Раздел 9. Программно- аппаратные средства защиты информации

126) Назначение и классификация межсетевых экранов, уровни фильтрации в соответствии с эталонной моделью OSI/ISO (примеры использования).

Важное место в списке средств обеспечения безопасного подключения к Internet занимают межсетевые экраны (часто называемые брандмауэрами или firewall). Согласно «Руководящему док-ту» межсетевым экраном (МЭ)называется локальное

(однокомпонентное) или функционально-распределенное ср-во (комплекс), которое реализует контроль за инф, поступающей в автоматизированную систему и/или выходящей из нее, и обеспечивает защиту автоматизированной системы посредством фильтрации инф, т. е. анализа по совокупности критериев и принятия решения об ее распространении в (из) автоматизированной системе (ср-ва защиты, устанавливаемые м/у общедоступной (такой, как Internet) и внутренней сетью).

МЭ выполняет двойную функцию. Во-первых, он призван ограничить доступ во внутреннюю сеть со стороны общедоступной сети за счет применения фильтров и средств аутентификации, чтобы злоумышленники не могли получить несанкционированный доступ к инф или нарушить нормальную работу сетевой инфраструктуры. Во-вторых, МЭ служит для контроля и регулирования доступа пользователей внутренней сети к ресурсам общедоступной сети, когда те представляют угрозу без-ти или отвлекают сотрудников от работы. Также сетевые экраны устанавливают и внутри корпоративных сетей, в целях ограничения доступа пользователей к особо важным ресурсам сети, например к серверам, содержащим финансовую инф или сведения, относящиеся к коммерческой тайне. Существуют и персональные МЭ, призванные регулировать доступ к отдельным компьютерам и устанавливаемые на эти компьютеры.

МЭ классифицируются в соответствии с уровнем эталонной модели взаимодействия открытых систем (сетевой моделью) OSI. Однако такая классификация, в силу ряда обстоятельств носит достаточно условный характер. Различают следующие типы МЭ:

-управляемые коммутаторы (канальный уровень);

-сетевые фильтры (сетевой уровень);

-шлюзы сеансового уровня (circuit-level proxy);

-посредники прикладного уровня;

-инспекторы состояния (stateful inspection), представляющие собой межсетевые экраны сеансового уровня с расширенными возможностями;

-МЭ экспертного уровня (такие МЭ обычно базируются на посредниках прикладного уровня или инспекторах состояния, но обязательно комплектуются шлюзами сеансового уровня и сетевыми фильтрами. К МЭ экспертного класса относятся почти все имеющиеся на рынке коммерческие брандмауэры).

МЭ могут опираться на один из двух взаимоисключающих принципов обработки поступающих пакетов данных. Первый принцип гласит: «Что явно не запрещено, то разрешено». Т. е. если МЭ получил пакет, не подпадающий не под одно из принятых ограничений или не идентифицированный правилами обработки, то он передается далее. Противоположный принцип — «Что явно не разрешено, то запрещено» — гарантирует гораздо большую защищенность, но оборачивается дополнительной нагрузкой на администратора. В этом случае внутренняя сеть изначально полностью недоступна, и администратор вручную устанавливает разрешенные при обмене данными с общедоступной сетью сетевые адреса, протоколы, службы и операции.

Правила обработки инф во многих МЭ экспертного класса могут иметь многоуровневую иерархическую структуру. Например, они могут позволять задать такую схему: «Все компьютеры локальной сети недоступны извне, за исключением доступа к серверу A по протоколу ftp и к серверу B по протоколу telnet, однако при этом запрещен доступ к серверу A с операцией PUT сервиса ftp».

МЭ могут выполнять над поступающими пакетами данных одну из двух операций: пропустить пакет далее (allow) или отбросить пакет (deny). Некоторые МЭ имеют еще одну операцию — reject, при которой пакет отбрасывается, но отправителю сообщается по протоколу ICMP о недоступности сервиса на компьютере-получателе инф. В противовес этому при операции deny отправитель не информируется о недоступности сервиса, что является более безопасным.

127) Назначение и классификация межсетевых экранов по месту расположения в сети, понятие демилитаризованной зоны (примеры расположения firewall)

Межсетевой экран (МЭ) — это специализированный комплекс межсетевой защиты, называемый также брандмауэром или системой firewall. МЭ позволяет разделить общую сеть на две части (или более) и реализовать набор правил, определяющих условия прохождения пакетов с данными через границу из одной части общей сети в другую. Как правило, эта граница проводится между корпоративной (локальной) сетью предприятия и глобальной сетью Internet.

Обычно МЭ защищают внутреннюю сеть предприятия от «вторжений» из глобальной сети Internet, хотя они могут использоваться и для защиты от «нападений» из корпоративной интрасети, к которой подключена локальная сеть предприятия. Техно­логия МЭ одна из самых первых технологий защиты корпоративных сетей от внешних угроз.

Для большинства организаций установка МЭ является необходимым условием обеспечения без-ти внутренней сети.

Функции МЭ:

Для противодействия несанкционированному межсетевому доступу МЭ должен располагаться между защищаемой сетью организации, являющейся внутренней, и потенциально враждебной внешней сетью. При этом все взаимодействия между этими сетями должны осуществляться только через МЭ. Организационно МЭ входит в состав защищаемой сети.

МЭ, защищающий сразу множество узлов внутренней сети, призван решить:

• задачу ограничения доступа внешних (по отношению к защищаемой сети) пользователей к внутренним ресурсам корпоративной сети. К таким пользователям могут быть отнесены партнеры, удаленные пользователи, хакеры и даже сотрудники самой компании, пытающиеся получить доступ к серверам БД, защищаемых МЭ;

•задачу разграничения доступа пользователей защищаемой сети к внешним ресурсам. Решение этой задачи позволяет, например, регулировать доступ к серверам, не требующимся для выполнения служебных обязанностей.

До сих пор не существует единой общепризнанной классификации МЭ. Их можно классифицировать, например, по следующим основным признакам.

По функционированию на уровнях модели OSI.

• пакетный фильтр (экранирующий маршрутизатор — screen­ing router);

• шлюз сеансового уровня (экранирующий транспорт);

• прикладной шлюз (application gateway);

• шлюз экспертного уровня (stateful inspection firewall). По используемой технологии:

• контроль состояния протокола (stateful inspection);

• на основе модулей посредников (proxy). По исполнению:

• аппаратно-программный;

• программный.

По схеме подключения:

• схема единой защиты сети (Наиболее простым является решение, при котором межсетевой экран просто экранирует локальную сеть от глобальной. При этом

WWW-сервер, FTP-сервер, почтовый сервер и другие сервера, оказываются также защищены МЭ. При этом требуется уделить много внимания на предотвращение проникновения на защищаемые станции локальной сети при помощи средств легкодоступных WWW-серверов);

• схема с защищаемым закрытым и не защищаемым открытым сегментами сети (Для предотвращения доступа в локальную сеть, используя ресурсы WWW-сервера, рекомендуется общедоступные серверы подключать перед МЭ. Данный способ обладает более высокой защищенностью локальной сети, но низким уровнем защищенности WWW- и FTP-серверов.);

схема с раздельной защитой закрытого и открытого сегментов сети (Данная схема подключения обладает наивысшей защищенностью по сравнению с рассмотренными выше. Схема основана на применении двух МЭ, защищающих отдельно закрытую и открытую подсети. Участок сети между МЭ также называется экранированной подсетью или демилитаризованной зоной (DMZ, demilitarized zone)).

Основные схемы подключения МЭ

При подключении корпоративной сети к глобальным сетям необходимо разграничить доступ в защищаемую сеть из глобальной сети и из защищаемой сети в глобальную сеть, а также обеспечить защиту подключаемой сети от удаленного НСД (несанкционированный доступ) со стороны глобальной сети. При этом организация заинтересована в сокрытии инф о структуре своей сети и ее компонентов от пользователей глобальной сети. Работа с удаленными пользователями требует установления жестких ограничений доступа к инф ресурсам защищаемой сети.

Часто возникает потребность иметь в составе корпоративной сети несколько сегментов с разными уровнями защищенности:

• свободно доступные сегменты (например, рекламный WWW-сервер);

• сегмент с ограниченным доступом (например, для доступа сотрудникам организации с удаленных узлов);

• закрытые сегменты (например, финансовая локальная подсеть организации).

Для подключения МЭ могут использоваться различные схемы, которые зависят от условий функционирования защищаемой сети, а также от кол-ва сетевых интерфейсов и других хар-к, используемых МЭ. Широкое распространение получили схемы:

• защиты сети с использованием экранирующего маршрутизатора;

• единой защиты локальной сети;

• с защищаемой закрытой и не защищаемой открытой подсетями;

• с раздельной защитой закрытой и открытой подсетей.

Рассмотрим подробнее схему с защищаемой закрытой и не защищаемой открытой подсетями. Если в составе локальной сети имеются общедоступные открытые серверы, то их целесообразно вынести как открытую подсеть до МЭ. Этот способ обладает высокой защищенностью закрытой части локальной сети, но обеспечивает пониженную без-ть открытых серверов, расположенных до МЭ.

Некоторые МЭ позволяют разместить эти серверы на себе. Однако такое решение не является лучшим с точки зрения без-ти самого МЭ и загрузки компьютера. Схему подключения МЭ с защищаемой закрытой подсетью и не защищаемой открытой подсетью целесообразно использовать лишь при невысоких требованиях по без-ти к открытой подсети.

Если же к без-ти открытых серверов предъявляются повышенные требования, тогда необходимо использовать схему с раздельной защитой закрытой и открытой подсетей.

DMZ (демилитаризованная зона) — технология обеспечения защиты инф периметра, при которой серверы, отвечающие на запросы из внешней сети или направляющие туда запросы, находятся в особом сегменте сети (который и называется DMZ) и ограничены в доступе к основным сегментам с помощью МЭ (файрвола).

128) Руководящий документ Гостехкомиссии РФ от 25.07.97 «Средства вычислительной техники. Межсетевые экраны». Основные положения РД, классификация МЭ, требования к показателям классов защищенности МЭ.

