Требования к структуре системы
В общем случае, антивирусная защита банковской информационной системы должна строиться по иерархическому принципу:
службы общекорпоративного уровня - 1-й уровень иерархии; службы подразделений или филиалов - 2-й уровень иерархии; службы конечных пользователей - 3-й уровень иерархии.
Службы всех уровней объединяются в единую вычислительную сеть (образуют единую инфраструктуру), посредством локальной вычислительной сети.
Службы общекорпоративного уровня должны функционировать в непрерывном режиме.
Управление всех уровней должно осуществляться специальным персоналом, для чего должны быть предусмотрены средства централизованного администрирования.
Антивирусная система должна предоставлять следующие виды сервисов на общекорпоративном уровне:
получение обновления программного обеспечения и антивирусных баз; управление распространением антивирусного программного обеспечения; управление обновлением антивирусных баз; контроль за работой системы в целом (получение предупреждений об обнаружении вируса, регулярное получение комплексных отчетов о работе системы в целом); на уровне подразделений: обновление антивирусных баз конечных пользователей; обновление антивирусного программного обеспечения конечных пользователей, управление локальными группами пользователей; на уровне конечных пользователей: автоматическая антивирусная защита данных пользователя.
Требования пользователей
Если обратиться к документации на различные системы, реализующие ЭЦП, то можно заметить, что производители, особенно в России, уделяют максимум внимания математическим аспектам реализованных алгоритмов. Десятки страниц посвящены тому, какова криптостойкость алгоритма и сколько лет потребуется злоумышленнику на подделку подписанного документа. Но как ни парадоксально это прозвучит, на практике пользователей очень мало волнуют эти вопросы. Если система реализует некоторый стандарт, то для конечного пользователя этого факта достаточно. Тем более что проверить правильность приводимых в документации выкладок сможет только квалифицированный математик-криптограф, которых в России очень мало. В первую очередь пользователи интересуются потребительскими свойствами предлагаемых систем, возможностям их встраивания в уже существующую технологию обработки информации и т.п. Рассмотрим более подробно эти и другие вопросы, задаваемые пользователями при приобретении систем, реализующих электронную цифровую подпись.
Скорость - это один из основных параметров, на которые следует обращать внимание при выборе системы цифровой подписи. Особенно в системах связи, в которых осуществляется очень интенсивный обмен данными и передаваемая информация должна защищаться от подделки. Данный параметр слагается из двух составляющих: скорости генерации подписи и скорости ее проверки, и существенно зависит от скорости выработки хэш-функции, а также типа ЭВМ, на которой осуществляется генерация или проверка ЭЦП.
Немаловажным параметром является длина подписи. Например, в системах диспетчерского управления, в которых постоянно передается большое число переменных малой длины, использование российского стандарта для подписи всех данных неэффективно.
Поскольку при приобретении системы цифровой подписи, как правило, у заказчика уже сложилась информационная инфраструктура, то очень часто на первое место выходит вопрос об интеграции приобретаемой системы в принятую технологию обработки информации. Например, если в качестве средства отправки электронной почты используется Microsoft Outlook, то необходимо, чтобы система ЭЦП могла быть встроена в эту почтовую программу. Такую возможность предлагают многие зарубежные и некоторые российские системы ЭЦП, например, PGP (Pretty Good Privacy), которая также может быть встроена в почтовую программу Eudora, наравне с Microsoft Outlook, широко распространенную в России. Если система ЭЦП не поддерживает используемое у заказчика программное обеспечение (например, потому что оно разработано самим заказчиком), то поставщик должен поставлять интерфейс (API) для встраивания возможностей работы с цифровой подписью в систему заказчика. Такую возможность предлагают многие российские производители (например, МО ПНИЭИ, ЛАН КРИПТО, НИП "Информзащита"). Причем желательно, чтобы данный интерфейс существовал для различных операционных систем и платформ (Windows NT, Windows 9x, MS DOS, HP UX, AIX и т.д.).
Необходимо обратить внимание на предлагаемые механизмы или меры защиты от несанкционированного доступа к системе электронной цифровой подписи. Должны быть предусмотрены действия, выполняемые в случае компрометации ключей одного из пользователей (например, занесение их в "черные списки" и рассылка всем пользователям системы). Кроме того, должна контролироваться целостность как системы ЭЦП в целом, так и ее компонентов (например, журналов регистрации действий). В документации на некоторые российские системы ЭЦП есть рекомендации по применению систем защиты информации от несанкционированного доступа. Данные системы, в частности, позволяют ограничить круг лиц, имеющих право запуска системы цифровой подписи. Одной из таких систем является сертифицированная в Гостехкомиссии России система Secret Net, разработанная Научно-инженерным предприятием "Информзащита".
Немаловажным аспектом является юридическая поддержка предлагаемого решения. Если предложение системы ЭЦП исходит от компании-разработчика программного обеспечения, то она должна предоставить проект договора об обмене электронными документами с использованием ЭЦП. Если же компания предлагает обслуживание с применением систем ЭЦП, то следует внимательно ознакомиться с текстом заключаемого договора. В таком договоре или его проекте должно быть предусмотрено решение следующих вопросов:
Наличие процедуры урегулирования конфликтных ситуаций; Описание состава комиссии, расследующей возникающие конфликты; Ответственность сторон (в т.ч. и фирмы-разработчика).
Для реализации процедуры расследования конфликтных ситуаций система, в которой реализована цифровая подпись, должна поддерживать возможность хранения всех используемых ключей.
Окончательный выбор системы ЭЦП может быть определен наличием или отсутствием следующих дополнительных возможностей:
Постановка нескольких подписей под одним документом и их выборочная проверка; Хранение цифровой подписи не только в подписываемом документе, но и в отдельном файле; Использование командной строки для работы с системой ЭЦП; Подпись и проверка группы файлов; Постановка и проверка подписи под заданными фрагментами (полями) документа; Выработка и проверка групповой подписи; Совместное использование функций шифрования и цифровой подписи; Постановка подписи и ее проверка для участка оперативной памяти; Архивация использованных ключей; И т.д.
Tripwire
Спаффорд из университета Пурди и тогдашний студент Джин Ким разработали систему обнаружения вторжений Tripwire Academic Source, которую с момента ее выпуска в 1992 году загрузили более миллиона пользователей. Компания Tripwire (), которую основал Ким, позже полностью переделала эту программу, превратив ее в коммерческий продукт с закрытыми исходными текстами. Tripwire предлагает бесплатную версию для Linux, но продает коммерческие версии для платформ Unix и Windows NT.
Туннели используются не только в метро
Но даже просмотр трафика на границе между внешней и внутренней сетями не гарантирует полной защиты. Межсетевой экран фильтрует трафик и принимает решения о пропуске или блокировании сетевых пакетов, опираясь на информацию об используемом протоколе. Как правило, правила предусматривают соответствующую проверку с целью определения того, разрешен или нет конкретный протокол. Например, если на МСЭ разрешен 25 и 80 порты, то тем самым разрешается пропуск во внутреннюю сеть почтового (SMTP) и Web (HTTP) трафика. Именно этот принцип обработки и используется квалифицированными злоумышленниками. Вся несанкционированная деятельность осуществляется в рамках разрешенного протокола, создавая тем самым в нем туннель, по которому злоумышленник и реализует атаку. Самый простой пример, демонстрирующий применение туннелей - Internet-черви и макровирусы, заносимые в корпоративную сеть в виде вложений (attachments) в сообщения электронной почты. Если межсетевой экран разрешает прохождение SMTP-трафика (а мне не приходилось видеть МСЭ, который бы этого не делал), то во внутреннюю сеть может попасть и "вирусная инфекция". Приведу более сложный пример. Например, Web-сервер, функционирующий под управлением программного обеспечения компании Microsoft (Internet Information Server), защищается межсетевым экраном, на котором разрешен только 80-ый порт. На первый взгляд обеспечивается полная защита. Но только на первый взгляд. Если используется IIS версии 3.0, то обращение по адресу: http://www.domain.ru/default.asp. (с точкой в конце) позволяет злоумышленнику получить доступ к содержимому ASP-файла, который может хранить конфиденциальные данные (например, пароль доступа к базе данных). В системе обнаружения атак RealSecure эта атака получила название "HTTP IIS 3.0 Asp Dot". И даже, если вы установили самую последнюю версию IIS 5.0, то и в этом случае вы не можете чувствовать себя в полной безопасности. Обращение к адресу:
http://SOMEHOST/scripts/georgi.bat/..%C1%9C..%C1%9C..%C1%9C winnt/system32/cmd.exe?/c%20dir%20C:\
приводит к выполнению команды "dir C:\". Аналогичным образом можно прочитать любой файл, в том числе и содержащий конфиденциальную информацию:
http://SOMEHOST/scripts/georgi.asp/..%C1%9C..%C1%9C..%C1%9Ctest.txt
Последним примером может служить атака Loki, которая позволяет туннелировать различные команды (например, запрос на передачу файла паролей /etc/passwd) в запросы ICMP Echo Request и реакцию на них в ответы ICMP Echo Reply.
Удобство использования и управления
Производители свободно распространяемого программного обеспечения, как правило, первостепенное внимание уделяют функциональности, а не удобству использования и управления. Как следствие, такие приложения иногда сложно развертывать и ими нелегко управлять. Например, как отметил Реуш, «установка Snort и управление этой системой может оказаться довольно трудным, особенно, если у вас нет достаточного опыта в написании инструментальных средств для Unix».
Пескаторе так объяснил сложившуюся ситуацию: «В случае со свободно распространяемыми инструментальными средствами большая часть знаний накапливается в головах людей, их использующих, в то время как производители коммерческих решений вынуждены помещать эти знания в продукт. Я не думаю, что когда-либо свободно распространяемые инструментальные средства защиты станут массовыми. Большинство людей предпочитают более простой подход».
Все это формирует небольшой, но быстро растущий рынок для интеграторов систем защиты и поставщиков услуг, таких как Guardent, Redsiren и Silico Defense. Эти компании могут предлагать инструментарий управления и, тем самым, скрыть от пользователей сложность свободно распространяемых продуктов, а также предоставлять гарантированный уровень обслуживания и поддержки.
Astaro стремится создать полную инфраструктуру защиты, которая объединяет многочисленные свободно распространяемые технологии в единый, простой в использовании интерфейс. Эрнст Келтинг, президент американского отделения Astaro, подчеркнул: «Пользователи не хотят работать с программным обеспечением, для которого не предлагаются услуги поддержки. Мы берем на себя эту нагрузку и освобождаем клиентов от возможных трудностей».
Угрозы и их последствия
Остановимся подробнее на тех опасностях и проблемах, которые подстерегают организацию при работе с подобными сетями, например Internet.
Существует достаточно много различных аналитических разработок по оценке рисков, которые в основном сводятся к трем категориям:
несанкционированный доступ к ресурсам сети; нелегальное ознакомление с информацией; отказ в предоставлении ресурса сети.
Как это ни парадоксально, но для компаний, активно использующих Internet в повседневной деятельности, влияние третьего фактора риска может быть очень существенным.
Наиболее опасными и, к сожалению, самыми распространенными являются непреднамеренные ошибки операторов информационных систем. Результатом такой ошибки может стать брешь в системе защиты, потеря данных, останов или выход из строя системы. Один из путей минимизации рисков, связанных с этим типом угроз, — максимальная автоматизация рабочего процесса, контроль за точным соблюдением инструкций и повышение квалификации персонала.
Заметим, что ущерб от краж и подлогов, совершенных с использованием компьютеров, находится всего лишь на втором месте. Мы хотим особо подчеркнуть, что основная опасность исходит непосредственно от персонала предприятия, причем угрозу создают как преднамеренные, так и непреднамеренные действия.
Основное отличие внешних угроз — это их непредсказуемость. К внешним угрозам мы относим не только попытки проникновения в сети предприятия с использованием слабостей в реализации той или иной стратегии защиты и администрирования, но и такие «мирные» угрозы, как сбой электропитания, обрыв информационного кабеля и т. д. По статистике, ущерб, нанесенный хакерами, намного меньше ущерба, связанного с выходом из строя отдельных элементов инфраструктуры.
Далее мы попытаемся дать несколько практических советов по реализации сетевой инфраструктуры, обратим ваше внимание на некоторые аспекты администрирования системы защиты, которые направлены на минимизацию упомянутых выше рисков.
УЯЗВИМЫЕ МЕСТА ЗАЩИТЫ DNS
Вместе с тем такая чрезвычайно эффективная организация оборачивается множеством слабостей с точки зрения защиты. Например, когда удаленная система связывается с приложением, приложение посылает запрос для определения имени DNS по ее IP-адресу. Если возвращаемое доменное имя соответствует ожидаемому, то удаленной системе разрешается доступ.
Рисунок 1. В данном примере DNS атакующего ответственна за сеть 172.16.0 (0.16.172.in-addr.arpa). Атакующий присваивает обратный адрес 172.16.0.8 хосту с именем trustme.plain.org. Злоумышленник подключается к victim.example.com для исследования его доверительных взаимоотношений с trustme.plain.org. Атака оказывается успешной, потому что протокол DNS не предусматривает какого-либо механизма предотвращения назначения владельцем обратного адресного пространства доменных имен за пределами его области полномочий.
Однако при минимальных усилиях злонамеренный пользователь может зарезервировать за собой небольшое пространство IP-адресов и зарегистрировать сервер DNS для обратного отображения IP-адресов (см. Рисунок 1). Ничто не мешает администратору данного пространства IP-адресов отобразить определенный IP-адрес обратно на не принадлежащее ему FQDN. Затем этот администратор может отобразить IP-адрес на имя хоста, которому приложение сконфигурировано доверять. Поэтому при получении запроса на соединение от системы, которой приложению доверять не следует, но чей IP-адрес отображается обратно на FQDN, которому оно доверяет, приложение, не задумываясь, предоставит доступ этой системе.
Некоторые из наиболее распространенных приложений, где когда-то использовалась такая процедура, были переделаны в целях проведения еще одной проверки - что имя хоста DNS соответствует данному IP-адресу. Однако многие приложения не предусматривают этой дополнительной процедуры. Старые версии rlogin, RSH, Network File System (NFS), X Window и HTTP могут быть по-прежнему уязвимы для такого рода атак.
Кроме того, DNS уязвима с позиций взлома системы. Если злоумышленник сможет через одну из сетевых служб (telnet, ftp и т. д.) получить несанкционированный доступ к серверу DNS, после этого он получит возможность изменять базу данных DNS, как ему заблагорассудится. В такой ситуации протокол DNS опять оказывается беззащитен, потому что он не обеспечивает идентификации данных. (О том, как сделать серверы DNS более защищенными, читай врезку .)
Уязвимые опеpационные системы:
Любая веpсия Unix или Windows NT, котоpая используется как веб-сеpвеp.
В целях обеспечения безусловного исполнения
В целях обеспечения безусловного исполнения Закона РоссийскойФедерации "О федеральных органах правительственной связи иинформации", а также усиления борьбы с организованнойпреступностью и повышения защищенности информационно -телекоммуникационных систем органов государственной власти,российских кредитно-финансовых структур, предприятий и организацийпостановляю:
Придать Программе создания и развитияинформационно-телекоммуникационной системы специального назначенияв интересах органов государственной власти статус президентскойпрограммы. Центру президентских программ Администрации ПрезидентаРоссийской Федерации совместно с Федеральным агентствомправительственной связи и информации при Президенте РоссийскойФедерации обеспечить ее доработку и реализацию.
Запретить использование государственными организациями ипредприятиями в информационно-телекоммуникационных системахшифровальных средств, включая криптографические средстваобеспечения подлинности информации (электронная подпись), изащищенных технических средств хранения, обработки и передачиинформации, не имеющих сертификата Федерального агентстваправительственной связи и информации при Президенте РоссийскойФедерации, а также размещение государственных заказов напредприятиях, в организациях, использующих указанные технические ишифровальные средства, не имеющие сертификата Федеральногоагентства правительственной связи и информации при ПрезидентеРоссийской Федерации.
Предложить Центральному банку Российской Федерации иФедеральному агентству правительственной связи и информации приПрезиденте Российской Федерации принять необходимые меры вотношении коммерческих банков Российской Федерации, уклоняющихсяот обязательного использования имеющих сертификат Федеральногоагентства правительственной связи и информации при ПрезидентеРоссийской Федерации защищенных технических средств хранения,обработки и передачи информации при их информационномвзаимодействии с подразделениями Центрального банка РоссийскойФедерации.
В интересах информационной безопасности РоссийскойФедерации и усиления борьбы с организованной преступностьюзапретить деятельность юридических и физических лиц, связанную сразработкой, производством, реализацией и эксплуатациейшифровальных средств, а также защищенных технических средствхранения, обработки и передачи информации, предоставлением услуг вобласти шифрования информации, без лицензий, выданных Федеральнымагентством правительственной связи и информации при ПрезидентеРоссийской Федерации в соответствии с Законом Российской Федерации"О федеральных органах правительственной связи и информации".
Государственному таможенному комитету Российской Федерациипринять меры к недопущению ввоза на территорию РоссийскойФедерации шифровальных средств иностранного производства безлицензии Министерства внешних экономических связей РоссийскойФедерации, выданной по согласованию с Федеральным агентствомправительственной связи и информации при Президенте РоссийскойФедерации.
Федеральной службе контрразведки Российской Федерации иМинистерству внутренних дел Российской Федерации совместно сФедеральным агентством правительственной связи и информации приПрезиденте Российской Федерации, Государственной налоговой службойРоссийской Федерации и Департаментом налоговой полиции РоссийскойФедерации осуществлять выявление юридических и физических лиц,нарушающих требования настоящего Указа.
Предложить Генеральной прокуратуре Российской Федерацииусилить прокурорский надзор за соблюдением Закона РоссийскойФедерации "О федеральных органах правительственной связи иинформации" в части разработки, производства, реализации иэксплуатации шифровальных средств, а также предоставления услуг вобласти шифрования информации в Российской Федерации, подлежащихлицензированию и сертификации Федеральным агентствомправительственной связи и информации при Президенте РоссийскойФедерации.
Создать Федеральный центр защиты экономической информациипри Федеральном агентстве правительственной связи и информации приПрезиденте Российской Федерации (в пределах штатной численностиэтого Агентства), возложив на него разработку и реализациюкомплексных программ обеспечения безопасности экономическойинформации российских кредитно-финансовых и других экономическизначимых структур страны.
Генеральному директору Федерального агентстваправительственной связи и информации при Президенте РоссийскойФедерации в 2-месячный срок утвердить положение об указанномцентре.
Настоящий Указ вступает в силу со дня его опубликования.
Президент Российской Федерации
Б.ЕЛЬЦИН
Управление доступом на уровне пользователей
В новых условиях требуются изменения и в отношении субъектов доступа - наряду с подсетями ими все чаще становятся группы пользователей и даже отдельные пользователи. Это связано, во-первых, с тем, что через Internet и другие глобальные сети с корпоративной сетью сегодня связываются различные категории пользователей, и им необходимо предоставить различный доступ к внутренним ресурсам. Во-вторых, ориентация на пользователей является следствием применения межсетевых экранов для контроля трафика между внутренними подсетями, что добавляет к субъектам межсетевого доступа большую армию сотрудников данного предприятия. В результате от межсетевого экрана требуется распознавание большого числа групп пользователей, в которые входят:
Сотрудники подразделений предприятия, работающие во внутренней сети Удаленные и мобильные сотрудники предприятия Сотрудники предприятий-партнеров по бизнесу, в том числе удаленные и мобильные Клиенты предприятия, получающие услуги по Internet Потенциальные клиенты, просматривающие рекламные материалы предприятия через Internet.
Каждая из этих категорий пользователей отличается правами доступа, причем категории могут включать и подкатегории, а некоторым пользователям (например, руководителям или администраторам) нужен индивидуальный доступ.
Классифицировать эти группы пользователей только на основании их IP-адреса, как это традиционно делали межсетевые экраны, практически невозможно, учитывая применение таких методов управления IP-адресами как DHCP, NAT и туннелирование. Поэтому контроль доступа на уровне пользователей требует поддержки в межсетевых экранах собственных средств работы с учетной информацией пользователей и средств аутентификации. Кроме того, очень желательна тесная интеграция этих средств с применяемыми в сетях системами администрирования и аутентификации пользователей.
Пользователь, прошедший аутентификацию на межсетевом экране, становится объектом правил доступа, разработанных либо для него лично, либо для группы пользователей, куда он входит. Кроме детализации прав доступа, работа на уровне пользователей позволяет повысить эффективность аудита событий, связанных с безопасностью. Такой аудит дает информацию о том, кто, когда и с помощью каких средств (протоколов и приложений) получал доступ к ресурсам предприятия.
Управление безопасностью на уровне пользователей не исключает использования IP-адресов при принятии решений о доступе и отслеживании активности пользователей. Более того, выполнение детального аудита невозможно без информации о том, какому пользователю принадлежит IP-адрес, указанный в пакетах, с помощью которых выполнялся тот или иной доступ к ресурсам. В условиях динамического назначения и изменения адресов эта задача требует от системы безопасности дополнительной работы по установлению соответствия между пользователями и используемыми ими IP-адресами.
Наряду с субъектами-сетями межсетевыми экранами FireWall-1 поддерживаются такие субъекты доступа как пользователи и группы пользователей . Для таких субъектов в правилах доступа в качестве действия экрана определяется метод аутентификации, в результате чего трафик данного пользователя проходит через экран только том случае, когда пользователь докажет свою аутентичность.
