Анотація
В даній курсовій роботі розглянута концепція безпеки в локальній мережі а також технічні і організаційні аспекти рішення цієї проблеми.
Крім того проведений аналіз ризиків, пов'язаних з роботою локальних мережах.
Розглянуто роботу апаратної системи захисту локальних мереж SunScreen та пристрою забезпечення безпеки в локальній мережі SKIPBridge.

ЗМІСТ
Вступ…………………………………………………………………………...……….3
Системи Виявлення Несанкціонованих Підключень (СОНП)………………….6
Протокол управління криптоключами SKIP……………………………………11
Пристрій забезпечення безпеки локальної мережі SKIPBridge………………12
Пристрій SunScreen: апаратна система захисту локальних мереж…………13
Концепція рішення: політика безпеки……………………………………………14
Міжмережевий екран - інструмент реалізації політики безпеки………..…….15
Особливості і переваги пропонованого рішення………………………………..20
Технічні аспекти забезпечення безпеки…………………………………………..22
Апаратне забезпечення і компоновка системи безпеки…………………..…….22
Структура екрануючого сегменту…………………………………………...…….22
Конфігурація комп'ютера-шлюзу…………………………………………...…….23
Забезпечення безпеки видаленого доступу………………………………..……..23
Програмне забезпечення і конфігурація…………………………………………24
Програма Firewall-1………………………………………………………………..24
Засіб аутентифікації S/key……………………………………………………...…..25
Модуль управління термінальним сервером……………………………..……..26
Розробка і корекція правил політики безпеки…………………………………..26
Висновок………………………………………………………………………….…..29
Література………..…………………………………………………………………..30
Вступ
Багато великих і середніх компаній, що піклуються про свою інформаційну безпеку, напевно стикалися з проблемою виявлення несанкціонованих підключень до своєї локальної мережі. Адже ні для кого не секрет, що 80% атак відбувається зсередини компанії і важливим завданням хакера є підключення свого комп'ютера або шпигунського пристрою до мережі компанії.
Підключення організації до глобальної мережі, такий як Internet, істотно збільшує ефективність роботи організації і відкриває для неї безліч нових можливостей. В той же час, організації необхідно поклопочеться про створення системи захисту інформаційних ресурсів, від тих, хто захоче їх використовувати, модифікувати або просто знищити.
Не дивлячись на свою специфіку, система захисту організації при роботі в глобальних мережах повинна бути продовженням загального комплексу зусиль, направлених на забезпечення безпеки інформаційних ресурсів.
Згідно визначенню, приведеному в Керівному документі Гостехкоміссиі РФ "Захист від несанкціонованого доступу до інформації", під інформаційною безпекою розуміється "стан захищеності інформації, оброблюваної засобами обчислювальної техніки або автоматизованої системи від внутрішніх або зовнішніх погроз".
Захист інформації - це комплекс заходів, направлених на забезпечення інформаційної безпеки. На практиці під цим розуміється підтримка цілісності, доступності і, якщо необхідно, конфіденційності інформації і ресурсів, використовуваних для введення, зберігання, обробки і передачі даних. Комплексний характер, проблеми захисту говорить про те, що для її вирішення необхідне поєднання законодавчих, організаційних і программно- технічних заходів.
Даний документ описує пропоновані рішення, що забезпечують інформаційну безпеку при роботі в Internet або з іншими інформаційними ресурсами, які повністю або частково знаходяться поза організацією і не можуть їй повністю контролюватися.
Розглянемо найбільш поширені погрози, до яких схильні сучасні комп'ютерні системи. Знання можливих погроз, а також вразливих місць інформаційної системи, необхідне для того, щоб вибирати найбільш ефективні засоби забезпечення безпеки.
Найчастішими і найнебезпечнішими (з погляду розміру збитку) є ненавмисні помилки користувачів, операторів, системних адміністраторів і інших осіб, обслуговуючих інформаційні системи. Іноді такі помилки приводять до прямого збитку (неправильно введені дані, помилка в програмі, що викликала зупинку або руйнування системи). Іноді вони створюють слабкі місця, якими можуть скористатися зловмисники (такі зазвичай помилки адміністрування).
Згідно даним Національного Інституту Стандартів і Технологій США (NIST), 65% випадків порушення безпеки ИС - наслідок ненавмисних помилок. Робота в глобальній інформаційній мережі робить цей чинник достатньо актуальним, причому джерелом збитку можуть бути як дії користувачів Вашої організації, так і користувачів глобальної мережі, що особливо небезпечно.
На другому місці по розмірах збитку розташовуються крадіжки і фальсифікації. У більшості розслідуваних випадків винуватцями виявлялися штатні співробітники організацій, відмінно знайомі з режимом роботи і захисними заходами. Наявність могутнього інформаційного каналу зв'язку з глобальними мережами може, за відсутності належного контролю за його роботою, додатково сприяти такій діяльності.
Скривджені співробітники, що навіть були, знайомі з порядками в організації і здатні шкодити вельми ефективно. Необхідно стежити за тим, щоб при звільненні співробітника його права доступу до інформаційних ресурсів анулювалися.
Навмисні спроби діставання несанкціонованого доступу через зовнішні комунікації займають в даний час близько 10% всіх можливих порушень. Хоча ця величина здається не такою значною, досвід роботи в Internet, у тому числі і власний досвід компанії "JET Infosystems" показує, що майже кожен Internet- сервер по декілька разів на день піддається спробам проникнення. Крім того, необхідно мати на увазі динаміку розвитку рисок цього типу: за даними Групи вивчення комп'ютерних рисок (CERT), що проводила дослідження різних систем, контрольованих урядом США, якщо в 1990 році зареєстровано 130 вдалих спроб несанкціоновано доступу до комп'ютерних ресурсів через Internet, то за 1994 рік ця цифра склала 2300. Втрати американських компаній, пов'язані з порушеннями безпеки, склали більш US$5 млн.
