Анализ средств защиты информации в ЛВС

2.2.2 Аппаратные брандмауэры

3. Анализ аппаратно-программных средств защиты информации

3.1 Антивирусные средства

ВВЕДЕНИЕ

Вопрос защиты информации поднимается уже с тех пор, как только люди научились письменной грамоте. Всегда существовала информация, которую не должны знать все. Люди, обладающие такой информацией, прибегали к разным способам ее защиты. Из известных примеров это такие способы как тайнопись (письмо симпатическими чернилами), шифрование («тарабарская грамота», шифр «Цезаря», более совершенные шифры замены, подстановки). В настоящее время всеобщей компьютеризации благополучие и даже жизнь многих людей зависят от обеспечения информационной безопасности множества компьютерных систем обработки информации, а также контроля и управления различными объектами. К таким объектам (их называют критическими) можно отнести системы телекоммуникаций, банковские системы, атомные станции, системы управления воздушным и наземным транспортом, а также системы обработки и хранения секретной и конфиденциальной информации. Для нормального и безопасного функционирования этих систем необходимо поддерживать их безопасность и целостность. В настоящее время для проникновения в чужие секреты используются такие возможности как:

Ш подслушивание разговоров в помещении или автомашине с помощью предварительно установленных "радиожучков" или магнитофонов;

Ш контроль телефонов, телексных и телефаксных линий связи, радиотелефонов и радиостанций;

Ш дистанционный съем информации с различных технических средств, в первую очередь, с мониторов и печатающих устройств компьютеров и другой электронной техники;

Ш лазерное облучение оконных стекол в помещении, где ведутся "интересные разговоры" или, например, направленное радиоизлучение, которое может заставить "откликнуться и заговорить" детали в телевизоре, в радиоприемнике или другой технике.

Как известно, чем проще доступ в Сеть, тем хуже ее информационная безопасность, поэтому с полным основанием можно сказать, что изначальная простота доступа в Internet - хуже воровства, так как пользователь может даже и не узнать, что у него были скопированы - файлы и программы, не говоря уже о возможности их порчи и корректировки.

2.1 Программные средства защиты информации

2.1.1 Антивирусные программы

Для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов специальных программ, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными. Различают следующие виды антивирусных программ:

программы-детекторы;

программы-доктора или фаги;

программы-ревизоры;

программы-фильтры;

программы-вакцины или иммунизаторы.

Программы-детекторы осуществляют поиск характерной для конкретного вируса сигнатуры в оперативной памяти и в файлах и при обнаружении выдают соответствующее сообщение. Недостатком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам таких программ.

Программы-доктора или фаги, а также программы-вакцины не только находят зараженные вирусами файлы, но и «лечат» их, т.е. удаляют из файла тело программы-вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к «лечению» файлов. Среди фагов выделяют полифаги, т.е. программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов. Наиболее известные из них: AVP, Aidstest, Scan, Norton AntiVirus, Doctor Web.

Учитывая, что постоянно появляются новые вирусы, программы-детекторы и программы-доктора быстро устаревают, и требуется регулярное обновление версий.

Программы-ревизоры относятся к самым надежным средствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран монитора. Как правило, сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации, другие параметры. Программы-ревизоры имеют достаточно развитые алгоритмы, обнаруживают стелс-вирусы и могут даже очистить изменения версии проверяемой программы от изменений, внесенных вирусом. К числу программ-ревизоров относится широко распространенная в России программа Adinf.

Программы-фильтры или «сторожа» представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут являться:

попытки коррекции файлов с расширениями COM, EXE;

изменение атрибутов файла;

прямая запись на диск по абсолютному адресу;

запись в загрузочные сектора диска;

загрузка резидентной программы.

При попытке какой-либо программы произвести указанные действия «сторож» посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие. Программы-фильтры весьма полезны, так как способны обнаружить вирус на самой ранней стадии его существования до размножения. Однако, они не «лечат» файлы и диски. Для уничтожения вирусов требуется применить другие программы, например фаги.

Вакцины или иммунизаторы - это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, «лечащие» этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. В настоящее время программы-вакцины имеют ограниченное применение. Своевременное обнаружение зараженных вирусами файлов и дисков, полное уничтожение обнаруженных вирусов на каждом компьютере позволяют избежать распространения вирусной эпидемии на другие компьютеры. Главным оружием в борьбе с вирусами являются антивирусные программы. Они позволяют не только обнаружить вирусы, в том числе вирусы, использующие различные методы маскировки, но и удалить их из компьютера. Последняя операция может быть достаточно сложной и занять некоторое время. Существует несколько основополагающих методов поиска вирусов, которые применяются антивирусными программами. Наиболее традиционным методом поиска вирусов является сканирование. Оно заключается в поиске сигнатур, выделенных из ранее обнаруженных вирусов. Антивирусные программы-сканеры, способные удалить обнаруженные вирусы, обычно называются полифагами. Недостатком простых сканеров является их неспособность обнаружить полиморфные вирусы, полностью меняющие свой код. Для этого необходимо использовать более сложные алгоритмы поиска, включающие эвристический анализ проверяемых программ. Кроме того, сканеры могут обнаружить только уже известные и предварительно изученные вирусы, для которых была определена сигнатура. Поэтому программы-сканеры не защитят ваш компьютер от проникновения новых вирусов, которых, кстати, появляется по несколько штук в день. Как результат, сканеры устаревают уже в момент выхода новой версии.

