 |
Модели безопасного подключения к Internet
|
|
|
|
Защита информации в сетевом пространстве Internet является предметом исследований и заботой множества людей. Предлагаем читателям ознакомиться с вариантами подходов к данной проблеме, связанными с безопасностью корпоративных сетей.
Важнейшую проблему, решаемую сегодня разработчиками корпоративных сетей, можно сформулировать в виде вопроса: «Защита в Internet или от Internet?» В рамках построения защищенной корпоративной сети ответ на данный вопрос обуславливает выбор одной из двух концепций:
- построение защищенной корпоративной (виртуальной или наложенной) сети на базе каналов связи и средств коммутации сетей передачи данных общего пользования, в которой применяются открытые протоколы Internet, что предполагает проектирование и воплощение надежной системы защиты;
- отказ от средств Internet как таковых, создание специализированной или выделенной сети корпорации с использованием конкретной сетевой технологии, в частности АТМ, Frame relay, ISDN.
Эти концепции являются полярными взглядами на проблему и, как следствие, обладают определенными недостатками.
Первый подход связан с большими затратами на обеспечение достаточной степени защищенности информации при подключении к Internet.
Второй предлагает отказаться от использования Internet, причем не только от существующих в ней каналов связи, узлов коммутации и предоставляемых сервисов, но и от реализуемых в Internet технологий, убедительно доказавших свою жизнеспособность (доступ и поиск информационных ресурсов, Web-реклама и т.д.). При этом можно констатировать, что в рамках указанных телекоммуникационных решений реализованы свои электронная почта, компьютерная телефония и другие виды сервиса.
|
|
|
Очевидно, что полный отказ от Internet может нанести урон имиджу предприятия. Поэтому чаще принимается первый вариант построения корпоративных сетей. Вопрос же о необходимости дополнительной защиты компьютерной системы при работе в Internet сегодня не вызывает сомнений. Жаркие дискуссии разворачиваются при ответах на следующие вопросы:
- От чего надо защищать систему?
- Что надо защищать в самой системе?
- Как надо защищать систему (при помощи каких методов и средств)?
В данном разделе мы рассмотрим ответы на поставленные вопросы и укажем, как можно минимизировать затраты на основе типовых обязательных решений по безопасности в Internet.
Для облегчения понимания принципов работы Internet разъясним значение используемых нами терминов. Стек (набор) протоколов TCP/IP – базовый набор правил (протоколов), определяющих функционирование Internet. Термином IP-адрес хоста обозначается адрес, принадлежащий узлу сети, поддерживающей семейство протоколов TCP/IP.
Кроме адреса хоста используется такое понятие, как порт. Для чего он нужен? На одном узле сети можно запустить много различных сетевых приложений, которые решают совершенно разные задачи.
Так же как и электроника компьютера имеет много портов ввода/вывода, каждый для своих целей, сетевой интерфейс имеет много портов. Некоторые из этих портов уже зарезервированы для определенных стандартных задач. Например, порты 20 и 21 для передачи файлов по протоколу FTP (File Transfer Protocol).
Для передачи файла программа FTP-клиент должна послать запрос через эти порты по известному адресу. Если по этому адресу на узле запущена программа FTР-сервер, то она ожидает прихода запросов на этих же портах. В случае принятия запроса сервер отвечает соответствующим образом, определив адрес, откуда пришел запрос.
Совокупность адреса хоста и номера порта называют сокетом. Если представить канал передачи данных в виде шланга, по которому «текут» данные в обоих направлениях, то сокет и будет концом этого шланга, куда они «вливаются» или откуда «выливаются».
|
|
|
Определим понятие имя хоста. Для удобства пользователя вместо IP-адреса используют доменное имя. Человек задает имя хоста, а программа обращается к ближайшему DNS (Domain Name Server), который хранит базу данных соответствия между именем и адресом. Если имя не найдено, происходит обращение к другому DNS. Когда адрес будет определен, программа использует его для обращения к нужному хосту.