Наиболее полно возможности управления безопасностью на уровне пользователей проявляются в продуктах FireWall-1/VPN-1 при установке в корпоративной сети такого продукта компании CheckPoint, как MetaIP. Сервис UAM, работающий в системе MetaIP, постоянно следит за процессами аутентификации пользователей и процессами получения компьютерами IP-адресов от DHCP серверов. В результате сервис UAM имеет данные о том, какие пользователи в настоящее время авторизовано работают в сети и какие IP-адреса они используют. При обработке очередного IP-пакета экран FireWall-1 может запросить у сервиса UAM информацию о пользователе, работающем с данным IP-адресом, и применить затем к пакету правило доступа, относящееся к этому пользователю. Таким образом, администратор безопасности может работать с правилами, написанными для пользователей, а не для IP-адресов, и в такой же форме получать отчеты о событиях, происходящих в сети. Это значительно повышает безопасность сети, так как администратор получает достоверные данные о том, какой пользователь выполнял действия с защищаемыми ресурсами сети.
Интеграция средств защиты FireWall-1 с сервисом UAM системы MetaIP позволяет также реализовать такую полезную для пользователя возможность, как единый логический вход в сеть. Пользователь избавляется от необходимости при каждом новом обращении к ресурсу через межсетевой экран повторять процедуру аутентификации - за него это делает экран, обращаясь прозрачным образом к сервису UAM.
Управление доступом в Internet в корпоративных сетях
, #03/2000
Алексей Абсалямов
Internet становится неотъемлемой частью нашей жизни как удобный инструмент для работы. Сфера Internet-услуг в последние годы расширяется невероятно быстро, и теперь Сетью пользуются даже те компании и отдельные пользователи, у которых всего три года назад персональный компьютер был пределом мечтаний. Однако, как и любая другая хорошая вещь, Internet теряет все свои преимущества, если им начинают злоупотреблять.
На Западе проблема так называемого неделового использования Internet на рабочем месте стала настолько распространенной, что получила специальное название - киберслэкинг (CyberSlacking), а десятки компаний, разрабатывающих программное обеспечение, занялись системами управления доступом к Internet и выпустили целый ряд аппаратных и программных решений для управления доступом в Сеть. Программные продукты получили более широкое распространение, так как с ними проще работать и они значительно дешевле. Программу можно быстро установить, особенно если она работает на платформе Windows, а настроить ее способны не только технические специалисты, но и менеджеры, которым собственно, и нужна информация об использовании ресурсов Internet. Подобного рода продукты должны выполнять три основные задачи: отслеживать трафик, создавать отчеты об использовании ресурсов Сети и осуществлять управление доступом (см. также врезку ).
В этой статье я хотел бы остановиться на системе surfCONTROL, которая благодаря применению некоторых уникальных технологий завоевала более 30% рынка всего через два года после выхода первой версии. Производителем систем семейства surfCONTROL является британская корпорация JSB Software Technologies. Эта компания, созданная в 1985 г., известна как главный разработчик стандарта Windows Sockets. Рассмотрим основные функции системы.
Отслеживание трафика. Мониторинг, или отслеживание, сетевого трафика в surfCONTROL состоит из перехвата пакета, его анализа и записи полученной информации в базу данных. Анализируются далеко не все пакеты: администратор в зависимости от конкретной задачи может задавать мониторинг лишь отдельных пользователей по конкретным TCP/IP-протоколам. Протоколы задаются портами, а следовательно, система может работать со всеми службами Internet, от HTTP до технологий видеоконференций или VoiceOverIP. По умолчанию отслеживаются HTTP, ftp, SMTP, POP3, telnet. Чем больше протоколов контролируется, тем выше нагрузка на систему и тем мощнее должен быть выделенный под нее компьютер.
Несколько слов о мониторинге почтовых протоколов. surfCONTROL не раскрывает полностью содержимое почтовых сообщений, а только фиксирует отправителя, адресата, тему и время отправки сообщения. Технически ничто не мешает ввести также и анализ тела сообщения, однако возникшее на Западе течение против любого вмешательства в личную переписку привело к тому, что даже простой мониторинг действий пользователя становится подсудным делом. На своем Web-сайте компания JSB предупреждает корпоративных пользователей, что применение средств мониторинга в ряде штатов может быть признано незаконным.
Активность пользователей в surfCONTROL может учитываться несколькими способами в зависимости от структуры корпоративной сети и применения таких служб, как DHCP и WINS. Самый простой способ мониторинга - по IP-адресам пользователей - часто невозможно задействовать из-за работы сети с DHCP, что означает постоянное изменение IP-адресов компьютеров. В этом случае за точку отсчета взято либо имя компьютера (local hostname), либо имя пользователя (в доменах Windows NT или Novell NDS). Такая схема позволяет не только успешно работать с трафиком в сетях с динамическими IP-адресами, но и упрощает администрирование, заменяя малопонятные адреса именами компьютеров и пользователей.
Распознавание пользовательских имен не всегда происходит автоматически. Для получения имени пользователя surfCONTROL делает NetBIOS-запрос по MAC-адресу исследуемого компьютера. В единой сети такая схема успешно работает. Однако в том случае, если между surfCONTROL и компьютером пользователя работает маршрутизатор, приходится на каждый из контроллеров домена сети Windows NT устанавливать дополнительный агент. В комплект поставки surfCONTROL входит программное обеспечение Enterprise User Monitoring, которое устанавливается как на контроллер домена, так и на surfCONTROL. Когда происходит вход в домен, агент на контроллере домена посылает surfCONTROL информацию о пользователе на TCP/IP-порт 61695. Это и обеспечивает корректную обработку пользовательских имен в маршрутизируемых сетях. Важно отметить, что при применении этого метода соединения по порту 61695 должны быть разрешены.
Борьба с перегрузками. Время от времени в сетях возникают перегрузки. Каким бы мощным ни был компьютер, на котором установлена система surfCONTROL, все равно остается вероятность достижения потолка производительности и соответственно нарушения нормального функционирования. В таком случае разработчиками предусмотрена возможность корректного прекращения работы и ее восстановления через некоторое время, причем без вмешательства администратора. Специалисты JSB ввели в surfCONTROL специальный механизм защиты от перегрузок, который работает следующим образом: при возникновении перегрузки система автоматически переходит в так называемый сокращенный режим работы, т. е. записывает лишь основную информацию о действиях пользователя (IP-адреса и время) только по протоколам HTTP, ftp и NNTP. В случае, если и в таком режиме система не справляется с нагрузкой, мониторинг прекращается до тех пор, пока вся информация в кэше и во временных файлах на диске не будет записана в базу данных. После этого surfCONTROL автоматически стартует с записью предупреждающего сообщения в системный журнал Windows NT. Такая схема обеспечивает наиболее надежную защиту от сбоев в результате перегрузок и позволяет в кратчайшие сроки возобновить работу. SurfCONTROL поддерживает три режима записи в базу данных:
непосредственный, когда после анализа информация о пакете сразу передается в базу; через временные файлы с автоматическим обновлением, когда после анализа информация записывается во временный файл на диске, а через некоторое время автоматически переносится в базу; третий режим является аналогом второго с той лишь разницей, что перенос информации в базу данных выполняет администратор.
Очевидно, что первый режим - самый "скоростной", но он и самый ненадежный. При частых перегрузках рекомендуется принимать следующие меры:
использовать более мощный компьютер; чаще архивировать базу данных, что ускоряет процесс записи новой информации; отслеживать меньше информации (протоколов, компьютеров, доменов и т. д.). Возможно, в этом случае потребуется установка дополнительных компьютеров с surfCONTROL в разных частях сети; записывать информацию во временный файл и переносить ее в базу данных через равные промежутки времени; отключить распознавание DNS для рабочих станций и/или Web-сайтов, так как эта процедура создает определенную нагрузку на surfCONTROL.
ЭКРАН 1. Утилита управления surfCONTROL Monitor выводит основные сведения об использовании Internet.
Программы семейства surfCONTROL поставляются с двумя административными утилитами. Первая из них, surfCONTROL Monitor, позволяет выводить на экран информацию о ресурсах Internet и работающих пользователях. На Экране 1 в окне Sites находится список запрашиваемых Internet-ресурсов с указанием названий, IP-адресов, времени первого и последнего обращений, количества обращений и категории ресурса. Во втором окне Users находится список пользователей. Здесь выводятся имена пользователей и машин, за которыми они работают, IP-адреса рабочих станций, время первого и последнего запроса, а также (на рисунке этого нет) общее число обращений к ресурсам и группа, к которой относится пользователь. Последняя функция находит широкое применение в крупных компаниях, разделенных на отделы.
Окна Users и Sites тесно связаны между собой. Через контекстное меню в окне Users можно вызвать список всех ресурсов, просмотренных конкретным пользователем. То же действие, выполненное в окне Sites, вызовет список всех пользователей, обращавшихся в данному ресурсу Internet. Такой подход позволяет получить четкую картину использования Сети.
ЭКРАН 2. Вывод отчетов.
Формирование отчетов. В surfCONTROL для просмотра статистических данных за определенный период времени предусмотрена возможность создания нескольких десятков отчетов с графиками и диаграммами (см. Экран 2). Отчеты делятся на три вида: краткие, сравнительные и детальные. Краткие отчеты - это диаграммы и графики, представляющие основные показатели загрузки канала в Internet. К ним относятся, в частности, десятка самых активных пользователей и первые десять самых популярных Internet-ресурсов (см. Экран 3). Сравнительные отчеты позволяют оценивать использование Internet в процентном соотношении, например, сколько процентов от общего количества загруженных данных приходится на того или иного пользователя. Детальные отчеты наиболее сложны для анализа, однако могут дать точную информацию, скажем, о том, какой конкретно HTML-документ был просмотрен определенным пользователем в заданное время.
ЭКРАН 3. Пример отчета. Список десяти самых активных пользователей.
Все отчеты являются настраиваемыми. Это означает, что формировать их можно по отдельным пользователям, группам пользователей, протоколам, Web-сайтам и категориям Internet-ресурсов. Имеется возможность задать любой временной интервал, за который выводятся статистические данные. С помощью переключателя можно установить этот интервал равным сегодняшнему дню или текущей неделе, или задать точную дату и время.
Администраторы могут не только просматривать отчеты, но и экспортировать их в популярные форматы данных (Excel, HTML, Lotus 1-2-3, MS Word, RTF, простой текст и др.). В составе surfCONTROL имеется утилита Web Reporting, позволяющая публиковать отчеты в Internet при помощи Crystal Reports и Microsoft IIS.
Фильтрация трафика. Наконец, мы подошли к самому интересному - организации управления доступом в Internet. Рассмотрим, как реализован механизм фильтрации трафика и блокирования доступа.
Как уже было сказано, surfCONTROL не пропускает через себя IP-пакеты, а лишь наблюдает за ними "со стороны". В связи с этим сам принцип блокирования доступа несколько иной, нежели в proxy-серверах. Суть его в том, что surfCONTROL пассивно наблюдает за пакетами, но лишь до тех пор, пока они не нарушают так называемые правила доступа. Как только это происходит, surfCONTROL отсылает в сторону сервера, расположенного в Internet, IP-пакет от имени компьютера-клиента о разрыве соединения, а в сторону пользователя такое же сообщение, но от имени сервера. Со стороны человеку, вооруженному тем же Network Monitor, будет казаться, что запрашиваемый сервер по непонятной причине разрывает соединение. Но обычно администратор создает сообщение о причине запрета доступа, которое выводится как HTML-страница в браузере.
Объектом правила доступа может быть не только отдельный компьютер, определяемый IP- или MAC-адресом, но и группы компьютеров, пользователи Windows NT, домены, подсети и протоколы. Это открывает практически неограниченные возможности для конфигурации правил, а значит, и формирования корпоративной политики доступа в Internet.
При нарушении правил доступа, помимо разрыва соединения между пользовательским компьютером и сервером происходит запись этого события в базу данных. Просматривая позднее отчеты по заблокированным соединениям, можно оценить эффективность работы surfCONTROL. Администратор также имеет возможность настроить surfCONTROL таким образом, чтобы при нарушении правил доступа на его адрес электронной почты отправлялось соответствующее уведомление.
ЭКРАН 4. Утилита surfCONTROL Rules Administrator (администратор правил доступа). Пример задания правил доступа.
Администрирование surfCONTROL. Специалисты компании JSB поставили перед собой задачу сделать так, чтобы создавать и читать правила доступа мог любой человек, знакомство которого с компьютером ограничивается Microsoft Word и Excel. На Экране 4 показано, что правила бывают разрешающими (зеленого цвета) или запрещающими (красного цвета) и составляются из объектов трех видов: Who - это пользователи или списки пользователей, которых можно выбирать из готового списка, либо определять вручную, задавая их IP-адрес; Where - это Internet-ресурсы, их списки или категории; Time - это временные интервалы с днями недели. Ничего сложного в создании правил нет: с помощью мыши объект переносится на правило и задается его роль, запрещающая или разрешающая. Небольшая хитрость заключается в том, что surfCONTROL "читает" правила сверху вниз. Обратным действием правила не обладают: если правило, находящееся на более высокой позиции, разрешает доступ, следующее правило не может его запретить. Такая система обеспечивает большую гибкость в определении прав доступа. Рассмотрим пример: пусть нам нужно запретить доступ к Web-сайтам для взрослых всем пользователям в любое время. Для этого мы создаем соответствующее запрещающее правило и помещаем его на первое место. Два следующих правила доступа разрешают и запрещают доступ в Internet в любое время пользователям Juliep.sample.com и Alex соответственно. Однако Juliep .sample.com не сможет получить доступ к Adult-сайтам, поскольку правило, запрещающее доступ к ним, находится выше разрешающего. Таким образом, Juliep.sample.com получит доступ в Internet в любое время ко всем Internet-ресурсам, исключая Web-сайты для взрослых.
Руководители компаний могут разрешать своим сотрудникам свободный доступ в Internet во время перерыва. Реализовать это позволяет следующее правило. По рабочим дням с 13 до 14 часов все желающие смогут получить доступ ко всем ресурсам, за исключением Adult-сайтов. В рабочее время надо работать, поэтому доступ к спортивным, новостным и развлекательным Web-ресурсам в это время запрещен другим правилом.
Предположим, что у компании имеется модемный пул, и ее сотрудники могут работать с Internet, находясь дома. А по выходным вся их работа ограничивается лишь получением и отправкой почты. Как запретить доступ в Internet по выходным дням всем сотрудникам, оставив при этом возможность работы с почтой? Очень просто! Следующие два системных правила реализуют эту идею. Сначала мы разрешаем доступ по почтовым протоколам SMTP и POP3 по выходным, а затем запрещаем выход в Internet в этот промежуток времени. Задача решена.
Несколько слов о завершающем правиле доступа. Дело в том, что фильтрация трафика бывает запрещающей и разрешающей. В первом случае работа идет по принципу "Все запрещено, что не разрешено", а во втором наоборот - "Все разрешено, что не запрещено". Системные правила, показанные на Экране 4, реализуют второй тип. Становится понятным и последнее разрешающее правило: если действие пользователя не может быть классифицировано, ему предоставляется доступ ко всем ресурсам в любое время по умолчанию. В случае фильтрации второго типа мы могли бы составить правило, разрешающее доступ к Web-сайтам компьютерной тематики, а завершающим правилом запретить всем и все.
Классификация Web-сайтов. Около года назад JSB представила на рынке технологию так называемых контрольных списков. Списки представляют собой базу данных с огромным количеством ссылок на Web-сайты (в настоящее время около миллиона), каждая из которых содержит категорию ресурса. Используя такую базу данных, администратор может задавать доступ к целой группе ресурсов так же легко, как и к одному сайту, - "перетаскиванием" категории на правило доступа. И именно благодаря контрольным спискам возможна запрещающая фильтрация: компания, специализирующаяся, скажем, в области фармакологии, разрешает доступ к сайтам соответствующей категории и закрывает все остальные. Как показала практика, эта модель при всех ее явных недостатках работает эффективнее, нежели разрещающая фильтрация.
В настоящее время JSB поставляет две большие базы данных ресурсов Internet: так называемый общий список (General List) и список "Web для Дела" (Web4Business). Обе базы данных регулярно пополняются новыми сайтами, а их обновление происходит через Internet примерно так же, как обновляются обычные антивирусные средства: загружается либо вся база данных полностью, либо только дополнения, которые автоматически добавляются к базе. Общий список содержит около 800 тыс. ссылок на сайты с такими категориями, как "Новости", "Развлечения", "Спорт", "Финансы", "Сайты для взрослых", "Информационные технологии" и т. д. Список "Web для Дела" более специализирован. В нем находятся ссылки на деловые и технические ресурсы с их классификацией по Стандартному Коду Отрасли Промышленности (Standard Industry Sector Code, SIC), принятому в США. Доступ к обновлениям обоих списков предоставляется при наличии годовой подписки. Всем покупателям surfCONTROL предоставляется бесплатная годовая подписка на обновления списка General List.
Помимо контрольных списков в surfCONTROL предусмотрена функция обработки ключевых слов. Так называемая технология SmartScan, постепенно вытесняемая списками, позволяет определять права доступа на основе условия присутствия либо отсутствия в адресе ресурса того или иного ключевого слова. К примеру, можно без труда заблокировать доступ ко многим порнографическим сайтам путем определения ключевого слова "ххх", входящего в состав адреса многих ресурсов вышеозначенной категории. К сожалению, нельзя быть уверенным в том, что, пользуясь SmartScan, мы не запретим доступ к нужному Web-сайту. Это и есть основная причина ограниченности сферы применения SmartScan по сравнению со списками.
Недавно корпорация JSB представила новую технологию, которая, похоже, станет очередной вехой на пути к действительно интеллектуальной фильтрации трафика. Суть новой разработки состоит в применении механизма искусственного интеллекта, поставляемого независимым производителем. С его помощью система определяет, к какой категории относится Web-сайт, ориентируясь не на статическую базу данных (контрольные списки), а анализируя содержание ресурса. Более того, речь идет даже не о поиске ключевых слов: приниматься во внимание будут не отдельные слова или фразы, а то, как они используются, т. е. стиль. Новая технология, которая, как обещается, обеспечит почти стопроцентно корректное определение категории Web-сайта, будет представлена в новой версии систем surfCONTROL.
Технические требования. Коротко обозначу основные технические характеристики систем. Начнем с операционной системы - это Windows NT 4.0 или Windows 2000. SurfCONTROL работает с двумя базами данных: Access и Microsoft SQL Server 7.0. Специалисты JSB рекомендуют переходить на базу данных SQL в случае высокой нагрузки на систему. Что касается минимальных системных требований, то для Windows NT 4.0 это Pentium 200 с оперативной памятью объемом 64 Мбайт. Если surfCONTROL работает под управлением Windows 2000, требования определяются этой операционной системой и превышают требования самой surfCONTROL.
Отмечу, что SurfCONTROL - это комплект из четырех продуктов, призванных решать одну и ту же задачу: Scout, SuperScout, surfCONTROL for Microsoft Proxy Server и surfCONTROL for CheckPoint Firewall-1. Различие между Scout и SuperScout одно: Scout только отслеживает трафик в Internet и выводит отчеты, тогда как SuperScout позволяет управлять доступом. В то же время Scout значительно дешевле и доступен по цене даже небольшим компаниям. Два других продукта - это надстройки над MS Proxy Server и CheckPoint Firewall-1, расширяющие их функциональность в области управления доступом. Стоит отметить, что эти надстройки уже работают не по принципу сниффера, а получают информацию от базовых продуктов, работая с ними в паре и образуя сетевое "горлышко". Различий в интерфейсе у всех четырех продуктов практически нет.
Цены и приобретение. Цены на surfCONTROL варьируются в зависимости от количества приобретаемых лицензий. Лицензия определяет наибольшее количество одновременно контролируемых (а значит, и управляемых) компьютеров в сети. Если приобретается лицензия на 250 компьютеров, это означает, что одновременно будет обслуживаться только 250 компьютеров, выбранных администратором.
surfCONTROL Scout, обеспечивающий лишь мониторинг сети и не фильтрующий трафик, стоит 99 долларов за лицензию на 20 компьютеров. SuperScout - ведущий продукт компании - стоит 650 долларов за лицензию на 50 пользователей. Цены на surfCONTROL для Proxy Server и surfCONTROL для Firewall-1, надстройки над соответствующими программными средствами, составляют 300 и 295 долларов за 50- и 20-пользовательскую версию соответственно. Более подробную информацию о продуктах surfCONTROL можно получить на Web-сервере:
Управление списками доступа маршрутизаторов
Маршрутизаторы являются неотъемлемой частью сети предприятия и обычно используются для сегментации сети. При сегментации сети часто требуется, чтобы маршрутизатор находился на границе сети. В этом случае маршрутизаторы могут быть использованы в качестве “предварительных фильтров". для того, чтобы преградить путь нежелательному трафику, Фактически, они являются первым рубежом firewall, выполняя элементарную фильтрацию пакетов.
Возможности маршрутизаторов развиваются, но их интерфейсы управления обычно нет, все еще основываясь на Telnet - алфавитно-цифровом терминальном интерфейсе. Создание фильтров маршрутизаторов, таким образом, затрудняется, увеличиваются трудозатраты и вероятность ошибок. Поскольку команды маршрутизатора обычно состоят из комбинации ключевых слов и IP-адресов, требуется высокий уровень подготовки специалиста, создающего конфигурацию и фильтры. Кроме того, каждый маршрутизатор должен управляться отдельно, то есть не обеспечивается целостное представление о возможностях сети по фильтрации и затрудняется внесение изменений в конфигурации.
