Защита информации от несанкционированного доступа в сетях
Среди программно-аппаратных и программных средств защиты информации от НСД в распределенных АСОИ можно выделить межсетевые экраны (МСЭ), средства анализа защищенности и средства обнаружения атак.
Межсетевые экраны (брандмауэры, firewall) реализуют набор правил, которые определяют условия прохождения пакетов данных из одной части распределенной АСОИ (открытой) в другую (защищенную). Обычно межсетевые экраны устанавливаются между сетью Internet и локальной вычислительной сетью организации, хотя они могут размещаться и внутри корпоративной сети. В зависимости от уровня взаимодействия объектов сети основными разновидностями МСЭ являются фильтрующие маршрутизаторы, шлюзы сеансового и прикладного уровней. Как правило, в состав МСЭ включаются компоненты, соответствующие двум или всем трем указанным разновидностям.
Основной функцией фильтрующих маршрутизаторов, работающих на сетевом уровне эталонной модели, является фильтрация пакетов данных, входящих в защищенную часть сети или исходящих из нее.
При фильтрации используется информация из заголовков пакетов: IP-адрес отправителя пакета, IP-адрес получателя пакета, порт отравителя пакета, порт получателя пакета, тип протокола, флаг фрагментации пакета.
Правила фильтрации определяют, разрешается или блокируется прохождение через МСЭ пакета с задаваемыми этими правилами параметрами.
К основным достоинствам фильтрующих маршрутизаторов относятся простота их создания, установки и конфигурирования; прозрачность для приложений пользователей АСОИ и минимальное влияние на их производительность; невысокая стоимость.
Недостатки фильтрующих маршрутизаторов:
· отсутствие аутентификации на уровне пользователей АСОИ;
· уязвимость для подмены IP-адреса в заголовке пакета;
· незащищенность от угроз нарушения конфиденциальности и целостности передаваемой информации;
· сильная зависимость эффективности набора правил фильтрации от уровня знаний администратора МСЭ конкретных протоколов;
· открытость IP-адресов компьютеров защищенной части сети.
Шлюзы сеансового уровня выполняют две основные функции:
· контроль виртуального соединения между рабочей станцией защищенной части сети и хостом ее незащищенной части;
· трансляцию IP-адресов компьютеров защищенной части сети.
Шлюз сеансового уровня устанавливает соединение с внешним хостом от имени авторизованного клиента из защищенной части сети, создает виртуальный канал по протоколу TCP, после чего копирует пакты данных в обоих направлениях без их фильтрации. Когда сеанс связи завершается, МСЭ разрывает установленное соединение с внешним хостом.
В процессе выполняемой шлюзом сеансового уровня процедуры трансляции IP-адресов компьютеров защищенной части сети происходит их преобразование в один IP-адрес, ассоциированный с МСЭ. Это исключает прямое взаимодействие между хостами защищенной и открытой сетей и не позволяет нарушителю осуществлять атаку путем подмены IP-адресов.
К достоинствам шлюзов сеансового уровня относятся также их простота и надежность программной реализации; к недостаткам – отсутствие возможности проверять содержимое передаваемой информации, что позволяет нарушителю пытаться передать пакеты с вредоносным программным кодом через подобный МСЭ и обратиться затем напрямую к одному из серверов (например, Web-серверу) атакуемой АСОИ.
Шлюзы прикладного уровня не только исключают прямое взаимодействие между авторизованным клиентом из защищенной части сети и хостом из ее открытой части, но и фильтруют все входящие и исходящие пакеты данных на прикладном уровне (на основе анализа содержания передаваемых данных).
Основные функции шлюзов прикладного уровня:
· идентификация и аутентификация пользователя АСОИ при попытке установить соединение;
· проверка целостности передаваемых данных;
· разграничение доступа к ресурсам защищенной и открытой частей распределенной АСОИ;
· фильтрация и преобразование передаваемых сообщений (обнаружение вредоносного программного кода, шифрование и расшифрование и т.п.);
· регистрация событий в специальном журнале;
· кэширование запрашиваемых извне данных, размещенных на компьютерах внутренней сети (для повышения производительности АСОИ).
Шлюзы прикладного уровня позволяют обеспечить наиболее высокую степень защиты АСОИ от удаленных атак, поскольку любое взаимодействие с хостами открытой части сети реализуется через программы-посредники, которые полностью контролируют весь входящий и исходящий трафик.
Достоинствами шлюзов прикладного уровня также являются:
· скрытость структуры защищенной части сети для остальных хостов (доменное имя компьютера со шлюзом прикладного уровня может быть единственным известным внешним серверам именем);
· надежная аутентификация и регистрация проходящих сообщений;
· более простые правила фильтрации пакетов на сетевом уровне, в соответствии с которыми маршрутизатор должен пропускать только трафик, предназначенный для шлюза прикладного уровня, и блокировать весь остальной трафик;
· возможность реализации дополнительных проверок, что уменьшает вероятность использования ошибок в стандартном программном обеспечении для реализации угроз безопасности информации в АСОИ.
