А.Ю.Щеглов Учебное пособие
.pdf
|
|
ИС |
|
|
Работа с БД |
ВС ЗИП |
* |
|
|
1 |
|
Серверы БД |
||
|
* |
|
||
* |
2 |
|
|
|
* |
|
|
|
|
1 |
|
|
* |
Внутрен- |
|
|
|
ние файл |
|
|
|
|
* |
|
ВС РИП |
3 |
|
-серверы |
|
2 |
|
|||
|
|
|
|
|
|
|
ВС РИП |
|
|
* |
|
|
* |
|
ВС ЗИП |
|
|
|
Работа с |
* |
СПД ОП |
* |
4 |
|
файлами |
|
|
|
|
Внешние |
|
|
файл - |
|
|
серверы |
Рис.3.20. Структура виртуальной системы защиты ЛВС
В рамках данной структуры должны быть разработаны требования к ВСЗИП и ВСРИП, а также распределение задач защиты между средствами защиты информации, устанавливаемых на компьютеры ЛВС (рабочие станции и серверы).
Выводы:
1.Защита информации обрабатываемой в ЛВС, обеспечивается средствами защиты, устанавливаемыми на компьютеры (рабочие станции и серверы) в составе ЛВС, при этом компьютер должен рассматриваться не только (возможно – не столько), как средство обработки и хранения информации, но и как средство удаленного доступа к другим компьютерам в составе ЛВС - этим, по-существу, система защиты компьютера в составе ЛВС отличается от системы защиты автономного компьютера.
2.Основу проектирования системы защиты ЛВС (системный подход) составляет защита информационных потоков, обрабатываемых и передаваемых в составе ЛВС, характеризуемых уровнем конфиденциальности, либо назначением (в общем случае уровень конфиденциальности (или назначение) различных потоков различен), задающим требования к механизмам и параметрам системы защиты.
171
3. При разработке системы защиты компьютеров в составе ЛВС должны решаться задачи защиты и разделения информационных потоков различных уровней конфиденциальности (назначения), обрабатываемых и циркулирующих в ЛВС.
Основным механизмом защиты информации, обрабатываемой в составе ЛВС (криптографическую защиту в данном курсе не рассматриваем) является разграничение прав доступа пользователей и процессов к сетевым ресурсам. Данный механизм предназначен для установки не всех компьютерах в составе ЛВС, с целью фильтрации входящего и исходящего трафика. Этим достигается изолирование обработки информационных потоков, т.к. обеспечивается изолирование потоков на следующих уровнях:
На уровне компьютеров из состава ЛВС;
На уровне пользователей, зарегистрированных на компьютерах;
На уровне сетевых служб и приложений, обрабатывающих информационные потоки;
На уровне сетевых протоколов и портов.
3.5.2. Задача и способ защиты доступа в сеть
5.5.2.1. Трансляция сетевых адресов и портов
Одной из задач защиты удаленного доступа к ресурсам ЛВС и, соответственно, доступа к ресурсам открытой сети с рабочих станций ЛВС, принято считать трансляцию сетевых адресов и портов.
NAT (от англ. Network Address Translation — «преобразование сетевых адресов») — это механизм в сетях TCP/IP, позволяющий преобразовывать IP-адреса транзитных пакетов. Также имеет названия IP Masquerading, Network Masquerading и Native Address Translation.Преобразование адресов методом NAT может производиться почти любым маршрутизирующим устройством — маршрутизатором, сервером доступа, межсетевым экраном. Суть механизма состоит в замене обратного (source) адреса при прохождении пакета в одну сторону и обратной замене адреса назначения (destination) в ответном пакете. Наряду
садресами source/destination могут также заменяться номера портов source/destination.
Помимо source NAT (предоставления пользователям локальной сети
свнутренними адресами доступа к Интернету) часто применяется также destination NAT, когда, например, обращения извне сетевым экраном транслируются на сервер в локальной сети, имеющий внутренний адрес и потому недоступный извне сети непосредственно (без NAT).
Существует 3 базовых концепции трансляции адресов: статическая
(Static Network Address Translation), динамическая (Dynamic Address Translation), маскарадная (NAPT, PAT).
172
Механизм NAT определён в RFC 1631, RFC 3022.
NAT выполняет две важных функции.