Управление тысячами пользователей
Все протестированные VPN-продукты обеспечивают аутентификацию пользователей. В большинстве из них эта возможность реализована на локальном уровне. Система просматривает информацию о пользователе, которая хранится в базе данных, на VPN-устройстве или на станции управления виртуальной частной сетью. Однако, чтобы не создавать новый пароль (если пользователь забыл его), следует иметь шлюз к внешней базе данных аутентификации.
Служба дистанционной аутентификации пользователей, подключающихся по телефонной линии (Remote Authentication Dial-In User Service, RADIUS), стала стандартом де-факто для организации аутентификации в сети. Созданы хорошие серверы стандарта RADIUS, которые работают с различными базами данных аутентификации, от NT Security Access Manager и до множества систем единого пароля, таких как SecurID и Cryptocard, использующих жетоны или смарт-карты.
Мы протестировали каждый сервер, поддерживающий RADIUS, сравнивая его с нашим. Все они продемонстрировали великолепную возможность взаимодействия. Работа практически с каждой из поддерживающих RADIUS VPN-сетей была проще. Единственным исключением оказался продукт VPN-1 Gateway: в конечном счете мы добились, чтобы он заработал, но это оказалось не так просто, как с другими. Только F-Secure VPN (Data Fellows) и Permit Enterprise (TimeStep) в настоящее время не поддерживают RADIUS.
Тем не менее приходится констатировать, что некоторые из продуктов не очень удачно спроектированы. Например, в VPN-1 Gateway данные о каждом пользователе нужно заносить и в свою базу данных, и в базу данных RADIUS - а это не самая лучшая идея.
В VPNWare и VPN Concentrator Series реализован другой подход. Они не только хранят информацию о пользователе и паролях в базе данных RADIUS, но и дополнительно позволяют загружать данные о конфигурации каждого пользователя с сервера RADIUS. Вероятно, вам понравится решение, предложенное компанией Indus River в RiverWorks. Это ПО требует от сервера RADIUS возврата специального флага, который и является разрешением на доступ пользователя к виртуальной сети.
А как обстоят дела с отслеживанием "маршрутов" пользователей? Мы изучили возможности этого рода у тестируемых продуктов и, надо сказать, были разочарованы.
Наилучшие возможности учета в серверах VPN-туннеля предоставляет сервис RADIUS; он обеспечивает доступ к учетным записям этих серверов, позволяя использовать любые средства для создания отчетов. Security Management Server компании Lucent и VPN Concentrator Series фирмы Altiga поддерживают имеющуюся в RADIUS функцию учета, а LANRover VPN Gateway от Intel предоставляет этот сервис RADIUS только пользователям сервера Shiva Smart Tunnel.
Во всех остальных продуктах функции учета и создания отчетов развиты очень слабо. Например, в RiverWorks вы можете посмотреть информацию только за прошлые дни, но не получите данные за утро сегодняшнего дня. Хуже того, продукт сам создает файл отчетов за день, так что получить информацию о подключениях пользователя за период, больший чем 24 часа, не очень-то просто. Компании InfoExpress и Check Point немножко лучше организовали работу своего ПО. Однако Check Point предлагает заплатить дополнительно 1500 долл. за средство объединения файлов регистрации, создающее плохонькие отчеты с неполными данными, хотя нам кажется, что эта функция должна быть включена в базовый комплект.
Но все-таки лучше что-то, чем ничего. А именно так обстоят дела с VPNWare, cIPro System и Ravlin. Эти три продукта или вообще не предоставляли никакой отчетности, или отбрасывали столько данных, что информация, которую нам удавалось получить, оказывалась бесполезной.
Уровни детализации отчетов
Подсистема генерации отчетов позволяет создавать документы нескольких уровней детализации:
Executive - для высшего руководства компании; Line Management - для руководителей или менеджеров среднего звена; Technician - для технических специалистов.
Отчеты уровня Executive содержат краткую информацию об обнаруженных в корпоративной сети проблемах. В случае необходимости от кратких отчетов можно перейти к подробному описанию каждой обнаруженной уязвимости. Отличительной особенность данного уровня отчетов является возможность проведения сравнительного анализа уровня защищенности сети, в разные промежутки времени, а также анализа тенденций изменения состояния безопасности Вашей корпоративной сети.
Отчеты уровня Line Management содержат более подробную, чем в отчетах уровня Executive, информацию о найденных уязвимостях с указанием степени их риска.
Отчеты уровня Technician содержат не только подробную информацию о найденных уязвимостях, но и подробные поэтапные инструкции по устранению обнаруженных проблем. В некоторых случаях указываются ссылки на сервера производителей программного обеспечения, содержащие patch'и и т.п. (например, ссылки на статьи Microsoft Knowledge Base). Кроме указанных трех типов отчетов администратор может создавать свои собственные формы отчетов при помощи программного обеспечения Seagate Crystal Report 6.0.
Усеченное окружение
Из состава системы исключены все программы, являющиеся серверной частью
сетевых сервисов
Изменены режимы доступа к ключевым файлам и командам
Ликвидированы все ссылки на использование сетевых информационных сервисов
типа NIS
Уничтожены все бюджеты пользователей, кроме системных и администратора.
Исключены все виды компиляторов и загрузчиков
Все серверные программы работают в усеченном отрезке файловой системы
(UNIX chroot)
User Authentication
Прозрачный метод установления подлинности пользователя системы FireWall-1 предоставляет возможность определять привилегии доступа для каждого пользователя в отдельности (даже если это многопользовательская ЭВМ) для протоколов FTP, TELNET, HTTP и RLOGIN, независимо от IP-адреса клиентского компьютера. Например, если пользователь вынужден работать с серверами организации удаленно, то администратор безопасности может разрешить ему доступ во внутреннюю сеть без того, чтобы его привилегии распространялись на всех других пользователей его рабочего компьютера.
FireWall-1 выполняет проверку подлинности пользователя при помощи специального Сервера Безопасности, функционирующего на шлюзовом компьютере. FireWall-1 перехватывает все попытки авторизации пользователя на сервере и перенаправляет их соответствующему Серверу Безопасности. После того, как подлинность пользователя установлена, Сервер Безопасности FireWall-1 открывает второе соединение на необходимый сервер приложения. Все последующие пакеты сессии также перехватываются и инспектируются FireWall-1 на шлюзе.
Ущеpб от атаки:
Возможен pазличный ущеpб - от пpостого блокиpования pаботы сеpвеpа до замены его содеpжимого поpногpафическим матеpиалом, политическими лозунгами или удаления гpупп файлов, а также pазмещения на сеpвеpе пpогpамм-тpоянских коней
Установление подлинности пользователей
Check Point FireWall-1 обеспечивает пользователям, в том числе и удаленным и dial-up клиентам, защищенный доступ к сетевым ресурсам организации с установлением подлинности пользователя при помощи различных схем ее проверки.
Прежде чем соединение пользователя будет разрешено, механизм установления подлинности FireWall-1 безопасно установит, что это за пользователь пытается установить соединение и как он себя авторизует. Заметим, что для этого не потребуется каких-либо изменений на серверах и в клиентских приложениях.
Средства установления подлинности пользователей полностью интегрированы в средства работы с политикой безопасности масштаба предприятия и, соответственно, могут централизованно управляться посредством графического интерфейса администратора безопасности. Используя программу просмотра статистики, можно отслеживать любые сессии установления подлинности клиента.
FireWall-1 предоставляет три метода установления подлинности пользователя:
User Authentication
Client Authentication
Transparent Session Authentication
В каком направлении будут развиваться
Карри: Я думаю, что решение с одиночным датчиком (модулем слежения), установленным на одном компьютере, являлось лучшим на момент его принятия. Следующий большой шаг - обнаружение распределенных атак путем приема данных от множества датчиков, разнесенных по сети предприятия, и группирование этих данных в единое изображение, отражающее общую картину нападений на сеть (первые такие решения уже стали появляться, например, системы RealSecure или NetRanger - примечание переводчика). Единственный способ делать это сегодня - вручную (с момента публикации появилась первая система, обобщающая данные от систем обнаружения атак и других средств защиты в единую картину, демонстрирующую общий уровень безопасности сети, уже предлагается на рынке. Это система SAFEsuite Decisions компании ISS - примечание переводчика), и я предполагаю, что необходимость в человеческом контроле будет еще нужна в течение некоторого времени. Я думаю, что в течение ближайших 18-24 месяцев произойдет постепенное слияние рынка межсетевых экранов и систем обнаружения атак. Вы будете видеть несколько продуктов, все более или менее взаимозаменяемых в их ядре.
Саттерфилд: Технологии обнаружения атак развиваются быстрее молнии. Направление развития - удешевление инфраструктуры. Никто не хочет много тратить на защиту. Состязание в технологиях обнаружения атак будет выиграно теми, кто предложит заказчикам наиболее дешевое решение.
Клаус: Будет наблюдаться развитие трех (потенциально находящихся в противоречии) областей: развертывание, технологичность и качество обнаружения атак. В области развертывания мы будем видеть расширение числа мест обнаружения атак: на сетевом уровне (на межсетевых экранах, на коммутаторах, на маршрутизаторах), на уровне операционной системы (на серверах, на рабочих станциях) и на прикладном уровне (в СУБД или на сервере SAP, например). Для технологичности, , мы будем видеть, что системы станут более простыми в функционировании и более "приборо-подобными", чтобы встроить их в сетевую инфраструктуру без внесения в последнюю серьезных изменений. В области качества обнаружения атак мы увидим, что логика распознавания атак начнет включать модели построения поведенческих профилей и отклонений от этого профиля. Будет намного больше "интеллекта" в определении того, что является неправильным использованием ресурса или атакой. Общее число атак с ростом сетевых технологий неизбежно увеличится.
Ранум: Я думаю, мы увидим объединение сигнализирующих и экспертных систем обнаружения атак. Эти системы будут интегрированы в средства сетевого управления. Мы, специалисты в области защиты, должны прекратить решать отдельные проблемы сетевого управления. Поиск ошибок, обнаружения атак и т.п. - все это разные аспекты одной и той же проблемы - проблемы сетевого управления.
Спаффорд: Исследования в этой области все еще идут. Мы до сих пор не очень хорошо понимаем, за ЧЕМ надо наблюдать, КАК надо наблюдать и ЧТО делать после обнаружения? Я думаю, что следующая проблема, которая встанет перед коммерческими системами обнаружения атак - автоматизированное реагирование на некоторые виды нарушений. Мы видим, что появляются системы, заменяющие правила межсетевых экранов и маршрутизаторов (яркий пример такой системы - RealSecure - примечание переводчика). Системы станут больше отвечать термину "активная обороноспособность", потому что функции обнаружения и реагирования будут объединены в одном ядре системы. Такие системы станут распространенными в следующие 2-3 года (необходимо отметить, что такие системы уже получили широкое распространение. Сейчас очень трудно встретить систему, которая бы только обнаруживала атаки, но никак не реагировала на них - примечание переводчика).
Саттерфилд: Научно-исследовательские институты выполнили неплохую работу. Фактически, именно эти исследования дали первый опыт в области обнаружения атак нашей компании. Однако, институты слишком инерционны, чтобы направить новые исследования в нужную сторону. Они очень много усилий вкладывают в область обнаружения атак. Сейчас намечается постепенный возврат к "аномальному" подходу, значение которого было недооценено несколько лет назад. Я думаю, что в реализации обнаружения аномального поведения уже не будет допущено столько ошибок. Мы учтем уроки, полученные в результате исследований систем обнаружения злоупотреблений (misuse). Мы начинаем работать с некоторыми институтами и надеемся, что это будет взаимовыгодное сотрудничество. Время покажет.
Ранум: Практически все исследования систем обнаружения атак проводятся в области применения экспертных систем, поскольку они наиболее интересны с технической точки зрения и более вероятно, что работа в этой области действительно принесет нечто полезное. Большая проблема, которую я вижу, это игнорирование задач, связанных с сетевым управлением, а ведь "реальная защита равна сетевому управлению". Современные системы не имеют интуитивного интерфейса или настолько громоздки, что их очень трудно использовать. Я думаю, что хорошие идеи из области научных исследований переместятся в коммерческие системы.
Карри: Пару десятилетий изучение технологий обнаружения атак было прерогативой исследовательских лабораторий. До сих пор коммерческий сектор не обращал внимания на эти исследования и занимался повторным изобретением колеса. Но поскольку важность защиты продолжает расти, промежуток между исследовательскими проектами и коммерческими изделиями постоянно сокращается.
Спаффорд: Могу назвать несколько исследовательских лабораторий, которые за последние несколько лет провело успешную работу в области обнаружения атак. Это UC Davis, Haystack Labs и LANL. Эти работы привели к успешному созданию большого числа систем, среди которых можно назвать ASIM, Stalker, NADIR и др.
В лаборатории COAST рассмотрели ограничения и основные проблемы, связанные с областью обнаружения атак. Мы не начинаем с вопроса: "Хорошо, система дает нам X. Мы хотим Y. Что надо сделать, чтобы система, дающая X, давала нам Y?" Вместо этого, мы решаем задачи, связанные с обнаружением атак и злоупотреблений целиком, от начала до конца, и пробуем найти эффективные решения. Например, Юджин Ким (Gene Kim) и я начали разработку системы Tripwire с вопроса: "Что является характерным практически для каждой попытки злоупотребления или атаки?" Ответ: обращение (исследование) к локальным файлам или их изменение ("взлом"). Таким образом, мы разработали систему, которая хранит "слепок" файла и обнаруживает злоупотребление этим файлом. Другой пример, разработка Сандипом Кумаром (Sandeep Kumar) и мной системы обнаружения атак IDIOT (Intrusion Detection In Our Time). Мы проанализировали, что реально можно обнаружить в системе, а затем разработали инструмент, который смог бы обнаруживать это наиболее эффективно. Результат - система обнаружения атак на уровне хоста (host-based), которая практически не снижает производительности и имеет очень широкую область применения. Чему мы научились в процессе этой работы, так это тому, что большинство коммерческих систем не хранит информацию обо всех действиях также эффективно, как это сделано в системе IDIOT. Теоретически возможно обнаружить большое количество различных форм злоупотреблений, но операционные системы не обеспечивают нас поддержкой, позволяющей контролировать каждое действие. В результате большинство современных систем требуют оснащения защищаемых систем специальной аппаратурой для сбора необходимой информации. Как следствие, это приводит к снижению производительности и эффективности системы, а также к увеличению хранимых и обрабатываемых контрольных данных.
Сегодня лаборатория COAST сосредоточила свое внимание на четырех направлениях технологии обнаружения атак. Во-первых, определение информации, которая должна храниться в журналах регистрации, и способа их сбора для наиболее эффективного управления любой системой обнаружения атак. Во-вторых, определение наилучшей структуры и формата хранения регистрационных данных, чтобы они могли быть быстро обработаны, не требуя больших объемов памяти для хранения и обработки. В-третьих, перемещение обработки контрольных данных с центральной консоли ближе к фактическому источнику этих данных. Это реализуется в нашем проекте агента обнаружения атак AAFID (демо-версия данного агента может быть загружена с Web-сервера лаборатории - примечание переводчика). И, в-четвертых, определение того, как результаты исследований в первых трех направлениях могут быть реализованы в программном обеспечении.
Я думаю, что успех некоторых из рекламируемых сейчас систем обнаружения атак поощрит разработчиков операционных систем создать открытый интерфейс для интеграции с механизмами регистрации данных. Меня также волнует, что с системами обнаружения атак может произойти то, что произошло с межсетевыми экранами, когда на рынке появилось большое число "экспертов" в области безопасности и фирм с небольшими модификациями существующих технологий. В чем состоит проблема? В потере и непонимании основных принципов. Например, термин "firewall" ("межсетевой экран") появился приблизительно 7 лет назад. Фактически, насколько нам удалось обнаружить, термин "firewall" появился в 1991 году, в книге "Practical Unix Security" (признаю, что это моя оплошность, т.к. я ввел этот термин). Однако последний месяц ознаменовался первым появлением формальной модели межсетевого экрана, выполненной одним из моих студентов - Кристофом Шуба (Christoph Schuba). Люди были так заняты продажей межсетевых экранов, предоставлением обучающих программ для межсетевых экранов и их рекламой, что пренебрегли исследованиями того, что в действительности должен представлять собой межсетевой экран. Интересно то, что когда мы сравнили все коммерческие межсетевые экраны с моделью Кристофа, все они имели отсутствующие компоненты. Я вижу нечто подобное и в области обнаружения атак. Имеется потребность в таких системах. Давление на производителей систем обнаружения атак приведет к тому, что научные исследования и разработка соответствующей теории не будут выполнены. Уже сейчас акцент разработки в значительной степени смещается, и она ведется без понимания основополагающих принципов. Рынок средств защиты (а также средств управления) недостаточно поддерживает соответствующие исследования, проводимые в академических кругах, и в то же время многие университеты стимулируют перспективных студентов для выполнения этой работы.
Таким образом, я думаю, что и продавцы, и заказчики систем обнаружения атак должны поддерживать научно-исследовательские институты для проведения базисных исследований вместо постоянной модификации одних и тех же идей снова и снова (что и происходит сейчас). Мы нуждаемся в радикально новых идеях в этой (и других) областях.
Варианты реагирования
Возможности реагирования на атаки является определяющими для любой системы обнаружения атак. Такие варианты можно разделить на три типа: уведомление (notification), запоминание (storage) и активное реагирование (active response).
| На консоль | На консоль |
| По e-mail | По e-mail |
| Управляющие SNMP-последовательности | Управляющие SNMP-последовательности |
| Показ активной сессии | |
| Сохранение в журнале регистрации | Сохранение в журнале регистрации |
| Сохранение двоичных данных сетевого трафика | |
| Завершение соединения с атакующим узлом | Завершение соединения с атакующим пользователем |
| Реконфигурация МСЭ | Блокировка учетной записи |
| Пользовательский вариант реагирования | Пользовательский вариант реагирования |
Варианты установки системы RealSecure
Существует три основных участка, в которых может быть установлен модуль слежения системы RealSecure?:
После межсетевого экрана (в "демилитаризованной зоне" (DMZ)).
Основная цель такой установки - предотвращение атак на системы и устройства, установленные внутри DMZ. Это особенно важно для межсетевого экрана, как точки поступления внешних данных в вашу внутреннюю сеть. При добавлении RealSecure? в DMZ Вы дополнительно защищаете внешний периметр корпоративной сети от потенциальных атак.
До межсетевого экрана (в intranet).
Основная цель указанной установки - обнаружение изменений настроек межсетевого экрана и контроль трафика, проходящего через него. Модуль слежения, установленный до межсетевого экрана гарантирует:
что межсетевой экран функционирует должным образом; он не скомпрометирован и его настройки несанкционированно не изменялись; что не используются обходные пути через межсетевой экран, для атаки на внутреннюю сеть.
Также можно использовать эту конфигурацию совместно с предыдущей для проверки эффективности Вашего межсетевого экрана. Например, путем сравнения числа атак, обнаруженных до и после межсетевого экрана. На ключевых сегментах корпоративной сети.
Большинство атак на узлы сети реализуется изнутри и многие организации принимают меры по уменьшению ущерба от таких атак путем установки системы RealSecure? на критичных сегментах сети.
К другим вероятным местам размещения модулей слежения системы RealSecure? можно отнести:
размещение на главной сетевой магистрали (backbone) - для исследования межсегментного трафика; размещение сразу после модемной стойки - для защиты от НСД по коммутируемым каналам; и т.п.
Ведутся ли работы по стандартизации в области обнаружения атак?
6.4.1. Формат журнала регистрации подсистемы аудита
6.4.2. Универсальный формат для регистрации событий
6.4.3. Рабочая группа IETF по обнаружению атак
Charter:
Архив:
Подписка:
6.4.4. CIDF (Common Intrusion Detection Framework)
Определяет формат сообщений между "Генераторами событий", "Анализаторами событий", "Базами данных событий" и "Модулями реагирования". В настоящий момент слишком теоретические работы с небольшим вкладом в практическую реализацию.
(6.4.5. Консорциум разработчиков систем обнаружения атак ICSA
- примечание переводчика)
Виртуальные сети
Ряд брандмауэров позволяет также организовывать виртуальные корпоративные сети ( Virtual
Private Network), т.е. объединить несколько локальных сетей, включенных в INTERNET в одну
виртуальную сеть. VPN позволяют организовать прозрачное для пользователей соединение
локальных сетей, сохраняя секретность и целостность передаваемой информации с помощью
шифрования. При этом при передаче по INTERNET шифруются не только данные
пользователя, но и сетевая информация - сетевые адреса, номера портов и т.д.
Вирусы и атаки
Практически ни один межсетевой экран не имеет встроенных механизмов защиты от вирусов и, в общем случае, от атак. Как правило, эта возможность реализуется путем присоединения к МСЭ дополнительных модулей или программ третьих разработчиков (например, система антивирусной защиты ViruSafe для МСЭ CyberGuard Firewall или система обнаружения атак RealSecure для МСЭ CheckPoint Firewall-1). Использование нестандартных архиваторов или форматов передаваемых данных, а также шифрование трафика, сводит всю антивирусную защиту "на нет". Как можно защититься от вирусов или атак, если они проходят через межсетевой экран в зашифрованном виде и расшифровываются только на оконечных устройствах клиентов?