Основными недостатками шлюзов прикладного уровня являются более высокая стоимость, сложность разработки, установки и конфигурирования, снижение производительности АСОИ, "непрозрачность" для приложений пользователей АСОИ.
Межсетевые экраны являются основой для создания так называемых виртуальных частных сетей (Virtual Private Network, VPN), которые предназначены для скрытия топологии внутренних сетей организаций, обменивающихся информацией по сети Internet, и защиты трафика между ними. При этом используются специальные системы маршрутизации.
Общим недостатком МСЭ любого вида является то, что эти программно-аппаратные средства защиты в принципе не могут предотвратить многих видов атак (например, атаки несанкционированного доступа к информации с использованием ложного сервера службы доменных имен сети Internet, атаки анализа сетевого трафика, атаки отказа в обслуживании). Злоумышленнику реализовать угрозу доступности информации в АСОИ, использующей МСЭ, может оказаться даже проще, так как достаточно атаковать только хост с МСЭ для фактического отключения от внешней сети всех компьютеров защищенной части сети.
Основными функциями средств анализа защищенности АСОИ (сканеров уязвимости, Vulnerability-Assessment) являются:
· проверка используемых в системе средств идентификации и аутентификации, разграничения доступа, аудита и правильности их настроек с точки зрения безопасности информации в АСОИ;
· контроль целостности системного и прикладного программного обеспечения АСОИ;
· проверка наличия известных неустраненных уязвимостей в системных и прикладных программах, используемых в АСОИ, и др.
Средства анализа защищенности работают на основе сценариев проверки, хранящихся в специальных базах данных, и выдают результаты своей работы в виде отчетов, которые могут быть конвертированы в различные форматы.
К недостаткам средств анализа защищенности АСОИ относятся:
· зависимость их от конкретных систем;
· недостаточная надежность (их применение может иногда вызывать сбои в работе анализируемых систем);
· малый срок эффективной эксплуатации (не учитываются новые обнаруженные уязвимости, которые и являются наиболее опасными);
· возможность использования нарушителями в целях подготовки к атаке на АСОИ.
Средства обнаружения атак (Intrusion Detection Systems, IDS) применяются для решения двух основных задач:
· обнаружение признаков атак на основе анализа журналов безопасности операционной системы, журналов МСЭ и других служб;
· инспекция пакетов данных непосредственно в каналах связи.
В обоих случаях средствами обнаружения атак используются базы данных с зафиксированными сетевыми событиями и шаблонами известных атак. Эти средства работают в реальном масштабе времени и реагируют на попытки использования известных уязвимостей АСОИ или несанкционированного исследования защищенной части сети организации, а также ведут журнал регистрации зафиксированных событий для последующего анализа.
К основным недостаткам средств обнаружения атак относятся: неспособность эффективно функционировать в высокоскоростных сетях, возможность пропуска неизвестных атак, необходимость постоянного обновления базы данных с шаблонами атак, сложность определения реакции этих средств на обнаруженные попытки атаки.
Вопросы для повторения
1. Перечислите и кратко охарактеризуйте физические средства ограничения доступа.
2. Укажите, что понимают под несанкционированным доступом к информации.
3. Перечислите основные функции системы разграничения доступа обеспечивающих ее средств.
4. Поясните понятия "идентификация", "аутентификация" и "авторизация".
5. Перечислите и кратко охарактеризуйте способы аутентификации пользователей.
6. Укажите, в чем заключаются недостатки парольной аутентификации, и как она может быть усилена.
7. Укажите в чем сущность, достоинства и недостатки аутентификации на основе процедуры рукопожатия.
8. Перечислите основные виды материальных аутентификаторов, и укажите их достоинства и недостатки.
9. Перечислите и кратко охарактеризуйте биометрические параметры пользователя, которые могут применяться при аутентификации.
10. Охарактеризуйте избирательное и полномочное управление доступом.
11. Укажите, какие применяются разновидности межсетевых экранов.
12. Объясните, что такое VPN и для чего они применяются.
13. Укажите общие недостатки всех межсетевых экранов.
14. Перечислите функции средств анализа защищенности АСОИ.
15. Укажите основные функции средств обнаружения атак и перечислите их недостатки.
Резюме по теме
В теме освещены основные понятия концепции защиты от несанкционированного доступа, проблемы идентификации и аутентификации пользователей АСОИ, проблемы управления и регистрации доступа, средства защиты от несанкционированного доступа в сетях.