Современные
информационные технологии/4. Информационная безопасность.
Шматок О.С., Шутеев В.В.
Национальный
авиационний университет, Киев.
Краткий анализ защиты корпоративной информации в
информационно-вычислительных системах и сетях.
В нынешнее время стало очевидно, что защищать
информацию становится все сложнее. Что нас ждет завтра? С какими новыми
угрозами мы столкнемся? Смогут ли системные администраторы и те, кто призван
обеспечивать целостность и сохранность информационных инфраструктур справится с
все более сложными и продуманными нападениями, сетевыми червями, «троянами»?
К примеру «Чем
более профессиональными становятся хакеры, тем стремительнее атаки на сайты.
Червь типа flash worm, при условии, что запускающий его хакер имеет список всех
(или практически всех) серверов, открытых для атаки, может поразить все
уязвимые серверы менее чем за 30 секунд».
Происходят
широкомасштабные взломы систем безопасности Web-служб. Последствия будут
гораздо более серьезными, чем уничтоженные Web-сайты или похищенные кредитные
карты, как это случалось в начале эпохи электронной коммерции. Теперь мы можем
столкнуться с тем, что будут остановлены автоматизированные поточные линии,
опустошаться банковские счета, разрываться цепочки поставок длиной в сотни компаний.
Секреты фирм, внутренняя корпоративная информация окажутся под угрозой
раскрытия.
Ранее хакеры
делали ставку на бессистемные атаки «наугад». Сейчас они в большей мере
переориентировались на поражение сетей предприятий, которые содержат ценную
интеллектуальную собственность. Количество таких атак растет, и каждая
следующая становится изощреннее и пагубнее предыдущей. В 2007 году на счету
таких атак было более 75% финансовых потерь корпораций из-за прорех в системах
информационной безопасности. Компаниям приходиться строить гораздо более
сильную и сложную защиту на каждом узле сети, содержащем секретную информацию,
а не полагаться на общие внешние системы безопасности».
Очевидно,
что угроза нападений на корпоративные системы стала более чем реальной. Защита
против такой угрозы потребует «упреждающих технологий», включающих опознавание
программ-вирусов по «аномалиям» в их поведении (относительно обычных программ)
а также систем по опознаванию и предотвращению проникновений в частные сети.
1.
IPS и IDS
На сегодняшний
день в сфере компьютерной безопасности существует два принципиально разных
подхода к защите от проникновений в корпоративные сети. Первый и более старый
из них это IDS (Intrusion Detection Systems, IDS). IDS
– это система призванная обнаружить попытки проникновения в частную сеть и
сообщить системному администратору о факте вторжения. Эта технология защиты
информации используется довольно давно и уже завоевала популярность среди
заказчиков.
Однако,
многие аналитики считают, что сегодня существует более эффективный и удобный
способ борьбы с хакерами. Эта система – Intrusion Prevention System,
IPS.
IPS
в области информационной безопасности закреплена за системами и решениями,
которые служат для предотвращения нападений. Под ней подразумевается набор
технологий, которые появились на стыке межсетевых экранов и систем обнаружения
нападений IDS. От межсетевых экранов в IPS взят принцип активного вмешательства
в сетевое взаимодействие или поведение программ, а от IDS – интеллектуальные
методы мониторинга происходящих событий. Таким образом, IPS не только
обнаруживает нападения, но и пытается предотвратить их. Решения IPS
появились еще в составе межсетевых экранов или классических систем IDS.
Сегодня, на рынке есть и специализированные продукты, такие как семейство
аппаратных IPS компании NetScreen. Среди продуктов IPS аналитики выделяют пять
типов компонентов, каждый из которых выполняет свои функции и может
комбинироваться с другими.
2. Сетевая IDS.