При аналізі рисок необхідно взяти до уваги той факт, що комп'ютери в локальній мережі організації рідко бувають достатньо захищені, щоб протистояти атакам або хоч би реєструвати факти порушення інформаційної безпеки. Так, тести Агентства Захисту Інформаційних Систем (США) показали, що 88% комп'ютерів мають слабкі місця з погляду інформаційної безпеки, які можуть активно використовуватися для діставання несанкціонованого доступу. При цьому в середньому тільки кожен дванадцятий адміністратор виявляє, що вказаний інцидент відбувся в керованій ним системі.
Окремо слід розглянути випадок видаленого доступу до інформаційних структур організації через телефонні лінії, за допомогою популярних протоколів SLIP/PPP. Оскільки в цьому випадку ситуація близька до ситуації взаємодії користувачів локальної і глобальної мережі, рішення виникаючих проблем також може бути аналогічним рішенням для Internet.
Ми пропонуємо рішення, що мінімізують описані вище ризики, пов'язані з взаємодією ИС організації і зовнішніх інформаційних ресурсів. Ці рішення засновані на концепції міжмережевого екранування (Firewall).
Для ефективного вирішення несанкціонованого підключення до локальної мережі необхідно забезпечити роботу системи виявлення в режимі реального часу, причому інформація про неавторизоване з'єднання повинна містити не тільки мережеві параметри (MAC адреса, IP адреса, VLAN, IP адреса і номер порту комутатора), але і географічне розташування підключеного комп'ютера (будівля, поверх, номер кімнати, номер розетки).
Нижче ми розглянемо технологію побудови Системи Виявлення Несанкціонованих Підключень (СОНП), що грунтується на аналізі SNMP повідомлень нотифікацій про зміну статусу порту, отримуваних від мережевих комутаторів, і визначення неавторизованих підключень на основі відсутності MAC адреси пристрою в базі даних авторизованих хостов мережі.
Системи Виявлення Несанкціонованих Підключень (СОНП)
Обробка SNMP повідомлень – ядро SNMP повідомлення, IP, що містить, адреса комутатора і номер порту, що знов включився, посилається мережевим комутатором на центральний сервер моніторингу при зміні статусу будь-якого порту з "Вимкнений" на "Включений". Відправку таких повідомлень підтримують навіть найпростіші моделі мережевих комутаторів, тому реалізувати інфраструктуру моніторингу всіх портів локальної мережі досить просто.
Як серверна частина, що забезпечує збір SNMP повідомлень, може виступати сервер мережевого моніторингу, що існує в компанії (HP OpenView, IBM Tivoli, Microsoft MOM, і т.п.).
Далі повідомлення поступає на обробку, де проводиться визначення (discovery) основних ідентифікаційних параметрів підключення.
Насамперед необхідно визначити всю можливу інформацію про нове з'єднання. Як показано на схемі, як джерела інформації про з'єднання можуть бути самі мережеві комутатори, база даних СКС компанії (про неї ми поговоримо окремо), а також база даних дозволених з'єднань, в якій зберігаються всі коли-небудь виявлені підключення.
Аналіз з'єднання дозволяє визначити важливу інформацію про мережеві властивості (MAC адреса, IP адреса, VLAN, номер порту мережевого комутатора, мережеве ім'я), і місцерозташування підключеного комп'ютера.
Після цього, за допомогою бази даних з'єднань, що зберігає інформацію про з'єднання і їх статус "Разрешено/Запрещено", проводиться перевірка з'єднання на легітимність. Якщо оброблюване з'єднання зареєстроване в базі, як дозволене, то на цьому його обробка завершується. Тобто система просто ігнорує подію події, розцінюючи його, як нормальну активність.
Якщо ж з'єднання пізнане як Заборонене або непізнане (нове) на консоль Адміністратора безпеки висилається Тривожне повідомлення, а в БД З'єднань заноситься інформація про факт нового або забороненого з'єднання.
Робоче місце Адміністратора Безпеки
Повідомлення Адміністратора Безпеки може бути реалізоване будь-яким з безлічі доступних способів. Наприклад, якщо в компанії реалізований диспетчерський центр на базі таких продуктів, як HP OpenView, IBM Tivoli або Microsoft MOM, то можна виводити повідомлення на консоль диспетчера. Іншими можливими варіантами є повідомлення по електронній пошті, SMS, спливаючі повідомлення на екран робочої станції Адміністратора безпеки.
Після отримання повідомлення, Адміністратор Безпеки повинен мати можливість проглянути деталі з'єднання, щоб ухвалити рішення про його дозвіл або заборону. У цей момент Адміністратор Безпеки може або здійснити фізичну перевірку підключеного комп'ютера, маючи інформацію про розташування підключеного комп'ютера усередині будівлі, або, володіючи даними про мережеві параметри підключення, запитати службу IT про легітимність знаходження даного пристрою в корпоративній мережі.
При позитивному рішенні Адміністратор безпеки реєструє З'єднання, як дозволене. Інформація про це заноситься в БД З'єднань.
Якщо дане з'єднання розглядається, як небажане, робляться відповідні адміністративні заходи, а інформація про пристрій заноситься в БД з'єднань з позначкою "Заборонене". Будь-яке подальше підключення цього пристрою в мережу викличе тривожне повідомлення.
База даних СКС
База даних СКС - це, мабуть, один їх самих затребуваних компонентів Системи Виявлення Несанкціонованих Підключень. При її наявності Сервер Моніторингу на етапі аналізу SNMP повідомлення може по номеру порту мережевого комутатора з точністю до настінної розетки визначити вірогідне місцерозташування підключеного комп'ютера.
На жаль, не у всякій компанії ведеться строгий облік з'єднань СКС. В цьому випадку можна почати з реалізації БД СКС у вигляді простого файлу, IP, що містить, адреса комутатора і опис його місцерозташування і обслуговуваних ним приміщень. Таким чином, на першому етапі, вдасться локалізувати місцерозташування шуканого підключення.
Інші можливості
Проте, на цьому можливості СОНП не обмежуються. Використовуючи розглянутий вище алгоритм, як основу, нескладно використовувати Систему для виконання наступних функцій.
* Від моніторингу до проактивного управління:
про При виявленні забороненого підключення СОНП автоматично вимикає відповідний порт комутатора.
про При виявленні нового підключення СОНП автоматично поміщає відповідний порт комутатора в гостьовий VLAN.
