Методы защиты сетевого трафика
Введение
С ростом современных организаций возрастают и её
информационные потребности в вычислительных ресурсах по обработке данных. Это
подразумевает растущее количество оборудования соединённого сетью. Однако развитие
компьютерных сетей на предприятиях влечет за собой рост количества
информационных рисков. Одной из основных угроз в данном случае является
возможность манипуляций с трафиком в процессе передачи внутри сети.
Соответственно возникает необходимость в разработке методов противодействия данной угрозе.
Незащищенность сетей передачи данных
Большая группа угроз связана с несовершенством
протоколов, в частности протоколов стека TCP/IP. Известно,
что эти протоколы разрабатывались в то время, когда проблема обеспечения информационной
безопасности еще не стояла на повестке дня. Сообщество пользователей Интернета
представляло собой ограниченный круг заинтересованных в эффективной работе Сети
специалистов, и никто не предпринимал попыток нарушить ее работоспособность.
Создаваемые в таких условиях протоколы не содержали механизмов, позволяющих
противостоять возможным (тогда только теоретически) атакам злоумышленников.
Например, хотя в протоколах FTP и telnet и предусмотрена аутентификация, клиент передает
пароль серверу по сети в незашифрованном виде, а значит, злоумышленник может
перехватить его и получить доступ к FTP-архиву.
Под подключением к сети следует понимать любое
подключение компьютера к внешней среде для общения с другими ресурсами, когда
уже нельзя быть полностью уверенным, что к этому компьютеру и информации в нем
имеют доступ только пользователь компьютера или только санкционированные
пользователи из сети.
Если компьютер подключен к локальной сети, то,
потенциально, к этому компьютеру и информации в нем можно получить
несанкционированный доступ из локальной сети.
Если локальную сеть соединили с другими локальными
сетями, то к возможным несанкционированным пользователям добавляются и
пользователи из этих удаленных сетей.
Если компьютер подключили напрямую через провайдера к
внешней сети, например через модем к Интернет, для удаленного взаимодействия со
своей локальной сетью, то компьютер и информация в нем потенциально доступны
взломщикам из Интернет. А самое неприятное, что через этот компьютер возможен
доступ взломщиков и к ресурсам локальной сети.
Естественно при всех таких подключениях применяются
либо штатные средства разграничения доступа операционной системы, либо
специализированные средства защиты от НСД, либо криптографические системы на
уровне конкретных приложений, либо и то и другое вместе.
Однако все эти меры, к сожалению, не могут
гарантировать желаемой безопасности при проведении сетевых атак, и объясняется
это следующими основными причинами:
·
Операционные системы (ОС), особенно
WINDOWS относятся к программным продуктам высокой сложности, созданием которых
занимается большие коллективы разработчиков. Детальный анализ этих систем
провести чрезвычайно трудно. В связи с чем, достоверно обосновать для них
отсутствие штатных возможностей, ошибок или недокументированных возможностей,
случайно или умышленно оставленных в ОС, и которыми можно было бы
воспользоваться через сетевые атаки, не представляется возможным.
·
В многозадачной ОС, в частности
WINDOWS, одновременно может работать много разных приложений, для которых также
трудно обосновать отсутствие штатных возможностей, ошибок или
недокументированных возможностей, позволяющих воспользоваться информационными
ресурсами через сетевые атаки.
·
В современных системах присутствует
масса разнообразных механизмов удаленной загрузки и запуска исполняемых
программ, проконтролировать работу которых очень сложно.
Защищенные каналы передачи
Для решения проблем незащищенности компьютерных сетей
применяются защищенные информационные каналы. Их можно представить себе как
некий туннель. Информация помещается с одной стороны туннеля, и прочесть ее
можно только с другой стороны.
На самом деле, передаваемая информация модифицируется
таким образом, чтобы их невозможно было изменить (аутентификация) или
просмотреть (криптография) на пути их следования. При совместном применении
этих двух механизмов обеспечивается как сокрытие информации, так и
невозможность ее подмены на всем пути ее следования.
Для определения защищенного канала сначала надо
выбрать две группы хостов, которые будут обмениваться информацией защищенным
образом. Эти группы хостов будут обмениваться подписанными и при необходимости
зашифрованными пакетами. Кроме объектов, необходимо определить алгоритм
аутентификации, и в случае необходимости, криптографический алгоритм. Ключи
аутентификации и шифрования завершают перечень параметров, необходимых для
описания канала.
Существует несколько наиболее распространенных методов
организации защищенных каналов передачи информации.
Волоконно-оптическая связь
Оптоволоконные каналы, безусловно, являются одним из
самых перспективных направлений в области связи. Пропускная способность
оптических каналов на порядки выше, чем у линий на основе медного кабеля. Кроме
того, оптоволокно невосприимчиво к внешним помехам, что снимает некоторые
типичные проблемы медных систем связи. Оптические сети способны передавать
сигнал на большие расстояния без потерь.
