Аменит ли IPsec-архитектура сетевые экраны?
Существует мнение что внедрение новой архитектуры IPsec заменит сетевые экраны но это далеко не так.
По своей сути, IPsec-архитектура представляет собой совокупность протоколов безопасности, стандартизованных IETF. Существует несколько документов, которые полностью определяют понятие “IPsec-архитектура”. IPsec-архитектура решает две проблемы, которые годами мешали нормальному функционированию IP-протокола:
обоюдная аутентификация IP-узлов (которая позволяет IP-узлам установить, что они осуществляют информационный обмен именно с теми IP-узлами, с которыми они желали установить соединение);
шифрование (которое предотвращает атаки нарушителей, которые способны наблюдать трафик между компьютерами).
Очевидно, что ни одна из этих проблем не решается с помощью СЭ. Несмотря на то, что СЭ помогают уменьшить число рисков, представленных в Internet-сети без применения процедур аутентификации и шифрования, в настоящее время существуют два класса проблем:
обеспечение целостности и конфиденциальности информации, циркулирующей между IP-узлами;
ограничения, накладываемые на некоторые виды связности, которая допускается между различными сетевыми сегментами.
Первый класс проблем решается с помощью IPsec-архитектуры, а второй — СЭ. Это означает не только то, что первое не исключает необходимость второго, а формирует определенный интерес относительно возможности совместного применения СЭ и IPsec-узлов.
Проблемы разработки и внедрения СЭ.
Существует несколько основных проблем разработки СЭ, с которыми приходится сталкиваться при проектировании, спецификации, внедрении или во время наблюдения за процедурой инсталляции СЭ.
Первое и наиболее важное решение отражает определяемую компанией или организацией стратегию того, как должна функционировать система. При этом возможны две версии такого решения, а именно:
СЭ должен устанавливаться для того, чтобы в явной форме отказывать в доступе все службам, за исключением тех крайне необходимых служб, которые предназначены для обеспечения соединений в интересах корпоративной сети;
СЭ должен устанавливаться для того, чтобы реализовывать измерительно-контрольный способ обслуживания “очереди запросов” для доступа в корпоративную сеть, исключая возможные угрозы безопасности.
Выбор одной из двух версий является весьма трудным и болезненным процессом, так как окончательное решение относительно функционального предназначения СЭ будет скорее всего политическим, нежели техническим.
Второе: какой уровень мониторинга, избыточности и управляемости необходимо обеспечить в корпоративной сети? Установив приемлемый уровень рисков, на основе решения первой проблемы, затем можно сформировать перечень тех объектов и подсистем, которые должны находиться под контролем, должны быть запрещены и которым должно быть отказано в доступе. Другими словами, необходимо начать с подсчета всех входящих в корпоративную сеть объектов и подсистем, затем провести полный анализ всей системы с оценкой всех возможных рисков, и затем выделить почти всегда конфликтующие между собой требования и удалить их из основного перечня требований, что позволит разработать план развертывания СЭ.
Третья проблема — финансовая. Значимость и острота этой проблемы полностью зависят от какой-либо конкретной системы. Однако, чрезвычайно важно дать количественную оценку тем или иным принимаемым решениям в смысле финансовых затрат, необходимых либо для приобретения, либо для внедрения системы защиты. Создание корпоративной СОИБ является хорошим делом, однако, очень важно иметь в виду, что создавать СОИБ необходимо так, что она не требовала потом к себе постоянного (и главное дорогостоящего) внимания. Другими словами, очень важно оценить не только затраты, связанные с приобретением и установкой СЭ, но и затраты, связанные с его последующей текущей эксплуатацией.
Системы обнаружения атак
Наряду со стандартными средствами защиты, без которых немыслимо нормальное функционирование ИС (таких как МЭ, системы резервного копирования и антивирусные средства), существует необходимость использования СОА (IDS, систем обнаружения атак или вторжений), которые являются основным средством борьбы с сетевыми атаками.
В настоящее время СОА начинают все шире внедряться в практику обеспечения безопасности корпоративных сетей. Однако существует ряд проблем, с которыми неизбежно сталкиваются организации, развертывающие у себя систему выявления атак. Эти проблемы существенно затрудняют, а порой и останавливают процесс внедрения IDS. Вот некоторые из них:
• высокая стоимость коммерческих СОА;
• невысокая эффективность современных СОА, характеризующаяся большим числом ложных срабатываний и несрабатываний (false positives and false negatives);
• требовательность к ресурсам и порой неудовлетворительная производительность СОА уже на 100 Мбит/с сетях;
• недооценка рисков, связанных с осуществлением сетевых атак;
• отсутствие в организации методики анализа и управления рисками, позволяющей адекватно оценивать величину риска и обосновывать стоимость реализации контрмер для руководства;
• высокая квалификация экспертов по выявлению атак, требующаяся для внедрения и развертывания СОА.
Специфичной для Украины также является относительно невысокая зависимость информационной инфраструктуры предприятий от Интернет и финансирование мероприятий по обеспечению информационной безопасности по остаточному принципу, что не способствует приобретению дорогостоящих средств защиты для противодействия сетевым атакам.
Тем не менее, процесс внедрения СОА в практику обеспечения информационной безопасности продолжается. Типовая архитектура системы выявления атак, как правило, включает в себя следующие компоненты:
1. Сенсор (средство сбора информации);
2. Анализатор (средство анализа информации);
3. Средства реагирования;
4. Средства управления.
Конечно, все эти компоненты могут функционировать и на одном компьютере и даже в рамках одного приложения, однако чаще всего они территориально и функционально распределены. Такие компоненты СОА, как анализаторы и средства управления, опасно размещать за МЭ во внешней сети, т. к. если они будут скомпрометированы, то злоумышленник может получить доступ к информации о структуре внутренней защищаемой сети на основе анализа базы правил, используемой СОА.
Типовая архитектура системы выявления атак изображена на рисунке 24.
Сетевые сенсоры осуществляют перехват сетевого трафика, хостовые сенсоры используют в качестве источников информации журналы регистрации событий ОС, СУБД и приложений. Информация о событиях также может быть получена хостовым сенсором непосредственно от ядра ОС, МЭ или приложения. Анализатор, размещаемый на сервере безопасности, осуществляет централизованный сбор и анализ информации, полученной от сенсоров.
Средства реагирования могут размещаться на станциях мониторинга сети, МЭ, серверах и рабочих станциях ЛВС. Типичный набор действий по реагированию на атаки включает в себя оповещение администратора безопасности (средствами электронной почты, вывода сообщения на консоль или отправки на пэйджер), блокирование сетевых сессий и пользовательских регистрационных записей с целью немедленного прекращения атак, а также протоколирование действий атакующей стороны.
Типова архитектура СОА.
Средства управления предназначены для администрирования всех компонентов системы выявления атак, разработки алгоритмов выявления и реагирования на нарушения безопасности (политик безопасности), а также для просмотра информации о нарушениях и генерации отчетов.