* Інтеграція з іншими системами:
про Система заявок - ИТ реєструє заявку на новий комп'ютер. Після схвалення заявки службою інформаційній безпеці інформація про нове дозволене з'єднання автоматично заноситься в БД З'єднань.
про Система заявок - при виникненні тривожної події відповідний інцидент автоматично генерується в системі реєстрації заявок і прямує на виконання службі інформаційній безпеці.
про БД СКС, поэтажные плани - виведення інформації про місцерозташування несанкціонованого підключення на поэтажном плані.
об Бази даних обліку комп'ютерного устаткування і СКС - при реєстрації нового дозволеного з'єднання інформація про підключений комп'ютер автоматично заноситься в БД обліку комп'ютерного устаткування і БД СКС.
* Ведення журналів історії з'єднань:
об Ведення історії фізичного переміщення пристроїв в мережі.
об Ведення журналу включень і виключень пристроїв в мережі.
Звичайно, при проектуванні і реалізації подібної системи необхідно відштовхуватися в першу чергу від запитів клієнта - служби Інформаційній Безпеці компанії. Якщо якісь з описаних вище функцій вже реалізовані за допомогою інших інформаційних систем, то залишається тільки з розумом скористатися вже наявними напрацюваннями. Якщо ж в компанії не упроваджені супутні системи (обліку інцидентів, диспетчерського центру, управління СКС), то почати можна з реалізації основної функції - виявлення несанкціонованих підключень до локальної мережі компанії.
Відповідаючи на питання скептиків
Чому SNMP?
Останнім часом всього більшого поширення набуває протокол 802.1x, що забезпечує авторизацію будь-якого комп'ютера, що підключається до мережі. Чому не використовувати 802.1х замість SNMP. На жаль, ця технологія володіє поряд серйозних недоліків.
По-перше, використовуючи 802.1х практично неможливо забезпечити повне покриття всієї локальної мережі підприємства. Всі пристрої в мережі (включаючи активні мережеві пристрої) повинні підтримувати цей протокол. На сьогоднішній день абсолютна більшість принтерів, сканерів, а також нестандартних мережевих пристроїв (системи відео-спостереження і т.п.) не підтримують 802.1х. Для підключення їх до мережі доводиться або організовувати виділені мережі (що не завжди зручно, наприклад, для принтерів), або відключати авторизацію 802.1х на портах активного мережевого устаткування, до яких підключені ці пристрої. Таким чином, зловмисникові досить знайти мережевий принтер або інший пристрій, який не підтримує авторизацію 802.1х і підключити туди свій комп'ютер, - оскільки авторизація на цьому мережевому порту не включена, то визначити або заборонити це підключення не вдається.
Крім того, протокол 802.1х не володіє власними засобами моніторингу, тобто служба інформаційній безпеці не може отримати сигналу про те, що в якому-небудь місці мережі відбулася спроба неавторизованого підключення.
І нарешті, протокол 802.1х вимагає для своєї реалізації побудови інфраструктури PKI в масштабах всієї локальної мережі, що само по собі є достатньо трудомістким завданням.
Як можна покладатися на MAC-адреси?
Дехто припускає, що ідентифікація з'єднання на основі MAC-адреси не може вважатися достовірною. В цілому, це твердження можна вважати вірним, оскільки сучасні програмні засоби, доступні будь-якому хакерові, що починає, дозволяють з легкістю змінювати MAC-адресу комп'ютера. Проте, існує декілька доводів на користь вибраного методу.
Оскільки система знає всі дозволені MAC-адреси і зберігає їх прив'язку до портів мережевого устаткування, то для того, щоб її "обдурити" доведеться попітніти - знайти комп'ютер вже підключений в мережу, "вкрасти" його MAC-адресу (при цьому, легальний комп'ютер необхідно відключити) і підключитися в той же порт мережевого комутатора. По-справжньому захищену мережу можна створити тільки з використанням різних засобів захисту на всіх рівнях. Описана в справжній статті СОНП може виступати, як система раннього сповіщення про можливе несанкціоноване проникнення в мережу. Можна навіть порівняти її з інтелектуальною системою відеоспостереження, що постійно записує зображення з камер, але що включає сигнал сповіщення тільки у разі виникнення підозрілого руху.
Проблема інформаційної безпеки Internet (або корпоративною TCP/IP-сети) обговорюється в літературі давно.
Internet з гнітючою періодичністю приголомшують скандали, суть яких можна виразити простим словосполученням: розкрадання (або псування) інформації. Ця ситуація не влаштовує багато користувачів, в першу чергу тих, хто тяжіє до комерційного використання практично необмежених ресурсів Internet.
Але Internet не був би Internet'ом, якби в його надрах не народилося рішення, що відповідає проблемам, що виставляються життям. Причому, технічна ідея запропонованого рішення володіє спільністю, що дозволяє говорити про те, що Internet після її впровадження по ступеню безпеки перевершить навіть спеціалізовані закриті корпоративні мережі.
В значній мірі інформаційна безпека Internet визначається особливостями базових комунікаційної і операційної платформ - TCP/IP і UNIX. TCP/IP володіє високою сумісністю як з різними по фізичній природі і швидкісним характеристикам каналами, так і з широким довкола апаратних платформ; крім того, цей протокол в рівній мірі ефективно працює як в локальних мережах, так і в регіональних і глобальних мережах; сукупність цих характеристик робить протокол TCP/IP унікальним засобом для інтеграції великих розподілених гетерогенних інформаційних систем.
І ось тепер ми можемо говорити і про адекватне мережеве рішення для забезпечення інформаційного безпеці для протоколу TCP/IP. Це рішення володіє фундаментальною універсальністю і спільністю, воно дозволяє з регульованим ступенем надійності захищати трафік всіх без виключення користувачів і прикладних систем при повній прозорості (невидимості для додатків) засобів захисту.
Що є цими засобами захисту?
Протокол, керівник шифруванням трафіку SKIP (Simple Key management for Internet Protocol) і створений на його основі ряд продуктів захисту інформації, що масштабується (ряд програмних реалізацій протоколу SKIP для базових апаратний-програмних платформ, пристрій колективного захисту локальної мережі SKIPBridge, пристрій сегментації мереж і забезпечення регульованої політики безпеки SunScreen).