Настоящий руководящий док-т устанавливает классификацию межсетевых экранов (МЭ) по уровню защищенности от несанкционированного доступа (НСД) к инф на базе перечня показателей защищенности и совокупности описывающих их требований.

Под сетями ЭВМ, распределенными автоматизированными системами (АС) в данном док-те понимаются соединенные каналами связи системы обработки данных, ориентированные на конкретного пользователя.

МЭ представляет собой локальное (однокомпонентное) или функционально-распределенное ср-во (комплекс), реализующее контроль за инф, поступающей в АС и/или выходящей из АС, и обеспечивает защиту АС посредством фильтрации инф, т.е. ее анализа по совокупности критериев и принятия решения о ее распространении в (из) АС.

Руководящий док-т разработан в дополнение к Руководящим док-там Гостехкомиссии России “Ср-ва ВТ. Защита от несанкц-ного доступа к инф. Показатели защищенности от несанкц-ного доступа к инф” и “АС. Защита от несанкц-ного доступа к инф. Классификация АС и требования по ЗИ”.

Док-т предназначен для заказчиков и разработчиков МЭ, а также сетей ЭВМ, распределенных АС с целью использования при формулировании и реализации требований по их защите от НСД к инф.

1. Общие положения

Данные показатели содержат требования к ср-вам защиты, обеспечивающим безопасное взаимодействие сетей ЭВМ, АС посредством упр-я межсетевыми потоками инф, и реализованных в виде МЭ. Применяются для определения уровня защищенности. Конкретные перечни показателей определяют классы защищенности МЭ, с целью разработки и применения обоснованных экономически оправданных мер по достижению требуемого уровня ЗИ. Устанавливается пять классов защищенности МЭ. Каждый класс хар-зуется определенной мин совокупностью требований по ЗИ.

Самый низкий класс защищенности – 5й, применяемый для безопасного взаимодействия АС класса 1Д с внешней средой, 4й - для 1Г, 3й - 1В, 2й - 1Б, самый высокий - 1й, применяемый для безоп-ного взаимодействия АС класса 1А с внешней средой.

Для АС класса 3Б, 2Б должны применяться МЭ не ниже 5 класса.

Для АС класса 3А, 2А в зависимости от важности обрабатываемой инф должны применяться МЭ следующих классов:

-при обработке инф с грифом “секретно” - не ниже 3 класса;

-при обработке инф с грифом “совершенно секретно” - не ниже 2 класса;

-при обработке инф с грифом “особой важности” - не ниже 1 класса.

2. Требования к МЭ

Требования к 5 классу защищенности МЭ.

Упр-е доступом. МЭ должен обеспечивать фильтрацию на сетевом уровне. МЭ должен обеспечивать идентификацию (и/ф) и аутентификацию (а/ф) админа МЭ при его локальных запросах на доступ. МЭ должен предоставлять возможность для и/ф и а/ф по идентификатору (коду) и паролю условно-постоянного действия. МЭ должен обеспечивать регистрацию входа (выхода) админа МЭ в систему (из системы).

В параметрах регистрации указываются:

-дата, время и код регистрации; -результат попытки осуществления регистрации - успешная или неуспешная;

-идентификатор админа МЭ, предъявленный при попытке осуществления регистрации.

МЭ должен содержать ср-ва контроля за целостностью своей программной и инф части. Должен предусматривать процедуру восстановления после сбоев и отказов оборудования, которые должны обеспечивать восстановление свойств МЭ.

Руководство админа МЭ. Док-т содержит: -описание контролируемых ф-ций МЭ; -руководство по настройке и конфигурированию МЭ; -описание старта МЭ и процедур проверки правильности старта; -руководство по процедуре восстановления.

Конструкторская (проектная) документация. Должна содержать:

-общую схему МЭ; -общее описание принципов работы МЭ; -описание правил фильтрации; -описание ср-в и процесса и/ф и а/ф; -описание ср-в и процесса регистрации; -описание ср-в и процесса контроля за целостностью программной и инф части МЭ; -описание процедуры восстановления свойств МЭ.

Требования к 4 классу защищенности МЭ.

Упр-е доступом. Совпадают с 5 классом Дополнительно МЭ должен обеспечивать: -Фильтрацию пакетов служебных протоколов, служащих для диагностики и упр-я работой сетевых устр-в; -Фильтрацию с учетом вх и вых сетевого интерфейса как ср-во проверки подлинности сетевых адресов; -Фильтрацию с учетом любых значимых полей сетевых пакетов.

Регистрация. МЭ должен обеспечивать возможность регистрации и учета фильтруемых пакетов. В параметры регистрации включаются адрес, время и результат фильтрации.

Администрирование: и/ф и а/ф; Целостность; Восстановление; Администрирование: регистрация Совпадают с 5 классом. Дополнительно МЭ должен обеспечивать регистрацию запуска программ и процессов (заданий, задач).

Тестирование. В МЭ должна обеспечиваться возможность регламентного тестирования: -Реализации правил фильтрации; -процесса регистрации; -Процесса и/ф и а/ф админа МЭ; -Процесса регистрации действий админа МЭ; -Процесса контроля за целостностью программной и инф части МЭ -процедуры восстановления.

Руководство администратора МЭ. Совпадают с 5 классом.

Тестовая документация. Должна содержать описание тестов и испытаний, которым подвергался МЭ, и результаты тестирования.

Конструкторская (проектная) документация. Совпадают с 5 классом по составу документации.

Требования к 3 классу защищенности МЭ.

Упр-е доступом. Совпадают с 4 классом. Дополнительно МЭ должен обеспечивать: -Фильтрацию на транспортном уровне запросов на установление виртуальных соединений. При этом, учитываются транспортные адреса отправителя и получателя; -Фильтрацию на прикладном уровне запросов к прикладным сервисам. При этом, учитываются прикладные адреса отправителя и получателя; -фильтрацию с учетом даты/времени.

И/ф и а/ф. МЭ должен обеспечивать возможность а/ф входящих и исходящих запросов методами, устойчивыми к пассивному и/или активному прослушиванию сети.

Регистрация. Совпадают с 4 классом. Дополнительно МЭ должен обеспечивать: -Регистрацию и учет запросов на установление виртуальных соединений; -Локальную сигнализацию попыток нарушения правил фильтрации.

Администрирование: и/ф и а/ф. Совпадают с 5 классом. Дополнительно МЭ должен препятствовать доступу неидентифицированного субъекта или субъекта, подлинность и/ф которого при а/ф не подтвердилась. При удаленных запросах администратора МЭ на доступ и/ф и а/ф должны обеспечиваться методами, устойчивыми к пассивному и активному перехвату инф.

Администрирование: регистрация. Совпадают с 4 классом. Дополнительно МЭ должен обеспечивать регистрацию действия администратора МЭ по изменению правил фильтрации.

Администрирование: простота использования. Многокомпонентный МЭ должен обеспечивать возможность дистанционного упр-я своими компонентами, в том числе, возможность конфигурирования фильтров, проверки взаимной согласованности всех фильтров, анализа регистрационной инф.

Восстановление; Целостность. Совпадают с 5 классом. Дополнительно должен обеспечиваться контроль целостности программной и инф части МЭ по контрольным суммам.

Тестирование. В МЭ должна обеспечиваться возможность регламентного тестирования: -реализации правил фильтрации; -процесса регистрации; -процесса и/ф и а/ф запросов; -процесса и/ф и а/ф администратора МЭ; -процесса регистрации действий администратора МЭ; -процесса контроля за целостностью программной и инф части МЭ; -процедуры восстановления.

Руководство администратора МЭ. Совпадают с 5 классом.

Тестовая документация. Должна содержать описание тестов и испытаний, которым подвергался МЭ, и результаты тестирования.

Конструкторская (проектная) документация. Совпадают с 5 классом по составу документации.

Дополнительно документация должна содержать описание ср-в и процесса централизованного упр-я компонентами МЭ.

Требования ко 2 классу защищенности МЭ.

Упр-е доступом. Данные Совпадают с 3 классом. Дополнительно МЭ должен обеспечивать: -возможность сокрытия субъектов (объектов) и/или прикладных ф-ций защищаемой сети; -возможность трансляции сетевых адресов.

И/ф и а/ф. Регистрация. Данные Совпадают с 3 классом. Дополнительно МЭ должен обеспечивать: -дистанционную сигнализацию попыток нарушения правил фильтрации; -регистрацию и учет запрашиваемых сервисов прикладного уровня; -программируемую реакцию на события в МЭ.

Администрирование: и/ф и а/ф. МЭ должен обеспечивать и/ф и а/ф админа МЭ при его запросах на доступ. МЭ должен предоставлять возможность для и/ф и а/ф по идентификатору (коду) и паролю временного действия. МЭ должен препятствовать доступу субъекта, подлинность которого не подтвердилась. При удаленных запросах на доступ админа МЭ и/ф и а/ф должны обеспечиваться методами, устойчивыми к пассивному и активному перехвату инф.

Администрирование: регистрация. Администрирование: простота использования. Совпадают с 3 классом.

Целостность. МЭ должен содержать ср-ва контроля за целостностью своей программной и инф части по контрольным суммам как в процессе загрузки, так и динамически.

Восстановление МЭ должен предусматривать процедуру восстановления после сбоев и отказов оборудования, которые должны обеспечивать оперативное восстановление свойств МЭ.

Тестирование. В МЭ должна обеспечиваться возможность регламентного тестирования: -реализации правил фильтрации; -процесса и/ф и а/ф; -процесса регистрации; -процесса и/ф и а/ф админа МЭ; -процесса регистрации действий админа МЭ; -процесса контроля за целостностью программной и инф части МЭ; -процедуры восстановления.

Руководство админа МЭ. Совпадают с 5 классом.

Тестовая документация. Должна содержать описание тестов и испытаний, которым подвергался МЭ, и результаты тестирования.

Конструкторская (проектная) документация. Совпадают с 3 классом. по составу документации.

Требования к 1 классу защищенности МЭ.

