МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РЕСПУБЛИКИ КАЗАХСТАН
Некоммерческое акционерное общество
«Алматинский университет энергетики и связи»

С.В. Коньшин
Е.А. Шкрыгунова

Защита информации в телекомуникационных сетях

Учебное пособие

Алматы 2014

УДК 004.056.5:621.394/397(075.8)

ББК 32.88я73

К65 Защита информации в телекоммуникационных сетях:

Учебное пособие/ С.В. Коньшин, Е.А. Шкрыгунова

АУЭС. Алматы, 2014. – 79 с.

ISBN  978-601-7327-24-8

Учебное пособие посвящено вопросам защиты информации в сетях связи с гарантированным качеством обслуживания (ATM и IP v6.0). В частности, представлены специальные протоколы и механизмы, обеспечивающие защиту соединений ATM и IP v6.0. Вопросы уязвимости сетей.

Учебное пособие предназначено для бакалавров, обучающихся по специальности 5В071900 – Радиотехника, электроника и телекоммуникации

Ил. 44, табл. 1, библиогр. –  5 назв. 

ББК 32.88я73

РЕЦЕНЗЕНТ:  МУИТ, канд. тех. наук, асс. профессора С.К. Кунаков

КазНТУ, канд. тех. наук, доцент О.А. Касимов

АУЭС, канд. тех. наук, доцент И.Н.Федулина

Рекомендовано к изданию Ученым советом Алматинского университета энергетики и связи (Протокол №5  от 28.01 от 2014г.)

ISBN   978-601-7327-24-8

НАО Алматинский университет энергетики и связи, 2014 г.

Содержание

Введение

1 Общие  положения  безопасности  сетей

1.1 Основные определения

1.2 Требования к системам телекоммуникаций

1.3 Классификация нарушений передачи информации

1.4 Сервисные службы, профиль защиты и соединения защиты информации

2 Криптографические системы

2.1 Криптосистема  с  одним ключом

2.2 Криптосистемы с открытым ключом

2.3 Распределение  открытых  ключей

2.4 Применение криптосистемы с открытым ключом для распределения секретных ключей

2.5 Применение криптосистемы с открытым ключом для аутентификации пользователя со стороны автономного объекта

3 Общие  критерии  оценки  безопасности  информационных технологий

3.1 Целевая направленность общих критериев

3.2 Профили защиты

4 Защита информации в сетях с технологией ATM

4.1 Обмен информацией между агентами защиты

4.2 Защита информации в плоскостях пользователя и управления

5 Проблемы уязвимости  телекоммуникационных  систем

5.1 Определение  атаки  доступа

5.2 Определение атак на отказ в обслуживании

5.3 Разновидность атаки на отказ в обслуживании

5.4 Прослушивание коммутируемых сетей

5.5 Реализация   атак

5.6 Определение  типов  систем  обнаружения  вторжений

5.7 Распознавание атак

5.8 Атаки

6 Определение типов межсетевых экранов

6.1 Межсетевые экраны прикладного уровня

6.2 Межсетевые экраны с пакетной фильтрацией

6.3 Гибридные межсетевые экраны

6.4 Разработка конфигурации межсетевого экрана

7 Управление сетями VPN

7.1Управление пользовательскими VPN

7.2 Развертывание узловых сетей VPN

7.3 Понятие стандартных технологий функционирования VPN

7.4 Алгоритмы шифрования и система аутентификации

7.5 Протокол VPN

Список литературы

Введение

Ни одна сфера жизни современного общества не может функционировать без развитой информационной структуры. Национальный информационный ресурс является сегодня одним из главных источников экономической и военной мощи государства. Проникая во все сферы деятельности государства, информация приобретает конкретное политическое, экономическое и материальное выражение. На этом фоне все более актуальный характер приобретает в последние десятилетия и, особенно в настоящее время, задача обеспечения информационной безопасности  как неотъемлемого элемента национальной безопасности, а защита информации превращается в одну из приоритетных государственных задач.

Вопросы защиты информации всегда занимали особое место в любом обществе и государстве. В настоящее время, когда сохраняется лавинообразное распространение компьютерных систем и их взаимодействие посредством телекоммуникационных сетей, защита информации пользователей и служебной информации выступает на одно из первых мест.

1 Общие  положения  безопасности  сетей

1.1 Основные определения

Для определения факторов, влияющих на безопасность сетей, необходимо ввести  некоторые понятия и определения, необходимые в дальнейшем.

На рисунке 1.1 приведена классификация основных определений и понятий предметной области «Защита информации» [1, 2].

Информация [1] – сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.

Защищаемая информация – информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации. Собственником информации может быть: государство, юридическое лицо, группа физических лиц, отдельное физическое лицо.

Защита информации – деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.

Защита информации от утечки – деятельность, направленная на предотвращение неконтролируемого распространения защищаемой информации в результате ее разглашения, несанкционированного доступа к информации и получения защищаемой информации разведками.

Защита информации от несанкционированного воздействия – деятельность, направленная на предотвращение воздействия на защищаемую информацию с нарушением установленных прав и (или) правил на изменение информации, приводящего к ее искажению, уничтожению, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.

Защита информации от непреднамеренного воздействия – деятельность, направленная на предотвращение воздействия на защищаемую информацию ошибок ее пользователя, сбоя технических и программных средств информационных систем, природных явлений или иных нецеленаправленных на изменение информации мероприятий, приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.

Защита информации от разглашения – деятельность, направленная на предотвращение несанкционированного доведения защищаемой информации до потребителей, не имеющих права доступа к этой информации.

Защита информации от несанкционированного доступа – деятельность, направленная на предотвращение получения защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации.

1.2 Требования к системам телекоммуникаций

Приведем основные требования, предъявляемые пользователями к системам телекоммуникаций с позиций обеспечения защиты передаваемой информации. Системы телекоммуникаций должны обеспечить [1, 2]:

-       конфиденциальность информации – обеспечение просмотра информации в приемлемом формате только для пользователей, имеющих право доступа к этой информации;

-       целостность информации – обеспечение неизменности информации при ее передаче;

-       аутентичность информации – обеспечение надежной идентификации источника сообщения, а также гарантия того, что источник не является поддельным.

-       доступность информации – гарантия доступа санкционированных пользователей к информации.

 

1.3 Классификация нарушений передачи информации

Нормальная передача информации в телекоммуникационных сетях с учетом гарантированного качества обслуживания пользователей подразумевает выполнение трех этапов [1, 2]:

1)       В плоскости менеджмента – формирование и корректировка баз данных (БД) о состоянии элементов сети. Конечным результатом функционирования данного этапа является формирование плана распределения информации на сети – расчет таблиц маршрутизации (ТМ) во всех узлах для каждой службы электросвязи.

2)            В плоскости управления (стек протоколов сигнализации) – организацию маршрута между узлом – источником (УИ) и узлом – получателем (УП) в виде виртуального коммутируемого либо постоянного соединения (канала или тракта). Конечным результатом функционирования данного этапа является заполнение и обнуление таблиц коммутации (ТК).

3)            В плоскости пользователя – непосредственная передача пользовательской информации.

При этом передача всех видов информации в сети (служебной – для формирования БД и ТК; пользовательской) осуществляется по своим отдельно выделенным виртуальным соединениям (каналам и трактам).

Под нарушением передачи информации будем понимать одну из ситуаций, которые могут быть организованы нарушителем:

-     Прерывание или разъединение Информация уничтожается или становится недоступной, либо непригодной для использования. В этом случае нарушается доступность информации. Примером таких нарушений может быть воздействие нарушителя на элементы сети (линии связи (ЛС), узлы коммутации (УК), устройства управления, БД и так далее) с целью их уничтожения или приведение в нерабочее состояние.

-     Перехват. К информации открывается несанкционированный доступ. Нарушается конфиденциальность передаваемой информации. Примером такого типа нарушений является несанкционированное подключение к каналу связи.

-     Модификация. К информации открывается несанкционированный доступ с целью изменения информации. При этом нарушается конфиденциальность передаваемой информации и ее целостность. Целью такого типа нарушений является изменение информации, передаваемой по сети.

-     Фальсификация. Нарушитель выдает себя за источник информации. При этом нарушается аутентичность информации. Примером такого типа нарушений является отправка поддельных сообщений по сети.

Приведенные выше типы нарушений можно разделить на две группы:

-       активные;

-       пассивные.

К первой группе относятся:

-     прерывание – нарушение доступности и конфиденциальности;

-     модификация – нарушение целостности;

-     фальсификация – нарушение аутентичности.

Данный тип нарушений имеет активный характер воздействия на элементы сети и передаваемую информацию. Основная цель этих нарушений состоит в изменении либо уничтожении потоков информации на сети.

К пассивным нарушениям относится перехват с целью получения передаваемой информации, ее анализа и использования в определенных целях.

Достаточно уверенно можно утверждать, что пассивные нарушения ставят своей конечной целью переход в группу активных нарушений.

Приведенная выше классификация нарушений защиты информации представлена в таблице 1.1.

Перечисленные виды нарушений могут иметь место как в плоскости пользователя, так и в плоскостях управления и менеджмента. Причем активные виды нарушений (прерывание, модификация и фальсификация) в плоскости менеджмента ведут к нарушениям либо уничтожению информации, хранимой в базах данных УК. В результате нарушаются таблицы маршрутизации, и как результат – невозможность нормального функционирования плоскостей управления (сигнализации) и пользователя.

1.4 Сервисные службы, профиль защиты и соединения защиты информации

Сервисные службы защиты информации являются ответственными за обеспечение основных требований пользователей, предъявляемых к телекоммуникационным системам (с точки зрения ее надежности). Причем данные службы должны функционировать во всех трех плоскостях: менеджмента, управления и пользовательской [1, 2].

Совокупность сервисных служб защиты информации, обеспечивающих требования пользователей, образуют профиль защиты.

За установку и прекращение действия той или иной службы отвечают агенты защиты (Security Agent , SA). Согласование служб защиты между агентами происходит через соединения защиты. По этим соединениям производится обмен информацией защиты.

Рисунок 1.5 демонстрирует самый простой вариант организации соединения защиты – агенты защиты размещены в пределах конечных систем пользователей. В данном случае конечные системы и агенты защиты взаимодействуют с сетью через интерфейс «пользователь – сеть + защита» (UNI+Sec).

Агенты защиты для виртуального соединения (канала либо тракта), который установлен между конечными системами пользователей, последовательно выполняют следующие действия:

-     определяют вид сервисных служб защиты, которые должны быть применены к данному виртуальному соединению;

-     согласовывают службы защиты между собой;

-     применяют требуемые службы защиты к данному виртуальному соединению.

Количество соединений защиты должно быть равно количеству установленных служб защиты, то есть, если для данного виртуального соединения одновременно требуется аутентификация, конфиденциальность и достоверность данных, то устанавливается три самостоятельных соединения защиты.

Рисунок 1.6 показывает другой вариант организации соединения защиты. В этом случае один агент защиты размещается на конечной системе пользователя, а другой - на коммутаторе виртуальных каналов. Соответственно, пользователи и агенты защиты взаимодействуют с сетью связи через интерфейсы «пользователь – сеть» (UNI) либо UNI+Sec; коммутатор виртуальных каналов через интерфейс «узел – сеть + защита» (NNI+Sec). В данном случае агент защиты, размещенный в пределах коммутатора виртуальных каналов, имеет возможность обеспечивать службы защиты не только для пользователя П2, но и для других узлов и сетей, которые подсоединяются к данному коммутатору виртуальных каналов. Часто таких агентов защиты называют брандмауэрами. Фактически брандмауэр – это шлюз, который выполняет функции защиты сети от несанкционированного доступа из вне (например, из другой сети).

Различают три типа брандмауэров.

Шлюз уровня приложений часто называют прокси – сервером (proxy server) – выполняет функции ретранслятора данных для ограниченного числа приложений пользователя, то есть, если в шлюзе не организована поддержка того или иного приложения, то соответствующий сервис не предоставляется, и данные соответствующего типа не могут пройти через брандмауэр.

Фильтрующий маршрутизатор. Точнее это маршрутизатор, в дополнительные функции которого входит фильтрование пакетов (packet-filtering router). Используется на сетях с коммутацией пакетов в режиме дейтаграмм, то есть в тех технологиях передачи информации на сетях связи, в которых плоскость сигнализации (предварительного установления соединения между УИ и УП) отсутствует (например, IP V 4). В данном случае принятие решения о передаче по сети поступившего пакета данных основывается на значениях его полей заголовка транспортного уровня. Поэтому брандмауэры такого типа обычно реализуются в виде списка правил, применяемых к значениям полей заголовка транспортного уровня.

Шлюз уровня коммутации – защита реализуется в плоскости управления (на уровне сигнализации) путем разрешения или запрета тех или иных соединений.

Для увеличения надежности защиты виртуальных соединений (каналов и трактов) возможно использование более одной пары агентов защиты и более одного соединения защиты. В данном случае формируется топология соединений защиты, в основе которой заложен принцип вложения и не пересечения соединений защиты вдоль всего маршрута между УИ и УП (или конечными системами пользователей). Пример принципа вложения и не пересечения соединений защиты приведен на рисунке 1.8. В данном случае защита виртуального канала, организованного между конечными системами, осуществляется четырьмя соединениями защиты и восьмью агентами защиты (SA1 SA8). Причем каждое соединение не знает о существовании других соединений и не заботится о том, какую службу защиты последние обеспечивают, то есть соединения защиты абсолютно независимы друг от друга. Данный подход позволяет применять многочисленные стратегии и тактики защиты различных участков сети. Например, соединение защиты между агентами SA1 и SA8 обеспечивает аутентификацию между конечными системами. Независимо от данного соединения соединение между SA2 и SA7 обеспечивает конфиденциальность, а SA2, SA3, SA4 и SA4, SA5, SA6 - достоверность данных.

Каждое соединение защиты можно представить в виде сегмента

,

где k – порядковый номер соединения защиты;

i, j – порядковые номера агентов защиты.

Для рисунка 1.8 соединения защиты можно записать соответствующими сегментами [1, 3]:

;

;

;

.

В свою очередь второй сегмент оказывается вложенным в первый, то есть в символьной форме это выглядит следующим образом:

.

Не пересечение сегментов  и можно представить в виде:

.

Учитывая, что  вложены в , то получим:

.

Окончательная символьная запись топологии соединений защиты, представленная на рисунке 1.8, выглядит следующим образом:

.

Из рисунка 1.8 и полученного выражения видно, что данная топология соединений защиты виртуального канала между конечными системами имеет три уровня вложения.

Для топологии защиты, изображенной на рисунке 1.8, соединение между агентами SA3 и SA5 невозможно, так как нарушается принцип не пересечения.

