Обеспечение информационной безопасности в сетях

по набору (типу и количеству) объединяемых в рамках корпоративной сети подсетей общего пользования;

по набору (типу и количеству) реализуемых в рамках корпоративной сети телеслужб.

С учетом введенных классификационных признаков можно получить некоторую обобщенную структуру корпоративной сети. Практически любая корпоративная сеть будет содержать фрагменты приведенной обобщенной структуры. В основе системы управления корпоративной сети должны лежать следующие принципы:

совмещение администрирования отдельных функциональных подсистем (вопрос эффективности не может решаться вне рассмотрения вопроса живучести сети, а вопрос безопасности без учета эффективности и живучести (другими словами, при изменении уровня безопасности, например, изменяется и эффективность, что должно быть учтено);

централизованное/распределенное администрирование, предполагающее, что основные задачи администрирования должны решаться из центра (основной фрагмент сети); вторичные задачи (например, в рамках удаленных фрагментов) средствами управления отдельных подсистем;

в рамках управляющей системы должны быть реализованы функции системы автоматического управления. С целью повышения оперативности реакции системы управления на особо важные события, в системе должна реализоваться автоматическая обработка особо важных воздействий;

в рамках системы безопасности должен быть реализован адаптивного управления безопасностью адекватно изменению соответствующих событий (например, система обнаружения атак может блокировать локальный порт в случае атаки типа «отказ в обслуживании»).

2.2 Структура управления безопасностью сети

Система обеспечения безопасности информации должна иметь многоуровневую структуру и включать следующие уровни:

уровень защиты автоматизированных рабочих мест (АРМ);

уровень защиты локальных сетей и информационных серверов;

уровень защиты корпоративной АС.

На уровне защиты автоматизированных рабочих мест должна осуществляться идентификация и аутентификация пользователей операционной системы. Должно осуществляться управление доступом: предоставление доступа субъектов к объектам в соответствии с матрицей доступа, выполнение регистрации и учета всех действий субъекта доступа в журналах регистрации. Должна быть обеспечена целостность программной среды, защиты информации. Такие средства защиты должны обладать гибкими средствами настройки и возможностью удаленного администрирования. Уровень защиты локальных сетей и сетевых серверов должен обеспечивать:

идентификацию пользователей и установление подлинности доступа в систему, к компонентам;

защиту аутентификационных данных;

установление подлинности при доступе к серверам;

пропуск аутентификационной информации от одного компонента до другого без переустановки подлинности доступа. Механизмы защиты должны быть способны создавать, обслуживать (поддерживать) и защищать от модификации или неправомочного доступа или разрушения аутентификационную информацию и матрицу доступа к объектам. Должна осуществляться регистрация следующих событий:

использование идентификационных и аутентификационных механизмов;

действия пользователей с критическими объектами;

уничтожения объектов;

действия, предпринятые операторами и администраторами системы и/или офицерами безопасности;

другие случаи безопасности.

Параметры регистрации:

дата и время события;

пользователь;

тип случая;

успешная или неуспешная попытка для идентификации/аутентификации дополнительно происхождение запроса (например, локальная или сетевая аутентификация);

для случаев уничтожения объектов и доставки информации в место адреса пользователя:

Администратор системы должен быть способен выборочно контролировать действия любого пользователя или группы пользователей на основании индивидуальной идентичности. Средства защиты информации должны иметь модульную структуру, каждый модуль должен поддерживать область памяти для собственного выполнения. Для каждого модуля СЗИ, каждого компонента СЗИ, разделенного в АС, должна обеспечиваться изоляция ресурсов, нуждающихся в защите так, чтобы они подчинялись контролю доступа и требованиям ревизии. Периодическое тестирование правильности функционирования аппаратных средств, микропрограммных элементов СЗИ, программного обеспечения СЗИ. При разделении СЗИ должна обеспечиваться способность сообщения административному персоналу об отказах, ошибках, попытках несанкционированного доступа, обнаруженных в разделенных компонентах СЗИ. Протоколы, осуществленные в пределах СЗИ, должны быть разработаны так, что должно обеспечиваться правильное функционирование СЗИ в случае отказов (сбоев) коммуникационной сети или ее индивидуальных компонентов. Механизмы безопасности должны быть проверены и функционировать в соответствии с требованиями документации.

Уровень защиты корпоративной АС должен гарантировать:

1. Целостность передачи информации от ее источников до адресата:

Аутентификацию;

Целостность коммуникационного поля;

Невозможность отказа партнеров по связи от факта передачи или приема сообщений.

2. Безотказность в предоставлении услуг

Непрерывность функционирования;

Устойчивость к атакам типа «отказ в обслуживании»;

Защищенный протокол передачи данных.

3. Защиту от несанкционированного раскрытия информации:

Сохранение конфиденциальности данных с помощью механизмов шифрования;

Выбор маршрута передачи.

Средства защиты должны обеспечивать:

Конфиденциальность содержания (отправитель должен быть уверен, что никто не прочитает сообщения, кроме определенного получателя); Целостность содержания (получатель должен быть уверен, что содержание сообщения не модифицировано); Целостность последовательности сообщений (получатель должен быть уверен, что последовательность сообщений не изменена); Аутентификацию источника сообщений (отправитель должен иметь возможность аутентифицироваться у получателя как источник сообщения, а также у любого устройства передачи сообщений, через который они проходят). Доказательство доставки (отправитель может убедиться в том, что сообщение доставлено неискаженным нужному получателю). Доказательство подачи (отправитель может убедиться в идентичности устройства передачи сообщения, на которое оно передано);

Безотказность источника (позволяет отправителю доказать получателю, что переданное сообщение принадлежит ему); Безотказность поступления (позволяет отправителю сообщения получить от устройства передачи сообщения, на которое оно поступило, доказательство того, что сообщение поступило на это устройство для доставки определенному получателю);

Безотказность доставки (позволяет отправителю получить от получателя доказательство получения им сообщения). Управление контролем доступа (позволяет двум компонентам системы обработки сообщений установить безопасное соединение). Защиту от попыток расширения своих законных полномочий (на доступ, формирование, распределение и т.п.), а также изменения (без санкции на то) полномочий других пользователей; Защиту от модификации программного обеспечения путем добавления новых функций.