Протокол управління криптоключами SKIP
SKIP (Simple Key mamagement for Internet Protocol - Простій протокол управління криптоключами в інтермережі) розроблений компанією Sun Microsystems в 1994 році і запропонований як стандарт Internet. На 33-ій сесії "законодавчого органу" Internet - комісії Internet Engineering Task Force (IETF), що пройшла в липні цього року в Стокгольмі була створена робоча група по протоколу SKIP, що можна вважати першим кроком до прийняття SKIP як стандарт.
У основі SKIP лежить криптографія відкритих ключів Діффі-хеллмана.
SKIP має, в порівнянні з існуючими системами шифрування трафіку ряд унікальних особливостей:
* SKIP універсальний: він шифрує IP-пакети, не знаючи нічого про додатки, користувачів або процеси, що їх формують; встановлений в комп'ютері безпосередньо над пакетним драйвером, він обробляє важ трафік, не накладаючи ніяких обмежень ні на вищерозміщене програмне забезпечення, ні на фізичні канали, на яких він використовується
* SKIP сеансонезависим: для організації захищеної взаємодії не вимагається додаткового інформаційного обміну (за виключенням одного разу і назавжди запитаного відкритого ключа партнера по зв'язку)
* SKIP незалежний від системи шифрування (в тому сенсі, що різні системи шифрування можуть під'єднуватися до системи, як зовнішні бібліотечні модулі); користувач може вибирати будь-який з пропонованих постачальником або використовувати свій алгоритм шифрування інформації; можуть використовуватися різні (різною мірою захищені) алгоритми шифрування для закриття пакетного ключа і власне даних.
Пристрій забезпечення безпеки локальної мережі SKIPBridge
Пристрій SKIPBridge є системою, що встановлюється на інтерфейсі внутренняя/внешняя мережа (локальна сеть/коммуникационный провайдер). Пристрій забезпечує захист (шифрування) трафіку, що направляється з внутрішньої мережі в зовнішню на основі протоколу SKIP, а також фільтрацію і дешифровку трафіку, що поступає із зовнішньої мережі у внутрішню.
IP-пакети, що приймаються із зовнішньої мережі, обробляються протоколом SKIP (расши-фровываются, фільтруються відкриті пакети в режимі тільки захищеного трафіку, контролюється і забезпечується имитозащита). Пакети, що пройшли фільтрацію SKIP, за допомогою протоколу IP передаються програмному забезпеченню SKIPBridge, вирішальному завдання адміністративної безпеки (що забезпечує пакетну фільтрацію), і потім - операційній системі пристрою SKIPBridge, яка маршрутизує пакети на адаптер внутрішньої (локальною) мережі.
Пристрій SunScreen: апаратна система захисту локальних мереж
SunScreen - це спеціалізована система захисту, розроблена компанією Sun Microsystems, вирішальна завдання розвиненої фільтрації пакетів, аутентифікації і забезпечення конфіденційності трафіку. Пристрій SunScreen виконаний на основі апаратного модуля SPF-100. SPF-100 містить SPARC-процесор, що працює під управлінням спеціальної усіченої версії ОС Solaris, з якої вилучені функції низькорівневої обробки IP-пакетів. SunScreen не має IP-адреси, тому він "невидимий" із зовнішньої мережі і, тому, несхильний до прямої атаки.
Пристрій SunScreen, містить п'ять Ethernet-адаптерів, до яких можуть під'єднуватися чотири незалежні сегменти локальної мережі і комунікаційний провайдер. Для кожного сегменту забезпечується настройка індивідуальної політики безпеки шляхом завдання складного набору правил фільтрації пакетів (по напряму розповсюдження, по адресах відправника/одержувача, по протоколах і додатках, за часом доби і т.д.).
Іншою важливою межею SunScreen є підтримка протоколу SKIP, що, з одного боку використовується для забезпечення безпеки роботи, управління і конфігурації систем SunScreen, а з іншої - дозволяє організовувати SKIP-захист призначеного для користувача трафіку. Використання протоколу SKIP в Screen-системах привностит декілька додаткових можливостей. Screen-пристрої можуть інкапсулювати важ зовнішній трафік локальних мереж, що захищаються, в SKIP (проводити SKIP-туннелиро-вание). При цьому початкові IP-пакети можуть поміщатися в блоки даних SKIP-пакетів, а мережеві адреси всіх вузлів внутрішніх мереж можуть бути замінені на деякі віртуальні адреси, що відповідають в зовнішній мережі Screen-пристроям (адресна векторизація). В результаті важ трафік між локальними мережами, що захищаються, може виглядати ззовні тільки як повністю шифрований трафік між узлами-Screen-устрой-ствами. Вся інформація, яка може бути в цьому випадку доступна зовнішньому спостерігачеві, - це тимчасова динаміка і оцінка інтенсивності трафіку, яка, відмітимо, може маскуватися шляхом використання стиснення даних і видачі "порожнього" трафіку.
Продукт SunScreen був визнаний журналом "LAN Magazin" продуктом 1996 року в категорії firewall.
Концепція рішення: політика безпеки
У такому важливому завданні, як забезпечення безпеки інформаційної системи, немає і не може бути повністю готового рішення. Це пов'язано з тим, що структура кожної організації, функціональні зв'язки між її підрозділами і окремими співробітниками практично ніколи повністю не повторюються. Тільки керівництво організації може визначити, наскільки критичне порушення безпеки для компонент інформаційної системи, хто, коли і для вирішення яких завданнях може використовувати ті або інші інформаційні сервіси.
Ключовим етапом для побудови надійної інформаційної системи є вироблення політики безпеки.
Під політикою безпеки ми розумітимемо сукупність документованих управлінських рішень, направлених на захист інформації і пов'язаних з нею ресурсів.
З практичної точки зору політикові безпеки доцільно розділити на три рівні:

* Рішення, що зачіпають організацію в цілому. Вони носять вельми загальний характер і, як правило, виходять від керівництва організації.
* Питання, що стосуються окремих аспектів інформаційної безпеки, але важливі для різних систем, експлуатованих організацією.
* Конкретні сервіси інформаційної системи.