2.1.2 FireWall

Пример реализации политики безопасности

Расcмотрим процесc практической реализации политики безопасности организации с помощью программного пакета FireWall-1.

Реализация политики безопасности FireWall.

1. Прежде всего, как уже отмечалось, разрабатываются и утверждаются на уровне руководства организации правила политики безопасности.

2. После утверждения эти правила надо воплотить в жизнь. Для этого их нужно перевести в структуру типа “откуда, куда и каким способом доступ разрешен или, наоборот, запрещен. Такие структуры, как мы уже знаем, легко переносятся в базы правил системы FireWall-1.

3. Далее, на основе этой базы правил формируются списки доступа для маршрутизаторов и сценарии работы фильтров на сетевых шлюзах. Списки и сценарии далее переносятся на физические компоненты сети, после чего правила политики безопасности “вступают в силу”.

4. В процессе работы фильтры пакетов на шлюзах и серверах генерируют записи обо всех событиях, которые им приказали отслеживать, а, также, запускают механизмы “тревоги”, требующие от администратора немедленной реакции.

5. На основе анализа записей, сделанных системой, отдел компьютерной безопасности организации может разрабатывать предложения по изменению и дальнейшему развитию политики безопасности.

Рассмотрим простой пример реализации следующих правил:

1. Из локальных сетей подразделений, возможно удаленных, разрешается связь с любой локальной сетью организации после аутентификации, например, по UNIX-паролю.

2. Всем запрещается доступ к сети финансового департамента, за исключением генерального директора и директора этого департамента.

3. Из Internet разрешается только отправлять и получать почту. Обо всех других попытках связи необходимо делать подробную запись.

Ш Все эти правила естественным образом представляются средствами графического интерфейса Редактора Правил FireWall-1.

Ш После загрузки правил, FireWall-1 для каждого пакета, передаваемого по сети, последовательно просматривает список правил до нахождения элемента, соответствующего текущему случаю.

Ш Важным моментом является защита системы, на которой размещен административно-конфигурационный модуль FireWall-1. Рекомендуется запретить средствами FireWall-1 все виды доступа к данной машине, или по крайней мере строго ограничить список пользователей, которым это разрешено, а также принять меры по физическому ограничению доступа и по защите обычными средствами ОС UNIX.

Ш карточки SecurID с аппаратной генерацией одноразовых паролей.

2.1.3 Брандмауэр

Наверное, лучше всего начать с описания того, что НЕ является брандмауэром: брандмауэр - это не просто маршрутизатор, хост или группа систем, которые обеспечивают безопасность в сети. Скорее, брандмауэр - это подход к безопасности; он помогает реализовать политику безопасности, которая определяет разрешенные службы и типы доступа к ним, и является реализацией этой политики в терминах сетевой конфигурации, нескольких хостов и маршрутизаторов, и других мер защиты, таких как усиленная аутентификация вместо статических паролей. Основная цель системы брандмауэра - управление доступом К или ИЗ защищаемой сети. Он реализует политику сетевого доступа, заставляя проходить все соединения с сетью через брандмауэр, где они могут быть проанализированы и разрешены либо отвергнуты.

Система брандмауэра может быть маршрутизатором, персональным компьютером, хостом, или группой хостов, созданной специально для защиты сети или подсети от неправильного использования протоколов и служб хостами, находящимися вне этой подсети. Обычно система брандмауэра создается на основе маршрутизаторов верхнего уровня, обычно на тех, которые соединяют сеть с Интернетом, хотя может быть создана и на других маршрутизаторах, для защиты только части хостов или подсетей.

Брандмауэры являются существенным компонентом в любой VPN. Они пропускают только санкционированный трафик для доверенных пользователей и блокируют весь остальной. Иными словами, пересекаются все попытки доступа неизвестных или недоверенных пользователей. Эта форма защиты должна быть обеспечена для каждого сайта и пользователя, поскольку отсутствие ее в каком-либо месте означает отсутствие везде. Для обеспечения безопасности виртуальных частных сетей применяются специальные протоколы. Эти протоколы позволяют хостам «договориться» об используемой технике шифрования и цифровой подписи, что позволяет сохранить конфиденциальность и целостность данных и выполнить аутентификацию пользователя.

Ш Аутентификация Kerberos -- протокол безопасности, используемый в распределенных средах для аутентификации пользователей.

Ш Public Key Certificate Server (Сервер сертификатов с открытыми ключами) позволяет использовать аутентификацию пользователей с применением открытых ключей по протоколу SSL/TLS (Secure Sockets Layer/Transport Layer Security). Эти протоколы обеспечивают защиту данных, передаваемых через Internet.

Ш Quality of Service (QoS, Службы качества обслуживания) позволяют совместимым с QoS приложениям резервировать полосу пропускания и менять приоритет передаваемых данных.

Ш Многопротокольная маршрутизация -- позволяет использовать сервер как маршрутизатор в IP- и IPX-сетях (также имеется версия, совместимая с NT Server 4.0)

Проблемы, возникающие из-за брандмауэров

Помимо описанных выше преимуществ использования брандмауэров, имеет место ряд недостатков при их использовании и ряд проблем, от которых брандмауэры не могут защитить. Брандмауэр не является панацеей от всех проблем безопасности, связанных с Интернетом.

