Петров А.А. Комп без-ть
.pdfПрименение межсетевых экранов |
331 |
функционирует независимо от сетевых механизмов операционной систе мы. Работа в пространстве ядра позволяет избежать многочисленных пе реключений контекстов процессов, что существенно повышает эффектив ность фильтрации.
Экранирующий модуль Рпе\Уа11-1 способен выполнять еще одну очень важную функцию - трансляцию сетевых адресов. Она не только уменьша ет потребность в легальных 1Р-адресах (в пределах защищаемой сети мо гут использоваться произвольные адреса, которые при выходе во внешние сети преобразуются и попадают в диапазон, выделенный данной организа ции), но и скрывает топологию защищаемой сети, что существенно затруд няет действия злоумышленников.
Шифрование в СЬескРоШ Пге\Ма11-1
По мере становления и развития УРЫ в системе 1п1;егае1: и использования этой информационной магистрали для совершения кредитных операций, продаж и электронного документооборота резко усилились попытки не санкционированного доступа в сети подобного вида. При ведении торговли через 1п1егпе1:, включая пересылку денежных средств, получение и провер ку кредитной информации, продажу и даже поставку, требуется надежная и эффективная защита. Новинка для семейства С Ь еск Р от! Р1ге^Уа11-1 вер сии 2.Х - это отдельная линия продуктов с расширенными возможностя ми шифрования. Теперь все продукты С ЬескРот!; 1чге\Уа11-1 поддержива ют работу с шифрованными данными (поставляется как дополнение).
СЬескРопИ р1ге\Уа1Т1 предоставляет безопасную двунаправленную связь через 1п1егпе1 и механизм шифрования, а также подписи для гарантии це лостности данных и конфиденциальности при соединении виртуальных частных сетей. СЬескРотЪ Ргге\Уа11-1 обеспечивает все потребности защи ты предприятия:
•конфиденциальность (подслушивание на линии невозможно);
•подлинность (невозможны подстановки сетевых адресов);
•целостность (подстановка и модификация данных иа лету невозможна).
СЬескРот!; Рпе\Уа11-1 реализует единую интегрированную стратегию защиты с распознаванием клиентов и шифрованием данных. Предлагая различные схемы шифрования и интегрированные системы распределения ключей, СЬескРотЪ Р1ге\Уа11-1 позволяет предприятию полностью исполь зовать возможности М е т е ! для ведения бизнеса и обеспечения связи.
СЬескРотТ Рйе\Уа11-1 поддерживает скорость шифрования более 10 Мб/с на обычных настольных рабочих станциях. Управление полностью интег рировано в редактор базы правил графического интерфейса пользователя
332 Компьютерная безопасность и практическое применение криптографии
СЬескРотГ Р1ге\Уа11-1 и охватывает средства просмотра регистрационных записей. Продукт версии 2.1 поставляется с алгоритмом шифрования Р\У21 и реализует выборочное шифрование для широкого спектра сетевых про токолов. Кодирование, декодирование и распределение ключей интегри ровано с другими продуктами СЬескРотЕ
На рис. 3.24 изображена общая корпоративная сеть, где две частных сети соединены через 1п1егпер а также через шлюз РнеШаП. Н () ~ станция управления для обеих сетей. Частные сети (Ьц-сеть и ОМ2пе1) защищены шлюзом Р1ге%11, но внешняя часть сети 1п1;егпе1; рассматривается как от крытая и небезопасная.
Шлюзы выполняют шифрование для каждой из своих областей; либо для локальной вычислительной сети, либо для группы сетей, которые за щищаются шлюзом. За шлюзом, во внутренних сетях, пакеты не шифруют ся. Область шифрования НО, состоит из Н()пес и 1)М7ле(:, а область шиф рования в Еопбоп из ЬопсЬп-пеР Если администратор системы определил, что связь между РЩ и Еопс1оп должна быть зашифрована, С ЬеекРот! Р1ге\Уа11-1 начнет шифровать пакеты, проходящие через шлюзовой вход (§а!емщу) в ЫегпеР
Таким образом, шифрование может использоваться в гетерогенной сети без установки и конфигурирования сети иа каждом отдельном ком пьютере.
Рп'уа1:е |
РгКакз |
НСЗ-пе! |
1опЗоп-п0{ |
| Зирроп
1опс1оп
(Пге\А/а1|0с1 даШ ш у)
За108
зашифрованный трафик открытый трафик
Рис. 3,24. Пример корпоративной сети
Применение межсетевых экранов |
333 |
Аутентификация в СЬескРоШ Р1геШа11-1
С ЬескРот! Ри еМ Ы М обеспечивает пользователям, в том числе удален ным и клиентам сНаРир, защищенный доступ к сетевым ресурсам органи зации с установлением подлинности пользователя при помощи различных схем ее проверки.
