Средства защиты от удаленных атак
В настоящий момент среди средств предотвращения удаленных атак наиболее широкое распространение получили такие системы как межсетевые экраны (МЭ) и сетевые мониторы безопасности. Межсетевой экран предназначен для фильтрации сетевого трафика. Сетевой монитор безопасности – это средство, предназначенное для обнаружения сетевых атак. Лидером в производстве МЭ является компания CISCO, сетевых мониторов безопасности – фирма ISS (Internet Security Systems).
Необходимо заметить, что компания CISCO производит МЭ как отдельное устройство. Существуют также и такие МЭ, которые представляют собой программный продукт, устанавливаемый на обыкновенный компьютер с двумя и более сетевыми картами, одна из которых является внешней. Одним из таких продуктов является FireWall-1 – продукт фирмы Checkpoint. Основным достоинством МЭ является возможность централизованно осуществлять сетевую политику безопасности в защищаемом фрагменте сети.
Сетевые мониторы безопасности предназначены для отслеживания сетевого трафика и выдачи предупреждений при подозрении на осуществлении удаленной атаки или предотвращении удаленной атаки. Наиболее известным сетевым монитором является RealSecure (фирма ISS). Для обнаружения атак используются сигнатуры. В базе данных RealSecure есть следующие виды сигнатур удаленных атак:
- отказ в обслуживании;
- попытки несанкционированного доступа;
- подготовка к атакам;
- подозрительная активность;
- подозрительные команды на уровне протоколов.
Программно-аппаратные методы защиты
К программно-аппаратным средствам обеспечения информационной безопасности в вычислительных сетях можно отнести:
- аппаратные шифраторы сетевого трафика;
- МЭ, реализуемый на базе программно-аппаратных средств;
- криптопротоколы;
- программно-аппаратные анализаторы сетевого трафика;
- защищенные сетевые ОС.
Существует огромное количество литературы / /, посвященной этим средствам защиты, предназначенным для использования в Internet.
Кратко рассмотрим особенности данных средств защиты, применяемых в Internet.
Межсетевые экраны
В общем случае МЭ реализует следующие основные три функции:
1. Многоуровневая фильтрация сетевого трафика.
Фильтрация обычно осуществляется на трех уровнях:
- сетевом (IP);
- транспортном (TCP, UDP);
- прикладном (FTP, TELNET, HTTP, SMTP и т. д.).
Фильтрация сетевого трафика является основной функцией систем МЭ и позволяет администратору безопасности сети централизованно осуществлять необходимую сетевую политику безопасности в выделенном сегменте IP-сети, то есть, настроив соответствующим образом МЭ, можно разрешить или запретить пользователям как доступ из внешней сети к соответствующим службам хостов или к хостам, находящихся в защищаемом сегменте, так и доступ пользователей из внутренней сети к соответствующим ресурсам внешней сети. Можно провести аналогию с администратором локальной ОС, который для осуществления политики безопасности в системе назначает необходимым образом соответствующие отношения между субъектами (пользователями) и объектами системы (файлами, например), что позволяет разграничить доступ субъектов системы к ее объектам в соответствии с заданными администратором правами доступа. Те же рассуждения применимы к МЭ-фильтрации: в качестве субъектов взаимодействия будут выступать IP-адреса хостов пользователей, а в качестве объектов, доступ к которым необходимо разграничить, - IP-адреса хостов, используемые транспортные протоколы и службы предоставления удаленного доступа.
2. Proxy-схема с дополнительной идентификацией и аутентификацией пользователей на МЭ-хосте.
Proxy-схема позволяет, во-первых, при доступе к защищенному МЭ сегменту сети осуществить на нем дополнительную идентификацию и аутентификацию удаленного пользователя и, во-вторых, является основой для создания приватных сетей с виртуальными IP-адресами. Смысл proxy-схемы состоит в создании соединения с конечным адресатом через промежуточный proxy-сервер (proxy от англ. полномочный) на хосте МЭ. На этом proxy-сервере и может осуществляться дополнительная идентификация абонента.
3. Создание приватных сетей (Virtual Private Network - VPN) с "виртуальными" IP-адресами.
В том случае, если администратор безопасности сети считает целесообразным скрыть истинную топологию своей внутренней IP-сети, то ему можно порекомендовать использовать системы МЭ для создания приватной сети (VPN-сеть). Хостам в VPN-сети назначаются любые "виртуальные" IP-адреса. Для адресации во внешнюю сеть (через МЭ) необходимо либо использование на хосте МЭ описанных выше proxy-серверов, либо применение специальных систем роутинга (маршрутизации), только через которые и возможна внешняя адресация. Это происходит из-за того, что используемый во внутренней VPN-сети виртуальный IP-адрес не пригоден для внешней адресации (внешняя адресация - это адресация к абонентам, находящимся за пределами VPN-сети). Поэтому proxy-сервер или средство роутинга должно осуществлять связь с абонентами из внешней сети со своего настоящего IP-адреса. Кстати, эта схема удобна в том случае, если вам для создания IP-сети выделили недостаточное количество IP-адресов (в стандарте IPv4 это случается сплошь и рядом, поэтому для создания полноценной IP-сети с использованием proxy-схемы достаточно только одного выделенного IP-адреса для proxy-сервера).
