- •Стандарты и рекомендации в области информационной безопасности - «Оранжевая книга» (Основные элементы политики безопасности, подотчетность,
- •Характеристика классов безопасности «Оранжевая книга»
- •Гармонизованные критерии безопасности информационных технологий Европейских странны.
- •5. Положения руководящих документов Гостехкомиссии рф.
- •6. Рекомендации X-800. Распределение функций безопасности по уровням osi.
- •7. Интерпритация «Оранжевой книги» для сетевых конфигураций
- •8. Стандарт iso/iec 15408 "Критерии оценки безопасности информационных технологий"
- •9. Системы защиты вычислительной сети первого и второго рода.
- •10. Криптография.Семь критериев идеальной криптосистемы. Классификация криптосистемы.
- •11. Система с открытым ключом Диффи и Хеллмана. Криптосистема rsa с открытым ключом.
- •12. Средства формирования электронной подписи.
- •13. Алгоритм генерации дайджеста.
- •14. Принципы использования ключей формирования.
- •15.Идентификация и аутентификация.
- •16.Биометрические технологии. Виды. Достоинства и недостатки.
- •17. Протоколы аутентификации. Типы протоколов pap, chap, двухсторонняя аутентификация. Атаки на протоколы.
- •Протокол pap
- •18. Аутентификация с применением hmac. Диффи-Хелмана.
- •Протокол аутентификации с кdc. Протоколы Нидхэма-Шредера. Отуэя-Риса.
- •Kerberos. Аутентификация с помощью шифрования с открытым ключем.
- •Безопасность сети и каналов передачи данных. Действия хакера по прослушиванию и опросу. Отказ в обслуживании. Замаскированные атаки. Атака «человек посередине».
- •23.Архитестура ipsec. Варианты, типы и случаи sa.
- •24. Транспортный и ткнельный режимы ipSec. Заголовки ah и esp. Посылка и получении е данных в ipSec
- •Стандарты
- •[Править] Архитектура iPsec
- •[Править]Обработка выходных ip-пакетов
- •[Править]Обработка входных ip-пакетов
- •[Править]Encapsulating Security Payload
- •[Править]Обработка выходных iPsec-пакетов
- •[Править]Обработка входных iPsec-пакетов
- •[Править]Использование
- •25.Построение средств межсетевой защиты. Брандмауэр. Архитектура брандмауэра. Типы и классификация брандмауэров.
- •26.Построение средств межсетевой защиты. Схемы подключения брандмауэров. Недостатки Firewalls.
- •5.6. Построение средств межсетевой защиты информации
- •27.Политика безопасности. Принципы безопасности.
- •28.Уровни политики безопасности. Схема разработки политики безопасности. Меры по созданию и обеспечению политики безопасности.
- •29.Ids. Модель адаптивного управления. Классификация систем обнаружения атак. Системы обнаружения на сетевом и хост уровнях.
9. Системы защиты вычислительной сети первого и второго рода.
Системы защиты первого рода
Системы безопасности этого рода отражают традиционный подход к вычислительной сети как к потенциально ненадежной среде передачи данных. Построение концепции безопасности производится исходя из принципа необходимости защиты передаваемой информации на сетевом/транспортном или прикладном уровнях (упрощенная модель OSI). Подавляющее большинство существующих сегодня систем безопасности так или иначе реализуют именно эту модель.
Вот несколько различных вариантов систем авторизации при помощи паролей.
Профили пользователей. На каждом из узлов создается база данных пользователей, их паролей и профилей доступа к локальным ресурсам вычислительной системы. Недостаток -- взлом системы возможен методом перебора паролей.
Профили процессов. Подобный метод реализован в технологии аутентификации Kerberos, где задачу аутентификации выполняет независимый (third-party) сервер, который содержит пароли как для пользователей, так и для конечных серверов (в случае группы серверов базу данных паролей также содержит только один (master) сервер аутентификации; остальные -- лишь периодически обновляемые копии).
Таким образом, использование сетевых услуг требует двух паролей (хотя пользователь должен знать только один -- второй предоставляется ему сервером <<прозрачным>> образом). Очевидно, что сервер Kerberos становится узким местом всей системы, а его взлом может нарушить безопасность всей вычислительной сети, хотя в целом данный механизм защиты является более сильным, чем метод профилей пользователей.
Комбинированные методы. Наличие нескольких методов защиты всегда создает дополнительные сложности для разработчиков прикладного программного обеспечения. Для устранения этого недостатка разработан ряд стандартизованных программных интерфейсов к средствам аутентификации (PAM, частично GSS-API), которые также можно считать <<бутылочным горлышком>> системы безопасности.
Рассмотрим примеры, иллюстрирующие применение описанных методов в различных ситуациях.
Компьютерная сеть. В любой сети, как локальной, так и глобальной, мы вправе предполагать существование злоумышленника, поэтому требование целостности отвергается еще на этапе создания распределенной системы. Тем не менее именно на подобную целостность рассчитывают средства защиты первого рода.
Электронная коммерция. Сети электронной коммерции [8, 9] также не могут рассматриваться в качестве целостной системы. Более того, для них это проблема стоит более остро. С одной стороны, такие системы заинтересованы в привлечении как можно большего количества пользователей, что дает мошеннику возможность с легкостью стать абонентом системы. С другой стороны, системы электронной торговли вынуждены через единую технологию обработки транзакций полагаться именно на целостность системы. Ситуация осложняется еще и тем, что такие технологии реализуются в большинстве случаев посредством механизма анонимных электронных денег [11,12].