Прежде чем соединение пользователя будет разрешено, механизм уста новления подлинности Р1ге\Уа11-1 определит, какой именно пользователь пытается установить соединение и как он себя авторизует. Заметим, что для этого не потребуется каких-либо изменений на серверах и в клиентс ких приложениях.
Средства установления подлинности пользователей полностью интегри рованы в средства работы с политикой безопасности масштаба предприя тия и соответственно могут централизованно управляться посредством графического интерфейса администратора безопасности. Используя про грамму просмотра статистики, можно отслеживать любые сессии установ ления подлинности клиента.
Рпе\Уа11-1 предоставляет три метода установления подлинности пользо вателя:
•аутентификация пользователя;
•клиентская аутентификация;
•проверка подлинности установленного сеанса связи.
Метод Ш ег АиМепНсаНоп
Метод установления подлинности пользователя системы Р1ге\Уа11-1 позво ляет определять привилегии доступа для каждого пользователя в отдель ности (даже если это многопользовательская Э В М ) для протоколов РТР, ТЕРЫЕТ, Р1ТТР и К Ш С Ш независимо от 1Р-адреса клиентского компью тера. Например, если пользователь вынужден работать с серверами орга низации удаленно, то администратор безопасности может разрешить ему доступ во внутреннюю сеть без того, чтобы его привилегии распространя лись на всех других пользователей его рабочего компьютера.
Р1ге\Уа11-1 выполняет проверку подлинности пользователя при помощи специального сервера безопасности, функционирующего на шлюзовом ком пьютере. р1Гб\Уа1М перехватывает все попытки авторизации пользователя на сервере и перенаправляет их соответствующему серверу безопасности. После того как подлинность пользователя установлена, сервер безопасно сти РнеМ Ы М открывает второе соединение на необходимый сервер при ложения. Все последующие пакеты сессии также перехватываются и ин спектируются Рше^МаП-! иа шлюзе.
334 Компьютерная безопасность и практическое применение криптографии
Пример НТТР АигЬепНсайпд Ргоху
Н Т Т Р Аи^ЬепПсаНп^ Ргоху представляет собой механизм идентификации тех пользователей, которые обращаются к услугам Н ТТР. Он выполняет ся на шлюзе и может защищать любое число серверов Н Т Т Р во внутрен ней сети.
Предположим, что в конфигурации, отображенной на рис. 3.25, имеют ся серверы Н Т Т Р на всех компьютерах (то есть на То^ег, Ра1асе и Вц*- Веп), которые защищены Н Т Т Р АиПтепПсаНпз Ргоху на шлюзе Ьопбоп.
РиЫю |
Ргш1е |
1_опс1оп-пе1:
Рис. 3.25. Схема защиты в 1Мегпе1
ИКТз должен быть задан следующим образом:
Ьпр://<§а1:е\уау>/<1о§1са1 зегуег пате>/<гезоигсе пате>, где <гезоигсе п ате> указывает на ту часть И КЬ, которая относится непосредственно к УГМ У/-серверу. Обычно это имя файла.
Предположим, что следующие серверы Н Т Т Р имеются в сети и их кон
фигурация выглядит следующим образом (см. табл. 3.10).
Таблица 3.10. Таблица настроек |
|
|
|
Имя сервера |
Адрес |
Хост |
Порт |
т(о |
Н М р://уту/1опс1оп.сот/|пЬ /|пЬ .Ь1т1 |
Ра1асе |
80 |
Нске1з |
ЬНо://улууу1опс)оп.сотЛ|скеГ5/огс1|1ск.Ь1пп1 |
В|д Веп |
80 |
ас!огз |
ЬМ о:/Лллу^1опс!оп.сот/асЬг5/Ы о$.Ы т1 |
Тоу/ег |
8000 |
геу!еууз |
ЬПр://у/у/\у.1опс1оп.сот/геу|е'М5/с1|р5.Н1т1 |
Тоууег |
8080 |
В этом случае шлюз С ( чтукВ опсЬп .сот). а также имена серверов опре делены в поле имени в окне СопНо! РгорегНез/АиИшпИсаНоп, где опреде ляется связь между именем сервера, именем компьютера и портом. Для всех внешних соединений известно только одно имя С ( \у\улу.Ьопбоп.сот).