1.4.1 Выводы.

Таким образом, топология соединений защиты реализует профиль защиты пользователя, который является распределенным по сети.

Выбор топологии соединений защиты во многом определяется требованиями пользователей к степени защищенности передаваемой информации и ресурсными возможностями самой сети обеспечить данные требования.

 

2 Криптографические системы

2.1 Криптосистема  с  одним ключом

На рисунке 2.1 представлена модель криптосистемы (шифрование и дешифрование), которую часто называют традиционной, симметричной или с одним ключом [2, 3].

Пользователь 1 создает открытое сообщение , элементами которого являются символы конечного алфавита. Для шифрования открытого сообщения X генерируется ключ шифрования .

С помощью алгоритма шифрования формируется шифрованное сообщение

.

Формальное представление алгоритма шифрования выглядит следующим образом: .

Данная запись означает, что Y формируется путем применения алгоритма шифрования E к открытому сообщению X при использовании ключа шифрования K.

Шифрованное сообщение Y передается по каналу либо тракту связи к пользователю 2. Ключ шифрования также передается пользователю 2 по защищенному (секретному) каналу связи для дальнейшего дешифрования принятого сообщения Y.

Общий вид математической записи процедуры дешифрования выглядит следующим образом: .

Приведенная модель предусматривает, что ключ шифрования генерируется там же, где само сообщение. Однако возможно и другое решение создания ключа – ключ шифрования создается третьей стороной (центром распределения ключей), которой доверяют оба пользователя. В данном случае за доставку ключа обоим пользователям ответственность несет третья сторона (см. рисунок 2.2). Вообще говоря, данное решение противоречит самой сущности криптографии – обеспечение секретности передаваемой информации пользователей.

Криптосистемы с одним ключом используют принципы подстановки (замены), перестановки (транспозиции) и композиции. При подстановке отдельные символы открытого сообщения заменяются другими символами. Шифрование с применением принципа перестановки подразумевает изменение порядка следования символов в открытом сообщении. С целью повышения надежности шифрования шифрованное сообщение, полученное применением некоторого шифра, может быть еще раз зашифровано с помощью другого шифра. Говорят, что в данном случае применен композиционный подход. Следовательно, симметричные криптосистемы (с одним ключом) можно классифицировать на системы, которые используют шифры подстановки, перестановки и композиции.

 

2.2 Криптосистемы с открытым ключом

Если пользователи при шифровании и дешифровании используют разные ключи KО и KЗ, то есть: , , то криптосистему называют асимметричной, с двумя ключами или с открытым ключом [2, 3].

Алгоритмы криптографии с открытым ключом, в отличие от подстановок и перестановок, используют математические функции.

На рисунке 2.3 представлена модель криптосистемы с открытым ключом, которая обеспечивает конфиденциальность передаваемой информации между пользователями.

Получатель сообщения (пользователь 2) генерирует связанную пару ключей:

-       KО – открытый ключ, который публично доступен и, таким образом, оказывается доступным отправителю сообщения (пользователь 1);

-       KС – секретный, личный ключ, который остается известным только получателю сообщения (пользователь 1).

Пользователь 1, имея ключ шифрования KО, с помощью алгоритма шифрования , формирует шифрованный текст .

Пользователь 2, владея секретным ключом Kс, имеет возможность выполнить обратное преобразование .

Для обеспечения аутентификации необходимо использовать криптосистему, изображенную на рисунке 2.4.

В этом случае пользователь 1 готовит сообщение пользователю 2 и перед отправлением шифрует это сообщение с помощью личного ключа KС. Пользователь 2 может дешифрировать это сообщение, используя открытый ключ KО. Так как сообщение было зашифровано личным ключом отправителя, то оно может выступать в качестве цифровой подписи. Кроме того, в данном случае невозможно изменить сообщение без доступа к личному ключу пользователя 1, поэтому сообщение решает также задачи идентификации отправителя и целостности данных.

Для обеспечения аутентификации и конфиденциальности с открытым ключом необходимо использовать криптосистему, изображенную на рисунке 2.5. В данном случае пользователь 1 с помощью личного ключа  шифрует сообщение. Тем самым обеспечивает цифровую подпись. Затем с использованием открытого ключа  пользователя 2 шифрует сообщение, предназначенное для пользователя 2. Так как шифрованное сообщение может дешифрировать только пользователь 2 личным ключом , то это обеспечивает конфиденциальность передаваемой информации.

Таким образом, криптосистемы с открытым ключом характеризуются тем, что при шифровании и дешифровании используют два ключа, один из которых остается в личном пользовании (секретный), а второй открыт для всех пользователей.

Из вышеизложенного следует, что криптосистемы с открытым ключом должны удовлетворять следующим условиям:

1)            для пользователя процесс генерирования открытого и личного ключей не должен вызывать вычислительных трудностей;

2)            для пользователя, отправляющего сообщение, процесс шифрования с помощью открытого ключа не должен вызывать вычислительных трудностей;

3)            процесс дешифрования, полученного шифрованного сообщения, с помощью личного ключа не должен вызывать вычислительных трудностей;

4)            для противника должны быть значительные вычислительные трудности восстановления личного ключа из имеющего открытого ключа;

5)            для противника должны быть значительные вычислительные трудности восстановления оригинального сообщения из имеющегося открытого ключа и шифрованного сообщения.

Таким образом, практическая реализация перечисленных условий сводятся к нахождению односторонней функции со следующими свойствами:

-        - вычисляется легко, если известны KО и X;

-        - вычисляется легко, если известны KС и Y;

-        - практически не поддается вычислению, если Y известно, а KС – нет.

С подробным описанием различных систем криптографии можно познакомиться в [7].

2.3 Распределение  открытых  ключей

На сегодняшний день известны следующие методы распределения открытых ключей [2, 3]:

-       индивидуальное публичное объявление открытых ключей пользователями;

-       использование публично доступного каталога открытых ключей;

-       участие авторитетного источника открытых ключей;

-       сертификаты открытых ключей.

Рассмотрим каждый из перечисленных методов.

При индивидуальном публичном объявлении открытых ключей любая сторона, участвующая в обмене сообщениями (X), может предоставить свой открытый ключ (KО) любой другой стороне. Недостатком данного подхода является невозможность обеспечить аутентификацию отправителя открытого ключа (KО). То есть, при данном подходе у нарушителя появляется возможность фальсификации пользователей (рисунок 1. 3 г)).

Использование публично доступного каталога открытых ключей позволяет добиться более высокой степени защиты информации и пользователей сети. В данном случае за ведение и распространение публичного каталога должна отвечать надежная организация (уполномоченный объект) (рисунок 2.6). При этом должны соблюдаться следующие правила.

1.            Пользователи должны регистрировать свои открытые ключи в публичном каталоге, который ведет уполномоченный объект.

2.            Регистрация должна проходить либо по заранее защищенным каналам связи, либо при личной (физической) явке пользователей на уполномоченный объект.

3.            Уполномоченный объект должен периодически публиковать каталог открытых ключей. Например, в виде печатной продукции (книга, газета и тому подобное) либо в электронной версии (размещение на собственном сервере).

Недостатком данного подхода является следующее. Если нарушителю удастся изменить записи, хранящиеся в каталоге открытых ключей, то он сможет авторитетно выдавать фальсифицированные открытые ключи и, следовательно, выступать от имени любого из участников обмена данными и читать сообщения, предназначенные любому пользователю.

Участие авторитетного источника открытых ключей представлено на рисунке 2.7. Обязательным условием данного варианта распределения открытых ключей пользователей является условие, что авторитетный источник открытых ключей имеет свой секретный ключ, и каждый пользователь знает его открытый ключ. При этом выполняется следующий порядок действий (номера, проставленные у стрелочек, совпадают с последовательностью действий участников обмена сообщениями):

1.                Пользователь 1 посылает запрос авторитетному источнику открытых ключей о текущем значении открытого ключа пользователя 2. При этом указывается дата и время запроса (д. вр.).

2.                Авторитетный источник, используя свой секретный ключ , шифрует  и передает сообщение пользователю 1 , в котором содержится следующая информация:

-        - открытый ключ пользователя 2;

-       д. вр. – дата и время отправки сообщения.

3.                Пользователь 1, используя , шифрует и передает пользователю 2 шифрованное сообщение , содержащее:

-       ID1 – идентификатор отправителя (пользователь 1);

-       N1 – уникальную метку данного сообщения.

4, 5. Пользователь 2, получив шифрованное сообщение , дешифрирует его  с помощью своего секретного ключа   и в соответствии с идентификатором ID1, аналогично с пунктами 1 и 2 выше перечисленных действий получает от авторитетного источника открытый ключ пользователя 1 .

6.       Пользователь 2, используя , посылает пользователю 1 шифрованное сообщение , где N2 – уникальная метка данного сообщения.

7.                Пользователь 1 шифрует с помощью открытого ключа  сообщение Y, предназначенное пользователю 1 и передает .

Приведенный вариант распределения открытых ключей имеет некоторые недостатки:

-       каждый раз, когда пользователь намерен передать информацию новому адресату, то он должен обращаться к авторитетному источнику с целью получения открытого ключа;

-       каталог имен и открытых ключей, поддерживаемый авторитетным источником, является привлекательным местом для нарушителя передачи информации пользователей.

На рисунке 2.8 представлен сценарий распределения открытых ключей с применением сертификатов открытых ключей. Обязательным условием данного варианта распределения открытых ключей пользователей является условие, что авторитетный источник сертификатов имеет свой секретный ключ , и каждый пользователь знает его открытый ключ . При этом выполняется следующий порядок действий (номера, проставленные у стрелочек, совпадают с последовательностью действий участников обмена сообщениями):

1.  Пользователь 1 генерирует пару ключей  (соответственно, открытый и секретный) и по защищенному каналу связи обращается к авторитетному источнику сертификатов с целью получения сертификата.

2.  Авторитетный источник шифрует с помощью своего секретного ключа сертификат  и выдает его пользователю 1. Сертификат содержит:

-        - открытый ключ пользователя 1 (данный ключ пользователь 1 сам сгенерировал и передал авторитетному источнику для сертификации);

-       IDП1 – идентификатор пользователя 1;

-       TП1 – срок действия сертификата пользователя.

3.  Пользователь 1 пересылает свой сертификат , полученный от авторитетного источника, пользователю 2. Последний, зная открытый ключ авторитетного источника сертификатов , имеет возможность прочитать и удостовериться, что полученное сообщение является сертификатом .

4.   Пользователь 2 выполняет аналогичные действия, которые были выполнены пользователем 1 в пунктах 1, 2 и 3. То есть получает от авторитетного источника сертификат . Пересылает его пользователю 1. Последний, зная открытый ключ авторитетного источника сертификатов , имеет возможность прочитать и удостовериться, что полученное сообщение является сертификатом

.

В результате перечисленных действий пользователи обменялись открытыми ключами и готовы к передаче и приему пользовательских сообщений.

2.4 Применение криптосистемы с открытым ключом для распределения секретных ключей

На сегодняшний день существует несколько подходов применения криптосистемы с открытым ключом для распределения секретных ключей [2, 3]. Рассмотрим некоторые из них.

Простое распределение секретных ключей состоит в выполнении следующих действий:

1.                Пользователь 1 генерирует пару ключей , соответственно, открытый и секретный.

2.                Пользователь 1 передает пользователю 2 сообщение , где  – идентификатор пользователя 1.

3.                Пользователь 2, получив сообщение  от пользователя 1, так же генерирует свою пару ключей .

4.                Пользователь 2, используя открытый ключ пользователя 1, шифрует и передает сообщение  пользователю 1.

5.                Пользователь 1 уничтожает свой секретный ключ , а пользователь 2 уничтожает открытый ключ пользователя 1 .

Таким образом, оба пользователя имеют сеансовый (секретный) ключ и могут использовать его для передачи информации, защищенной традиционным шифрованием. По окончании сеанса передачи информации ключ  уничтожается. Однако данный подход уязвим для активных нарушений. Действительно, если нарушитель имеет возможность внедрения в соединение между пользователями, то, выполняя следующие действия (рисунок 2.9), он будет иметь возможность знать секретный (сеансовый) ключ.

1.            Пользователь 1 генерирует пару ключей  и передает пользователю 2 сообщение .

2.            Нарушитель перехватывает сообщение , создает собственную пару ключей  и передает пользователю 2 сообщение .

3.            Пользователь 2, получив сообщение , генерирует свою пару ключей , шифрует (используя открытый ключ нарушителя ) и передает сообщение  пользователю 1.

4.            Нарушитель перехватывает сообщение , дешифрирует его , определяет сеансовый ключ  и передает пользователю 2 сообщение .

В результате оба пользователя имеют сеансовый ключ , однако не будут подозревать, что он тоже известен и нарушителю.

Сценарий распределения секретных ключей с обеспечением конфиденциальности и аутентичности изображен на рисунке 2.10 и состоит в выполнении следующих действий.

1.            Пользователи генерируют пары ключей, соответственно , , и обмениваются между собой открытыми ключами  и .

2.            Пользователь 1, используя , передает пользователю 2 сообщение , содержащее: свой идентификатор – IDП1;  - уникальная метка данного сообщения.

3.            Пользователь 2, используя , передает пользователю 1 сообщение , содержащее  и - уникальные метки данного сообщения. Наличие метки  убеждает пользователя 1 в том, что только пользователь 2 мог дешифрировать сообщение .

4.            Пользователь 1, используя , передает пользователю 2 сообщение , содержащее уникальную метку . Данное сообщение выполняет функцию подтверждения для пользователя 2, что его респондентом является пользователь 1.

5.            Пользователь 1 генерирует секретный (сеансовый) ключ , который дважды шифруется с использованием: своего секретного ключа  и открытого ключа пользователя 2 . После выполнения процедуры шифрования сообщение  передается пользователю 2. Последний, имея открытый ключ пользователя 1 и свой секретный ключ, дешифрирует полученное сообщение.

В результате перечисленных действия оба пользователя имеют секретный (сеансовый) ключ .

2.5 Применение криптосистемы с открытым ключом для аутентификации пользователя со стороны автономного объекта

На рисунке 2.11 представлена структура телекоммуникационной системы, состоящая из удаленного объекта и пользователя. Удаленный объект в автономном режиме выполняет некоторые функции, например, осуществляет сбор информации J. Через неопределенное время пользователь по каналу связи передает автономному объекту некоторое сообщение, например команду K – «Выйти на связь и передать собранную информацию J». Приведенную систему часто называют системой дистанционного управления объектом [2, 3].