Упр-е доступом; Регистрация. И/ф и а/ф. Совпадают с 2 классом. Дополнительно МЭ должен обеспечивать и/ф и а/ф всех субъектов прикладного уровня.

Администрирование: и/ф и а/ф. МЭ должен обеспечивать и/ф и а/ф админа МЭ при его запросах на доступ. МЭ должен предоставлять возможность для и/ф и а/ф по биометрическим хар-кам или спец устр-вам (жетонам, картам, эл ключам) и паролю временного действия. МЭ должен препятствовать доступу неидентифицированного субъекта или субъекта, подлинность и/ф которого при а/ф не подтвердилась. При удаленных запросах на доступ админа МЭ и/ф и а/ф должны обеспечиваться методами, устойчивыми к пассивному и активному перехвату инф.

Администрирование: регистрация. Совпадают с 3 классом.

Администрирование: простота использования. Многокомпонентный МЭ должен обеспечивать возможность централизованного упр-я своими компонентами, в том числе, конфигурирования фильтров, проверки взаимной согласованности всех фильтров, анализа регистрационной инф. Должен быть предусмотрен графический интерфейс для упр-я МЭ.

Целостность. МЭ должен содержать ср-ва контроля за целостностью своей программной и инф части по контрольным суммам аттестованного алгоритма как в процессе загрузки, так и динамически.

Восстановление. Совпадают с 2 классом.

Тестирование. В МЭ должна обеспечиваться возможность регламентного тестирования:

-реализации правил фильтрации; -процесса и/ф и а/ф; -процесса регистрации; -процесса и/ф и а/ф админа МЭ; -процесса регистрации действий админа МЭ; -процесса централизованного упр-я компонентами МЭ и графический интерфейс для упр-я МЭ; -процесса контроля за целостностью программной и инф части МЭ; -процедуры восстановления.

Руководство админа МЭ. Совпадают с 5 классом.

Тестовая документация. Должна содержать описание тестов и испытаний, которым подвергался МЭ, и результаты тестирования.

Конструкторская (проектная) документация. Совпадают с 3 классом по составу документации.

Дополнительно документация должна содержать описание графического интерфейса для управления МЭ.

129) Межсетевые экраны с фильтрацией пакетов, достоинства и недостатки.

Фильтрующий маршрутизатор (ФМ) представляет собой маршрутизатор или работающую на сервере программу, построенную таким образом, чтобы фильтровать входящие и выходящие пакеты. Фильтрация пакетов выполняется на основе инф в TCР и IP- заголовках пакетов. ФМ может фильтровать IP-пакеты на основе:

1. IP- адрес отправителя; порт отправителя;

2. IP- адрес получателя; порт получателя.

Порт – это программное понятие, которое используется клиентом или сервером для посылки или приема сообщений; порт обозначается 16-тибитовым числом.

Межсетевой экран с фильтрацией пакетов, работающий только на канальном уровне эталонной модели взаимодействия открытых систем, обычно проверяет только инф в IP-заголовках пакетов. Поэтому обмануть его не сложно: нарушитель создает заголовок, который удовлетворяет разрешающим правилам фильтрации. Практика показывает, что подобный вид нападения, называемый подменой адреса, довольно широко распространен в Internet и часто оказывается эффективным.

К положительным качествам фильтрующих маршрутизаторов относится:

• сравнительно невысокая стоимость;

• гибкость в определении правил фильтрации;

• небольшую задержку при прохождении пакетов.

Недостатками фильтрующих маршрутизаторов являются:

• внутренняя сеть видна (маршрутизируется) из Internet;

• правила фильтрации трудны в описании и требуют очень хороших знаний технологий TCP и UDP;

• при нарушении работоспособности межсетевого экрана с фильтрацией пакетов все компьютеры за ним становятся полностью незащищенными или недоступными;

• аутентификацию с использованием IP-адреса можно обмануть путем подмены IР-адреса;

• отсутствует аутентификация на пользовательском уровне.

Фильтрующие маршрутизаторы

Packet-filtering firewall (Межсетевой экран с фильтрацией пакетов) — межсетевой экран, который является маршрутизатором или компьютером, на котором работает ПО, сконфигурированное таким образом, чтобы отфильтровывать определенные виды входящих и исходящих пакетов. Фильтрация пакетов осуществляется на основе инф, содержащейся в TCP- и IP-заголовках пакетов (адреса отправителя и получателя, их номера портов и др.)

• Работают на 3 уровне

• Также известны, как МЭ на основе порта

• Каждый пакет сравнивается со списками правил (адрес источника/получателя, порт источника/получателя)

• Недорогой, быстрый (производительный в силу простоты), но наименее безопасный

• Технология 20-летней давности

Пример: список контроля доступа (ACL, access control lists) маршрутизатора

Фильтрующий маршрутизатор располагается между защищаемой сетью и Internet. ФМ сконфигурирован для блокирования или фильтрации входящих/исходящих пакетов на основе анализа их адресов и портов. Компьютеры, находящиеся в защищаемой сети, имеют прямой доступ с Internet, в то время как большая часть доступа к ним извне, блокируется.

130) МЭ- шлюзы сеансового уровня, достоинства и недостатки.

Шлюз сеансового уровня по-другому называют системой трансляции сетевых адресов или шлюзом сетевого уровня модели OSI. Шлюз сеансового уровня принимает запрос доверенного клиента на конкретные услуги, и после проверки допустимости запрошенного сеанса устанавливает соединение с внешним хост-компьютером. После этого шлюз копирует ТСР-пакеты в обоих направлениях, не осуществляя их фильтрации. По окончании сеанса шлюз разрывает цепь, использованную в данном сеансе. Для копирования и перенаправления пакетов в шлюзах сеансового уровня применяются специальные приложения, которые называются канальными посредниками, поскольку они устанавливают м/у двумя сетями виртуальную цепь или канал, а затем разрешают пакетам, которые генерируются приложениями TCP/IP проходить по этому каналу. Шлюз сеансового уровня выполняет еще одну важную функцию защиты: он используется в качестве сервера посредника. Сервер-посредник выполняет процедуру трансляции адресов, при которой происходит преобразование внутренних IP-адресов в единственный IP-адрес, т.е. IP-адрес сеансового шлюза становится единственно активным IP-адресом, который попадает во внешнюю сеть. Таким способом шлюз сеансового уровня и другие серверы-посредники защищают внутренние сети от нападения типа подмены адресов. К недостаткам шлюзов сеансового уровня:

• не обеспечивается контроль и защита содержимого пакетов сообщений; - не поддерживается а/ф пользователей и конечных узлов.

Шлюз сеансового уровня

Circuit-level gateway (Шлюз сеансового уровня) — МЭ, который исключает прямое взаимодействие между авторизированным клиентом и внешним хостом. Сначала он принимает запрос доверенного клиента на определенные услуги и, после проверки допустимости запрошенного сеанса, устанавливает соединение с внешним хостом. После этого шлюз просто копирует пакеты в обоих направлениях, не осуществляя их фильтрации. На этом уровне появляется возможность использования функции сетевой трансляции адресов (NAT). Трансляция внутренних адресов выполняется по отношению ко всем пакетам, следующим из внутренней сети во внешнюю. Для этих пакетов IP-адреса компьютеров-отправителей внутренней сети автоматически преобразуются в один IP-адрес, ассоциируемый с экранирующим МЭ. В результате все пакеты, исходящие из внутренней сети, оказываются отправленными МЭ, что исключает прямой контакт м/у внутренней и внешней сетью. IP-адрес шлюза сеансового уровня становится единственным активным IP-адресом, который попадает во внешнюю сеть.

• Работает на 4 уровне

• Передает TCP подключения, основываясь на порте

• Недорогой, но более безопасный, чем фильтр пакетов

• Вообще требует работы пользователя или программы конфигурации для полноценной работы

• Пример: SOCKS файрвол

131) МЭ- Шлюзы прикладного уровня, достоинства и недостатки.

Для проверки содержимого пакетов, формируемых определенными сетевыми службами типа Telnet и т.п. МЭ экраны используют доп программные ср-ва. Такие программные ср-ва называются полномочными серверами - посредниками, а компьютер, на котором они выполняются – шлюзами прикладного уровня. ШПУ исключает прямое взаимодействие м/у авторизованным клиентом и внешним хост-компьютером. ШПУ фильтруют все входящие и исходящие пакеты на прикладном уровне. Например, они могут фильтровать FTP-соединения и запрещать прохождение команды PUT, что не позволит пользователям записывать инф на анонимный FTP-сервер.

В дополнение к фильтрации пакетов многие шлюзы прикладного уровня регистрируют все выполняемые сервером действия и предупреждают сетевого админа о возможных нарушениях защиты.

Достоинства шлюза прикладного уровня:

• невидимость структуры внутренней сети, т.к. ШПУ может быть единственной машиной, имя которой известно внешним системам;

• надежная а/ф и регистрация, т.к. прикладной трафик может быть аутентифицировать, прежде чем он достигнет внутренних компьютеров, и может быть зарегистрирован более эффективно, чем с помощью стандартной регистрации через пароли;

• оптимальное соотношение м/у ценой и эффективностью;

• простые правила фильтрации;

• возможность организации большого числа проверок, что снижает вероятность взлома с использованием «дыр» в ПО.

К недостаткам ШПУ относится более низкая производительность и более высокая стоимость по сравнению с фильтрующими маршрутизаторами.

Шлюз прикладного уровня

Application-level gateways (Шлюз прикладного уровня) –МЭ, который исключает прямое взаимодействие м/у авторизированным клиентом и внешним хостом, фильтруя все входящие и исходящие пакеты на прикладном уровне модели OSI. Связанные с приложением программы-посредники перенаправляют через шлюз инф, генерируемую конкретными сервисами TCP/IP.

Возможности:

• И/ф и а/ф пользователей при попытке установления соединения через МЭ;

• Фильтрация потока сообщений, например, динамический поиск вирусов и прозрачное шифрование инф;

• Регистрация событий и реагирование на события;

• Кэширование данных, запрашиваемых из внешней сети.

На этом уровне появляется возможность использования функций посредничества (Proxy).