Самым очевидным недостатком брандмауэра является то, что он может блокировать ряд служб, которые используют пользователи, такие как TELNET, FTP, X Windows, NFS и др. Тем не менее, эти недостатки не присущи только брандмауэрам; сетевой доступ также может ограничиваться при защите на уровне хостов в соответствии с политикой безопасности. Хорошо продуманная политика безопасности, в которой найден баланс между требованиями безопасности и потребностями пользователей, может сильно помочь при решении проблем из-за ограничений в доступе к службам.

Некоторые сети могут иметь топологию, которая не позволяет применить брандмауэр, или использовать службы, такие как NFS, таким образом, что использование брандмауэра потребует серьезных ограничений при работе в сети. Например, в сети может требоваться использование NFS и NIS через основные маршрутизаторы. В такой ситуации стоимость установки брандмауэра нужно сравнить с ущербом, который понесет организация от атаки, использующей уязвимые места, защищаемые брандмауэром, то есть провести анализ риска, а затем принять решение на основании его результатов. Могут оказаться более уместными другие решения, такие как Керберос, но эти решения также имеют свои недостатки. содержит дополнительную информацию о Керберос и других потенциальных решениях. Во-вторых, брандмауэры не защищают от черных входов (люков) в сети. Например, если можно осуществить неограниченный доступ по модему в сеть, защищенную брандмауэром, атакующие могут эффективно обойти брандмауэр. Сейчас скорости модемов достаточны для того, чтобы сделать возможным использование SLIP (Serial Line IP) и PPP(Point-to-Point Protocol); SLIP или PPP-соединение внутри защищенной сети по сути является еще одним соединением с сетью и потенциальным уязвимым местом. Зачем нужен брандмауэр, если разрешен неограниченный доступ по модему?

Плохая защита от атак своих сотрудников

Брандмауэры обычно не обеспечивают защиты от внутренних угроз. Хотя брандмауэр может защищать от получения посторонними лицами критических данных, он не защищает от копирования своими сотрудниками данных на ленту или дискету и выноса ее за пределы сети. Поэтому, было бы ошибкой думать, что наличие брандмауэра защищает от атак изнутри или атак, для защиты от которых нужен не брандмауэр. Наверное, не стоит вкладывать значительные ресурсы в брандмауэр, если есть другие способы украсть данные.

Другие проблемы

С брандмауэром также связан ряд других проблем:

Ш WWW, gopher - новые информационные сервера и клиенты, такие как WWW, gopher, WAIS и ряд других не рассчитаны на совместную работу с брандмауэром, и из-за их новизны вообще достаточно рискованны. Имеется потенциальная возможность атак с помощью передачи специальных данных, при которых данные, обрабатываемые клиентом, могут содержать команды клиенту, эти команды могут заставлять клиента изменить параметры средств управления доступом или модифицировать важные файлы, связанные с защитой машины клиента.

Ш MBONE - групповые передачи с помощью IP(MBONE), содержащие речь и изображение, инкапсулируются в других пакетах; брандмауэры обычно пропускают эти пакеты, не проверяя их содержимое. Передачи типа MBONE представляют потенциальную угрозу, если пакеты содержат команды, изменяющие параметры работы средств защиты и позволяющие злоумышленникам получить доступ.

Ш Вирусы - брандмауэры не защищают от пользователей, загружающих программы для ПЭВМ, зараженные вирусами, из Интернетовских архивов или передачи таких программ в качестве приложений к письму. Так как эти программы могут быть закодированы или сжаты большим числом способов, брандмауэр не может сканировать такие программы на предмет обнаружения сигнатур вирусов. Проблема вирусов будет оставаться и должна быть решена с помощью других антивирусных мер защиты.

Ш Пропускная способность - брандмауэры являются потенциально узким местом, так как все соединения должны проходить через брандмауэр и, в некоторых случаях, изучаться брандмауэром. Тем не менее, сегодня это не является проблемой, так как брандмауэры могут обрабатывать данные со скоростями 1.5 Мбита/с, а большинство сетей, подключенных к Интернету, имеют подключение со скоростью меньшей или равной этой.

Ш "Все яйца в одной корзине" - система брандмауэра концентрирует безопасность в одном месте, а не распределяет ее среди группы систем. Компрометация брандмауэра может быть ужасной для плохо защищенных систем в подсети. Этому тезису можно противопоставить контраргумент, что при увеличении подсети возрастают шансы того, что в ней появятся уязвимые места в безопасности.

2.1.4 Криптография, аутентификация

Проблемой защиты информации путем ее преобразования занимается криптология (kryptos - тайный, logos - наука). Криптология разделяется на два направления - криптографию и криптоанализ. Цели этих направлений прямо противоположны.

Криптография занимается поиском и исследованием математических методов преобразования информации.

Сфера интересов криптоанализа - исследование возможности расшифровывания информации без знания ключей.

В этом разделе внимание будет уделено криптографическим методам.

Современная криптография включает в себя четыре крупных раздела:

Симметричные криптосистемы.

Криптосистемы с открытым ключом.

Системы электронной подписи.

Управление ключами.

Основные направления использования криптографических методов - передача конфиденциальной информации по каналам связи (например, электронная почта), установление подлинности передаваемых сообщений, хранение информации (документов, баз данных) на носителях в зашифрованном виде.

Криптография дает возможность преобразовать информацию таким образом, что ее прочтение (восстановление) возможно только при знании ключа.