В таком случае лучше перестраховаться и запретить прохождение через межсетевой экран данных в неизвестном формате. Для контроля содержимого зашифрованных данных в настоящий момент ничего предложить нельзя. В этом случае остается надеяться, что защита от вирусов и атак осуществляется на оконечных устройствах. Например, при помощи системных агентов системы RealSecure.
Вирусы - это серьезно (вместо вступления).
Сегодня вроде бы никого не надо убеждать в необходимости построения антивирусной защиты любой более-менее ответственной информационной системы. По оценкам западных аналитиков, ежегодный общемировой ущерб от проникновения вирусов, червей, троянских коней и прочей программной "живности" составляет от 8 до 12 млрд долларов. Достаточно вспомнить, как в 2001 году весь мир был захвачен вирусом "IloveYou" (ущерб - 2 млрд долларов, затем "отличилась" Nimda (ущерб - до 1 млрд долларов) и т.д. И творцы вирусов не сидят, сложа руки: по различным оценкам, ежедневно в мире неизвестные умельцы создают от 2 до 10 новых вирусов ! В условиях, когда компьютерные системы становятся основой бизнеса, а базы данных - главным капиталом многих компаний, антивирусная защита прочно встает рядом с вопросами общей экономической безопасности организации. Особенно эта проблема актуальна для банков, по сути дела являющихся хранителями весьма конфиденциальной информации о клиентах и бизнес которых построен на непрерывной обработке электронных данных. Кража, уничтожение, искажение информации, сбой и отказ компьютерных систем - вот те проблемы, которые несут с собой вирусы и вирусоподобные программы.
Тем не менее, по оценке авторов, отношение к антивирусной защите во многом остается прохладным и формальным. Сейчас вряд ли встретишь банк, в информационной сети которого не установлены какие-либо антивирусные программы. Администратор сети с готовностью отчитается, что обеспечена защита рабочих мест, серверов, электронной почты и т.д. Но проблема заключается в том, что несмотря на наличие антивирусного программного обеспечения (ПО) угроза вирусных атак по-прежнему присутствует. Это происходит по нескольким причинам:
Установлено разрозненное антивирусное ПО, нет единой системы центрального управления и сбора информации о вирусных атаках Отсутствует техническая поддержка поставленного ПО, библиотека сигнатур (образов вирусов) устарела и антивирусное ПО не выявляет новые вирусы Отсутствует программы действий в экстремальных ситуациях, ликвидация последствий вирусной атаки происходит медленно и некачественно, утерянные данные не восстанавливаются Отсутствует связь с производителем антивирусного ПО при возникновении новых вирусов.
Короче говоря, "век живи - век учись". В данной статье авторы хотел бы рассмотреть в общем виде требования и подходы к реализации системы антивирусной защиты в банковских информационных системах, а также описать некоторые варианты решения этих проблем. Если содержание статьи окажется полезным техническому персоналу банка и заставит лишний раз задуматься (и на всякий случай - принять упреждающие меры) руководящий состав - то авторы считают свой труд не напрасным…
Вместо заключения
По глубокому убеждению авторов, антивирусная защита информационных систем - важнейшая и постоянная функция общей системы экономической безопасности банка. В этом деле недопустимы временные послабления и отступления от стандартов. Независимо от уже существующих в банке решений по антивирусной защите всегда полезно провести дополнительный аудит и оценить систему глазами независимого и компетентного эксперта. Не забывайте обращаться за советами к экспертам - их помощь в этих вопросах никогда не будет лишней!
По вопросам сотрудничества в области антивирусной защиты обращайтесь к Владимиру Водянову, в отдел по работе с коммерческими банками, страховыми и инвестиционными компаниями. т. 967-80-80, e-mail:
Возможность работы по протоколу ODBC
Вся информация об обнаруженных атаках сохраняется в базе данных. Это позволяет эффективно организовать всю информацию и обеспечить быстрый доступ к данным при создании различных отчетов. При помощи подсистемы настройки возможно подключение любой базы данных, имеющей ODBC-драйвер. Эта возможность позволит использовать именно ту систему управления базами данных, которая применяется в Вашей организации (например, Microsoft SQL Server, Microsoft Access и т.п.). Кроме того, данная возможность позволяет Вам использовать всю информацию о сетевом трафике в Ваших собственных системах.
Возможности системы Internet Scanner
Система Internet Scanner&153; обеспечивает высокий уровень анализа защищенности за счет проведения всесторонних проверок и следующих ключевых возможностей:
большое число проводимых проверок; задание степени глубины сканирования; тестирование межсетевых экранов и Web-серверов; централизованное управление процессом сканирования; параллельное сканирование до 128 сетевых устройств и систем; запуск процесса сканирования по расписанию; возможность работы из командной строки; мощная система генерации отчетов; использование протокола ODBC; различные уровни детализации отчетов; различные форматы отчетов; функционирование под управлением многих операционных систем; мощная система подсказки; простота использования и интуитивно понятный графический интерфейс; невысокие системные требования к программному и аппаратному обеспечению.
Возможности системы RealSecure
Система RealSecure? является одним из лучших решений для защиты Вашей корпоративной сети и следующих ключевых возможностей:
большое число распознаваемых атак; задание шаблонов фильтрации трафика; централизованное управление модулями слежения; фильтрация и анализ большого числа сетевых протоколов, в т.ч. TCP, UDP и ICMP; фильтрация сетевого трафика по протоколу, портам и IP-адресам отправителя и получателя; различные варианты реагирования на атаки; аварийное завершение соединения с атакующим узлом; управление межсетевыми экранами и маршрутизаторами; задание сценариев по обработке атак; генерация управляющих SNMP-последовательностей для управления системами HP OpenView(r), IBM NetView(r) и Tivoli TME10(r); запись атаки для дальнейшего воспроизведения и анализа; поддержка сетевых интерфейсов Ethernet, Fast Ethernet и Token Ring; отсутствие требования использования специального аппаратного обеспечения; работа с различными Cryptographic Service Provider; установление защищенного соединения между компонентами системами, а также другими устройствами; наличие всеобъемлющей базы данных по всем обнаруживаемым атакам; отсутствие снижения производительности сети; работа с одним модулем слежения с нескольких консолей управления; мощная система генерация отчетов; использование протокола ODBC; различные форматы отчетов; мощная система подсказки; простота использования и интуитивно понятный графический интерфейс; невысокие системные требования к программному и аппаратному обеспечению.
Возможности системы SYSTEM SECURITY SCANNER
Система System Security Scanner? обеспечивает высокий уровень анализа защищенности за счет проведения всесторонних проверок и следующих ключевых возможностей:
большое число проводимых проверок; задание шаблонов для различных групп сканируемых узлов; централизованное управление процессом сканирования; параллельное сканирование нескольких узлов корпоративной сети; централизованное обновление компонентов системы на удаленных узлах; создание сценариев для устранения найденных проблем; запуск процесса сканирования по расписанию; возможность работы из командной строки; мощная система генерации отчетов; различные форматы отчетов; функционирование под управлением многих операционных систем; мощная система подсказки; простота использования и интуитивно понятный графический интерфейс; невысокие системные требования к программному и аппаратному обеспечению.
Все для конечного пользователя
Мы опасались недовольства конечного пользователя по поводу программных средств VPN, если они существенно замедляют работу в Internet. Поэтому было проведено тестирование на производительность, замеры времени задержки и пропускной способности. Все продукты, кроме двух, продемонстрировали примерно одинаковую производительность.
Исключения - это RiverWorks и VTCP/Secure, в которых реализована функция сжатия. При активизации этой функции они обеспечивали увеличение производительности от 5 до 15% в зависимости от вида данных и размеров используемых пакетов. Наилучшую производительность продемонстрировал пакет VTCP/Secure, хотя в нем используются фирменные (нестандартные) протоколы.
В клиентских VPN-продуктах, где сжатие не используется (т. е. во всех, кроме двух вышеназванных), сетевая производительность в среднем уменьшалась на 20%, трафик виртуальной частной сети замедлялся на 16-24%. Для распространенных Web-приложений, типа браузера и электронной почты, такое снижение производительности не слишком ощутимо. Но для интерактивных приложений, например виртуальных терминалов, ухудшение производительности (для них увеличение времени задержки достигало 60%) явно не обрадует пользователей.
Вступление
Протоколы семейства IP являются основой построения сетей intranet и глобальной сети Internet. Несмотря на то, что разработка TCP/IP финансировалась Министерством обороны США, TCP/IP не обладает абсолютной защищенностью и допускает различные типы атак, рассмотренные в данной статье.
Для того, чтобы предпринять подобные атаки, крэкер должен обладать контролем над одной из систем, подключенной к Internet. Это возможно, например, в случае, когда крэкер взломал какую-то систему или использует собственный компьютер, имеющий соединение с Internet (для многих атак достаточно иметь PPP-доступ).
В данной статье не рассматриваются возможные физические атаки (например, непосредственный съем информации через ethernet или перехват трафика между радио-мостами). Все внимание обращено на программную реализацию.
Статья подразумевает знакомство читателя с TCP/IP и ориентирована на администраторов в области безопасности. Официальное описание семейства IP-протоколов можно найти в RFC, при первом знакомстве с TCP/IP может оказать неоценимую помощь великолепная книга "" by R.Stevens.
Автор оставляет в стороне моральные вопросы, т.к. считает, что только полная информация может помочь подготовиться к возможным атакам и защититься от них. Принцип "Безопасность через незнание" (Security through Obscurity) редко оправдывает себя.
Атаки на TCP/IP можно разделить на два вида: пассивные и активные.
это одна из самых ценных
Информация - это одна из самых ценных вещей в современной жизни. Появление глобальных компьютерных сетей сделало простым получение доступа к информации как для отдельных людей, так и для больших организаций. Но легкость и скорость доступа к данным с помощью компьютерных сетей, таких как Интернет, также сделали значительными следующие угрозы безопасности данных при отсутствии мер их защиты:
Неавторизованный доступ к информации Неавторизованное изменение информации Неавторизованный доступ к сетям и другим сервисам Другие сетевые атаки, такие как повтор перехваченных ранее транзакций и атаки типа "отказ в обслуживании"
Последние несколько лет ознаменовались постепенной заменой бумажной технологии обработки информации ее электронным аналогом. Со временем можно ожидать полного вытеснения бумажного документооборота электронным. Однако представление традиционных бумажных документов в виде электронных последовательностей, состоящих из нулей и единиц, обезличивает последние. Защитных атрибутов бумажных документов: подписей, печатей и штампов, водяных знаков, специальной фактуры бумажной поверхности и т.д., - у электронного представления документов нет. Но электронные документы нужно защищать не менее тщательно, чем бумажные. Поэтому возникает задача разработки такого механизма электронной защиты, который бы смог заменить подпись и печать на бумажных документах. Т.е. необходимо разработать механизм цифровой подписи (digital signature), которая представляет собой дополнительную информацию, приписываемую к защищаемым данным. Цифровая подпись зависит от содержания подписываемого документа и некоего секретного элемента (ключа), которым обладает только лицо, участвующее в защищенном обмене. Что должен обеспечивать такой механизм?
Во-первых, цифровая подпись должна подтверждать, что подписывающее лицо не случайно подписало электронный документ. Во-вторых, цифровая подпись должна подтверждать, что только подписывающее лицо, и только оно, подписало электронный документ. В-третьих, цифровая подпись должна зависеть от содержания подписываемого документа и времени его подписания. В-четвертых, подписывающее лицо не должно иметь возможности в последствии отказаться от факта подписи документа.
Прежде чем описывать техническую сторону работы с электронной цифровой подписью (ЭЦП) хотелось бы коснуться правовых аспектов ее использования в России. Этот вопрос вызывает большой интерес и живую дискуссию среди специалистов. Поэтому рассказ об ЭЦП я начну именно с юридической правомочности ее использования.
Одной из главных забот любого руководителя является стабильная и бесперебойная работа своего предприятия. Любое отклонение функционирования фирмы от нормального приводит к нанесению различных форм ущерба, например, финансовые и временные потери, потеря имиджа и т.п. В последние годы эти убытки зачастую возникают из-за нарушения политики безопасности в том или ином виде имеющейся в организации.
Когда речь заходит об обеспечении безопасности любого предприятия первое, с чего начинается решение этого вопроса, - это физическая защита. Системы контроля доступа, охранные видеокамеры, датчики, системы сигнализации и т.п. Все это приобретается и устанавливается в большом количестве. Однако когда дело доходит до информационной безопасности, то руководство скептически относится к средствам, ее реализующим. Если турникет, видеокамеру или огнетушитель можно потрогать руками, и целесообразность их применения видна невооруженным взглядом, то применение различных систем защиты информации (систем обнаружения атак, систем анализа защищенности и т.д.) необходимо очень тщательно обосновывать. При этом складывается парадоксальная ситуация. У всех на слуху находятся межсетевые экраны и антивирусные системы. Именно они и приобретаются в первую очередь в случае появления в бюджете статьи на средства защиты информации. Но при этом, эти средства уже не удовлетворяют современным требованиям, предъявляемым к защитным системам. Они не отражают, и даже не обнаруживают, целый ряд очень опасных атак [1].
По сравнению с физической безопасностью компьютерная безопасность находится еще в младенчестве. С каждым новым достижением в области информационных технологий появляются новые аспекты обеспечения информационной безопасности. При этом у уже существующих решений появляются новые грани, на которые приходится смотреть под новым углом зрения.
Физическая защита - относительно статическая область, состоящая из систем разграничения доступа, систем сигнализации и, возможно, оборудования для наблюдения, позволяющих идентифицировать и предотвратить физическое вторжение в защищаемую область. В свою очередь, компьютерная безопасность ориентирована не на физический мир, а на киберпространство, где преступники должны быть определены только при помощи серии нулей и единиц [2].
Все это приводит к непониманию со стороны руководства в необходимости приобретения различных средств защиты. И это несмотря на то, что за последний год число компьютерных преступлений возросло на порядок. И ущерб, нанесенный в результате несанкционированных компьютерных посягательств, измеряется миллионами долларов. При этом злоумышленник может находиться за сотни километров от своей жертвы, в т.ч. и другой стране. Чтобы не утомлять читателя дальнейшими рассуждения о необходимости применения систем обеспечения информационной безопасности хочу привести только один факт. 7 и 8 февраля 2000 года было зафиксировано нарушение функционирования таких популярных и ведущих Internet-серверов, как Yahoo (), eBay (), Amazon (), Buy () и CNN (). 9 февраля аналогичная участь постигла и сервера ZDNet (), Datek () и E*Trade () [3]. По некоторым данным трехчасовой простой этих серверов привел к потерям, которые составляют астрономическую сумму в 6 миллиардов долларов! Проведенное ФБР расследование показало, что указанные сервера вышли из строя из-за огромного числа направленных им запросов, что и привело к тому, что эти сервера не могли обработать трафик такого объема и вышли из строя. Например, организованный на сервер Buy трафик превысил средние показатели в 24 раза, и в 8 раз превысил максимально допустимую нагрузку на сервера, поддерживающие работоспособность Buy.
При этом нападении злоумышленники реализовали посылку большого объема данных сразу из нескольких сотен узлов, которые были задействованы в атаке. Именно поэтому данный тип атак получил название распределенной (distributed). В этом случае атакуемые узлы захлебнулись огромным трафиком и не смогли обрабатывать запросы от нормальных пользователей. В случае с обычной реализацией аналогичной атаки необходимо иметь достаточно "толстый" канал доступа в Internet, чтобы реализовать лавину пакетов на атакуемый узел. В случае же распределенной атаки это условие уже не является необходимым. Достаточно иметь dialup-соединение с Internet. Принцип лавины или шторма пакетов достигается за счет большого числа таких относительно медленных соединений.
Существующие сегодня на рынке коммерческие системы обнаружения атак (Intrusion Detection Systems, IDS) используют для распознавания и отражения атак либо сетевой, либо системный подход. В любом случае эти продукты ищут сигнатуры атак, специфические шаблоны, которые обычно указывают на враждебные или подозрительные действия. В случае поиска этих шаблонов в сетевом трафике, IDS работает на сетевом уровне. Если IDS ищет сигнатуры атак в журналах регистрации операционной системы или приложения, то это системный уровень. Каждый подход имеет свои достоинства и недостатки, но они оба дополняют друг друга. Наиболее эффективной является система обнаружения атак, которая использует в своей работе обе технологии. В данном материале обсуждаются различия в методах обнаружения атак на сетевом и системном уровнях с целью демонстрации их слабых и сильных сторон. Также описываются варианты применения каждого из способов для наиболее эффективного обнаружения атак.
В последнее время увеличилось число публикаций (в основном, зарубежных), посвященных такому новому направлению в области защиты информации, как адаптивная безопасность сети. Это направление состоит из двух основных технологий - анализ защищенности (security assessment) и обнаружение атак (intrusion detection). Именно первой технологии и посвящена данная статья.
Сеть состоит из каналов связи, узлов, серверов, рабочих станций, прикладного и системного программного обеспечения, баз данных и т.д. Все эти компоненты нуждаются в оценке эффективности их защиты. Средства анализа защищенности исследуют сеть и ищут "слабые" места в ней, анализируют полученные результаты и на их основе создают различного рода отчеты. В некоторых системах вместо "ручного" вмешательства со стороны администратора найденная уязвимость будет устраняться автоматически (например, в системе System Scanner). Перечислим некоторые из проблем, идентифицируемых системами анализа защищенности:
"люки" в программах (back door) и программы типа "троянский конь"; слабые пароли; восприимчивость к проникновению из незащищенных систем; неправильная настройка межсетевых экранов, Web-серверов и баз данных; и т.д.
Технология анализа защищенности является действенным методом реализации политики сетевой безопасности прежде, чем осуществится попытка ее нарушения снаружи или изнутри организации.
Очень часто пишут об уникальных возможностях систем анализа защищенности (сканерах), подводя читателей к убеждению, что эти системы являются панацеей от всех бед, и что они позволяют обнаруживать все вновь обнаруживаемые уязвимости. Но когда пользователи сталкиваются с ситуацией, которую можно описать заданным мне недавно вопросом: "Я вчера прочитал в Bugtraq про новую уязвимость в моей операционной системе. Почему сетевой сканер безопасности ее не обнаруживает?", то они начинают обвинять системы анализа защищенности во всех своих бедах. А ответ на заданный вопрос очень прост. В базе данных уязвимостей системы анализа защищенности этой уязвимости пока нет. Это один из аспектов, присущий всем системам анализа защищенности. Они предназначены для обнаружения только известных уязвимостей, описание которых есть у них в базе данных. В этом они подобны антивирусным системам, которым для эффективной работы необходимо постоянно обновлять базу данных сигнатур. Все эти вопросы привели к тому, что я решил поделиться практическим опытом работы с различными системами анализа защищенности и написать о том, как вообще работают сканеры безопасности, что они могут, а что нет. Помимо своего практического опыта, при написании данной статьи я использовал материалы компании Internet Security Systems, Inc., Cisco Systems и Network Associates.
Функционировать такие средства могут на сетевом уровне (network-based), уровне операционной системы (host-based) и уровне приложения (application-based). Наибольшее распространение получили средства анализа защищенности сетевых сервисов и протоколов. Связано это, в первую очередь, с универсальностью используемых протоколов. Изученность и повсеместное использование таких протоколов, как IP, TCP, HTTP, FTP, SMTP и т.п. позволяют с высокой степенью эффективности проверять защищенность информационной системы, работающей в данном сетевом окружении. Вторыми по распространенности являются средства анализа защищенности операционных систем (ОС). Связано это также с универсальностью и распространенностью некоторых операционных систем (например, UNIX и Windows NT). Однако из-за того, что каждый производитель вносит в операционную систему свои изменения (ярким примером является множество разновидностей ОС UNIX), средства анализа защищенности ОС анализируют в первую очередь параметры, характерные для всего семейства одной ОС. И лишь для некоторых систем анализируются специфичные для нее параметры. Средств анализа защищенности приложений на сегодняшний день не так много, как этого хотелось бы. Такие средства пока существуют только для широко распространенных прикладных систем, типа Web-броузеры (Netscape Navigator, Microsoft Internet Explorer), СУБД (Microsoft SQL Server, Sybase Adaptive Server) и т.п.
Помимо обнаружения уязвимостей, при помощи средств анализа защищенности можно быстро определить все узлы корпоративной сети, доступные в момент проведения тестирования, выявить все используемые в ней сервисы и протоколы, их настройки и возможности для несанкционированного воздействия (как изнутри корпоративной сети, так и снаружи). Также эти средства вырабатывают рекомендации и пошаговые меры, позволяющие устранить выявленные недостатки.
Поскольку наибольшее распространение получили средства, функционирующие на уровне сети (системы SATAN, Internet Scanner, CyberCop Scanner, NetSonar и т.д.), то основное внимание будет уделено именно им.
С помощью таких программ, как WinNuke, Papa Smurf и Teardrop злоумышленники могут атаковать ваши компьютеры и нанести вам ущерб. Согласно опросу за 1999 год Института Компьютерной Безопасности и ФБР о компьютерных преступлениях 57 процентов опрошенных организаций сообщили, что считают соединения их сетей с Интернет "местом, откуда часто организуются атаки". 30 процентов опрошенных сообщило, что имели место случаи проникновения в их сети, а 26 процентов сказали, что в ходе атак происходила кража конфиденциальной информации. Федеральный центр по борьбе с компьютерными преступдениями в США - FedCIRC сообщил, что в 1998 году атакам подверглось около 130000 государственных сетей с 1100000 компьютерами.