В подобных системах возникает задача аутентификации пользователя со стороны автономного объекта. Действительно, если не принять соответствующих мер по организации защищенного канала доступа к автономному объекту, то нарушитель, используя перехват сообщения K, может несанкционированно управлять автономным объектом.

На рисунке 2.12 приведен сценарий, реализующий надежную аутентификацию пользователя со стороны автономного объекта, который содержит два этапа и состоит в выполнении следующих процедур.

1 Этап – предварительная настройка параметров объекта и пользователя. Данный этап выполняется один раз перед началом автономного функционирования объекта. Пользователь генерирует и размещает в оперативной памяти автономного объекта идентификатор ID и временной параметр .

2 Этап: - сеанс связи пользователя с объектом:

1.            Пользователь по открытому каналу связи посылает автономному объекту сигнал S, который приводит автономный объект в активное состояние – выйти на связь с пользователем.

2.            Автономный объект генерирует сеансовую, связанную пару ключей , включает таймер, фиксирует время начала сеанса  и передает пользователю свой открытый ключ . Значения открытого  и секретного  ключей имеют случайный характер.

3.            Пользователь генерирует свою сеансовую, связанную пару ключей , значения которых тоже имеют случайный характер. Используя открытый ключ объекта, передает ему сообщение , содержащее общий идентификатор ID и свой открытый ключ .

4.            Автономный объект, используя свой секретный ключ , дешифрирует принятое сообщение от пользователя . По таймеру фиксирует время принятия сообщения . Рассчитывает  и принимает решение: если , то конец связи с пользователем. В противном случае проверяет: идентификатор ID, полученный в сообщении от пользователя, совпадает с собственным идентификатором? Если нет, то конец связи. Иначе – используя открытый ключ пользователя , передает ему сообщение , содержащее запрос X на выполнение команды K, и фиксирует время .

5.            Пользователь:

-          используя свой секретный ключ , дешифрирует принятое сообщение ;

-          используя открытый ключ объекта , передает удаленному объекту сообщение , содержащее команду управления K и новый идентификатор, который будет использован в будущем сеансе связи (значение нового ID имеет случайный характер);

-          фиксирует в своей оперативной памяти значение нового идентификатора;

-          уничтожает свою сеансовую пару ключей  и открытый сеансовый ключ объекта .

6.     Объект дешифрирует принятое сообщение. Рассчитывает  и принимает решение: если , то конец связи с пользователем. В противном случае размещает в оперативной памяти новый идентификатор ID, уничтожает свою пару ключей  и выполняет команду K.

Таким образом, каждый сеанс связи пользователя с удаленным объектом характеризуется использованием «своих» сеансовых ключей и «своего» сеансового идентификатора. Значения данных параметров имеет случайный характер, что гарантирует надежную аутентификацию пользователя со стороны удаленного объекта.

3 Общие  критерии  оценки  безопасности  информационных технологий

3.1 Целевая направленность общих критериев

В Казахстане нормативными документами по разработке систем защиты информации, средств вычислительной техники и автоматизированных систем являются Закон «Об информации и защите информации»  [].

До недавнего времени Руководящие документы разрабатывались с учетом международных документов конца 80-х, начала 90-х годов. В июне 1999 года Международной организацией по стандартизации (International Organization Standardization, ISO) при содействии ряда стран был принят стандарт «Критерии оценки безопасности информационных технологий» (в научной литературе и в литературе по стандартизации исторически закрепилось название «Общие критерии» (ОК)).

В 2006 г.в Казахстане был подготовлен стандарт ГОСТ Р ИСО/МЭК 15408-2006 [8], который после соответствующей апробации вступит в силу с 2010 г.. Данный стандарт является механизмом, предназначенным для разработки нормативных документов, позволяющих оценивать средства безопасности информационные технологий (ИТ) определенного назначения.

Для обеспечения действия данного стандарта ожидается выпуск целого ряда организационно-методологических документов, определяющих порядок разработки профилей защиты их оценки, регистрации и применения.

ОК направлены на обеспечение конфиденциальности, целостности и доступности информации пользователей. ОК дают возможность выработки системы требований, критериев и показателей для оценки уровня безопасности информационных технологий.

ОК предназначены для пользователей, разработчиков и специалистов, обеспечивающих оценку характеристик безопасности систем ИТ.

3.2 Профили защиты

Профиль защиты предназначен для сертификации средств защиты информации продуктов и систем ИТ и получения сопоставимых оценок их безопасности. Профили защиты служат также основой для разработки разделов требований безопасности информации (заданий по безопасности) в ТЗ (ТТЗ) на конкретные изделия ИТ.

4 Защита информации в сетях с технологией ATM

4.1 Обмен информацией между агентами защиты

Установление и поддержание соединений защиты на сетях ATM достаточно сложный и ответственный процесс, который состоит из двух этапов и базируется на протоколе обмена сообщениями защиты (Security Message Exchange, SME) и передаче специальных ячеек защиты OAM (рисунок 1.9).

Рисунок 4.1 – Этапы установления и поддержания соединений защиты

Протокол обмена сообщениями защиты SME используется для:

-     аутентификации агентов между собой;

-     согласования служб защиты между агентами защиты;

-     установления соединения защиты.

Возможно два варианта реализации протокола SME.

1.            В плоскости управления (с использованием канала сигнализации).

2.            В плоскости пользователя (с использованием канала данных, установленного сигнализацией ранее).

В первом случае агенты защиты добавляют к сигнальному сообщению информационный элемент служб защиты (Security Services Information Element, SSIE).

Во втором случае протокол SME реализуется через установленное соединение между пользователями сети ATM. При этом на время действия протокола обмена сообщениями защиты передача данных пользователей блокируется.

В случае если часть элементов сети не поддерживает протокол SME с использованием сигнализации, то допускается комбинированное применение обоих вариантов. То есть, часть сети применяет протокол SME в плоскости управления (сигнализации), а другая в плоскости пользователей.

Передача ячеек защиты OAM используется только для поддержания соединений защиты и применяется после завершения протокола SME.

4.2 Защита информации в плоскостях пользователя и управления

4.2.1 Сервисные службы защиты информации плоскости пользователя

Аутентификация плоскости пользователя или аутентификация объекта – эта служба отвечает за определение идентичности вызывающего и/или вызываемого пользователей оригиналу. Аутентификация является основной для установления надежных соединений. Данная служба является базовой для остальных служб защиты.

Аутентификация может быть как взаимной (симметричной), так и односторонней (асимметричной). В первом случае оба пользователя аутентифицируются друг для друга. При односторонней аутентификации только один пользователь аутентифицируется для другого.

Аутентификация обеспечивается через обмен информацией между агентами безопасности, которые обмениваются между собой сообщениями безопасности (Security Message Exchange, Sasme). В свою очередь, обмен сообщениями безопасности возможен либо в плоскости сигнализации, либо в плоскости пользователя. Рисунки 3.1 и 3.2, соответственно, показывают уровневые модели аутентификации основанной на сигнализации и полосовой (функционирующей непосредственно в полосе данных).

Конфиденциальность плоскости пользователя обеспечивается криптографическими механизмами, которые защищают данные «пользователя» в виртуальных каналах и трактах от несанкционированного вскрытия. Данная служба функционирует на уровне ячеек АТМ. При этом шифруется только пользовательская часть ячейки ATM.Заголовок ячейки передается незашифрованным.

Достоверность данных или «оригинальная аутентификация данных» плоскости пользователя обеспечивается механизмом, который позволяет определять умышленную модификацию данных. Данная служба функционирует между пользователями на уровне AAL (для AAL ¾ и AAL 5) и может быть реализована в двух вариантах:

1)                достоверность данных без защиты от повторной модификации;

2)                достоверность данных с защитой от повторной модификации.

В первом случае источник перед передачей добавляет криптографическую характеристику в конце каждой AAL SDU. Эта характеристика вычисляется по всем AAL SDU. Этот вариант реализации достоверности данных полезен для протоколов верхнего уровня, которые обеспечивают свою собственную нумерацию последовательности (например TCP), без добавления заголовка, требуемого для дублирования данной функции на уровне AAL.

Второй вариант реализации достоверности данных детектирует и отбраковывает «старые» или «переупорядоченные» AAL-SDU. Это достигается сначала добавлением номера последовательности в конце каждой AAL-SDU, а затем вычислением характеристики для совокупности AAL-SDU, включая номера последовательности. Это характеристика, которая защищает и AAL-SDU и номер последовательности, затем добавляется к общей AAL-SDU (которая включает номер последовательности). Этот метод обеспечивает защиту приложений ATM, которые не осуществляют свою собственную нумерацию последовательности.

Контроль доступа плоскости пользователя – это применение набора правил для запроса услуги. Эти правила могут зависеть от атрибутов вызывающего объекта, таких как идентичность, атрибутов соответствующих параметров, таких как целевой адрес, системных атрибутов, таких как время и история предыдущих запросов данным или другими объектами клиента. Правила контроля доступа могут быть предикатом, сформированным всеми этими атрибутами. Если предикат удовлетворен, то запрашиваемая служба (услуга) предоставляется, если предикат не удовлетворен, то запрашиваемая служба не предоставляется.

Контроль доступа плоскости пользователя требует механизмов для транспортировки информации контроля доступа, используемой во время установления соединения, так как механизмы внутри компонентов АТМ используют эту информацию, чтобы определить нужно ли предоставлять доступ к соединению. Контроль доступа плоскости пользователя может основываться на метках защиты (например, стандартные метки защиты [10]), идентичности источника или получателя, времени дня, типе службы, полях вышележащего протокола (например, протокол Интернет), или на других параметрах, которые могут быть определены во время установления соединения.

Контроль доступа плоскости пользователя обеспечивается на уровне АТМ.

4.2.2 Службы поддержки

Перечисленные службы защиты информации, которые часто называют базисом служб защиты. Помимо данного базиса существуют также службы поддержки, которые необходимы для обеспечения масштабируемости и повышения эффективности базиса служб защиты:

1.  обмен сообщениями защиты и согласование опций защиты;

2.  обмен ключами;

3.  обновление ключей;

4.  инфраструктура сертификации.

Обмен сообщениями защиты и согласование. Для того чтобы предоставить большинство служб, описанных выше, должны передаваться сообщения между вовлеченными агентами защиты (SA). Данная спецификация описывает два метода обмена сообщениями защиты – обмен сообщениями по сигнализации UNI 4.0  и обмен сообщениями in-band (т.е. обмен сообщениями защиты по уместному виртуальному каналу плоскости пользователя).

Эти методы обмена сообщениями также обеспечивают механизм для согласования опций защиты. Т.к. требования защиты различные для разных организаций, важно обеспечить ассортимент служб защиты, алгоритмов и длительностей ключей, которые соответствуют широкой области потребностей защиты. Кроме того, законы экспорта и/или импорта некоторых стран накладывают ограничения, через которые зашифрованные продукты могут импортироваться/экспортироваться. По этим причинам механизмы защиты АТМ поддерживают множественные службы защиты, алгоритмы и длительности ключей. Для того чтобы агент защиты соответствовал общим параметрам защиты (таким как алгоритмы и длительности ключей), эти методы обмена сообщениями защиты обеспечивают согласование этих параметров как часть процедуры установления защиты для VC.

Обмен ключами – это механизм, посредством которого два агента защиты обмениваются секретными ключами для служб конфиденциальности и/или достоверности. Для того чтобы противостоять атакам типа «человек в середине», обмен ключом обычно связан со службой аутентификации. Это может быть осуществлено путем включения «конфиденциального» ключа внутри параметров обмена потоков аутентификации.

Также как аутентификация, обмен ключом представлен и для симметричных (секретный ключ) и для асимметричных (публичный ключ) алгоритмов. Кроме того, обмен ключом может быть двунаправленным (два пути) и однонаправленным (один путь).

Обновление ключа сеанса. Ключи сеанса – это ключи, используемые напрямую для обеспечения служб конфиденциальности и достоверности плоскости пользователя через виртуальные каналы АТМ. Так как скорость данных может быть высокой в VC, крайне необходимо периодически менять ключи, чтобы избежать «повторного использования ключа». Данная спецификация определяет службу обновления ключа сеанса, которая обеспечивает эту возможность.

Эта служба представлена в двух фазах – фаза обмена ключом сеанса и фаза смены ключа сеанса. Фаза обмена ключом сеанса использует «мастер ключ», которым обмениваются при установлении соединения (используя службу обмена ключом), чтобы зашифровать новый ключ сеанса. При приеме зашифрованного ключа сеанса, приемник расшифровывает ключ сеанса, используя общий мастер ключ, и сохраняет его для второй фазы – смены ключа.

Инфраструктура сертификации. В криптосистеме публичного ключа каждая сторона (агент защиты) Х имеет пару ключей: один – публично известный – «публичный ключ» Х (РКХ), и другой, известный только Х – «приватный ключ» Х (SKX). Для того, чтобы сторона А послала секретную информацию стороне В (или чтобы сторона могла проверить характеристику, переданную стороной В), А должна получит публичный ключ В, РКВ. Хотя РКВ – публичный, по определению, никакая сторона Х не должна иметь возможность заменить РКВ  на другой (например РКХ). Чтобы предотвратить такого рода воздействия, публичным ключом можно обмениваться в форме «сертификата».

Сертификат содержит имя стороны, ее публичный ключ и некоторую дополнительную информацию и обозначается доверяющей стороной, «орган сертификации» (СА). Эта характеристика жестко связывает публичный ключ с предметной стороной. Любая сторона, имеющая доступ к публичному ключу СА может проверять подлинность сертификата (путем проверки характеристики СА в сертификате) и использовать публичный ключ, который сертифицирован. Один раз отмеченные сертификаты могут передаваться через коммутаторы сообщений не поддерживающие защиту.

4.2.1 Сервисные службы защиты информации плоскости управления

Плоскость контроля – это механизм, который позволяет устройствам конфигурировать сеть, чтобы добиться определенных целей (например, установить коммутируемый виртуальный канал). Так как сообщение плоскости контроля могут влиять на состояние и работоспособность сети, их защита крайне важна.

В данной спецификации защиты определен механизм сигнализации, который может обеспечить устойчивую криптографическую достоверность данных с защитой от повторного воспроизведения/переупорядочивания. Этот механизм позволяет объектам плоскости контроля АТМ проверять источник и содержимое сигнальных сообщений до того, как этот источник выделяется по запросу.

