабель начинается на маршрутизаторе с соединителем DB-68, но по пути разветвляется на восемь отдельных кабелей с соединителями RJ-45 (в исполнении CAB-OCTAL-ASYNC) или на восемь кабелей с соединителями DB-25 (в исполнении CAB-OCTAL-MODEM).
Для кабелей с соединителями RJ-45 требуется адаптер DCE, так же как и для консольного порта, чтобы можно было выполнить его подключение к стандартному последовательному порту. Но исполнение с соединителями RJ-45 очень часто применяется для подключения к консольным портам других маршрутизаторов в целях обеспечения дистанционного управления. В поскольку восьмиконечные кабели уже имеют обратное расположение выводов, достаточно просто включить их в консольные порты намеченных для управления маршрутизаторов. После этого появляется возможность подключиться по протоколу telnet к одному из серверов доступа, а затем установить обратный сеанс telnet от сервера доступа к одному из подключенных маршрутизаторов. При этом сетевой администратор получает такие же возможности настройки, как если бы он работал непосредственно за терминалом, подключенным к консольному порту маршрутизатора.
Восьмиконечный модемный кабель чаще всего используется для подключения к маршрутизатору пула модемов. Такой вариант подключения может применяться для создания с минимальными расходами небольшого пункта приема входящих коммутируемых соединений с помощью стандартных внешних модемов. Так или иначе, если требуется создать большое количество асинхронных последовательных соединений с помощью одного маршрутизатора, то для этого лучше всего использовать последовательные соединения с применением восьмиконечных кабелей.
3.3 Коммутаторы Cisco
3.3.1 Типы коммутаторов Cisco
Cisco обычно принято классифицировать устройства по отведенной им роли в т.н. «Межсетевой иерархической модели Cisco», поэтому для описания коммутатора обычно применяются термины «коммутатор уровня ядра сети» или «коммутатор распределительного уровня». Рассмотрим, за какие действия отвечает каждый уровень этой модели с точки зрения коммутации [6, 7].
Уровень ядра сети является основой сети. Весь трафик, проходящий на уровне ядра, собран с других двух уровней и обычно характеризуется большими объемами, как течение в широкой реке, в которую собралось множество мелких ручейков. Единственное назначение уровня ядра состоит в коммутации больших объемов трафика на скорости физической линии или максимально близкой к ней. Поэтому здесь должно осуществляться лишь очень незначительная часть действий, требующих применения процессора (таких как сжатие, маршрутизация с использованием программных средств, обработка списков доступа и т.д.), поскольку эти действия отрицательно влияют на скорость коммутации пакетов.
На распределительном уровне выполняется основная часть операций обработки пакетов. Именно на этом уровне должны выполняться следующие действия: маршрутизация, обработка списков доступа, фильтрация с помощью МЭ и трансляция сетевых адресов (NAT), агрегирование адресов и преобразование форматов передающей среды (например, при переходе из сети Ethernet в сеть ATM). Распределительный уровень предоставляет создаваемые каналы уровню доступа, а последний предоставляет эти каналы клиентам. Распределительный уровень перенаправляет клиентский трафик сетевым службам организации, а затем весь трафик, создаваемый устройствами распределительного уровня, объединяется в ядре сети. Именно средства коммутации распределительного уровня служат тем сетевым компонентом, который отделяет локальный трафик от удаленного и распределяет трафик по приоритетам с учетом требований к пропускной способности.
Уровень доступа отвечает за предоставление каналов конечным пользователям. На уровне доступа предоставляются отдельные каналы доступа для настольных компьютеров, сетевых принтеров и других сетевых устройств. Средства коммутации уровня доступа обеспечивают основную коммутацию уровня 2 и поддержку виртуальных локальных сетей, но эти устройства могут также обеспечивать обработку простых списков доступа и защиту портов.
Как правило, коммутаторы ядра сети корпорации Cisco предназначены для обеспечения исключительно высокоскоростной коммутации (свыше 100 000 000 пакетов в секунду, PPS) и характеризуются высокой плотностью гигабитовых или даже более быстродействующих портов.
К категории коммутаторов Cisco, рассматриваемых как коммутаторы ядра сети, относятся коммутатор ATM Lightstream 1010, коммутаторы ряда 6500 и ряда 8500. Почти все коммутаторы уровня ядра корпорации Cisco обладают способностью выполнять функции коммутаторов распределительного уровня.
Такая возможность исключительно удобна в сетевой среде со сжатым ядром, где функции уровня ядра и распределительного уровня объединяются в одном устройстве. Такая конфигурация часто встречается в небольших организациях.
Коммутаторы Cisco распределительного уровня предназначены для коммутации в диапазоне от умеренно высокой до высокой скорости с поддержкой целого ряда средств. Большинство коммутаторов распределительного уровня позволяет устанавливать в одном корпусе и среднескоростные (на 100 Мбит/с), и высокоскоростные (больше чем на 1 Гбит/с) интерфейсы, что дает возможность объединять каналы доступа, обеспечивая также возможность создавать высокоскоростные каналы связи с ядром сети.
К категории устройств Cisco, рассматриваемых как коммутаторы распределительного уровня, относятся коммутаторы ряда 6000 и 6500, 5000 и 5500, 4003, 4840G и 4200. Некоторые из этих коммутаторов также предназначены для выполнения своих функций на двух уровнях – в некоторых случаях на распределительном уровне и уровне ядра, а в других случаях на распределительном уровне и уровне доступа.
Наконец, коммутаторы Cisco уровня доступа предназначены для обеспечения достаточно высокой плотности портов, создания для клиентов соединений средней скорости и предоставления широкого перечня дополнительных средств в соответствии с потребностями каждого отдельного клиента. Большинство коммутаторов уровня доступа имеет, по меньшей мере, один высокоскоростной (на 100 Мбит/с или на 1 Гбит/с) интерфейс к распределительному уровню, позволяющий направить объединенный клиентский трафик к сетевым службам организации. Устройства уровня доступа обычно разрабатываются в целях снижения стоимости в расчете на один порт, поскольку намного больше соединений (и поэтому большинство портов) используется на уровне доступа, чем на любом другом уровне).
К числу коммутаторов доступа корпорации Cisco относятся коммутаторы ряда 6000, 5000 и 5500, 4000, 3500, 2900 и 2900XL, 2820 и 1900.
Коммутационная инфраструктура (Switch Fabric) – это общий термин, применяемый для описания всех аппаратных и программных средств, которые непосредственно относятся к процессу коммутации. Иными словами, коммутационная инфраструктура не включает саму кабельную разводку от клиента или к клиенту, но к ней относятся все микросхемы ASIC в коммутаторе, алгоритмы, применяемые для принятия решений о выполнении конкретных действий в процессе коммутации, объединительная плата и все процессы коммутации, происходящие внутри коммутатора.
В многочисленных технических документах Cisco термин «коммутационная инфраструктура» применяется для описания производительности конкретного коммутатора, а также служит в качестве ориентира при объединении или группировании отдельных коммутаторов.
3.3.2 Система IOS коммутаторов Cisco
Линейка оборудования, выпускаемого корпорацией Cisco, включает широкий набор коммутаторов, и почти все они характеризуются важными отличительными особенностями. По сути, для коммутаторов применяются два основных типа программного обеспечения операционной системы – система IOS и специализированная система.
Обычно освоить работу с коммутаторами на основе системы IOS намного проще, поскольку интерфейс командной строки (Command Line Interface – CLI) в этих коммутаторах почти полностью соответствует интерфейсу CLI, применяемому в маршрутизаторах Cisco. Но в коммутаторах используются системы IOS двух разных типов. Обе они имеют интерфейс CLI, который весьма напоминает интерфейс командного интерпретатора С в операционной системе UNIX, но имеют несколько существенных отличий.
Система первого типа, известная под названием стандартной IOS, как раз и является той, интерфейс CLI которой аналогичен применяемому в маршрутизаторах. В этой системе IOS используется относительно большое количество команд для выполнения всех задач управления устройством, начиная от текущего контроля и заканчивая настройкой конфигурации.
Система второго типа, называемая системой IOS на основе команд set, используется только в коммутаторах Catalyst ряда 4000, 5000 и 6000. В системе IOS такого типа для выполнения всех задач предусмотрено использование трех основных команд (set, show и clear) и целого ряда вспомогательных команд. Эта система IOS отличается от системы IOS, применяемой в маршрутизаторах.
В некоторых коммутаторах система IOS вообще не используется. В таких коммутаторах предусмотрен так называемый специализированный (Custom) интерфейс, который относится только к данной конкретной серии коммутаторов. Некоторые коммутаторы со специализированным интерфейсом, такие как коммутаторы ряда 1900 и 2820, имеют интерфейс, аналогичный интерфейсу стандартной системы IOS. Другие модели, такие как коммутаторы ряда 3100, 3200 и 3900, имеют интерфейс, который резко отличается от интерфейса стандартной IOS. В этих моделях для взаимодействия с коммутатором используется графический интерфейс. Каждый коммутатор со специализированной системой IOS читателю придется изучать самостоятельно, поскольку процесс настройки конфигурации таких устройств может существенно отличаться.
Кроме интерфейса CLI, предназначенного для отдельных коммутаторов, большинство моделей коммутаторов поставляется с графическим интерфейсом, основанном на использовании протокола HTTP. Иными словами, настройка простейших параметров в большинстве коммутаторов может быть выполнена с
помощью браузера. В некоторых других коммутаторах (таких как коммутаторы ряда 1900), кроме интерфейса CLI и интерфейса на основе браузера, предусмотрен также интерфейс, управляемый с помощью меню.
3.4 Маршрутизаторы Cisco
3.4.1 Предварительное конфигурирование
Все устройства, работающие под управлением IOS, поставляются с завода сконфигурированными в минимально возможном объеме. В маршрутизаторах и серверах доступа компания Cisco производит установку лишь минимального количества параметров конфигурирования. Когда маршрутизатор (или сервер доступа) присылается с завода, все его интерфейсы или выключены или административно заблокированы [2, 8].
Каждое устройство Cisco имеет порт консоли, который используется для обращения к нему с помощью непосредственно подключаемого терминала.
Порт консоли часто представляет собой порт интерфейса RS-232С или RJ-45 и обозначается надписью «Console». Обнаружив порт консоли, необходимо подключить выделенный для этой цели терминал или ПК с эмулятором терминала.
Компанией Cisco с каждым устройством поставляются необходимые для этого кабели.