Для защиты от атак в киберпространстве системным администраторам требуется серьезное понимание методов, используемых атакующими для проникновения в компьютеры. Вы не можете бороться с врагом, если не знаете, как устроено оружие, которым он пользуется. В данном бюллетене описываются приемы атакующих и методы защиты от них.
В этой истории рассказывается, как бывшим сотрудником организации (специалистом сервис-центра, желающим отомстить за свое увольнение) была организована атака на сеть, основанная на знании структуры и функций сети и порядка ее использования. Перед тем, как это сделать, этот сотрудник осуществил проникновение в бухгалтерскую систему и без чьего-либо разрешения увеличил свою заработную плату.
В этой истории рассказывается об внутренней сетевой атаке против начальника отдела автоматизации большого медицинского учреждения его озлобленным подчиненным.
В этой истории рассказывается о внутренней сетевой атаке с использованием знаний о ней, организованной сотрудником, которому доверяли, против почтового сервера, использовавшегося верхним звеном управления организацией. В ее ходе были прочитаны чужие письма, что вызвало проблемы у руководства организацией и привело к раскрытию важной персональной информации тем сотрудникам, которым она не должна была быть известна.
Эта история описывает, как уволенный сетевой администратор подарил на прощание "подарок" своей организации, выведя из строя ее сеть.
В эпиграф к статье вынесена выдержка из закона об авторском праве и смежных правах от 9 июля 1993 года. В законе есть достаточное количество статей стоящих на страже авторства на программное обеспечение или на базы данных, вот только нарушаются они сплошь и рядом как в России, так и за ее пределами: процветает нелегальное копирование продукции, взлом программного обеспечения и откровенное воровство баз данных. К всеобщему горю Россия остается одним из главных потребителей пиратской продукции, поскольку в стране имеется солидный спрос на продукцию софтверных компаний, а уровень доходов населения не позволяет покупать лицензии по общемировым ценам. Отсюда и бешенный спрос на пиратскую продукцию, которая появляется невзирая на системы защиты от копирования, которые производители устанавливают на свои разработки. Вскрывается все, ну или почти все! Причин масса, это и слабое Российское законодательство, вернее законодательство хорошее, только вот его исполнение плохое. Также причиной пиратства является ценовая недоступность легальных копий продукта, в силу высокой стоимости - стоимость по мировым ценам, а зарплата в России далеко не мировая.
Ну, вот еще один защитник запада нашелся - подумает читатель и будет не прав! Несостоятельность Российских законов приводит к тому, что все отечественные компании, которые умеют делать софт на должном уровне ничего, или почти ничего не делают для внутреннего, Российского рынка, уходя в различные совместные предприятия, работая на западные рынки ПО. Здесь на лицо то, что принято называть утечкой мозгов, по крайней мере в софтверной области. Россия, имея все что нужно для производства ПО мирового уровня практически ничего не делает для внутреннего рынка, поскольку получить с него доход весьма и весьма сложно.
Остаются на месте только крупные компании, которые уже сделали себе имя, и имеющие стабильное количество легальных пользователей (пример тому бухгалтерские и правовые программы). Кстати, на заре 90х годов практически каждая из данных компаний разрабатывала свою систему защиты от копирования с той или иной степенью надежности. Также в середине 90х годов многими компаниями применялась тактика физического воздействия на торговцев продукцией, но и эта мера не возымела должного эффекта.
Итак, что мы имеем?
1 - невозможность компаниями-разработчиками ПО выпускать релизы для внутреннего рынка, в силу вышеописанных причин,
2 - не имеем полноценного законодательства, которое не только декларирует права, но и ревностно отслеживает их исполнение (рейды по злачным местам раз в год - не в счет).
Так мы плавно подошли к одному возможному выводу - раз законодательства пока нет, значит необходимо своими силами защищать программное обеспечение при помощи тех программных средств, которые будут противодействовать пиратам заполонять рынок контрафактной продукцией. Может здесь и получится нечто полезное, ведь получилось же некоторым компаниям-производителям игр сделать так, что их официальная продукция пользуется высоким спросом, даже несмотря на то, что наравне с легальной продукцией продается и пиратская.
Добиться удалось это и Российским и западным компаниям. Российским удалось защитить свои продукты мудреными защитами, а западные смогли предоставить он-лайн сервисы, при наличии которых пользователь расширяет возможности продукта (если говорить об играх, то это, как правило, доступ к серверам для многопользовательской игры). Значит не все так плохо! И бороться за рынок ПО можно, правда пока дополнительными средствами и мудреными защитами!
Статья, которую Вы держите в руках является попыткой автора посмотреть на рынок специальных программных средств для охраны авторского права, которые запрещают нелегальное копирование или изменение программное обеспечения. Автор попытался найти компании, которые предоставляют свои продукты для защиты. В основе положены два критерия выбора средств защиты: они должны быть или очень известными или еще не вскрытыми… Как выяснилось в процессе анализа, известность фирмы не означает, что ее продукция окажется сверхнадежной.
Теперь, непосредственно о защите. Давайте попробуем выдвинуть ряд критероиев, которые можно предъявить к подобной системе защиты, чтобы она смогла стать популярной:
Защита должна быть с большим запасом прочности. Учитывать высокий уровень пиратов вообще, и Российских в частности, способная противостоять их натиску долгое время; Не использовать для защиты дорогие дополнительные аппаратные приспособления, которые только повышают стоимость защиты, а стало быть, и конечного продукта; Не привязываться к аппаратной конфигурации компьютера, поскольку персональный компьютер не есть вещь в себе, и его отдельные компоненты могут и должны быть заменяемыми по мере старения; Должна быть основана на оригинальных принципах защиты от взлома. Показателем критерия может служить тот факт, что защита еще не взломана, либо взломана, но всеми возможными способами; Не препятствует свободному копированию защищенных данных (должна запрещать только несанкционированный запуск, то есть копируется копировщиком, но не исполняется); Несущественно удорожает стоимость конечного продукта.
Расширенные возможности и разнообразие систем анализа защищенности очень часто затрудняют выбор из них наилучшей. Заказчикам очень трудно оценить такие системы. Следовательно, необходим набор непротиворечивых критериев, которые позволят сделать правильный выбор между различными системами анализа защищенности, предлагаемыми на российском рынке.
Этот документ описывает процесс, следуя которому Вы сможете оценить и выбрать систему анализа защищенности, наиболее полно отвечающую требованиям Вашей сети. Мы поможем Вам задать правильные вопросы поставщику средств анализа защищенности; поможем Вам понять, как лучше тестировать предлагаемые продукты; и поможем Вам обосновать решение при покупке выбранного Вами продукта.
Типичный процесс выбора состоит из трех этапов:
Определение требований. Решите, что нужно именно Вам? Оценка продукта. Выберите тот продукт, который соответствует Вашим требованиям. Развертывание продукта. Установите и настройте выбранный Вами продукт наиболее эффективно.
На каждой стадии процесса выбора мы рекомендуем связываться с производителем или поставщиком системы анализа защищенности, чтобы быть уверенным в правильности сделанных Вами выводов или решений.
После изучения данного документа, Вы сможете понять Ваши требования, объективно оценивать предлагаемые системы анализа защищенности, выбирать из них соответствующее решение и эффективно применять их в Вашей организации.
|
Год 1996, 4 июня, вторник, космодром во Французской Гвиане. 9 часов 33 минуты 59 секунд. Первый запуск ракеты-носителя Ariane 5. Ракета взмывает в небо и через 40 секунд после старта взрывается на 50-метровой высоте. Ущерб составил по различным данным от пятисот миллионов до шести миллиардов долларов. Через полтора месяца, 19 июля, был опубликован исчерпывающий доклад комиссии по расследованию, в результате которого выяснилось, что взрыв произошел из-за ошибки переполнения одной из переменных в программном обеспечении бортового компьютера ракеты. Небольшая, на первый взгляд, уязвимость в программном обеспечении привела к столь значительному ущербу. Это типичный, но далеко не единственный случай, который демонстрирует опасность, возникающую в результате появлении в корпоративной сети различных уязвимостей.
Выявление компьютерных вирусов
Своевременное выявление компьютерных вирусов жизненно важно для безопасности предприятия. Борьба с вирусами может не быть успешной, если ограничиться только сканированием на наличие вирусов персональных данных пользователей на серверах и файловых систем их компьютеров. Наиболее надежная защита от компьютерных вирусов может быть обеспечена только в том случае, если проверка на их наличие производится во всех точках доступа в сеть предприятия.
Механизмы проверки содержимого потоков данных, реализованные в FireWall-1, предоставляют интегрированное решение для борьбы с вирусами, предлагая использование специальных антивирусных приложений, производимых партнерами CheckPoint по инициативе OPSEC. Данные приложения могут быть развернуты как непосредственно на компьютере, где установлен FireWall-1, так и на отдельном компьютере, специально предназначенным для их выполнения. Благодаря такому подходу, администратор информационной безопасности предприятия может легко реализовать оптимальную схему борьбы с компьютерными вирусами, быстро развернуть ее и администрировать весь комплекс из общего центра управления.
Вместо настройки двух совершенно независимых программных продуктов, администратор безопасности определяет правила разграничения доступа и правила проверки информационных потоков в общей политике безопасности, посредством ее редактора (FireWall-1 Security Policy Editor).
Например, организации необходимо обеспечить проверку всех вложений электронной почты на наличие компьютерных вирусов. Это легко обеспечить, проводя проверку почты проходящей через шлюз с FireWall-1. В этом случае FireWall-1 перехватит все потоки данных, отвечающие соответствующим правилам политики безопасности и, используя протокол перенаправления содержания - Content Vectoring Protocol (CVP), перенаправит их на сервер антивирусной проверки. Прежде, чем вернуть полученные данные, сервер антивирусной проверки выполнит необходимые действия по сканированию вложений почты на наличие в них вирусов и лечению зараженных данных. Получив данные обратно, FireWall-1 отправляет их получателю. Таким образом, ни одно соединение не будет организованно напрямую без соответствующей проверки.
Взлом и защита: противоборство брони и снаряда в электронном мире…
Во время использования MS-DOS (ныне почти покойной) наработана масса способов, позволяющих относительно надежно идентифицировать легальность запуска того или иного приложения. Существует масса приемов того, как можно обманывать отладчики и дизассемблеры, противодействуя, тем самым, анализу логики защищаемого приложения. С появлением на сцене Windows, жизнь хакеров слегка упростилась, а защитников усложнилась, в силу специфики реализации данной системы. Появились умные отладчики (один SoftIce чего стоит), интеллектуальные дизассемблеры и прочее, и прочее... Становится трудным находить новые приемы привязки защиты к различным физическим меткам и электронным ключам. А трудности связаны с тем, что все приемы, помогающие ставить не копируемые метки, и противодействовать отладчикам, уже давно и хорошо известны обеим "воюющим" сторонам.
Хотя, иногда появляются и изюминки, благодаря которым война "защитников" переходит на новый виток развития, и война разгорается с еще большей силой и на новом технологическом витке.
Давайте, перед, собственно, анализом имеющихся средств защит программного обеспечения, попробуем понять, как они работают. Еще хочется отметить, что данная статья не есть пособие для пишущих и ломающих защиты, для этого есть специальные издания и более профессиональные авторы, которые заняты не написанием статей, а работой над новыми методами защиты и взлома.
Начнем со структурного введения, и поделим, на составляющие, само слово "защита". Представим его в виде двух подсистем:
первая - представляет собой тот или иной способ постановки любой метки на носителе, которую было бы невозможно, или весьма затруднительно перенести (скопировать) или воспроизвести программными методами (эмулировать);
вторая - это встраиваемый в защищаемое приложение модуль, который проверяет наличие заранее установленной метки.
Основой любой защиты можно считать ее способность к идентификации носителя, с которым она попала к пользователю. И не просто к идентификации, а к способности отличить данный носитель от нелегальной копии. Причем, уровень защиты на данном этапе должен быть такими, чтобы та условная метка или характеристика, которая была присуща данному носителю, не воспроизводилась любыми средствами битового копирования. Эффективность данного этапа определяет стойкость защиты к элементарному взлому, когда пользователю достаточно запустить CloneCD, и не о чем больше не думать.
Если защите удалось найти способ получения не копируемых дисков (StarForce, CD-Cops, TAGES), то надо обезопасить себя от следующей напасти - от эмуляторов устройств. Многие пираты прибегают к тактике эмуляции характеристик диск, создавая виртуальные драйверы устройств, позволяющих обманывать систему защиты. К сожалению, практически все средства защиты от копирования, рассматриваемые в данной статье, уже взломаны подобным образом (см. врезки).
Если еще раз вернуться к механизму получения уникальных идентификаторов диска, то получится, что способов есть здесь не так уж и много. Это нанесение лазерных меток на определенной части диска и получение уникальных характеристик, присущих носителю. И все это без нанесения физических меток. Подобное пока удалось сделать только защитам StarForce, CD-Cops и TAGES, что разительно отличает их от конкурентов. Во-первых, не надо иметь сложное оборудование для нанесения меток, ведь, как мы знаем, любое удорожание производственного цикла бьет по карманам покупателей, повышая стоимость продукта. И здесь еще один вывод: чем выше стоимость продукта, тем пристальней взоры к нему со стороны пиратов, тем скорее защита будет взломана, а способ взлома растиражирован.
Похоже, приходится констатировать тот факт, что физические привязки останутся в прошлом, а на смену им придут подобного рада способы защиты. И еще заметьте (см. табл.), защиты StarForce, CD-Cops и TAGES не взламываются побитовыми копировщиками и эмуляторами, поскольку физические характеристики носителей хакеры еще не научились воспроизводить программно (эмуляторы), и их невозможно копировать (копировщики).
То есть на данном этапе можно констатировать, что имеется ряд защит, которые используют передовые способы идентификации носителей, и противодействия копированию. Как говорится, этот критерий абсолютно необходим, но необходим он вкупе с хорошо защищенной от взлома программной частью, которая и отвечает за идентификацию носителя. Отсутствие надежной защиты от программного взлома делает защиту очень и очень уязвимой. Хотя, справедливости ради, надо сказать, что если есть хорошая программная защита, но нет аппаратно не копируемой метки, то и это не есть правильно. Такая защита только половина того, что нужно, НО! Здесь кроется одно "НО", компания, разработавшая хотя бы один действительно надежный способ противодействия, со временем может разработать дополнительный механизм противодействия. Особенно хочется отметить, что в данном случае более важной можно считать технологию получения не копируемых меток или иных методов дальнейший идентификации носителя. Так как сложнее осуществить именно эту часть защиты.
Следующий по очереди, но не по важности, атрибут защиты это резидентная программная часть, способная на 100% идентифицировать метку или характеристику носителя, с которого она была запущена.
Если рассмотреть способ защиты модуля от взлома, то получается такая картина: третья компания разрабатывает программный продукт, скажем, один файл в формате EXE, и передает его создателям защиты. Последние специальным образом встраивают специальный код идентификации в данный EXE модуль, ставят не копируемую метку. Цель хакера на этом этапе: либо полностью удалить защитный модуль, либо найти тот участок в коде защиты, который отвечает за идентификацию, и изменить только его (поменять условие проверки). Цель защиты - противодействовать всем методам взлома, причем продвинутая защита должна защищать не только себя, но и модули того файла, к которому ее присоединили. Последнее возможно в том случае если защита имеет открытый расширенный SDK (Software Development Kit), который позволяет разработчикам приложений встраивать защиту в свой модуль уже на этапе разработки собственного приложения. Такая система может существенно усложнить жизнь хакерам.
Для вскрытия программной защиты хакер может выбрать следующее (развернуто об атаках смотрите во врезке):
Получить код программы любым известным дизассемблером. Проанализировать ход исполнения программы специальным отладчиком. Получить слепок программы в памяти, которая исполнилась после проверки защитой диск (дампер). Поставить набор контрольных точек в заданных местах, чтобы не анализировать весь код, а только его части, с указанных адресов.
Приведенные способы атак показывают, что хакер будет предпринимать, и что должна уметь делать любая защита, чтобы этого не допустить.
С этим сектором все очень плохо. Практически все защиты уже взломаны, невзирая на ухищрения, предпринимаемыми компаниями-защитниками. Тут действуют несколько золотых правил: во-первых, то, что сделал один человек, то другой может завсегда сломать, а, во-вторых, тираж и популярность продукта стимулируют хакеров на очень активные действия. Так что надеяться на 100% надежную защиту от взлома - только находиться в иллюзиях! Зато можно, разработав эффективную систему защиты, максимально усложнить жизнь пиратам, а себе гарантировать возврат инвестиций. Говоря простым языком, если защита вскрывается 4-5 месяцев, то компания может продать достаточное количество копий своего продукта, чтобы покрыть все расходы и получить прибыль. А если новая версия продукта выходит через 7-8 месяцев, то коммерческий успех можно повторять до бесконечности. Но это возможно в тех случаях, когда продукт пользуется большим спросом, а защита постоянно модифицируется.
Обратите внимание на врезки и на таблицу, в которой проводилось сравнение основных систем защит, как иностранных, так и одной отечественной.
Особенно обидно за продукты CD-Cops и TAGES, которые стойко противостоит первой волне взлома (копированию), и совсем не держат натиски отладчиков, дамперов и дизассемблеров. Скорее всего это связано с тем, что компании молодые и у них просто не было времени, чтобы полностью доработать защиту. Думаю, что разработчики учтут недоработки программных модулей в следующих версиях.
В наиболее выгодном свете здесь представлена только защита StarForce, которая использует ряд интересных решений, делающих ее взлом практически невозможной, или, лучше так: трудноосуществимой. Из информации, которую удалось получить из официальных источников, разработчики StarForce применили способ динамического шифрование кода (см. врезку), даже не столько шифрования, в общем понимании этого слова, а в том, что для этих целей разработана специальная виртуальная машина со своим языком программирования.
Этот подход позволяет не просто шифровать блоки кода, а транслировать на другой язык программирования, образуя тем самым виртуальную машину (см. врезку).
Есть еще один способ усиления защиты, это предоставление разработчикам ПО так называемых SDK, при помощи которых, разработчики могут эффективно использовать элементы защиты на этапе разработки ПО. Это жизненно необходимо, так как один из самых эффективных методов защиты, это не просто проверка информации, отдельным модулем, а неявное размазывание самой системы на весь программный продукт. Когда при помощи определенных механизмов нарушается целостность и правильность исполнения программного продукта. Если помните, то еще во времена DOS, был "крякнутый" пакет программы анимации 3-D Studio 4.0, который никак не хотел работать правильно (результат подобной защиты). Достичь подобного эффекта размазывания защиты можно как своими силами, так и силами компании, реализующей защиту. Последнее, более приемлемо и нужно, поскольку только так можно получить комплексный подход в защите. Поэтому услуга предоставления SDK далее рассматривается как особенно важная для построения барьеров на пути хакерам.
Как ужа неверное отметил читатель, то из всех средств защит, вынесенных во врезки, автор упоминает только три: StarForce, CD-Cops и TAGES. Уж не пристрастность ли это? Отвечаю: нет, нет и еще раз нет!!!
Посмотрите на таблицу и на описание продуктов. В моем представлении, внимания заслуживают только лишь те системы, которые не вскрыты вообще (StarForce), либо вскрыты лишь частично. Последнее обстоятельство дает шанс компании со временем построить надежную защиту (CD-Cops). Те же слова хочется сказать в адрес программы TAGES, которая также эффективно борется с копированием, но пока имеет слабую защиту самого кода приложения.
И отрадно смотреть, что уникальные комплексные подходы в защите показывают небольшие компании, лишь недавно вышедшие на рынок защиты ПО. А горестно смотреть на таких монстров как Macrovision и Sony, которые кроме известности ничего не имеют. Хотя, компании подобного размаха очень инерционны, но и они в итоге могут удивить.
Что ж, посмотрим, как будет развиваться рынок далее… Кто победит... информационный "снаряд" или информационная "броня"?
В работе над данной статьей помогли:
Личный опыт автора в написании защит, полученный им в начале 90х, а также следующие сайты в Интернет:
Официальные сайты компаний-производителей защит (см. во врезке).
Сайт , на котором рассмотрены все существующие защиты, и не просто рассмотрены, а разобраны!