Для каждого обсуживаемого протокола прикладного уровня можно вводить программных посредников – HTTP-посредник, FTP-посредник и т.д. Посредник каждой службы TCP/IP ориентирован на обработку сообщений и выполнение функций защиты, относящихся именно к этой службе. Также, как и шлюз сеансового уровня, прикладной шлюз перехватывает с помощью соответствующих экранирующих агентов входящие и сходящие пакеты, копирует и перенаправляет инф через шлюз, и функционирует в качестве сервера-посредника, исключая прямые соединения м/у внутренней и внешней сетью. Однако, посредники, используемые прикладным шлюзом, имеют важные отличия от канальных посредников шлюзов сеансового уровня. Во-первых, посредники прикладного шлюза связаны с конкретными приложениями программными серверами, а во-вторых, они могут фильтровать поток сообщений на прикладном уровне модели МВОС.

Особенности:

• Работает на 7 уровне

• Специфический для приложений

• Умеренно дорогой и медленный, но более безопасный и допускает регистрацию деятельности пользователей

• Требует работы пользователя или программы конфигурации для полноценной работы

• Пример: Web (http) proxy

132) МЭ экспертного уровня, достоинства и недостатки.

Stateful inspection firewall — межсетевой экран экспертного уровня, который проверяет содержимое принимаемых пакетов на трех уровнях модели OSI: сетевом, сеансовом и прикладном. При выполнении этой задачи используются специальные алгоритмы фильтрации пакетов, с помощью которых каждый пакет сравнивается с известным шаблоном авторизированных пакетов.

• Фильтрация 3 уровня

• Проверка правильности на 4 уровне

• Осмотр 5 уровня

• Высокие уровни стоимости, защиты и сложности

• Пример: CheckPoint Firewall-1

Некоторые современные МЭ используют комбинацию вышеперечисленных методов и обеспечивают дополнительные способы защиты, как сетей, так и систем.

Особенность функционирования МЭ экспертного уровня состоит в том, что он не оказывает посреднических услуг сетевого взаимодействия на сеансовом и прикладном уровнях модели OSI. Вместо этого он использует специфические технологии распознавания допустимых соединений (в том числе с динамически назначаемыми номерами портов) и улучшенные алгоритмы обработки данных уровня приложения.

133) Компоненты межсетевого экрана

В общем случае алгоритм функционирования МЭ сводится к выполне­нию двух групп ф-ций, одна из которых ограничивает перемещение данных (фильтрация инф потоков), а вторая, наоборот, ему способствует (посредничество в межсетевом взаимодействии). Следует отметить, что выполнение МЭ указанных групп ф-ций может осуществляться на разных уровнях модели OSI. Принято считать, что чем выше уровень модели OSI, на котором МЭ обрабатывает пакеты, тем выше обеспечиваемый им уровень защиты.

МЭ может обеспечивать защиту АС за счет фильтрации проходящих через него сетевых пакетов, то есть посредством анализа содержимого пакета по совокупности критериев на основе заданных правил и принятия решения о его дальнейшем распространении в (из) АС. Таким образом, МЭ реализует разграничение доступа субъектов из одной АС к объектам другой АС. Каждое правило запрещает или разрешает передачу инф определенного типа между субъектами и объектами. Как следствие, субъекты одной АС получают доступ только к разрешенным инф объектам другой АС. Интерпретация набора правил выполняется последовательностью фильтров, которые разрешают или запрещают передачу данных (пакетов) на следующий фильтр. МЭ или один из его компонентов, функционирующий вышеописанным образом, называют пакетным фильтром.

Пакетный фильтр функционирует на сетевом уровне модели OSI. Значимой для функционирования пакетного фильтра инф является:

-IP-адрес отправителя;

-IP-адрес получателя;

-тип протокола (TCP, UDP, ICMP);

-порт отправителя (для TCP, UDP);

-порт получателя (для TCP, UDP);

-тип сообщения (для ICMP); а иногда и другая инф (например, время суток, день недели и т. д.).

В англоязычной литературе рассмотренный компонент МЭ чаще всего обозначают термином «stateless packet filters или просто «packet filters. Данные системы просты в использовании, дешевы, оказывают минимальное влияние на производительность АС. Основным недостатком является их уязвимость при атаке, называемой IP-спуфинг — фальсификации адресов отправителя сообщений. Кроме того, они сложны при конфигурировании: для их установки требуется знание сетевых, транспортных и прикладных протоколов.

Другой вариант алгоритма функционирования МЭ предполагает, что защита АС обеспечивается с помощью экранирующего агента, который проверяет допустимость полученного запроса субъекта к объекту, при положительном результате этой проверки устанавливает свое соединение с объектом, а затем обеспечивает пересылку инф м/у субъектом и объектом взаимодействия, осуществляя контроль и/или регистрацию. В то же время в случае «прозрачных» агентов субъекту кажется, что он непосредственно взаимодействует с объектом. Использование экранирующих агентов позволяет обеспечить доп защитную ф-цию — сокрытие истинного субъекта взаимодействия.

Выделяют два вида экранирующих агентов в зависимости от того, на каком уровне модели OSI они выполняют свои ф-ции: экранирующий транспорт и экранирующий шлюз.

Экранирующий транспорт или шлюз сеансового уровня контролирует допустимость устанавливаемого соединения, участвует в формировании канала передачи данных и не позволяет проходить пакетам, не относящимся к разрешенным сеансам связи. Функционирование данного компонента связано лишь с сессиями протокола TCP. Так как при посредничестве шлюз сеансового уровня анализирует инф, содержащуюся лишь в заголовках протокола TCP без какого-либо предположения об используемом прикладном протоколе, то существует уязвимость, заключающаяся в том, что в рамках разре­шенного установленного соединения приложение может осуществлять передачу произвольных неконтролируемых данных. Как правило, вышеописанный компонент используется лишь в сочетании с другими, а не отдельно.

Более надежную защиту обеспечивает экранирующий шлюз или шлюз прикладного уровня, т. к. он проверяет содержимое каждого проходящего через шлюз пакета на прикладном уровне, где для анализа доступны служебные поля заголовка прикладного протокола и инф пользователя. Прикладной шлюз представляет собой программу-посредник, разработанную для конкретного сервиса сети Интернет. Следовательно, при внедрении сервисов, основанных на новых прикладных протоколах, появляется необходимость в разработке новых программ-посредников.

Дальнейшее развитие различных технологий межсетевого экранирования и их взаимопроникновение привело к появлению гибридных компонентов МЭ, сочетающих в себе достоинства всех трех ранее рассмотренных компонентов и лишенных некоторых их недостатков. Такие системы, чаще всего называемые МЭ экспертного уровня, функционируют на всех уровнях модели OSI: от сетевого до прикладного включительно. Они обладают высокими показателями по производительности функционирования (пакетный фильтр) и по обеспечиваемому уровню без-ти (шлюз прикладного уровня).

Первые реализации таких компонентов, называемые пакетными фильтрами с динамической фильтрацией, не функционировали на уровнях выше сеансового. Их отличие от простого пакетного фильтра состояло в том, что последний принимает решение о фильтрации трафика на основе анализа инф, содержащейся только в текущем пакете без какой-либо логической связи с предыдущими обработанными пакетами, в то время как при динамической фильтрации учитывается контекст установленных или устанавливаемых соединений.

Инспекционный модуль более поздних реализаций МЭ экспертного уровня имеет доступ ко всему содержимому пакета и может анализировать служебные поля заголовков протоколов всех уровней модели OSI (в том числе прикладного) и пользовательские данные. В дополнение к этому инспекционный модуль заносит в динамически создаваемую таблицу состояния связей всю инф о сетевых соединениях, но, в отличие от шлюза сеансового уровня, создает записи виртуальных соединений как для протокола TCP, так и для протокола UDP. Инспекционный модуль МЭ экспертного уровня загру­жается в ядро ОС и располагается м/у канальным и сетевым уровнями модели OSI, что обеспечивает обработку всего входящего и исходящего трафика на всех сетевых интерфейсах системы.

Особенность функционирования МЭ экспертного уровня состоит в том, что он не оказывает посреднических услуг сетевого взаимодействия на сеансовом и прикладном уровнях модели OSI. Вместо этого он использует специфические технологии распознавания допустимых соединений (в том числе с динамически назначаемыми номерами портов) и улучшенные алгоритмы обработки данных уровня приложения.

134) Политика межсетевого экранирования

При настройке политики межсетевого экранирования рассматривают два аспекта сетевой без-ти: политику доступа к сетевым ресурсам и политику реализации собственно МЭ. Политика доступа к сетевым ресурсам отражает общие требования по без-ти той или иной организации, и при ее разработке должны быть сформулированы правила доступа пользователей к различным сервисам, используемым в организации. Указанные правила описывают, какой внутренний (внешний) пользователь (группа пользователей), когда, с какого внутреннего (внешнего) узла сети и каким сервисом может воспользоваться с уточнением в случае необходимости способов аутентификации пользователей и адресов целевых серверов.

Политика реализации МЭ определяет, каким образом применяется по­литика доступа к сетевым ресурсам, и в ряде случаев зависит от используемых сервисов и выбранных средств построения экрана. Как правило, при выборе политики реализации МЭ останавливаются на одной из двух базовых стратегий:

-разрешать все, что явно не запрещено;

-запрещать все, что явно не разрешено.

При выборе первой стратегии МЭ по умолчанию разрешает все сервисы, которые не указаны как запрещенные. В этом случае для обеспечения без-ти сети придется создавать правила, которые учитывали бы все возможные запреты. Это не только приведет к необходимости описания большого кол-ва правил, но и заставит пересматривать их при появлении каждого нового протокола или сервиса, которые существующими правилами не охватываются.

Вторая стратегия строже и безопаснее. Намного проще управлять МЭ, запретив весь трафик по умолчанию и задав правила, разрешающие прохождение через границу сети только необходимых протоколов и сервисов. Запрет всего трафика по умолчанию обеспечивается вводом правила «Запрещено все» в последней строке таблицы фильтрации. Однако в ряде случаев, в частности при использовании простого пакетного фильтра, описание правил допустимых сервисов также сопряжено с трудоемким процессом, требующим досконального знания алгоритмов функционирования протоколов в рамках того или иного сервиса.