-Позволяет сэкономить IP-адреса, транслируя несколько внутренних IPадресов в один внешний публичный IP-адрес (или в несколько, но меньшим количеством, чем внутренних);
-Позволяет предотвратить или ограничить обращение снаружи ко внутренним хостам, оставляя возможность обращения изнутри наружу. При инициации соединения изнутри сети создаётся трансляция. Ответные пакеты, поступающие снаружи, соответствуют созданной трансляции и поэтому пропускаются. Если для пакетов, поступающих снаружи, соответствующей трансляции не существует (а она может быть созданной при инициации соединения или статической), они не пропускаются.
Static Network Address Translation
Статическая трансляция (static NAT). Маршрутизатор NAT хранит таблицу соответствия внутренних и внешних IP-адресов. В этом случае зарегистрированный адрес Интернета нужен каждому внутреннему компьютеру, но внутренний компьютер становится доступным из Интернета, поскольку NAT обеспечивает взаимнооднозначное преобразование адресов.
Dynamic Address Translation
Динамическая трансляция необходима в случае, когда количество транслируемых адресов (внутренних и внешних) различно, впрочем, иногда применяется и в случае, когда их количество одинаково, но из каких-либо соображений зависимость не может быть описана правилами статической трансляции. Количество взаимодействующих хостов в любом случае будет ограничено числом свободных (доступных) на NATинтерфейсе адресов. Динамическая реализация NAT более сложна, поскольку требует вести учет взаимодействующих хостов, а иногда и конкретных соединений, в случае, когда требуется просмотр и модификация содержимого на 4-м уровне (например, TCP).
В этой технологии в отличие от статической трансляции появляется новое понятие - таблица NAT (NAT table), которая применительно к динамической трансляции представляет собой таблицу соответствия внутренних адресов и адресов интерфейса NAT (далее для краткости - NAT адресов).
Masquerading (NAPT, PAT)
Трансляция адреса порта PAT (Port Address Translation) это частный случай динамической трансляции, при котором мы имеем только один внешний адрес, за которым "спрятаны" внутренние - их может быть теоретически сколько угодно. В отличие от оригинальной динамической трансляции, PAT, разумеется, не подразумевает функционирование единовременно только одного соединения. Дабы расширить количество одновременных сеансов, эта техника использует информацию о номере
173
TCP порта. Таким образом, количество одновременных сеансов ограничено только количеством свободных (из числа выделенных под NAT портов).
Недостатки:
1.Не все протоколы могут «преодолеть» NAT. Некоторые не в состоянии работать, если на пути между взаимодействующими хостами есть трансляция адресов. Современные маршрутизаторы, осуществляющие трансляцию IP-адресов, могут исправить этот недостаток, соответствующим образом заменяя IP-адреса не только в заголовках IP, но и на более высоких уровнях (например, в командах протоколов FTP или H.323), что приводит к существенному усложнению устройств.
2.Из-за трансляции адресов «много в один» появляются дополнительные сложности с идентификацией пользователей и необходимость хранить полные логи трансляций.
Атеперь рассмотрим, как все это соотносится с вопросами обеспечения безопасности. Итак, статическая трансляция адресов предназначена исключительно для преобразования внутренних IP адресов (адресов в ЛВС) во внешние и обратно. Доступ извне становится возможен только к тем рабочим станциям и серверам ЛВС, для которых осуществляется подобное преобразование. О безопасности как таковой здесь речи нет. Динамическая трансляция адресов призвана экономить внешние статические IP адреса. Например, можно использовать следующее необходимое количество внешних статических адресов для ЛВС: один адрес для всех рабочих станций, по одному для каждого сервера внешнего доступа. В итоге получим, что реализуется возможность доступа в сеть с любой рабочей станции в составе ЛВС (обращения во внешнюю сеть с любой рабочей станции произойдут под одним статическим внешним IP адресом), но становится невозможным обращение к рабочим станциям из внешней сети (т.к. все рабочие станции из внешней сети идентифицируются единым статическим внешним IP адресом). При этом из внешней сети можно будет обращаться к серверам внешнего доступа ЛВС, т.к. каждый из них идентифицируется собственным статическим внешним IP адресом. Трансляция портов – это очередная возможность экономии статических внешних IP адресов, позволяющая в пределе использовать только один статический внешний IP адрес на всю ЛВС. В этом случае серверы внешнего доступа в составе ЛВС, к которым необходимо обеспечить доступ извне, идентифицируются парой признаков – единый внешний IP адрес и номер порта, который будет уникальным для каждого сервера. Таким образом, пакет, поступающий по внешнему IP адресу в ЛВС извне, будет перенаправляться на соответствующий сервер, в зависимости от указанного в пакете номера порта.