Установив физическое соединение между терминалом или ПК и устройством, необходимо произвести конфигурирование терминала для его соответствующего взаимодействия с устройством. Для этого следует настроить параметры терминала (или программы эмуляции терминала на ПК) таким образом, что-бы поддерживались следующие установки:
1. Тип эмулируемого терминала – VT100.
2. Скорость передачи данных – 9600 бод.
3. Запрет контроля четности.
4. 8 бит данных.
5. 1 стоп-бит.
Вопросы для самоконтроля
1. Перечислите состав внутренних компонентов устройств Cisco.
2. Приведите пример модулей, расширяющих постоянную конфигурацию устройств Cisco.
3. Что понимают под коммутационной инфраструктурой?
4. Приведите примеры устройств Cisco, относящихся к коммутаторам распределительного уровня.
5. Каковы особенности предварительного конфигурирования маршрутизаторов Cisco?
6. На какие категории делятся команды OC IOS?
7. Приведите примеры глобальных команд OC IOS.
8. Приведите примеры основных команд OC IOS. 116
4 Эксплуатация защищённых ТКС
4.1 Реализация политик безопасности аппаратными средствами Cisco
В качестве объекта защиты будем рассматривать информационную систему некоторой Организации (далее кратко – «Организация») [8].
4.1.1Архитектура корпоративной системы защиты информации (СЗИ)
Взаимодействие с партнерами, клиентами и поставщиками осуществляется с использованием сервисов Интернета. Архитектура приложений использует три уровня для реализации разделения ресурсов:
1. Уровень представления – выполняется на Microsoft IIS 5.0 на Microsoft Windows 2000 Server SP 4 со всеми необходимыми обновлениями. Вся бизнес-логика выполняется на серверах второго уровня архитектуры.
2. Промежуточный уровень – содержит все бизнес-компоненты и также выполняется на Microsoft Windows 2000 Server Service Pack 4. К этому уровню нет доступа из Интернета. Страницы Active Server Pages на серверах уровня представления активируют компоненты СОМ+ и позволяют выполнить бизнес-логику. Компоненты запускаются под непривилегированной учетной записью с необходимым минимумом привилегий.
3. Уровень баз данных – состоит из базы данных и защищенного хранилища данных. Microsoft SQL Server 2000 SP 3 используется как сервер управления базой данных и выполняется на двухузловом кластере Microsoft Windows 2000 Advanced Server SP 4 Cluster для обеспечения отказоустойчивости. Только серверы промежуточного уровня имеют доступ к этим серверам. Серверы расположены в изолированном сегменте сети, разделенном межсетевыми экранами.
Правила использования сервисов Интернета. Согласно принятой в Организации политики безопасности для сотрудников определены следующие правила использования сервисов Интернета:
1. Разрешается исходящий Web-трафик – HTTP, SSL и FTP для различных групп сотрудников. Доступ в Интернет контролируется и регистрируется, доступ к некоторым категориям Web-ресурсов блокируется в соответствии с политикой использования ресурсов Интернета.
2. Запрещается применять средства обмена мгновенными сообщениями (например, ICQ) и одноранговые файлообменные системы (например, Napster). Также запрещено получать и отправлять электронную почту с использованием внешних почтовых серверов, не принадлежащих Организации (например, www.mail.ru).
3. Разрешается использование внешних DNS-имен, разрешение на использование дополнительных сервисов зависит от политики использования ресурсов Интернета.
Правила доступа в сеть Организации. Для сотрудников, работающих вне офиса Организации, определяются следующие правила доступа в сеть:
1. Доступ к внутреннему почтовому серверу Outlook Web Access осуществляется через HTTPS.
2. Обмен файлами реализуется с использованием Microsoft SharePoint Portal Server 2003 через HTTP/HTTPS. Это позволяет не настраивать межсетевой экран для трафика SMB/CISF, что упрощает конфигурацию межсетевого экрана.
3. Доступ администраторов организуется через VPN к сегменту управления, для удаленного администрирования серверов используется Microsoft Terminal Services.
4.1.2 Корпоративная система защиты информации
Основной задачей при создании защищенной инфраструктуры Организации является реализация надежного контроля доступа на уровне приложений и сети в целом. При этом логический контроль доступа на уровне сети осуществляется путем сегментации сетей и разграничения трафика с помощью межсетевых экранов.
Созданы две раздельные подсети – одна для доступа извне к Web-приложениям и вторая для доступа сотрудников в Интернет. Этим обеспечивается полное разделение входящего из Интернета и исходящего в Интернет трафика. Многоуровневый подход с несколькими межсетевыми экранами обеспечивает фильтрацию всего нежелательного трафика.
В Организации было создано несколько зон безопасности:
1. Зона подключения к Интернету – эта зона представляет собой подсеть между пограничным маршрутизатором и внешними межсетевыми экранами. Пограничные маршрутизаторы используют списки контроля доступа (ACL), сконфигурированные для фильтрации входящего и исходящего трафика и защиты внешних межсетевых экранов.
2. Зона доступа к Web-приложениям Организации (Web Access DMZ) – в этой подсети находятся Web-приложения Организации и разрешены только входящие через межсетевой экран запросы из Интернета. Доступ из внутренней сети запрещен.
3. Зона выхода в Интернет (Service DMZ) – эта зона представляет собой подсеть, с помощью которой сотрудникам Организации предоставляется доступ в Интернет. Разрешен исходящий через межсетевой экран трафик, за исключением доступа к электронной почте с помощью VPN.
4. Зона управления ресурсами сети Организации (Management Network) – в этой зоне находятся приложения для мониторинга, аутентификации и журналирования событий в сети Организации.
5. Зона защищаемых данных Организации (Secure Data Network) – эта зона содержит все важные для Организации Web-приложения, базы данных и базу данных пользователей (Active Directory).
6. Зона внутренней сети Организации (Internal Network) – зона содержит серверы, рабочие станции сотрудников и приложения Интранета. При этом Организации использует следующие диапазоны IP-адресов:
70.70.70.0/24 и 90.90.1.0/30 (в действительности сети 70.х.х.х и 90.90.1.0/30 зарезервированы IANA, но мы будем считать, что они реально существуют). Сеть 70.70.70.0/24 разбита на подсети с использованием различных масок подсетей, задействована только первая часть – 70.70.70.0/25, все остальные адреса зарезервированы для последующего расширения сети. Для внутренней сети используется подсеть 172.16.0.0/16.
Общее распределение адресного пространства подсетей Организации представлено в таблице 4.1.
Таблица 4.1- Распределение адресного пространства подсетей Организации
4.1.3 Зона подключения Интернет
Одно из главных бизнес-требований Организации – обеспечение доступности Интернета 24 часа в сутки 7 дней в неделю. Для этого были выбраны два провайдера – ISP1 и ISP2 (рисунок 4.1).
Рисунок 4.1- Схема подключения сети Организации к Интернету
С целью надлежащего распределения маршрутизации и избыточности был сконфигурирован BGP v.4 между пограничными маршрутизаторами и маршрутизаторами провайдеров Интернета. В качестве пограничных маршрутизаторов для будущего решения с балансировкой нагрузки между межсетевыми экранами. «Горячее» резервирование на внутренних интерфейсах маршрутизаторов обеспечивает протокол HSRP (Hot Standby Routing Protocol). Для соединения устройств в DMZ используются коммутаторы Cisco Catalyst 3550. Коммутаторы не имеют IP-адресов и управляются посредством консольного доступа через Cisco 2620 Terminal Server.
Внешние межсетевые экраны. В качестве внешних межсетевых экранов используются Nokia IPSO v.3.6 FCS4, Check Point FW-1 NG FP3.
В Организации существуют две DMZ-зоны, одна для доступа к Web-приложениям и другая для выхода в Интернет, каждая из зон защищена межсетевыми экранами. Это было сделано для разделения ресурсов, чтобы проникновение злоумышленников в одну из зон не сказалось на работе другой зоны.
Каждый межсетевой экран имеет 5 интерфейсов, подключенных к разным зонам. Межсетевые экраны имеют выделенный интерфейс для управления Outofband посредством сервера Check Point Management Console из зоны управления. Это повышает защищенность управляющего трафика и делает недоступным изменение наблюдаемого трафика, т.к. он не проходит через общую сеть.
4.1.4 Зона доступа к Web-приложениям Организации
Эта зона защищена на уровне представления, промежуточном уровне, а также на уровне баз данных Организации. Серверы названной зоны защищены в соответствии с рекомендациями руководств SANS (www.sans.org): Level-1 Benchmark for Windows 2000, Level-2 Windows 2000 Professional Operating System Benchmark, Level-2 Windows 2000 Server Operating System Benchmark, а также в соответствии с официальными руководствами компании Microsoft: «Security Operations Guide for Windows 2000», «Hardening Guide for Windows 2000».
Для централизованного управления обновлениями используется продукт Microsoft SMS 2003. На Web-серверах выполняется Microsoft IIS 5.0. Серверы имеют по два сетевых интерфейса. Через один интерфейс поступают запросы из Интернета, через другой осуществляются запросы к базе данных. Таким образом, реализуется изоляция Web-приложений от базы данных.
4.1.5 Зона выхода в Интернет
Эта зона безопасности обеспечивает доступ в Интернет из внутренней сети. Здесь также используется концепция разделения сети. Каждое устройство имеет два интерфейса – один для подключения к публичной зоне и другой для доступа к внутренней зоне с отключенной маршрутизацией пакетов между ними. Все оборудование дублируется для обеспечения высокой степени доступности. DNS Forwarder установлен на Windows 2000 SP 4, Microsoft DNS Service на аппаратной платформе Compaq Proliant DL360. SMTP Smart Host установлен на OpenBSD 3.2 with Sendmail v.8.12.6 на аппаратной платформе Compaq Proliant DL360.
Для реализации политики использования Интернета развернут продукт Websense. Он предназначен для ограничения доступа к определенным Web-ресурсам, запрещенным политикой использования Интернета, например к Web-почте, чатам, сайтам с непристойным содержанием, блокирует службы мгновенного обмена сообщениями и одноранговые файлообменные сети. Websense также обеспечивает определение и удаление ActiveX и Java applets, позволяет создавать отчеты об использовании ресурсов Интернета конкретными сотрудниками. Для обнаружения вирусов в трафике HTTP, SMTP и FTP используется продукт Trend Micro InterScan VirusWall.
4.1.6 Особенности SMTP-серверов
SMTP-серверы работают на OpenBSD 3.2 с Sendmail v.8.12.6. Это один из немногих случаев, когда используется продукт, не произведенный Microsoft. Выбор обусловлен тем, что Microsoft Exchange 2000 Server обладает избыточными для Организации функциональными возможностями, которые не нужно делать доступными из Интернета.