Третій рівень включає два аспекти - цілі (політики безпеки) і правила їх досягнення, тому його порою важко відокремити від питань реалізації. На відміну від двох верхніх рівнів, третій повинен бути набагато детальніше. У окремих сервісів є багато властивостей, які не можна єдиним чином регламентувати в рамках всієї організації. В той же час ці властивості настільки важливі для забезпечення режиму безпеки, що рішення, що відносяться до них, повинні ухвалюватися на управлінському, а не технічному рівні.
У даному випадку істотна політика безпеки, що формується на двох нижніх рівнях. Для того, щоб розглянути її конкретніше, необхідно визначити суть і основні функціональні властивості міжмережевого екрану - інструменту проведення цієї політики.
Міжмережевий екран - інструмент реалізації політики безпеки
Розглянемо структуру інформаційної системи підприємства (організації). У загальному випадку вона є неоднорідним набором (комплекс) з різних комп'ютерів, керованих різними операційними системами і мережевого устаткування, що здійснює взаємодію між комп'ютерами. Оскільки описана система вельми різнорідна (навіть комп'ютери одного типу і з однією ОС можуть, відповідно до їх призначення, мати абсолютно різні конфігурації), навряд чи має сенс здійснювати захист кожного елементу окремо. У зв'язку з цим пропонується розглядати питання забезпечення інформаційної безпеки для локальної мережі в цілому. Це виявляється можливим при використанні міжмережевого екрану (firewall).
Концепція міжмережевого екранування формулюється таким чином.
Хай є дві безліч інформаційних систем. Екран - це засіб розмежування доступу клієнтів з однієї множини до серверів з іншої множини. Екран виконує свої функції, контролюючи всі інформаційні потоки між двома безліччю систем. У простому випадку екран складається з двох механізмів, один з яких обмежує переміщення даних, а другий, навпаки, йому сприяє (тобто здійснює переміщення даних). У більш загальному випадку екран (напівпроникну оболонку) зручно уявляти собі як послідовність фільтрів. Кожен з них може затримати (не пропустити) дані, а може і відразу "перекинути" їх "на іншу сторону". Крім того, допускається передача порції даних на наступний фільтр для продовження аналізу, або обробка даних від імені адресата і повернення результату відправникові
Крім функцій розмежування доступу, екрани здійснюють також протоколювання інформаційних обмінів.
Зазвичай екран не є симетричним, для нього визначені поняття "усередині" і "зовні". При цьому завдання екранування формулюється як захист внутрішньої області від потенційно ворожої зовнішньої. Так, міжмережеві екрани встановлюють для захисту локальної мережі організації, що має вихід у відкрите середовище, подібну Internet. Інший приклад екрану - пристрій захисту порту, контролюючий доступ до комунікаційного порту комп'ютера до і незалежно від всіх інших системних захисних засобів.
Екранування дозволяє підтримувати доступність сервісів внутрішньої області, зменшуючи або взагалі ліквідовуючи навантаження, що індукується зовнішньою активністю. Зменшується уразливість внутрішніх сервісів безпеки, оскільки спочатку сторонній зловмисник повинен подолати екран, де захисні механізми конфігуровані особливо ретельно і жорстко. Крім того, екрануюча система, на відміну від універсальної, може бути влаштована простішим і, отже, безпечнішим чином.
Екранування дає можливість контролювати також інформаційні потоки, направлені в зовнішню область, що сприяє підтримці режиму конфіденційності.
Найчастіше екран реалізують як мережевий сервіс на третьому (мережевому), четвертому (транспортному) або сьомому (прикладному) рівнях семирівневої еталонної моделі OSI. У першому випадку ми маємо екрануючий маршрутизатор, в другому - екрануючий транспорт, в третьому - екрануючий шлюз. Кожен підхід мають свої достоїнства і недоліки; відомі також гібридні екрани, де робиться спроба об'єднати кращі якості згаданих підходів.
Екрануючий маршрутизатор має справу з окремими пакетами даних, тому іноді його називають пакетним фільтром. Рішення про те, пропустити або затримати дані, приймаються для кожного пакету незалежно, на підставі аналізу полів заголовків мережевого і (мабуть) транспортного рівнів, шляхом застосування заздалегідь заданої системи правив. Ще один важливий компонент аналізованої інформації - порт, через який пакет поступив в маршрутизатор.
Сучасні маршрутизатори (такі, як продукти компаній Bay Networks або Cisco) дозволяють пов'язувати з кожним портом декілька десятків правив і фільтрувати пакети як на вході (під час вступу до маршрутизатора), так і на виході. В принципі, як пакетний фільтр може використовуватися і універсальний комп'ютер, забезпечений декількома мережевими картами.
Основні достоїнства екрануючих маршрутизаторів - дешевизна (на межі мереж маршрутизатор потрібний практично завжди, справа лише в тому, щоб задіювати його екрануючі можливості) і прозорість для вищих рівнів моделі OSI. Основний недолік - обмеженість аналізованої інформації і, як наслідок. відносна слабкість забезпечуваного захисту.
Екрануючий транспорт дозволяє контролювати процес встановлення віртуальних з'єднань і передачу інформації ним. З погляду реалізації екрануючий транспорт є досить простим, а значить, надійну програму. Приклад екрануючого транспорту - продукт TCP wrapper.
В порівнянні з пакетними фільтрами, що екранує транспорт володіє більшою інформацією, тому він може здійснювати тонший контроль за віртуальними з'єднаннями (наприклад, він здатний відстежувати кількість передаваної інформації і розривати з'єднання після перевищення певної межі, перешкоджаючи тим самим несанкціонованому експорту інформації). Аналогічно, можливе накопичення змістовнішої реєстраційної інформації. Головний недолік - звуження області застосовності, оскільки поза контролем залишаються датаграммные протоколи. Зазвичай екрануючий транспорт застосовують у поєднанні з іншими підходами, як важливий додатковий елемент.