174
Подытожим. В части серверов внешнего доступа в составе ЛВС никакой защиты не осуществляется (так или иначе они однозначно идентифицируемы извне). Невозможность обращения извне к рабочим станциям и внутренним серверам в составе ЛВС никак не связана с решением какой-либо задачи обеспечения безопасности, а является побочным эффектом минимизации статических внешних IP адресов в ЛВС (их просто становится невозможно идентифицировать, ввиду отсутствия соответствующих идентификационных признаков объектов доступа).
Вывод. Трансляция сетевых адресов и портов не является решением задачи защиты доступа в сеть. При этом предотвращается возможность доступа извне к рабочим станциям и внутренним серверам в составе ЛВС, что является побочным эффектом минимизации статических внешних IP адресов в ЛВС.
3.5.2.2. Межсетевое экранирование
Межсетевой экран или сетевой экран (также брандмауэр или файервол) — комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов на различных уровнях модели OSI в соответствии с заданными правилами.
Сетевые экраны подразделяются на различные типы в зависимости от следующих характеристик:
-обеспечивает ли экран соединение между одним узлом и сетью или между двумя или более различными сетями;
-происходит ли контроль потока данных на сетевом уровне или более высоких уровнях модели OSI;
-отслеживаются ли состояния активных соединений или нет.
Взависимости от уровня, на котором происходит контроль доступа, существует разделение на сетевые экраны, работающие на:
-сетевом уровне, когда фильтрация происходит на основе адресов отправителя и получателя пакетов, номеров портов транспортного уровня модели OSI и статических правил, заданных администратором;
-сеансовом уровне (также известные как stateful) — отслеживающие сеансы между приложениями, не пропускающие пакеты нарушающих спецификации TCP/IP, часто используемых в злонамеренных операциях
— сканировании ресурсов, взломах через неправильные реализации TCP/IP, обрыв/замедление соединений, инъекция данных.
-уровне приложений, фильтрация на основании анализа данных приложения, передаваемых внутри пакета. Такие типы экранов позволяют
175
блокировать передачу нежелательной и потенциально опасной информации, на основании политик и настроек.
Некоторые решения, относимые к сетевым экранам уровня приложения, представляют собой прокси-серверы с некоторыми возможностями сетевого экрана, реализуя прозрачные прокси-серверы, со специализацией по протоколам. Возможности прокси-сервера и многопротокольная специализация делают фильтрацию значительно более гибкой, чем на классических сетевых экранах, но такие приложения имеют все недостатки прокси-серверов (например, анонимизация трафика).
В нескольких словах, о прокси-серверах. Из многочисленных значений английского слова proxy в данном контексте применимы такие: «доверенное лицо», «полномочный представитель». То есть некто, кто действует от вашего имени по вашему поручению вместо вас. В компьютерах прокси – это программа, которая передает запросы ваших программ (браузеров и других) в интернет, получает ответы и передает их обратно. Необходимость в такой программе возникает обычно, если с пользовательского компьютера невозможно работать в интернете непосредственно напрямую из-за того, что у него нет прямого подключения к интернету (модема, например), но есть на другом компьютере в его сети. Тогда на этом другом компьютере ставят программу прокси, а все остальные компьютеры в локальной сети настраивают таким образом, чтобы работа велась через прокси. Сейчас через прокси умеют работать практически все популярные интернетпрограммы. Это значит, что все пользователи локальной сети могут получить полноценный доступ в интернет, если хотя бы один из них этот доступ уже имеет.
Какие бывают виды прокси? Маршрутизатор, меняющий адреса, уже является прокси (его называют NAT-proxy, NAT = network address translation). NAT-proxy – самый простой вид прокси. Теперь он даже входит в состав ОС Windows, начиная с Windows 2000. Там он называется «Общий доступ к подключению интернета» и включается галочкой в свойствах модемного соединения. Этот прокси работает прозрачно для пользователя, никаких специальных настроек в программах не требуется. Но на этом удобства этого прокси заканчиваются. Влиять на работу «общего доступа» Windows (например, ограничивать список доступных сайтов для отдельных пользователей) вы не сможете. Другие NAT-proxy могут быть более гибкими, но их общая проблема – универсальность. Они не «вникают» в тонкости тех прикладных протоколов, которые через себя пропускают, поэтому и не имеют средств управления ими. Специализированные прокси (для каждого протокола интернета свой вид прокси) имеют ряд преимуществ и с точки зрения администраторов, и с точки зрения пользователей.
