О контроле состояния защиты конфиденциальной информации
Статьей 21 (часть 3) "Закона об информации" предусмотрен контроль со стороны органов государственной власти за соблюдением требований к защите информации с ограниченным доступом, порядок которого определяет Правительство Российской Федерации.
Это означает, что контроль состояния защиты должен охватывать все три составляющие информации с ограниченным доступом, входящей в государственные информационные ресурсы:
информацию, составляющую государственную тайну;
конфиденциальную информацию;
персональные данные о гражданах.
При этом, контроль в равной степени должен охватывать и негосударственные структуры при наличии у них (при передаче им на законном основании) указанных видов информации, входящих в государственные информационные ресурсы.
5.6. Построение средств межсетевой защиты информации
Бурное развитие глобальных сетей, появление новых технологий поиска информации и отображения данных привлекает все больше внимания к сети Internet со стороны частных лиц и различных организаций. Многие организации принимают решение об интеграции своих локальных и корпоративных сетей в глобальную сеть, а также установки своих WWW-, FTP-, Gopher- и других серверов услуг в глобальных сетях. Использование глобальных сетей в коммерческих целях, а также при передаче информации, содержащую коммерческую или государственную тайну, влечет за собой необходимость построения квалифицированной системы защиты информации.
Использование глобальных сетей не только для поиска "интересной" информации или игры в Red AlertФ с заокеанскими партнерами (или противниками), но и в коммерческих целях, приводит к возможным потерям из-за действия поля угроз защищенности и отсутствия необходимых систем и средств защиты. В настоящее время в России глобальные сети используются для передачи коммерческой информации различной степени конфиденциальности, например, связь с удаленными офисами из головной штаб-квартиры организации или создание WWW-страницы предприятия с размещенной на ней рекламы и коммерческих предложений.
Одним из следствий бурного развития глобальных сетей является практически неограниченный рост количества пользователей этих сетей, и как следствие, рост вероятности угроз защищенности информации, связанных с предумышленным и неумышленным воздействием. Необходимость работы с удаленными пользователями и обмена конфиденциальной информацией с ними приводит к необходимости установления жестких ограничений доступа к информационным ресурсам локальной сети. При этом чаще всего бывает необходима организация в составе корпоративной сети нескольких сегментов с различным уровнем защищенности:
свободно доступные (Например, рекламный WWW-сервер),
сегмент с ограничениями доступа (Например, для доступа сотрудникам организации с удаленных узлов),
закрытые для любого доступа (Например, финансовая локальная сеть организации).
Угрозы защищенности в глобальных сетях
При подключении локальной или корпоративной сети к глобальным сетям администратор сетевой безопасности должен решать следующие задачи:
Защита локальной или корпоративной сети от несанкционированного удаленного доступа со стороны глобальной сети;
Скрытие информации о структуре сети и ее компонент от пользователей глобальной сети;
Разграничение доступа из/в защищаемой локальной сети в/из незащищенную глобальную сеть.
При этом наиболее распространены следующие способы так:
Вход с узла сети с недопустимым сетевым адресом.
"Заваливание" сетевыми пакетами при помощи программы ping.
Соединение с разрешенного сетевого адреса по запрещенному сетевому адресу.
Соединение по запрещенному или неподдерживаемому сетевому протоколу.
Подбор пароля пользователя по сети
Модификация таблицы маршрутизации с помощью ICMP пакета типа REDIRECT
Модификация таблицы маршрутизации с помощью нестандартного пакета протокола RIP.
Запрос несанкционированного удаленного администрирования с запрещенного адреса
Запрос на изменение пароля при соединении со стороны открытой сети.
Соединение с использованием DNS spoofing.
Соединение с разрешенного адреса по разрешенному адресу в неразрешенное время
Приведенное перечисление видов угроз охватывает несколько областей глобальной сети:
локальный участок, традиционная местная управляемая и администрируемая в организации локальная сеть,
стык локальная-глобальная сеть,
участок глобальной сети, используемый для передачи конфиденциальной информации, администрируемый коллективным администратором безопасности,
неуправляемый участок глобальной сети.
На каждом указанном участке необходимо использование своих, специфических средств защиты. В таблице 5.1. показана привязка перечисленных угроз к участкам глобальной сети.
Табл. 5.1. Привязка угроз к различным участкам глобальной сети.
| Области глобальной сети | ||||
| Угрозы | Локальный участок | Стык ЛС/ГС | Администр. участок ГС | Неуправ. участок ГС |
| 1. Неверный сетевой адрес | + | + | + | |
| 2. "Заваливание" пакетами | + | |||
| 3. Недопустимое соединение | + | + | ||
| 4. Недопустимый протокол | + | + | + | |
| 5. Подбор пароля | + | + | + | |
| 6. ICMP атака | + | + | ||
| 7. RIP атака | + | + | ||
| 8. Несанкц. удаленн. администрирование | + | + | + | + |
| 9. Изменение пароля | + | |||
| 10. DNS атака | + | + | ||
| 11. Недопустимое время | + | + | + | + |
Ряд задач по отражению наиболее вероятных угроз в том или ином объеме способны решать межсетевые экраны (firewalls). В российской литературе данный термин иногда переводится как брандмауэр, реже - межсетевой фильтр.
Межсетевой экран - это автоматизированная система или комплекс систем, позволяющие разделить сеть на две или более частей и обеспечивающее защитные механизмы от НСД на уровне пакетов обмена информацией сетевого, транспортного и прикладного уровней сетевых протоколов семиуровневой модели OSI.