Какие отсюда следствия? В случае перевода узла в другое место его IP-адрес, разумеется, изменится, однако доменное имя можно оставить прежним, внеся изменения в DNS. Одному адресу может соответствовать несколько имен: официальное имя хоста и псевдонимы. Псевдонимы можно использовать для доступа к хосту наравне с официальным именем, но в DNS может не быть записи для хоста. Это означает, что хост не имеет ни имени, ни псевдонимов и попасть на него можно только по адресу. Однако одному имени может соответствовать несколько адресов.
Примеры:
1. Один из хостов фирмы Ingress имеет официальное имя nfsl. ingress, corn, один псевдоним www.ingress.com и адрес 199.171.57.3. Web-сервер обслуживает порт 80. FINGER-cepsep обслуживает порт 79. TELNET-сервер обслуживает порт 23.
2. Всем известный хост Microsoft Corporation имеет официальное имя www.microsoft.com, более 11 адресов и не имеет псевдонимов.
3. Эротический узел FreePix не имеет ни официального имени, ни псевдонимов, но имеет адрес 207.87.4.201.
Web-сервер «откликается» на обращение по порту 80, причем не имеет странички по умолчанию (http://207.87.4.201/ не пройдет), требует указания имени и полного пути к конкретному документу. Таким образом, он доступен только для «знающих людей».
Модуль регистрирует открытие сокетов и их закрытие. Сокет может быть открыт и затем закрыт без каких-либо операции на нем. Определить, с кем мы соединяемся, можно только в момент, когда на этом сокете начнется реальная пересылка или прием данных. (Сокет представляет комбинацию адреса нашего узла и номера порта, а определить адрес другого конца «шланга» можно только тогда, когда кто-то пошлет или примет через «шланг» пакет данных.)
Поэтому адрес хоста, с которым было соединение, указывается только при закрытии сокета.
|
|
|
Рассмотренные термины позволят описать политику и процедуры защиты в Internet.
Укажем тех должностных лиц, кто участвует в формировании политики безопасности на трех уровнях:
Лица из верхнего звена управления организацией, которым требуется понимать некоторые риски и последствия использования INTERNET, чтобы они могли рационально распределить ресурсы и назначить ответственных за те или иные вопросы.
Начальники подразделений безопасности организации, которым требуется разрабатывать специфические политики безопасности
Администраторы безопасности организации, которым нужно понимать, почему им надо применять те или иные программно-аппаратные средства для защиты, и каковы причины использования организационных мер и правил работы в INTERNET, которым им надо будет обучать пользователей в организации.
Из практики известно, что организация, подключившиеся к INTERNET будет атакована хакерами не позднее, чем через два месяца (для банков и крупных организаций - в течение двух дней).
Если конкретизировать вопросы, учитывающие возможные последствия подключения к INTERNET, то их можно сформулировать следующим образом:
Могут ли хакеры разрушить внутренние системы?
Может ли быть скомпрометирована (изменена или прочитана) важная информация организации при ее передаче по INTERNET?
Можно ли помешать работе организации?
Все это – важные вопросы. Существует много технических решений для борьбы с основными проблемами безопасности INTERNET. Тем не менее, все они имеют свою цену. Многие решения ограничивают функциональность ради увеличения безопасности. Другие требуют идти на значительные компромиссы в отношении легкости использования INTERNET. Третьи требуют вложения значительных ресурсов – рабочего времени для внедрения и поддержания безопасности и денег для покупки и сопровождения оборудования и программ.
Цель формирования политики безопасности для INTERNET – подготовить решение о том, как организация собирается защищаться. Политика обычно состоит из двух частей – общих принципов и конкретных правил работы (которые эквивалентны специфической политике, описанной ниже). Общие принципы определяют подход к безопасности в INTERNET. Правила же определяют что разрешено, а что – запрещено. Правила могут дополняться конкретными процедурами и различными руководствами.
|
|
|
Правда, существует и третий тип политики, который встречается в литературе по безопасности в INTERNET. Это – технический подход. Он, в основном, слишком техничен и сложен для понимания руководством организации. Поэтому он не может использоваться так же широко, как политика. Тем не менее, он обязателен при описании возможных решений, определяющих компромиссы, которые являются необходимым элементом при описании политики.
Чтобы политика для INTERNET была эффективной, разработчики политики должны понимать смысл компромиссов, на которые им надо будет пойти. Эта политика также не должна противоречить другим руководящим документам организации.