135) Доп ф-ции МЭ (детектор сетевых атак, контроль приложений, контроль за всплывающей рекламой, контроль активных web эл-тов, кеширование DNS, блокирование нежелательных web адресов и т.д.)

Детектор атак реализует систему защиты от вторжений (IDS). Обеспечивается несколько уровней защиты. 1й уровень выполняет stateful фильтрацию и защищает TCP стек от низкоуровневых атак. На более высоком уровне работают фильтры, распознающие и блокирующие известные виды атак, которые используются для взлома. Любая распознанная атака блокируется и соединение разрывается, даже если атакуемый порт открыт файрвольными правилами.

Любую из сигнатур можно отключить и тогда соответствующие атаки распознаваться не будут. Дополнительно определяются случаи удаленного сканирования портов хоста. Поступление кол-ва пакетов на различные порты компьютера больше, чем указанное в настройках трактуется как попытка сканирования. Flood-атакой считается посылка большого кол-ва пакетов за единицу времени. Для обоих случаев можно задавать реакцию:

- Предупреждение. Выводится сообщение о возникновении определенного типа атаки.

- Временно заблокировать хост. Сетевой доступ для удаленного компьютера, с которого попытались атаковать, будет временно закрыт на указанный период.

Подсистема детектора атак позволяет предотвратить попытки подмены соответствий IP адресов MAC адресам в ARP таблице. Существующие статические соответствия адресов можно импортировать из таблицы Windows. Добавить защищенное соответствие можно так же вручную. Записи, содержащиеся в списке защищенных, нельзя будет переписать удаленно.

Контроль приложений Служба контроля приложений (AC) защищает управляемые пользователями персональные компьютеры и сервера, позволяя разрешить или запретить использование сетевых приложений в зависимости от политики, установленной админом сети. Сигнатуры обнаружения службы контроля приложений идентифицируют приложения предприятия, бд, почтовые службы, приложения социальных сетей, IM/P2P и протоколы передачи файлов, размещая их под контролем профилей без-ти. Администраторы сетевой без-ти смогут создать «белые» и «черные» списки или их комбинации, позволяя обеспечить именно тот уровень защиты, который необходим организации на данный момент времени.

Контроль за всплывающей рекламой Сетевой экран – является полноценным персональным МЭ. Позволяет создать правила для приложений, пакетов, интерфейсов, включить систему обнаружения и автоматического блокирования атак, включить блокировку всплывающих окон в браузере и рекламы. Также, существует функционал импорта/экспорта настроек в xml формат, что позволяет сохранить рабочую конфигурацию МСЭ и восстановить ее в случае ошибочной конфигурации.

Контроль активных web элементов Outpost Firewall — (персональный файрвол) программа для защиты компьютера от хакерских атак из Интернета. Кроме этого, Аутпост обеспечивает блокировку загрузки рекламы и активного содержимого веб-страниц, а тем самым — их более быструю загрузку. Outpost поддерживает подключаемые модули (плагины). В состав дистрибутива Outpost Firewall Pro входят следующие плагины: -Реклама — позволяет блокировать интернет-рекламу по ключевым словам и типичным размерам рекламных баннеров; -Интерактивные эл-ты — контролирует деят-ть следующих активных web-элементов: ActiveX, Java-апплеты, сценарии Java Script и VBScript, Cookies, всплывающие окна, Referrers, скрытые фреймы, Flash, анимированные GIF; -Детектор атак - обнаруживает и блокирует попытки сетевых атак; -Фильтрация почтовых вложений — обнаруживает и переименовывает потенциально опасные вложения в эл почте; -DNS — кэширование наиболее часто используемых записей DNS для ускорения доступа к ним; -Разное - блокировка сайтов с нежелательным содержимым по ключевым словам и URL; -Anti-Spyware - блокировка шпионского ПО и предотвращение отправки через сеть Интернет конфиденциальной инф

Кэширование DNS

Блокирование нежелательных web адресов web-фильтрация и защита от спама, предотвращает утечку конф сведений, позволяет регулировать время пребывания пользователей в сети Интернет и блокировать их доступ к неразрешенным ресурсам.

И/ф и а/ф пользователей. И/ф и а/ф пользователей являются важными компонентами концепции МЭ. Авторизация пользователя обычно рассматривается в контексте а/ф — как только пользователь а\фицирован, для него определяются разрешенные ему сервисы.

И/ф и а/ф пользователя иногда осуществляются при предъявлении обычного и/фикатора (имени) и пароля. Однако эта схема уязвима с точки зрения без-ти — пароль может быть перехвачен и использован другим лицом. Пароль следует передавать через общедоступные коммуникации в зашифрованном виде. Это позволяет предотвратить получение несанкционированного доступа путем перехвата сетевых пакетов. Более надежным методом а\ф является использование одноразовых паролей.

Удобно и надежно также применение цифровых сертификатов, выдаваемых доверенными органами, например центром распределения ключей. Большинство программ-посредников разрабатываются таким образом, чтобы пользователь а/фицировался только в начале сеанса работы с МЭ. После этого от него не требуется дополнительная а/ф в течение времени, определяемого администратором.

Трансляция сетевых адресов.

Трансляция внутренних сетевых адресов может осуществляться двумя способами — динамически и статически. В первом случае адрес выделяется узлу в момент обращения к МЭ. После завершения соединения адрес освобождается и может быть использован любым другим узлом корпоративной сети. Во втором случае адрес узла всегда привязывается к одному адресу МЭ, из которого передаются все исходящие пакеты. IP-адрес МЭ становится единственным активным IP-адресом, который попадает во внешнюю сеть. В результате все исходящие из внутренней сети пакеты оказываются отправленными МЭ, что исключает прямой контакт между авторизованной внутренней сетью и являющейся потенциально опасной внешней сетью.

Администрирование, регистрация событий и генерация отчетов.

Важными ф-ями МЭ являются регистрация событий, реагирование на задаваемые события, а также анализ зарегистрированной инф и составление отчетов. МЭ, являясь критическим эл-том системы защиты корпоративной сети, имеет возможность регистрации всех действий, им фиксируемых. К таким действиям относятся не только пропуск или блокирование сетевых пакетов, но и изменение правил разграничения доступа администратором без-ти и другие действия. Такая регистрация позволяет обращаться к создаваемым журналам по мере необходимости.

Многие МЭ содержат мощную систему регистрации, сбора и анализа статистики. Учет может вестись по адресам клиента и сервера, идентификаторам пользователей, времени сеансов, времени соединений, кол-ву переданных/принятых данных, действиям администратора и пользователей. Системы учета позволяют произвести анализ статистики и предоставляют админам подробные отчеты. За счет использования специальных протоколов МЭ могут выполнить удаленное оповещение об определенных событиях в режиме реального времени.

В качестве обязательной реакции на обнаружение попыток выполнения несанкционированных действий должно быть определено уведомление админа, т. е. выдача предупредительных сигналов. Любой МЭ, который не способен посылать предупредительные сигналы при обнаружении нападения, нельзя считать эффективным средством межсетевой защиты.

136) DMZ – технология обеспечения защиты информационного периметра с помощью МСЭ, конфигурация МСЭ для DMZ

DMZ (демилитаризованная зона) - технология обеспечения защиты инф периметра, при которой серверы, отвечающие на запросы из внешней сети или направляющие туда запросы, находятся в особом сегменте сети (который и называется DMZ) и ограничены в доступе к основным сегментам с помощью МЭ. При этом не существует прямых соединений м/у внутренней сетью и внешней: любые соединения возможны только с серверами в DMZ, которые (возможно) обрабатывают запросы и формируют свои, возвращая ответ получателю уже от своего имени.

Конфигурации DMZ:

В зависимости от требований к без-ти, DMZ может организовываться одним, двумя или тремя файрволами.

-Конфигурация с одним файрволом

Простейшей (и наиболее распространённой) схемой является схема, в которой DMZ, внутренняя сеть и внешняя сеть подключаются к разным портам маршрутизатора (выступающего в роли файрвола), контролирующего соединения м/у сетями. Подобная схема проста в реализации, требует всего лишь одного дополнительного порта. Однако в случае взлома (или ошибки конфигурирования) маршрутизатора сеть оказывается уязвима напрямую из внешней сети.

-Конфигурация с двумя файрволами

В конфигурации с двумя файрволами DMZ подключается к двум маршрутизаторам, один из которых ограничивает соединения из внешней сети в DMZ, а второй контролирует соединения из DMZ во внутреннюю сеть. Подобная схема позволяет минимизировать последствия взлома любого из файрволов или серверов, взаимодействующих с внешней сетью — до тех пор, пока не будет взломан внутренний файрвол, злоумышленник не будет иметь произвольного доступа к внутренней сети, а взлом внутреннего файрвола не возможен без взлома внешнего файрвола.

Схема с двумя файрволами может быть организована как с общим подключением (когда между внешним и внутренним файрволами есть соединение), так и с раздельным (когда сервера имеют два сетевых порта, один из которых связан с внешним файрволом, а второй с внутренним). В последнем случае прямое взаимодействие между внешним и внутренним файрволами отсутствует.

-Конфигурация с тремя файрволами

Существует редкая конфигурация с тремя файрволами. В этой конфигурации первый из них принимает на себя запросы из внешней сети, второй контролирует сетевые подключения DMZ, а третий — контролирует соединения внутренней сети. В подобной конфигурации обычно DMZ и внутренняя сеть скрываются за NAT.

Одной из ключевых особенностей DMZ является не только фильтрация трафика на внутреннем файрволе, но и требование обязательной сильной криптографии при взаимодействии между активным оборудованием внутренней сети и DMZ. В частности, не должно быть ситуаций, в которых возможна обработка запроса от сервера в DMZ без авторизации. В случае, если DMZ используется для обеспечения защиты инф внутри периметра от утечки изнутри, аналогичные требования предъявляются для обработки запросов пользователей из внутренней сети.