2.3 Методика анализа защищенности

В настоящее время не существует каких-либо стандартизированных методик анализа защищенности АС, поэтому в конкретных ситуациях алгоритмы действий аудиторов могут существенно различаться. Однако типовую методику анализа защищенности корпоративной сети предложить все-таки возможно. И хотя данная методика не претендует на всеобщность, ее эффективность многократно проверена на практике.

Типовая методика включает использование следующих методов:

Изучение исходных данных по АС;

Оценка рисков, связанных с осуществлением угроз безопасности в отношении ресурсов АС;

Анализ механизмов безопасности организационного уровня, политики безопасности организации и организационно- распорядительной документации по обеспечению режима информационной безопасности и оценка их соответствия требованиям существующих нормативных документов, а также их адекватности существующим рискам;

Ручной анализ конфигурационных файлов маршрутизаторов, МЭ и прокси-серверов, осуществляющих управление межсетевыми взаимодействиями, почтовых и DNS серверов, а также других критических элементов сетевой инфраструктуры;

Сканирование внешних сетевых адресов ЛВС из сети Интернет;

Сканирование ресурсов ЛВС изнутри;

Анализ конфигурации серверов и рабочих станций ЛВС при помощи специализированных программных средств.

Перечисленные методы исследования предполагают использование как активного, так и пассивного тестирования системы защиты.

Активное тестирование системы защиты заключается в эмуляции действий потенциального злоумышленника по преодолению механизмов защиты.

Пассивное тестирование предполагает анализ конфигурации ОС и приложений по шаблонам с использованием списков проверки. Тестирование может производиться вручную либо с использованием специализированных программных средств.

В соответствии с требованиями при проведении работ по аттестации безопасности АС, включающих в себя предварительное обследование и анализ защищенности объекта информатизации, заказчиком работ должны быть предоставлены следующие исходные данные:

1. Полное и точное наименование объекта информатизации и его назначение.

2. Характер (научно-техническая, экономическая, производственная, финансовая, военная, политическая). Информации и уровень секретности (конфиденциальности). Обрабатываемой информации определен в соответствии с какими перечнями (государственным, отраслевым, ведомственным, предприятия).

3. Организационная структура объекта информатизации.

4. Перечень помещений, состав комплекса технических средств (основных и вспомогательных), входящих в объект информатизации, в которых (на которых) обрабатывается указанная информация.

5. Особенности и схема расположения объекта информатизации с указанием границ контролируемой зоны.

6. Структура программного обеспечения (общесистемного и прикладного), используемого на аттестуемом объекте информатизации и предназначенного для обработки защищаемой информации, используемые протоколы обмена информацией.

7. Общая функциональная схема объекта информатизации, включая схему информационных потоков и режимы обработки защищаемой информации.

8. Наличие и характер взаимодействия с другими объектами информатизации.

9. Состав и структура системы защиты информации на аттестуемом объекте информатизации.

10. Перечень технических и программных средств в защищенном исполнении, средств защиты и контроля, используемых на аттестуемом объекте информатизации и имеющих соответствующий сертификат, предписание на эксплуатацию.

11.Сведения о разработчиках системы защиты информации, наличие у сторонних разработчиков (по отношению к предприятию, на котором расположен аттестуемый объект информатизации) лицензий на проведение подобных работ.

12 Наличие на объекте информатизации (на предприятии, на котором расположен объект информатизации) службы безопасности информации, службы администратора (автоматизированной системы, сети, баз данных).

13. Наличие и основные характеристики физической защиты объекта информатизации помещений, где обрабатывается защищаемая информация и хранятся информационные носители).

14 Наличие и готовность проектной и эксплуатационной документации на объект информатизации и другие исходные данные по аттестуемому объекту информатизации, влияющие на безопасность информации.

При анализе конфигурации средств защиты внешнего периметра ЛВС и управления межсетевыми взаимодействиями особое внимание обращается на следующие аспекты, определяемые их конфигурацией:

Настройка правил разграничения доступа (правил фильтрации сетевых пакетов) на МЭ и маршрутизаторах;

Используемые схемы и настройка параметров аутентификации;

Настройка параметров системы регистрации событий;

Использование механизмов, обеспечивающих сокрытие топологии защищаемой сети, включающих в себя трансляцию сетевых адресов (NAT) и маскарадинг;

Настройка механизмов оповещения об атаках и реагирования;

Наличие и работоспособность средств контроля целостности;

Версии используемого ПО и наличие установленных пакетов программных коррекций. Тестирование системы защиты АС проводится с целью проверки эффективности используемых в ней механизмов защиты, их устойчивости в отношении возможных атак, а также с целью поиска уязвимостей в защите.

Традиционно используются два основных метода тестирования:

1. тестирование по методу «черного ящика»;

2. тестирование по методу «белого ящика».

Тестирование по методу «черного ящика» предполагает отсутствие у тестирующей стороны каких-либо специальных знаний о конфигурации и внутренней структуре объекта испытаний. При этом против объекта испытаний реализуются все известные типы атак и проверяется устойчивость системы защиты в отношении этих атак. Используемые методы тестирования эмулируют действия потенциальных злоумышленников, пытающихся взломать систему защиты. Основным средством тестирования в данном случае являются сетевые сканеры, располагающие базами данных известных уязвимостей.

Метод «белого ящика» предполагает составление программы тестирования на основании знаний о структуре и конфигурации объекта испытаний. В ходе тестирования проверяются наличие и работоспособность механизмов безопасности, соответствие состава и конфигурации системы защиты требованиям безопасности и существующим рисками. Выводы о наличие уязвимостей делаются на основании анализа конфигурации используемых средств защиты и системного ПО, а затем проверяются на практике.