Однако системы МЭ не являются гарантией абсолютной защиты от удаленных атак в сети Internet, так как МЭ лишь запрещают какой-либо вид доступа, но большинство атак имеют другие цели и именно против них МЭ бессильны.
Поэтому применение методики МЭ является необходимым, но недостаточным условием. МЭ – хороший инструмент администрирования и может предотвращать некоторые разновидности сетевых атак (такие как навязывание хосту ложного маршрута с использованием протокола ICMP), но не может полностью обезопасить защищаемую сеть от удаленных атак.
Программные методы защиты
К программным методам защиты в сети Internet можно отнести прежде всего криптопротоколы, с использованием которых появляется возможность защиты соединения.
Другим классом программных методов защиты от удаленных атак являются программы, основная цель которых - анализ сетевого трафика на предмет наличия одного из известных активных удаленных воздействий и противодействие обнаруженным воздействиям.
Одна из основных причин успеха удаленных атак на распределенные ВС кроется в использовании сетевых протоколов обмена, которые не могут надежно идентифицировать удаленные объекты, защитить соединение и передаваемые по нему данные. Поэтому совершенно естественно, что в процессе функционирования Internet были созданы различные защищенные сетевые протоколы, использующие криптографию как с закрытым, так и с открытым ключом. Классическая криптография с симметричными криптоалгоритмами предполагает наличие у передающей и принимающей стороны симметричных (одинаковых) ключей для шифрования и дешифрирования сообщений. Эти ключи предполагается распределить заранее между конечным числом абонентов, что в криптографии называется стандартной проблемой статического распределения ключей. Применение классической криптографии с симметричными ключами возможно лишь на ограниченном множестве объектов. В сети Internet для всех ее пользователей решить проблему статического распределения ключей не представляется возможным. Однако одним из первых защищенных протоколов обмена в Internet был протокол Kerberos, основанный именно на статическом распределении ключей для конечного числа абонентов.
Для того чтобы дать возможность защититься всему множеству пользователей сети Internet, а не ограниченному его подмножеству, необходимо использовать динамически вырабатываемые в процессе создания виртуального соединения ключи при использовании криптографии с открытым ключом. Далее мы рассмотрим основные на сегодняшний день подходы и протоколы, обеспечивающие защиту соединения.
Протокол SKIP
ПротоколSKIP (Secure Key Internet Protocol) – определяет стандарт инкапсуляции IP-пакетов, позволяющий в существующем стандарте IPv4 на сетевом уровне обеспечить защиту соединения и передаваемых по нему данных. Это достигается следующим образом: SKIP-пакет представляет собой обычный IP-пакет, поле данных которого представляет из себя SKIP-заголовок определенного спецификацией формата и криптограмму (зашифрованные данные). Такая структура SKIP-пакета позволяет беспрепятственно направлять его любому хосту в сети Internet (межсетевая адресация происходит по обычному IP-заголовку в SKIP-пакете). Конечный получатель SKIP-пакета по заранее определенному разработчиками алгоритму расшифровывает криптограмму и формирует обычный TCP- или UDP-пакет, который и передает соответствующему обычному модулю (TCP или UDP) ядра операционной системы. В принципе, ничто не мешает разработчику формировать по данной схеме свой оригинальный заголовок, отличный от SKIP-заголовка.
Протокол S-HTTP
ПротоколS-HTTP (Secure HTTP) – это разработанный компанией Enterprise Integration Technologies (EIT) специально для Web защищенный HTTP-протокол. Протокол S-HTTP позволяет обеспечить надежную криптозащиту только HTTP-документов Web-севера и функционирует на прикладном уровне модели OSI. Эта особенность протокола S-HTTP делает его абсолютно специализированным средством защиты соединения, и, как следствие, невозможное его применение для защиты всех остальных прикладных протоколов (FTP, TELNET, SMTP и др.).
Протокол SSL
Протокол SSL (Secure Socket Layer) - разработка компании Netscape - универсальный протокол защиты соединения, функционирующий на сеансовом уровне OSI. Этот протокол, использующий криптографию с открытым ключом является универсальным средством, позволяющим динамически защитить любое соединение с использованием любого прикладного протокола (DNS, FTP, TELNET, SMTP и т. д.). Это связано с тем, что SSL, в отличие от S-HTTP, функционирует на промежуточном сеансовом уровне OSI (между транспортным - TCP, UDP, - и прикладным - FTP, TELNET и т. д.). При этом процесс создания виртуального SSL-соединения происходит по схеме Диффи и Хеллмана, которая позволяет выработать криптостойкий сеансовый ключ, используемый в дальнейшем абонентами SSL-соединения для шифрования передаваемых сообщений. Протокол SSL сегодня уже практически оформился в качестве официального стандарта защиты для HTTP-соединений, то есть для защиты Web-серверов. Конечно, для установления SSL-соединения с Web-сервером еще необходимо и наличие Web-сервера, поддерживающего SSL. Такие версии Web-серверов уже существуют (SSL-Apachе, например).