Екрануючий шлюз, що функціонує на прикладному рівні, здатний забезпечити найбільш надійний захист. Як правило, що екранує шлюз є універсальним комп'ютером, на якому функціонують програмні агенти, - поодинці для кожного обслуговуваного прикладного протоколу. При подібному підході, крім фільтрації, реалізується ще один найважливіший аспект екранування. Суб'єкти із зовнішньої мережі бачать тільки шлюзовий комп'ютер; відповідно, їм доступна тільки та інформація про внутрішню мережу, яку шлюз вважає потрібним експортувати. Шлюз насправді екранує, тобто затуляє, внутрішню мережу від зовнішнього світу. В той же час суб'єктам внутрішньої мережі здається, що вони безпосередньо спілкуються з об'єктами зовнішнього світу. Недолік екрануючих шлюзів - відсутність повної прозорості, що вимагає спеціальних дій для підтримки кожного прикладного протоколу.
Прикладом інструментарію для побудови екрануючих шлюзів є TIS Firewall Toolkit компанії Trusted Information Systems.
У гібридних системах, таких як Firewall-1 компанії Sun Microsystems, дійсно вдається об'єднати кращі якості екрануючих систем, тобто отримати надійний захист, зберегти прозорість для додатків і утримати накладні витрати в розумних межах. Крім того, з'являються і дуже цінні нові можливості, такі як відстежування передачі інформації в рамках датаграммных протоколів.
Важливим поняттям екранування є зона риски, яка визначається як безліч систем, які стають доступними зловмисникові після подолання екрану або якого-небудь з його компонентів. Як правило, для підвищення надійності захисту екран реалізують як сукупність елементів, так що "злом" один з них ще не відкриває доступ до всієї внутрішньої мережі. Приклад можливої конфігурації багатокомпонентного екрану представлений на мал. 3.
Розглянемо вимоги до реальної системи, що здійснює міжмережеве екранування. В більшості випадків екрануюча система повинна:
* Забезпечувати безпеку внутрішньої (що захищається) мережі і повний контроль над зовнішніми підключеннями і сеансами зв'язку;
* Володіти могутніми і гнучкими засобами управління для повного і, наскільки можливо, простого втілення в життя політики безпеки організації. Крім того, екрануюча система повинна забезпечувати просту реконфигурацию системи при зміні структури мережі;
* Працювати непомітно для користувачів локальної мережі і не утрудняти виконання ними легальних дій;
* Працювати досить ефективно і встигати обробляти важ вхідний і витікаючий трафік в "пікових" режимах. Це необхідно для того, щоб firewall не можна було, образно кажучи, "закидати" великою кількістю викликів, які привели б до порушення роботи;
* Володіти властивостями самозахисту від будь-яких несанкціонованих дій, оскільки міжмережевий екран є ключем до конфіденційної інформації в організації;
* Якщо у організації є декілька зовнішніх підключень, у тому числі і у видалених філіях, система управління екранами повинна мати можливість централізований забезпечувати для них проведення єдиної політики безпеки;
* Мати засоби авторизації доступу користувачів через зовнішні підключення. Типовою є ситуація, коли частина персоналу організації повинна виїжджати, наприклад, у відрядження, і в процесі роботи їм потрібний доступ, принаймні, до деяких ресурсів внутрішньої комп'ютерної мережі організації. Система повинна надійно розпізнавати таких користувачів і надавати їм необхідний види доступу.
Екранування дозволяє підтримувати доступність сервісів усередині інформаційної системи, зменшуючи або взагалі ліквідовуючи навантаження, ініційоване зовнішньою активністю. Зменшується уразливість внутрішніх сервісів безпеки, оскільки спочатку зловмисник повинен подолати екран, де захисні механізми конфігуровані особливо ретельно і жорстко. Крім того, екрануюча система, на відміну від універсальної, може бути влаштована простішим і, отже, надійнішим чином. Екранування дає можливість контролювати інформаційні потоки, направлені в зовнішню область, забезпечуючи режим конфіденційності.
Таким чином, екранування у поєднанні з іншими заходами безпеки використовує ідею багаторівневого захисту. За рахунок цього внутрішня мережа піддається ризику тільки у разі подолання декілька, по-різному організованих захисних рубежів.
Наявність інструменту міжмережевого екранування дозволяє використовувати його і для контролю доступу до інформаційних ресурсів організації по комутованих каналах зв'язку. Для цього необхідно використовувати пристрій, званий термінальним сервером. Термінальний сервер є програмно-апаратною конфігурацією, розглянутою в наступному розділі. Як засіб роботи з комутованими каналами зв'язку пропонується термінальний сервер "Annex" компанії "Bay Networks".
Особливості і переваги пропонованого рішення
Конфігурація міжмережевого екрану з екрануючою підмережею (мал. 3) є однією з найбільш надійних на сьогоднішній день. Причиною цьому є наявність принаймні трьох рівнів захисту:
* Зовнішній екрануючий маршрутизатор;
* Екрануючий шлюз;
* Внутрішній екрануючий маршрутизатор.
Слабкі місця кожною з цих систем різні. Екрануюча підмережа дозволяє також просте включення комутованих каналів зв'язку в загальний контур забезпечення безпеки. Критичною у разі пропонованого рішення буде ефективність роботи екрануючого шлюзу, його здатність ефективно переробляти інформацію, що проходить через екран. Це, у свою чергу, вимагає установки програмного забезпечення з малими втратами в продуктивності системи на екрануючий комп'ютер-шлюз, який сам достатньо надійно захищений вбудованими засобами ОС, - наприклад, комп'ютер фірми SUN під управлінням ОС Solaris з програмою міжмережевого екранування Firewall-1.