Устройство,
которое анализирует проходящие через него IP-пакеты, пытаясь найти в них
признаки атаки по заранее определенным правилам и сигнатурам, называется
сетевой IDS (NIDS). От традиционной IDS такие продукты отличаются тем, что они
не только выискивают случаи ненормального и нестандартного использования сетевых
протоколов, но и пытаются блокировать все несоответствия. Хотя NIDS и
пользуется базой сигнатур известных атак, они могут также предотвратить и
неизвестное им нападение.
3. Коммутаторы седьмого уровня.
Сетевые устройства, которые определяют
маршруты IP-пакетов в зависимости от типа приложения, называются коммутаторами
седьмого уровня (приложений). Их можно использовать для разных целей: создание
кластеров, балансировки нагрузки, раздельного хранения данных по типам, а также
для защиты. Подозрительные пакеты такие устройства либо полностью уничтожают,
либо перенаправляют на специальный сервер для дальнейшего анализа. Этот тип IPS
хорошо отражает атаки, направленные на отказ в обслуживании и на совместный
взлом нескольких служб.
4. Экран приложений.
Механизм, который контролирует системные
вызовы сетевых программ, называется экраном приложений (application
firewall/IDS). Он отслеживает не сетевое взаимодействие, а поведение программ и
библиотек, работающих с сетью. Такой экран может работать и по фиксированному
набору правил, однако наибольший интерес представляют самообучающиеся продукты,
которые вначале запоминают штатную работу приложения, а в последствии фиксируют
или не допускают нештатное их поведение. Такие экраны блокируют неизвестные
атаки, но их необходимо устанавливать на каждый компьютер и «переобучать» при
изменении конфигурации приложений.
5. Гибридные коммутаторы.
Есть технологии, которые объединят в
себе экраны приложений и коммутаторы седьмого уровня, - это гибридные
коммутаторы. Они, в отличие от экранов приложений, имеют дело уже с
IP-пакетами, в начале обучаясь штатным запросам, а все нештатные либо блокируя,
либо направляя на специальный сервер для дальнейшего изучения. Они могут
отразить и атаки на отказ в обслуживании, и неизвестные атаки, но их придется
каждый раз переобучать заново при каждом изменении конфигурации системы.
6. Ловушки.
К категории
IPS относятся также приложения-ловушки, которые пытаются активно вмешиваться в
процесс нападения. Такие продукты, эмулируя работу других программ, провоцируют
нападающего атаковать, а потом контратакуют его, стараясь одновременно выяснить
его личность. Ловушки лучше всего комбинировать с коммутаторами – гибридными
или седьмого уровня, чтобы реагировать не на основной поток информации, а только
на подозрительные соединения. Ловушки используют скорее для устрашения и
контратаки, чем для защиты.
Следует
отметить, что IPS разных типов хорошо интегрируются в достаточно
интеллектуальную систему защиты, каждый элемент которого хорошо дополняет другие.
При этом они не конкурируют с уже существующими средствами информационной
безопасности: межсетевыми экранами, IDS, антивирусами и др., поскольку
дополняют их.
7. Режим
защищенного корпоративного экрана
Используется для защиты информационных
серверов, обрабатывающих запросы удаленных корпоративных клиентов.
1.
Клиент выдает запрос на установление соединения с СБ по закрытому
протоколу. В запросе сообщаются данные по аутентификации, а также требуемый
ресурс и тип стандартного протокола, по которому осуществляется взаимодействие
(в реализованном макете поддерживаются протоколы ftp, telnet).
2.
СБ, проверив полномочия пользователя по запрашиваемому виду
взаимодействия, устанавливает соединение с ресурсным сервером. Параллельно
клиент получает подтверждение соединения, после чего транспортный виртуальный
канал между клиентом и информационным сервером считается установленным.
3.
Начинается информационный обмен между клиентом и сервером. При
этом СБ реализует функции интеллектуального маршрутизатора транспортного уровня,
осуществляя сканирование данного виртуального канала по шаблонам,
соответствующим параметрам запроса.
4.
Процесс продолжается до разрыва соединения одной из сторон:
клиента — в случае окончания обмена, сервера (СБ) — при обнаружении
нарушений в политике безопасности.