176
Таким образом, основное назначение прокси-сервера - это обеспечение трансляции сетевых адресов, например, когда при помощи одного public IP в Интернет может ходить вся сеть с private IP (10.x.x.x, 172.16.x.x-172.31.x.x, 192.168.x.x). Прокси-сервер при прохождении пакета через него меняет в этом пакете IP-адрес и номер порта (а при получении ответного пакета производит те же операции в обратном направлении). Однако, помимо этой базовой функции, прокси-серверы обычно предлагают еще и множество других:
·управление разрешениями. Можно определить, каким пользователям/в какое время/по каким протоколам/к каким Web-ресурсам/в каком объеме можно выходить в Интернет;
·кэширование - за счет кэширования страниц на прокси-сервере снижается трафик работы в Интернет и происходит ускорение доступа пользователей;
·протоколирования работы в Интернете. Обычно обращения пользователей в Интернет протоколируются и на основе логов делаются отчеты, которые позволяют например, выяснить, какой из пользователей как поучаствовал в трафике;
·фильтрации трафика - например, режутся баннерные сети, спамтрафик по SMTP и т.п.
·часто в прокси-сервер встраиваются дополнительные возможности, например, брандмауэров, средств обнаружения вторжений и т.п.
Итак, межсетевой экран (firewall) - это устройство контроля доступа в сеть, предназначенное для блокировки всего трафика, за исключением разрешенных данных. Этим оно отличается от маршрутизатора, функцией которого является доставка трафика в пункт назначения в максимально короткие сроки. Существует мнение, что маршрутизатор также может играть роль межсетевого экрана. Однако между этими устройствами существует одно принципиальное различие: маршрутизатор предназначен для быстрой маршрутизации трафика, а не для его блокировки. Межсетевой экран представляет собой средство защиты, которое пропускает определенный трафик из потока данных, а маршрутизатор является сетевым устройством, которое можно настроить на блокировку определенного трафика.
Межсетевой экран (МСЭ), он же firewall, является одним из самых распространенных средств защиты по результатам многих опросов и исследований (наравне с антивирусами).
Сегодня современный МСЭ существенно отличается от своего классического собрата начала 90-х гг. Если раньше он был предназначен только для разграничения доступа между Интернетом и внутренней сетью, то сегодня спектр его применений гораздо шире. Это и сегментация сети с различными требованиями по безопасности, и защита
центров обработки данных, и защита серверов приложений (так
177
называемая application firewall) и т. д. Помимо разграничения доступа современный межсетевой экран позволяет более глубоко вникать в содержимое трафика за счет интегрированных механизмов предотвращения атак (intrusion prevention, IPS), антивируса, контроля содержимого и др.
Возникает принципиальный вопрос: чем же отличается механизм межсетевого экранирования от механизма разграничения доступа к сетевым ресурсам, рассмотренного нами выше? Ведь и в первом, и во втором случае основной задачей является разграничение доступа при передаче пакетов по некоторым идентификационным признакам. На самом деле, разница огромна. Межсетевой экран – это, прежде всего, программно-аппаратный комплекс, устанавливаемый на стыке подсетей. Основной его задачей является «принять на себя» атаку, не допустив ее во внутреннюю сеть. Механизм же разграничения доступа к сетевым ресурсам устанавливается на защищаемых компьютерах (рабочих станциях и серверах). Принципиальное отличие состоит и в идентификационных признаках субъектов и объектов доступа. Для межсетевого экрана – эти признаки располагаются непосредственно в фильтруемых пакетах и сообщениях, для механизма же разграничения доступа к сетевым ресурсам, часть идентификационных признаков субъектов и объектов доступа, например, полнопутевое имя сетевой службы, либо приложения, которым следует обеспечить доступ в сеть, располагаются непосредственно на защищаемом компьютере.
Как следствие, этими механизмами решаются совершенно различные задачи защиты. Поэтому, на наш взгляд, не следует создавать путаницу, используя термин «персональный экран» (брандмауэр или файервол), следует говорить, либо о межсетевом экране, либо о механизме же разграничения доступа к сетевым ресурсам.
Говоря о межсетевых экранах, мы не должны забывать, что они являются средствами защиты, на которые распространяются определенные законодательные требования и ограничения. Если для сетевого оборудования необходимо наличие лишь сертификата Мининформсвязи, то для систем защиты требуется сертификат ФСТЭК России. Есть еще система сертификации межсетевых экранов по требованиям ФСБ, но применима она только к органам высшей государственной власти РФ. Для «обычных» применений достаточно сертификата ФСТЭК России.
