Уровни безопасности сетевых систем
Рассмотрим детально с шестью сетевыми операционными системами клиент-сервер, применяющихся на машинах IBM PC в России: UNIX, NetWare, VINES, LAN Server, LAN Manager и Windows NT. Конечно, такой выбор имеет сильное ограничение, но нельзя объять необъятное и ограничимся лишь наиболее динамично развивающимся направлением. Из этих систем лишь VINES обладает встроенной системой шифрования данных на сервере и достаточно надежна к проникновению. Хотя компании, продающие LAN Server и NetWare заверяли в существовании утилит шифрования данных на сервере, тем не менее, этого на практике увидеть не удалось ни в этих фирмах, ни где-то еще. Несколько больше дефектов по сравнению с другими сетевыми ОС в безопасности системы можно обнаружить у NetWare, хотя это явно связано с ее широкой популярностью и предельной изученностью. Еще одно положительное свойство NetWare - передача пароля со станции на сервер в хорошо зашифрованном виде, что затрудняет его расшифровку при перехвате пакетов. Все указанные системы способны обеспечить приемлемый уровень безопасности данных при надлежащей эксплуатации.
Обычно безопасность компьютерных систем классифицируется в соответствии с критериями Национального центра компьютерной защиты США, названными “оранжевой книгой”. Они позволяют оценивать системы по относительному уровню безопасности и определяют четыре уровня защиты А, В, С и D в порядке убывания надежности. Так как фактически уровней безопасности больше, то буквы модифицируются цифрами от 1 до 3. Например, классификация А1 обозначает наиболее безопасные системы, С2 - достаточную безопасность и D - минимальную. Опишем кратко свойства систем разных уровней, рассматривая их сверху вниз.
УровеньА. Уровень А1 является высшим в защите систем. Он отличается от уровня ВЗ лишь надежным распределением и дополнительными гарантиями безопасности.
Уровень В.Уровень В1 отличается от С2 тем, что доступ к данным контролируется не только правами передающего пользователя, но и принимающего. То есть нельзя передать права на доступ к данным лицу, которое не имеет на это прав. В классе В1 реализуется стратегия защиты данных и утилиты защиты четко отделены от других программ. Уровень В2 улучшает защиту уровня В1 тем, что пользуется математическим описанием функций защиты и реализует правило наименьших привилегий, в соответствии с которым для выполнения предоставленных. пользователю прав он должен обладать наименьшими возможными привилегиями наименьшее возможное время. На этом уровне в защиту вовлекаются все объекты системы и в первую очередь аппаратные средства. Уровень ВЗ расширяет уровень В2 тем, что гарантии защиты более строгие. Требуется выделенный администратор защиты системы, а также процедуры восстановления после сбоя и оповещения администратора о нарушении защиты.
Уровень С.На уровне С1 система обеспечивает так называемую дискреционную защиту. Это означает, что все пользователи, совместно обрабатывая данные, имеют одинаковые права. Это предупреждает неумышленную порчу данных друг друга, но не спасает от вторжения хакера. В таких системах каждый пользователь имеет свой пароль и может защищать свои данные, определяя, кому он доверяет доступ к ним. Считают, что простые UNIX системы имеют уровень С1. На уровне С2 система несколько строже, так как обеспечивает контролируемый доступ. Это означает, что права доступа к данным могут быть переданы лишь отчасти: кому-то только чтение, а кому-то еще и сетевыми. Важный элемент защиты таких систем - защита данных в памяти и на диске да-же от подглядывания посторонними.
Уровень О.На уровне D к системе не предъявляется специальных требований и может не проводиться сертификация. Таким образом, уровень D - системы, не соответствующие более высоким классам защиты, или незащищенные. К таким системам относится, например, MS DOS.
Эта классификация иерархическая в том смысле, что системы высоких уровней секретности обеспечены всеми механизмами защиты более низких уровней. Хотя эта классификация используется в основном для военных систем, она неизбежно распространяется и на гражданские и коммерческие системы. Эта классификация уже была применена к операционной системе UNIX, кото- рая сейчас является обязательной для большинства военных и правительственных проектов в США. Есть еще ряд классификаций секретности, но они мало что добавляют к уже сказанному.