8. Режим c
экранирующей ЛВС
В данном режиме выделяется группа
информационных серверов, осуществляющих свободную обработку информационных
запросов из внешней сети общего пользования (например, рекламный Web-сервер или
почтовый сервер). При этом обеспечиваются два уровня защиты: на первом
осуществляется контроль конфиденциальных ресурсов внутренней подсети с
использованием СБ, на втором — контроль защищенности открытых
информационных серверов с использованием стандартных межсетевых экранов. Защита
на данном уровне может включать в себя, например, блокирование опасных видов
сервиса, а также контроль целостности с использованием средств «БРОНЯ»,
описываемых далее.
В данном случае СБ и, соответственно, МЭ используются в режиме
маршрутизации таким образом, что все входящие конфиденциальные запросы
перенаправляются на СБ, а запросы на предоставление открытых служб после
регистрации поступают непосредственно к серверам приложений. Функции МЭ в
данном случае сводятся к реализации централизованного управления политикой
безопасности в открытой сети. При обработке исходящих запросов МЭ функционирует
в режиме proxy-сервера, осуществляя действия, аналогичные производимым при
регистрации входящих запросов к открытым серверам приложений.
9. Режим
аутентификации и разграничения прав доступа прикладного уровня
Данный режим до некоторой степени
аналогичен системе Kerberos. Отличительным моментом является использование
закрытого протокола не только при выполнении процедур аутентификации, но также
и для трансляции трафика в режиме шлюза виртуальной (наложенной) сети
прикладного уровня. То есть взаимодействие «клиент-сервер» реализуется через
СБ, который может размещаться произвольным образом относительно сегментов ЛВС.
В отличие от режимов, рассмотренных выше, СБ не используется для физической
развязки отдельных ЛВС корпоративной сети.
10.
Система защиты рабочих станций и информационных серверов «БРОНЯ»
Cуществующие сегодня средства защиты
(Dallas Lock, Secret Net и др.) не достаточно подходят для решения задач защиты
информации от НСД, учитывая динамику развития ОС MS Windows. Они в основном
ориентированы на слабо защищенные ОС: MS-DOS, Windows 95 и не используют
возможностей ОС Windows NT, а также дублируют многие механизмы защиты этой ОС,
сильно снижая производительность системы, не принося ощутимого эффекта. Исходя
из рассмотренных выше факторов, можно сделать вывод о том, что для
использования рабочей станции в Intranet-сети целесообразным является
применение ОС Windows NT.
Применение при реализации корпоративных сетей незащищенных ОС
Windows 95/98 связано с использованием программно-аппаратных комплексов защиты
информации, к которым относятся, в частности, Secret Net, Dallas Lock и т.д.,
устанавливаемых на рабочие станции помимо ОС. Но все эти решения обладают одним
существенным недостатком: они сильно снижают производительность системы,
практически заставляя функционировать ОС в целях обеспечения требуемого уровня
защищенности рабочей станции.
Современное состояние развития данных систем связано с тем, что
созданные для ОС DOS и Windows 95/98, они адаптируются для ОС Windows NT.
Системы Secret Net и Dallas Lock имеют богатый набор механизмов, обеспечивающих
защиту информации от несанкционированного доступа. Но возникает вопрос:
целесообразно ли использовать реализуемые ими механизмы защиты в современных
ОС? При ответе на данный вопрос необходимо учитывать динамику создания
собственных средств защиты на базе различных ОС.
Фирма Microsoft постоянно совершенствует свои операционные
системы, причем в недалеком будущем планируется слияние ОС Windows 95/98 и
Windows NT, что, на наш взгляд, приводит к необходимости создания нового
поколения принципиально новых систем защиты рабочих станций.