Основным инструментом анализа в данном случае являются программные агенты средств анализа защищенности системного уровня, рассматриваемые ниже Основным фактором, определяющим защищенность АС от угроз безопасности, является наличие в АС уязвимостей защиты. Уязвимости защиты могут быть обусловлены как ошибками в конфигурации компонентов АС, так и другими причинами, в число которых входят ошибки и программные закладки в коде ПО, отсутствие механизмов безопасности, их неправильное использование, либо их неадекватность существующим рискам, а также уязвимости, обусловленные человеческим фактором. Наличие уязвимостей в системе защиты АС, в конечном счете, приводит к успешному осуществлению атак, использующих эти уязвимости. Сетевые сканеры являются, пожалуй, наиболее доступными и широко используемыми средствами анализа защищенности. Основной принцип их функционирования заключается в эмуляции действий потенциального злоумышленника по осуществлению сетевых атак.

Поиск уязвимостей путем имитации возможных атак является одним из наиболее эффективных способов анализа защищенности АС, который дополняет результаты анализа конфигурации по шаблонам, выполняемый локально с использованием шаблонов (списков проверки). Сканер является необходимым инструментом в арсенале любого администратора либо аудитора безопасности АС. Современные сканеры способны обнаруживать сотни уязвимостей сетевых ресурсов, предоставляющих те или иные виды сетевых сервисов. Их предшественниками считаются сканеры телефонных номеров (wardialers), использовавшиеся с начала 80-х и не потерявшие актуальности посей день. Первые сетевые сканеры представляли собой простейшие сценарии на языке Shell, сканировавшие различные TCP-порты. Сегодня они превратились в зрелые программные продукты, реализующие множество различных сценариев сканирования.

Современный сетевой сканер выполняет четыре основные задачи:

Идентификацию доступных сетевых ресурсов;

Идентификацию доступных сетевых сервисов;

Идентификацию имеющихся уязвимостей сетевых сервисов;

Выдачу рекомендаций по устранению уязвимостей.

В функциональность u1089 сетевого сканера не входит выдача рекомендаций по использованию найденных уязвимостей для реализации атак на сетевые ресурсы. Возможности сканера по анализу уязвимостей ограничены той информацией, которую могут предоставить ему доступные сетевые сервисы.

Принцип работы сканера заключается в моделировании действий злоумышленника, производящего анализ сети при помощи стандартных сетевых утилит. При этом используются известные уязвимости сетевых сервисов, сетевых протоколов и ОС для осуществления удаленных атак на системные ресурсы и осуществляется документирование удачных попыток.

В настоящее время существует большое количество как коммерческих, так и свободно распространяемых сканеров, как универсальных, так и специализированных, предназначенных для выявления только определенного класса уязвимостей. Существует два основных механизма, при помощи которых сканер безопасности проверяет наличие уязвимости - сканирование (scan) и зондирование (probe)

Сканирование - механизм пассивного анализа, с помощью которого сканер пытается определить наличие уязвимости без фактического подтверждения ее наличия - по косвенным признакам. Этот метод является наиболее быстрым и простым для реализации. В терминах компании ISS данный метод получил название "логический вывод" (inference). Согласно компании Cisco этот процесс идентифицирует открытые порты, найденные на каждом сетевом устройстве, и собирает связанные с портами заголовки (banner), найденные при сканировании каждого порта. Каждый полученный заголовок сравнивается с таблицей правил определения сетевых устройств, операционных систем и потенциальных уязвимостей. На основе проведенного сравнения делается вывод о наличии или отсутствии уязвимости. Зондирование - механизм активного анализа, который позволяет убедиться, присутствует или нет на анализируемом узле уязвимость. Зондирование выполняется путем имитации атаки, использующей проверяемую уязвимость. Этот метод более медленный, чем "сканирование", но почти всегда гораздо более точный, чем он. В терминах компании ISS данный метод получил название "подтверждение" (verification). Согласно компании Cisco этот процесс использует информацию, полученную в процессе сканирования ("логического вывода"), для детального анализа каждого сетевого устройства. Этот процесс также использует известные методы реализации атак для того, чтобы полностью подтвердить предполагаемые уязвимости и обнаружить другие уязвимости, которые не могут быть обнаружены пассивными методами, например подверженность атакам типа "отказ в обслуживании" ("denial of service").

2.4 Современные технологии защиты корпоративных сетей

Межсетевой экран (МЭ) называют локальное или функционально распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в автоматизированную систему и/или выходящей из автоматизированной системы, для данного устройства. Также встречаются общепринятые названия брандмауэр и firewall (англ. огненная стена). В строительной сфере брандмауэром (нем. brand - пожар, mauer - стена) называется огнеупорный барьер, разделяющий отдельные блоки в многоквартирном доме и препятствующий распространению пожара. МЭ выполняет подобную функцию для компьютерных сетей. По определению МЭ служит контрольным пунктом на границе двух сетей. В самом распространенном случае эта граница лежит между внутренней сетью организации и внешней сетью, обычно сетью Интернет. Однако в общем случае, МЭ могут применяться для разграничения внутренних подсетей корпоративной сети организации.

Размещено на http://www.allbest.ru

Рисунок. 13 Типовое размещение МЭ в корпоративной сети

Задачами МЭ, как контрольного пункта, являются:

Контроль всего трафика, ВХОДЯЩЕГО во внутреннюю корпоративную сеть

Контроль всего трафика, ИСХОДЯЩЕГО из внутренней корпоративной сети

Контроль информационных потоков состоит в их фильтрации и преобразовании в соответствие с заданным набором правил. Поскольку в современных МЭ фильтрация может осуществляться на разных уровнях эталонной модели взаимодействия открытых систем (ЭМВОС, OSI), МЭ удобно представить в виде системы фильтров. Каждый фильтр на основе анализа проходящих через него данных, принимает решение - пропустить дальше, перебросить за экран, блокировать или преобразовать данные.