Програма міжмережевого екранування Firewall-1 є лідером в своєму класі програм - на її основі побудовано більше 4000 систем, що в чотири рази більше, ніж у наступного за ним продукту. Причиною цьому є ряд відмінних рис, якими володіє вказана програма:
* Висока надійність, що забезпечується як роботою на рівні фільтрації мережевих пакетів, так і на рівні додатків;
* Централізоване управління роботою декількох фільтруючих модулів;
* Можливість роботи з будь-яким мережевим сервісом, як стандартним, так і визначеним користувачем;
* Можливість фільтрації UDP пакетів;
* Можливість управління фільтрами маршрутизаторів компаній Bay Networks і CISCO;
* Висока ефективність роботи: використання Firewall-1 зменшує пропускну спроможність інформаційного каналу не більш, ніж на 10%;
* Повна прозорість роботи сервісів і додатків для користувачів;
* Додаткова аутентифікація клієнтів для великого набору сервісів;
* Дружний інтерфейс, що дозволяє легко перебудовувати правила фільтрації, описуючи їх в термінах політики безпеки;
* Для кожного правила (політики доступу) можуть бути визначені умови протоколювання, сповіщення адміністратора або іншої реакції системи;
* Засоби перевірки правил роботи фільтру на внутрішню несуперечність;
* Засоби моніторингу стану компонент системи, що дозволяють своєчасно виявити спробу нападу на неї;
* Засоби детального протоколювання і генерації звітів;
* Трансляція адрес локальної мережі, що дозволяє реалізувати як додатковий захист комп'ютерів локальної мережі, так і ефективніше використання офіційного набору IP-адрес;
* Простота установки і адміністрування.
Одним з найбільш поширених засобів аутентифікації видалених користувачів є програма S/key компанії Bellcore. Ця програма є засобом обміну одноразовими паролями, що робить неможливим несанкціонований доступ в систему, навіть якщо ця інформація ким-небудь перехоплена. Програма S/key сумісна із засобами аутентифікації системи Firewall-1.
Технічні аспекти забезпечення безпеки
У цьому розділі ми детальніше розглянемо основні апаратні і програмні компоненти, використовувані для досягнення захисту локальної мережі організації.
Апаратне забезпечення і компоновка системи безпеки
Структура екрануючого сегменту
У конфігурації firewall з екрануючою підмережею створюється додатковий мережевий сегмент, який розміщується між Internet і локальною мережею організації. У типовому випадку ця підмережа ізолюється маршрутизаторами, які можуть виконувати роль фільтрів.
Зазвичай екрануюча підмережа конфігурується так, щоб забезпечити доступ до комп'ютерів підмережі як із зовнішніх мереж, так і зсередини. Проте, прямий обмін інформаційними пакетами між зовнішніми і захищеними мережами неможливий.
Екрануючий шлюз є єдиною крапкою, до якої можливий доступ ззовні. Це гранично звужує зону риски, що складається з шлюзу і всіх маршрутизаторів, що здійснюють зв'язок між екрануючими підмережами, зовнішніми мережами і закритою локальною мережею.
При атаці системи з екрануючою підмережею необхідно подолати принаймні три незалежні лінії захисту, що є вельми складним завданням. Засоби моніторингу стану компонент міжмережевого екрану практично неминуче виявляють подібну спробу і адміністратор системи своєчасно може зробити необхідні дії із запобігання несанкціонованому доступу.
В більшості випадків робота екрануючої підмережі дуже сильно залежить від комплекту програмного забезпечення, встановленого на комп'ютері-шлюзі.
Конфігурація комп'ютера-шлюзу
Комп'ютер-шлюз з програмним забезпеченням, що несе основне навантаження, пов'язане з реалізацією політики безпеки, є ключовим елементом міжмережевого екрану. У зв'язку з цим він повинен задовольняти ряду вимог:
* Бути фізично захищеним;
* Мати засоби захисту від завантаження ОС з несанкціонованого носія;
* Мати засоби захисту на рівні ОС, що розмежовують доступ до ресурсів системи;
* ОС комп'ютера повинна забороняти привілейований доступ до своїх ресурсів з локальної мережі;
* ОС комп'ютера повинна містити засоби моніторингу/аудиту будь-яких адміністративних дій.
Приведеним вимогам задовольняють молодші моделі серверів SPARC під управлінням ОС Solaris. В даному випадку рекомендується модель SPARCstation 4 з ОЗУ 32 Мб і ємкістю диска 1 Гб.
Забезпечення безпеки видаленого доступу
Робота видалених користувачів, що підключаються через комутовані лінії зв'язку, також повинна контролюватися відповідно до політики безпеки, що проводиться в організації. Оскільки телефонні лінії неможливо тримати під контролем, необхідні додаткові засоби аутентифікації користувачів. При цьому кожен з легальних користувачів повинен мати можливість доступу до потрібних ресурсів.
Типове рішення цієї задачі - установка термінального сервера, який володіє необхідними функціональними можливостями. Мережевий термінальний сервер Annex компанії Bay Networks є системою з декількома асинхронними портами і одним інтерфейсом локальної мережі. Обмін інформацією між асинхронними портами і локальною мережею, здійснюється тільки після відповідної авторизації і аутентифікації зовнішнього користувача.
Програмне забезпечення термінального сервера надає можливості адміністрування і контролю сеансів зв'язку через комутовані канали.
Програмне забезпечення і конфігурація
Програма Firewall-1
Програма Firewall-1 встановлюється на комп'ютер-шлюз і виконує основні функції екранування міжмережевого доступу. Структурно Firewall-1 є адміністративним модулем, керівник набором модулів фільтрів, встановлених, відповідно, на маршрутизаторах, комп'ютері-бастіоні і, при необхідності, на виділених серверах усередині локальної мережі.
В даному випадку пропонується установка модулів фільтрації Firewall-1 на комп'ютер-шлюз і маршрутизатори екрануючої підмережі.
Робота з програмою Firewall-1 складається з наступних етапів:
* вироблення правил фільтрації відповідно до політики безпеки підприємства;
* визначення мережевих об'єктів, взаємовідношення яких регламентується правилами фільтрації;
* визначення набору використовуваних сервісів або на основі вбудованої бази даних, що має значний набір TCP/IP сервісів, або визначаючи власні сервіси, використовувані в організації;
* визначення бази даних користувачів з вказівкою можливих робочих місць, часу роботи і порядок аутентифікації;
* визначення правил фільтрації в інтерфейсі Firewall-1;
* перевірка внутрішньої несуперечності набору правил фільтрації;
* компіляція фільтру і його установка на фільтруючих модулях;
* аналіз протоколів роботи для перевірки адекватності політики безпеки підприємства.
Додатково включається трансляція адрес. Висока продуктивність Firewall-1 і прозорість програми для користувачів дозволяє ефективно використовувати його як інструмент міжмережевого екранування відповідно до політики безпеки підприємства.