Пользователь, который пытается обратиться к серверам Н ТТР, на пример определяя 1Ш Ь Ьир:/Лу^жЬопбоп.сот/ас1;ог5/Ыо5.Ь1т1. будет
Применение межсетевых экранов |
335 |
задержан Н Т Т Р АиЪЬепНсайп^ Ргоху на шлюзе 1юпс1оп. Затем на его эк ране отобразится окно, в котором нужно ввести идентификатор и пароль для доступа к серверам НТТР.
Клиентская аутентификация
СИеп1; АгЛЬепНсаНоп позволяет администратору предоставлять привиле гии доступа определенным 1Р-адресам, пользователи которых прошли соответствующие процедуры установления подлинности. В противовес Изег АиПгеШлсаПоп клиентская аутентификация не ограничена только оп ределенными службами, она может обеспечить аутентификацию любого приложения, как стандартного, так и специфичного.
СНепЪ АгЦЬепНсаНоп системы Р1ге^Уа11-1 не является очевидным для пользователя, но в то же время какого-либо дополнительного програм много обеспечения или модификации существующего не требуется. Для установления подлинности администратор может указать, как каждый из пользователей должен будет авторизоваться, какой сервер и какие служ бы будут доступны, в какие часы и дни и сколько сессий может быть от крыто и как долго они продлятся.
Проверка подлинности установленного сеанса связи
Механизм ТгапзрагепЪ Зеззюп Аи1;Ьеп1лсаНоп можно использовать для любых служб. При этом установление подлинности будет происходить для каждой сессии в отдельности.
После того как пользователь соединился непосредственно с сервером, шлюз с установленным Рне^УаН-! (в случае необходимости установления его подлинности) инициирует соединение с агентом авторизации сессий. Агент производит нужную авторизацию, и, если подлинность клиента ус тановлена, Рпе\Уа11-1 разрешает данное соединение.
Поддерживаемые схемы авторизации пользователя
Рпе\Уа11-1 поддерживает разнообразные варианты авторизации пользова
телей:
•метод ЗесигШ (пользователь набирает номер, высвечивающийся на электронной карточке Зесипру Бупагшсз ЗесигШ );
•метод 5/Кеу (от пользователя требуется набрать соответствующую запрашиваемому номеру комбинацию ключа 5/Кеу);
•метод 0 3 Раз8\Уогс1 (пользователь должен набрать пароль операционной системы. 1Шегаа1-пользователь набирает специальный пароль, храня щийся в Р1ге\Ма11-1 шлюза);
336— компьютерная безопасность и практическое применение криптографии
•мет°Д АхепЪ (требуется ввод в соответствии с инструкциями сервера
Ах еЩ );
•метод К А О Ш 8 (требуется ввод в соответствии с инструкциями серве ра К А 13Ш 5).
Д л я систем на базе КАО Ш 8-серверов существует несколько сертифи
цированных реализаций, предлагаемых для использования официальны ми партнерами.
Распределение ключей в центре СЬескРот! НгеШаН-1
Управляю щ ая станция, отвечающая за централизованное администриро вание конфигурации из нескольких межсетевых экранов, выполняет так же роль центра распределения криптографических ключей. Другими сло вами, для всех экранов она генерирует пару ключей (открытый/секретный), чтобы применить алгоритм Диффи-Хэлмана, а также служит сертифика ционным центром, обслуживающим запросы на их получение. На управ ляю щ ей станции можно генерировать и новые ключи. Другие шлюзы, как правило, просто получают ключи из сертификационного центра. Станция управления обеспечивает каждый шлюзовой вход (§а1;е\уау), на котором она установлена:
•парой ключей Диффи-Хэлмана;
•сертифицированной системой авторизации;
•шифрованной передачей ключей иа другие шлюзы;
В начале шифрованного сеанса шлюз вычисляет сессионный ключ по алгоритм у Диффи-Хэлмана и затем начинает шифрованную связь.
3.7. Защита электронной почты
Электронная почта иа сегодняшний день является одной из наиболее при меняемы х технологий обмена данными между пользователями. В настоя щее время это способ повсеместного общения пользователей в 1п1;егпе1. В корпоративных системах подобный метод находит свое применение в ка честве средства обеспечения электронного документооборота.