Также, по сравнению с Sendmail, Microsoft Exchange характеризуется достаточно слабым уровнем защиты. Поэтому был сделан выбор в пользу Sendmail на платформе OpenBSD, которая является одной из самых защищенных ОС.
OpenBSD и Sendmail бесплатны, что ведет к уменьшению расходов на построение системы. OpenBSD и Sendmail были защищены в соответствии с рекомендациями производителей. Установлен минимально необходимый набор пакетов, включены только необходимые сервисы и установлены все существующие обновления и сервисные пакеты. На SMTP-сервере также установлено программное обеспечение для защиты от спама.
Все входящие сообщения перенаправляются на внутренний сервер Microsoft Exchange, функционирующий в режиме кластера. Принимаются и направляются вне сети только сообщения, которые были получены от этого внутреннего сервера. В исходящих сообщениях изменяется заголовок для удаления информации о внутренней маршрутизации и изменяется SMTP-приглашение, чтобы затруднить злоумышленникам получение информации о версии ПО внешнего SMTP-сервера. Для предупреждения возможности просмотра списка почтовых ящиков и сервисов отключены команды VRFY и EXPN.
4.1.7 Концепция построения DNS-серверов
В качестве концепции построения DNS было выбрано решение по разделению на внутренний и внешний DNS. Внешний DNS-сервер обслуживается интернет-провайдерами и находится в их зоне ответственности. Эта опция обеспечивает дополнительную безопасность, связанную с проблемами администрирования, и уменьшает необходимость разрешения входящего DNS-трафика, т.к. исторически DNS-серверы являются одним из наиболее слабо защищенных сервисов и постоянной мишенью для атак злоумышленников. Этот проект также обеспечивает избыточность и улучшает доступность сервисов, потому что вероятность того, что DNS-серверы обоих провайдеров одновременно подвергнутся атаке и не смогут обслуживать запросы, достаточно мала.
DNS-сервер, расположенный в DMZ, работает с использованием службы Microsoft DNS и установлен на операционную платформу Microsoft Windows 2000 SP 4. Серверы сконфигурированы как «только кэширующие», без установленных DNS-зон и перенаправляют все запросы на DNS-серверы провайдера.
4.1.8 Доступ с использованием VPN
Для обеспечения доступа к корпоративной сети работающим удаленно сотрудникам и персоналу, ответственному за управление сетевыми устройствами, используется концентратор Cisco VPN 3030. Доступ по коммутируемым соединениям запрещен. Так как сервис VPN не является критичным для обеспечения бизнес-процессов, то применяется только одно устройство.
При изменении этих требований может быть установлено дополнительное устройство для обеспечения избыточности.
Доступ с использованием VPN построен на следующих принципах:
1. Каждый сотрудник, использующий этот сервис, подписывает политику использования VPN.
2. Разрешен к применению только протокол IPSec с шифрованием 3DES. РРТР и L2TP не поддерживаются.
3. Для аутентификации на этапе 1 (IKE) используются сертификаты.
4. Сертификаты выпускаются и распределяются внутренним Центром управления сертификатами.
5. Сертификаты хранятся на аппаратном токене Aladdin Software eToken. Выдаются каждому сотруднику Организации, использующему этот сервис, отделом информационной безопасности. eToken является небольшим, простым в применени USB-устройством, где доступ к сертификату защищен паролем. После создания ключи сертификатов не могут быть экспортированы из устройства.
6. Каждый сотрудник имеет персональный идентификатор и пароль для этого сервиса. Аутентификация и управление идентификаторами осуществляются с использованием Cisco ACS RADIUS.
7. Cisco ACS RADIUS также обеспечивает выдачу IP-адресов и применение списков контроля доступа для подключающихся сотрудников Организации.
8. Zone Labs Integrity Server применяет политику на персональном межсетевом экране и антивирусном программном обеспечении на каждом подключаемом через VPN компьютере. Эта политика определяется отделом информационной безопасности и принудительно применяется при подключении.
9. Журналирование VPN-сессий осуществляется на сервере Cisco Security Information Management Solution v.3.1.1 (NetForensics) с использованием syslog.
Внутренние межсетевые экраны. Наличие внутренних межсетевых экранов обеспечивает больший контроль и безопасность информационных потоков между внутренними сетями. Кроме того, достигается изоляция сегмента управления от остальной сети, управление доступом через VPN, защита внутренней сети путем запрещения трафика из менее защищенных зон сети и пр. Каждый межсетевой экран имеет шесть интерфейсов, подключенных к разным зонам (рисунок 4.2), также существует выделенный интерфейс для поддержания режима «горячего» резервирования (на рисунке не указано).
Рисунок 4.2- Реализация шлюза между внутренней и внешней сетями
Система построена на двух межсетевых экранах Cisco PIX 535, функционирующих в режиме «горячего» резервирования. Выбор продукта был обусловлен его высокой производительностью, надежностью и приемлемой для Организации стоимостью решения. Кроме того, использование межсетевых экранов разных производителей увеличивает общую защищенность сети Организации, так как, при возникновении уязвимости в Check Point FW-1, эта уязвимость вряд ли может быть использована против Cisco PIX, и наоборот.
4.1.9 Зона управления ресурсами сети Организации
Все серверы управления сетью и серверы мониторинга расположены на выделенной сети, защищенной внутренними межсетевыми экранами (рисунок 4.3).
Рисунок 4.3-Центр управления сетью
В Организации организован центр управления сетью для мониторинга и управления сетевыми устройствами. Центр находится в защищенном от проникновения посторонних лиц помещении. График работы персонала 16 часов в сутки 5 дней в неделю. Поддержка в ночное время реализуется через VPN-соединения. Сотрудник должен сначала зайти на один из компьютеров данной сети и только потом, с этого компьютера, он может получить доступ к сетевому оборудованию. Это является дополнительным уровнем защиты.
Кроме того, доступ к любому сетевому оборудованию ограничен списком IP-адресов сети управления. Пограничные маршрутизаторы и все коммутаторы управляются через консоль с использованием маршрутизатора доступа Cisco 2620, остальные управляющие интерфейсы на устройствах отключены. Другие устройства – SMTP-серверы, VPN-концентратор – управляются с помощью SSH. Серверы с операционной системой Windows 2000 работают под управлением Microsoft Terminal Services, который поднят на внутренних интерфейсах серверов и сконфигурирован для использования максимального уровня шифрования. Помимо этого фильтры IPSec настроены таким образом, чтобы разрешать доступ к серверам с использованием Terminal Services (TCP 3389), если соединение инициируется из сети управления.
4.1.10 Консоль управления системой обнаружения атак (IDS)
В качестве сетевой системы обнаружения вторжений используется Cisco IDS 4250, а на серверах установлены системы предупреждения вторжений Cisco Security Agent v.4.0 (продукция компании Okena, продаваемая под торговой маркой Cisco). В системе Cisco IDS 4250 один интерфейс работает в режиме сниффера и не имеет IP-адреса, а другой используется для получения сообщений о найденных сигнатурах и для управления. Передача сообщений осуществляется по протоколу SSL. В качестве устройства управления выбран Cisco Works VPN/Security Management Solution v.2.2. Данное программное обеспечение позволяет управлять конфигурациями следующих устройств:
− Cisco PIX Firewall;
− Cisco VPN Router; 127
− Cisco IDS 4200;
− Cisco Security Agent.
В состав продукта входят следующие функциональные модули:
1. Cisco Works Common Services.
2. Management Center for Firewalls.
3. Management Center for IDS Sensors.
4. Management Center for Cisco Security Agents.
5. Management Center for VPN Routers.
6. Monitoring Center for Security.
7. Monitoring Center for Performance.
8. Cisco View.
9. Auto Update Server.
10.Resource Manager Essentials.
Monitoring Center for Security позволяет принимать и коррелировать сообщения со всех вышеперечисленных устройств, кроме того, он оснащен средствами мониторинга производительности и инвентаризации сети. Доступ к этому устройству из сети, отличной от сети управления, запрещен.
Сервер Check Point Management Console. Сервер Check Point Management Console используется для управления модулями Check Point Firewall-1 и журналирования событий. Доступ к нему ограничен IP-адресами интерфейсов администрирования Nokia Check Point FW-1.
4.1.11 Сервер синхронизации сетевого времени
Синхронизация сетевого времени – очень важный аспект правильного функционирования сети и надлежащего журналирования. Если на нескольких устройствах установлено разное время, то при анализе журналов очень трудно будет разбираться, когда реально и в какой последовательности произошли события. Нередко слабости в защите протокола NTP или неправильные настройки сетевых устройств дают злоумышленникам возможность проведения атак с целью установки неверного времени и, таким образом, выведения из строя всех устройств и соединений, использующих цифровые сертификаты. Кроме того, Microsoft Active Directory для аутентификации применяет протокол Kerberos, который очень сильно зависит от точных настроек времени.
4.1.12 Cisco Terminal Server
Для управления всеми сетевыми устройствами (маршрутизаторами, коммутаторами) с помощью консольного соединения используется Cisco Router 2620. На всех устройствах отключены протоколы сетевого управления. Соединения к самому Cisco Router 2620 ограничены списком IP-адресов из сети управления и списком инженеров, подключающихся через VPN-соединение. Разрешен доступ только по SSH. Все сотрудники должны быть аутентифицированы с использованием TACACS+. Уровень доступа регулируется членством в группах и настройками на сервере TACACS+ .
4.1.13 Cisco Security Information Management Solution
Cisco Security Information Management Solution v.3.1 (продукт компании Netforensics) на аппаратной платформе Cisco 1160 используется для сбора, коррелирования, анализа и хранения журналов. Данное ПО позволяет производить мониторинг безопасности в режиме реального времени и поддерживает широкий перечень устройств и программных продуктов (28 источников), от которых оно может принимать и обрабатывать сообщения. В Организации используется часть из них:
1. Check Point Firewall-1.
2. Cisco IOS ACL, FW, IDS.
3. Cisco Secure ACS.
4. Cisco Secure IDS.
5. Cisco Secure PIX.
6. Cisco Secure PIX IDS.
7. Cisco Security Agent.
8. Концентратор Cisco VPN.
9. Cisco Firewall Switch Module.
10.Tripwire NIDS.
11.Web-серверы Microsoft IIS.
12.Windows Events.
13.UNIX OS Events.