DMZ и SOHO:

В случае использования домашних (SOHO) маршрутизаторов и точек доступа под DMZ иногда подразумевается возможность «проброса портов» (PAT) — осуществления трансляции пришедшего из внешней сети запроса на какой-либо порт маршрутизатора на указанный узел внутренней сети.

137) Технология NAT, как средство защиты внутренней сети

Технология (NAT) была разработана для упрощения IP-адресации и экономного использования IP-адресов. Технология позволяет подключить к Интернету частные сети, в которых используются незарегистрированные IP-адреса. NAT работает на маршрутизаторе, обычно соединяющем две сети, и транслирует частные (не являющиеся уникальными в глобальном масштабе) адреса внутренней сети в легальные адреса, а затем перенаправляет пакеты в другую сеть.

NAT может быть настроена таким образом, что во внешней сети будет объявляться только один IP-адрес для всей внутренней сети. Таким образом за одним адресом может быть спрятана целая сеть, что обеспечивает дополнительную без-ть. NAT выполняет две ф-ции – обеспечения без-ти и экономии IP-адресов – и, как правило, используется в сетях удаленного доступа.

NAT позволяет, имея на внешнем интерфейсе всего один маршрутизируемый адрес, расположить внутри локальной сети сколь угодно много компьютеров. Также NAT помогает защитить вашу локальную сеть, так как внутренние компьютеры сети не видны снаружи.

NAT - это механизм в сетях TCP/IP, позволяющий преобразовывать IP-адреса транзитных пакетов.

Функционирование:

Преобразование адресов методом NAT может производиться почти любым маршрутизирующим устройством — маршрутизатором, сервером доступа, МЭ. Наиболее популярным является SNAT, суть механизма которого состоит в замене адреса источника при прохождении пакета в одну сторону и обратной замене адреса назначения в ответном пакете. Наряду с адресами источник/назначение могут также заменяться номера портов источника и назначения.

Помимо source NAT часто применяется также destination NAT, когда обращения извне транслируются МЭ на сервер в локальной сети, имеющий внутренний адрес и потому недоступный извне сети непосредственно (без NAT).

Существует 3 базовых концепции трансляции адресов: статическая (Static Network Address Translation), динамическая (Dynamic Address Translation ), маскарадная (NAPT, PAT).

Механизм NAT определён в RFC 1631, RFC 3022.

Преимущества:

NAT выполняет три важных функции:

-Позволяет сэкономить IP-адреса, транслируя несколько внутренних IP-адресов в один внешний публичный IP-адрес.

-Позволяет предотвратить или ограничить обращение снаружи ко внутренним хостам, оставляя возможность обращения изнутри наружу. При инициации соединения изнутри сети создаётся трансляция. Ответные пакеты, поступающие снаружи, соответствуют созданной трансляции и поэтому пропускаются. Если для пакетов, поступающих снаружи, соответствующей трансляции не существует (а она может быть созданной при инициации соединения или статической), они не пропускаются.

-Позволяет скрыть определённые внутренние сервисы внутренних хостов/серверов. По сути, выполняется та же указанная выше трансляция на определённый порт, но возможно подменить внутренний порт официально зарегистрированной службы.

Трансляция сетевых адресов (NAT) — технология, которая позволяет маршрутизатору выполнять ф-цию прокси-сервера по сокрытию инф об узлах внутренней сети. В целях сокрытия инф о внутренней сети, маршрутизатор с NAT функционирует следующим образом:

при передаче запросов клиентов защищаемой сети во внешнюю сеть за­меняет их IP-адреса на IP-адрес своего внешнего интерфейса (может использоваться и диапазон IP-адресов);

-при возврате ответов серверов клиентам производит обратную замену: свой адрес в поле получателя меняет на адрес клиента, отправившего исходный запрос.

138) Сущность и содержание технологии VPN, решаемые задачи

VPN - это частная сеть передачи данных, использующая открытую телекоммуникационную инфраструктуру и сохраняющая при этом конфиденциальность передаваемых данных посредством применения протоколов туннелирования и средств ЗИ.

Благодаря развитию криптографических технологий появился способ решить задачи ЗИ в современной сетевой среде за счет использования технологии защищенных виртуальных частных сетей, надежно шифрующих инф, передаваемую по дешевым открытым сетям, включая Internet. Открытая сеть может служить основой для одновременного сосуществования множества виртуальных сетей, количество которых определяется пропускной способностью открытых каналов связи.

VPN – это защита трафика, основанная на криптографии;

Сети VPN решают задачи подключения корпоративного пользователя к удаленной сети и соединения нескольких ЛВС

Маркетинговая трактовка товара подразумевает, как минимум, две его сущности: потребительскую и физическую. Потребительская сущность VPN — "виртуальный защищенный туннель, или путь", с помощью которого можно организовать удаленный защищенный доступ через открытые каналы Internet к серверам баз данных, Web-, FTP- и почтовым серверам. Физическая сущность технологии VPN определяется тем, что она может защитить трафик любых информационных интранет- и экстранет-систем, аудио- и видеоконференций, систем электронной коммерции и т.п. (Но VPN, как любая распределенная система, в ее "физической сущности" является сложным комплексом, который требует целого ряда взаимодополняющих ср-в и систем защиты. Ее способность шифровать данные является необходимым, но далеко не достаточным условием для построения действительно надежной защиты.)

Цель VPN-технологий состоит в максимальной степени обособления потоков данных одного предприятия от потоков данных всех других пользователей публичной сети. Обособленность должна быть обеспечена в отношении параметров пропускной способности потоков и в конфиденциальности передаваемых данных. Таким образом, основными задачами технологий VPN являются обеспечение в публичной сети гарантированного качества обслуживания для потоков пользовательских данных, а также защита их от возможного НСД или разрушения.

Защищенность от потоков данных других предприятий трактуется поразному. Обычно ее понимают в двух отношениях - в отношении параметров пропускной способности и в отношении конфиденциальности данных.

1. Пропускная способность VPN. Конечно, каждое предприятие хотело, чтобы виртуальные каналы как можно больше были похожи на реальные выделенные линии, пропускная способность которых всегда в распоряжении пользователей предприятия. Отсюда вытекают следующие требования к VPN:

-пользователям должны предоставляться некоторые гарантии качества обслуживания в виртуальных каналах VPN - средняя пропускная способность, максимально допустимый уровень пульсации, уровни задержек кадров;

-пользователи должны иметь инструменты для контроля действительных параметров пропускной способности виртуальных каналов.

Сегодня для различных типов сетей с коммутацией пакетов существуют различные возможности получения гарантий качества обслуживания.

2. Конфиденциальность. Возможность НСД к данным, передающимся по публичной сети, очень волнует сетевых админов, привыкших к использованию выделенных каналов или телефонных сетей для передачи корпоративных данных. Наличие злоумышленников в Internet представляет постоянную угрозу для корпоративных серверов, к данным которых можно попробовать подключиться с любого домашнего компьютера.

В то же время угрозы перехвата пакетов по пути следования по публичной сети передачи данных многие специалисты считают преувеличенными. Действительно, пакеты идут только через коммутаторы и маршрутизаторы провайдеров публичных сетей, а в сети посторонних организаций и частных лиц не заходят. Провайдерами публичных сетей с коммутацией пакетов выступают чаще всего те же организации, которые предоставляют традиционные виды телекоммуникационных сервисов - выделенные каналы и телефонные сети. Таким образом, угроза перехвата пакетов по пути следования исходит скорее от самих провайдеров, сотрудников которых могут подкупить конкуренты. От двух типов угроз: входа во внутренние серверы предприятия и перехвата данных по пути - существуют такие ср-ва защиты, как МЭ и proxy-серверы для отражения угроз первого вида и ср-ва образования защищенного канала для второго.

VPN-технологии обеспечивают:

• -защиту передаваемой по сетям инф;

-защиту внутренних сегментов сети от НСД со стороны сетей общего пользования;

-контроль доступа в защищаемый периметр сети;

-сокрытие внутренней структуры защищаемых сегментов сети;

-и/ф и а/ф пользователей сетевых объектов;

-централизованное упр-е политикой корпоративной сетевой без-ти и настройками VPN-сети;

-криптографическую защиту данных, передаваемых по каналам связи сетей общего пользования между защищаемыми сегментами сети;

-безопасный доступ пользователей VPN к ресурсам сетей общего пользования.

139) Туннелирование, как основная технология обработки инф, используемая в VPN сетях

VPN состоит из каналов глобальной сети, защищенных протоколов и маршрутизаторов. Для объединения удаленных ЛВС в VPN используются так называемые виртуальные выделенные каналы. Для организации подобных соединений применяется механизм туннелирования, или инкапсуляции.

При туннелировании пакет протокола более низкого уровня помешается в поле данных пакета протокола более высокого или такого же уровня.

Туннель создается двумя пограничными устр-вами, которые размещаются в точках входа в публичную сеть. Инициатор туннеля инкапсулирует пакеты ЛВС (в том числе пакеты немарш рутизируемых протоколов) в IP-пакеты, содержащие в заголовке адреса инициатора и терминатора туннеля. Терминатор туннеля извлекает исходный пакет. Естественно, при подобной передаче требуется решать проблему конфиденциальности и целостности данных, что не обеспечивается простым туннелированием. Конфиденциальность передаваемой корпоративной инф достигается шифрованием (алгоритм одинаков на обоих концах туннеля).

Особенностью туннелирования является то, что эта технология позволяет зашифровать исходный пакет целиком, вместе с заголовком, а не только его поле данных. Исходный пакет зашифровывают полностью, вместе с заголовком, и этот зашифрованный пакет помещают в другой внешний пакет с открытым заголовком. Для транспортировки данных по "опасной" сети используются открытые поля заголовка внешнего пакета, а при прибытии внешнего пакета в конечную точку защищенного канала из него извлекают внутренний пакет, расшифровывают и используют его заголовок для дальнейшей передачи уже в открытом виде по сети, не требующей защиты. При этом для внешних пакетов используются адреса пограничных маршрутизаторов, установленных в этих двух точках, а внутренние адреса конечных узлов содержатся во внутренних пакетах в защищенном виде.