В электронной почте сообщения могут быть простыми записками, пе редаваемыми в соседнюю комнату, и письмами со сложной структурой влож ений, пересылаемыми иа другой континент. Преимущество элект ронной почты для пользователей заключается в следующем: этот вид связи очен ь похож иа обычную почту, однако следует иметь в виду, что он не сводится только к пересылке сообщений по электронным каналам связи. Н а сегодняшний какой-либо единый общепринятый стандарт
Защита электронной почты |
337 |
в этой области отсутствует. Д ело в том, что системы электронной почты функционируют на различном оборудовании и основываются на различ ных концепциях, однако главные принципы их построения и работы ана логичны.
Система электронной почты является одним из примеров сетей, постро енных по принципу клиент-серверных приложений. Здесь, как и в других подобных распределенных механизмах, пользователь взаимодействует с клиентским программным обеспечением, а администратор - с сервер ным. Серверы различаются уровнями производительности и надежности, совместимостью с различными стандартами электронной почты, устойчи востью к ошибкам, возможностью расширения.
Говоря об архитектуре построения серверного программного обеспече ния, следует отметить, что обычно она состоит из трех основных частей: подсистема хранения сообщений, транспортная подсистема и служба ка талогов. Подсистема хранения сообщений отвечает за получение сооб щений и хранение до момента прочтения их пользователем. Хранящие ся в подсистеме сообщения могут также содержать присоединенные к ним файлы. Они обычно занимают много места, поэтому часто их количество или размер ограничиваются. Транспортная подсистема, называемая также подсистемой маршрутизации сообщений, осуществляет пересылку сооб щений от одного почтового ящика к другому. Сообщение электронной по чты бесполезно, если оно не поступит в нужный почтовый ящик. Служба каталогов располагает списком имен всех пользователей в системе и обес печивает пересылку почты адресатам. Каталоги могут содержать списки сетевых имен или более развернутую информацию, с помощью которой можно объединить пользователей по фирмам, рабочим группам, отделам или по географическому признаку. Д ля того чтобы найти пользователя в системе электронной почты, нужно знать только его адрес.
3.7Л . Принципы защиты электронной почты
Основными угрозами в системах электронной почты являются следующие:
•несанкционированный доступ к почтовым сообщениям (П С ), то есть нарушение конфиденциальности;
•преднамеренное изменение получателем П С с целыо нарушения его достоверности или целостности;
•выдача себя за другого пользователя, чтобы снять с себя ответствен ность или же использовать его полномочия с целыо формирования лож ного ПС; изменение законного ПС; санкционирование ложных обменов ПС или же их подтверждение;
338Компьютерная безопасность и практическое применение криптографии
•отказ от факта передачи ПС;
•утверждение о том, что ПС получено от некоторого пользователя, хотя на самом деле оно сформировано самим злоумышленником;
•несанкционированные изменения полномочий других пользователей на отправку и получение ПС (ложная запись других лиц, ограничение или расширение установленных полномочий и т.п.);
•набор статистики обмена ПС (отслеживание: кто, когда и к каким ПС получает доступ);
•заявление о сомнительности протокола обеспечения безопасности до ставки ПС из-за раскрытия некоторой конфиденциальной информации;
•заявление о ложном времени получении ПС.
Кэтому списку можно добавить еще две проблемы, тесно связанные
собеспечением безопасности работы электронной почты:
•анонимность;
•атаки потенциальных нарушителей, учитывающие уязвимости в реа лизации и построении систем электронной почты;
Решение первой проблемы может осуществляться двумя путями:
•применением криптографических средств защиты информации не толь ко к данным, находящимся в ПС, но и к служебной информации ПС;
•использованием анонимайзера - почтового сервера, играющего роль ргоху-сервера, но только для почтовых сообщений; то есть реальная служебная информация П С (адрес электронной почты отправителя, 1Р-адрес отправителя и др.) заменяются соответствующей служебной информацией анонимайзера;
Очевидно, что решение второй проблемы связано с практической реа лизацией той или иной почтовой системы, и здесь трудно дать какие-либо конкретные рекомендации, кроме разве что тщательного выбора системы связи, применение которой не приводит к большим количествам уязвимо стей. (Информацию о подобных уязвимостях можно оперативно находить в МегпеЦ например на сайте СЕКТ.)
Поэтому остановимся на типовых задачах информационной безопасно сти в системах электронной почты.