Аутентификация и достоверность плоскости контроля – это службы защиты АТМ, которые увязывают сообщения сигнализации АТМ с его источником. Путем создания такой увязки, получатель сообщения может конфиденциально проверить, что сообщение было отправлено именно заявленным источником. Это обеспечивает механизм, который снижает количество воздействий. Например, воздействия, направленные на разрыв активного соединения путем скрытого ввода сообщений RELEASE или DROP PARTY, могут быть предотвращены, если для канала сигнализации обеспечена аутентификация. Эта служба также защищает и от умышленной модификации. В данной спецификации определен механизм аутентификации достоверности плоскости контроля между соседними объектами сигнализации. Используемый механизм идентичен механизму, применяемому для достоверности данных с защитой от повторного воспроизведения/переупорядочивания для плоскости пользователя.

5 Проблемы уязвимости  телекоммуникационных  систем 

Во время работы компьютерных систем часто возникают различные проблемы. Некоторые – по чьей-то оплошности, а некоторые являются результатом злоумышленных действий. В любом случае при этом наносится ущерб. Поэтому будем называть такие события атаками, независимо от причин их возникновения. Существуют четыре основных категории атак:

1.  атаки доступа;

2.  атаки модификации;

3.  атаки на отказ в обслуживании;

4.  атаки на отказ от обязательств.

Существует множество способов выполнения атак: при помощи специально разработанных средств, методов социального инжиниринга, через уязвимые места компьютерных систем. При социальном инжиниринге для получения несанкционированного доступа к системе не используются технические средства. Злоумышленник получает информацию через обычный телефонный звонок или проникает внутрь организации под видом ее служащего. Атаки такого рода наиболее разрушительны.

 Атаки, нацеленные на захват информации, хранящейся в электронном виде, имеют одну интересную особенность: информация не похищается, а копируется. Она остается у исходного владельца, но при этом ее получает и злоумышленник. Таким образом, владелец информации несет убытки, а обнаружить момент, когда это произошло, очень трудно.

5.1 Определение  атаки  доступа

Атака доступа – это попытка получения злоумышленником информации, для просмотра которой у него нет разрешений. Осуществление такой атаки возможно везде, где существует информация и средства для ее передачи Атака доступа направлена на нарушение конфиденциальности информации.

5.1.1Подсматривание

Подсматривание (snooping) – это просмотр файлов или документов для поиска интересующей злоумышленника информации. Если документы хранятся в виде распечаток, то злоумышленник будет вскрывать ящики стола и рыться в них. Если информация находится в компьютерной системе, то он будет просматривать файл за файлом, пока не найдет нужные сведения.

Атака доступа возможна везде, где существуют информация и средства для ее передачи


Рисунок 5.1 – Атака доступа возможна везде, где существуют информация и средства для ее передачи

5.1.2 Подслушивание

Когда кто-то слушает разговор, участником которого он не является, это называется подслушиванием (eavesdropping). Для получения несанкционированного доступа к информации злоумышленник должен находиться поблизости от нее. Очень часто при этом он использует электронные устройства

Внедрение беспроводных сетей увеличило вероятность успешного прослушивания. Теперь злоумышленнику не нужно находиться внутри системы или физически подключать подслушивающее устройство к сети. Вместо этого во время сеанса связи он располагается на стоянке для автомобилей или вблизи здания.

Появление беспроводных сетей создало многочисленные проблемы безопасности, открыв несанкционированный доступ злоумышленников к внутренним сетям.

Подслушивание


Рисунок 5.2 -  Подслушивание Перехват

В отличие от подслушивания перехват (interception) – это активная атака. Злоумышленник захватывает информацию в процессе ее передачи к месту назначения. После анализа информации он принимает решение о разрешении или запрете ее дальнейшего прохождения

Перехват


Рисунок 5.3 -  Перехват

Атаки доступа принимают различные формы в зависимости от способа хранения информации: в виде бумажных документов или в электронном виде на компьютере.

Подслушивание выполняется и в глобальных компьютерных сетях типа выделенных линий и телефонных соединений. Однако такой тип перехвата требует наличия соответствующей аппаратуры и специальных знаний. В этом случае наиболее удачным местом для размещения подслушивающего устройства является шкаф с электропроводкой.

Перехват возможен даже в системах оптико-волоконной связи с помощью специализированного оборудования, обычно выполняется квалифицированным взломщиком.

Информационный доступ с использованием перехвата – одна из сложнейших задач для злоумышленника. Чтобы добиться успеха, он должен поместить свою систему в линии передачи между отправителем и получателем информации. В интернете это выполняется посредством изменения разрешения имени, в результате чего имя компьютера преобразуется в неправильный адрес Трафик перенаправляется к системе атакующего вместо реального узла назначения. При соответствующей настройке такой системы отправитель так и не узнает, что его информация не дошла до получателя.

.

При перехвате используется неправильная информация о разрешении имени


Рисунок 5.4 – При перехвате используется неправильная информация о разрешении имени

5.2 Определение атак на отказ в обслуживании

Атаки на отказ в обслуживании (Denial-of-service, DoS) – это атаки, запрещающие легальному пользователю использование системы, информации или возможностей компьютеров. В результате DoS-атаки злоумышленник обычно не получает доступа к компьютерной системе и не может оперировать с информацией. Иначе, как вандализмом, такую атаку не назовешь.

5.2.1 Отказ в доступе к информации

В результате DoS-атаки, направленной против информации, последняя становится непригодной для использования. Информация уничтожается, искажается или переносится в недоступное место.

5.2.2 Отказ в доступе к приложениям

Другой тип DoS-атак направлен на приложения, обрабатывающие или отображающие информацию, или на компьютерную систему, в которой эти приложения выполняются. В случае успеха подобной атаки решение задач, выполняемых с помощью такого приложения, становится невозможным.

5.2.3 Отказ в доступе к системе

Общий тип DoS-атак ставит своей целью вывод из строя компьютерной системы, в результате чего сама система, установленные на ней приложения и вся сохраненная информация становится недоступной.

5.2.4Отказ в доступе к средствам связи

Атаки на отказ в доступе к средствам связи выполняются уже много лет. В качестве примера можно привести разрыв сетевого провода, глушение радиопередач или лавинную рассылку сообщений, создающую непомерный трафик. Целью атаки является коммуникационная среда. Целостность компьютерной системы и информации не нарушается, однако отсутствие средств связи лишает доступа к этим ресурсам.

5.3 Разновидность атаки на отказ в обслуживании

5.3.1Централизованные DoS-атаки

Первыми типами DoS-атак были централизованные атаки (single-source), т. Е. для осуществления атаки использовалась одна-единственная система. Наиболее широкую известность получила так называемая синхронная атака (SYN flood attack). При ее выполнении система-отправитель посылает огромное количество TCP SYN-пакетов (пакетов с синхронизирующими символами) к системе-получателю. SYN-пакеты используются для открытия новых TCP-соединений. При получении SYN-пакета система-получатель отвечает ACK-пакетом, уведомляющим об успешном приеме данных, и посылает данные для установки соединения к отправителю SYN-пакета. При этом система-получатель помещает информацию о новом соединении в буфер очереди соединений. В реальном TCP-соединении отправитель после получения SYN ACK-пакета должен отправить заключительный АСК-пакет. Однако в этой атаке отправитель игнорирует SYN ACK-пакет и продолжает отправку SYN-пакетов. В конечном итоге буфер очереди соединений на системе-получателе переполняется, и система перестает отвечать на новые запросы на подключение.

Очевидно, что если источник синхронной атаки имеет легальный IP-адрес, то его можно относительно легко идентифицировать и остановить атаку. А если адрес отправителя является немаршрутизируемым, таким как 192.168.х.х? Тогда задача усложняется. В случае продуманного выполнения синхронной атаки и при отсутствии должной защиты IP-адрес атакующего практически невозможно определить.

Для защиты систем от синхронных атак было предложено несколько решений. Самый простой способ – размещение таймера во всех соединениях, ожидающих очереди. По истечении некоторого времени соединения должны закрываться. Однако для предотвращения грамотно подготовленной атаки таймер придется установить равным такому маленькому значению, что это сделает работу с системой практически невозможной. С помощью некоторых сетевых устройств можно выявлять и блокировать синхронные атаки, но эти системы склонны к ошибочным результатам, поскольку ищут определенное количество отложенных подключений в заданном промежутке времени. Если атака имеет несколько источников одновременно, то ее очень трудно идентифицировать.

5.3.2 Распределенные DoS-атаки

Распределенные DoS-атаки (Distributed DoS attacks, DdoS) – это DoS-атаки, в осуществлении которых участвует большое количество систем. Обычно DdoS-атакой управляет одна главная система и один хакер. Эти атаки не обязательно бывают сложными. Например, хакер отправляет пинг-пакеты по широковещательным адресам большой сети, в то время как с помощью подмены адреса отправителя – спуфинга (spoofing) – все ответы адресуются к системе-жертве Такая атака получила название smurf-атаки. Если промежуточная сеть содержит много компьютеров, то количество ответных пакетов, направленных к целевой системе, будет таким большим, что приведет к выходу из строя соединения из-за огромного объема передаваемых данных.

Современные DdoS-атаки стали более изощренными по сравнению со smurf-атакой. Новые инструментальные средства атак, такие как Trinoo, Tribal Flood Network, Mstream и Stacheldraht, позволяют хакеру координировать усилия многих систем в DdoS-атаке, направленной против одной цели. Эти средства имеют трехзвенную структуру. Хакер взаимодействует с главной системой или серверным процессом, размещенным на системе-жертве. Главная система взаимодействует с подчиненными системами или клиентскими процессами, установленными на других захваченных системах. Подчиненные системы («зомби») реально осуществляют атаку против целевой системы). Команды, передаваемые к главной системе и от главной системы к подчиненным, могут шифроваться или передаваться с помощью протоколов UDP (пользовательский протокол данных) или ICMP (протокол управляющих сообщений), в зависимости от используемого инструмента. Действующим механизмом атаки является переполнение UDP-пакетами, пакетами TCP SYN или трафиком ICMP. Некоторые инструментальные средства случайным образом меняют адреса отправителя атакующих пакетов, чрезвычайно затрудняя их обнаружение.

 

Осуществление smurf-атаки


Рисунок 5.5 – Осуществление smurf-атаки

Главным результатом DdoS-атак, выполняемых с использованием специальных инструментов, является координация большого количества систем в атаке, направленной против одной системы. Независимо от того, сколько систем подключено к интернету, сколько систем используется для регулирования трафика, такие атаки могут буквально сокрушить организацию, если в них участвует достаточное количество подчиненных систем.

Структура инструментального средства для выполнения DDoS-атаки


Рисунок 5.6 – Структура инструментального средства для выполнения

DdoS-атаки

Синхронная DoS-атака


Рисунок 5.7 – Синхронная DoS-атака

После синхронной атаки были выявлены и другие атаки, более серьезные, но менее сложные в предотвращении. При выполнении атаки «пинг смерти» (Ping of Death) в целевую систему отправлялся пинг-пакет (ICMP эхо-запрос). В обычном варианте пинг-пакет не содержит данных. Пакет «пинг смерти» содержал большое количество данных. При чтении этих данных системой-получателем происходило переполнение буфера в стеке протоколов, и возникал полный отказ системы. Разработчики стека не предполагали, что пинг-пакет будет использоваться подобным образом, и поэтому проверка количества данных, помещаемых в маленький буфер, не выполнялась. Проблема была быстро исправлена после выявления, и в настоящее время осталось мало систем, уязвимых для этой атаки.

«Пинг смерти» – лишь одна разновидность DoS-атаки, нацеленная на уязвимые места систем или приложений и являющаяся причиной их остановки. DoS-атаки разрушительны лишь в начальной стадии и быстро теряют свою силу после исправления системных ошибок.

К сожалению, выявление новых DoS-атак, направленных против приложений и операционных систем, носит регулярный характер. От новых нападений можно немного отдохнуть, лишь пока хакеры исправляют ошибки в сценариях прошлых атак.

5.3.3Современных методы атак

Многие современные атаки выполняются так называемыми «скрипт киддиз» (script kiddies). Это пользователи, отыскивающие сценарии эксплойтов в интернете и запускающие их против всех систем, которые только можно найти. Эти нехитрые способы атак не требуют специальных знаний или инструкций.

Однако существуют и другие методы, основанные на более глубоком понимании работы компьютеров, сетей и атакуемых систем. В данном разделе мы познакомимся с такими методами – с прослушиванием (снифингом, от англ. Sniffing) коммутируемых сетей и имитацией IP-адреса (IP-spoofing).

5.4 Прослушивание коммутируемых сетей

Прослушивание, или снифинг (sniffing), используется хакерами/крэкерами после взлома системы для сбора паролей и другой системной информации. Для этого снифер устанавливает плату сетевого интерфейса в режим прослушивания смешанного трафика (promiscuous mode), т. Е. сетевой адаптер будет перехватывать все пакеты, перемещающиеся по сети, а не только пакеты, адресованные данному адаптеру или системе. Сниферы такого типа хорошо работают в сетях с разделяемой пропускной способностью с сетевыми концентраторами – хабами.

Поскольку сейчас больше используются сетевые коммутаторы, эффективность снифинга стала снижаться. В коммутируемой среде не применяется режим широковещательной передачи, вместо этого пакеты отправляются непосредственно к системе-получателю. Однако коммутаторы не являются защитными устройствами. Это обычные сетевые устройства, следовательно, обеспечиваемая ими безопасность скорее побочный продукт их сетевого назначения, чем элемент конструкции. Поэтому вполне возможно появление снифера, способного работать и в коммутируемой среде. И это уже произошло. Для прослушивания трафика в коммутируемой среде хакер должен выполнить одно из условий:

-      «убедить» коммутатор в том, что трафик, представляющий интерес, должен быть направлен к сниферу;

-      заставить коммутатор отправлять весь трафик ко всем портам.

При выполнении одного из условий снифер сможет считывать интересующий трафик и, таким образом, обеспечивать хакера искомой информацией.

5.4.1Перенаправление трафика

Коммутатор направляет трафик к портам на основании адреса доступа к среде передачи данных (Media Access Control) – MAC-адреса – для кадра, передаваемого по сети Ethernet. Каждая плата сетевого интерфейса имеет уникальный MAC-адрес, и коммутатор «знает» о том, какие адреса назначены какому порту. Следовательно, при передаче кадра с определенным MAC-адресом получателя коммутатор направляет этот кадр к порту, к которому приписан данный MAC-адрес.

Ниже приведены методы, с помощью которых можно заставить коммутатор направлять сетевой трафик к сниферу:

-      ARP-спуфинг;

-      дублирование MAC-адресов;

-      имитация доменного имени.

5.4.2 ARP-спуфинг (ARP-spoofing).

ARP – это протокол преобразования адресов (Address Resolution Protocol), используемый для получения MAC-адреса, связанного с определенным IP-адресом. При передаче трафика система-отправитель посылает ARP-запрос по IP-адресу получателя. Система-получатель отвечает на этот запрос передачей своего MAC-адреса, который будет использоваться системой-отправителем для прямой передачи трафика.