За и против
| Permit Enterprise 1.2 | TimeStep | 25 490 на 1000 клиентов | *Прекрасная поддержка больших баз данных пользователя *Мощные средства управления уровня предприятия *Наилучшая поддержка PKI | *Простое суммирование различных функций при построении системы породили несогласованность в работе отдельных составляющих |
| VPN-1 Gateway 1.2 | Check Point Software | От 56 000 до 96 000 на 1000 клиентов | *Встроенный брандмауэр упрощает некоторые операции конфигурации *"Прозрачный" брандмауэр клиента | *Среда Check Point усложняет работу простых VPN-приложений |
| RiverWorks Enterprise VPN 1.2 | Indus River Network | 150 000 на 1000 клиентов | *Доступ пользователя в режиме коммутации обеспечивает подключение как к Internet, так и к VPN *Простота инсталляции *Развитые средства диагностики | *Высокая цена *Отсутствует опция брандмауэра для клиента |
| VPN Concentrator Series 1.2 | Altiga Networks | 5760 на 1000 клиентов | *Отличная утилита управления, предоставляющая все подробности работы сервера *Простота развертывания сети | *Слабые средства регистрации пользователей *Не может эффективно использовать Internet в режиме туннелирования данных |
| LanRover VPN Gateway | Intel | 17 375 на 1000 клиентов | *Простота инсталляции клиентского ПО *Клиентский инструмент для подключения к сети облегчает работу при многочисленных инсталляциях *Хорошие клиентские опции защиты | *Отсутствует функция учета зарегистрированных пользователей для сессий IPSec *Отсутствуют средства анализа |
| Security Management Server 4.1 | Lucent | От 9995 до 13 490 | *Очень полный комплект средств управления *Хорошая функция конфигурирования и контроля для мультисистемы | *Объединение брандмауэра Lucent с VPN препятствует созданию некоторых VPN-конфигураций |
| VPNware 2.51 | VPNet | 34 050 на 1000 клиентов | *Простота развертывания сети на клиентском ПК *Поддерживает несколько VPN-топологий *Служба RADIUS обеспечивает конфигурирование параметров клиента | *Написанные на языке Java средства управления (графический интерфейс пользователя) работают нестабильно *Отсутствует информация о регистрации в сети |
| cIPro System 4.0 | RadGuard | 45 000 | *Средства управления интегрированы с сетевой платформой уровня предприятия HP OpenView *Обеспечивает гибкость конфигурирования | *Недостатки в системе регистрации в сети |
| Ravlin 7100 3.30 | RedCreek | 19 000 на 1000 клиентов | *Продукт прост в настройке *Конфигурирование и инсталляция выполняются быстро | *Функции управления не рассчитаны на большое число пользователей или серверов |
| F-Secure VPN+ 4.2 | Data Fellows | 48 990 на 1000 клиентов (+ 10 000 - сервер) | *Хорошо интегрирован с сетевой средой Windows | *Среда администрирования излишне сложная *Требует организации сетевой среды Windows |
| VCTP/Secure 4.2 | InfoExpress | 70 000 на 1000 клиентов (+ 10 000 - сервер) | *Поддержка мультиплатформного клиента и сервера Возможно резервирование клиента | *Примитивный пользовательский интерфейс *Продукт сложен в управлении |
Задание пользовательских сценариев обработки атаки
Для задания специфичных реакций на атаки, в системе RealSecure? существует возможность определения своих собственных обработчиков (например, уведомление администратора об атаке по пейджеру). Обработчик атаки должен быть любым исполняемым файлом, который может запускаться из командной строки.
Задание шаблонов для сканирования
Администратор безопасности, проводящий анализ защищенности Вашей корпоративной сети, может задавать те проверки, которые должны проводиться для выбранных узлов. Для облегчения работы в большой и распределенной корпоративной сети существует возможность задания параметров сканирования как для отдельных хостов, так и для групп сканируемых хостов. Таким образом администратор может задать общие характеристики сканирования для группы хостов и произвести более точную настройку для индивидуального хоста. Все вновь созданные шаблоны могут быть сохранены для последующего использования.
в данной статье аспекты показывают,
Описанные в данной статье аспекты показывают, что выбор системы электронной цифровой подписи - непростая задача, решению которой необходимо уделить серьезное внимание. Не существует готовых рецептов. Правильный выбор - это не просто просмотр рекламных буклетов, полученных на выставке, или ознакомление с Web-сервером поставщика системы ЭЦП. Это кропотливый процесс, в котором должно учитываться множество факторов. Это и необходимость интеграции в принятую технологию обработки информации, и необходимость наличия сертификата ФАПСИ, и алгоритм распределения ключей, и т.д.
Сделайте правильный выбор - и Ваша информация будет надежно защищена от подделки.
Симон Перри, вице- президент по системам защиты компании Computer Associates, считает, что уровень использования свободно распространяемых средств защиты будет расти, хотя и не в крупных корпорациях. По его словам, организации, которые разрабатывают свободно распространяемое программное обеспечение, не имеют достаточных ресурсов или инструментальных средств управления, необходимых для интеграции, требуемой для обеспечения защиты при использовании множества различных платформ, как это происходит в крупных компаниях.
Интересной тенденцией на рынке свободно распространяемых систем защиты может стать разработка бизнес-моделей, которые объединяют открытые тексты со специализированным аппаратным обеспечением, коммерческими инструментальными средствами переднего плана и/или гарантиями уровня обслуживания. Например, Бреди отметил, что производители могли бы объединить свои знания аппаратной оптимизации со свободно распространяемой технологией для создания таких продуктов, как сетевые приставки, поддерживающие защищенные быстрые соединения.
Кокс подчеркнул, что «темпы внедрения свободно распространяемых исходных текстов будут расти, поскольку модель разработки поддерживает быстро меняющуюся структуру Internet и защиты. Оперативной реакции на требования к функциональности, новые атаки и исправление ошибок трудно добиваться в среде с закрытыми исходными текстами».
Тем не менее, Пескаторе считает, что доля доходов от всех продуктов защиты, получаемая от продажи коммерческих услуг поддержки свободно распространяемых инструментальных средств к 2007 году вырастет с 1% всего лишь до 2%. В частности, это объясняется тем, что многие компании будут использовать бесплатный инструментарий, а не коммерческие пакеты с открытыми исходными текстами.
Одна из опасностей, связанных с инструментарием, распространяемым в исходных текстах, связана с тем, что пользователи могут поддаться ложному чувству полной безопасности, рассчитывая на то, что этот код анализировало множество специалистов. По мнению Дэна Гира, разработчика Kerberos и директора по технологии компании @Stake, предлагающей услуги по организации защиты, «предоставление продукта в исходных текстах не означает, что в нем нет ошибок, просто вероятность наличия ошибки в таком продукте несколько меньше. Но это не панацея».
Джордж Лоутон () — независимый журналист.
George Lawton. Open Source Security: Opportunity or Oxymoron? IEEE Computer, March 2002. IEEE Computer Society, 2002, All rights reserved. Reprinted with permission.
Ознакомившись с описанными проблемами, многие могут сделать вывод, что межсетевые экраны не могут обеспечить защиту корпоративной сети от несанкционированного вмешательства. Это не так. Межсетевые экраны являются необходимым, но явно недостаточным средством обеспечения информационной безопасности. Они обеспечивают лишь первую линию обороны. Не стоит покупать межсетевой экран только потому, что он признан лучшим по результатам независимых испытаний. При выборе и приобретении межсетевых экранов необходимо тщательно все продумать и проанализировать. В некоторых случаях достаточно установить простейший пакетный фильтр, свободно распространяемый в сети Internet или поставляемый вместе с операционной системой, например squid. В других случаях межсетевой экран необходим, но применять его надо совместно с другими средствами обеспечения информационной безопасности.
Выше я попытался вкратце рассказать об относительно новой технологии в области информационной безопасности - обнаружении атак. В небольшой статье невозможно описать все аспекты, связанные с данной тематикой. За пределами рассмотрения остались:
Вопросы выбора и тестирования системы обнаружения атак; Вопросы эксплуатации систем обнаружения атак; Достоинства и недостатки систем обнаружения атак; Механизмы реагирования на атаки и обработки инцидентов; И многие другие вопросы.
Надеюсь, что в ближайшее время читатели смогут ознакомиться и с этими вопросами.
В заключение хочу заметить, что применение только физических средств безопасности не помогает от новых способов посягательств на ресурсы любой компании. Необходимо применять средства защиты информации. Однако не стоит ограничиваться широко рекламируемыми межсетевыми экранами и антивирусными системами. Эти средства являются необходимыми, но явно недостаточными для построения эффективной системы защиты. Только комплексное применение "традиционных" и "адаптивных" механизмов позволит гарантировать высокий уровень защищенности информационной системы предприятия от любых (внешних и внутренних) злоумышленников.
Межсетевые экраны не обеспечивают достаточного уровня защищенности корпоративных сетей. Хотя ни в коем случае от них нельзя отказываться. Они помогут обеспечить необходимый, но явно недостаточный, уровень защиты корпоративных ресурсов. Как уже не раз отмечалось, традиционные средства, к которым можно отнести и межсетевые экраны, были построены на основе моделей, разработанных в то время, когда сети не получили широкого распространения и способы атак на эти сети не были так развиты, как сейчас. Чтобы на должном уровне противодействовать этим атакам, необходимо применение новых технологий. Например, технология обнаружение атак (intrusion detection), которая стала активно развиваться за рубежом и четыре года назад попала в Россию. Эта технология, ярким представителем которой является семейство средств RealSecure компании Internet Security Systems, позволяет эффективно дополнять существующие межсетевые экраны, обеспечивая более высокий уровень защищенности.
Использовать такого рода средства надо. Но хочу еще раз заметить, что не стоит считать их панацеей от всех бед. Они ни в коем случае не заменяют специалистов в области безопасности. Они всего лишь автоматизируют их работу, помогая быстро проверить сотни узлов, в т.ч. и находящихся на других территориях. Они помогут вам обнаружить практически все известные уязвимости и порекомендовать меры, их устраняющие. Они автоматизируют этот процесс, а с учетом возможности описания своих собственных проверок, помогут эффективно применять их в сети любой организации, учитывая именно вашу специфику.
Надо помнить, что сканер - это всего лишь часть эффективной политики безопасности сети, которая складывается не только из применения различных технических мер защиты (средств анализа защищенности, систем обнаружения атак, межсетевых экранов и т.п.), но и из применения различных организационных и законодательных мер.
Даже так называемые внешние атаки могут быть организованы при помощи информации о внутреннем устройстве сети. Описанная выше атака не могла быть осуществлена без знания специфической внутренней информации, которая позволила атакующему максимально распространить троянского коня, вызвавшего разрушения. Хотя с технической точки зрения эта атака является внешней, на самом деле она была организована извне на основе внутренней информации.
|
Число персональных атак на верхнее звено управления компаний растет с угрожающей скоростью. Как показано в этом случае, организовать такую атаку на систему начальника крайне легко, если только на ней не установлено специального оборудования и программ для защиты. Также могут потребоваться средства персональной безопасности, такие как персональные пакетные фильтры, аудирование рабочей станции, обучение пользователей и периодическое тестирование защищенности, чтобы можно было гарантировать целостность и защищенность систем, на которых работают люди, занимающие важные посты в организации.
Необходимость доверять системным и сетевым администраторам никуда не исчезнет. Но при изменении тех или иных специфических факторов, доверие к тем или иным людям тоже будет меняться. В современном обществе, где деньги, наркотики, алкоголь и стрессы оказывают большое влияние на работу администраторов, руководство организацией должно учитывать влияние этих факторов в конечном счете на работу критических систем и программ. Только создав единую систему защиты, которая эксплуатируется компетентными специалистами, руководство, которое "ходит по лезвию бритвы", сможет минимизировать разрушения в случае внутренних атак на сеть.
Эта история стала возможной из- за плохого управления конфигурацией сети, которое было использовано для ее вывода из строя, из-за отсутствия мер безопасности при увольнении технических специалистов, из-за того, что не был блокирован доступ уволенного технического специалиста к системам организации, и из-за того, что не было принято юридических мер защиты от попыток неавторизованного доступа к системам организации уволенного сотрудника. Описанные ошибки на самом деле являются распространенными, но о случаях их использования не сообщается из-за боязни потерять репутацию. При наличии правильного управления конфигурацией сети в большинстве случаев последствия попыток неавторизованного доступа были бы минимизированы.
|
Запись атаки для дальнейшего анализа
Данная возможность позволяет просматривать предварительно записанные действия, выполняемые злоумышленником при атаке. Это позволит не только понять и проанализировать действия нарушителя, но и наглядно продемонстрировать руководству организации потенциальные угрозы. Воспроизведение атаки для анализа может быть осуществлено как в реальном времени, так и с любой заданной скоростью.
Запуск процесса сканирования по расписанию
Для периодического (в заданное время) проведения анализа защищенности существует возможность запуска системы Internet Scanner&153; по расписанию. Для этого можно использовать службу AT (для ОС Windows NT) или утилиту CRON (для ОС UNIX).
Для периодического (в заданное время) проведения анализа защищенности существует возможность запуска системы System Security Scanner? по расписанию. Для этого можно использовать утилита CRON. При помощи данной утилиты администратор может не только запускать систему S3 для проведения локального или удаленного сканирования, но и создавать отчеты по результатам сканирования.
Для ОС Windows NT задание графика запуска осуществляется из графического интерфейса системы S3.
Защищая "последнюю милю"
Журнал "", #02/2000
Джоул СНАЙДЕР
Таблица
Перспектива защиты "последней мили" выглядит пугающей.
Защита данных в виртуальных частных сетях (VPN), объединяющих переносные или домашние ПК с локальной сетью корпорации, вступает в противоречие с двумя основными заповедями, на которых зиждется поддержка вычислительной сети предприятия: никогда не затрагивай настольную систему; никогда не предпринимай действий, заставляющих пользователей изменить привычный стиль работы за компьютером.
Желание защитить свою корпоративную ЛВС заставляет сетевых администраторов блокировать линии связи, соединяющие с ней удаленных пользователей. Как же создавать, расширять, поддерживать и управлять VPN, а также посылать сообщения сотням или тысячам пользователей - клиентов VPN?
Всем производителям VPN-продуктов, какие были нам известны, мы предложили участвовать в тестировании. Хотя большинство из них откликнулись и прислали свои изделия в тестовую лабораторию, некоторые крупные игроки данного рынка отказались. Так, компания Cisco не пожелала испытывать продукт до завершения бета-тестирования. У компании Xedia обнаружились финансовые причины. Отказы, правда без вразумительных объяснений, были получены от фирм Compatible Systems, Nortel Networks и Network Associates.
В результате мы протестировали 11 клиентских VPN-продуктов. Многие из них выпускаются теми же компаниями, которые производят средства для VPN, уже протестированные нами (см. "Сети", 1999, № 11, с. 92) на предмет совместимости, возможностей конфигурирования и производительности. В данном обзоре мы рассмотрим, как VPN-системы работают с клиентами корпоративной сети.
Большая часть протестированных продуктов продемонстрировала вполне приемлемую производительность и достаточный набор функций управления. Итоговые баллы восьми из одиннадцати изделий разнятся лишь на единицу. Голубой лентой Network World был награжден продукт Permit Enterprise 1.2 компании TimeStep за превосходный инструментарий управления, который позволяет развертывать виртуальные сети, охватывающие действительно гигантское число клиентов.
Защищенное и эффективное управление инфраструктурой IP-адресов предприятия
Инфраструктура IP-адресов современного предприятия, ведущего бизнес с помощью Internet, является для системы безопасности одновременно и ресурсом, который нужно защищать, и источником данных, на основе которых система безопасности выполняет свои основные обязанности - управляет доступом к другим ресурсам сети, обнаруживает атаки и т.д.
Защита IP-адресов предприятия состоит в скрытии их от внешних пользователей, так что внешний пользователь не может ни изучить внутренний адрес из перехваченного пакета, ни даже использовать его для непосредственной отправки пакета внутреннему узлу, если он каким-то образом все же получил сведения о внутреннем адресе. Обычно для этой цели в корпоративной сети для внутренних коммуникаций используются частные адреса (специальные диапазоны частных адресов в IPv4 или адреса для локального использования в IPv6), назначаемые самой организацией, а для коммуникаций через Internet - глобальные адреса, уникальность которых обеспечивается такими органами как IANA или другими уполномоченными организациями. Провайдеры Internet не поддерживают маршруты к частным диапазонам адресов, поэтому их использование автоматически исключает возможность атаки на хост с частным адресом извне корпоративной сети, что существенно повышает безопасность сети.
Для обеспечения взаимодействия сети с частными адресами с внешним миром в Internet разработана техника трансляции адресов NAT, поддержка которой является прямой обязанностью системы безопасности. Реализация некоторых режимов NAT (например, организация соединений по инициативе внешних хостов или двойной NAT, решающий проблему пересечения адресного пространства внутренних и внешних адресов) требует помощи службы DNS, поэтому для защиты адресного пространства средства безопасности должны быть тесно интегрированы с этой службой.
Защиту IP-адресов обеспечивают также VPN-шлюзы, скрывающие за счет инкапсуляции истинный адрес отправителя и отправляющие пакет во внешнюю сеть от адреса своего внешнего интерфейса.
Перспективные средства защиты IP-адресов должны учитывать возможность использования адресации по стандарту IPv6, плавный переход на который ожидается в ближайшем будущем.
Интеграция средств безопасности с основными службами сети, управляющими IP-адресацией, нужна и для выполнения первыми основных функций по контролю доступа. Традиционное использование средствами защиты IP-адресов в качестве идентификаторов субъектов доступа сегодня существенно затрудняется динамическим характером назначения адресов, поддерживаемым службой DHCP. Для того, чтобы сопоставить IP-адрес с пользователем, средства защиты должны получать информацию от двух сетевых служб: аутентификации и DHCP.
Наличие службы DHCP влияет и на работу транслятора адресов, который должен при установлении внешних соединений с внутренними хостами корректно заменять DNS-имена на внутренние IP-адреса хостов. Эта проблема может решаться стандартным образом, если служба DNS поддерживает режим Dynamic DNS, в противном случае сервис NAT должен решать ее самостоятельно.
В результате для эффективной работы в новых условиях средства безопасности сети должны уметь координировать свою работу с основными службами управления IP-адресами (DHCP, DNS), а также обеспечивать поддержку новых протоколов, связанных с IP-адресацией (например, IPv6, Mobile IP) в случае необходимости.
Функции управления инфраструктурой IP-адресов реализуются в нескольких продуктах компании Check Point.
Межсетевые экраны FireWall-1 поддерживают трансляцию адресов по распространенным в Internet алгоритмам NAT, скрывая внутренние IP-адреса в пакетах, отправляемых в Internet. Сервис NAT модулей FireWall-1 поддерживает два режима трансляции: статический и динамический. При статической трансляции адреса пакетов заменяются в соответствии с правилами, определяемыми с помощью нрафического редактора правил политики FireWall-1. Администратор может создать таблицу трансляции адресов на основе адресов источника, назначения и сервиса (задаваемого, например, номером TCP/UDP порта или другим способом, принятым при определении объектов FireWall-1). При динамической трансляции адресов внутренние адреса автоматически заменяются одним адресом, имеющим глобальное значение в Internet. Функции NAT позволяют скрыть значения внутренних адресов сети и/или использовать в качестве внутренних частные адреса, к которым маршрутизация из Internet не поддерживается, что во мнгоих случаях надежно защищает корпоративную сеть от внешних атак.
Продукты VPN-1 позволяют скрыть внутренние адреса сети за счет инкапсуляции оригинальных пакетов от внутренних узлов сети в новый пакет, адрес источника которого соответствует адресу внешнего интерфейса шлюза VPN-1 Gateway. Так как адреса внутренних узлов надежно защищены при передаче через Internet за счет VPN-технологии, которая также гарантирует аутентичность и целостность каждого передаваемого пакета, то такой способ обмена существенно сокращает вероятность атаки на внутренние взлы сети по их IP-адресам.
Meta IP является комплексной системой управления IP-адресами, тесно интегрированной с межсетевыми экранами FireWall-1. Помимо уже описанного сервиса UAM, отображающего имена пользователей на IP-адреса и служащего основой для эффективной работы экранов FireWall-1 на уровне пользователей, система Meta IP выполняет также ряд функций, крайне полезных в крупной корпоративной сети.
Meta IP позволяет создать отказоустойчивую систему управления IP-адресами и DNS-именами, продолжающую эффективно работать при отказах отдельных DHCP и DNS серверов, поддерживающую динамическое обновление записей в зонах DNS при распределении IP-адресов с помощью службы DHCP и управляемую централизованно.
Система Meta IP включает:
Реализацию DNS-сервера в среде Windows NT, основанную на последней версии BIND 8.1.2 и дополненную инетрфейсом со службой WINS Microsoft. Эта реализация поддерживает наиболее полную на настоящее время версию стандарта Dynamic DNS для среды Windows NT. Коммерческую реализацию версии DHCP-сервера организации Internet Software Consortium для среды Windows NT, дополненную сервисом регистрационных сообщений для службы Dynamic DNS, а также возможностью автоматического восстановления работоспособности при отказе DHCP-сервера. В Meta IP преодолены недостатки стандарта DHCP, не предусматривающего никаких мер при отказах DHCP-серверов. Вместо традиционного и неэффективного решения этой проблемы за счет расщепления пула отдаваемых в аренду IP-адресов, в системе Meta IP серверы DHCP делятся на первичные и резервные. Резервный DHCP-сервер постоянно отслеживает процесс раздачи IP-адресов первичным DHCP-сервером, а в случае отказа первичного сервера берет на себя его функции, не нарушая логики работы службы DHCP. Сервис UAM, тесно интегрированный с FireWall-1, и агентов UAT, работающих в службах аутентификации операционных систем. Централизованную систему управления, обеспечивающую защищенное конфигурирование и управление любым из сервисов DNS, DHCP или UAM в корпоративной сети. Система управления использует в каждой территориально обособленной части корпоративной сети отдельной сервис управления (Manager Service), который собирает в LDAP-совместимой базе всю необходимую информацию об управляемых в данной части сети серверах DNS, DHCP и UAM, а также о администраторах системы Meta IP и их правах доступа к управляемым серверам. Сервис управления обеспечивает репликацию данных между всеми LDAP-базами корпоративной сети, так что управление ведется на основе общей согласованной информации, а отказ отдельного LDAP-сервера не ведет к потере данных. Meta IP включает реализацию LDAP-совместимой базы, но может работать и с любой стандартной службой каталогов, поддерживающей протокол LDAP - например, Microsoft Active Directory, Novell NDS, Netscape Directory Server.