4.1.14 Центр управления сертификатами
В сети широко применяются сертификаты: для доступа посредством VPN, к Web-сайтам по SSL, для шифрования электронной почты. Сервер центра управления сертификатами является частью внутренней инфраструктуры открытых ключей и используется для выпуска или
отзыва внутренних сертификатов и публикации списка отозванных сертификатов (Certificate Revocation List). Центр управления сертификатами развернут на неподключенном к сети Windows 2000 Server SP 4.
В качестве процедуры установки инфраструктуры открытых ключей основной (root) центр управления сертификатами был использован только однажды, с целью выпуска сертификата для выпускающего центра управления сертификатами, и после этого был немедленно переведен в оффлайн-режим. Секретный (private) ключ основного центра сертификации был перемещен на дискету, удален с жесткого диска, и эта дискета была помещена в сейф отдела информационной безопасности. Копия дискеты хранится за пределами офиса в защищенном помещении в сейфе.
4.1.15 Cisco Secure ACS Server
С помощью Cisco Secure ACS Server v.3.3 for Windows осуществляется аутентификация:
1.Сотрудников, использующих VPN, аутентифицируются и получают IP-адрес из ACS-сервера на основе протокола RADIUS.
2. Доступ к сетевым устройствам для администрирования контролируется с использованием протокола TACACS+.
TACACS+ является протоколом последнего поколения из серии протоколов TACACS. TACACS – это простой протокол управления доступом, он основан на стандартах User Datagram Protocol (UDP), разработанных компанией Bolt, Beranek, and Newman, Inc. (BBN) для военной сети Military Network (MILNET). Компания Cisco несколько раз совершенствовала и расширяла протокол TACACS, и в результате появилась ее собственная версия TACACS, известная как TACACS+. TACACS+ пользуется транспортным протоколом TCP.
«Демон» (процесс, запускаемый на машине UNIX или NT) сервера «слушает» порт 49, который является портом протокола IP, выделенным для протокола TACACS. Этот порт зарезервирован для выделенных номеров RFC в протоколах UDP и TCP. Все текущие версии TACACS и расширенные варианты этого протокола используют порт 49.
Протокол TACACS+ работает по технологии «клиент-сервер», где клиентом TACACS+ обычно является NAS, а сервером TACACS+, как правило, считается «демон». Фундаментальным структурным компонентом протокола TACACS+ является разделение аутентификации, авторизации и журналирования (AAA – Authentication, Authorization, Accounting). Это позволяет обмениваться идентификационными сообщениями любой длины и содержания и, следовательно, использовать для клиентов TACACS+ любой механизм аутентификации, в том числе РРР PAP, PPP CHAP, аппаратные карты и Kerberos.
Транзакции между клиентом TACACS+ и сервером TACACS+ идентифицируются с помощью общего ключа – «секрета», который никогда не передается по каналам связи. Обычно этот секрет вручную устанавливается на сервере и на клиенте. TACACS+ можно настроить на шифрование всего трафика, который передается между клиентом TACACS+ и «демоном» сервера TACACS+.
Процесс обмена информацией между ACS и сервером TACACS+ во время процесса аутентификации протекает по следующей схеме:
1. ACS посылает START-запрос на сервер TACACS+ для начала процесса аутентификации.
2. Сервер отсылает ACS-пакет с запросом GETUSER, содержащий запрос пользователю на ввод имени.
3. ACS отображает запрос пользователю и отсылает серверу TACACS+ введенное пользователем имя в пакете CONTINUE.
4. Сервер отсылает ACS-пакет с запросом GETPASS, содержащий запрос пользователю на ввод пароля.
5. ACS высылает пакет CONTINUE, содержащий пароль, введенный пользователем серверу TACACS+.
6. Сервер TACACS+ выполняет проверку полученной пары «имя-пароль» и в зависимости от результата проверки отсылает ACS-пакет, содержащий результат (FAIL – в случае несовпадения, PASS – успешная аутентификация). На этом процесс аутентификации завершается.
Процесс обмена информацией между ACS и сервером TACACS+ во время процесса авторизации протекает по следующей схеме:
1. ACS от отсылает пакет START AUTHORIZATION серверу TACACS+.
2. Сервер TACACS+ обрабатывает полученные данные и принимает решение, основываясь на политике безопасности, связанной с данным пользователем. Результат отсылается ACS-серверу в RESPONSE-пакете.
Следом за идентификацией и авторизацией следует журналирование, которое представляет собой запись действий пользователя. В системе TACACS+ журналирование может выполнять две задачи. Во-первых, оно может применяться для учета использованных услуг (например, для выставления счетов).
Во-вторых, его можно применять в целях безопасности. Для этого TACACS+ поддерживает три типа учетных записей. Записи «старт» указывают, что услуга должна быть запущена. Записи «стоп» говорят о том, что предоставление услуги только что прекратилось. Записи «обновление» (update) являются промежуточными и указывают на то, что услуга все еще предоставляется.
Учетные записи TACACS+ содержат всю информацию, которая используется в ходе авторизации, а также другие данные, такие, как время начала и окончания (если это необходимо), и данные об использовании ресурсов.
Механизм взаимодействия ACS и сервера TACACS+:
1. ACS отсылает учетную запись серверу TACACS+, основываясь на выбранных методах и событиях.
2. Сервер TACACS+ отсылает ответный пакет ACS-серверу, подтверждая прием учетной записи.
4.1.16 Zone Labs Integrity Server
Zone Labs Integrity Server v.1.6 используется для принудительного применения политики безопасности организации VPN на компьютерах сотрудников, которые подключаются посредством VPN. В данном случае потребуется установка на каждом компьютере Integrity Agent для приема и применения политики во время установления VPN-соединения.
Integrity Agent позволяет также производить мониторинг антивирусного программного обеспечения на клиенте и отключает VPN-соединение, если программное обеспечение не установлено или не имеет последних обновлений.
Это очень важно, так как удаленный компьютер может быть не защищен надлежащим образом и стать точкой входа во внутреннюю сеть для вирусов и злоумышленников. Единственным устройством, которому разрешено устанавливать соединение с этим сервером, является VPN-концентратор.
4.1.17 Средство всех сетевых устройств и серверов HP OpenView
Для мониторинга всех сетевых устройств и серверов используется HP OpenView Network Node Manager v.6.31. Организации осознает необходимость мониторинга в режиме 24 часа в сутки 7 дней в неделю для обеспечения высокой доступности сервисов. Из-за большой степени риска разрешено использовать SNMP только в режиме read-only Правила на межсетевых экранах разрешают данный трафик только на станцию управление NNM. Этот сервер использует Windows 2000 Server Service Pack 4 и защищен в соответствии с перечисленными выше руководствами. Все устройства сконфигурированы для отправления SNMP traps на сервер NNM, и любой другой доступ из-за пределов сети управления запрещен.
4.1.18 Зона защищаемых данных Организации
В этой сети (рисунок 4.4) находятся все данные Web-приложений. Также здесь располагаются серверы Active Directory, контроллеры доменов Web-приложения и DNS-серверы. Каждый из них является кластером, который состоит из двух компьютеров.
Рисунок 4.4-Схема зоны защищаемых данных компании
Система управления базами данных и файл-серверы. В качестве сервера баз данных используется Microsoft Windows 2000 Advanced Server SP 4 и Microsoft SQL Server 2000 SP 3. Файл-серверы построены на Microsoft Windows 2000 Server SP 4 и Microsoft File and Print Services. Для обеспечения избыточности и высокой доступности на файл-серверах развернута интегрированная с Active Directory служба Distributed File System. Только серверы промежуточного уровня имеют доступ к Microsoft SQL Server. Стандартный порт TCP 1433 изменен на нестандартный порт TCP 2000. Доступ из внутренней сети к БД ог-
раничен выполнением запросов к БД с определенного списка IP-адресов.
Active Directory. «Лес» (forest) Active Directory Web-приложений полностью отделен от внутреннего «леса». Серверы из Web-зоны подключаются к контроллеру домена с использованием IPSec в режиме Authentication Header (АН). Этот проект имеет следующие преимущества:
− разрешается использование IPSec-фильтрования на самих серверах;
− упрощается конфигурирование межсетевого экрана;
− нагрузка на процессор минимальная.
Active Directory DNS-серверы сконфигурированы для использования DNS-серверов Web-зоны как перенаправляющих для разрешения внешних адресов.
Резервное копирование реализовано с помощью Fiber Channel, поэтому не требуется дополнительный сетевой сегмент. Серверы, которые осуществляют резервное копирование, не имеют сетевых подключений за пределами сегмента.
4.1.19 Зона внутренней сети Организации
Во внутренней сети находятся рабочие станции сотрудников и внутренние серверы. Сеть логически разделена на две части: подсеть серверов и подсеть сотрудников. Ядром проекта являются два коммутатора Cisco Catalyst 6509 с модулями маршрутизации MSFC2. Коммутаторы используют trunk для избыточности. Для каждой внутренней подсети создан отдельный VLAN и сконфигурирован HSRP на каждом из VLAN-интерфейсов для «горячего» резервирования.
Раздельные маршрутизирующие интерфейсы для каждого VLAN позволяют задействовать дополнительные списки контроля доступа для ограничения доступа из определенных подсетей или компьютеров. На Рис. 4.5 изображен только один сервер каждого типа.
Внутренняя сеть Windows 2000 использует изолированный «лес» Active Directory со своими собственными DNS-серверами и контроллерами домена. На всех серверах установлен Windows 2000 Server SP 4, при этом они защищены в соответствии с перечисленными выше руководствами.
DNS-серверы – это Microsoft DNS Server с использованием Dynamic DNS в режиме «Allow Secure Updates Only». Данные серверы применяются только для разрешения имен внутренних ресурсов и перенаправляют запросы на разрешение внешних имен в зону Интернета.
В качестве внутреннего сервера обмена сообщениями и совместной работы используется Microsoft Exchange 2000 SP 3. Он работает на двухузловом кластере Windows 2000 Advanced Server SP 4 для обеспечения избыточности и балансировки нагрузки. Все исходящие сообщения перенаправляются к SMTP-серверам в Интернет-зону. В качестве антивирусного ПО применяется Sybari Antigen v.7.0 for Exchange с проверкой входящих и исходящих сообщений.
Рисунок 4.5- Пример организации сегмента сети (VLAN)
Работа с почтой удаленных пользователей обеспечивается сервером Exchange 2000 Service Pack 3 Outlook Web Access, который доступен через VPN-coединение поверх HTTPS. Выбор объясняется тем, что для подключения достаточно только одного порта (HTTPS). При обычном же способе доступа к Exchange пришлось бы открывать целый набор портов, что существенно увеличивает риск взлома системы.