Ф ундаментальная проблема состоит в том, что INTERNET при проектировании и не задумывался как защищенная сеть. Некоторыми его проблемами в текущих версиях TCP/IP являются:
Легкость перехвата данных и фальсификации адресов машин в сети – основная часть трафика INTERNET – это нешифрованные данные. E-mail, пароли и файлы могут быть перехвачены, используя легко доступные программы.
Уязвимость средств TCP/IP – ряд средств TCP/IP не был спроектирован быть защищенными и может быть скомпрометирован квалифицированными злоумышленниками; средства, используемые для тестирования особенно уязвимы.
Отсутствие политики – многие сайты по незнанию сконфигурированы таким образом, что предоставляют широкий доступ к себе со стороны INTERNET, не учитывая возможность злоупотребления этим доступом; многие сайты разрешают работу большего числа сервисов TCP/IP, чем им требуется для работы и не пытаются ограничить доступ к информации о своих компьютерах, которая может помочь злоумышленникам.
Сложность конфигурирования – средства управления доступом хоста сложны; зачастую сложно правильно сконфигурировать и проверить эффективность установок. Средства, которые по ошибке неправильно сконфигурированы, могут привести к неавторизованному доступу.
Термин политика компьютерной безопасности в INTERNET имеет различное содержание для различных людей. Это может быть директива одного из руководителей организации по организации программы компьютерной безопасности., устанавливающая ее цели и назначающая ответственных за ее выполнение. Или это может быть решение начальника отдела в отношении безопасности электронной почты или факсов. Или это могут быть правила обеспечения безопасности для конкретной системы (это такие типы политик, про которые эксперты в компьютерной безопасности говорят, что они реализуются программно-аппаратными средствами и организационными мерами). Мы под политикой компьютерной безопасности будем понимать документ, в котором описаны решения в отношении безопасности. Под это определение подпадают все типы политики, указанные выше и рассмотренные далее.
|
|
|
При принятии решений администраторы сталкиваются с проблемой совершения выбора на основе учета принципов деятельности организации, соотношения важности целей, и наличия ресурсов. Эти решения включают определение того, как будут защищаться технические и информационные ресурсы, а также как должны вести себя служащие в тех или иных ситуациях.
Необходимым элементом политики является принятие решения в отношении данного вопроса. Оно задаст направление деятельности организации. Для того чтобы политика была успешной, важно, чтобы было обоснованно выбрано одно направление из нескольких возможных.
Политика (хорошая политика) может быть написана только для группы людей с близкими целями. Поэтому организации может потребоваться разделить себя на части, если она слишком велика или имеет слишком различные цели, чтобы быть субъектом политики безопасности в INTERNET.
Обычно политика должна включать в себя следующие части:
Предмет политики. Для того чтобы описать политику по данной области, администраторы безопасности сначала должны определить саму область с помощью ограничений и условий в понятных всем терминах (или ввести некоторые из терминов). Часто также полезно явно указать цель или причины разработки политики – это может помочь добиться соблюдения политики. В отношении политики безопасности в INTERNET организации может понадобиться уточнение, охватывает ли эта политика все соединения, через которые ведется работа с INTERNET (напрямую или опосредованно) или собственно соединения INTERNET. Эта политика также может определять, учитываются ли другие аспекты работы в INTERNET, не имеющие отношения к безопасности, такие как персональное использование соединений с INTERNET.
Описание позиции организации. Как только предмет политики описан, даны определения основных понятий и рассмотрены условия применения политики, надо в явной форме описать позицию организации (то есть решение ее руководства) по данному вопросу. Это может быть утверждение о разрешении или запрете пользоваться INTERNET и при каких условиях.
Применимость. Проблемные политики требуют включения в них описания применимости. Это означает, что надо уточнить где, как, когда, кем и к чему применяется данная политика.
Роли и обязанности. Нужно описать ответственных должностных лиц и их обязанности в отношении разработки и внедрения различных аспектов политики. Для такого сложного вопроса, как безопасность в INTERNET, организации может потребоваться ввести ответственных за анализ безопасности различных архитектур или за утверждение использования той или иной архитектуры.