Ранее считалось, что волоконно-оптические линии связи
обладают повышенной скрытностью, однако всегда существует принципиальная
возможность съёма информации, передаваемой по оптическим каналам связи. Тем не
менее, существуют методы, потенциально позволяющие осуществить перехват
информации. ВОЛС состоят из стационарного оборудования, размещаемого на
сертифицированных объектах, и линейного тракта, представляющего собой
волоконно-оптические кабели и усилители оптического сигнала, которые
устанавливаются каждые 50-80 км. Защита первой составляющей обеспечивается
точно так же как и защита любого аналогичного объекта и имеет мало
особенностей, в то время как вторую составляющую защитить на всем её протяжении
невозможно, ввиду невозможности охватить десятки тысяч километров.
В связи с наличием потенциальной угрозы
несанкционированного съёма информации во всем мире ведутся работы по защите
волоконно-оптических линий связи.
Одним из самых распространённых является метод,
основанный на использовании «кодового зашумления» передаваемых сигналов.
Принцип работы метода заключается в том, что при уже небольшом понижении
мощности детектируемого сигнала, которое может быть вызвано подключением к
линии устройства съёма информации, в детектируемом на одном из концов волокна
цифровом сигнале значительно возрастает количество ошибок, далее или передача
информации обрывается, или быстро обнаруживается нарушитель.
Система IDOC (Intrusion Detection Optical
Communications System) — один из эффективных методов защиты основу которого
составляет анализ модового состава передаваемого оптического излучения. Система
IDOC позволяла защищать линии связи малой протяженности. Система защиты
состояла из специальных волокна и двух модемов AFM-131 (Fiber Alarmed Modem).
IDOC-система легко обнаруживает несанкционированные подключения и мгновенно
прекращает передачу информации. Единственным недостатком является неприменимость данной системы защиты для
передачи данных на большие расстояния, так как метод не предполагает использование
одномодового волокно.
Актуальной на сегодняшний день остается и механическая
защита волокна. Оптические кабели упаковываются в специальную оболочку, которая
при повреждении просигнализирует о воздействии.
Очевидно, что взаимодействие объектов сети по
выделенным каналам, созданным с помощью волоконно-оптических линий связи, является идеальным решением с точки зрения
безопасности.
Однако, создание глобальной вычислительной сети с
выделенными каналами потребует колоссальных затрат и невозможно для большинства
стандартных предприятий на сегодняшний
день.
Виртуальные частные сети
Более масштабным средством защиты трафика по сравнению
с защищенными каналами являются виртуальные частные сети (VPN). Подобная сеть
представляет собой своего рода «сеть в сети», то есть сервис, создающий у
пользователей иллюзию существования их частной сети внутри публичной сети.
Одним из важнейших свойств такой «частной сети» является защищенность трафика
от атак пользователей публичной сети. Сетям VPN доступна не только способность
имитации частной сети; они дают пользователю возможность иметь собственное
адресное пространство (например, частные IP-адреса, такие как адреса сети
10.0.0.0) и обеспечивать качество обслуживания, близкое к качеству выделенного
канала.
Виртуальная частная сеть на основе шифрования может
быть определена как совокупность защищенных каналов, созданных предприятием в
открытой публичной сети для объединения своих филиалов.
То есть в VPN техника защищенных каналов применяется
уже в других масштабах, связывая не двух пользователей, а произвольное
количество клиентских сетей.
Технологии VPN на основе шифрования включают
шифрование, аутентификацию и туннелирование.
Шифрование гарантирует конфиденциальность
корпоративных данных при передаче через открытую сеть. Аутентификация отвечает
за то, чтобы взаимодействующие системы (пользователи) на обоих концах VPN были
уверены в идентичности друг друга. Туннелирование предоставляет возможность
передавать зашифрованные пакеты по открытой публичной сети.
Для повышения уровня защищенности виртуальных частных
сетей технологии VPN на основе шифрования можно применять совместно с
технологиями VPN на основе разграничения трафика.
При выборе
средств построения защищенных виртуальных сетей необходимо учитывать такие
характеристики этих средств, как функциональная полнота, надежность, гибкость,
производительность, управляемость и совместимость. Существует несколько
способов организации VPN обладающих разными достоинствами
и недостатками:
1) VPN на базе маршрутизаторов
Достоинства:
· Функции поддержки сетей VPN могут быть встроены в маршрутизирующие устройства, что не потребует дополнительных расходов на приобретение средств, реализующих эти функции;
· Упрощается администрирование VPN.
Недостатки
· Функционирование VPN может отрицательно повлиять на другой трафик.
· Канал между получателем информации внутри локальной сети и маршрутизатором может стать уязвимым звеном в системе защиты.
2) Программное обеспечение VPN для
брандмауэров
Достоинства:
· Возможен контроль туннелируемого трафика;
· Достигается высокая эффективность администрирования защищённых виртуальных сетей;
· Обеспечивается комплексная защита информационного обмена;
· Отсутствует избыточность аппаратных платформ для средств сетевой защиты.
Недостатки
· Операции, связанные с шифрованием данных, могут чрезмерно загружать процессор и снижать производительность брандмауэра;
· Если защищённый туннель завершается на брандмауэре, то канал между получателем информации внутри локальной сети и брандмауэром может стать уязвимым звеном в системе защиты;
· При повышении производительности серверных продуктов аппаратное обеспечение потребуется модернизировать.