Файл-серверы реализованы с использованием Microsoft Share Point Portal Server 2003. Доступ к файлам осуществляется через VPN поверх HTTP/HTTPS.
Это делает ненужной настройку межсетевого экрана для трафика SMB/CISF.
Исходящий доступ разрешен только для HTTP/HTTPS из сети сотрудников через proxy-сервер. В целях обеспечения безопасности не разрешен доступ из подсети серверов в Интернет. При необходимости установки драйверов или обновлений они загружаются обслуживающим персоналом на свои рабочие места
и далее переносятся на серверы на CD-дисках или дискетах.
Доступ к серверам баз данных предоставлен ограниченному списку администраторов баз данных из определенного списка IP-адресов. Таким же образом предоставляется доступ к серверам данных и для менеджеров, ответственных за наполнение Web-страниц приложения.
В сети тестирования тестируются приложения перед их перемещением в действующую сеть. Данная сеть полностью имитирует рабочие серверы и также используется для тестирования сервисных пакетов и обновлений перед их установкой на серверы и рабочие станции. Это позволяет уменьшить вероятность несовместимости приложений и увеличить надежность функционирования сети и приложений. Реализована процедура управления изменениями.
4.2 Применение систем обнаружения вторжений в компьютерной сети
4.2.1 Представление об обнаружении вторжений
Атакой принято называть непосредственную реализацию угрозы ИБ через определенную уязвимость. Выделяют следующие виды уязвимостей.
1. Уязвимости проектирования. Уязвимости свойственные проекту или алгоритму и, следовательно, даже совершенная их реализация не избавит от заложенных в нем недостатков (пример – SYN-flooding). Эти уязвимости обнаруживаются и устраняются с большим трудом.
2. Уязвимости реализации. Уязвимости заключаются в появлении ошибок на этапе реализации в программном или аппаратном обеспечении корректного с точки зрения безопасности проекта или алгоритма. Пример такой уязвимости – «переполнение буфера» («buffer overflow) во многих реализациях программ, например, sendmail или Internet Explorer. Обнаруживаются и устраняются такие уязвимости относительно легко: обновляя версию ПО, заменяя или полностью отказываясь от него.
3. Уязвимости конфигурации. Причина возникновения уязвимостей – ошибки конфигурации ПО или аппаратного обеспечения. Это самая распространенная категория уязвимостей. К их числу можно отнести: доступный, но не используемый сервис Telnet, разрешение «слабых» паролей, учетные записи и пароли, остановленные по-умолчанию (например, SYSADM или DBSNMP в СУБД Oracle). Локализовать и исправить такие уязвимости проще всего. Основная проблема – определить, является конфигурация уязвимой или нет?
Сканеры безопасности лишь определяют наличие уязвимостей, они не защищают сетевой узел от атак. Для защиты от них необходимо внедрение т.н. систем обнаружения вторжений (IDS).
IDS – Intrusion Detection System – система обнаружения вторжений. IDS контролирует пакеты в сетевом окружении и обнаруживает попытки злоумышленника проникнуть внутрь защищаемой системы по сигнатурам, характерным для атак [8]. Использование сигнатур очень похоже на работу антивирусных программ.
Большинство видов атак на уровне TCP/IP имеют характерные особенности.
IDS может выявлять атаки по IP-адресам, номеру портов, содержанию IP-пакетов и произвольного числа критериев заданных по шаблону (сетевые IDS).
Имеется и другой способ обнаружения вторжений на системном уровне, состоящий в контроле целостности ключевых файлов (узловые IDS). Развиваются новые методы, сочетающие концепции обнаружения вторжений и межсетевого экранирования.
Существует множество программ, реализующих функции IDS. Например, коммерческие профессиональные системы RealSecure компании Internet Security Systems (http://www.iss.net) или бесплатные программы начального уровня. LIDS (Linux Intrusion Detection System, http://www.lids.org), Snort (http://www.snort.org), а также различные мониторы (датчики) событий для отдельных узлов сети – Desktop Protection, Server Sensor, встроенные средства аудита систем Windows (Журнал событий) и *nix (Syslog).
Пример организации системы IDS основанной на анализе журнала событий указан на рисунке 4.6.
Рисунок 4.6-Возможный вариант организации IDS
IDS полезны при защите от внешних атак, однако одним из их главных достоинств является способность выявлять внутренние атаки и подозрительную активность пользователей. Необходимо взаимодействие IDS и МЭ. Одно из них защищает внешнюю границу, другое – внутреннюю часть сети (рисунок 4.7).
Существует два основных вида IDS. Это узловые (HIDS) и сетевые (NIDS) системы обнаружения вторжений в сеть. Система HIDS располагается на отдельном узле и отслеживает признаки атак на данный узел. Система NIDS находится на отдельной системе, отслеживающей сетевой трафик на наличие признаков атак, проводимых в подконтрольном сегменте сети.
Рисунок 4.7- Защита локальной сети с помощью IDS и межсетевого экрана
4.2.2 Узловые системы обнаружения вторжений
Узловые системы обнаружения вторжений (Host IDS – HIDS) располагаются на отдельном узле и отслеживают признаки атак на данный узел. Узловые IDS представляют собой систему датчиков, загружаемых на различные сервера организации и управляемых центральным диспетчером. Датчики отслеживают различные типы событий и предпринимают определенные действия на сервере либо передают уведомления на консоль администратора.
Существует пять основных типов датчиков HIDS.
1. Мониторы системных журналов.
2. Датчики признаков.
3. Мониторы системных вызовов.
4. Мониторы поведения приложений.
5. Контролер целостности системы.
Мониторы системных журналов (Log-file Monitors – LFM) контролируют регистрационные файлы, создаваемые сетевыми сервисами. Эти системы ищут известные признаки атаки только в системных файлах журналов. Если встречается запись журнала, соответствующая некоторому критерию для датчика HIDS, предпринимается заранее установленное действие.
Большая часть анализаторов журналов настроена на отслеживание записей журналов, которые могут означать событие, связанное с безопасностью системы. Администратор системы, как правило, может определить другие записи журнала, представляющие определенный интерес.
Анализаторы журналов реагируют на событие уже после того, как оно произошло. Таким образом, журнал будет содержать сведения о том, что проникновение в систему выполнено. В большинстве случаев анализаторы журналов не способны предотвратить осуществляемую атаку на систему. Анализаторы журналов хорошо адаптированы для отслеживания активности авторизованных пользователей на внутренних системах.
Датчики признаков представляют собой наборы определенных признаков событий безопасности, сопоставляемых с входящим трафиком или записями журнала. Отличие от анализаторов журналов заключается в возможности анализа входящего трафика.
Системы, основанные на сопоставлении признаков, обеспечивают возможность отслеживания атак во время их выполнения в системе, поэтому они могут выдавать дополнительные уведомления о проведении злоумышленных действий. Тем не менее, атака будет успешно или безуспешно завершена перед вступлением в действие датчика HIDS. Этот датчик является полезным при отслеживании действий авторизованных пользователей внутри ИС.
Мониторы системных вызовов осуществляют анализ вызовов между приложениями и ОС для идентификации событий, связанных с безопасностью.
Когда приложению требуется выполнить действие, его вызов к ОС анализируется и сопоставляется с БД признаков. Признаки являются примерами различных типов атакующих действий, или объектом интереса для администратора.
Мониторы системных вызовов отличаются от мониторов журналов и датчиков признаков HIDS тем, что они могут предотвращать действия. Если приложение генерирует вызов, соответствующий, например, признаку атаки на переполнение буфера, датчик позволяет предотвратить этот вызов.
Необходимо обеспечивать правильную конфигурацию датчиков этого типа, т.к. их некорректная настройка может вызывать ошибки в приложениях либо отказы в работе ИС.
Мониторы поведения приложений (программные разработки компании Agnitum) аналогичны мониторам системных вызовов в том, что они работают посредником между приложениями и операционной системой. Эти датчики проверяют вызов на предмет того, разрешено ли приложению выполнять данное действие, вместо определения соответствия вызова признакам атак.
Например, Web-серверу обычно разрешается принимать сетевые соединения через порт 80, считывать файлы в Web-каталоге и передавать эти файлы по соединениям через порт 80. Если Web-сервер попытается записать или прочитать файлы из другого места или открыть новые сетевые соединения, датчик обнаружит несоответствующее поведение сервера и заблокирует его.
При конфигурировании таких датчиков необходимо создавать список действий, разрешенных приложениям. Поставщики датчиков данного типа предоставляют шаблоны для наиболее широко используемых приложений.
Контролеры целостности системы (System Integrity Verifiers – SIV) проверяют системные файлы для того, чтобы определить, когда злоумышленник внес в них изменения. В принципе, этим мало интересуются, если систему уже вскрыли. Но, тем не менее, SIV позволяет довольно быстро определить, что подверглось изменению и, соответственно, быстро восстановить систему.
Контролеры целостности системы отслеживают изменения в файлах. Это осуществляется посредством использования криптографической контрольной суммы или цифровой подписи файла, созданных при начальной конфигурации датчика для каждого файла.
Если организация не осуществляет управление датчиком на должном уровне, то датчик, как правило, обнаруживает все типы изменений, вносимых в файл, которые, на самом деле, могут быть легитимными.
Контролер целостности системы не осуществляет идентификацию атаки, а детализирует результаты проведенной атаки. Таким образом, в случае атаки на Web-сервер сама атака останется незамеченной, но будет обнаружено повреждение или изменение домашней страницы Web-сайта. То же самое относится и к другим типам проникновений в систему, так как в процессе многих из них осуществляется изменение системных файлов.
4.2.3 Сетевые системы обнаружения вторжений
Система обнаружения вторжений на сетевом уровне (Network IDS – NIDS) может запускаться либо на отдельном компьютере, который контролирует свой собственный трафик, или на выделенном компьютере, прозрачно просматривающем весь трафик в сети. NIDS контролируют множество компьютеров, тогда как HIDS контролируют только один.
Сетевые IDS (например, системы Real Secure Net Sensor, Snort) могут защитить от атак, которые проходят через МЭ во внутреннюю ЛВС. МЭ могут быть неправильно сконфигурированы, пропуская в сеть нежелательный трафик.