Все коммуникации между сервисом управления и управляемыми службами выполняются с помощью защищенных каналов. Администраторы управляют системой Meta IP с помощью графической консоли, которая имеет две реализации - для среды Win32 и виде Java-апплета, способного работать в любой системе с помощью поддерживающего Java браузера. С помощью Meta IP можно управлять также стандартными DNS-серверами.
Отказоустойчивость, интеграция служб DNS и DHCP в среде Windows NT, а также централизованное и согласованное управление многочисленными серверами DNS и DHCP, работающими на любой платформе, делают систему Meta IP необходимым компонентом сетевой инфраструктуры корпоративного уровня.
Защита данных при передаче через публичные сети
Средства контроля доступа защищают внутренние ресурсы сети от преднамеренного и непреднамеренного разрушения или использования. Широкое использование Internet и других публичных сетей для организация различных связей предприятия делает необходимым защищать информацию также и при ее передаче. Эта задача решается средствами создания виртуальных частных сетей (VPN) в публичных сетях с коммутацией пакетов. Средства VPN организуют в публичных сетях защищенные каналы, по которым передаются корпоративные данные. Технология VPN предусматривает комплексную защиту передаваемых данных: при создании VPN-канала проверяется аутентичность двух сторон, создающих канал, а затем каждый пакет переносит цифровую подпись отправителя, удостоверяющую аутентичность и целостность пакета. Для защиты от несанкционированного доступа пакеты могут шифроваться, причем для скрытия адресной информации, раскрывающей внутреннюю структуру сети, пакеты могут шифроваться вместе с заголовком и инкапсулироваться во внешний пакет, несущий только адрес внешнего интерфейса VPN-шлюза.
Предыдущие поколения VPN-шлюзов (защищающих данные всех узлов сети) и VPN-клиентов (защищающих данные отдельного компьютера) во многом использовали фирменные алгоритмы и протоколы защиты данных (для аутентификации сторон, реализации цифровой подписи и шифрования). Сегодня ситуация изменилась - основой для организации защищенных VPN-каналов стал комплекс стандартов Internet, известный под названием IPSec. Стандартам IPSec свойственна гибкость: в них оговорены обязательные для аутентификации и шифрования протоколы и алгоритмы, что обеспечивает базовую совместимость IPSec-продуктов, и в то же время разработчику продукта не запрещается дополнять этот список другими протоколами и алгоритмами, что делает возможным постоянное развитие системы безопасности. Для аутентификации сторон и генерации сессионных ключей в IPSec предусмотрена возможность использования цифровых сертификатов и инфраструктуры PKI, что делает решение IPSec масштабируемым и согласованным с другими средствами защиты, например, контроля доступа. Протоколы IPSec прошли успешную широкомасштабную проверку в экстрасети ANX автомобильных концернов Америки, и поддержка IPSec сегодня стала обязательным условием для перспективных VPN-продуктов.
Средства VPN предприятия должны эффективно поддерживать защищенные каналы различного типа:
Спектр VPN-продуктов, выпускаемых компанией CheckPoint, позволяет на основе открытых стандартов защитить передаваемые данные для всех типов коммуникаций, использующих публичные сети, а также для наиболее ответственных соединений внутри корпоративной сети:
Для защиты соединений "сеть-сеть" как в рамках intranet (то есть соединений между сетями предприятия), так и в рамках extranet (соединений сетей предприятия с сетями партнеров по бизнесу) могут использоваться продукты VPN-1 Gateway или VPN-1 Appliance.
VPN-1 Gateway представляет собой программное решение, объединяющее функции межсетевого экрана FireWall-1 с VPN-функциями на основе платформ Windows NT или Unix. Линия продуктов VPN-1 Appliance представляет собой несколько моделей специализированных аппаратно-программных устройств, разработанных компанией CheckPoint совместно с компанией Nokia.
Как VPN-1 Gateway, так и устройства VPN-1 Appliance, поддерживают стандарты IPSec, IKE, цифровые сертификаты X.509 и инфраструктуру публичных ключей PKI. Реализация протоколов IPSec в VPN-продуктах компании CheckPoint прошла сертификацию ICSA, что гарантирует возможность установления защищенных extranet-каналов с предприятиями-партнерами, пользующимися стандартными IPSec-продуктами. Помимо IPSec, данные продукты поддерживают защиту передаваемых данных на основе распространенного в Internet протокола SKIP, а также с помощью фирменного протокола FWZ. Для аутентификации пользователей могут применяться все схемы, описанные выше в разделе 3.
Устройства линии VPN-1 Appliance объединяют функциональные возможности VPN-1 Gateway с развитыми методами IP-маршрутизации от компании Nokia. Устройства VPN-1 Appliance предназначены для организации защищенных каналов в крупных и средних организациях, в которых особенно необходимы высокая производительность и надежность, обеспечиваемые специально спроектированной аппаратной платформой. Устройство VPN-1 Appliance очень удобно использовать в удаленных офисах предприятия, в которых часто отсутствует квалифицированный персонал. Разработанное компанией Nokia и основанное на Web приложение Network Voyager позволяет конфигурировать и управлять шлюзом VPN-1 Appliance с помощью стандартного Web-браузера из любой точки сети. Первое место и награда "Blue Ribbon", присужденные VPN-1 Appliance журналом Network World в апреле 1999 года по результатом тестирования шлюзов VPN от шести ведущих производителей, свидетельствуют о больших перспективах этой новой линии продуктов CheckPoint.
Удаленные и мобильные сотрудники предприятия могут поддерживать защищенные связи с сетями своего предприятия с помощью клиентского программного обеспечения VPN-1 SecuRemote и VPN-1 SecureClient. VPN-1 SecuRemote поддерживает станадрты IPSec, IKE и цифровые сертификаты, что позволяет устанавливать VPN-соединения не только с шлюзами своего предприятия, но и с шлюзами предприятий-партнеров в рамках extranet. Продукт VPN-1 SecureClient добавляет к VPN-возможностям SecuRemote функции контроля доступа на основе той же технологии Stateful Inspection которая применяется в продуктах FireWall-1/VPN-1. Использование VPN-1 SecureClient усиливает защиту предприятия за счет того, что установление VPN-соединения разрешается удаленному компьютеру только в том случае, когда его конфигурация безопасности соответствует установленной администратором предприятия.
С помощью продукта VPN-1 SecureServer можно обеспечить полную функциональность защиты FireWall-1/VPN-1 для отдельного ответственного сервера предприятия, что может быть полезно в незащищенных удаленных офисах, а также для обеспечения дополнительных мер безопасности для определенного сервера внутренней подсети предприятия.
Все продукты VPN компании CheckPoint работают с различными системами и средствами поддержки инфраструктуры публичных ключей от ведущих производителей, что позволяет предприятию без проблем организовывать защиту данных при установлении соединений с предприятиями-партнерами.
с удаленными и мобильными сотрудниками (защищенный удаленный доступ) с сетями филиалов предприятий (защита intranet) с сетями предприятий-партнеров (защита extranet)
Для защиты удаленного доступа важно наличие клиентских частей VPN для основных клиентских операционных систем, которые сегодня пока не поддерживают протоколы IPSec в стандартной поставке. От шлюза VPN в этом варианте требуется хорошая масштабируемость для поддержания сотен, а возможно и тысяч защищенных соединений.
При защите extranet основным требованием является соответствие реализации VPN-продуктов стандартам IPSec, что с большой степенью уверенности подтверждается наличием у продукта сертификата ICSA.
Предприятие может снять с себя часть забот по защите данных, воспользовавшись услугами провайдера по организации VPN. Провайдер настраивает параметры защищенных каналов для своих клиентов в соответствии с их требованиями, а при необходимости дополняет услуги VPN услугами межсетевого экрана, также настраиваемого по заданию пользователя.
В том случае, когда VPN-шлюз поддерживает удаленное защищенное управление, провайдер может взять на себя услуги по конфигурированию и эксплуатации шлюза, установленного на территории пользователя.
Защита DNS
, #02/2000
Дайана Давидович и Пол Викси
Протокол защиты DNS позволит проверить, что запрошенные адреса Internet поступили от законного источника и что ответ на запрос содержат аутентичные данные.
В старые времена - около полутора десятка лет назад - ученые-исследователи, университетские профессора и чиновники Министерства обороны открыто использовали Internet для обмена информацией. Такая система работала, потому что она состояла из небольшого сетевого сообщества, члены которого доверяли друг другу.
Как быстро все меняется. Сегодня сообщество пользователей Internet достигло немыслимых размеров, и далеко не каждый его член заслуживает доверия. Наличие проказливых или злонамеренных пользователей породило потребность в защите. Однако при разработке DNS, одной из ключевых инфраструктур Internet, защита была отнюдь не главной целью. Как результат, DNS представляет собой незащищенный протокол.
DNS - это иерархическая база данных, содержащая записи с описанием имен, IP-адресов и другой информации о хостах. База данных находится на серверах DNS, связанных с Internet и частными сетями Intranet. Проще говоря, DNS предоставляет сетевым приложениям услуги каталога по преобразованию имен в адреса, когда им требуется определить местонахождение конкретных серверов. Например, имя DNS используется каждый раз при отправке сообщения электронной почты или доступе к странице Web.
Проблема в том, что нет никакого способа проверить, что ответ DNS поступил от аутентичного источника и содержит аутентичные данные. Немного потрудившись, даже ребенок сможет инфицировать сервер DNS неверными данными, которые клиенты Web будут не в состоянии отличить от верных данных. Этот факт вызывает особое беспокойство в связи с тем, что DNS часто используется в качестве системы неявной идентификации.
Например, когда пользователь обращается из браузера к (узел Web сан-францисской газеты), он, естественно, ожидает, что полученная страница Web принадлежит этой газете. Однако протокол DNS не содержит никаких механизмов для потверждения факта аутентичности страницы Web.
Хотя пользователь может увидеть страницу San Francisco Examiner вместо, как он надеялся, местной Examiner своего родного города, это не самое неприятное, что может случиться: пользователь может получить страницу Web, не принадлежащую вообще никакой газете, а неким злонамеренным третьим лицам, намеренно испортившим DNS, чтобы перенаправить ничего не подозревающих читателей на свой сервер Web, где публикуется сатира на реальную газету или где содержится заведомо искаженная информация.
В каждой отрасли есть свой злой гений - просто представьте себе, что ваш заклятый конкурент мог бы сделать с вашей репутацией, если бы он получил контроль над базой подписчиков вашего сервера Web всего на один день. Неточные или намеренно недостоверные данные могут привести к тому, что пользователи столкнутся с отказом в обслуживании или будут перенаправлены на серверы сомнительного содержания. Для решения этой проблемы IETF работает над расширениями защиты для протокола DNS - так называемой Domain Name System Security (DNSSEC).
Защита клиента
После того как правила доступа клиента установлены, следует позаботиться о защите пересылаемых ему данных. Мы в основном рассматривали продукты, использующие в качестве IP-протоколов шифрования IP Security (IPSec) и Internet Key Exchange (IKE), так как они являются наиболее распространенными. IPSec определяет методы шифрования и аутентификации IP-пакетов данных. IKE описывает, как происходит настройка туннелей для передачи данных, а также как создается информация о ключах и происходит ее обмен через Internet.
В продуктах компаний RedCreek и Check Point поддерживается шифрование как по протоколам IPSec/ IKE, так и по своим фирменным.
Клиентская часть продукта VPNWare компании VPNet поддерживает систему шифрования только в соответствии с протоколом Simple Key Management Internet Protocol (SKIP). Однако это не очень нас беспокоило, поскольку SKIP - очень понятный стандарт. А вот в продукте VTCP/Secure компании InfoExpress имеется только система шифрования собственной разработки. Правда, на некоторых платформах поддерживается бета-версия кода IPSec, но не на тех, которые мы использовали для тестирования.
Некоторое беспокойство вызывают также продукты компаний Indus River и Intel. Первый не поддерживает IKE для обмена ключами, второй требует собственных протоколов для создания новых VPN-клиентов, если вы используете для этого входящие в LAN Rover средства. Но эти недостатки не смертельны.
Позиция стандарта Layer 2 Tunneling Protocol (L2TP) на рынке еще не очень крепка и, вероятно, не улучшится вплоть до повсеместного распространения ОС Windows 2000, куда встроен VPN-клиент туннелирования по протоколу L2TP. Поэтому в продуктах, с которыми мы имели дело, поддержка L2TP была представлена весьма слабо. Практически, туннелирование по этому протоколу обеспечивает лишь VPN Concentrator Series фирмы Altiga.
Протокол L2TP базируется на совершенно другой стратегии создания туннеля передачи данных (между прочим, не зашифрованных) от корпоративной сети до конечного пользователя. Его преимущество состоит в том, что пользователь может создать туннель до сервера не на базе IP-протокола (а, например, на основе IPX). Но если конечный пользователь аутентифицируется L2TP-механизмом (отличным от IPSec и дополняющим его), то он может получить IP-адрес, назначаемый с центральной консоли корпоративной сети стандартным образом.
В продукты RiverWorks и VPN Concentrator Series компании Indus Rivers включена поддержка протокола Point-to-Point Tunneling Protocol (PPTP), обычно используемого в ОС Windows 3.1 и Macintosh, для которых клиентская часть протокола IPSec пока отсутствует.
Помимо стандартов шифрования и туннелирования сетевому администратору необходимо обратить внимание на наличие в некоторых из протестированных продуктов брандмауэров, встроенных в клиентское ПО. Действительно, если клиентский ПК - окно в вашу сеть, почему бы не защитить его от риска вторжения? В таких продуктах, как F-Secure VPN, VTCP/Secure и VPN-1 Gateway, некоторые функции брандмауэров имеются и в серверной, и в клиентской части ПО. Компания Check Point в пакете Secure Client предлагает полнофункциональный брандмауэр, правда, с довольно ограниченным набором сценариев защиты.
По сути этот брандмауэр - один из видов брандмауэра с фильтрацией пакетов, работающий со статусными данными обо всех соединениях, что позволяет сопоставлять информацию, передаваемую в обоих направлениях. Без полного анализа трафика возможности брандмауэра с фильтрацией пакетов ограничены. При наличии этой функции защита гораздо более эффективна, так как пропускаются лишь те пакеты, которые относятся к санкционированному соединению. В продуктах VTCP/Secure и F-Secure VPN клиентское ПО выполняет только фильтрацию пакетов, что обеспечивает более низкий уровень защиты.
Брандмауэры с туннелированием, имеющиеся почти во всех протестированных продуктах, дополняют средствами защиты сервер туннелирования. Однако в Permit Enterprise, RiverWorks, VPNWare и Ravlin 7100 такие функции представлены весьма слабо. Если вы с помощью одного из этих продуктов собираетесь организовать для своей корпорации VPN-сети с серьезными ограничениями (например, всем пользователям запрещен доступ во все сети, которые находятся в ведении определенного департамента), то вам придется дополнительно установить еще один брандмауэр.
Функции брандмауэра на ПК-клиенте могут быть избыточными, так как VPN-клиенты обычно подключаются через Internet. Вполне достаточно функции отключения Internet-трафика на время соединения с VPN-сетью. Именно такой подход реализован в VPN Concentrator Series компании Altiga. Когда клиент соединен с VPN-сервером Altiga, путь для любого другого Internet-трафика закрыт: каждый пакет клиента, прежде чем попасть в Сеть, направляется на сервер туннелирования. В Permit Enterprise, RiverWorks, Ravlin 7100 и cIPro System конечному пользователю предоставляется возможность решить, блокировать ли Internet-трафик в случае активности виртуальной частной сети. А в продуктах VPN Gateway Plus (Intel) и VPN-1 Gateway (Check Point) это отдано на усмотрение сетевого администратора.
Защита локальной сети при подключении к Internet
Информация предоставлена
Система Gauntlet является Межсетевым Экраном (далее по тексту МЭ),
разработанным фирмой TIS. Это продукт предоставляет возможность безопасного доступа и сетевых операций между закрытой, защищенной сетью и публичной сетью типа Internet.
Gauntlet представляет собой наиболее эффективный с точки
зрения защиты вариант МЭ - фильтр на уровне приложений, при этом
обеспечивает максимальную прозрачность при использовании, возможность
создания VPN и простое управление всем этим. Этот МЭ позволяет
пользоваться только теми протоколами, которые описал оператор и
только в случае их безопасного использования. Безопасность
обеспечивается при работе через МЭ в обоих направлениях в соответствии
с политикой безопасности, определенной для данной организации.
Продукт доступен в предустановленном виде на Pentium машинах,
а также как отдельный пакет для BSD/OS,SunOS4*,HP-UX,IRIX и других
UNIX-систем. Открытый продукт фирмы - FWTK - на сегодняшний день
является стандартом де-факто для построения МЭ на уровне приложений.
Система Gauntlet получила сертификат Национального Агентства
Компьютерной Безопасности США и была проверена Агентством Национальной
безопасности США.
Данный продукт предоставляет возможность безопасного и строго
аутентифицированного доступа по следующим протоколам:
telnet, rlogin
ftp
smtp, pop3
http, shttp, ssl
gopher
X11
printer
rsh
Sybase SQL
RealAudio
Кроме того, МЭ имеет средство для поддержания "сырого" TCP соединения,
которое можно использовать для протоколов, не нуждающихся в авторизации
пользователя, например NNTP. В наличии имеется также возможность организовывать
"сырые" соединения для пользователей с подтверждениями полномочий.
По набору поддерживаемых протоколов этот МЭ уверенно лидирует на рынке.
В дополнение к фильтрации на уровне приложений, МЭ требует внесения
определенных изменений в базовую операционную систему. Эти изменения включают:
для использования в варианте виртуальных сетей добавлен пакетный фильтр
режим роутера выключен полностью. Информация между сетями передается
только посредством транслирующих серверных программ (proxy)
систему определения атак с подменой адресов
поддержка VPN
поддержка прозрачного режима для proxy
выключена обработка пакетов со специальными признаками
добавлена возможность заносить в журнал все попытки соединения с МЭ
по несконфигурированным видам сервиса
Дополнительные возможности системы включают в себя особые фильтры, позволяющие
организовать на самом МЭ определенные информационные сервисы, такие как
электронная почта
DNS
ftp
WWW
Этот МЭ - единственный из существующих, позволяющий защитить
пользователей сети от заражения их программ просмотра WWW программами на языке JAVA, написанные неизвестными авторами без контроля и представляющими из себя потенциальные
сетевые вирусы, причем независимо от платформы.
Gauntlet разработан по принципу "белого ящика", что на практике означает
его распространение вместе с исходными текстами. Кроме того, наиболее
простые и эффективные приемы написания программ значительно упрощают
анализ исходных текстов.
При изначальной разработке МЭ особое внимание уделялось следующим
принципам:
Минимализм. Простое лучше сложного. Разработка велась четко по принципу
"сверху вниз". В результате был получен минимальный по объему а наиболее
эффективный по производительности программный интерфейс, легко позволяющий
реализовать proxy для протокола, не входящего в базовый комплект.
Облегчает последующие тестирование. крайне важно - такой подход сильно уменьшает
вероятность скрытых ошибок.
Запрещено все, что не разрешено. Принцип, защищающий МЭ от ошибок
администратора. Неправильная директива интерпретируется как глобальное
запрещение данного сервиса. Кроме того, таким образом введено умолчание
- запрещено. Введение любого нового сервиса обязательно влечет за собой
его увязывание с политикой безопасности.
На МЭ не должно быть пользователей. Единственный пользователь,
имеющий возможность только локальной работы - администратор.
Записывать в журнал все, что возможно. Избыточность статистической
информации о работе МЭ крайне полезна, не только с точки зрения безопасности, а и
с точки зрения оценки производительности и т.д.
Работа МЭ легко контролируется. Наличие единой базы пользователей и
эффективного интерфейса для работы с ней легко позволяют осуществлять
контроль пользователей, их блокировку, изменение атрибутов и т. д.
Простая и логичная конфигурация. Основной конфигурационный файл МЭ
имеет текстовый формат, его логическая структура довольно очевидна
и не составляет препятствия для системного администратора.
Защита серверов DNS без помощи DNSSEC
Воспользуетесь ли вы неполной реализацией DNS Security (DNSSEC) в BIND 8.2 или будете ждать полной стандартизации расширений защиты, в любом случае вы можете принять некоторые меры предосторожности для защиты информации DNS до появления полной реализации DNSSEC. Сервер, где выполняется программное обеспечение DNS, должен быть хорошо защищен. Все ПО, включая программное обеспечение DNS, должно быть представлено в последних редакциях, и к ним должны быть применены все выпущенные заплаты. При оценке возможности размещения DNS на сервере вы должны помнить, что всякое выполняющееся на сервере сетевое приложение увеличивает риск взлома. Для сокращения степени риска на сервере должны выполняться только самые необходимые для его работы приложения. Затем вы можете ограничить доступ к этим сервисам и предусмотреть жесткую идентификацию для тех приложений, для которых она необходима.
С появлением автоматизированного инструментария сканирования при выходе в Internet серверы DNS подвергаются постоянному зондированию и попыткам вторжения. Здесь практически ничего нельзя поделать, так как серверы DNS должны отвечать на запросы.