В качестве информации, подлежащей шифрованию и дешифрованию, будут рассматриваться тексты, построенные на некотором алфавите. Под этими терминами понимается следующее.

Алфавит - конечное множество используемых для кодирования информации знаков.

Текст - упорядоченный набор из элементов алфавита.

В качестве примеров алфавитов, используемых в современных ИС можно привести следующие:

алфавит Z33 - 32 буквы русского алфавита и пробел;

алфавит Z256 - символы, входящие в стандартные коды ASCII и КОИ-8;

бинарный алфавит - Z2 = {0,1};

восьмеричный алфавит или шестнадцатеричный алфавит;

Шифрование - преобразовательный процесс: исходный текст, который носит также название открытого текста, заменяется шифрованным текстом.

Дешифрование - обратный шифрованию процесс. На основе ключа шифрованный текст преобразуется в исходный.

Ключ - информация, необходимая для беспрепятственного шифрования и дешифрования текстов.

Криптографическая система представляет собой семейство T преобразований открытого текста. Члены этого семейства индексируются, или обозначаются символом k; параметр k является ключом. Пространство ключей K - это набор возможных значений ключа. Обычно ключ представляет собой последовательный ряд букв алфавита.

Криптосистемы разделяются на симметричные и с открытым ключом.

В симметричных криптосистемах и для шифрования, и для дешифрования используется один и тот же ключ.

В системах с открытым ключом используются два ключа - открытый и закрытый, которые математически связаны друг с другом. Информация шифруется с помощью открытого ключа, который доступен всем желающим, а расшифровывается с помощью закрытого ключа, известного только получателю сообщения. Термины распределение ключей и управление ключами относятся к процессам системы обработки информации, содержанием которых является составление и распределение ключей между пользователями.

Электронной (цифровой) подписью называется присоединяемое к тексту его криптографическое преобразование, которое позволяет при получении текста другим пользователем проверить авторство и подлинность сообщения.

Криптостойкостью называется характеристика шифра, определяющая его стойкость к дешифрованию без знания ключа (т.е. криптоанализу). Имеется несколько показателей криптостойкости, среди которых:

количество всех возможных ключей;

среднее время, необходимое для криптоанализа.

Преобразование Tk определяется соответствующим алгоритмом и значением параметра k. Эффективность шифрования с целью защиты информации зависит от сохранения тайны ключа и криптостойкости шифра.

Требования к криптосистемам

Процесс криптографического закрытия данных может осуществляться как программно, так и аппаратно. Аппаратная реализация отличается существенно большей стоимостью, однако ей присущи и преимущества: высокая производительность, простота, защищенность и т.д. Программная реализация более практична, допускает известную гибкость в использовании.

Для современных криптографических систем защиты информации сформулированы следующие общепринятые требования:

зашифрованное сообщение должно поддаваться чтению только при наличии ключа;

число операций, необходимых для определения использованного ключа шифрования по фрагменту шифрованного сообщения и соответствующего ему открытого текста, должно быть не меньше общего числа возможных ключей;

число операций, необходимых для расшифровывания информации путем перебора всевозможных ключей должно иметь строгую нижнюю оценку и выходить за пределы возможностей современных компьютеров (с учетом возможности использования сетевых вычислений);

знание алгоритма шифрования не должно влиять на надежность защиты;

незначительное изменение ключа должно приводить к существенному изменению вида зашифрованного сообщения даже при использовании одного и того же ключа;

структурные элементы алгоритма шифрования должны быть неизменными;

дополнительные биты, вводимые в сообщение в процессе шифрования, должен быть полностью и надежно скрыты в шифрованном тексте;

длина шифрованного текста должна быть равной длине исходного текста;

не должно быть простых и легко устанавливаемых зависимостью между ключами, последовательно используемыми в процессе шифрования;

любой ключ из множества возможных должен обеспечивать надежную защиту информации;

алгоритм должен допускать как программную, так и аппаратную реализацию, при этом изменение длины ключа не должно вести к качественному ухудшению алгоритма шифрования.

В чем состоит проблема аутентификации данных?

В конце обычного письма или документа исполнитель или ответственное лицо обычно ставит свою подпись. Подобное действие обычно преследует две цели.

Во-первых, получатель имеет возможность убедиться в истинности письма,

сличив подпись с имеющимся у него образцом. Во-вторых, личная подпись является юридическим гарантом авторства документа. Последний аспект особенно важен при заключении разного рода торговых сделок, составлении доверенностей, обязательств и т.д.

Если подделать подпись человека на бумаге весьма непросто, а установить авторство подписи современными криминалистическими методами - техническая деталь, то с подписью электронной дело обстоит иначе. Подделать цепочку битов, просто ее, скопировав, или незаметно внести нелегальные исправления в документ сможет любой пользователь.

С широким распространением в современном мире электронных форм документов (в том числе и конфиденциальных) и средств их обработки особо актуальной стала проблема установления подлинности и авторства безбумажной документации.

Итак, пусть имеются два пользователя Александр и Борис.

От каких нарушений и действий злоумышленника должна защищать система аутентификации.

Отказ (ренегатство)

Александр заявляет, что он не посылал сообщение Борису, хотя на самом деле он все-таки посылал.

Для исключения этого нарушения используется электронная (или цифровая) подпись.

Модификация (переделка)

Борис изменяет сообщение и утверждает, что данное (измененное) сообщение послал ему Александр.