МЭ обычно пропускают внутрь трафик некоторых приложений, который также может быть опасным. Порты часто переправляются с МЭ внутренним серверам с трафиком, предназначенным для почтового или другого общедоступного сервера. Сетевая IDS может отслеживать этот трафик и сигнализировать о потенциально опасных пакетах. Правильно сконфигурированная IDS может перепроверять правила МЭ и предоставлять дополнительную защиту для серверов.
На данный момент большинство систем NIDS базируется на признаках атак. В системы встроен набор признаков атак, с которыми сопоставляется сетевой трафик. Если происходит атака, признак которой отсутствует в системе обнаружения вторжений, система NIDS ее пропустит. NIDS-системы позволяют анализировать трафик по адресу источника, конечному адресу, порту источника или конечному порту.
Основные преимуществ использования NIDS.
1. NIDS можно полностью скрыть в сети таким образом, что злоумышленник не будет знать о том, что за ним ведется наблюдение.
2. Одна система NIDS может использоваться для мониторинга трафика с большим числом потенциальных систем-целей.
3. NIDS может осуществлять перехват содержимого всех пакетов, направляющихся на систему-цель.
Среди недостатков использования NIDS можно выделить следующие.
1. Система NIDS может только выдавать сигнал тревоги, в случае атаки.
2. NIDS может пропустить нужный трафик из-за использования широкого канала связи или альтернативных маршрутов.
3. Система NIDS не может определить, была ли атака успешной.
4. Система NIDS не может анализировать зашифрованный трафик.
Прежде чем приобретать дорогостоящие IDS, необходимо определить, какие ресурсы подлежат защите. Возможно, после такого анализа будет определено, что не стоит тратить средства на покупку IDS, а достаточно обойтись организационными мерами или встроенными в ОС защитными механизмами.
Наиболее общие категории ресурсов организации, подлежащие защите:
− файловые серверы;
− серверы баз данных;
− телекоммуникационные серверы;
− маршрутизаторы;
− межсетевые экраны и иные средства защиты периметра;
− Web-, FTP- и почтовые серверы;
− рабочие станции, обрабатывающие критически важную информацию.
Даже простое перечисление критичных для организации ресурсов поможет понять, какую технологию обнаружения атак выбрать для их защиты. Например, для файловых серверов на первое место выходят средства контроля целостности, позволяющие отслеживать несанкционированные изменения файлов.Для маршрутизаторов приоритетными будут системы обнаружения атак на сетевом уровне, и т.д. В таблице 4.1 перечислены категории важных ресурсов и технологии обнаружения атак для различных типов узлов сети.
Таблица 4.1- Категории важных ресурсов и технологии обнаружения атак
Пример информации, отслеживаемой при наличии политики IDS, приведены в таблице 4.2.
Таблица 4.2-Сравнение возможностей систем NIDS и HIDS
Продолжение таблицы 4.2
4.2.4 Варианты реагирования
Мало выявить и идентифицировать сетевую атаку – необходимо на нее соответствующим образом отреагировать, что во многом определяет эффективность NIDS. Вариантами реагирования могут быть:
− уведомление;
− регистрация событий;
− завершение соединения;
− блокирование трафика.
4.2.5 Размещение датчиков систем обнаружения вторжений
Выбор объекта мониторинга определяет расположение датчиков. Датчики могут быть расположены вне межсетевого экрана, внутри сети, на системах с секретной информацией или на системах, используемых специально для сбора и обработки данных журнала. При вынесении решения по поводу размещения датчика IDS, необходимо помнить, что датчик должен иметь возможность просмотра интересуемых событий. Как уже упоминалось, узловые IDS сразу размещаются на наиболее важных узлах сети (серверах БД, Web-серверах и т.д.).
Наибольший интерес вызывает установка сетевых датчиков IDS.
Обычно сетевые датчики устанавливаются на следующих участках сети.
1. Между маршрутизатором и межсетевым экраном.
2. В «демилитаризованной зоне» (Demilitarized Zone – DMZ).
3. За межсетевым экраном.
4. У сервера удаленного доступа или у модемной стойки.
5. В ключевых сегментах внутренней сети.
4.2.6 Размещение датчиков между маршрутизатором и МЭ
Задача защиты корпоративной сети от нападений извне – одна из основных задач, решение которых возлагается на NIDS. Этим определяется первый вариант установки сетевого датчика – между маршрутизатором и межсетевым экраном (рисунок 4.8).
Этот вариант позволит контролировать весь трафик, входящий в корпоративную сеть (в том числе и в DMZ), а также весь исходящий трафик, который не блокируется МЭ. Данное решение также позволит защитить сам МЭ, который часто является целью для атак злоумышленников.
Однако при таком положении сетевого сенсора он не сможет контролировать трафик, изолируемый МЭ и маршрутизатором, а также циркулирующий в локальной сети, DMZ, и исходящий из DMZ в локальную сеть. Кроме того, трафик, попадающий в сеть через неконтролируемую датчиком точку (например, через резервное соединение или модем), не будет им проанализирован.
Рисунок 4.8-Размещение датчиков между маршрутизатором и МЭ
4.2.7 Размещение датчиков в демилитаризованной зоне (DMZ)
Следующая задача, возлагаемая на сетевые датчики, – защита устройств, находящихся в DMZ (рисунок 4.9). К таким устройствам можно отнести Web-,FTP- и SMTP-серверы, внешний DNS-сервер, а также другие узлы, которые должны быть доступны внешним пользователям. При этом трафик, не проходящий через контролируемую зону, не анализируется датчиком IDS.
Необходимо отметить, что данный вариант используется редко, т.к. средств, выделяемых на приобретение СЗИ, как правило, выделяется немного, и их обычно тратят на сетевой сенсор, устанавливаемый между МЭ и маршрутизатором. Размещение сенсора в DMZ практикуется организациями, активно использующими внешне ресурсы (электронные магазины, Internet-порталы и т.п.
Рисунок 4.9- Размещение датчиков в DMZ
4.2.8 Размещение датчиков за межсетевым экраном
Подход, при котором сетевой датчик размещается за межсетевым экраном со стороны локальной сети (рисунок 4.10), обычно применяется в дополнение к первому варианту. В этом случае можно отслеживать изменения в функционировании МЭ и просматривать весь трафик, проходящий через него. Сетевой датчик в данной конфигурации позволяет гарантировать, что МЭ правильно настроен и никто не может через него проникнуть в корпоративную сеть, т.е. сетевой датчик является средством контроля эффективности конфигурации МЭ.
Одновременная регистрация одинаковых событий, обнаруженных до МЭ и за ним, позволит сравнить число атак, тем самым могут быть замечены «пробелы» в созданных администратором правилах безопасности.
Рисунок 4.10- Размещение датчиков за межсетевым экраном
Рассматриваемое размещение сетевого сенсора дает возможность контролировать весь трафик, направляемый в DMZ из внутренней сети и исходящий из нее, а также трафик, циркулирующий в сегменте локальной сети, непосредственно примыкающем к точке выхода в Интернет.
Датчик не проанализирует внешний трафик, блокируемый МЭ, а также трафик, обращенный извне к устройствам, находящимся в DMZ. Данный вариант применяют еще реже, т.к. в нем МЭ никак не защищен от внешних атак.
Кроме того, данное размещение не позволяет отслеживать атаки, отражаемые МЭ (например, сканирование портов), которые могли бы указать сотрудникам отдела защиты информации на попытки проникновения в сеть.
4.2.9 Размещение датчиков в ключевых сегментах внутренней сети
Один из самых распространенных вариантов установки сетевого датчика IDS является его размещение на ключевых сегментах внутренней сети, содержащих ценные ресурсы. Известно, что основной ущерб от атак приходится на атаки, инициируемые изнутри. Для их предупреждения сетевые датчики размещают именно в ключевых сегментах сети организации.
4.2.10 Размещение датчиков у сервера удаленного доступа
В некоторых организациях доступ к ресурсам осуществляется через сервера удаленного доступа. В случае размещения сетевого датчика у этих серверов он сможет контролировать атаки со стороны пользователей, получающих доступ в корпоративную сеть через данные сервера (рисунок 4.11).
Рисунок 4.11-Размещение датчиков у сервера удаленного доступа
Этот способ помогает обнаруживать несанкционированную деятельность только пользователей, входящих в сеть через модемные соединения.
При размещении датчиков NIDS дополнительно нужно учесть следующее. Если в сети используются коммутаторы вместо концентраторов, датчик NIDS не будет правильно работать, если он просто подключен к порту коммутатора. Правильно настроенный коммутатор будет отправлять только трафик, направленный на датчик, к порту его подключения. В случае с коммутируемой инфраструктурой сети организации существуют два варианта использования датчиков NIDS: применение порта, отслеживающего коммутатор (Catalyst 3000, SPAN-порт), или применение сетевого разветвителя (D-LINK, Cisco).
4.3 Анализ защищенности ТКС с помощью сканеров безопасности
4.3.1. Принцип работы сканеров безопасности
Одной из важнейших проблем при анализе защищенности ТКС является проблема поиска уязвимостей в СЗИ. Уязвимости могут являться как следствием ошибочного администрирования отдельных узлов ТКС, так и следствием ошибок, допущенных при проектировании и реализации механизмов защиты разработчиком аппаратного или программного обеспечения.
Сканерами безопасности называют программы, позволяющие сократить потраченное время на поиск уязвимостей, за счет автоматизации операций по оценке защищенности систем. Они значительно облегчают работу специалистов IT-отделов. Сканеры выявляют слабые места в безопасности на удаленном либо локальном ПК. Некоторые из них способны выдавать рекомендации по устранению обнаруженных уязвимостей.
Основной модуль сканера безопасности подсоединяется по сети к удаленному компьютеру. В зависимости от активных сервисов формируются проверки и тесты.
Сканирование – механизм пассивного анализа сетевого устройства, с помощью которого сканер пытается определить наличие уязвимости без фактического подтверждения ее наличия – по косвенным признакам. Найденные при сканировании каждого порта заголовки сравнивается с таблицей правил определения сетевых устройств, операционных систем и возможных уязвимостей.
На основе проведенного сравнения делается вывод о наличии или отсутствии потенциальной уязвимости.
При любой оценке безопасности большая сложность заключается в выяснении списка программного обеспечения, установленного в сети, наличие точного перечня портов и использующих их служб может быть одним из важнейших условий полной идентификации всех уязвимых мест. Для сканирования всех 131070 портов (от 1 до 65535 для TCP и UDP) на всех узлах может понадобиться много дней и даже недель. Поэтому лучше обратиться к более коротким общеизвестным спискам портов и служб, чтобы определить в первую очередь наличие самых опасных уязвимых мест.