Пакетный ключ шифруется на ключе связи, формируется новый IP-пакет, в заголовке которого: адрес отправителя - IР-адрес устр-ва защиты, с которого пакет уходит; алрес получателя - IP-адрес устр-в защиты - приемника пакета; и поле данных -исходящий IP-пакет и а/фицирующий.

Механизм туннелирования можно представить как результат работы протоколов трех типов: -протокола-пассажира; -несущего протокола; -протокола туннелирования.

Транспортный протокол объединяемых сетей (например, протокол IPX, переносящий данные в ЛВС филиалов одного предприятия) является протоколом-пассажиром, а протокол транзитной сети (например, протокол IP сети Internet) — несущим протоколом.

Процедура помещения пакетов протокола-пассажира в поле данных пакетов несущего протокола составляет суть протокола туннелирования. Пакеты протокола-пассажира никак не обрабатываются при транспортировке их по транзитной сети. Туннелирование обычно выполняет пограничное устр-во (маршрутизатор или шлюз), которое располагается на границе м/у исходной и транзитной сетями, но этой работой может заниматься и узел-отлравитель. Извлечение пакетов-пассажиров из несущих пакетов выполняет второе пограничное устр-во, которое находится на границе м/у транзитной сетью и сетью назначения, либо узел-получатель.

140) Классификация VPN сетей по типу используемой среды, по способу реализации, по назначению, по уровню сетевого протокола

Классифицировать VPN решения можно по нескольким основным параметрам:

1)По степени защищенности используемой среды:

-Защищённые -Наиболее распространённый вариант VPN. С его помощью возможно создать надежную и защищенную подсеть на основе ненадёжной сети, как правило, Интернета. Примером защищённых VPN являются: IPSec, OpenVPN и PPTP;

-Доверительные Используются в случаях, когда передающую среду можно считать надёжной и необходимо решить лишь задачу создания виртуальной подсети в рамках большей сети. Вопросы обеспечения без-ти становятся неактуальными. Примерами подобных VPN решений являются: Multi-protocol label switching (MPLS) и L2TP (Layer 2 Tunnelling Protocol). Точнее сказать, что эти протоколы перекладывают задачу обеспечения без-ти на другие, например L2TP, как правило, используется в паре с IPSec;

2)По способу реализации:

-В виде специального П-АппарОбеспеч Реализация VPN сети осуществляется при помощи спец комплекса прогр аппар ср-в. Такая реализация обеспечивает высокую производительность и, высокую степень защищённости;

-В виде программного решения (Используют персональный компьютер со специальным ПО, обеспечивающим функциональность VPN);

-Интегрированное решение (Функциональность VPN обеспечивает комплекс, решающий также задачи фильтрации сетевого трафика, организации сетевого экрана и обеспечения качества обслуживания);

3)По назначению:

-Intranet VPN Используют для объединения в единую защищённую сеть нескольких распределённых филиалов одной организации, обменивающихся данными по открытым каналам связи.

-Remote Access VPN Используют для создания защищённого канала м/у сегментом корпоративной сети (центральным офисом или филиалом) и одиночным пользователем, который, работая дома, подключается к корпоративным ресурсам с домашнего компьютера.

-Extranet VPN Используют для сетей, к которым подключаются «внешние» пользователи (например, заказчики или клиенты). Уровень доверия к ним намного ниже, чем к сотрудникам компании, поэтому требуется обеспечение специальных «рубежей» защиты, предотвращающих или ограничивающих доступ последних к особо ценной, конфиденциальной инф.

-Internet VPN Используется для предоставления доступа к интернету провайдерами, обычно в случае если по одному физическому каналу подключаются несколько пользователей.

-Client/Server VPN Он обеспечивает защиту передаваемых данных м/у двумя узлами (не сетями) корпоративной сети. Особенность данного варианта в том, что VPN строится м/у узлами, находящимися, в одном сегменте сети, например, м/у рабочей станцией и сервером. Такая необходимость очень часто возникает в тех случаях, когда в одной физической сети необходимо создать несколько логических сетей. Этот вариант похож на технологию VLAN, но вместо разделения трафика, используется его шифрование.

4)По типу протокола

Существуют реализации VPN под TCP/IP, IPX и AppleTalk. Но на сегодняшний день наблюдается тенденция к всеобщему переходу на протокол TCP/IP, и абсолютное большинство VPN решений поддерживает именно его. Адресация в нём чаще всего выбирается в соответствии со стандартом RFC5735, из диапазона Приватных сетей TCP/IP

5)По уровню сетевого протокола

По уровню сетевого протокола на основе сопоставления с уровнями эталонной сетевой модели ISO/OSI. VPN классифицируются в зависимости от уровня модели взаимодействия открытых систем, на котором происходит инф обмен м/у сетями подразделений. Такие сети представляют собой один или несколько Ethernet-коммутаторов с подключенными оконечными устр-вами (компьютерами, серверами, IP-телефонами, точками доступа Wi-Fi и т.д.).

141) IPsec – набор протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу IP (стандарты, режимы работы)

Используется протокол IPSec реализующий шифрование и конфедициальность данных, а также а/ф абонентов. Применение протокола IPSec позволяет реализовать полнофункциональный доступ эквивалентный физическому подключению к корпоративной сети. Для установления VPN каждый из участников должен сконфигурировать определенные параметры IPSec, т.е. каждый клиент должен иметь ПО реализующее IPSec.

Естественно, никакая компания не хотела бы открыто передавать в Интернет финансовую или другую конфиденциальную инф. Каналы VPN защищены мощными алгоритмами шифрования, заложенными в стандарты протокола безопасности IРsec. IPSec или Internet Protocol Security – стандарт, выбранный м/ународным сообществом, группой IETF – Internet Engineering Task Force, создает основы без-ти для Интернет-протокола (IP/ Протокол IPSec обеспечивает защиту на сетевом уровне и требует поддержки стандарта IPSec только от общающихся м/у собой устр-в по обе стороны соединения. Все остальные устр-ва, расположенные м/у ними, просто обеспечивают трафик IP-пакетов.

Способ взаимодействия лиц, использующих технологию IPSec, принято определять термином «защищенная ассоциация» – Security Association (SA). Защищенная ассоциация функционирует на основе соглашения, заключенного сторонами, которые пользуются ср-вами IPSec для защиты передаваемой друг другу инф. Это соглашение регулирует несколько параметров: IP-адреса отправителя и получателя, криптографический алгоритм, порядок обмена ключами, размеры ключей, срок службы ключей, алгоритм а/ф.

IPSec – это согласованный набор открытых стандартов, имеющий ядро, которое может быть достаточно просто дополнено новыми ф-циями и протоколами. Ядро IPSec составляют три протокола:

-АН или Authentication Header – заголовок а/ф – гарантирует целостность и аутентичность данных. Основное назначение протокола АН – он позволяет приемной стороне убедиться, что:

1. пакет был отправлен стороной, с которой установлена безопасная ассоциация;

2, содержимое пакета не было искажено в процессе его передачи по сети;

пакет не является дубликатом уже полученного пакета.

Две первые ф-ции обязательны для протокола АН, а последняя выбирается при установлении ассоциации по желанию. Для выполнения этих функций протокол АН использует специальный заголовок. Его структура рассматривается по следующей схеме:

1. В поле следующего заголовка (next header) указывается код протокола более высокого уровня, то есть протокола, сообщение которого размещено в поле данных IP-пакета.

2. В поле длины полезной нагрузки (payload length) содержится длина заголовка АН.

3. Индекс параметров без-ти (Security Parameters Index, SPI) исп-ся для связи пакета с предусмотренной для него без-ной ассоциацией.

4. Поле порядкового номера (Sequence Number, SN) указывает на порядковый номер пакета и применяется для защиты от его ложного воспроизведения (когда третья сторона пытается повторно использовать перехваченные защищенные пакеты, отправленные реально а/фицированным отправителем).

5. Поле данных а/ф (authentication data), которое содержит так называемое значение проверки целостности (Integrity Check Value, ICV), используется для а/ф и проверки целостности пакета. Это значение, называемое также дайджестом, вычисляется с помощью одной из двух обязательно поддерживаемых протоколом АН вычислительно необратимых функций MD5 или SAH-1, но может исп-ся и любая другая ф-ция.

-ESP или Encapsulating Security Payload – инкапсуляция зашифрованных данных – шифрует передаваемые данные, обеспечивая конфиденциальность, может также поддерживать а/ф и целостность данных;

Протокол ESP решает две группы задач.

1. К первой относятся задачи, аналогичные задачам протокола АН, – это обеспечение а/ф и целостности данных на основе дайджеста,

2. Ко второй – защита передаваемых данных путем их шифрования от несанкционированного просмотра.

Заголовок делится на две части, разделяемые полем данных.

1. Первая часть, называемая собственно заголовком ESP, образуется двумя полями (SPI и SN), назначение которых аналогично одноименным полям протокола АН, и размещается перед полем данных.

2. Остальные служебные поля протокола ESP, называемые концевиком ESP, расположены в конце пакета.

Два поля концевика – следующего заголовка и данных а/у - аналогичны полям заголовка АН. Поле данных а/ф отсутствует, если при установлении без-ной ассоциации принято решение не использовать возможностей протокола ESP по обеспечению целостности. Помимо этих полей концевик содержит два дополнительных поля – заполнителя и длины заполнителя.

Протоколы AH и ESP могут защищать данные в двух режимах:

1. в транспортном – передача ведется с оригинальными IP-заголовками;

2. в туннельном – исходный пакет помещается в новый IP-пакет и передача ведется с новыми заголовками.

Применение того или иного режима зависит от требований, предъявляемых к защите данных, а также от роли, которую играет в сети узел, завершающий защищенный канал. Так, узел может быть хостом или шлюзом. Соответственно, имеются три схемы применения протокола IPSec: 1. Хост-хост; 2. Шлюз-шлюз; 3. Хост-шлюз.