Рисунок 14. Схема фильтрации в МЭ.

Выделяют следующую классификацию МЭ, в соответствие с функционированием на разных уровнях МВОС (OSI):

Мостиковые экраны (2 уровень OSI)

Фильтрующие маршрутизаторы (3 и 4 уровни OSI)

Шлюзы сеансового уровня (5 уровень OSI)

Шлюзы прикладного уровня (7 уровень OSI)

Комплексные экраны (3-7 уровни OSI)

Мостиковые МЭ. Данный класс МЭ, функционирующий на 2-м уровне модели OSI, известен также как прозрачный (stealth), скрытый, теневой МЭ. Мостиковые МЭ появились сравнительно недавно и представляют перспективное направление развития технологий межсетевого экранирования. Фильтрация трафика ими осуществляется на канальном уровне, т.е. МЭ работают с фреймами (frame, кадр).

К достоинствам подобных МЭ можно отнести:

Нет необходимости в изменении настроек корпоративной сети, не требуется дополнительного конфигурирования сетевых интерфейсов МЭ.

Высокая производительность. Поскольку это простые устройства, они не требуют больших затрат ресурсов. Ресурсы требуются либо для повышения возможностей машин, либо для более глубокого анализа данных.

Прозрачность. Ключевым для этого устройства является его функционирование на 2 уровне модели OSI. Это означает, что сетевой интерфейс не имеет IP-адреса. Эта особенность более важна, чем легкость в настройке.

Без IP-адреса это устройство не доступно в сети и является невидимым для окружающего мира. Если такой МЭ недоступен, то как его атаковать? Атакующие даже не будут знать, что существует МЭ, проверяющий каждый их пакет.

Рисунок 15. Фильтрация трафика МЭ на разных уровнях МВОС.

Фильтрующие маршрутизаторы. Packet-filtering firewall (Межсетевой экран с фильтрацией пакетов) -- межсетевой экран, который является маршрутизатором или компьютером, на котором работает программное обеспечение, сконфигурированное таким образом, чтобы отфильтровывать определенные виды входящих и исходящих пакетов. Фильтрация пакетов осуществляется на основе информации, содержащейся в TCP- и IP-заголовках пакетов (адреса отправителя и получателя, их номера портов и др.)

Работают на 3 уровне. Также известны, как МЭ на основе порта. Каждый пакет сравнивается со списками правил (адрес источника/получателя, порт источника/получателя). Недорогой, быстрый (производительный в силу простоты), но наименее безопасный. Технология 20-летней давности. Пример: список контроля доступа (ACL, access control lists) маршрутизаторы

Шлюз сеансового уровня. Circuit-level gateway (Шлюз сеансового уровня) -- межсетевой экран, который исключает прямое взаимодействие между авторизированным клиентом и внешним хостом. Сначала он принимает запрос доверенного клиента на определенные услуги и, после проверки допустимости запрошенного сеанса, устанавливает соединение с внешним хостом. После этого шлюз просто копирует пакеты в обоих направлениях, не осуществляя их фильтрации. На этом уровне появляется возможность использования функции сетевой трансляции адресов (NAT, network address translation). Трансляция внутренних адресов выполняется по отношению ко всем пакетам, следующим из внутренней сети во внешнюю. Для этих пакетов IP-адреса компьютеров-отправителей внутренней сети автоматически преобразуются в один IP-адрес, ассоциируемый с экранирующим МЭ. В результате все пакеты, исходящие из внутренней сети, оказываются отправленными МЭ, что исключает прямой контакт между внутренней и внешней сетью. IP-адрес шлюза сеансового уровня становится единственным активным IP-адресом, который попадает во внешнюю сеть.

Работает на 4 уровне

Передает TCP подключения, основываясь на порте

Недорогой, но более безопасный, чем фильтр пакетов

Вообще требует работы пользователя или программы конфигурации для полноценной работы

Пример: SOCKS файлов

Шлюз прикладного уровня. Application-level gateways (Шлюз прикладного уровня) - межсетевой экран, который исключает прямое взаимодействие между авторизированным клиентом и внешним хостом, фильтруя все входящие и исходящие пакеты на прикладном уровне модели OSI. Связанные с приложением программы-посредники перенаправляют через шлюз информацию, генерируемую конкретными сервисами TCP/IP.

Возможности:

Идентификация и аутентификация пользователей при попытке установления соединения через МЭ;

Фильтрация потока сообщений, например, динамический поиск вирусов и прозрачное шифрование информации;

Регистрация событий и реагирование на события;

Кэширование данных, запрашиваемых из внешней сети. На этом уровне появляется возможность использования функций посредничества (Proxy).

Для каждого обсуживаемого протокола прикладного уровня можно вводить программных посредников - HTTP-посредник, FTP-посредник и т.д. Посредник каждой службы TCP/IP ориентирован на обработку сообщений и выполнение функций защиты, относящихся именно к этой службе. Также, как и шлюз сеансового уровня, прикладной шлюз перехватывает с помощью соответствующих экранирующих агентов входящие и сходящие пакеты, копирует и перенаправляет информацию через шлюз, и функционирует в качестве сервера-посредника, исключая прямые соединения между внутренней и внешней сетью. Однако, посредники, используемые прикладным шлюзом, имеют важные отличия от канальных посредников шлюзов сеансового уровня. Во-первых, посредники прикладного шлюза связаны с конкретными приложениями программными серверами), а во-вторых, они могут фильтровать поток сообщений на прикладном уровне модели МВОС.

Особенности:

Работает на 7 уровне

Специфический для приложений

Умеренно дорогой и медленный, но более безопасный и допускает регистрацию деятельности пользователей

Требует работы пользователя или программы конфигурации для полноценной работы

Пример: Web (http) proxy

МЭ экспертного уровня. Stateful inspection firewall -- межсетевой экран экспертного уровня, который проверяет содержимое принимаемых пакетов на трех уровнях модели OSI: сетевом, сеансовом и прикладном. При выполнении этой задачи используются специальные алгоритмы фильтрации пакетов, с помощью которых каждый пакет сравнивается с известным шаблоном авторизированных пакетов.