Протоколы семейства TCP/IP, используемые в качестве основы взаимодействия в Интернете, не соответствуют современным требованиям по обеспечению безопасности. Наличие неустранимых уязвимостей в базовых протоколах TCP/IP приводит к появлению все новых видов атак, направленных на получение НСД, отказа в обслуживании и т.д. Новые разновидности информационных воздействий на сетевые сервисы представляют реальную угрозу доступности и целостности данных. В связи с этим, очень большую актуальность имеет создание сканеров безопасности, позволяющих обнаруживать такие угрозы, в том числе и самые новейшие.
Технологии анализа защищенности являются действенным методом, позволяющим проанализировать и реализовать политику сетевой безопасности прежде, чем осуществится попытка ее разрушения снаружи или изнутри организации.
Сканеры безопасности – обоюдоострое оружие. Ими может воспользоваться как администратор компьютерной системы для выявления незащищенных мест, так и злоумышленник.
4.3.2 Классы сканеров безопасности
1. Сканеры безопасности сетевых сервисов и протоколов (IP-Tools, XSpider, NMap).
2. Сканеры безопасности операционных систем (System Scanner).
3. Сканеры безопасности приложений (XSpider, System Scanner, VForce, AppDetective).
4.3.3 Сканеры безопасности сетевых сервисов и протоколов
Они сканируют локальную или удаленную машину с целью обнаружения уязвимостей и начинают с получения предварительной информации о проверяемой системе: о разрешенных протоколах и открытых портах, версии ОС и т.д. Некоторые сканеры могут попытаться сымитировать атаку на сетевой узел (реализацией моделей атак).
4.3.4 Сканеры безопасности операционных систем
Средства этого класса предназначены для проверки настроек ОС, влияющих на ее защищенность. К таким настройкам относятся: учетные записи пользователей, длина паролей и срок их действия, права пользователей на доступ к критичным системным файлам, уязвимые системные файлы и т.п. Данные сканеры могут проверить систему на наличие уязвимостей в прикладных программах и аппаратуре, уязвимостей связанных с недостатками в конфигурировании системы (не согласующиеся с политиками безопасности).
4.3.5Сканеры безопасности приложений
Несмотря на то, что особую популярность приобретают универсальные сканеры, качество проверок, определяемое их глубиной, возможно обеспечить только специализированными сканерами, разработанными для конкретных прикладных программ, WEB-серверов и СУБД. Как правило, их работа основана на специализированной методологии и использовании обширной базы знаний по уязвимостям конкретной прикладной системы.
4.3.6 Недостатки сканеров безопасности
1. Обычно они могут только проверить известные уязвимости в системе безопасности. Их эффективность зависит в значительной степени от точности и быстродействия источника информации об уязвимостях.
2. Испытание на известную уязвимость может пройти неудачно. Иногда единственный способ определить, действительно ли система имеет некоторую известную слабость, состоит в том, чтобы пробовать задействовать это слабое место и понаблюдать, как система будет себя вести.
Такой способ наиболее эффективен, но может иметь опасные последствия для всей системы. Альтернативой является следующее: собрать наиболее важную информацию (например, тип службы и версию) и на этом основании принять решение. Этот подход безопасен, но менее точен и часто ведет к большому количеству ложных подозрений.
Сканеры нового поколения используют более интеллектуальные методы сканирования, и помогают уменьшить зависимость от знания предыдущих атак.
Интеллектуальное сканирование находится в стадии бурного развития, неудачи автоматических сканеров свидетельствуют о более фундаментальных недостатках в концепции сканирования уязвимостей. Поэтому нужно всегда помнить, что сканер не обнаружит все уязвимости системы, и будет часто сообщать о проблемах, которых, на самом деле, нет. Кроме того, современные сканеры не понимают взаимозависимости между системами, контекст, в котором компьютерные системы существуют, и роль, которую люди играют в действии компьютерных систем.
4.3.7 Сканер безопасности NMap
NMap – the Network Mapper. Консольная программа NMap предназначена для сканирования сетей с любым количеством объектов, определения состояния объектов сканируемой сети а также портов и соответствующих им служб.
Для этого NMap использует много различных методов сканирования, таких, как UDP, TCP connect(), TCP SYN (полуоткрытое), FTP proxy (прорыв через ftp), Reverse-ident, ICMP (ping), FIN, ACK, Xmas tree, SYN и NULL-сканирование (для определения действий соответствующих служб см. «Справку Windows»).
NMap также поддерживает большой набор дополнительных возможностей, а именно: определение ОС удаленного хоста с использованием отпечатков стека TCP/IP, «невидимое» сканирование, динамическое вычисление времени задержки и повтор передачи пакетов, параллельное сканирование, определение
неактивных хостов методом параллельного ping-опроса, сканирование с использованием ложных хостов, определение наличия пакетных фильтров, прямое (без использования portmapper) RPC-сканирование, сканирование с использованием IP-фрагментации а также произвольное указание IP-адресов и номеров портов сканируемых сетей.
Результатом работы NMap является список отсканированных портов удаленной машины с указанием номера и состояния порта, типа используемого протокола а также названия службы, закрепленной за этим портом.
Порт характеризуется тремя возможными состояниями: «открыт», «фильтруемый» и «нефильтруемый». Состояние «открыт» означает, что удаленная машина прослушивает данный порт. Состояние «фильтруемый» означает, что межсетевой экран, пакетный фильтр или другое устройство блокирует доступ к этому порту и NMap не смог определить его состояние. «Нефильтруемый» означает, что по результатам сканирования NMap воспринял данный порт как закрытый, при этом средства защиты не помешали NMap определить его состояние. Это состояние NMap определяет в любом случае.
В зависимости от указанных опций, NMap также может определить следующие характеристики сканируемого хоста: метод генерации TCP ISN, имя пользователя (username) владельца процесса, зарезервировавшего сканируемый порт, символьные имена, соответствующие сканируемым IP-адресам и т.д.
Команда использования NMap (в консольном режиме)
nmap [Метод(ы) сканирования] [Опции] <Хост или сеть #1,[#N]>
4.3.8 Основные методы сканирования
-sT (scan TCP) – использовать метод TCP connect(). Наиболее общий метод сканирования TCP-портов. Функция connect(), присутствующая в любой ОС, позволяет создать соединение с любым портом удаленной машины. Если указанный в качестве аргумента порт открыт и прослушивается сканируемой машиной, то результат выполнения connect() будет успешным (т.е. соединение будет установлено), в противном случае указанный порт является закрытым, либо доступ к нему заблокирован средствами защиты. Для того, чтобы использовать данный метод, пользователь может не иметь никаких привилегий на сканирующем хосте. Этот метод сканирования легко обнаруживается целевым (т.е. сканируемым) хостом, поскольку его log-файл будет содержать запротоколированные многочисленные попытки соединения и ошибки выполнения данной операции. Службы, обрабатывающие подключения, немедленно заблокируют доступ адресу, вызвавшему эти ошибки.
-sS (scan SYN) – использовать метод TCP SYN. Этот метод часто называют полуоткрытым сканированием, поскольку при этом полное TCP-соединение с портом сканируемой машины не устанавливается. NMap посылает SYN-пакет, как бы намереваясь открыть настоящее соединение, и ожидает ответ. Наличие флагов SYN|ACK в ответе указывает на то, что порт удаленной машины открыт и прослушивается. Флаг RST в ответе означает обратное. Если NMap принял пакет SYN|ACK, то в ответ немедленно отправляет RST-пакет для сброса еще не установленного соединения (реально эту операцию выполняет сама ОС).
Очень немного сайтов способны обнаружить такое сканирование. Пользователь должен иметь статус root для формирования поддельного SYN-пакета.
-sF,-sX,-sN (scan FIN, scan Xmas, scan NULL) – «невидимое» FIN, Xmas Tree и NULL-сканирование. Эти методы используются в случае, если SYN- сканирование по каким-либо причинам оказалось неработоспособным (некоторые межсетевые экраны и пакетные фильтры ожидают и блокируют поддельные SYN-пакеты на защищенные ими порты).
-sP (scan Ping) – ping-сканирование. Иногда вам необходимо лишь узнать адреса активных хостов в сканируемой сети. NMap делает это, послав ICMP-сообщение «запрос эха» на каждый указанный IP-адрес. Хост, отправивший ответ на эхо, является активным.
-sV (scan Version) – включение режима определения версий служб, за которыми закреплены сканируемые порты. После окончания сканирования будет получен список открытых TCP и/или UDP-портов. Без этой опции в списке напротив каждого порта будет указана служба, которая обычно использует данный порт (эта информация берется из базы данных общеизвестных портов, файл nmap-services).
-sU (scan UDP) – сканировать UDP-порты. Этот метод используется для определения, какие UDP-порты (RFC 768) на сканируемом хосте являются открытыми. На каждый порт сканируемой машины отправляется UDP-пакет без данных. Если в ответ было получено ICMP-сообщение «порт недоступен», это означает, что порт закрыт. В противном случае предполагается, что сканируемый порт открыт. Надо помнить, что сканирование UDP-портов проходит очень медленно, поскольку практически все ОС следуют рекомендации RFC 1812 (раздел 4.3.2.8) по ограничению скорости генерирования ICMP-сообщений «порт недоступен». Например, ядро Linux ограничивает генерирование таких сообщений до 80 за 4 секунды с простоем 0,25 секунды, если это ограничение было превышено. У ОС Solaris ограничение составляет 2 сообщения в секунду, и поэтому сканирование Solaris проходит еще более медленно.
Microsoft не использует в своих ОС никаких ограничений, поэтому можно достаточно быстро просканировать все 65535 UDP-портов хоста, работающего под управлением ОС Windows.
-sO (scan Open protocol) – сканирование протоколов IP. Данный метод используется для определения IP-протоколов, поддерживаемых сканируемым хостом.
-sI <zombie_хост[:порт]> (scan Idle) – позволяет произвести «абсолютно невидимое» сканирование портов. Атакующий может просканировать цель, не посылая при этом пакетов от своего IP-адреса. Вместо этого используется метод IdleScan, позволяющий просканировать жертву через так называемый хост-«зомби». Кроме абсолютной невидимости, этот тип сканирования позволяет определить политику доверия между машинами на уровне протокола IP.
-sA (scan ACK) – использовать ACK-сканирование. Этот дополнительный метод используется для определения набора правил (ruleset) межсетевого экрана. В частности, он помогает определить, защищен ли сканируемый хост таким экраном или просто пакетным фильтром, блокирующим входящие SYN-пакеты.