Если снифер захватит трафик, представляющий для него интерес, то он ответит на ARP-запрос вместо реальной системы-получателя и предоставит собственный MAC-адрес. В результате система-отправитель будет посылать трафик на снифер.

Для обеспечения эффективности данного процесса необходимо переадресовывать весь трафик на снифер вместо реального места назначения. Если этого не сделать, то появится вероятность возникновения отказа в доступе к сети.

ARP-спуфинг работает только в локальных подсетях, поскольку ARP-сообщения передаются только внутри локальной подсети. Снифер должен размещаться в том же самом сегменте локальной сети, где находятся системы отправителя и получателя.

5.4.3Дублирование MAC-адресов.

 Дублирование MAC-адреса системы-получателя является еще одним способом «убедить» коммутатор посылать трафик на снифер. Для этого хакеру нужно изменить MAC-адрес на снифере и разместиться в системе, которая находится в том же сегменте локальной сети.

5.4.4 Имитация доменного имени.

Существует третий способ заставить коммутатор отправлять весь трафик на снифер: нужно «обмануть» систему-отправителя, чтобы она использовала для передачи данных реальный MAC-адрес снифера. Это осуществляется с помощью имитации доменного имени.

При выполнении этой атаки снифер перехватывает DNS-запросы от системы-отправителя и отвечает на них. Вместо IP-адреса систем, к которым был послан запрос, система-отправитель получает IP-адрес снифера и отправляет весь трафик к нему. Далее снифер должен перенаправить этот трафик реальному получателю. Мы видим, что в этом случае атака имитации доменного имени превращается в атаку перехвата.

Для обеспечения успеха данной атаки сниферу необходимо просматривать все DNS-запросы и отвечать на них до того, как это сделает реальный получатель. Поэтому снифер должен располагаться на маршруте следования трафика от системы-отправителя к DNS-серверу, а еще лучше – в той же локальной подсети, что и отправитель.

Снифер мог бы просматривать запросы, отправляемые через интернет, но чем дальше он от системы-отправителя, тем сложнее гарантировать, что он первым ответит на них.

5.4.5Отправка всего трафика ко всем портам

Вместо выполнения одного из вышеперечисленных методов хакер может заставить коммутатор работать в качестве хаба (концентратора). Каждый коммутатор использует определенный объем памяти для хранения таблицы соответствий между MAC-адресом и физическим портом коммутатора. Эта память имеет ограниченный объем. В случае ее переполнения некоторые коммутаторы могут ошибочно выдавать состояние «открытый». Это значит, что коммутатор прекратит передачу трафика по определенным MAC-адресам и начнет пересылать весь трафик ко всем портам. В результате коммутатор станет работать подобно сетевому устройству коллективного доступа (хабу), что позволит сниферу выполнить свои функции. Для инициализации такого способа атаки хакер должен непосредственно подключиться к нужному коммутатору.

5.5 Реализация   атак

Для выполнения вышеперечисленных атак. В случае ARP-спуфинга, дублирования MAC-адресов или MAC-флудинга злоумышленник должен напрямую подключиться к атакуемому коммутатору. Такое подключение требуется и для имитации доменного имени.

Вывод такой – хакер должен установить систему на локальном коммутаторе. Он может вначале войти в систему через известную уязвимость, а затем инсталлировать необходимое для снифинга программное обеспечение. В другом варианте хакер уже находится внутри организации (он ее служащий или подрядчик). В этом случае он использует свой законный доступ в локальную сеть, что позволяет ему связаться с коммутатором.

5.5.1 Имитация IP-адреса

Как уже говорилось выше, правильность IP-адресов в пакетах, передаваемых по сети, не проверяется. Следовательно, хакер может изменить адрес отправителя так, чтобы казалось, будто пакет прибывает с любого адреса. Сложность заключается в том, что возвращаемые пакеты (SYN ACK-пакеты в TCP-соединении) не смогут вернуться к системе-отправителю. Следовательно, попытка имитации IP-адреса (IP-спуфинг) для установки TCP-соединения связана с серьезными трудностями. Кроме того, в TCP-заголовке содержится порядковый номер, используемый для подтверждения приема пакета. Исходный порядковый номер (initial sequence number, ISN) для каждого нового соединения выбирается псевдо-случайным образом.

Стив Беловин (Steve Bellovin) из лаборатории AT&T Bell опубликовал статью «Проблемы безопасности семейства протоколов TCP/IP» В этой статье говорится о том, что во многих реализациях протоколов TCP/IP исходный порядковый номер не выбирается случайным образом, а вместо этого просто увеличивается с определенным приращением. Следовательно, при наличии данных о последнем известном ISN следующий номер можно вычислить заранее. Именно благодаря этому возможно выполнение атаки IP-имитации.

На рисунке показано выполнение атаки имитации IP-адреса. Вначале хакер идентифицирует свою цель. Он должен определить величину приращения исходного порядкового номера (ISN). Это можно сделать, выполняя серию легальных подключений к целевой системе и отмечая возвращаемые ISN (при этом хакер рискует «засветить» свой реальный IP-адрес).

Выполнение имитации IP-адреса


Рисунок 5.8 – Выполнение имитации IP-адреса

После определения величины приращения ISN хакер посылает к целевой системе TCP SYN-пакет с измененным IP-адресом отправителя. Система ответит TCP SYN ACK-пакетом, который будет передан по этому подложному адресу и до хакера, следовательно, не дойдет. SYN ACK-пакет содержит исходный порядковый номер целевой системы. Для завершения процесса установки подключения данный ISN необходимо подтвердить отправкой заключительного TCP ACK-пакета. Хакер подсчитывает приблизительный ISN (основываясь на величине приращения, которую он выяснил заранее) и отправляет ACK-пакет, содержащий подложный IP-адрес отправителя и подтверждение ISN.

Если все это будет правильно выполнено, хакер закроет легальное подключение к целевой системе. Он сможет посылать команды и информацию к системе, но не будет получать ответы.

Разновидностью скрытого сканирования является сканирование со сбросом соединения (reset scan), при котором хакер посылает TCP RST-пакет по IP-адресу. Обычно этот пакет не вызывает никаких действий на системе-получателе, и на него не приходит ответ. Однако если указанная система не существует, то маршрутизатор сети, которой принадлежит адрес получателя, ответит ICMP-сообщением: «Хост недоступен». Имеются другие способы сканирования, дающие схожий результат. Следует заметить, что сканирование со сбросом соединения выявляет системы, находящиеся в сети, но не позволяет определить выполняемые на них службы, как это делает скрытое сканирование.

Сканирование со сбросом соединения


Рисунок 5.9- Сканирование со сбросом соединения

Существуют способы скрытого сканирования, позволяющие определить открытые порты. Обычно они выполняются посредством передачи трафика к определенным портам. Если порт закрыт, он ответит RST-пакетом, в противном случае ответа получено не будет.

Иногда хакер выполняет предварительное исследование в несколько этапов. Сначала он выбирает имя домена (обычно произвольно) и начинает зонную передачу DNS, направленную к этому домену. Зонная передача регистрирует все системы и IP-адреса домена, известные DNS. Получив этот список, хакер запускает инструментальные средства типа Queso или Nmap для определения операционной системы потенциального объекта атаки. Скрытое сканирование выявит службы, выполняющиеся в системе, и эти данные используются для реальных атак.

 

5.6 Определение  типов  систем  обнаружения  вторжений

Существуют два основных типа IDS: узловые (HIDS) и сетевые (NIDS). Система HIDS располагается на отдельном узле и отслеживает признаки атак на данный узел. Система NIDS находится на отдельной системе, отслеживающей сетевой трафик на наличие признаков атак, проводимых в подконтрольном сегменте сети. На рисунке показаны два типа IDS, которые могут присутствовать в сетевой среде.

Примеры размещения IDS в сетевой среде


Рисунок 5.10 – Примеры размещения IDS в сетевой среде

5.6.1Узловые IDS

Узловые IDS (HIDS) представляют собой систему датчиков, загружаемых на различные сервера организации и управляемых центральным диспетчером. Датчики отслеживают различные типы событий (более детальное рассмотрение этих событий приводится в следующем разделе) и предпринимают определенные действия на сервере либо передают уведомления. Датчики HIDS отслеживают события, связанные с сервером, на котором они загружены. Сенсор HIDS позволяет определить, была ли атака успешной, если атака имела место на той же платформе, на которой установлен датчик.

Как будет показано далее, различные типы датчиков HIDS позволяют выполнять различные типы задач по обнаружению вторжений. Не каждый тип датчиков может использоваться в организации, и даже для различных серверов внутри одной организации могут понадобиться разные датчики. Следует заметить, что система HIDS, как правило, стоит дороже, чем сетевая система, так как в этом случае каждый сервер должен иметь лицензию на датчик (датчики дешевле для одного сервера, однако общая стоимость датчиков больше по сравнению со стоимостью использования сетевых IDS).

С использованием систем HIDS связан еще один вопрос, заключающийся в возможностях процессора на сервере. Процесс датчика на сервере может занимать от 5 до 15 % общего процессорного времени. Если датчик работает на активно используемой системе, его присутствие отрицательно скажется на производительности и, таким образом, придется приобретать более производительную систему.

5.6.2 Сетевые IDS

NIDS представляет собой программный процесс, работающий на специально выделенной системе. NIDS переключает сетевую карту в системе в неразборчивый режим работы, при котором сетевой адаптер пропускает весь сетевой трафик (а не только трафик, направленный на данную систему) в программное обеспечение NIDS. После этого происходит анализ трафика с использованием набора правил и признаков атак для определения того, представляет ли этот трафик какой-либо интерес. Если это так, то генерируется соответствующее событие.

На данный момент большинство систем NIDS базируется на признаках атак. Это означает, что в системы встроен набор признаков атак, с которыми сопоставляется трафик в канале связи. Если происходит атака, признак которой отсутствует в системе обнаружения вторжений, система NIDS не замечает эту атаку. NIDS-системы позволяют указывать интересуемый трафик по адресу источника, конечному адресу, порту источника или конечному порту. Это дает возможность отслеживания трафика, не соответствующего признакам атак.

На рынке начали появляться системы NIDS, базирующиеся на обнаружении аномалий. Эти системы осуществляют поиск аномалий в сетевом трафике для выявления атак. Чаще всего при применении NIDS используются две сетевые карты  Одна карта используется для мониторинга сети. Эта карта работает в «скрытом» режиме, поэтому она не имеет IP-адреса и, следовательно, не отвечает на входящие соединения.

У скрытой карты отсутствует стек протоколов, поэтому она не может отвечать на такие информационные пакеты, как пинг-запросы. Вторая сетевая карта используется для соединения с системой управления IDS и для отправки сигналов тревоги. Эта карта присоединяется ко внутренней сети, невидимой для той сети, в отношении которой производится мониторинг.

Конфигурация NIDS с двумя сетевыми картами


Рисунок 5.11 – Конфигурация NIDS с двумя сетевыми картами

Среди преимуществ использования NIDS можно выделить следующие моменты.

-      NIDS можно полностью скрыть в сети таким образом, что злоумышленник не будет знать о том, что за ним ведется наблюдение.

-      Одна система NIDS может использоваться для мониторинга трафика с большим числом потенциальных систем-целей.

-      NIDS может осуществлять перехват содержимого всех пакетов, направляющихся на систему-цель.

Среди недостатков данной системы необходимо отметить следующие аспекты.

-      Система NIDS может только выдавать сигнал тревоги, если трафик соответствует предустановленным правилам или признакам.

-      NIDS может упустить нужный интересуемый трафик из-за использования широкой полосы пропускания или альтернативных маршрутов.

-      Система NIDS не может определить, была ли атака успешной.

-      Система NIDS не может просматривать зашифрованный трафик.

-      В коммутируемых сетях (в отличие от сетей с общими носителями) требуются специальные конфигурации, без которых NIDS будет проверять не весь трафик.

5.7 Распознавание атак

Распознавание атак является одной из главных целей использования IDS. Система IDS запрограммирована на поиск определенных типов событий, которые служат признаками атак. В качестве простого примера приведем соединение через TCP-порт 80 (http), за которым следует URL, содержащий расширение .bat. Это может быть признаком того, что злоумышленник пытается использовать уязвимость на веб-сервере IIS.

Большую часть атак идентифицировать не просто. Например, до сих пор в интернете широко распространены атаки с угадыванием пароля. Система HIDS может содержать правило, согласно которому после трех неудачных попыток входа через короткие промежутки времени вход в данную учетную запись блокируется. Для этого HIDS должна отслеживать время и число неудачных попыток входа на каждой учетной записи, фиксируемой в журнале, и сбрасывать счетчик в случае успешного входа или истечения времени.

Еще более сложным примером распознавания атак является ситуация, когда злоумышленник пытается угадать пароли на нескольких учетных записях и системах. В данном случае атакующий не будет пробовать войти в одну и ту же учетную запись дважды за короткий промежуток времени, а попытается использовать этот пароль в каждой учетной записи. Если время каждой попытки достаточно велико, счетчики на отдельных учетных записях будут сбрасываться, перед тем как злоумышленник трижды осуществит неудачный вход в систему с использованием данной учетной записи. Единственным способом выявить такую атаку является сопоставление информации из журналов различных систем. Такой анализ осуществляет система HIDS, способная сопоставлять информацию с нескольких компьютеров.

5.7.1Мониторинг политики

Мониторинг политики – это менее заметный аспект деятельности по обнаружению атак. Целью системы IDS, настроенной на отслеживание политики, является отслеживание выполнения или невыполнения политики организации. В самом простом случае NIDS можно настроить на отслеживание всего веб-трафика вне сети. Такая конфигурация позволяет отслеживать любое несоответствие политикам использования интернета. Если в системе сконфигурирован список веб-сайтов, не отвечающий веб-стандартам корпоративного использования, NIDS зафиксирует любые подключения к таким сайтам.

Система NIDS также проверяет соответствие конфигурациям маршрутизатора или межсетевого экрана. В этом случае NIDS настраивается на отслеживание трафика, который не должен проходить через маршрутизатор или межсетевой экран. При обнаружении такого трафика определяется нарушение корпоративной политики межсетевых экранов.

Использование IDS для мониторинга политики может занять очень много времени и потребовать большого количества действий по конфигурированию.

5.7.2Принуждение к использованию политики

Применение системы IDS в качестве средства принудительного использования политики выводит конфигурацию мониторинга политики на более высокий уровень. При отслеживании политики IDS настраивается на выполнение действий при нарушении политики. В первом примере в разделе «Мониторинг политики» IDS с принуждением к использованию политики не только определит попытку соединения с недоступным веб-сайтом, но и предпримет меры по предотвращению этого действия.