Фильтрация 3 уровня

Проверка правильности на 4 уровне

Осмотр 5 уровня

Высокие уровни стоимости, защиты и сложности

Пример: CheckPoint Firewall-1

Некоторые современные МЭ используют комбинацию вышеперечисленных методов и обеспечивают дополнительные способы защиты, как сетей, так и систем.

«Персональные» МЭ. Этот класс МЭ позволяет далее расширять защиту, допуская управление по тому, какие типы системных функций или процессов имеют доступ к ресурсам сети. Эти МЭ могут использовать различные типы сигнатур и условий, для того, чтобы разрешать или отвергать трафик. Вот некоторые из общих функций персональных МЭ:

Блокирование на уровне приложений - позволять лишь некоторым приложениям или библиотекам исполнять сетевые действия или принимать входящие подключения

Блокирование на основе сигнатуры - постоянно контролировать сетевой трафик и блокировать все известные атаки. Дополнительный контроль увеличивает сложность управления безопасностью из-за потенциально большого количества систем, которые могут быть защищены персональным файлом. Это также увеличивает риск повреждения и уязвимости из-за плохой настройки

Динамические МЭ. Динамические МЭ объединяют в себе стандартные МЭ (перечислены выше) и методы обнаружения вторжений, чтобы обеспечить блокирование «на лету» сетевых подключений, которые соответствуют определённой сигнатуре, позволяя при этом подключения от других источников к тому же самому порту. Например, можно блокировать деятельность сетевых червей, не нарушая работу нормального трафика.

2.5 Внутренние злоумышленники в корпоративных сетях

Вопреки распространенному мнению о том, что основную опасность для компании представляют внешние нарушители, действующие из сети Интернет, так называемые хакеры, реальная угроза современной компании исходит от внутренних нарушителей. По многочисленным исследованиям около 70-80% всех нарушений в корпоративной среде приходится на долю внутренних нарушителей. Нарушителем в общем смысле является лицо, по ошибке, незнанию или осознанно предпринявшее попытку выполнения запрещенных операций и использующее для этого различные возможности, методы и средства. Внутренний нарушитель представляет собой легитимного сотрудника организации, имеющего определенный доступ к ее информационным ресурсам. Причем, причинами нарушений внутри организации могут быть как ошибки персонала, так и умышленные действия с их стороны. Таким образом, согласно общемировой статистике на долю внутренних нарушителей, умышленно совершающих противоправные действия, приходится около 20% всех инцидентов в компании, в то время как внешние нарушители повинны только в 5% подобных случаев. В данной главе рассмотрены возможные действия внутренних злоумышленников внутри корпоративной сети и предложены меры противодействия. В отечественной и зарубежной компьютерной литературе применяется различная терминология в отношении компьютерных преступников. Отсутствие единой классификации часто приводит к путанице. Так, «хакером» (hacker) чаще всего называют именно компьютерных злоумышленников, а иногда - высококвалифицированных компьютерных специалистов. Последних еще иногда называют «белыми шляпами» (white-hats), в отличие от «черных шляп», цель которых нанести вред системе. Также часто

используются понятия кракер (cracker), kid-hacker, spy и т.д. Во избежание путаницы здесь и далее применяются термины «нарушитель» и «злоумышленник» (intruder), для обобщенного обозначения тех, кто умышленно совершает нарушения в корпоративную сеть. Нарушители могут быть разбиты на две категории:

Outsiders (англ. чужой, посторонний) - это нарушители из сети Интернет, которые атакуют внутренние ресурсы корпоративной сети (удаление информации на корпоративном веб-сервере, пересылка спама через почтовый сервер и т.д.) и которые обходят МЭ и СОА для того, чтобы проникнуть во внутреннюю корпоративную сеть. Злоумышленники могут атаковать из Интернет, через модемные линии, через физическое подключение к каналам связи или из сети партнеров (поставщиков, заказчиков, дилеров и т.д.).

Insiders (англ. свой, хорошо осведомленный человек) - это те, кто находится внутри корпоративной сети, и имеют определенный доступ к корпоративным серверам и рабочим станциям. Они включают пользователей, неправильно использующих свои привилегии, или исполняющих роль привилегированного пользователя (например, с привилегированного терминала). Эти люди изначально находятся в преимущественном положении, чем Outsiders. Поскольку они уже владеют конфиденциальной информацией о фирме, недоступной для внешних нарушителей. В отличие от внешних нарушителей, для которых в общем случае атакуемая корпоративная сеть изначально представляет «черный ящик», внутренние нарушители - это люди, которые знают, как работает фирма, и понимают ее слабости. Знают, что пароль у шефа записан на бумажке, которая лежит у него на столе, что пароль секретарши - имя ее собачки, знают, когда администратор идет пить чай и т.д. Так по статистике наибольшая часть преступлений против банков совершается с использованием так называемой «инсайдерской» информации. Исследование проблем защиты корпоративных сетей целесообразно начать с рассмотрения модели потенциального нарушителя. По оценкам специалистов в настоящее время около 70-90% интеллектуального капитала компании хранится в цифровом виде-текстовых файлах, таблицах, базах данных. Использование информационных технологий предоставляет значительные преимущества для бизнеса, однако приводит и к появлению новых угроз.

По причине недостаточного серьезного отношения руководства к информационной безопасности, недобросовестным сотрудникам предоставляются широкие возможности несанкционированного доступа к информации компании, составляющей коммерческую тайну и имеющую реальную или потенциальную экономическую ценность. Рассмотрим, при каких условиях легального сотрудника организации можно назвать внутренним нарушителем.