Подделка

Борис формирует сообщение и утверждает, что данное (измененное) сообщение послал ему Александр.

Активный перехват

Владимир перехватывает сообщения между Александром и Борисом с целью их скрытой модификации.

Для защиты от модификации, подделки и маскировки используются цифровые сигнатуры.

Маскировка (имитация)

Владимир посылает Борису сообщение от имени Александра.

В этом случае для защиты также используется электронная подпись.

Повтор

Владимир повторяет ранее переданное сообщение, которое Александра посылал ранее Борису. Несмотря на то, что принимаются всевозможные меры защиты от повторов, именно на этот метод приходится большинство случаев незаконного снятия и траты денег в системах электронных платежей.

Наиболее действенным методом защиты от повтора являются использование имитовставок, учет входящих сообщений.

Протоколы электронной подписи

Протоколы (схемы) электронной подписи являются основными криптографическим средством обеспечения целостности информации.

Kerberos-5

К настоящему времени Kerberos выдержал уже четыре модификации, из которых четвертая получила наибольшее распространение. Недавно группа, продолжающая работу над Kerberos, опубликовала спецификацию пятой версии системы, основные особенности которой отражены в стандарте RFC 1510. Эта модификация Kerberos имеет ряд новых свойств, из которых можно выделить следующие. Механизм передачи полномочий серверу на действия от имени клиента, значительно облегчающий идентификацию в сети в ряде сложных случаев, является нововведением пятой версии. Пятая версия обеспечивает более упрощенную идентификацию пользователей в удаленных Kerberos-областях, с сокращенным числом передач секретных ключей между этими областями. Данное свойство, в свою очередь, базируется на механизме передачи полномочий. Если в предыдущих версиях Kerberos для шифрования использовался исключительно алгоритм DES (Data Encryption Standard - Стандарт Шифрования Данных), надежность которого вызывала некоторые сомнения, то в данной версии возможно использование различных алгоритмов шифрования, отличных от DES.

2.2 Аппаратные средства защиты.

2.2.1 Сетевые фильтры, коммутаторы

Коммутаторы (коммутирующие концентраторы, switches) - сочетают в себе функции многопортового повторителя и высокоскоростного моста. Их упрощенной «неинтеллектуальной» версией исполнения являются концентраторы (хабы), которые просто на физическом уровне соединяют сегменты сети «звездой» и рассылают все пакеты на все порты. Коммутатор (свич), работая как на канальном, так и на сетевом уровне, же создает таблицу МАС-адресов всех устройств, подключенных к его портам, и использует ее для передачи пакетов только в требуемый порт. Наибольшее распространение получили свичи с пропускной способностью 100 Мбит/с. Иногда встречаются коммутаторы, имеющие порты обоих типов. Производятся коммутаторы, работающие с разными МАС-протоколами, например Ethernet и FDDI.

Маршрутизатор требует более высокого уровня протоколов архитектуры связи, чем мост или коммутатор. Он связывает сегменты сети через сетевой уровень. Например, инструкции по маршрутизации пакетов содержатся в сетевом уровне IP. Маршрутизатор отличается от моста тем, что он может считывать адрес рабочей станции и адрес ЛВС в пакете. Благодаря этому маршрутизатор может фильтровать пакеты и перенаправляет их по наилучшему возможному маршруту, который определяет по таблице маршрутизации.

Протоколы маршрутизации определяют метод, с помощью которого маршрутизаторы могут взаимодействовать друг с другом, совместно использовать информацию о сети. Эти протоколы могут выполняться в маршрутизаторах для построения таблиц маршрутизации или обмена информацией о маршрутизации с другим маршрутизатором. Со временем таблицы маршрутизации маршрутизирующих устройств будут содержать примерно одну и ту же информацию. Два основных протокола маршрутизации в TCP/IP - это RIP и OSPF.

Сетевые адаптеры

Сетевой адаптер представляет собой устройство, с помощью которого компьютер подключается к сети.

Для установки внешних сетевых адаптеров не требуется вскрывать системный блок компьютера или прокладывать дома специальные сетевые кабели. Внешний сетевой адаптер можно подключить к USB-порту локального компьютера. Использование внешних сетевых адаптеров -- это самый быстрый и простой способ установки домашней сети. Они доступны для сети Ethernet, для адаптера HPNA и беспроводных сетей.

Внутренний сетевой адаптер устанавливается в гнездо расширения внутри компьютера. У большинства компьютеров имеется несколько гнезд расширений PCI.

В следующей таблице описываются различные типы современных сетевых адаптеров. Внешние и внутренние адаптеры доступны для любого типа.

Существует четыре типа оборудования, необходимого для настройки домашней или малой офисной сети.

· Сетевой адаптер. Сетевые адаптеры (называемые также сетевыми платами) объединяют компьютеры в сеть и обеспечивают взаимодействие между ними. Сетевой адаптер можно подключить к USB-порту на компьютере или установить внутри компьютера в свободное гнездо расширения PCI.

· Сетевые концентраторы и кабель. Концентратор соединяет коммуникационные линии в центральный узел. Как правило, концентратор применяется для подключения двух и более компьютеров к сети Ethernet. Наличие концентратора не требуется при подключении компьютеров через телефонную линию с помощью адаптера HPNA или беспроводного адаптера. Можно также использовать сетевые адаптеры стандарта IEEE 1394.