Однако их открытость можно ограничить за счет применения модели расщепленной DNS. При такой модели один сервер DNS с минимальной информацией помещается с внешней стороны сети, в то время как второй сервер - с внутренней стороны. Доступ к этому серверу возможен только из внутренней сети, и он содержит всю информацию DNS по внутренней сети.
Помните, что внутренние серверы могут подвергнуться атакам и изнутри сети, поэтому они должны быть защищены так же тщательно, как внешние серверы DNS. На случай, если злоумышленник получит доступ к серверу, администратор DNS может воспользоваться резюме сообщения (например, контрольной суммой MD5) для обнаружения факта незаконного изменения данных.
Защита вашего IP-пространства
Возможность FireWall-1 производить трансляцию адресов позволяет полностью изолировать внутреннее адресное пространство от Интернет и предотвратить распространение информации об адресах как общедоступной. Дополнительно, эта возможность позволяет решить проблемы нехватки адресного пространства путем сокращения необходимого зарегистрированного адресного пула и использования внутренних адресов из специально отведенных адресных пространств для частных сетей.
FireWall-1 поддерживает целостность внутреннего адресного пространства, транслирует его на официально зарегистрированные адресаорганизации в Интернет для обеспечения полноценного доступа к Интернет.
В FireWall-1 имеются два основных способа отображения таких адресов - статический и динамический.
Защита WWW-сценариев от несанкционированного копирования и модификации
Александр Аграновский
директор-гл.конструктор ГП КБ Спецвузавтоматика, Ростов-на-Дону
, +7(8632)932894
Роман Хади
зав. лаб. информационной безопасности ГП КБ Спецвузавтоматика, Ростов-на-Дону
, +7(8632)932894
В статье рассматривается один из основных подходов к генерации динамического контента в среде веб-приложений, а именно использование веб-сценариев и CGI, и применительно к ним, методы защиты исходных текстов от несанкционированного копирования и модификации. В качестве основного языка веб-сценариев взят наиболее популярный - язык Perl. Исследованы инструментальные средства сторонних разработчиков (Perl2Exe утилита), встроенные средства кроссплатформенных интерпретаторов языка Perl и общий метод искажения смысловой нагрузки идентификаторов в исходном тексте (source mangling). Представляются исходные тексты с примерами защиты исходных текстов. Для каждого из представленных методов проводится анализ защищенности и методов получения доступа непосредственно к исходным текстам и их модификации.
Время реакции на весьма динамично развивающуюся среду веб-технологий определяет эффективность работы любого Internet-сайта. Современные технологии создания веб-контента в режиме реального времени дали профессиональному веб-мастеру мощнейшие инструменты для управлениями потоками информации в Internet. В условиях постоянного роста производительности, использование языков сценариев или как их еще называют scripting languages или scripts, стало одним из опорных решений фундаментального подхода организации инфраструктуры Internet-сайтов. Мощные, легко осваиваемые специализированные языки программирования, ориентированные на разработчиков веб-сайтов, получили широчайшее распространение. Языки сценариев изначально были ориентированы на быстрое и эффективное решение иных задач, нежели языки программирования системного уровня, поскольку они создавались как логически связующие компоненты к уже готовым программным решениям [1]. Преимущества такого подхода перед традиционным статическим наполнением веб-порталов видны невооруженным взглядом. Это и гибкость построения гипертекстовых переходов, и возможность создания отчетов по записям в базах данных в реальном времени, и генерация комплексных веб-документов из существующих элементарных компонентов [2].
Точно также, как и несколько лет назад в малых интегрированных сетях, в программировании контента публичных серверов существует два подхода. А именно, создание интерпретируемых сценариев и компиляция байт-кода. Первый подход не выходит за рамки CGI-программирования, согласно которого для разработки гипертекстовой страницы нужен только обычный текстовый редактор, а сам гипертекстовый документ должен легко читаться человеком. Второй подход повышает эффективность исполнения программы, а также защищенность кода от доступа и несанкционированных изменений [2]. Реализации интерпретаторов таких языков сценариев, как Perl и Phyton, в целях повышения эффективности перед исполнением сценария проводят предварительную перекомпиляцию в специальный мобильный байт-код. Для языка Perl, у него даже есть собственное название - пи-код (p-code), данное Ларри Уоллом (Larry Wall), создателем Perl. Такой код, будучи сформирован в результате трансляции исходного текста сценария, записывается в память или файл и лишь потом обрабатывается интерпретатором. Для языка Python файлы с байт-кодом (они имеют специальное расширение .pyc) в дальнейшем можно спокойно переносить с платформы на платформу и исполнять с равными правами как, к примеру, на Sun, так и на Intel PC/win32 - мобильность это позволяет.
В конце 90-х годов CGI-программирование, а это автоматизация, гостевые книги, форумы, опросы, списки рассылки, интерфейсы к базам данных и многое другое, стало наиболее популярным и эффективным способом организации интерактивного взаимодействия с пользователями. Как и в любой другой области программирования стали возникать свои вопросы и проблемы. Одним из самых интересных и неоднозначных вопросов был и остается вопрос о защите авторских прав [3]. Он актуален хотя бы потому, что все сценарные языки, такие как Perl, Phyton, JavaScript и всевозможные производные с постфиксом *script (т.е. JavaScript, PerlScript и так далее) являются интерпретируемыми, и ни о каких бинарных кодах и скрытом исходном тексте не может идти и речи. В этом случае исследованию алгоритма работы сценария и использованию его без разрешения авторов не создано никаких препятствий. Программисты, создающие средства веб-автоматизации пытаются решить эту проблему всевозможными способами, прибегая порой к изощренным методикам сокрытия исходных текстов и защиты их от модификации. Собственно говоря, защита от модификации хороша также и как защита, что называется "от дурака", что немаловажно при продаже программного обеспечения не в комплексе, а как отдельной единицы, когда приобретающий программное обеспечение пользователь получает полный доступ не только к конфигурационным файлам, но и к пакету самих сценариев. И при отсутствии у него должной квалификации, внесенные в сценарий изменения могут существенно повлиять на отказоустойчивость и работоспособность всего комплекса. Кроме того, как показывает практика обеспечения информационной безопасности в открытых системах, программное обеспечение веб-серверов зачастую столь несовершенно, что при достаточной сноровке злоумышленник вполне способен получить исходный текст сценариев веб-сервера (классическим примером может послужить инцидент с веб-сервером WebTrends, который позволял получить исходный текст сценариев просто добавив пробел к его имен в строке запроса. Так, запрос по адресу "http://somewhere.in.the.internet.com/cgi-bin/script.pl" запускал script.pl на исполнение, а запрос к "http://somewhere.in.the.internet.com/cgi-bin/script.pl%20" выдавал исходный текст сценария любому неавторизованному пользователю).
Для, пожалуй, самого популярного в РуНете, да и во всем мире, языка сценариев Perl, одним из вариантов сокрытия исходных текстов стала возможность компилирования исходных текстов в исполняемый бинарный код (формат PE-exe для win32 платформ, ELF для Linux/BSD). Утилиту для компиляции, названную Perl2Exe, с недавних пор предоставляет компания сторонних разработчиков IndigoStar Software. Девизом разработчиков стала рекламная фраза о том, что теперь программист может распространять perl-сценарий в виде exe-файла, не предоставляя исходных текстов [4].
PERL2EXE.
Утилита для преобразования Perl сценариев в исполнимые файлы, не требующие наличия интерпретатора языка Perl. Perl2Exe может сгенерировать модули для Win32 и многих Unix-подобных операционных систем. Perl2Exe также позволяет создавать неконсольные программы, с использованием Perl/Tk.
IndigoSTAR Software,
Исходя из представленных заявлений, можно было бы предположить, что имеется в виду интеграция непосредственно интерпретатора языка Perl и уже готового пи-кода сценария. То есть, бинарный исполнимый файл ни в коем случае не содержит исходного текста сценария. Однако, на поверку компиляция оказалась даже не компиляцией в пи-код, а именно простым вложением зашифрованного файла с исходным текстом на языке. В процессе исполнения бинарного файла (для платформы win32 это обычный PE-EXE исполнимый файл), исходный текст сценария и требуемые модули языка Perl расшифровываются с помощью инженерного пароля, а затем исполняются. Для этого используется технология "Perl Embedded in C", разработанная Ларри Уоллом, инструментарий для которой распространяется вместе с интерпретаторами языка сценариев Perl бесплатно.
В начале июня этого года среди писем, распространяемых в популярной рассылке BugTraq, посвященной информационной безопасности и, в частности, выявлению фактов уязвимости программного обеспечения можно было встретить письма о безопасности предлагаемого разработчиками IndigoStar Software распространения исходных текстов сценариев в виде бинарных файлов. Несмотря на то, что авторы утилиты Perl2Exe не предоставляют ее исходных текстов, оказалось возможным, исследовав ее программный код, найти инженерный пароль и способ зашифрования исходных текстов. Более того, это оказалось возможно делать в совершенно автоматическом режиме, без участия человека-оператора. Говорить о криптографической стойкости примененного метода бессмысленно, поскольку ключ к шифру находится рядом с самим шифром [5]. Таким образом, чтобы извлечь исходный текст из бинарного файла, достаточно запустить на исполнение специальную утилиту, совершающую обратное преобразование Exe2Perl. Автором одной из таких утилит, с легкостью позволяющей "доставать" исходные тексты, является Четан Ганатра (Chetan Ganatra, ganatras@infotech.icici.com).
Следующим способом сокрытия исходных текстов и их защита от несанкционированной модификации можно указать встроенные средства языка Perl. Это так называемые фильтры исходных текстов или source filters.
Необходимость создания механизма подобных фильтров была продиктована именно соображениями защиты исходных текстов сценариев. Защищенный сценарий может выглядеть следующим образом:
#!/bin/perl use DecipherModule; @*x$]`0uN&k^Zx02jZ^X{.?s!(f;9Q/^A^@~~8H]|,%@^P:q-= …
Фильтры исходных текстов в частном случае позволяют зашифровать и/или заархивировать часть основного тела сценария так, что сначала будет загружен специальный модуль, который будет расшифровывать остальную часть сценария построчно. Преимущества такого подхода возможно не очевидны на первый взгляд. Для этого необходимо чуть более детально разобраться в достаточно универсальном механизме фильтров исходных текстов. На первый взгляд, этот весьма специфичный инструмент несет в себе возможности и разработки нескольких последних лет в смежных областях программирования и защиты программного обеспечения. Многие технологии защиты программного обеспечения от несанкционированного копирования и использования могут быть с легкостью перенесены на "почву" фильтров исходных текстов и использованы для веб-сценариев. И здесь точно также, как и на платформах с win32 существуют те же проблемы и методы обхода защитных барьеров.
Самым уязвимым в смысле защиты от исследования сценария, является модуль расшифрования основного тела исходного текста. Он может быть написан на самом языке Perl, но тогда достаточно будет исследовать его, что является в общем-то тривиальной задачей, поскольку он не может быть зашифрован. Кроме этого, если алгоритм зашифрования достаточно сложен, расшифровка всего исходного текста может занять долгое время, что неизбежно скажется на эффективности функционирования веб-узла, а это нежелательно ни при каких обстоятельствах. Очевидно, что в этом случае применять шифрование может быть не очень удачным решением. Однако, в качестве расшифровывающего модуля можно использовать своего рода плагин, подлючаемую библиотеку, написанную на любом другом языке и откомпилированную как разделяемый модуль (shared library). Используя специальный набор функций Perl API, данный модуль расшифрует исходный текст гораздо быстрее, чем если бы он сам был написан на языке Perl. Кроме того, такой подход позволяет на полную мощность использовать средства усложнения анализа программного кода, включая такие известные приемы как применение самомодифицирующегося кода, шифрование/расшифрование "на лету", во время исполнения процедур модуля. Встроенные средства Perl API позволяют также определить запущен ли скрипт под отладчиком в целях исследования его кода, а также наличие и количество других фильтров исходных текстов.
Подобный механизм был реализован авторами этой статьи с использованием поточного шифра RC4 с длиной ключа 32 байта. Механизм его работы довольно прост и может быть адаптирован в зависимости от предложенной задачи. После зашифрования исходного сценария специальной утилитой с помощью RC4, он выглядит приблизительно так:
Исходный текст сценария в открытом виде:
#!/bin/perl print "Hello, world"; die immediately;
И в зашифрованном виде (после обработки специальной утилитой):
#!/bin/perl use scripher; f;9Q/^A^@~Ро$#9Ёфsdjаs2fk58f_!@.?s!(f;9Q/^A^@~
Модуль scripher. pm загружает заранее откомпилированную разделямую библиотеку scripher.so с помощью стандартного модуля интерпретатора DynaLoader.
Scripher.pm
package scripher; require DynaLoader; @ISA = qw(DynaLoader); $VERSION = "0.0.1"; bootstrap scripher $VERSION; 1;
Семикилобайтный модуль с реализованным алгоритмом RC4 и необходимыми средствами обработки исходного текста размещается в том же каталоге, что и зашифрованный файл сценария. Таким образом, для передачи сценария необходимо передать два дополнительных файла (которые являются общими для всех зашифрованных сценариев этого типа), а именно scripher.pm и scripher.so.
В общем случае, у данного метода остается тот же недостаток, что и у Perl2Exe или схожей с ней утилит, а именно наличие инженерного пароля. Впрочем, эту проблему в данном случае можно разрешить довольно просто. Ключ к шифру можно передавать по сети в HTTP-запросе. Чтобы избежать перехвата пароля-ключа, его можно разделить на две части, и зашифровав одну часть другой, одну хранить в расшифровывающем модуле, а другую передавать по сети. В качестве же инженерного пароля использовать обе половинки, подвергнутые некоторому одностороннему преобразованию. Таким образом, процесс расшифрования исходного текста для стороннего исследователя становится весьма затруднительным.
В качестве дополнительного препятствия к анализу исходного текста сценария можно отметить метод смысловых значений идентификаторов или source mangling. Будучи пропущенным через своего рода конвертер, сценарий приобретает практически нечитаемый и невероятно неудобный для анализа вид.
При использовании source mangling текст такого сценария:
#!/usr/bin/perl # randomize source file # lines are output in random order # reads from from stdin or arg0, writes to stdout or arg1 open (STDIN, $ARGV[0]) if (($ARGV[0] ne "") && ($ARGV[0] ne "-")); open (STDOUT, ">$ARGV[1]") if ($ARGV[1] ne ""); @list = <STDIN>; while (@list) { $rand = rand (@list); print $list[$rand]; # for indexing rand is truncated plice @list, $rand, 1; # delete array element }
превратится в нечто подобное:
#!/usr/bin/perl open (STDIN,$ARGV[0])if (($ARGV[0] ne "")&&($ARGV[0] ne "-"));open (STDOUT,">$ARGV[1]")if ($ARGV[1] ne "");@110202012_as=<STDIN>; while(@110202012_as){$qewre7_434=rand(@l110202012_as);print $110202012_as[$qewre7_434];splice@110202012_as,$qewre7_434,1;}
Ранее искажение исходных текстов было весьма популярно - достаточно вспомнить распространяемые исходные тексты на языке Паскаль к пакетам Turbo Power для Borland Pascal 7.0. Искаженные подобным образом, они тем не менее оставались годными к компиляции и линковке. Возможно, что с развитием сценарного программирование, source mangling приобретет вторую молодость.
Из всего вышесказанного можно сделать очевидный вывод, что каждый раз развитие новой технологии поднимает множество вопросов, касающихся области интеллектуальной собственности, и каждый раз вслед за обострением борьбы за авторские права возникают всевозможные способы их защиты, де юро и де факто, и обхода защитных барьеров. К сожалению, динамика последних лет показывает невозможность уберечься от компьютерного пирата.
Литература:
[1] Остераут Д., "Сценарии: высокоуровневое программирование для XXI века", ОТКРЫТЫЕ СИСТЕМЫ #03/98.
[2] Храмцов П., "Управление сценариями просмотра Web-страниц", COMPUTERWORLD РОССИЯ #46/96.
[3] Крюков М., Прозоровский В., "Гражданско-правовой статус производителей программ", ОТКРЫТЫЕ СИСТЕМЫ #02/99.
[4] IndigoStar Software, "Perl2Exe FAQ Page".
[5] Аграновский А.В., Хади Р.А., Ерусалимский Я.М., "Криптография и открытые системы", Телекоммуникации, N1/2000.
Затопление ICMP-пакетами
Традиционный англоязычный термин -- "ping flood". Появился он потому, что программа "ping", предназначенная для оценки качества линии, имеет ключ для "агрессивного" тестирования. В этом режиме запросы посылаются с максимально возможной скоростью и программа позволяет оценить, как работает сеть при максимальной нагрузке.
Данная атака требует от крэкера доступа к быстрым каналам в Интернет.
Вспомним, как работает ping. Программа посылает ICMP-пакет типа ECHO REQUEST, выставляя в нем время и его идентификатор. Ядро машины-получателя отвечает на подобный запрос пакетом ICMP ECHO REPLY. Получив его ping выдает скорость прохождения пакета.
При стандартном режиме работы пакеты выслаются через некоторые промежутки времени, практически не нагружая сеть. Но в "агрессивном" режиме поток ICMP echo request/reply-пакетов может вызвать перегрузку небольшой линии, лишив ее способности передавать полезную информацию.
Естественно, случай с ping является частным случаем более общей ситуации, связанный с перегрузкой каналов. Например, крэкер может посылать множество UDP-пакетов на 19-й порт машины-жертвы, и горе ей, если она, следуя общепринятым правилам, имеет на 19-м UDP-порту знакогенератор, отвечающий на пакеты строчками по 80 байт.
Заметим, что крэкер может также подделывать обратный адрес подобных пакетов, затрудняя его обнаружение. Отследить его поможет разве что скоординированная работа специалистов на промежуточных маршрутизаторах, что практически нереально.
Одной из вариантов атаки - посылать ICMP echo request-пакеты с исходным адресом, указывающем на жертву, на broadcast-адреса крупных сетей. В результате каждая из машин ответит на этот фальшивый запрос, и машина-отправитель получит больше количество ответов. Посылка множество broadcast-echo requests от имени "жертвы" на broadcast-адреса крупных сетей, можно вызвать резкой заполненение канала "жертвы".
Приметы затопления - резко возросшая нагрузка на сеть (или канал) и повышение количество специфических пакетов (таких, как ICMP).
В качестве защиты можно порекомендовать настройку маршрутизаторов, при которых они будут фильтровать тот же ICMP трафик, превышающие некоторую заданную заранее величину (пакетов/ед. времени). Для того, чтобы убедиться, что Ваши машины не могут служить источником ping flood'а, ограничьте доступ к ping.
Затопление SYN-пакетами
Пожалуй, затопление SYN-пакетами ("SYN flooding") - самый известный способ напакостить ближнему, с того времени, как хакерский электронный журнал опубликовал исходные тексты программы, позволяющие занятьсе этим даже неквалифицированным пользователям. Следует заметить, что впервые эта атака была упомянута еще в 1986 году все тем же Робертом Т. Моррисом.
Вспомним, как работает TCP/IP в случае входящих соединений. Система отвечает на пришедший C-SYN-пакет S-SYN/C-ACK-пакетом, переводит сессию в состояние SYN_RECEIVED и заносит ее в очередь. Если в течении заданного времени от клиента не придет S-ACK, соединение удаляется из очереди, в противном случае соединение переводится в состояние ESTABLISHED.
Рассмотрим случай, когда очередь входных соединений уже заполнена, а система получает SYN-пакет, приглашающий к установке соединения. По RFC он будет молча проигнорирован.
Затопление SYN-пакетами основано на переполнении очереди сервера, после чего сервер перестает отвечать на запросы пользователей. Самая известная атака такого рода - атака на Panix, нью-йоркского провайдера. Panix не работал в течении 2-х недель.
В различных системах работа с очередью реализована по разному. Так, в BSD-системах, каждый порт имеет свою собственную очередь размером в 16 элементов. В системах SunOS, напротив, такого разделения и нет и система просто располагает большой общей очередью. Соответственно, для того, что бы заблокировать, к примеру, WWW-порт на BSD достаточно 16 SYN-пакетов, а для Solaris 2.5 их количество будет гораздо больше.
После истечение некоторого времени (зависит от реализации) система удаляет запросы из очереди. Однако ничего не мешает крэкеру послать новую порцию запросов. Таким образом, даже находясь на соединение 2400 bps, крэкер может посылать каждые полторы минуты по 20-30 пакетов на FreeBSD-сервер, поддерживая его в нерабочем состоянии (естественно, эта ошибка была скорректирована в последних версиях FreeBSD).
Как обычно, крэкер может воспользоваться случайными обратными IP-адресами при формировании пакетов, что затрудняет его обнаружение и фильтрацию его трафика.
Детектирование несложно -- большое количество соединений в состоянии SYN_RECEIVED, игнорирование попыток соединится с данным портом. В качестве защиты можно порекомендовать патчи, которые реализуют автоматическое "прорежение" очереди, например, на основе алгоритма Early Random Drop. Для того, что бы узнать, если к Вашей системе защита от SYN-затопления, обратитесь к поставщику системы.
Другой вариант защиты - настроить firewall так, что бы все входящие TCP/IP-соединения устанавливал он сам, и только после этого перебрасывал их внутрь сети на заданную машину. Это позволит Вам ограничить SYN-затопление и не пропустить его внутрь сети.