Для эффективного функционирования организации необходимо, чтобы в ней имелась общая стратегия деятельности и четкие должностные инструкции каждому сотруднику. Следующим организационным документом должна быть политика безопасности организации, в которой изложены принципы организации и конкретные меры по обеспечению информационной безопасности предприятия. Классификационный раздел политики безопасности описывает имеющиеся в организации материальные и информационные ресурсы и необходимый уровень их защиты. В штатном разделе приводятся описания должностей с точки зрения информационной безопасности.

Наконец, раздел, описывающий правила разграничения доступа к корпоративной информации, является ключевым для определения внутреннего нарушителя. Любое нарушение легальным сотрудником политики безопасности организации автоматически делает его внутренним нарушителем. Подобные действия можно разделить на умышленные и неумышленные. Неумышленные действия вызваны недостатком квалификации пользователей и в данной работе не рассматриваются. Умышленные действия различаются по целям: направленные на получение конфиденциальной информации вне рамок основной деятельности и связанные с нарушением распорядка работы. Однако исследование, проведенное компанией Gartner Group показало, что 85% современных компаний не имеют ни концепции, ни политики безопасности. И хотя ситуация должна измениться - по прогнозам Gartner к 2005 году таких компаний будет только 50%, следует внести коррективы в формулировку внутреннего нарушителя. Таким образом, для большинства компаний внутреннего нарушителя нельзя определить, как лицо, нарушающее политику безопасности, так как последняя просто отсутствует. Поэтому в подобном случае внутренним нарушителем, действующим умышленно, будем считать сотрудника компании, предпринимающего направленные попытки получения, изменения или уничтожения конфиденциальных данных организации вне рамок основной деятельности сотрудника.

Примерами таких действий могут быть:

Несанкционированный доступ к данным о клиентах и сотрудниках организации вне рамок основной деятельности;

Попытки изменения статуса пользователя;

Попытки подбора паролей в защищенные приложения, области дискового пространства;

Умышленные действия, связанные с попытками изменения информационного наполнения системы:

Умышленные действия, направленные на деструкцию системы; Внедрение аппаратных и программных "закладок" и "вирусов", позволяющих преодолевать систему защиты, скрытно и незаконно осуществлять доступ к системным ресурсам сети; При создании модели нарушителя и оценке риска потерь от действий персонала необходимо дифференцировать всех сотрудников по их возможностям доступа к системе.

Следовательно, по потенциальному ущербу от каждой категории пользователей. Например, оператор или программист может нанести несравненно больший ущерб, чем обычный пользователь, тем более непрофессионал. Ниже приводится примерный список персонала типичной корпоративной сети и соответствующая степень риска от каждого из них:

1. Наибольший риск:

- сетевой администратор;

- администратор безопасности.

2. Повышенный риск:

- оператор системы;

- оператор ввода и подготовки данных;

- менеджер обработки;

- системный программист.

3. Средний риск:

- инженер системы;

- менеджер программного обеспечения.

4. Ограниченный риск:

- прикладной программист;

- инженер или оператор по связи;

- администратор баз данных;

- инженер по оборудованию;

- оператор периферийного оборудования;

- библиотекарь системных магнитных носителей;

- пользователь-программист;

- пользователь - операционист.

5. Низкий риск:

- инженер по периферийному оборудованию;

- библиотекарь магнитных носителей пользователей;

- пользователь сети.

Каждый из перечисленных выше пользователей в соответствии со своей категорией риска может нанести больший или меньший ущерб системе. Нарушитель изучает объект нападения как теоретически, так и практически. Практическое исследование объекта и его системы безопасности может быть пассивным и активным. Пассивным воздействием называют воздействие, не оказывающее непосредственного влияния на работу корпоративной сети, но которое может нарушать ее политику безопасности. Ввиду отсутствия непосредственного влияния на работу сети, такое воздействие очень трудно обнаружить. Примером пассивного воздействия является прослушивание канала связи. Активные воздействия предполагают непосредственное влияние на работу корпоративной сети и нарушают действующую в ней политику безопасности. В результате активных действий в системе происходят определенные изменения. Поэтому активные воздействия легче обнаружить, чем пассивные.

2.6 Прослушивание сетевого трафика

Возможность прослушивания канала связи (sniffing) в локальной сети организации. Для прослушивания трафика необходимо перевести сетевой адаптер в «беспорядочный» (promiscuous) режим. В данном режиме адаптер перехватывает все сетевые пакеты, проходящие через него, а не только предназначенные данному адресу, как в нормальном режиме функционирования. Если локальная сеть построена на концентраторах, то для злоумышленника оказывается доступным весь сетевой трафик в пределах сегмента локальной сети. В сети построенной на коммутаторах, трафик направляется только тому компьютеру, которому он предназначен. То есть если компьютер "A" обменивается пакетами с компьютером "B", то компьютер "С" не способен перехватывать этот трафик. Однако, существует ряд технологий позволяющих обойти ограничения, накладываемые коммутаторами. Эти технологии - ARP Spoofing (ARP-poisoning), MAC Flooding и MAC Duplicating. Рассмотрим их подробнее. Метод ARP-Spoofing основан на атаке «человек посередине» (manin-the-middle).

Данная атака возможна из-за уязвимости в реализации протокола ARP. Протокол разрешения адресов ARP (Address Resolution Protocol) предназначен для выяснения MAC-адреса хоста по его IP-адресу. Для обмена информацией двум хостам в сети Ethernet, каждому из них необходимо получить MAC-адрес другого. Эта процедура осуществляется с использованием протокола ARP. Хост «А», желающий установить соединение с хостом «В», сначала проверяет наличие MAC-адреса хоста «В» в своем ARP-кэше. В случае его отсутствия в кэше, осуществляется рассылка широковещательного запроса с целью выявить MAC-адрес, соответствующий IP-адресу хоста «В». Хост «В», сравнив IP-адрес в запросе со своим IP-адресом, посылает ответ (ARP-reply), в который помещает свой MAC-адрес. Оба хоста «А» и «В» помещают полученные MAC-адреса в свои ARP-кэши, чтобы минимизировать количество широковещательных запросов. Теперь хосты могут обмениваться данными, используя MAC-адреса. Атаку на данный информационный обмен возможно произвести, потому что протокол ARP не требует аутентификации. Для реализации атаки злоумышленнику с хоста «С» необходимо послать обоим хостам сгенерированные ARP-reply пакеты:

для хоста «А», в котором прописано, что IP-адресу хоста «В» соответствует MAC-адрес хоста «С»;

для хоста «В», в котором прописано, что IP-адресу хоста «А» соответствует MAC-адрес хоста «С».