-sW (scan Window) – использовать метод TCP Window. Этот метод похож на ACK-сканирование, за исключением того, что иногда с его помощью можно определять открытые порты точно так же, как и фильтруемые/нефильтруемые.
-sR (scan RPC) – использовать RPC-сканирование. Этот метод используется совместно с другими методами сканирования и позволяет определить программу, которая обслуживает RPC-порт, и номер ее версии.
-sL (scan List) – получить список сканируемых адресов. Эта опция позволяет вам получить список адресов хостов, которые будут просканированы NMap, до начала процесса сканирования. Опция может использоваться в случае, когда вам необходимо определить имена большого количества хостов по их адресам и т.д.
-b <ftp_relay хост> (bounche scan) – использовать атаку «прорыв через FTP». Интересной возможностью протокола FTP (RFC 959) является поддержка «доверенных» (proxy) ftp-соединений. Другими словами, с доверенного хоста можно соединиться с целевым ftp-сервером и отправить файл, находящийся на нем, на любой адрес Интернета. Данная возможность известна с 1985 года (когда был написан этот RFC). NMap использует эту уязвимость для сканирования портов с «доверенного» ftp-сервера. Итак, злоумышленник можете подключиться к ftp-серверу «над» файрволлом и затем просканировать заблокированные им порты (например 139-й). Если ftp-сервер позволяет читать и записывать данные в какой-либо каталог (например /incoming), он также может отправить любые данные на эти порты. Аргумент, указываемый после -b, представляет собой URL сервера ftp, используемого в качестве «доверенного».
Формат URL следующий: имя_пользователя:пароль@сервер:порт. Адрес сервера нужно
указать обязательно, остальное можно не указывать.
4.3.9 Дополнительные опции
Эти опции не обязательные (т.е. нормальная работа NMap возможна и без их указания).
-h (show help) – печатает справку по использованию Nmap с указанием опций и краткого их описания, не запуская саму программу.
-P0 (Ping 0) – не производить ping-опрос хостов перед их непосредственным сканированием.
-PT (Ping TCP) – использовать TCP-ping. Вместо посылки запроса ICMP-эха, Nmap отправляет TCP ACK-пакет на сканируемый хост и ожидает ответ.
Если хост активен, то в ответ должен прийти RST-пакет.
-PS (Ping SYN) – опция, также используемая для ping-опроса. При этом вместо ACK-пакета TCP-ping используется SYN-пакет. Активные хосты посылают в ответ RST-пакеты (реже SYN|ACK).
-PU [portlist] (Ping UDP) – использовать UDP-ping. NMap отправляет UDP-пакеты на указанный хост и ожидает в ответ ICMP «port unreachable» (или ответы от открытых портов UDP) если хост активен.
-PE (Ping ICMP) – эта опция использует в качестве ping-запроса нормальный ping-пакет (запрос ICMP-эха). Опция применяется для поиска активных хостов а также адресов сетей с возможностью широковещания. Такие сети пересылают прибывший ICMP-пакет всем своим объектам. Как правило, такие сети представляют собой «живую мишень» для злоумышленника.
-PP – использует пакет ICMP «timestamp request (code 13)» для определения активных хостов.
-PB (Ping Both) – режим ping-опроса по-умолчанию. Использует одновременно запросы типа ACK и ICMP.
-O (Operating system detection) – эта опция позволяет определить операционную систему сканируемого хоста с помощью метода отпечатков стека TCP/IP. Другими словами, NMap активизирует мощный алгоритм, функционирующий на основе анализа свойств сетевого программного обеспечения установленной на нем ОС. В результате сканирования получается формализованный «отпечаток», состоящий из стандартных тестовых запросов и ответов хоста на них. Затем полученный отпечаток сравнивается с имеющейся базой стандартных ответов известных ОС, хранящейся в файле nmap-os-fingerprinting, и на основании этого принимается решение о типе и версии ОС сканируемого хоста.
Этот метод требует наличия хотя бы одного закрытого и одного открытого порта на целевом хосте.
-A – Эта опция включает режим additional advanced aggressive, и разрешает опции -O, -sV, -T4, -v.
-I (Ident scan) – использовать reverse-ident сканирование. Протокол Ident (RFC 1413) позволяет вскрыть имя пользователя (username) процесса, использующего TCP, даже если этот процесс не инициализировал соединение. Так, например, вы можете подключиться к порту http и затем использовать identd для поиска на сервере пользователя root. Это может быть сделано только при установлении «полного» TCP-соединения с портом сканируемой машины (т.е. необходимо использовать опцию -sT). NMap опрашивает identd сканируемого хоста параллельно с каждым открытым портом. Естественно, этот метод не будет работать, если на целевом хосте не запущен identd.
-f (use fragmentation) – эта опция используется совместно с SYN, FIN, Xmas или NULL-сканировании и указывает на необходимость использования IP-фрагментации с малым размером фрагментов. Это значительно усложняет фильтрацию пакетов, работу систем обнаружения и других подобных средств защиты, и позволяет NMap скрыть свои действия.
-v (verbose output) – использовать режим «подробного отчета». Эту опцию рекомендуется использовать в любых случаях, поскольку при этом NMap подробно сообщает о ходе выполнения текущей операции.
-iR (input Random) – если вы укажете эту опцию, NMap будет сканировать случайно выбранные им хосты, адреса которых получены с помощью генератора случайных величин. Этот процесс будет длиться, пока вы его не остановите.
Функция может пригодиться для статистического исследования Интернета.
-p <диапазон(ы)_портов> (ports) – эта опция указывает NMap, какие порты необходимо просканировать. Например, -p 23 означает сканирование 23 порта на целевой машины. По-умолчанию Nmap сканирует все порты в диапазоне 1-1024, поскольку все они перечислены в файле services.
-F (Fast scan) – быстрое сканирование.
--data_length <число> – эта опция добавляет к большинству пакетов (кроме пакетов для определения ОС) указанное число нулевых байт. Повышает конспирацию, т.к обычно NMap посылает пакет, содержащий только заголовок. Таким образом, TCP-пакет имеет длину 40 байт, а ICMP «echo requests» 28 байт.
--packet_trace Показывать все принимаемые и передаваемые пакеты в формате TCPDump.
4.3.10 Задание цели
Все, что не является опцией или ее аргументом, NMap воспринимает как адрес или имя целевого хоста (т.е. хоста, подвергаемого сканированию). Простейший способ задать сканируемый хост – указать его имя или адрес в командной строке после указания опций и аргументов.
Для сканирования подсети IP-адресов, необходимо указать параметр
/<mask>
– маска, после имени или IP-адреса сканируемого хоста.
Маска может принимать следующие значения:
/0 – сканировать весь Интернет;
/16 – сканировать адреса класса B;
/24 – сканировать адреса класса С;
/32 – сканировать только указанный хост.
NMap позволяет также гибко указать целевые IP-адреса, используя списки и диапазоны для каждого их элемента. Например, необходимо просканировать подсеть класса B с адресом 128.210.*.*. Задать эту сеть можно любым из следующих способов:
128.210.*.*
128.210.0-255.0-255
128.210.1-50,51-255.1,2,3,4,5-255
128.210.0.0/16
Все эти строки эквивалентны.
Если необходимо просканировать, например, все IP-адреса, оканчивающиеся на 5.6 либо 5.7, то можно указать в качестве целевого IP-адреса строку:
*.*.5.6-7
4.3.8 Сканер безопасности XSpider
Сканер безопасности XSpider является разработкой фирмы Positive Technologies. В отличии от сканера NMap, сканер XSpider имеет удобный графический интерфейс, более интеллектуальные алгоритмы поиска уязвимостей, большую обновляемую базу уязвимостей, а также возможность создания полноценных отчетов по безопасности системы и многое другое (рисунок 4.12).
Рис. 4.12-Интерфейс сканера безопасности XSpider 7.5
Особо стоит упомянуть эвристические алгоритмы, использующиеся в XSpider. Он не только занимается простым перебором уязвимостей из базы, но и выполняет дополнительный анализ по ходу работы, исходя из особенностей текущей ситуации. Благодаря этому, XSpider может иногда обнаружить специфическую уязвимость, информация о которой еще не была опубликована.
Центральной концепцией XSpider является Задача. Она включает в себя набор проверяемых хостов. В Задачу имеет смысл объединять хосты, которые следует проверять схожим образом. Задаче можно присвоить Профиль – набор настроек, которые определяют нюансы сканирования. Если этого не сделать – будет использоваться «Профиль по-умолчанию».
Выполнение Задачи можно автоматизировать, то есть присвоить ей расписание, по которому она будет выполняться. Для каждой Задачи хранится полная история всех сканирований. Результаты любого из них можно загрузить и работать с ними, как со «свежими». Это удобно и для анализа развития ситуации, и для того, чтобы случайно не потерять какие-то результаты работы. Задачи, как файлы, можно открывать, сохранять и т.п. Каждой Задаче соответствует файл на диске, находящийся по-умолчанию в стандартном каталоге XSpider (Tasks).
Одновременно XSpider может обрабатывать много Задач, каждая из которых может содержать много хостов. Единственное, что стоит учесть – пропускную способность канала, связывающего XSpider с проверяемыми компьютерами. Учитывая, что трафик, создаваемый XSpider на один хост, невелик, то перегрузка канала возможна либо при очень большом (сотни) числе одновременно сканируемых хостов, либо, если канал «узкий». Через настройки можно регулировать максимальное число проверяемых хостов на одну Задачу. Если в Задаче, например, 100 хостов, можно указать, что одновременно должны сканироваться 50. Остальные будут стоять в очереди и проверятся последовательно.
Вопросы для самоконтроля
1. Охарактеризуйте особенности конфигурирования узлов каждой из зон.
2. Какие IDS используются в организации?
3. Какие задачи позволяет решать Cisco Works VPN/Security Management Solution v.2.2?
4. Для решения каких задач, связанных с безопасностью, используется сервер времени?
5. Для решения каких задач используется продукт Cisco Security Information Management Solution v.3.1?
6. Для решения каких задач используется продукт Zone Labs Integrity Server v.1.6?
7. В каких руководствах описывается правила безопасности конфигурирования пограничных маршрутизаторов?
8. Назовите причины проблем с регистрацией рабочей станции в домене.
9. Что такое IDS и для каких целей они служат?
10. Какие виды IDS существуют и каковы принципы их работы?
11. Что такое сканер безопасности и для чего он служит?
12. В чем заключаются принципы работы сканера безопасности?
PAGE 124