Операционные системы для одноуровневых локальных сетей абсолютно все от LANtastic и Personal NetWare до Windows for Workgroup не отвечают даже намекам на безопасность. Более того, даже целесообразность применения на них криптографической защиты в виде NDisk из NU вызывает серьезное сомнение. Особенно просто проникнуть на чужой секретный диск в NW Lite и поэтому нельзя такого рода секретные диски держать под одноранговой сетью. Из этих систем особняком выделяется отечественный SECRET DOS, называемый еще SDOS, который представляет собой комплекс средств обеспечения безопасности компьютерных систем, построенных на базе IBM PC и операционной системы MS-DOS. SDOS может использоваться как на автономных компьютерах, так и на ЭВМ в составе локальных вычислительных сетей. Эта система предназначена для защиты информации от несанкционированного доступа и противодействия попыткам нарушения нормального режима работы вычислительной системы. В целом она не дотягивает до уровня CI и имеет следующие отличительные особенности не только рекламного характера:
· частичная аппаратная поддержка механизма идентификации;
· неплохое разграничение доступа для пользователей и групп;
· автоматическое стирание остаточной ин формации;
· малые требуемые ресурсы - около 4 килобайта RAM.
Применение SDOS под одноранговой сетью может существенно усилить ее секретность, хотя, как и любое решение, не снимает всех проблем. К нсомненному достоинству SDOS можно отнести и то, что пользователи охотно расстаются с ней, когда она разваливается от сбоев и не требуют ее восстановления.
Следует отметить, что ряд фирм выпускает по-настоящему секретные сетевые программно-аппаратные средства, великолепно защищенные криптографически. Так, фирма Harris выпускает защищенную локальную вычислительную сеть LAN/SX и программные средства управления, формирующие защищенную вычислительную среду SX для многопроцессорных ЭВМ NightHawk этой же фирмы. Цена аппаратных и программных средств сетевого центра обеспечения безопасности примерно $25000, контроллеров индивидуальной криптографической защиты $5000, а программных средств $2500 за рабочее место. Число чисто программных решений значительно больше. Корпорация OpenVision продает продукт OpenVSecure на основе технологии Kerberus, обеспечивающий защиту сетей по цене около $300 за станцию и $3000 за сервер. Фирма CyberSafe, выделившаяся из широко известной компании Open Computing Security Group, тоже на основе технологии Kerberus выпускает для широкого спектра платформ систему Challenger по ценам от $100 для станций и до $5000 для расширенных серверов. Компания Axent Technologies продает системы защиты для разных платформ под общим названием OmniGuard по ценам от $400 за станцию и до $4000 за сервер. За действительно безопасную систему нужно выложить несколько сотен тысяч долларов, поэтому неудивительно, что купившие их фирмы обычно не могут свести концы сконцами по завершению финансового года.
Теперь на примере NetWare кратко опишем использование функций обеспечения секретности. Защита информации в NetWare 3.11 организована по перекрывающимся уровням: файлы - директории - пользователи - группы. Администратор может сгенерировать систему защиты настолько сложной, насколько требуют конкретные условия. Хотя вряд ли она способна превысить уровень С2 в стандартной поставке, но и это очень неплохо.
Очень важно, что конкретный пользователь может быть ограничен в работе по времени, к доступным ему рабочим станциям занимаемой дисковой памятью и числом попыток регистрации. Опыт показывает, что число попыток регистрации больше 2 вредно. В 97% случаях пользователи входят в систему с первой же попытки набора пароля, в 2% - со второй, а дальнейший перенабор пароля мало чем помогает. В то же самое время блокировать дальнейшие попытки набора нужно на срок не менее часа - обеденного перерыва. Для оставшегося 1% удобнее всего предусмотреть эквиваленты для разового использования, выдавать их разиням и уничтожать в конце дня, меняя пароль. NetWare 3.11- xopoша также и тем, что разумно проверяет пароль пользователя, защищая от ввода уже побывавшие в употреблении. Длина пароля может быть установлена в зависимости от требований секретности. Для повышенной секретности длина пароля не должна быть короче 12 символов, тогда пользователь вынужден задавать пароли не словом, а хотя бы фразой. Принципиально слабое место NetWare - атрибут, запрещающий копирование файлов. Он не выдерживает даже такой атаки, как применение DiskEdit из нортоновских утилит. Поэтому нужно помнить, что любая информация, предоставляемая пользователю лишь на просмотр, может быть им скопирована.
Несмотря на то, что безопасность систем обосновывается лишь теоретически, но проверяется она только практически. Хотите узнать, насколько прочно висит полка - просто потяните за нее. И нет лучшего способа аттестации безопасности системы - мы, чем пригласить пару хакеров взломать ее, не уведомляя предварительно персонал сети. Такая практика стала широко распространяться в США, например, компанией Price Waterhouse. Штурм длится от 2 до 8 недель при солидном гонораре. Наемные хакеры в результате предоставляют конфиденциальный доклад с оценкой уровня доступности информации и рекомендациями по улучшению защиты. Доказать безопасность системы таким приемом все же нельзя, но хотя бы можно ее опровергнуть при явных просчетах, а это уже немало.