Хосты «А» и «В» в соответствии со спецификацией протокола ARP, получив подобные reply-пакеты, обновят свои ARP-кэши. Теперь, пакеты, отправляемые хостом «А» хосту «В» будут фактически отсылаться хосту «С», поскольку в ARP-кэше хоста «А» IP-адресу хоста «В» соответствует MAC-адрес хоста «С». Поэтому данная атака получила также название ARP-poisoning (отравление ARP-кэша). Для нормальной передачи пакетов между хостами «А» и «В» хосту «С» необходимо выполнять функции роутера для данных хостов, т.е. организовать их передачу по маршрутам А-С-В и В-С-А. Отметим некоторые особенности реализации данной атаки:

так как протокол ARP функционирует только рамках одной широковещательной подсети, атаку ARP-spoofing нельзя провести для хостов в разных подсетях или виртуальных локальных вычислительных сетях (VLAN);

поскольку операционная система хостов периодически обновляет ARP-кэш, хосту «С» необходимо периодически выполнять процедуру «отравления кэша» для хостов «А» и «В»;

в случае прослушивания трафика между некоторым хостом и роутером сети, в результате получается, что злоумышленник сможет прослушивать трафик между данным хостом и любым хостом в Интернет.

Следует отметить, что если на коммутаторе не включена функция Port-Security (данная функция будет рассмотрена позже), то можно в качестве MAC-адреса сниффера использовать любой MAC-адрес. Атака MAC-duplicating заключается в установке на хосте злоумышленника «С» MAC-адреса, совпадающего с MAC-адресом другого хоста в сети, например «В». Теперь все пакеты, направляемые хосту «В» будут также посланы и хосту «С». Задача злоумышленника не отвечать на эти пакеты, а только принимать их. Атака MAC-flooding основана на особенности работы коммутаторов. Посылка на коммутатор огромного числа ARP-запросов на несуществующие IP-адреса, вызовет переполнение памяти коммутатора и его переход в режим функционирования концентратора. Для обратного перехода в нормальный режим функционирования необходимо перегрузить питание коммутатора. Таким образом, реализуя атаки ARP-Spoofing и MAC-duplicating, можно прослушивать трафик между любыми хостами в локальной сети корпорации, построенной на концентраторах и коммутаторах без использования шифрования. Перехват сетевого трафика осуществляется с использованием специального ПО - сетевых мониторов. Надо отметить, что не все сетевые мониторы могут перехватывать весь проходящий через них сетевой трафик. Например, Microsoft Network Monitor в стандартной комплектации Windows NT/2000/XP/2003, отображает пакеты, адресованные только данному компьютеру. В то же время, существует множество альтернативных сетевых мониторов, из которых самыми богатыми по набору функций являются Sniffer Pro от компании NAI, IRIS Network Traffic Analyzer от компании eEYE и TCP Dump.

Интересной программой также является утилита Cain & Abel 2.5 итальянского специалиста по сетевой безопасности Massimiliano Montoro, включающая в себя много полезных для администраторов функций. Отметим, что подавляющему большинству снифферов для перехвата всего сетевого трафика требуется установить специальные драйвера, для чего требуются администраторские права в ОС. Однако существуют снифферы, не требующих никаких специализированных драйверов, например, NGSSniff от компании NGSS Inc., который может осуществлять захват, используя Windows Sockets. Исследуем, к каким последствиям может привести прослушивание сетевого трафика. Современные сетевые протоколы локальных и глобальных сетей разрабатывались, когда проблемы информационной безопасности не являлись первоочередными. Соответственно, в данных протоколах практически отсутствую механизмы защиты. Это справедливо для многих широко-используемых протоколов - TCP/IP, ARP, HTTP, FTP, SMTP, POP3 и т.д. Поэтому в последние 5-10 лет были разработаны усовершенствованные версии протоколов передачи данных, способных противостоять угрозам безопасности.

Однако по ряду причин переход на более защищенные протоколы затянулся. Так уже несколько лет ведутся дискуссии о переходе от использования в Интернет протокола IPv4 к IPv6, включающего спецификацию IPSec для защиты передаваемых данных. А в корпоративных сетях по- прежнему используются незащищенные протоколы. Рассмотрим уязвимости этих протоколов важные применительно к корпоративным сетям.

Основными слабостями сетевых протоколов является отсутствие средств обеспечения конфиденциальности передаваемых данных. Так, при наличии в корпоративной сети почтового сервера с доступом по протоколам POP3, SMTP и IMAP, злоумышленник, перехватывающий трафик между почтовым сервером и любым узлом сети (например, компьютером директора), может завладеть аутентификационными данными пользователя. Это возможно, так как согласно спецификации протокола POP3 аутентификационные данные передаются в открытом виде.

2.7 Парольная защита

безопасность сеть парольная защита

Одним из важнейших методов защиты для соблюдения конфиденциальности является разграничение доступа. Практически с момента создания первых многопользовательских операционных систем для ограничения доступа используется пароли.

Вспомним историю. Операционные система Windows 95/98 сохраняли пароль в PWL-файле (как правило, USERNEAME, PWL) в каталоге Windows.

Вместе с тем стоит отметить, что несмотря на то, что содержимое PWL-файла было зашифровано, извлечь из него пароли было довольно просто. Перый алгоритм шифрования версии Windows 95 позволял создавать программы для расшифровки PWL-файлов. Однако в версии Windows 95 OSR2 этот недостаток был устранен. Тем не менее система защиты паролей в

OSR2 содержала несколько серьезных недостатков, а именно

Все пароли были преобразованы к верхнему регистру, что значительно уменьшало количество возможных паролей.