Соблюдение политики. Для некоторых видов политик INTERNET может оказаться уместным описание, с некоторой степенью детальности, нарушений, которые неприемлемы, и последствий такого поведения. Могут быть явно описаны наказания и это должно быть увязано с общими обязанностями сотрудников в организации. Если к сотрудникам применяются наказания, они должны координироваться с соответствующими должностными лицами и отделами. Также может оказаться полезным поставить задачу конкретному отделу в организации следить за соблюдением политики.
Консультанты по вопросам безопасности и справочная информация. Для любой проблемной политики нужны ответственные консультанты, с кем можно связаться и получить более подробную информацию. Так как должности имеют тенденцию изменяться реже, чем люди, их занимающие, разумно назначить лицо, занимающее конкретную должность как консультанта. Например, по некоторым вопросам консультантом может быть один из менеджеров, по другим - начальник отдела, сотрудник технического отдела, системный администратор или сотрудник службы безопасности. Они должны уметь разъяснять правила работы в INTERNET или правила работы на конкретной системе.
Координация с другими проблемными политиками. INTERNET – это только один из множества способов, которыми организация обычно взаимодействует с внешними источниками информации. Политика INTERNET должна быть согласована с другими политиками в отношении взаимоотношений с внешним миром. Например:
Физический доступ в здания и на территорию организации. INTERNET – это как бы электронная дверь в организацию. В одну и ту же дверь может войти как добро, так и зло. Организация, территория которой открыта для входа, наверное, уже приняла решение на основе анализа рисков, что открытость либо необходима для выполнения организацией своих задач, либо угроза слишком мала, что ей можно пренебречь. Аналогичная логика применима к электронной двери. Тем не менее, существуют серьезные отличия. Физические угрозы более привязаны к конкретному физическому месту. А связь с INTERNET – это связь со всем миром. Организация, чья территория находится в спокойном и безопасном месте, может разрешать вход на свою территорию, но иметь строгую политику в отношении INTERNET.
Взаимодействие со средствами массовой информации. INTERNET может быть формой для общения с обществом. Многие организации инструктируют сотрудников, как им вести себя с корреспондентами или среди людей при работе. Эти правила следовало бы перенести и на электронное взаимодействие. Многие сотрудники не понимают общественный характер INTERNET.
Электронный доступ. INTERNET – это не единственная глобальная сеть. Организации используют телефонные сети и другие глобальные сети (например, SPRINT) для организации доступа удаленных пользователей к своим внутренним системам. При соединении с INTERNET и телефонной сетью существуют аналогичные угрозы и уязвимые места.
Не думайте, что как только ваша организация разработает большое число политик, директив или приказов, больше ничего не надо делать. Оглянитесь кругом и посмотрите, соблюдают ли формально написанные документы (это в России-то?!). Если нет, то вы можете либо попытаться изменить сам процесс разработки документов в организации (что вообще трудно, но тем не менее возможно), либо оценить, где имеются проблемы с ее внедрением и устранять их.
Успех политики безопасности больше зависит от усилий и опытности людей, реализующих политику, чем от сложных технических средств контроля. Эффективная безопасность в INTERNET начинается с сетевого администратора(чатсо называемого администратором ЛВС или системным администратором).
Сетевые администраторы отвечают за реализацию безопасности в ЛВС в той степени, в которой это требуется при соединении с INTERNET. Если имеется несколько сетевых администраторов, важно, чтобы их обязанности были согласованы. Например, атака на веб-сервер организации может потребовать приведения в действие планов обеспечения непрерывной работы и восстановления веб-сервера, выполняемых веб-администратором, а также усиления наблюдения за сетью и ее аудирования, выполняемых сетевым администратором, и усиленного контроля потоков данных через брандмауэр, выполняемого администратором брандмауэра. От размера сети организации зависит, какие административные функции должны выполняться одним и тем же человеком или группой людей..
Организация должна явно указать ФИО сотрудника или отдел, ответственный за поддержание безопасности соединения с INTERNET. Часто эта обязанность возлагается на сетевого администратора, но может быть дана и отдельной организации, профессионально занимающейся компьютерной безопасностью. В этом случае, сетевой администратор и ответственный за безопасность должны хорошо координировать свои действия и ответственный за безопасность должен хорошо разбираться в технических деталях протоколов в INTERNET.