Засіб аутентифікації S/key
Програма S/key призначена для генерації одноразових паролів, використовуваних для аутентифікації видалених користувачів. Основною перевагою цієї програми є відсутність передачі пароля через загальнодоступні комунікації. Це, у свою чергу, робить неможливим діставання несанкціонованого доступу шляхом перехоплення мережевих пакетів, що можливо, наприклад, у разі стандартних сервісів типу telnet.
У основі роботи програми S/key лежить використання односторонніх функцій - функцій, для яких відновлення значення аргументу по значенню функції (звернення) вимагає практично недоступних обчислювальних ресурсів. Робота S/key складається з ініціалізації, коли призначений для користувача пароль використовується як аргумент односторонньої функції, вживаної послідовно N разів, і сеансової аутентифікації, яка зводиться до наступного:
* видалений користувач повідомляє серверу своє ім'я;
* сервер повертає користувачеві число, рівне N-1;
* користувач на локальному комп'ютері вводить пароль, з яким клієнтська частина проводить N-1 обчислень односторонньої функції;
* результат обчислень посилається серверу;
* сервер проводить ще одне обчислення односторонньої функції і порівнює результат з отриманим від клієнта в попередній раз.
Таким чином, при використанні некриптографічного засобу забезпечується перевірка достовірності клієнта, причому сеансові паролі є одноразовими і не відновлюються за допомогою попередніх або подальших паролів.
Модуль управління термінальним сервером
Модуль управління термінальним сервером Annex має достатньо просунуті можливості забезпечення безпеки самого сервера і розмежування доступу клієнтів, виконуючи наступні функції:
* використання локального пароля на доступ до послідовного порту, для доступу по протоколу PPP, для доступу до адміністративної консолі;
* використання запиту на аутентифікацію з якої-небудь машини локальної мережі;
* використання зовнішніх засобів аутентифікації, таких як S/key;
* установку списку контролю доступу на порти термінального сервера;
* протоколювання сеансів зв'язку через термінальний сервер.
Пропонується установка термінального сервера так, щоб його робота здійснювалася виключно через комп'ютер-бастіон і з використанням аутентифікації одноразовими паролями (S/key). Це дозволить досягти необхідного ступеня безпеки при роботі видалених користувачів з інформаційними ресурсами організації.
Розробка і корекція правил політики безпеки
При конфігурації міжмережевих екранів основні конструктивні рішення заздалегідь задаються політикою безпеки, прийнятої в організації. У описуваному випадку необхідно розглянути два аспекти політики безпеки: політику доступу до мережевих сервісів і політика міжмережевого екрану.
При формуванні політики доступу до мережевих сервісів повинні бути сформульовані правила доступу користувачів до різних сервісів, використовуваних в організації. Цей аспект, таким чином складається з двох компонент.
База правив для користувачів описує коли, який користувач (група користувачів) яким сервісом і на якому комп'ютері може скористатися. Окремо визначаються умови роботи користувачів поза локальною мережею організації так само як і умови їх аутентифікації.
База правив для сервісів описує набір сервісів, що проходять через мережевий екран, а також допустимі адреси клієнтів серверів для кожного сервісу (групи сервісів).
У політиці, що регламентує роботу міжмережевого екрану, рішення можуть бути ухвалені як на користь безпеки в збиток легкості використання, так і навпаки. Є два основних:
* Все, що не дозволене, то заборонено.
* Все, що не заборонене, то дозволено.
У першому випадку міжмережевий екран повинен бути конфігурований так, щоб блокувати все, а його робота повинна бути впорядкована на основі ретельного аналізу небезпеки і риски. Це безпосередньо відбивається на користувачах і вони, взагалі кажучи, можуть розглядати екран просто як перешкоду. Така ситуація примушує накладати підвищені вимоги на продуктивність екрануючих систем і підвищує актуальність такої властивості, як "прозорість" роботи міжмережевого екрану з погляду користувачів. Перший підхід є безпечнішим, оскільки передбачається, що адміністратор не знає, які сервіси або порти безпечні, і які "дірки" можуть існувати в ядрі або додатку розробника програмного забезпечення. З огляду на те, що багато виробників програмного забезпечення не поспішають публікувати виявлені недоліки, істотні для інформаційної безпеки (що характерний для виробників так званого "закритого" програмного забезпечення, найбільшим з яких є Microsoft), цей підхід є, поза сумнівом, консервативнішим. По суті, він є визнанням факту, що незнання може заподіяти шкоду.
У другому випадку, системний адміністратор працює в режимі реагування, передбачаючи, які дії, що негативно впливають на безпеку, можуть зробити користувачі або порушники, і готує захист проти таких дій. Це істотно відновлює адміністратора firewall проти користувачів в нескінченних "гонках озброєнь", які можуть виявитися такими, що вельми вимотують. Користувач може порушити безпеку інформаційної системи, якщо не буде упевнений в необхідності заходів, направлених на забезпечення безпеки.
Висновок
Описані технічні рішення - тільки частина індустрії забезпечення безпеки, що бурхливо розвивається, в Internet. Проте вже зараз достатньо очевидно, що мова йде про виникненні новою, спільною, такою, що виходить по масштабу за межі окремого протоколу технічної ідеї, яка вважає кінець розрізненим технічним рішенням в області безпеки і дає початок єдиної технології побудови захищених комунікацій локальних мереж
Порівняння Internet з інформаційним містом стало банальністю. Проте, в цьому місті живуть різні люди і, переїздить в нього, слід пам'ятати не тільки про блага цивілізації, але і про можливі небезпеки. Грамотно конфігуровані міжмережеві екрани - вельми практичний і надійний засіб захисту від зовнішніх погроз.
Література
1. Борисюк Б.М. «Системи та мережі передачі даних»
2. Буров Є.М. «Комп’ютерні мережі» Вид. «Львів» 2002р.
3. Куроус Дж. «Компьютерные сети» Изд. «Питер» 2004г.
4. Луцький Г.М., Кулаков Ю.О. «Комп’ютерні мережі» Київ вид. «Юніор» 2005р.
5. Оліфер В.Г. «Компьютерные сети. Принципы технологии. Протоколы»
Изд. «Питер» 2002г.