5.7.3Обработка инцидента

Система IDS может оказаться полезной после обнаружения инцидента. В этом случае с помощью IDS можно собрать доказательства. NIDS можно настроить на отслеживание определенных соединений и ведение полноценного журнала по учету трафика. В то же время можно использовать и HIDS для фиксирования всех записей журнала для определенной учетной записи системы.

5.7.4Выбор объекта мониторинга

Выбор объекта мониторинга зависит от целей, поставленных перед системой IDS, и от среды, в которой IDS будет функционировать. Например, если цель IDS заключается в обнаружении атак, и IDS расположена в интернете за пределами межсетевого экрана компании, то IDS потребуется отслеживать весь трафик, поступающий на межсетевой экран, для обнаружения входящих атак. В качестве альтернативы IDS можно разместить в пределах зоны, защищаемой межсетевым экраном, для определения только тех атак, которые успешно преодолели межсетевой экран. Исходящий трафик в данном случае может игнорироваться

Выбор объекта мониторинга определяет расположение датчиков. Датчики могут быть расположены вне межсетевого экрана, внутри сети, на системах с секретной информацией или на системах, используемых специально для сбора и обработки данных журнала. Ключевым моментом, о котором необходимо помнить при вынесении решения по поводу размещения датчика IDS, является то, что датчик должен иметь возможность просмотра интересуемых событий, будь то сетевой трафик или записи журнала. Если интересуемые события не преодолевают межсетевой экран, то не рекомендуется размещать датчик NIDS в области, защищаемой межсетевым экраном.

Пример выбора объекта мониторинга


Рисунок 5.12- Пример выбора объекта мониторинга

 

 При размещении датчиков NIDS необходимо руководствоваться еще одним ключевым правилом. Если в сети используются коммутаторы вместо концентраторов, датчик NIDS не будет правильно работать, если он просто подключен к порту коммутатора. Коммутатор будет отправлять только трафик, направленный на датчик, к тому порту, к которому подключен датчик. В случае с коммутируемой сетью существуют два варианта использования датчиков NIDS: применение порта, отслеживающего коммутатор, или применение сетевого разветвителя.  При использовании порта может возникнуть конфликт с персоналом по обслуживанию сети из-за того, что этот порт может использоваться для разрешения проблем, возникающих в сети. Кроме этого, многие коммутаторы позволяют вести мониторинг (некоторыми производителями вместо этого слова используется термин «связывание») только одного порта единовременно. Порт мониторинга, как правило, не позволяет осуществлять мониторинг магистрали коммутатора. Эта функция не будет работать в любом случае, так как магистраль коммутатора передает данные со скоростью в несколько мегабит в секунду, и датчик NIDS использует соединение 100BaseT (скорость 100 мегабит в секунду). Такое соединение не позволяет осуществлять передачу данных NIDS, поэтому в данной конфигурации не представляется возможным прерывание соединений.

Конфигурации датчика сетевой IDS для коммутируемой сети


Рисунок 5.13 – Конфигурации датчика сетевой IDS для коммутируемой сети

Разветвители – это пассивные проводные соединения между двумя устройствами (например, между маршрутизатором и коммутатором). Как правило, разветвитель подключается к концентратору, к которому также подсоединен датчик NIDS. Это позволяет датчику отслеживать трафик.

Разветвитель не позволяет датчику NIDS осуществлять передачу данных, поэтому в данной конфигурации прерывание соединений также недопустимо.

5.8 Атаки

События атак требуют самой быстрой ответной реакции. В идеальном случае IDS должна быть настроена только на идентификацию событий высокого приоритета в случае использования известной внутренней уязвимости. В этом случае должна быть немедленно применена процедура обработки инцидента.

Имейте в виду, что IDS не распознает разницу между непосредственной атакой и сканированием уязвимостей, которое выглядит как атака. Администратор системы IDS должен проводить оценку информации, представленной системой IDS, для определения того, является ли событие атакой. Во-первых, необходимо выяснить число событий. Если в течение короткого промежутка времени наблюдался набор признаков различных атак, то это, скорее всего, сканирование уязвимостей, а не непосредственная атака. Если же обнаружен один признак атаки, направленной на одну или несколько систем, то это событие может представлять собой настоящую атаку.

5.8.1Нарушения политики

В большей части организаций использование такого трафика является нарушением политики безопасности. К сожалению, такие нарушения политики могут представлять для организации большую опасность, нежели непосредственные атаки. В большинстве случаев событие происходит в действительности. Таким образом, открывается доступ к файлам, и системы настраиваются на разрешение выполнения команды rlogin.

Выбор метода обработки различных нарушений политики зависит от внутренних политик и процедур, имеющих место в организации. Тем не менее, необходимо разъяснить все моменты системному администратору или ответственному лицу, чтобы ему стала ясна суть политик организации.

5.8.2Подозрительные события

События, не соответствующие полностью ни одной из других категорий, заносятся в категорию подозрительных событий. Подозрительным событием называется событие, которое не удалось распознать. Например, ключ реестра Windows NT был изменен по непонятной причине. Это не похоже на атаку, но в то же время не ясно, каковы причины изменения ключа. В качестве другого примера можно привести пакет с флагами заголовка, нарушающими стандарт протокола. Это может быть попытка разведывательного сканирования, результат неисправности сетевой карты системы или пакет, при передаче которого возникли ошибки. В данных, выдаваемых системой IDS, не предоставляется достаточно сведений для четкого определения конкретной ситуации и выяснения того, что произошло – безобидная ошибка или атака.

Ничуть не менее подозрительным может оказаться неожиданный сетевой трафик, появившийся во внутренней сети. Если рабочая станция начинает запрашивать SNMP-данные с других систем, то это может быть как следствием атаки, так и неправильной конфигурации. Подозрительные события необходимо исследовать настолько, насколько позволяют это делать имеющиеся ресурсы.

5.8.3Исследование подозрительных событий

При возникновении подозрительных действий следует выполнить процедуру, состоящую из следующих шагов, чтобы определить, является ли данное действие удавшимся вторжением или попыткой проникновения, либо оно носит безвредный характер. Идентифицировать системы.

При выполнении каждого шага необходимо определять, достаточно ли очевидных признаков для выяснения того, является ли данное действие атакой. В следующих разделах приводится описание данных шагов.

5.8.4Идентификация систем

Первым шагом при исследовании подозрительной активности является идентификация участвующих в действии систем. Эта процедура может заключаться в преобразовании IP-адресов в имена узлов. В некоторых случаях имя узла найти не удается (система не имеет записи DNS; это клиент DHCP; удаленный DNS-сервер находится в неактивном состоянии и т. Д.). Если поиск DNS оканчивается неудачей, то следует попытаться идентифицировать узел другими способами

Источник подозрительного трафика может не являться непосредственным источником атаки. Попытки проведения атаки на отказ в обслуживании, как правило, проводятся с подмененными исходными адресами, и попытки несанкционированного доступа или зондирование могут исходить с других систем, захваченных злоумышленником.

Межсетевой экран (firewall) – это устройство контроля доступа в сеть, предназначенное для блокировки всего трафика, за исключением разрешенных данных. Этим оно отличается от маршрутизатора, функцией которого является доставка трафика в пункт назначения в максимально короткие сроки.

Существует мнение, что маршрутизатор также может играть роль межсетевого экрана. Однако между этими устройствами существует одно принципиальное различие: маршрутизатор предназначен для быстрой маршрутизации трафика, а не для его блокировки. Межсетевой экран представляет собой средство защиты, которое пропускает определенный трафик из потока данных, а маршрутизатор является сетевым устройством, которое можно настроить на блокировку определенного трафика.

Кроме того, межсетевые экраны, как правило, обладают большим набором настроек. Прохождение трафика на межсетевом экране можно настраивать по службам, IP-адресам отправителя и получателя, по идентификаторам пользователей, запрашивающих службу. Межсетевые экраны позволяют осуществлять централизованное управление безопасностью. В одной конфигурации администратор может настроить разрешенный входящий трафик для всех внутренних систем организации. Это не устраняет потребность в обновлении и настройке систем, но позволяет снизить вероятность неправильного конфигурирования одной или нескольких систем, в результате которого эти системы могут подвергнуться атакам на некорректно настроенную службу.

.

6 Определение типов межсетевых экранов

Существуют два основных типа межсетевых экранов: межсетевые экраны прикладного уровня и межсетевые экраны с пакетной фильтрацией. В их основе лежат различные принципы работы, но при правильной настройке оба типа устройств обеспечивают правильное выполнение функций безопасности, заключающихся в блокировке запрещенного трафика. Из материала следующих разделов вы увидите, что степень обеспечиваемой этими устройствами защиты зависит от того, каким образом они применены и настроены.

6.1 Межсетевые экраны прикладного уровня

Межсетевые экраны прикладного уровня, или прокси-экраны, представляют собой программные пакеты, базирующиеся на операционных системах общего назначения (таких как Windows NT и Unix) или на аппаратной платформе межсетевых экранов. Межсетевой экран обладает несколькими интерфейсами, по одному на каждую из сетей, к которым он подключен. Набор правил политики определяет, каким образом трафик передается из одной сети в другую. Если в правиле отсутствует явное разрешение на пропуск трафика, межсетевой экран отклоняет или аннулирует пакеты.

Правила политики безопасности усиливаются посредством использования модулей доступа. В межсетевом экране прикладного уровня каждому разрешаемому протоколу должен соответствовать свой собственный модуль доступа. Лучшими модулями доступа считаются те, которые построены специально для разрешаемого протокола. Например, модуль доступа FTP предназначен для протокола FTP и может определять, соответствует ли проходящий трафик этому протоколу и разрешен ли этот трафик правилами политики безопасности.

При использовании межсетевого экрана прикладного уровня все соединения проходят через него Как показано на рисунке, соединение начинается на системе-клиенте и поступает на внутренний интерфейс межсетевого экрана. Межсетевой экран принимает соединение, анализирует содержимое пакета и используемый протокол и определяет, соответствует ли данный трафик правилам политики безопасности. Если это так, то межсетевой экран инициирует новое соединение между своим внешним интерфейсом и системой-сервером.

Межсетевые экраны прикладного уровня используют модули доступа для входящих подключений. Модуль доступа в межсетевом экране принимает входящее подключение и обрабатывает команды перед отправкой трафика получателю. Таким образом, межсетевой экран защищает системы от атак, выполняемых посредством приложений.

Соединения модуля доступа межсетевого экрана прикладного уровня


Рисунок 6.1 – Соединения модуля доступа межсетевого экрана прикладного уровня

Межсетевые экраны прикладного уровня содержат модули доступа для наиболее часто используемых протоколов, таких как http, SMTP, FTP и telnet. Некоторые модули доступа могут отсутствовать. Если модуль доступа отсутствует, то конкретный протокол не может использоваться для соединения через межсетевой экран.

Межсетевой экран также скрывает адреса систем, расположенных по другую сторону от него. Так как все соединения инициируются и завершаются на интерфейсах межсетевого экрана, внутренние системы сети не видны напрямую извне, что позволяет скрыть схему внутренней адресации сети.

*    6.2 Межсетевые экраны с пакетной фильтрацией

*     

Межсетевые экраны с пакетной фильтрацией могут также быть программными пакетами, базирующимися на операционных системах общего назначения (таких как Windows NT и Unix) либо на аппаратных платформах межсетевых экранов. Межсетевой экран имеет несколько интерфейсов, по одному на каждую из сетей, к которым подключен экран. Аналогично межсетевым экранам прикладного уровня, доставка трафика из одной сети в другую определяется набором правил политики. Если правило не разрешает явным образом определенный трафик, то соответствующие пакеты будут отклонены или аннулированы межсетевым экраном.

Правила политики усиливаются посредством использования фильтров пакетов. Фильтры изучают пакеты и определяют, является ли трафик разрешенным, согласно правилам политики и состоянию протокола (проверка с учетом состояния). Если протокол приложения функционирует через TCP, определить состояние относительно просто, так как TCP сам по себе поддерживает состояния. Это означает, что когда протокол находится в определенном состоянии, разрешена передача только определенных пакетов. Рассмотрим в качестве примера последовательность установки соединения. Первый ожидаемый пакет -–пакет SYN. Межсетевой экран обнаруживает этот пакет и переводит соединение в состояние SYN. В данном состоянии ожидается один из двух пакетов -–либо SYN ACK (опознавание пакета и разрешение соединения) или пакет RST (сброс соединения по причине отказа в соединении получателем). Если в данном соединении появятся другие пакеты, межсетевой экран аннулирует или отклонит их, так как они не подходят для данного состояния соединения, даже если соединение разрешено набором правил.

Если протоколом соединения является UDP, межсетевой экран с пакетной фильтрацией не может использовать присущее протоколу состояние, вместо чего отслеживает состояние трафика UDP. Как правило, межсетевой экран принимает внешний пакет UDP и ожидает входящий пакет от получателя, соответствующий исходному пакету по адресу и порту, в течение определенного времени. Если пакет принимается в течение этого отрезка времени, его передача разрешается. В противном случае межсетевой экран определяет, что трафик UDP не является ответом на запрос, и аннулирует его.

При использовании межсетевого экрана с пакетной фильтрацией соединения не прерываются на межсетевом экране а направляются непосредственно к конечной системе. При поступлении пакетов межсетевой экран выясняет, разрешен ли данный пакет и состояние соединения правилами политики. Если это так, пакет передается по своему маршруту. В противном случае пакет отклоняется или аннулируется.

Передача трафика через межсетевой экран с фильтрацией пакетов


Рисунок 6.2 -–Передача трафика через межсетевой экран с фильтрацией пакетов

Межсетевые экраны с фильтрацией пакетов не используют модули доступа для каждого протокола и поэтому могут использоваться с любым протоколом, работающим через IP. Некоторые протоколы требуют распознавания межсетевым экраном выполняемых ими действий. Например, FTP будет использовать одно соединение для начального входа и команд, а другое -–для передачи файлов. Соединения, используемые для передачи файлов, устанавливаются как часть соединения FTP, и поэтому межсетевой экран должен уметь считывать трафик и определять порты, которые будут использоваться новым соединением. Если межсетевой экран не поддерживает эту функцию, передача файлов невозможна.

Как правило, межсетевые экраны с фильтрацией пакетов имеют возможность поддержки большего объема трафика, т. к. в них отсутствует нагрузка, создаваемая дополнительными процедурами настройки и вычисления, имеющими место в программных модулях доступа.