Применяемые для шифрования алгоритмы MD5 и RC4 позволяли реализовать более быстрое шифрование пароля, но достоверный пароль Windows должен был иметь длину не менее девяти символов.

Система кэширования пароля, по существу была ненадежна. Пароль мог быть сохранен только в том случае, если никто из персонала без соответствующего разрешения не имел доступ к вашему компьютеру.

В операционных системах, используемых в настоящее время (Windows XP/2000/2003), применяется более надежное защита парольного метода аутентификации. На в тоже время необходимо выполнять следующие рекомендации Microsoft:

Длина пароля должна составляет не менее восьми символов.

В пароле должны встречается большие и маленькие буквы, цифры и спецсимволов.

Время действия пароля должно составлять не более 42 дней

Пароли не должны повторяться.

В дальнейшим эти требования будут только ужесточаться. К чему это ведет, вернее, увы, уже привело? Чем сложнее пароли, чем больше приложений требует ввод пароля, тем выше вероятность того, что пользователи для всех приложений, в том числе и для аутентификации в ОС, будут использовать один и тот же пароль, к тому же записывая его на бумаге. Хорошо это или плохо?

С одной сторонни - явно недопустимо так как резко возрастает риск компрометации пароля, с другой- слишком сложный пароль трудно удержать в голове. Пользователи явно будут или выбирать простой пароль, или постоянно забывать сложный и отвлекать администратора от более важных дел. Исследования Gartner показывают, что 10 до 30% звонков в службу технической поддержки компаний составляют просьбу сотрудников по поводу восстановления забытых ими паролей.

По данным IDC, каждый забытый пароль обходится организации в 10-25 долл. Добавим сюда еще необходимость его постоянной смены и требование неповторяемости паролей.

На самом деле уже сегодня существует несколько вариантов решения этой нелегкой проблемы:

Первый этап. На видном месте в комнате (на стене, на столе) вывешивается плакат с лозунгом, После этого в качестве пароля используется текст. Содержащий, предположим каждый третий символ лозунга, включая пробелы и знаки препинания. Не зная алгоритма выбора знаков, подобный пароль подобрать довольно сложно.

Второй вариант. В качестве пароля выбирается (генерируется с помощью специального ПО) случайная последовательность букв, цифр и специальных символов. При этом указанный пароль распечатывается на матричном принтере на специальных конвертах, которые нельзя вскрыть, не нарушив их целостность. Примером такого конверта может служить конверт с PIN-кодом к платежной карте. Эти конверта хранятся в сейфе начальника подразделения или в сейфе службы информационной безопасности. Единственной сложностью при таком способе является необходимость немедленной смены пароля сразу после вскрытия конверта и изготовления другого подобного конверта с новым паролем, а также организация учета конвертов. Однако, если принять во внимание экономию времени администраторов сети и приложений, то эта плата не является чрезмерной.

Третий вариант- использование многофакторной аутентификации на базе новейших технологий аутентификации. В качестве примера рассмотрим двухфакторную аутентификацию. Основным преимуществом такой аутентификации является наличие физического ключа и PIN-кода к нему, что обеспечивает дополнительную устойчивости к взлому. Ведь утрата аппаратного ключа не влечет за собой компрометацию пароля, поскольку, кроме ключа, для доступа к системе нужен еще PIN-код к ключу. Отдельно стоит рассмотреть системы с применением разовых паролей, которые получают все большее распространение в связи с широким развитием Интернет - технологий, и системы биометрической аутентификации. В настоящее время основным способом защиты информаций от несанкционированного доступа (НСД) является внедрение так называемых средств ААА (Authentication, Authorization, Accounting-аутентификация, авторизация, управление правами пользователей). При использовании этой технологии пользователь получает доступ к компьютеру лишь после того, как прошел процедуры идентификации и аутентификации. Стоит учесть, что на мировом рынке ИТ-услуг сегмент ААА постоянно растет. Эта тенденция подчеркивает в аналитических обзорах IDC, Gartner и других консалтинговых фирм. Такой же вывод можно сделать внимательно просмотрев ежегодный обзор компьютерной преступности Института компьютерной безопасности США и ФБР за 2005 год (рисунок 1)

Рисунок 1. Данные по объему потерь от разных видов атак

Как видно из диаграммы ущерб от кражи конфиденциальной информаций значительно увеличился. То, есть каждая из опрошенных компаний потеряла в среднем более полутора миллиардов тенге вследствие кражи конфиденциальной информаций. Это исследование подтверждает тенденции, наметившиеся в последнее несколько лет. Согласно отчету Института компьютерной безопасности США и ФБР за 2004 год, кража чувствительных данных уже тогда входила в число опаснейших угроз - ущерб от нее составлял около 40% от общего объема ущерба всех его угроз. Исходя из этого можно сделать вывод, что кража конфиденциальной информаций имеет один из наиболее высоких рейтингов среди всех ИТ-угроз в США. Стоит отметить, что найти виновного без решения вопросов идентификаций и аутентификации невозможно. Среди основных сервисов безопасности:

Идентификация и аутентификации

Контроль защищенности

Контроль целостности и аутентификации информации

Межсетевое экранирование

Построение VPN

Протоколирование/аудит

Разграничение доступа

Управление безопасностью

Фильтрация контента

Шифрование

Отметим, что вопросы разграничения доступа решаются в обязательном порядке при создании любой информационной системы. В наше время, когда системы становятся все более надежная защита систем аутентификации как от внешних, так и от внутренних злоумышленников. Стоит понимать, что пользователи не склонны усложнять себя жизнь и стараются пользоваться как можно менее сложными паролями. А следовательно, для устранения этого в дальнейшим все чаще будут применяться программно-аппаратные средства аутентификации, которые постепенно придут на смену традиционным паролям (рисунок 2).