Одними из основополагающих документов в части требований защиты информации являются Рекомендации 150 7498-2-89 и Стандарты М К К ТТ/ 150 для безопасной обработки П С (Рекомендации серий Х.400, Х.500 М К К Т Т ). Стандарты и рекомендации для безопасной передачи, приема и обработки сообщений в системе определяют следующие принципы за щиты информации:
Защита электронной почты |
339 |
•конфиденциальность содержания (позволяет отправителю быть уверен ным, что никто не прочитает ПС, кроме определенного получателя);
•конфиденциальность последовательности сообщений (позволяет от правителю ПС скрыть последовательность сообщений);
•целостность содержания (позволяет получателю убедиться, что содер жание ПС не модифицировано);
•целостность последовательности сообщений (позволяет получателю
убедиться в том, что последовательность П С не изменена);
•аутентификация источника П С (отправитель получает возможность аутентифицироваться у получателя как источник ПС, а также у лю бо го устройства передачи ПС, через которое они проходят);
•доказательство доставки (отправитель может убедиться в том, что ПС доставлено неискаженным нужному получателю);
•доказательство передачи (отправитель может убедиться в идентично сти устройства передачи ПС, иа которое оно было подано);
•безотказность поступления (позволяет отправителю сообщения полу чить от устройства передачи ПС, на которое оно поступило, доказа тельство того, что сообщение предназначено для доставки определен ному получателю);
•безотказность доставки (позволяет отправителю получить доказатель ство поступления П С);
•управление контролем доступа (позволяет двум компонентам систе мы обработки ПС установить безопасные соединения);
•защита от попыток расширения своих законных полномочий (на дос туп, формирование, распределение и т.д.), а также изменения (без сан кции на то) полномочий других пользователей;
•разметка по уровню защиты П С (обеспечивает возможность опреде лить уровень защиты ПС в соответствии с принятой политикой бе зопасности);
•защита от модификации программного обеспечения путем добавления новых функций.
Надежная защита при передаче, обработке и хранении конфиденциаль ной информации базируется иа применении современных криптографичес ких программных и аппаратно-программных средств, реализующих меха низмы шифрования информации, а также подтверждения ее целостности
иподлинности с использованием электронной цифровой подписи. Защита информации в почтовых системах должна состоять из комплек
са организационно-технических мероприятий по применению программ
ных и аппаратно-программных криптографических методов и средств
340 Компьютерная безопасность и практическое применение криптографии
защиты с целью предотвращения несанкционированного доступа к конфи денциальной информации, обрабатываемой и хранимой абонентами сис темы и передаваемой по коммуникационной сети с использованием неза щищенных линий связи.
В соответствии с требованиями по безопасности конфиденциальной ин формации СКЗИ, встроенное в обрабатывающую систему, должно обеспе чивать защиту информации на всех этапах, начиная с момента ее ввода в систему вплоть до обработки и хранения. При этом в составе С КЗИ должны быть реализованы средства, осуществляющие:
•зашифрование (расшифрование) файлов и блоков конфиденциаль ной информации при передаче их по телекоммуникационным кана лам, а также при хранении на внешней памяти ЭВМ;
• генерацию ЭЦП (проверку Э Ц П ) ПС;
•управление ключевой системой;
•защиту от НСД.
Работы по встраиванию С К ЗИ и обеспечению надлежащего уровня за щиты системы требуют доработок ее прикладной части. В первую очередь доработке подлежат части системы, ответственные за принятие решения о соответствии ЭЦП под документом ЭЦ П абонента-отправителя, систе ма оповещения о компрометации ключей абонента, интерфейсы взаимо действия между компонентами системы.
3.7.2. Средства защиты электронной почты
Почта Ргмасу-ЕпЬапсей МаП
Почта с повышенной секретностью (Рпуасу-ЕпЬапсеб Май, Р Е М ) пред ставляет собой стандарт М егпеЕ одобренный Советом по архитектуре сети (1п1;егпе1: АгсЬйесПдге Воагб, 1АВ), для обеспечения безопасности электронной почты в ГЩегпеЬ. Первоначальный вариант был создан груп пой секретности и безопасности (Р п уасу апб Зесигйу КезеагсЬ Сгоир, Р5К.С) 1Щегпе1; Яезоигсез Тазк Рогсе (1ЯТЕ), а затем разработка была пе редана в рабочую группу РЕ М (Р Е М Ш )гк т § Сгоир) при 1ЕТЕ Протоко лы РЕ М предназначены для шифрования, проверки подлинности и цело стности сообщения и управления ключами.
Р Е М является расширяемым стандартом. Процедуры и протоколы РЕ М разработаны так, чтобы быть совместимыми со множеством подхо дов к управлению ключами, включая симметричную схему и использова ние открытых ключей для шифрования ключей шифрования данных.