Корреспондентская сеть банков. Стать абонентом такой сети чрезвычайно сложно, а технология обмена информацией жестко контролируется, например, государством. Тем не менее и эта система имеет ряд узких мест. Во-первых, нельзя считать, что банк не может быть заинтересован в мошенничестве. Во-вторых, мы можем вспомнить ситуацию информационной войны, когда интересы одного или нескольких банков ничто по сравнению с поражением враждебного государства. Для экономики, где 90-95% всей денежной массы является безналичной, компрометация клиринговой системы может стать решающей.
Системы защиты второго рода
Приведенные примеры иллюстрируют тот факт, что распределенные системы не могут считаться атомарной единицей защиты информации (АЕЗИ), а это значит, что недостаточно средств безопасности, построенных по принципу защиты на уровне передачи информации/установления связей. Вспомнив определение распределенной системы как связанной совокупности единиц обмена информации, можно выделить в ней два типа связей -- сильные (непосредственное взаимодействие субъектов и объектов) и слабые (например, сетевой трафик). Поскольку нельзя распространить понятие АЕЗИ на все связи распределенной системы, то разумно использовать его только для субъектов и объектов, охваченных сильными связями.
В данной модели слабые связи возможны только между субъектами информационного обмена. Таким образом, атомарный для защиты уровень должен быть понижен до уровня составляющих распределенной информационной системы -- информационных узлов: для вычислительной сети -- отдельный компьютер (хост); для системы электронной торговли -- продавец, покупатель или брокер/банк; для корреспондентской сети банков -- отдельный банк или банки одной финансовой группы.
Что происходит в хост-системе, представляющей собой узел некоторой распределенной системы? Узел с некоторой периодичностью устанавливает слабые связи с другими информационными узлами, вследствие ряда внешних по отношению к нему процессов. Для каждой из таких связей в данной хост-системе создается представление -- образ внешнего процесса (ОВП). Уже было убедительно показано, что информации, предоставляемой технологией передачи распределенной системы, недостаточно для получения адекватного ОВП. По-другому этот принцип может быть сформулирован так: ни один субъект не может считаться полностью авторизованным для доступа к информационному объекту.
Реализация данного подхода и характеризует то, что называется здесь средствами защиты второго рода, которых сегодня в чистом виде просто не существует. Каковы же тогда основные принципы, которые должны быть реализованы в подобных системах защиты?
Мониторинг процессов [7]. Очевидно, что некоторая система становится хост-системой только в том случае, когда она предоставляет возможность доступа извне к своим информационным ресурсам. При создании средств такого доступа (серверных процессов), как правило, имеется достаточное количество априорной информации, относящейся к поведению клиентских процессов. К сожалению, в большинстве случаев эта информация попросту игнорируется. После аутентификации внешнего процесса в системе он в течение всего своего жизненного цикла считается авторизованным для доступа к некоторому количеству информационных ресурсов. Попыток проверить, насколько адекватен созданный ОВП этому внешнему процессу и имеющейся априорной информации, не делается.
Метод мониторинга процессов заключается в создании специального расширения системы, которое бы постоянно осуществляло подобные типы проверок. И хотя указать все правила поведения внешнего процесса в большинстве случаев не представляется возможным, вполне реально определить их через отрицание или, иначе говоря, указать, что внешний процесс не может делать ни при каких условиях.
Дублирование технологий передачи. Поскольку существует риск компрометации любой технологии передачи информации как в силу ее внутренних недостатков, так и вследствие воздействия извне, единственный способ застраховать себя от последствий подобной ситуации заключается в параллельном применении нескольких отличных друг от друга технологий передачи. Может показаться, что сегодня данный подход уже широко используется: например, вполне возможно, взяв за основу перечисленные выше способы, войти в систему, защищенную брандмауэром, используя протокол ssh и быть аутентифицированным в ней по паролю. Однако, использование нескольких средств защиты является в таких случаях скорее последовательным, нежели параллельным. Очевидно, что дублирование приведет к резкому увеличению сетевого трафика. Тем не менее такой способ может быть эффективным, когда стоимость рисков от возможных потерь оказывается выше накладных расходов по дублированию.
Децентрализация. Во многих случаях использование стандартизованных технологий обмена информацией вызвано не стремлением к стандартизации, а недостаточной вычислительной мощностью большинства хост-систем.
В качестве примера можно привести широко используемый в Internet протокол Domain Name Service (DNS). Его применение для получения сетевого адреса зачастую требует прохождения запроса через цепочку серверов, что увеличивает риск подмены информации. Для уменьшения подобного риска вполне возможно создание локальных баз данных всех (или части) имен DNS с периодическим их обновлением.
Реализацией децентрализованного подхода может считаться и широко распространенная в сети Internet практика <<зеркал>>. Создание нескольких идентичных копий ресурсов может быть полезным в системах реального времени, даже кратковременный сбой которых может иметь достаточно серьезные последствия. Случай с Web-сервером компании Microsoft, который на 10 минут был выведен из строя, хорошо иллюстрирует этот вывод.
Построенные с применением этих трех принципов системы защиты не могут заменить системы первого рода. Важно то, что применение этих принципов не исключает использования технологий защиты информации сетевого уровня. Поэтому при разработке политики безопасности для распределенной информационной системы целесообразно использование систем защиты как первого, так и второго рода.