В целях реализации политики безопасности используют следующие модели подключения к Internet (рис. 9): с физической изоляцией; с изоляцией протокола; с маршрутизаторами; со свойствами шлюза.
Самым безопасным и простым для конфигурирования является модель, когда компьютер, предназначенный для доступа в Internet, физически отделен от корпоративной локальной сети. При отсутствии физического доступа взломщик не может просматривать локальную сеть, но сам сервер Internet остается уязвимым.
Эта модель может быть расширена за счет небольшой локальной сети («киоска»), подключенной к серверу Internet, но физический доступ с рабочих станций корпоративной сети все равно отсутствует. В любом случае ограничением для данной модели безопасности является невозможность разделение файлов в корпоративной сети и Internet.
Если вы хотите, чтобы информацию на сервере Internet можно было просматривать как с рабочих станций локальной сети, так и из Internet, то следует использовать модель на основе изоляции протоколов. В соответствии с ней на сервере устанавливается две сетевые карты: одна для соединения с локальной сетью, другая - для связи с Internet. Связь с локальной сетью осуществляет протокол SPX/IPX, а связь с
Локальная Протокол Сервер Протокол Internet
Сеть Internet
 |
Физическая изоляция Межсетевой протокол IP
Изоляция протокола IPX Межсетевой протокол IP
 |  |
 |
Маршрутизатор различных фирм Межсетевой протокол IP
 |
Шлюз IP Межсетевой протокол IP
Рисунок 9. Модели безопасного подключения к Internet
Internet другой протокол - TCP/IP. В этом случае пользователи Internet не могут просматривать корпоративную сеть, а пользователи локальной сети не могут получить прямой доступ в Internet. Таким образом, создается виртуальный барьер для передачи пакетов информации через сервер. Эту и последующие модели называются межсетевыми экранами (firewall или брандмауэрами).
Подобная модель хорошо работает, если основная задача пользователей локальной сети состоит в том, чтобы поставлять информацию пользователям Internet или извлекать ее из своих почтовых ящиков и интегрировать ее с информацией, рассылаемой по локальной сети. Недостатком подобной организации является отсутствие прямого доступа в Internet для пользователей локальной сети и, как следствие, невозможность работы с ресурсами, отличными от установленных на сервере.
Если к Internet подключается крупномасштабная корпоративная сеть, использующая TCP/IP, то на сервер необходимо инсталлировать программное обеспечение маршрутизатора и использовать для передачи выделенный канал.
Таким же образом организуется доступ пользователей через шлюз Internet. Шлюз полностью перерабатывает единицы передачи информации в сети (пакеты), т.е. правила функционирования сети или протоколы. Это, по существу, сводит на нет усилия злоумышленников по преодолению защиты, которые они предприняли.
Помимо рассмотренных моделей безопасности, сетевой администратор должен учитывать следующее обстоятельство. Работая с сервисами FTP и Telnet, не забывайте, что передача входных имен пользователей и их паролей происходит открытым текстом, без шифрования. Желательно сконфигурировать сервер таким образом, чтобы была возможна анонимная регистрация. В этом случае пользователи будут применять в качестве входного имени anonymous, а в качестве пароля - свой адрес электронной почты в Internet. В Windows такой вход соответствует бюджету пользователя с именем GUEST, у которого минимальные права. Такой подход к использованию анонимной регистрации очень сильно снижает вероятность взлома вашей сети, так как реальные имена и пароли в данном случае не используются. Более того, протокол событий можно сконфигурировать таким образом, чтобы он отслеживал все попытки входа в систему. Выведенный на печать листинг протокола событий позволяет администратору сети обнаружить попытку взлома.
В связи с тем, что межсетевые экраны (МЭ) являются базовыми средствами защиты в INTERNET, то рассмотрение вопросов построения и применения МЭ вынесено в отдельную тему. При этом следует отметить, что на практике, как правило, предлагаются комбинированые решения, имеющие иерархическую архитектуру из различных моделей.
|
|
|