Различные производители межсетевых экранов сопоставляют их производительность различными способами. Исторически сложилось так, что межсетевые экраны с пакетной фильтрацией имеют возможность обработки большего объема трафика, нежели межсетевые экраны прикладного уровня, на платформе одного и того же типа. Это сравнение показывает различные результаты в зависимости от типа трафика и числа соединений, имеющих место в процессе тестирования.

Межсетевые экраны, работающие только посредством фильтрации пакетов, не используют модули доступа, и поэтому трафик передается от клиента непосредственно на сервер. Если сервер будет атакован через открытую службу, разрешенную правилами политики межсетевого экрана, межсетевой экран никак не отреагирует на атаку. Межсетевые экраны с пакетной фильтрацией также позволяют видеть извне внутреннюю структуру адресации. Внутренние адреса скрывать не требуется, так как соединения не прерываются на межсетевом экране.

6.3 Гибридные межсетевые экраны

Как и многие другие устройства, межсетевые экраны изменяются и совершенствуются с течением времени, т. Е. эволюционируют. Производители межсетевых экранов прикладного уровня в определенный момент пришли к выводу, что необходимо разработать метод поддержки протоколов, для которых не существует определенных модулей доступа. Вследствие этого увидела свет технология модуля доступа Generic Services Proxy (GSP). GSP разработана для поддержки модулями доступа прикладного уровня других протоколов, необходимых системе безопасности и при работе сетевых администраторов. В действительности GSP обеспечивает работу межсетевых экранов прикладного уровня в качестве экранов с пакетной фильтрацией.

Производители межсетевых экранов с пакетной фильтрацией также добавили некоторые модули доступа в свои продукты для обеспечения более высокого уровня безопасности некоторых широко распространенных протоколов. На сегодняшний день многие межсетевые экраны с пакетной фильтрацией поставляются с модулем доступа SMTP.

В то время как базовая функциональность межсетевых экранов обоих типов осталась прежней, (что является причиной большинства «слабых мест» этих устройств), сегодня на рынке присутствуют гибридные межсетевые экраны. Практически невозможно найти межсетевой экран, функционирование которого построено исключительно на прикладном уровне или фильтрации пакетов. Это обстоятельство отнюдь не является недостатком, так как оно позволяет администраторам, отвечающим за безопасность, настраивать устройство для работы в конкретных условиях.

6.4 Разработка конфигурации межсетевого экрана

Рассмотрим некоторые стандартные сетевые архитектуры и выясним, каким образом следует настраивать сетевой экран в той или иной конкретной ситуации.

Существует внутренняя система DNS, которая запрашивает системы интернета для преобразования имен в адреса, однако в организации отсутствует своя собственная главная внешняя DNS.

Интернет-политика организации позволяет внутренним пользователям использовать следующие службы:

-           Hhttp

-           HTTPS;

-           FTP;

-           Telnet;

-           SSH.

На базе этой политики можно построить правила политики для различных архитектур.

6.4.1 Архитектура 1: системы за пределами межсетевого экрана, доступные из интернета

На рисунке показано размещение доступных из интернета систем между сетевым экраном и внешним маршрутизатором. На маршрутизаторе может быть установлена фильтрация, позволяющая только внешним данным Hhttpпоступать на веб-сервер и передавать на почтовый сервер только поступающие извне данные SMTP. Как видно из приведенных правил, независимо от того, какой тип межсетевого экрана используется, веб-сервер и почтовый сервер не защищены межсетевым экраном. В данном случае межсетевой экран лишь защищает внутреннюю сеть организации.

Системы за пределами межсетевого экрана, доступные из интернета


Рисунок 6.3 -–Системы за пределами межсетевого экрана, доступные из интернета

 

6.4.2 Архитектура 2: один межсетевой экран

Вторая стандартная архитектура показана на рисунке В данной архитектуре используется один межсетевой экран для защиты как внутренней сети, так и любых других систем, доступных из интернета. Эти системы располагаются в отдельной сети

Один межсетевой экран

*               
Рисунок. 6.4 -–Один межсетевой экран

*                 

Межсетевой экран дополняет правила, которые использовались в маршрутизаторе в предыдущей архитектуре. Также  видим, что не существует явного правила, позволяющего внутреннему почтовому серверу подключаться к почтовому серверу в отдельной сети. Причиной этому является правило 2, позволяющее любой системе (внутренней или внешней) подключаться к упомянутой системе.

6.4.3 Архитектура 3: двойные межсетевые экраны

Третья архитектура, использует двойные межсетевые экраны). Доступные из интернета системы располагаются между межсетевыми экранами, а внутренняя сеть расположена за вторым межсетевым экраном

*                Архитектура 3: двойные межсетевые экраны

*               
Рисунок 6.5 -–Архитектура 3: двойные межсетевые экраны

 

6.4.4Построение  набора правил межсетевого экрана

Качественно созданный набор правил не менее важен, чем аппаратная платформа. Большая часть межсетевых экранов работает по принципу "«ервого соответствия"»при принятии решения о передаче или отклонении пакета.

Некоторые межсетевые экраны содержат обработчик набора правил, проверяющий набор на наличие правил, перекрываемых другими правилами. Обработчик информирует об этой ситуации администратора межсетевого экрана перед установкой правил на межсетевой экран.

Данный подход хорош в общем плане, однако он не решает проблему производительности межсетевого экрана. Чем больше правил необходимо проверять для каждого пакета, тем больше вычислений должен производить межсетевой экран.

Для повышения эффективности работы экрана следует оценить ожидаемую нагрузку трафика на межсетевой экран и упорядочить трафик по типам. Как правило, наибольший объем занимает трафик Hhttp Для повышения эффективности межсетевого экрана следует разместить правила, относящиеся к Hhttp вверху набора правил. Это означает, что правило, позволяющее внутренним системам использовать Hhttpдля подключения к любой системе в интернете, и правило, разрешающее внешним пользователям осуществлять доступ к веб-сайту организации, должны быть расположены очень близко к верхней границе набора правил. Единственными правилами, которые должны находиться выше двух упомянутых правил, являются специфичные правила отказа в доступе, относящиеся к протоколу Hhttp

Если модули доступа на межсетевом экране прикладного уровня настроены правильно, в результате сканирования через экран с фильтрацией пакетов, скорее всего, отобразится большее число уязвимостей, чем при сканировании через межсетевой экран прикладного уровня.

 

7 Управление сетями VPN

Если управление VPN-пользователями не связано с центральной системой управления пользователями, этот факт должен учитываться в процедурах управления пользователями, покидающими организацию.

Пользователи должны проходить аутентификацию перед использованием сетей VPN. Так как VPN позволяет осуществлять удаленный доступ ко внутренней сети организации, эта аутентификация должна быть двухфакторной, то есть запрашивать два аутентификационных параметра. Одним из параметров может являться сам компьютер пользователя. В этом случае вторым параметром должно быть нечто известное пользователю или непосредственно с ним связанное. В любом случае, второй параметр не должен находиться на компьютере и не должен быть с ним связан.

В организациях должна приниматься в расчет нагрузка трафиком. Главной точкой нагрузки является VPN-сервер в узле организации. Ключевым параметром нагрузки является ожидаемое число одновременных соединений. При установке каждого соединения VPN-сервер должен иметь возможность расшифровывать дополнительный трафик. Хотя процессор может обеспечивать поддержку больших объемов трафика, он может не обеспечивать шифрование и расшифровку большого числа пакетов без значительных задержек. Следовательно, сервер VPN должен создаваться с учетом ожидаемого числа единовременных соединений.

Еще один момент может повлиять на использование организацией пользовательской VPN. Он связан с использованием трансляции сетевых адресов (NAT) на противоположном конце соединения. Если ожидается, что сотрудники организации будут пытаться использовать VPN с узлов, защищенных межсетевыми экранами, могут возникнуть проблемы. Например, если организация А является консалтинговой компанией с сотрудниками, работающими в организации Б, в А может возникнуть потребность предоставить своим сотрудникам обратную связь для работы с электронной почтой и получения доступа к файлам. Однако, если эти сотрудники работают с компьютеров, входящих в состав внутренней сети организации Б, в которой используется динамическая NAT для скрытия адресов внутренних систем, это окажется невозможным. Если в вашей организации предпочтение отдается использованию VPN именно таким образом, следует проверить возможности программного обеспечения VPN.

7.1Управление пользовательскими VPN

Управление пользовательскими VPN, главным образом, заключается в управлении пользователями и их компьютерами. При разделении сотрудников необходимо выполнять соответствующие процедуры по управлению пользователями.

Разумеется, на компьютерах пользователей должны устанавливаться правильные версии программного обеспечения VPN и реализовываться соответствующие конфигурации. Если компьютеры принадлежат организации, это программное обеспечение является стандартным компонентом для каждого компьютера. Если организация разрешает сотрудникам использовать VPN со своих домашних компьютеров, ей понадобится увеличить общий уровень поддержки этих пользователей, так как различные компьютеры и поставщики услуг интернета могут требовать наличие различных конфигураций.

7.2 Развертывание узловых сетей VPN

Узловые виртуальные частные сети используются организациями для подключения к удаленным узлам без применения дорогостоящих выделенных каналов или для соединения двух различных организаций, между которыми необходима связь для осуществления информационного обмена, связанного с деятельностью этих организаций. Как правило, VPN соединяет один межсетевой экран или пограничный маршрутизатор с другим аналогичным устройством Чтобы инициировать соединение, один из узлов осуществляет попытку передать трафик другому узлу. Вследствие этого на обоих противоположных узлах соединения VPN инициируется VPN. Оба конечных узла определяют параметры соединения в зависимости от политик, имеющихся на узлах. Оба сайта будут аутентифицировать друг друга посредством некоторого общего предопределенного секрета либо с помощью сертификата с открытым ключом. Некоторые организации используют узловые VPN в качестве резервных каналов связи для арендуемых каналов.

При работе с данной конфигурацией необходимо обеспечивать правильную настройку маршрутизации. Кроме того, физический канал связи, используемый для VPN, обязательно должен отличаться от канала, используемого арендуемым соединением. Может оказаться так, что оба соединения осуществляются через один и тот же физический канал связи, вследствие чего не будет обеспечиваться должный уровень избыточности.

Межузловое соединение VPN, проходящее через интернет


Рисунок 7.1 - Межузловое соединение VPN, проходящее через интернет

7.2.1 Преимущества узловых VPN

Как и в случае с пользовательскими VPN, основным преимуществом узловой VPN является экономичность. Организация с небольшими, удаленными друг от друга офисами может создать виртуальную частную сеть, соединяющую все удаленные офисы с центральным узлом (или даже друг с другом) со значительно меньшими затратами. Сетевая инфраструктура также может быть применена значительно быстрее, так как в удаленных офисах могут использоваться локальные ISP для каналов ISDN или DSL.

На базе политики организации могут быть разработаны правила, определяющие, каким образом удаленные сайты будут подключаться к центральному сайту или друг к другу. Если узловая VPN предназначена для соединения двух организаций, то на доступ ко внутренним сетям и компьютерным системам могут налагаться строгие ограничения.

7.2.2Проблемы, связанные  с  узловыми VPN

Узловые VPN расширяют периметр безопасности организации, добавляя новые удаленные узлы или даже удаленные организации. Если уровень безопасности удаленного узла невелик, VPN может позволить злоумышленнику получить доступ к центральному узлу и другим частям внутренней сети организации. Следовательно, необходимо применять строгие политики и реализовывать функции аудита для обеспечения безопасности организации в целом. В случаях, когда две организации используют узловую VPN для соединения своих сетей, очень важную роль играют политики безопасности, установленные по обе стороны соединения. В данной ситуации обе организации должны определить, какие данные могут передаваться через VPN, а какие - нет, и соответствующим образом настроить политики на своих межсетевых экранах.

Аутентификация узловых VPN также является важным условием для обеспечения безопасности. При установке соединения могут использоваться произвольные секреты, но один и тот же общий секрет не должен использоваться для более чем одного соединения VPN. Если предполагается использовать сертификаты с открытыми ключами, необходимо создать процедуры для поддержки изменения и отслеживания срока действия сертификатов.

Как и в случае с пользовательскими VPN, сервер VPN должен поддерживать дешифрование и шифрование VPN-трафика. Если уровень трафика высок, сервер VPN может оказаться перегруженным. В особенности это относится к ситуации, когда межсетевой экран является VPN-сервером, и имеет место интернет-трафик большого объема.

Наконец, необходимо обдумать вопросы, связанные с адресацией. Если узловая VPN используется внутри одной организации, в ней необходимо наличие одинаковой схемы адресации для всех узлов. В данном случае адресация не представляет какой-либо сложности. Если же VPN используется для соединения двух различных организаций, необходимо предпринять меры для предупреждения любых конфликтов, связанных с адресацией. На рисунке отражена возникшая конфликтная ситуация. Здесь обе организации используют части одного и того же частного адресного пространства (сеть 10.1.1.x).

Узловая VPN может вызывать конфликты, связанные с адресацией


Рисунке 7.2 - Узловая VPN может вызывать конфликты, связанные с адресацией

Очевидно, что схемы адресации будут конфликтовать друг с другом, и маршрутизация трафика не будет функционировать. В данном случае каждая сторона соединения VPN должна выполнять трансляцию сетевых адресов и переадресовывать системы другой организации на их собственную схему адресации

7.2.3 Управление  узловыми VPN

При осуществлении контроля над маршрутизацией могут понадобиться дополнительные функции по управлению. На маршрутизаторах внутренних сетей потребуется создать маршруты к удаленным сайтам. Эти маршруты, наряду с управлением схемой адресации, должны четко документироваться во избежание непреднамеренного удаления маршрутов в процессе управления маршрутизатором.

7.3 Понятие стандартных технологий функционирования VPN

Сеть VPN состоит из четырех ключевых компонентов:

-      Сервер VPN.

-      Алгоритмы шифрования.

-      Система аутентификации.

-      Протокол VPN.

Эти компоненты реализуют соответствие требованиям по безопасности, производительности и способности к взаимодействию. То, насколько правильно реализована архитектура VPN, зависит от правильности определения требований. Определение требований должно включать в себя следующие аспекты:

Узловая VPN использует NAT для предотвращения конфликтов адресации


Рисунок 7.3 - Узловая VPN использует NAT для предотвращения конфликтов адресации

 

-      Количество времени, в течение которого необходимо обеспечивать защиту информации.

-      Число одновременных соединений пользователей.

-      Ожидаемые типы соединений пользователей (сотрудники, работающие из дома или находящиеся в поездке).

-      Число соединений с удаленным сервером.

-      Типы сетей VPN, которым понадобится соединение.

-      Ожидаемый объем входящего и исходящего трафика на удаленных узлах.

-      Политика безопасности, определяющая настройки безопасности.