В качестве примера, приведем требования к реализации механизма фильтрации пакетов для межсетевых кранов различных классов, в соответствии с нормативным документом [6].
Для межсетевого экрана четвертого класса защищенности (может использоваться для защиты конфиденциальной информации) данные требования состоят в следующем:
178
Межсетевой экран должен обеспечивать фильтрацию на сетевом уровне;
Решение по фильтрации может приниматься для каждого сетевого пакета независимо на основе, по крайней мере, сетевых адресов отправителя и получателя или на основе других эквивалентных атрибутов.
Дополнительно межсетевой экран должен обеспечивать:
-фильтрацию пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств;
-фильтрацию с учетом входного и выходного сетевого интерфейса как средство проверки подлинности сетевых адресов;
-фильтрацию с учетом любых значимых полей сетевых пакетов.
Для межсетевого экрана третьего класса защищенности (может использоваться при обработке информации с грифом “секретно”), кроме того, вводятся следующие дополнительные требования:
-фильтрацию на транспортном уровне запросов на установление виртуальных соединений. При этом, по крайней мере, учитываются транспортные адреса отправителя и получателя;
-фильтрацию на прикладном уровне запросов к прикладным сервисам. При этом, по крайней мере, учитываются прикладные адреса отправителя и получателя;
-фильтрацию с учетом даты/времени.
Выводы.
1.Межсетевое экранирование – это сегодня основной способ защиты сети (криптографическую защиту в данном курсе не рассматриваем), основанный на реализации разграничительной политики доступа. Как следствие, применительно к решению этой задачи актуальны все требования, сформулированные нами в предыдущем разделе.
2.В части функционального расширения возможностей фильтрации трафика, наряду с реализацией разграничительной политики доступа, межсетевые экраны наделяют дополнительными функциями контроля (сигнатурного, контентного и т.д.), с целью защиты от вирусов, сетевых атак, утечек информации. Понятно, что об эффективности подобной защиты говорить не приходится (вопросы использования механизмов контроля мы ранее обсуждали), особенно, с учетом того, что объектом контроля здесь является пакет и сообщение, что еще ограничивает возможности подобной защиты, но здесь нужно серьезно задуматься над влиянием на пропускную способность канала связи. Ведь через один межсетевой экран может передаваться трафик, генерируемой всей ЛВС, что произойдет с пропускной способностью канала, если проводить контроль содержимого каждого поступающего в межсетевой экран пакета и сообщения?
179
3.6. Выводы по разделу 3
1. Фундаментальную основу реализации безопасности вычислительных систем и сетей составляет реализация защиты информации от несанкционированного доступа - СЗИ НСД. СЗИ НСД в общем случае образуют четыре основных группы механизмов защиты:
Идентификация и аутентификация;
Разграничение доступа к ресурсам;
Контроль целостности;
Аудит.
Средства криптографической защиты, как правило, используются в дополнение к СЗИ НСД и предназначены для решения задачи защиты от нарушения конфиденциальности обрабатываемой информации в случае ее возможного хищения.
2.Основу защиты от НСД составляет разграничительная политика доступа к ресурсам, реализуемая механизмами разграничения (управления) доступа к ресурсам. Разграничительная политика не может быть эффективной без корректной идентификации в системе всех субъектов и объектов доступа, что реализуется механизмами идентификации и аутентификации.
3.Проектирование, в том числе и разработка модели угроз (см. предыдущий раздел), системы защиты можно осуществлять только на основании (только после) построения ролевой моделиразграничения доступа к ресурсам, определяющей необходимый и достаточный набор механизмов разграничения прав доступа к ресурсам и требования к их настройке.
4.Обработка на одном и том же компютере одним и тем же пользователем информации различных категорий конфиденциальности требует реализации разделительной политики доступа к ресурсам, основанной на сессионном контроле доступа к ресурсам, где в качестве сущности «сессия» должна рассматриваться учетная запись. Поскольку современные ОС и приложения не ориентированы на обеспечение разделительной политики доступа к ресурсам, для выполнения требований
ккорректности ее реализации требуется использование дополнительных механизмов защиты, позволяющих разделять между учетными записями (сессиями) те ресурсы, которые не разделяются ОС и приложениями.
5.Контроль целостности реализуется в дополнение к разграничительной политике доступа к ресурсам в случае невозможности (не достаточной гарантированности) защиты каких-либо объектов, в первую очередь, системных, от несанкционированной модификации и удаления.
180