· Модем. Модем может обладать пропускной способность 28,8 или 56 Кбит/с; это может быть также модем ISDN (Integrated Services Digital Network), DSL (Digital Subscriber Line) или кабельный модем.

Компьютеры локальной сети должны отвечать следующим минимальным требованиям.

· При использовании общего доступа к подключению Интернета (ICS) компьютер, предоставляющий доступ к подключению Интернета (узловой компьютер ICS), должен работать под управлением Windows XP Home Edition или Windows XP Professional.

· Мастер настройки сети может быть запущен только на компьютерах под управлением Windows 98, Windows 98 Second Edition, Windows Millennium Edition, Windows XP Home Edition, Windows XP Professional или Пакет обновления 2 для Microsoft Windows XP (SP2).

2.2.2 Аппаратный брандмауэр

Информация в век цифровых технологий приравнена к деньгам, а раз так -- ее нужно охранять. В Интернете всегда найдутся желающие поинтересоваться содержимым ваших жестких дисков или заменить первую страницу на сайте вашей компании лозунгом типа «Vasya Pupkin Was Here!» Это только вопрос времени. Хорошая система защиты информации от несанкционированного доступа на предприятии так же необходима, как и надежный сейф для хранения тех самых денег, в которые информация отливается.

В одном из западных журналов, посвященных сетевой безопасности, я натолкнулся на статью о сравнении нескольких популярных «межсетевых экранов» масштаба среднего предприятия. Победителем по многим категориям там выходила система, о которой я никогда не слышал, -- WatchGuard LiveSecurity System от компании WatchGuard Technologies. Почему красный ящик, спросите? Не поверите -- он действительно красный, как огнетушитель или пожарный щит (см. фото). А как еще должно выглядеть устройство, которое называется «FireBox»?

Итак, WatchGuard FireBox II -- это аппаратный межсетевой экран, в простонародье -- firewall. Вид спереди (см. фото) -- симпатичные столбиковые индикаторы объема трафика, проходящего через firewall, и индикатор нагрузки на центральный процессор. Самое приятное -- треугольный индикатор направлений трафика (Security Triangle Display). Показывает, между какими интерфейсами устройства в данный момент происходит обмен пакетами, и в каком направлении. Позволяет на глаз оценить, насколько правильно вы задали конфигурацию устройства. Например, если в конфигурации запрещены исходящие соединения из DMZ во внутреннюю сеть, а на индикаторе вы видите активный трафик в этом направлении -- значит, что-то неладно и пора пересмотреть правила обработки пакетов. Есть еще на передней панели четыре индикатора различных состояний устройства (если кому интересно, что они обозначают, -- RTFM).

Сам FireBox монтируется в стандартную промышленную 19-дюймовую стойку, но может стоять и на столе на собственных резиновых ножках.

Вид сзади -- три сетевых интерфейса Fast Ethernet 10/100. Все правильно -- один в локальную сеть, второй в маршрутизатор или другое устройство доступа. Куда третий? На ваше усмотрение (кое-кто даже модемные пулы туда «подвешивает»). А вообще, по документации, он нужен для создания «демилитаризованной» зоны -- DMZ. Руководства по сетевой безопасности рекомендуют «сажать» в эту зону общедоступные сервисы, например Web- или почтовый сервер предприятия.

Немного огорчает отсутствие слотов расширения для установки дополнительных сетевых адаптеров, но для большинства организаций малого и среднего бизнеса и для стандартных задач, связанных с работой в Интернете, трех сетевых интерфейсов вполне достаточно.

Очень интересная возможность -- один двойной разъем PCMCIA Type II для установки модема (сам модем в комплект не входит). Это позволяет управлять настройкой FireBox удаленно, с другого компьютера, в терминологии WatchGuard -- OOB (Out Of Band Management). В документации, правда, написано, что пока можно использовать одновременно лишь один слот PCMCIA -- в следующих версиях ПО, возможно, будут задействованы оба разъема. Есть еще порт RS-232 (Console) для подключения к компьютеру с программным обеспечением WatchGuard LiveSecurity (например, для первоначальной настройки) и один служебный порт RS-232 для расширения системы (пока он не задействован).

FireBox -- это хорошо замаскированный PC. Внутри установлена специализированная системная плата с тремя сетевыми интерфейсами, процессором Intel Pentium 200, flash-памятью на 8 Мбайт и двумя разъемами для модулей DIMM (модель FireBox II поставляется с одним модулем на 64 Мбайт). Есть даже два PCI-слота. Зачем -- документация умалчивает, однако в службе технической поддержки, что они предназначены для установки аппаратных криптоускорителей для повышения скорости обмена информацией через VPN. Вообще, мануал грозит отменой гарантии, если мы будем лазить внутрь грязными руками. Но уж очень хочется открыть ящик Пандоры…

Что внутри? А вы догадайтесь, что сейчас модно ставить внутрь различных сетевых устройств? Конечно, Linux. Разумеется, не простой, а специальную урезанную и защищенную версию. WatchGuard Technologies гордится тем, что все компоненты системы были разработаны компанией самостоятельно и не базируются на общеизвестных исходных кодах.

Говорить о FireBox как об отдельном устройстве нельзя -- это программно-аппаратный комплекс. Система в целом называется WatchGuard LiveSecurity Service и включает в себя следующие компоненты:

* подписную службу рассылки информации -- Broadcast Service;

* набор программного обеспечения для управления и контроля -- Control Center;

* программное обеспечение FireBox -- SecuritySuite;

* собственно устройство FireBox.