При разработке системы также может оказаться полезным указать дополнительные требования, связанные с местоположением сотрудников, находящихся в поездке (имеются в виду узлы в других организациях или в номерах отелей), а также типы служб, которые будут работать через VPN.

7.3.1Сервер VPN

Сервер VPN представляет собой компьютер, выступающий в роли конечного узла соединения VPN. Данный сервер должен обладать характеристиками, достаточными для поддержки ожидаемой нагрузки. Большая часть производителей программного обеспечения VPN должна предоставлять рекомендации по поводу производительности процессора и конфигурации памяти, в зависимости от числа единовременных VPN-соединений. Следует обеспечить наличие системы с соответствующими параметрами, а также позаботиться о ее дальнейшей модернизации.

Может потребоваться создание нескольких серверов VPN, чтобы обеспечить поддержку ожидаемой нагрузки. В данном случае ожидаемые VPN-соединения должны как можно скорее распределяться между системами.

VPN-сервер должен быть расположен в сети. Сервер может быть межсетевым экраном или пограничным маршрутизатором что упрощает размещение VPN-сервера. В качестве альтернативы сервер может являться и отдельной системой. В этом случае сервер должен быть расположен в выделенной демилитаризованной зоне (DMZ) В идеальном случае демилитаризованная зона VPN должна содержать только VPN-сервер и быть отдельной от DMZ интернета, содержащей веб-серверы и почтовые серверы организации. Причиной является то, что VPN-сервер разрешает доступ ко внутренним системам авторизованным пользователям и, следовательно, должен рассматриваться как объект с большей степенью доверия, нежели почтовые и веб-серверы, доступ к которым может быть осуществлен лицами, не пользующимися доверием. Демилитаризованная зона VPN защищается набором правил межсетевого экрана и разрешает передачу только того трафика, который требует VPN.

Архитектура сети VPN, в которой межсетевой экран является VPN-сервером


Рисунок 7.4 -  Архитектура сети VPN, в которой межсетевой экран является VPN-сервером

Архитектура сети VPN для отдельного сервера VPN

*               
Рисунок 7.5 - Архитектура сети VPN для отдельного сервера VPN

Если VPN-сервер расположен в демилитаризованной зоне VPN, межсетевой экран может потребовать усовершенствования для поддержки нагрузки трафика. Даже несмотря на то, что межсетевой экран не будет выполнять функцию шифрования, исходный межсетевой экран может обладать недостаточными характеристиками для обеспечения вычислительной мощности, необходимой для трафика VPN. Если трафик VPN является важным для организации, на межсетевом экране должна присутствовать некоторая система обхода ошибок. В качестве альтернативы можно использовать отдельную платформу VPN. Такое устройство обеспечит разгрузку межсетевого экрана, взяв на себя функции обработки VPN.

Здесь содержатся правила, необходимые для демилитаризованной зоны интернета и демилитаризованной зоны VPN.

7.4 Алгоритмы шифрования и система аутентификации

Алгоритм шифрования, используемый в VPN, должен быть стандартным мощным алгоритмом шифрования приведена более подробная информация о системах шифрования). Возникает вопрос: какая же система шифрования самая лучшая? Вообще, все стандартные и мощные алгоритмы могут эффективно использоваться при построении VPN.. Следует заметить, что выбор алгоритма не имеет принципиального значения, если он будет стандартным и в достаточной степени мощным. Гораздо больше влияет на общий уровень безопасности реализация системы. Неправильно реализованная система может сделать бесполезным самый мощный алгоритм шифрования. Приняв во внимание определим риски, связанные с использованием VPN. Для того чтобы получить доступ к информации, передаваемой через VPN необходимо:

-      захватить весь сеанс соединения, т. е. разместить устройство прослушивания между противоположными концами соединения в том месте, через которое должен передаваться весь трафик VPN;

-      использовать большие вычислительные мощности и большое количество времени для перехвата ключа с помощью грубой силы и для дешифрования трафика.

Третьим компонентом архитектуры VPN является система аутентификации. Как уже говорилось ранее, система аутентификации VPN должна быть двухфакторной. Пользователи могут проходить аутентификацию с использованием того, что они знают, того, что у них есть или с помощью данных о том, кем они являются. При использовании пользовательских VPN отдается предпочтение первым двум вариантам.

Хорошей комбинацией средств аутентификации являются смарт-карты в паре с персональным идентификационным номером или паролем. Производители программного обеспечения, как правило, предоставляют организациям на выбор несколько систем аутентификации. Использование смарт-карт повлечет за собой увеличение стоимости использования VPN для каждого пользователя. Несмотря на то, что это обстоятельство повысит стоимость использования соединения, обеспечение более высокого уровня защиты этого стоит.

Если в организации предпочитают при использовании VPN полагаться только на пароли, они должны быть мощными (как минимум, сочетание из восьми букв, цифр и специальных символов) и регулярно изменяться (каждые 30 дней).

7.5 Протокол VPN

Протокол VPN определяет, каким образом система VPN взаимодействует с другими системами в интернете, а также уровень защищенности трафика. Если рассматриваемая организация использует VPN только для внутреннего информационного обмена, вопрос о взаимодействии можно оставить без внимания. Однако если организация использует VPN для соединения с другими организациями, собственные протоколы использовать, скорее всего, не удастся. В разговоре об алгоритме шифрования было упомянуто, что внешние окружающие факторы могут оказывать большее влияние на безопасность системы, чем алгоритм шифрования. Протокол VPN оказывает влияние на общий уровень безопасности системы. Причиной этому является тот факт, что протокол VPN используется для обмена ключами шифрования между двумя конечными узлами. Если этот обмен не защищен, злоумышленник может перехватить ключи и затем расшифровать трафик, сведя на нет все преимущества VPN.

При соединении рекомендуется использовать стандартные протоколы. В настоящее время стандартным протоколом для VPN является IPSec. Этот протокол представляет собой дополнение к IP, осуществляющее инкапсуляцию и шифрование заголовка TCP и полезной информации, содержащейся в пакете. IPSec также поддерживает обмен ключами, удаленную аутентификацию сайтов и согласование алгоритмов (как алгоритма шифрования, так и хэш-функции). IPSec использует UDP-порт 500 для начального согласования, после чего используется IP-протокол 50 для всего трафика. Для правильного функционирования VPN эти протоколы должны быть разрешены.

С работой IPSec через межсетевые экраны связаны некоторые особенности. Во-первых, на межсетевом экране должен быть разрешен трафик UDP через порт 500 и последующий IP-трафик с протоколом 50. Возможность установки этих разрешений зависит от межсетевого экрана. Кроме этого, возникает вопрос, связанный с использованием трансляции межсетевых адресов (NAT) Если межсетевой экран осуществляет трансляцию адресов для пакетов при их поступлении из интернета во внутреннюю сеть, то ему нужно соответствующим образом транслировать конечный адрес, чтобы трафик достиг внутреннего клиента. Немногие межсетевые экраны способны выполнять эту функцию при работе с трафиком, не использующим порты UDP или TCP.

Некоторые поставщики сетевых услуг (в частности, поставщики каналов DSL и кабельных каналов) ограничивают использование этих протоколов в своих сетях. Для того чтобы иметь возможность их использования, клиенту придется приобрести бизнес-пакет услуг вместо обычного стандартного пакета.

Главной альтернативой протокола IPSec является протокол Secure Socket Layer (SSL), используемый для защиты HTTP (для HTTPS используется порт 443). Однако, принимая во внимание, что технология SSL предназначена для работы на прикладном уровне, она может оказаться не столь эффективной в сравнении с IPSec.

 

http://www.intuit.ru/img/empty.gif7.5.1 Типы систем VPN

Теперь, после обсуждения функционирования сетей VPN, давайте рассмотрим непосредственное применение VPN внутри организации. Помимо вопросов, связанных с политикой и управлением, организации нужно выбрать тип приобретаемой системы VPN. На момент написания данной книги можно выделить три типа VPN-построителей:

-      аппаратные системы;

-      программные системы;

-      веб-системы.

7.5.2 Аппаратные системы

Аппаратные системы VPN, как правило, базируются на аппаратной платформе, используемой в качестве VPN-сервера. На этой платформе выполняется программное обеспечение производителя, а также, возможно, некоторое специальное программное обеспечение, предназначенное для улучшения возможностей шифрования. В большинстве случаев для построения VPN на системе удаленного пользователя необходимо наличие соответствующего программного обеспечения. Аппаратные платформы также могут использоваться для построения межузловых VPN, хотя это зависит от производителя оборудования.

Аппаратная система VPN имеет два преимущества:

-      Скорость. Оборудование, как правило, оптимизировано для поддержки VPN, посредством чего обеспечивается преимущество в скорости по сравнению с компьютерными системами общего назначения. За счет этого достигается возможность поддержки большего числа одновременных VPN-соединений.

-      Безопасность. Если аппаратная платформа специально разработана для приложения VPN, из ее системы удалены все лишние программы и процессы. За счет этого снижается степень подверженности атакам по сравнению с компьютерной системой общего назначения, в которой работают другие процессы. Это не значит, что компьютер общего назначения не может быть должным образом защищен. Как правило, использование компьютера общего назначения требует дополнительных усилий по настройке безопасности.

Тот факт, что VPN используется на базе аппаратной платформы, не означает, что система никогда не подвергнется атаке. Владелец системы должен регулярно проверять наличие обновлений, выпускаемых производителем системы.

7.5.3Программные системы

Программные VPN работают на компьютерных системах общего назначения. Они могут быть установлены на выделенной для VPN системе либо совместно с другим программным обеспечением, таким как межсетевой экран. При загрузке программного обеспечения необходимо обеспечить достаточную мощность аппаратной платформы для поддержки VPN. Так как VPN-продукт устанавливается на компьютеры, имеющиеся в организации, руководство организации должно позаботиться о соответствии компьютеров предъявляемым требованиям.

Программные VPN-системы могут использоваться таким же образом, как и аппаратные системы. Существует программное обеспечение для поддержки пользовательских и узловых VPN.

При установке программного обеспечения VPN необходимо обеспечить соответствующую конфигурацию системы, а также устранить все уязвимости, установив нужные обновления.

7.5.4Веб-системы

Главным недостатком большинства пользовательских систем VPN является потребность в установке программного обеспечения на систему-клиент. Бесспорно, что программное обеспечение, которое устанавливалось на клиентские системы, увеличивало объем работ по управлению пользовательскими VPN. Более того, клиентское программное обеспечение во многих случаях не работало должным образом с некоторыми приложениями, загруженными на компьютер-клиент. Это обстоятельство повышало стоимость поддержки и приводило к тому, что многие организации стали устанавливать на специально выделенные компьютеры только программное обеспечение VPN.

Указанные проблемы привели к тому, что некоторые производители VPN стали рассматривать веб-браузеры в качестве VPN-клиентов и реализовывать этот подход на практике. Он заключается в том, что пользователь с помощью браузера подключается к VPN через SSL. SSL обеспечивает шифрование трафика, а подтверждение подлинности пользователя выполняется с помощью средств аутентификации, встроенных в систему. Для предоставления пользователю необходимых услуг используется несколько различных механизмов. Среди них можно выделить надстройки браузера и виртуальные машины Java.

В то время как стоимость поддержки и обслуживания несомненно ниже, на момент написания этой книги ни одна из бесклиентных систем VPN не обеспечивает полную функциональность. Этим сетям VPN присущи ограничения, заключающиеся в наборе используемых приложений и методе подключения пользователей к внутренним системам. Организациям следует рассматривать вариант использования таких систем, так как это снижает затраты на обслуживание, однако необходимо учитывать непосредственные требования пользователей и согласовать их с ограничениями, имеющимися в системах.

http://www.intuit.ru/img/empty.gif7.5.5 Определение различий между типами VPN

На предприятии принято решение использовать VPN, в результате чего установлен VPN-построитель. Необходимо составить оценочный отчет о методах шифрования, протоколах туннелирования и аспектах безопасности, связанных с приложениями, которые могут использовать VPN, такими как средства передачи голоса и видеоданных через службы IP (видеоконференции, усовершенствованные и измененные функции PBX) и средства удаленного хранения/резервирования и восстановления. Обязательно ли шифрование данных в каждом из случаев?

Для каждого из приложений следует выяснить следующее.

1.Какой тип VPN лучше использовать для приложения - межузловую или пользовательскую VPN?

2.Где расположены конечные узлы VPN? Каким опасностям могут подвергаться эти конечные узлы?

3.Налагают ли конечные узлы или пользователи приложения какие-либо дополнительные требования к механизму аутентификации, связанному с VPN?

4.Определите соответствующие приложению механизмы аутентификации.

5.Отследите информацию во время передачи. Является ли она открытой для перехвата или прослушивания? Если да, определите, обеспечивает ли используемый механизм шифрования должный уровень защиты информации.

.6 Выводы

То, что хорошо работает с одним приложением, может вовсе не работать с другой программой. Межузловые и пользовательские VPN имеют различные требования к аутентификации и безопасности конечных узлов. Это необходимо принимать в расчет при построении VPN для использования приложением. Выбор механизма шифрования и мощность используемого алгоритма шифрования напрямую влияет на то, какие атаки будут пресекаться. В процессе разработки необходимо принимать во внимание все имеющиеся угрозы безопасности.

Список литературы

1     Новиков С.Н. Методы маршрутизации в цифровых широкополосных сетях связи: Ч. 1 / Учебное пособие. ¾ Новосибирск: 2001.¾ 84 с.: ил.

2     Новиков С.Н. Методы маршрутизации в цифровых широкополосных сетях связи: Ч. 2 / Учебное пособие. ¾ Новосибирск: 2002.¾ 62 с.: ил.

3     Иванов М.А. Криптографические методы защиты информации в компьютерных системах и сетях. М.: КУДИЦ-ОБРАЗ, 2001 – 368 с.

4      http://www.intuit.ru . Лекционный материал.

5     Малюк А.А. Информационная безопасность: концептуальные и методологические основы защиты информации. Учеб. пособие для вызов. – М.: Горячая линия-Телеком, 2004.

Сергей Владимирович Коньшин
Шкрыгунова Елена Александровна

Защита информации в телекомуникационных сетях

Учебное пособие

Редактор  Л.Т. Сластихина

Св.тем. план 2012 г., поз. 23

Сдано в набор__________________        
Формат 60х84 1/16
Бумага типографская №2
Уч.-изд. лист.- 4,9. Тираж 100 экз. Заказ 601. Цена 2450  тенге. 
Подписано в печать _____________ 

Копировально-множительное бюро
Некоммерческого акционерного общества
"Алматинский университет энергетики и связи"
050013, Алматы, Байтурсынова, 126