На мировом рынке присутствуют около 50 различных межсетевых экранов, отличающихся платформами функционирования, производительностью и функциональными возможностями. Можно установить следующую классификацию функциональных требований к межсетевым экранам.
Функциональные требования к МЭ включают в себя:
требования к фильтрации на сетевом уровне;
требования к фильтрации на прикладном уровне;
требования по ведению журналов и учету;
требования по администрированию и настройке правил фильтрации;
требования к средствам сетевой аутентификации.
Фильтрация на сетевом уровне
При фильтрации на сетевом уровне межсетевой экран принимает решение о пропуске пакета в/из защищаемой локальной сети из/в глобальной незащищенной сети. Данное решение МЭ принимает просматривая заголовок этого пакета и анализируя его содержимое. Решение о пропускании или запрещении прохождении пакета может зависеть от сетевых адресов источника и назначения пакета, номеров TCP-портов, времени и даты прохождения пакета и любых полей заголовка пакета.
Достоинствами данного вида фильтрации являются:
небольшая задержка при прохождении пакетов,
относительно невысокая стоимость МЭ.
К недостаткам данного вида фильтрации можно отнести:
возможность просмотра структуры локальной сети из глобальной сети,
возможность обхода системы защиты при использовании IP-спуфинга (IP-spoofing) - способ атаки, при котором атакующей стороной производится подстановка IP-адреса "разрешенного" сетевого узла в заголовок IP-пакета.
Фильтрация на прикладном уровне
При фильтрации на прикладном уровне решение о пропускании или запрещении прохождении пакета принимается после обработки запроса от клиента на программе-сервере конкретного сервера (WWW, Telnet, FTP, SMTP, Gopher и т.п.). Данный сервер носит название proxy-server (уполномоченный или доверенный сервер). Название "доверенный" - из-за того, что сервер, к которому производится обращение, доверяет proxy-серверу установить связь с клиентом, идентифицировать его и провести аутентификацию. Proxy-сервер пропускает через себя весь трафик, относящийся к данному сервису.
При принятии решения о пропускании и запрещении прохождения пакета proxy-сервер может использовать следующие параметры:
имя пользователя;
название сервиса;
сетевое имя компьютера клиента;
способ аутентификации;
время и дата запроса.
Достоинствами данного способа фильтрации являются:
невидимость структуры локальной сети из глобальной сети;
возможность организации большого числа проверок, что повышает защищенность локальной сети;
организация аутентификации на пользовательском уровне.
Основными недостатками данного способа маршрутизации являются низкая производительность обработки и высокая стоимость. Кроме того, при реализации данного способа фильтрации появляется сложность использования протоколов UDP и RPC.
Ведение журналов и учет
Ведение журналов, сбор статистики и ее учет является весьма важным компонентом межсетевого экрана. При помощи этих функциональных возможностей администратор может гибко определять политику реагирования на нарушения: необязательно при каждой ночной попытке доступа к WWW-серверу компании выдавать администратору безопасности сообщение на его личный пейджер, - администратор - все-таки человек, и ночью хочет спать. В тоже время, при доступе к финансовому сегменту с базой данных зарплаты вышеупомянутого администратора необходимо указать данному администратору на возможность депремирования и/или невыплаты заработной платы.
Существует большое количество схем подключения межсетевых экранов: - сколько администраторов безопасности - столько мнений. При этом все схемы подразделяются на:
1. Стандартные схемы защиты отдельной локальной сети.
2. Схемы включения в составе средств коллективной защиты.
Стандартные схемы защиты отдельной локальной сети
Наиболее простым является решение, при котором межсетевой экран просто экранирует локальную сеть от глобальной. При этом WWW-сервер, FTP-сервер, почтовый сервер и другие сервера, оказываются также защищены межсетевым экраном (см. Рис. 5.6.4.). При этом требуется уделить много внимания на предотвращение проникновения на защищаемые станции локальной сети при помощи средств легкодоступных WWW-серверов.
Рис. 5.6.4. Простое включение МЭ.
Для предотвращения доступа в локальную сеть, используя ресурсы WWW-сервера, рекомендуется общедоступные серверы подключать перед межсетевым экраном, так как показано на рисунке 5.6.5. Данный способ обладает более высокой защищенностью локальной сети, но низким уровнем защищенности WWW- и FTP-серверов.
Оба вышеприведенных случая показаны для межсетевых экранов, имеющих два сетевых интерфейса. Межсетевые экраны с одним сетевым интерфейсом существуют, но их настройка, а также настройка маршрутизаторов для работы с таким межсетевым экраном, представляет собой сложную задачу, с ценой решения превышающей стоимость замены МЭ с одним интерфейсом на МЭ с двумя сетевыми интерфейсами. Поэтому, схемы подключения межсетевых экранов с одним сетевым интерфейсом в данной статье не рассматриваются.
Рис. 5.6.5. Подключение МЭ с вынесением общедоступных серверов.
Применение в составе средств коллективной защиты
Некоторые межсетевые экраны позволяют организовывать виртуальные корпоративные сети (Virtual Private Network). При этом несколько локальных сетей, подключенных к глобальной сети, объединяются в одну виртуальную корпоративную сеть. Передача данных между этими локальными сетями производится прозрачно для пользователей локальных сетей. При этом обеспечивается конфиденциальность и целостность передаваемой информации при помощи различных средств: шифрования, использования цифровых подписей и т.п. При передаче может шифроваться не только содержимое пакета, но и его заголовок, включая все, входящие в него поля. Возможная схема использования межсетевых экранов в составе виртуальных корпоративных сетей приведена на рисунке 5.6.6.
Рис. 5.6.6. Построение виртуальной корпоративной сети.