3) VPN на базе специализированного программного обеспечения
Достоинства:
· Возможность модернизации и обновления версий;
· Оперативность устранения ошибок;
· Не требуется специальных аппаратных средств.
Недостатки
· Администрирование VPN может потребовать отдельного приложения, возможно, даже выделенного каталога;
· При повышении производительности серверных продуктов аппаратное обеспечение может потребоваться модернизировать.
4) VPN на базе аппаратных средств
Достоинства:
· Обеспечивается более высокая производительность;
· Многофункциональные аппаратные устройства облегчают конфигурацию и обслуживание;
· Однофункциональные аппаратные устройства допускают тонкую настройку для достижения наивысшей производительности.
Недостатки
· В многофункциональных блоках производительность одного приложения повышается зачастую в ущерб другому;
· Однофункциональные устройства могут потребовать отдельных инструментов администрирования и каталогов;
· Модернизация для повышения производительности нередко оказывается слишком дорогостоящей или невозможной;
· Канал между получателем информации внутри локальной сети и аппаратным устройством шифрования трафика может стать уязвимым звеном в системе защиты.
Использование IPSec
IPsec (сокращение от IP Security) — набор протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу IP.
IPSec может применяться в транспортном или туннельном режиме. В первом режиме применяется для защиты соединения «точка – точка», например, между двумя компьютерами, принадлежащими одной локальной сети. В туннельном режиме IPSec применяется для объединения двух удаленных офисов и для предоставления доступа компьютера к удаленному офису.
При работе в транспортном режиме IPSec оставляет IP-заголовок неизменным (за исключением номера протокола) и инкапсулирует данные после него. При работе в туннельном режиме IPSec добавляет новый IP-заголовок к пакету и инкапсулирует прежний IP-заголовок и данные после него.
IPSec получил признание в качестве стандарта для надежной коммуникации по IP. Он повсеместно употребляется как расширение IPv4 и является неотъемлемой составной частью IPv6. Пакет протоколов обеспечивает конфиденциальность, целостность и аутентификацию источника данных. Аутентификация достигается посредством заранее предоставленных общих секретных ключей или цифровых подписей; надежный обмен ключами осуществляется по протоколу обмена ключами Internet (Internet Key Exchange, IKE).
Помимо типичных конфигураций VPN существуют ещё две области применения стандарта IPSec. Этими областями являются динамические соединения между хостами через Internet и защита внутреннего трафика в локальной сети.
Динамические соединения между хостами
IPSec можно использовать для организации надежного канала связи непосредственно между взаимодействующими хостами без привлечения дополнительного оборудования. Это осуществляется путем создания соединения между хостами по протоколу IPSec с применением транспортного режима. В этом режиме кадр IPSec вставляется в исходный пакет IP вслед за заголовком IP. В противоположность туннельному режиму никакие дополнительные заголовки IP не добавляются. Такое решение требует реализации поддержки IPSec в стеках IP на обоих хостах.
Чтобы защищенный трафик IP мог пройти через межсетевые экраны сетей партнеров, администраторы должны открыть UDP-порт 500 для протоколов IKE и NAT Traversal. Последнее гарантирует, что информационный обмен по протоколу IPSec не будет прерываться при прохождении через оборудование NAT.
Протокол NAT Traversal (NAT-T) инкапсулирует трафик IPSec и одновременно создает пакеты UDP, которые NAT корректно пересылает. Для этого NAT-T помещает дополнительный заголовок UDP перед пакетом IPSec, чтобы он во всей сети обрабатывался как обычный пакет UDP и хост получателя не проводил никаких проверок целостности. После поступления пакета по месту назначения заголовок UDP удаляется, и пакет данных продолжает свой дальнейший путь как инкапсулированный пакет IPSec.
Защита внутреннего трафика в локальной сети
Протокол IPSec позволяет устанавливать защищенные коммуникационные каналы в локальной сети. Его прозрачность облегчает реализацию, и при этом в приложения не требуется вносить значительные исправления.
IPSec можно поэтапно вводить в существующие сетевые среды. На переходном этапе администратор имеет возможность разрешить незащищенные соединения с хостами, которые еще не могут поддерживать IPSec.
При защите трафика локальной сети удаленные пользователи вряд ли не применяют IPSec-VPN для связи с локальной сетью. Чтобы они могли воспользоваться защищенными службами, необходима итерационная техника туннелирования. При итерационном туннелировании каждый хост имеет две или более ассоциации безопасности, в соответствии с которыми производится обмен данными с другими хостами. Итерационное туннелирование может быть невидимым для хоста: например, если хосты устанавливают соединение в транспортном режиме от одного сегмента к другому через туннель IPSec, который проходит через VPN между двумя филиалами.
Заключение
Большинство современных предприятий, в случае возникновения потребности в защищенном канале связи внутри локальной сети или между удаленными офисами, как правило, используют технологии организации виртуальных сетей. Однако необходимо помнить, что данные решения имеют свои недостатки и абсолютная защита информации может быть обеспечена только при разработке и внедрении комплекса программных, аппаратных и организационных мер для конкретного объекта информационной деятельности.