Сказанное обусловливается тем, что большинство механизмов защиты,
реализуемых в системах Secret Net и Dallas Lock, по сути, дублируют встроенные
механизмы обеспечения безопасности ОС Windows NT (такие, как идентификация и
аутентификация, разграничение прав доступа, аудит и т.д.). При этом надо учесть
тот факт, что многие из этих механизмов обеспечения безопасности нельзя
отключить в процессе функционирования системы, что приводит к существенному
снижению производительности всей системы.
Системы защиты Secret Net и Dallas Lock первоначально были
разработаны для ОС MS-DOS и локальных станций, входящих в состав сети под
управлением ОС Novell NetWare. Для повышения уровня защищенности таких систем
требовались внешние механизмы разграничения прав доступа, контроля ресурсов и
т.д. С появлением Windows 95 и Windows NT Secret Net и Dallas Lock были
перенесены и на эти ОС. Наверное, присутствие таких механизмов оправдано в
слабо защищенной ОС Windows 95 или DOS, при условии, что данные системы вообще
можно использовать в защищаемых intranet-сетях. В ОС Windows NT данные
механизмы являются явно излишними, так как сама ОС содержит подобные средства
защиты. С другой стороны, в Secret Net проверяется только собственная
целостность, а Dallas Lock при проверках целостности не учитывает внешних
факторов (проверки проводятся по расписанию). Кроме того, Dallas Lock
ориентирована на применение аппаратных средств защиты.
Немаловажным вопросом является сам метод борьбы с
несанкционированным доступом. Возможны два варианта. Первый: обнаружение факта
несанкционированного доступа к информации (изменение данных, файлов, программ и
т.п.) — контроль. В этом случае основная нагрузка ложится на систему
обеспечения целостности. Второй — предотвращение (недопущение)
несанкционированного доступа путем анализа косвенных признаков (появление
подозрительных процессов, попытки изменения памяти, регистрация новых
пользователей). Здесь большая роль отводится аудиту событий. Наибольший эффект
дает именно сочетание обоих методов. На наш взгляд, именно в этом направлении и
должны развиваться системы защиты рабочих станций нового поколения, а целью их
использования должно являться обеспечение надежного функционирования встроенных
в ОС механизмов защиты информации и его контроль.
Таким образом, при создании программных и программно-аппаратных
комплексов по защите информации на базе ОС Windows NT требуются новые методы
борьбы с несанкционированным доступом.
В предлагаемой технологии, в отличие от существующих сегодня
аналогов, проверка целостности выполняется в случае выполнения ряда условий,
заданных администратором системы (присутствует гибкая система настроек).
Программный комплекс работает в фоновом режиме и постоянно отслеживает текущие
процессы, пользователей, изменения реестра и т.д., проводя в соответствующие
моменты проверку целостности заданных файлов и механизмов ОС. Оставлена также и
возможность проверок по расписанию (хотя их и невозможно проводить столь часто,
чтобы предотвратить НСД, но тут вступают в силу косвенные признаки попытки
нарушения).
Используются также новые возможности по контролю за изменениями
самой ОС (например, извещение от файловой системы Find Change Notification и
др.).
Снижение общей производительности системы в отсутствие дисковых
операций со стороны комплекса составляет менее 1% (по показаниям встроенного
монитора системных ресурсов ОС Windows NT).
Особым случаем являются изменения, внесенные не средствами ОС. Мы,
например, можем, загрузившись в DOS, исправить какие-либо данные (даже если
установлена не файловая система FAT). Такие изменения будут зарегистрированы
при очередной загрузке ОС Windows еще до того, как пользователь успеет ввести
свое имя, так как разработанный программный комплекс запускается как встроенный
сервис ОС и проверяет целостность выбранных файлов (если это нужно).
Семейство продуктов «БРОНЯ» обеспечивает функции защиты рабочих
станций и серверов корпораций в соответствии с основными принципами комплексной
технологии защиты, изложенными выше. В рамках указанных принципов реализуются
следующие механизмы:
· Контроль
целостности файлов и каталогов — осуществляется с
использованием информации следующих типов: дата создания, дата последней
модификации, длина файла, атрибуты доступа, контрольные суммы (формируемые с
использованием секретных хэш-функций). Имена файлов и каталогов, подвергаемых
контролю целостности, задаются администратором безопасности.