Пара слов о программном обеспечении. Перед началом использования FireBox необходимо зарегистрироваться на сайте производителя -- активировать годовую подписку на услугу LiveSecurity, которая позволяет в течение года после регистрации бесплатно пользоваться технической поддержкой, скачивать новые версии софта для FireBox, а также получать через специальные программы и по электронной почте дополнительную информацию о сетевой безопасности. Регулярно приходят сообщения о новых видах сетевых атак, о новых вирусах, ссылки на пакеты исправлений для различных программных продуктов, рекомендации и HOWTO по использованию продукта и прочие полезные вещи. Информация на сайте технической поддержки неплохо структурирована и, на мой взгляд, вполне достаточна для самостоятельного освоения управления устройством. Единственное нарекание -- медленный доступ к страницам технической поддержки. Возможно, это связано с большой нагрузкой на Web-серверы производителя -- доступ туда организован только по SSL. На сайте WatchGuard действуют форумы, где можно обсудить проблемы с другими пользователями системы.

Начнем с Control Center -- центральной точки управления и мониторинга всей системы (см. скриншот). Он состоит из нескольких приложений:

* VPN Manager -- действительно умеет делать VPN. Подробности ниже.

* FireBox Monitors -- приложение для мониторинга различных параметров: трафика, количества соединений по тем или иным портам TCP/IP, авторизованных пользователей и аппаратных ресурсов. Очень удобный инструмент.

* Logging/Notification -- система ведения журналов.

Писать протоколы -- любимое занятие красного ящика. Он может делать это на машине, где установлено LiveSecurity, и/или в syslog. Это дает возможность прикрутить к FireBox службы обнаружения вторжений (Intrusion Detection System). Я обучил бесплатный IDS Snort анализировать журнал от FireBox и сообщать о подозрительных событиях. Всё лучше, чем прочесывать в поисках километровый журнал. Начиная с версии LiveSecurity 5.0 на сайте производителя доступны дополнительные программы для интеграции софта FireBox с практически любыми IDS. Разработаны версии для систем NT/W2K, Solaris и Linux. Такого рода интеграция полезна тем, что можно автоматически заблокировать IP-адрес, который с точки зрения IDS ведет себя подозрительно. Помимо этого, FireBox способен самостоятельно, без помощи систем класса IDS, распознавать самые распространенные виды атак (сканирование портов и адресного пространства, IP Option, IP Spoofing, SYN Flood) и автоматически блокировать любые соединения с атакующего хоста.

* Historical Reports -- модуль, служащий для составления удобных и красивых отчетов в формате HTML, анализа журналов работы FireBox, а также для создания и экспорта данных из журнала в другие системы. Подсистема обработки журнала позволяет задавать время открытия новых файлов журнала запуска того или иного отчета. Нет только одной мелочи -- возможности указать, сколько последних журналов хранится на диске. Учитывая, что размер log-файлов весьма велик, нужно следить за тем, чтобы на диске, куда пишутся журналы, оставалось место. Или написать скрипт, периодически стирающий старые логи.

* HostWatch -- утилита для динамического отслеживания соединений, проходящих через FireBox. Показывает, кто, откуда и куда соединился, по какому протоколу и как -- то есть NAT, proxy-соединение и прочую информацию. Можно устанавливать фильтры, отслеживая только интересующий трафик, или просто «заморозить» текущую картинку и внимательно ее рассмотреть.

*Policy Manager -- собственно менеджер правил межсетевого экрана. О нем немного ниже.

На мой взгляд, это достаточный набор инструментов для понимания того, что происходит с межсетевым экраном. Но не мониторингом единым жив firewall, и посему хочу рассказать о том, что живет внутри самого красного ящичка и что оно умеет. Внутреннее программное обеспечение FireBox называется SecuritySuite и работает под управлением специальной защищенной версии Linux Kernel 2.0. Вкратце о том, что оно умеет делать:

*NAT -- Network Address Translation. NAT в FireBox возведена в степень культа. «Понатить» при желании можно все, что угодно. Есть возможность определить общие правила трансляции адресов и задать NAT на основе per-service. Например, транслировать все исходящие соединения из локальной сети в Интернет, но не транслировать исходящие соединения из ЛВС в DMZ по протоколу HTTP. Работа по определению правил NAT устроена элегантно и очень удобно. Можно задать исключения из правил, и начиная с версии Live Security 5.0 появляется возможность 1-to-1 NAT (то есть направления пакетов, посланных на определенные диапазоны адресов, на другие диапазоны).

*Firewall -- фильтрация пакетов. Ну что тут сказать -- работает. Модуль сертифицирован как российскими, так и международными организациями. В России WatchGuard FireBox System версии 4.6 имеет сертификат Гостехкомиссии по третьему классу защиты информации с формулировкой «позволяет применять его для обработки информации, составляющей государственную тайну». Кроме того, устройство сертифицировано лабораторией ICSA Labs. На этом закругляюсь -- не сглазить бы.