· Контроль
системы по списку активных процессов — осуществляется с
использованием следующих структур данных, формируемых администратором и
отражающих принятую политику безопасности: список процессов, обязательных в
системе, список подозрительных процессов, список запрещенных процессов. В
случае отсутствия какого-либо обязательного процесса либо присутствия
запрещенного процесса фиксируется нештатная ситуация, реакция на которую может
вырабатываться автоматически либо с использованием администратора (оператора) в
автоматизированном режиме.
· Контроль
системы по списку пользователей. В процессе проверки используются
данные о ресурсном бюджете зарегистрированных пользователей, в том числе по
времени доступа и списку активных процессов, запущенных данным пользователем.
При обнаружении несоответствия осуществляются меры, аналогичные нарушению по
процессам.
· Уровневые
механизмы активизации проверок целостности — используются для
снижения вычислительной мощности, требуемой для проведения комплексных
проверок. В целях снижения ресурсоемкости контролирующих механизмов
используются предположения о причинно-следственных связях между возможными
контекстами нарушения целостности. Например, в штатном режиме функционирования
может осуществляться контроль целостности по процессам либо по пользователям.
При обнаружении несоответствий инициируется проверка файловой системы с
использованием вышеперечисленных атрибутов. Сценарии активизации проверок
задаются системным администратором на основе личного опыта и существующей
статистики НСД в условиях среды, сходных с условиями данной корпоративной сети.
· Диспетчеризация
процессов контроля и обеспечения целостности осуществляется с
использованием расписания, формируемого системным администратором при
инсталляции и сопровождении системы.
· Регистрация
результатов проверок целостности в системном журнале администратора
безопасности с указанием даты и времени проведения проверки, а также список
объектов, имеющих нарушения целостности.
· Автоматическая
регенерация скомпрометированных объектов, основанная на подсистеме
сопровождения и архивирования резервных копий критических файлов и каталогов,
непосредственно задаваемых администратором безопасности.
· Обеспечение
целостности модулей и конфигурационных файлов самой системы контроля
целостности путем прямого сравнения имеющихся образов с дисковой копии (на
дискете) либо образов ПО, получаемых по сети при инициализации рабочей станции
или информационного сервера.
· Поддержка
механизмов централизации управления средствами защиты целостности
рабочих станций и информационных серверов сегмента ЛВС с выделенного сервера
администратора безопасности. Имеются в виду следующие возможности:
централизованный сбор и анализ системных журналов проверки целостности,
модификация списка объектов контроля (файлы, пользователи, процессы, системные
реестры, компоненты самой подсистемы контроля целостности), модификация базы
данных контрольных признаков.
К настоящему времени указанные продукты полностью реализованы для
платформ Linux Redhat 2.0, Windows NT Client 4.0, Windows NT Server 4.0,
завершается разработка системы для рабочей станции Windows 95/98. В последнем
случае основа защиты заключается в реализации такой сетевой системы защиты
рабочих станций, при которой невозможность отключения ПК «БРОНЯ» (клиента) на
рабочей станции обеспечивается ПК «БРОНЯ» (сервером), устанавливаемым на сервер
безопасности, с которым сервер «БРОНЯ» периодически обменивается необходимой
информацией.
На сегодняшний день систему защиты «БРОНЯ» следует рассматривать
как основу защиты информации в локальной сети, так как она обеспечивает сетевую
защиту платформы — операционных систем защищенных рабочих станций и
информационных серверов.
Список литературы:
1. Закон Украины “О защите
информации в автоматизированных системах”;
2. “Защита информации в
распределенных корпоративных сетях и системах”. А. В. Соколов, В. Ф. Шаньгин;
3. “Комплексная защита
информации в корпоративных системах” В. Ф. Шаньгин.