*Authentication -- аутентификация пользователей. FireBox позволяет определить их подлинность несколькими способами пользователи, непосредственно созданные на FireBox, Windows NT domain/server, RADIUS, SecureID server. Одновременно можно применять только один способ аутентификации. Проверка подлинности пользователя позволяет оперировать доступом к ресурсам с помощью таких понятий, как «пользователь» и «группа». То есть можно, например, авторизованным пользователям разрешить доступ к определенным протоколам/хостам, а всем остальным запретить. Для проверки прав пользователя нужно из любого браузера обратиться по специальному порту. Появится окошко с Java-апплетом, предлагающим ввести ваши имя и пароль. Если проверка прошла успешно, окошко нужно минимизировать, и пока оно остается открытым, вы будете получать доступ к означенному ресурсу.

* Web Access Control. Позволяет установить доступ к ресурсам всемирной паутины. Можно фильтровать небезопасное содержимое -- cookies, Java Applet, ActiveX, запрещать заполнение форм и пропускать только определенные типы HTTP-трафика. В состав входит бесплатная служба WebBlocker, позволяющая ограничивать доступ к различными типам Web-сайтов -- порно, насилие и т. д. Тест показал, что, например, порносайты эта служба блокирует прекрасно, но в базу попадают многие вполне безобидные российские сайты. Конечно, их можно исключить и вручную, но это не очень неудобно.

*VPN. FireBox поддерживает оба типа виртуальных частных сетей -- для удаленных пользователей и для объединения ЛВС через Интернет. Для доступа удаленных пользователей доступно два протокола -- бесплатный PPTP, идущий в комплекте, и IPSec. Второй требует приобретения пользовательских лицензий и специального дополнительного программного обеспечения -- Mobile User VPN Client. Я протестировал работу FireBox как сервера PPTP для входа в домен Windows NT 4.0 -- после небольшого изучения документации все заработало как нужно. Одновременно в версии устройства FireBox II могут работать до пятидесяти PPTP-клиентов, а новейшая линейка FireBox III поддерживает уже до тысячи туннелей VPN.

Существуют еще две программные опции -- High Availability и SpamScreen. Первая предназначена для «горячего» подключения резервного FireBox на случай выхода из строя основного. Вторая -- подписная услуга, блокирующая спам при использовании встроенного в FireBox SMTP-proxy.

Кстати, о proxy. Создание и менеджмент правил обработки пакетов с WatchGuard Control Center -- простое и увлекательное занятие. Идеология управления правилами фильтрации очень проста: у нас есть куча готовых пакетных фильтров и -- внимание! -- proxy-сервисов, под сетевые протоколы (FTP, DNS, SMTP) и общеизвестные приложения (ICQ, RealAudio etc). Если не хватает нужного пакетного фильтра (или не устраивают параметры стандартного) -- его можно создать самому. После этого нам остается в программе Policy Manager указать, откуда и куда мы разрешаем входящие и исходящие соединения. Причем, скажем, одному SMTP-серверу можно задать использование SMTP-proxy, а другому -- пакетную фильтрацию по порту 25. Вообще, мне показалось, что WatchGuard больше поощряет использование proxy-сервисов, иначе как объяснить наличие сервиса FTP-Proxy и отсутствие простого пакетного фильтра для этого протокола.

В заключение хочу напомнить, что безопасность -- это не продукт, а процесс. И никакой, даже самый современный firewall, не является сам по себе магическим устройством, способным на 100 процентов защитить от посягательств ваши информационные ресурсы. Грамотно выстроить корпоративную систему безопасности можно только в комплексе с другими средствами защиты и административными мерами.

3. Анализ аппаратно - программных средств защиты информации

3.1 Антивирусные средства

Dr Solomon's AntiVirus Toolkit

Достоинства: в целом самые лучшие результаты обнаружения и устранения вирусов.

Недостатки: весьма недешев; обновленные версии доступны только на дискетах, распространяемых по подписке.

Звание "Лучший выбор" получил Dr Solomon's AntiVirus Toolkit, несмотря на высокую цену - 85 долл. Нашелся только один программный продукт - VirusScan фирмы McAfee, который в наших тестах устранил больше "диких" вирусов, чем Dr Solomon's Toolkit. Благодаря толковому интерфейсу на экран по вашему распоряжению выводится любая нужная вам антивирусная функция, наряду с полной экранной энциклопедией всех известных вирусов и вызываемых ими последствий. Бродячие охотники за вирусами наверняка оценят также входящую в пакет загрузочную дискету Magic Bullet ("Волшебная пуля"), которая позволяет быстро найти и уничтожить вирус в любой системе.

Недостатком данного пакета является невозможность сетевой загрузки новых данных о вирусах; число же обновленных версий ограничено четырьмя в год.

Компания сообщила нам о том, что скоро она станет продавать Toolkit только в наборе для пяти пользователей ценою в 349 долл. Однако с середины марта компания вывела на рынок новую, упрощенную версию, которая называется Dr Solomon's AntiVirus и стоит 50 долл. Насколько можно судить по бета-версии, которую мы видели, этот новый пакет не в состоянии сканировать сетевые дисководы, но он сохраняет все те возможности, благодаря которым Toolkit столь удобен для персонального употребления, включая энциклопедию вирусов и дискету Magic Bullet (переименованную в SOS). Пользоваться интерфейсом стало проще, появилась возможность получения обновленных версий в режиме оперативного доступа, а стоимость ежемесячного обновления - 30 долл. в год. Мы еще не тестировали эту новую версию, но в ней использованы те же программные средства обнаружения вирусов, что и в Toolkit, так что она должна работать столь же хорошо.