Возможности протоколов АН и ESP частично перекрываются: протокол АН отвечает только за обеспечение целостности и аутентификации данных, протокол ESP может шифровать данные и, кроме того, выполнять ф-ции протокола АН (в урезанном виде). ESP может поддерживать ф-ции шифрования и а/ф /целостности в любых комбинациях, то есть либо всю группу ф-ций, либо только а/ф /целостность, либо только шифрование.

-IKE или Internet Key Exchange – обмен ключами Интернета – решает вспомогательную задачу автоматического предоставления конечным точкам защищенного канала секретных ключей, необходимых для работы протоколов а/ф и шифрования данных.

142) VPN сети на канальном уровне, спецификации, принцип работы

К протоколам построения VPN данного уровня относятся:

-протокол РРТР (Point-to-Point Tunneling Protocol), разработанный Microsoft,

-протокол L2F (Layer-2 Forwarding) компании Cisco Systems,

-протокол L2TP (Layer-2 Tunneling Protocol), объединивший оба вышеназванных протокола,

-протокол MPLS (Multiprotocol Label Switching).

PPTP. В настоящее время наиболее распространенным протоколом VPN является протокол двухточечной туннельной связи или Point-to-Point Tunnelling Protocol. PPTP использует существующие открытые стандарты TCP/IP и во многом полагается на устаревший протокол двухточечной связи РРР. На практике РРР так и остается коммуникационным протоколом сеанса соединения РРТР. РРТР создает туннель через сеть к NT-серверу получателя и передает по нему РРР-пакеты удаленного пользователя. Завершение сеанса соединения по инициативе сервера, в отличие от специализированных серверов удаленного доступа, позволяет администраторам локальной сети не пропускать удаленных пользователей за пределы системы без-ти Windows NT Server.

Клиенты PPTP используют порт назначения для создания упр-щего туннелем соединения. Этот процесс происходит на транспортном уровне модели OSI. После создания туннеля компьютер-клиент и сервер начинают обмен служеб пакетами. В дополнение к упр-щему соединению PPTP, обеспечивающему работоспособность канала, создается соединение для пересылки по туннелю данных. Инкапсуляция данных перед пересылкой через туннель происходит несколько иначе, чем при обычной передаче. Инкапсуляция данных перед отправкой в туннель включает два этапа:

1. Сначала создается инф часть PPP. Данные проходят сверху вниз, от прикладного уровня OSI до канального.

2. Затем полученные данные отправляются вверх по модели OSI и инкапсулируются протоколами верхних уровней.

Таким образом, во время второго прохода данные достигают транспортного уровня. Однако инф не может быть отправлена по назначению, так как за это отвечает канальный уровень OSI. Поэтому PPTP шифрует поле полезной нагрузки пакета и берет на себя ф-ции второго уровня, обычно принадлежащие PPP, т.е. добавляет к PPTP-пакету PPP-заголовок и окончание. На этом создание кадра канального уровня заканчивается.

Далее, PPTP инкапсулирует PPP-кадр в пакет Generic Routing Encapsulation (GRE), который принадлежит сетевому уровню. GRE инкапсулирует протоколы сетевого уровня, например IPX, AppleTalk, DECnet, чтобы обеспечить возможность их передачи по IP-сетям. Однако GRE не имеет возможности устанавливать сессии и обеспечивать защиту данных от злоумышленников. Для этого исп-ся способность PPTP создавать соединение для упр-я туннелем. Применение GRE в качестве метода инкапсуляции ограничивает поле действия PPTP только сетями IP.

После того как кадр PPP был инкапсулирован в кадр с заголовком GRE, выполняется инкапсуляция в кадр с IP-заголовком. IP-заголовок содержит адреса отправителя и получателя пакета. В заключение PPTP добавляет PPP заголовок и окончание.

L2F. Протокол эстафетной передачи на втором уровне был разработан компанией Cisco Systems. Он обеспечивает туннелирование протоколов канального уровня (т.е. фреймов High-Level Data Link Control [HDLC], async HDLC или Serial Line Internet Protocol [SLIP]) с использованием протоколов более высокого уровня, например IP. С помощью таких туннелей можно разделить местоположение RAS, к которому подключается пользователь, используя местные коммутируемые линии связи, и точки, где происходит непосредственная обработка протокола удаленного доступа (SLIP, РРР) и пользователь получает доступ в сеть. Эти туннели дают возможность использовать приложения, требующие удаленного доступа с частными адресами IP, IPX и AppleTalk через протокол SLIP/PPP по существующей инфраструктуре Internet.

L2TP. L2TP появился в результате объединения протоколов PPTP и L2F (Layer 2 Forwarding). PPTP позволяет передавать через туннель пакеты PPP, а L2F-пакеты SLIP и PPP. По общему мнению, протокол L2TP вобрал в себя лучшие черты PPTP и L2F. Главное достоинство L2TP в том, что этот протокол позволяет создавать туннель не только в сетях IP, но и в таких, как ATM, X.25 и Frame Relay. L2TP применяет в качестве транспорта протокол UDP и использует одинаковый формат сообщений как для упр-я туннелем, так и для пересылки данных. L2TP в реализации Microsoft использует в качестве контрольных сообщений пакеты UDP, содержащие шифрованные пакеты PPP.

Функциональные возможности PPTP и L2TP различны. L2TP может использоваться не только в IP-сетях, служебные сообщения для создания туннеля и пересылки по нему данных используют одинаковый формат и протоколы. PPTP может применяться только в IP-сетях, и ему необходимо отдельное соединение TCP для создания и использования туннеля. L2TP поверх IPSec предлагает больше уровней без-ти, чем PPTP, и может гарантировать почти 100-процентную без-ть важных для организации данных. Особенности L2TP делают его очень перспективным протоколом для построения виртуальных сетей.

MPLS. Multiprotocol Label Switching – мультипротокольная коммутация по меткам – механизм передачи данных, который эмулирует различные св-ва сетей с коммутацией каналов поверх сетей с коммутацией пакетов. MPLS работает на уровне, который можно было бы расположить м/у канальным и третьим сетевым уровнями модели OSI, и поэтому его обычно называют протоколом канально-сетевого уровня. Он был разработан с целью обеспечения универсальной службы передачи данных как для клиентов сетей с коммутацией каналов, так и сетей с коммутацией пакетов. С помощью MPLS можно передавать трафик самой разной природы, такой как IP-пакеты, ATM, SONET и кадры Ethernet.

143) РРРоЕ – сетевой протокол передачи кадров РРР через Ethernet, дополнительные возможности, использование

PPPoE (Point-to-point protocol over Ethernet) — сетевой протокол передачи кадров PPP через Ethernet. В основном используется xDSL-сервисами. Предоставляет доп возможности (а/ф, сжатие данных, шифрование).

PPPoE — это туннелирующий протокол, который позволяет настраивать (или инкапсулировать) IP, или другие протоколы, которые наслаиваются на PPP, через соединения Ethernet, но с программными возможностями PPP соединений, и поэтому используется для виртуальных «звонков» на соседнюю Ethernet-машину и устанавливает соединение точка-точка, которое используется для транспортировки IP-пакетов, работающее с возможностями PPP. Это позволяет применять традиционное PPP-ориентированное ПО для настройки соединения, которое использует не последовательный канал, а пакетно-ориентированную сеть (как Ethernet), чтобы организовать классическое соединение с логином, паролем для Интернет-соединений. Также, IP-адрес по другую сторону соединения назначается только когда PPPoE соединение открыто, позволяя динамическое переиспользование IP адресов.

Работа PPPoE осуществляется следующим образом. Существует Ethernet-среда, то есть несколько соединённых сетевых карт, которые адресуются MAC-адресами. Заголовки Ethernet-кадров содержат адрес отправителя кадра, адрес получателя кадра и тип кадра. Одну из карт слушает PPPoE сервер. Клиент посылает широковещательный Ethernet кадр, на который должен ответить PPPoE сервер. PPPoE сервер посылает клиенту ответ (адрес отправителя кадра — свой MAC-адрес, адрес получателя кадра — МАС-адрес клиента и тип кадра — PPPoE Active Discovery Offer). Если в сети несколько PPPoE серверов, то все они посылают ответ. Клиент выбирает подходящий сервер и посылает ему запрос на соединение. Сервер посылает клиенту подтверждение с уникальным идентификатором сессии, все последующие кадры в сессии будут иметь этот идентификатор. Таким образом, между сервером и клиентом создается виртуальный канал, который и/ф и/фикатором сессии и MAC-адресами клиента и сервера. Затем в этом канале поднимается PPP соединение, а уже в PPP пакеты упаковывается IP-трафик.

PPPoE представляет собой метод передачи PPP в сетях Ethernet. Этот метод обеспечивает возможность соединить сеть хостов с концентратором удаленного доступа через простой мост. При использовании такой модели каждый хост использует свой стек PPP и пользователю предоставляется привычный интерфейс. Упр-е доступом, учет использования сервиса и тип обслуживания можно задавать отдельно для каждого пользователя или (в более редких случаях) для всего сайта.

Для обеспечения парных (точка-точка) соединений через сеть Ethernet, каждая сессия PPP должна знать Ethernet-адрес удаленной станции того же уровня. Кроме того, для каждой сессии нужен уникальный идентификатор. Протокол PPPoE включает механизм обнаружения (discovery protocol), который решает эти задачи.

PPPoE имеет две различных стадии - обнаружение и сеанс PPP. Когда хост намеревается инициировать сеанс PPPoE, он должен сначала провести обнаружение для определения MAC-адреса Ethernet партнера, а потом организовать PPPoE SESSION_ID. В протоколе PPP используются м/у узлами одного уровня (peer), а процесс обнаружения использует модель "клиент-сервер". В процессе обнаружения хост (клиент) находит концентратор доступа (сервер). В зависимости от топологии сети может использоваться один или несколько концентраторов доступа, с которыми может работать каждый хост. При успешном завершении этапа обнаружения хост и выбранный концентратор доступа имеют инф, требуемую для организации соединения "точка-точка" через сеть Ethernet. Этап обнаружения продолжается до тех пор, пока не будет организована сессия PPP. После организации сеанса PPP хост и концентратор доступа должны предоставить свои ресурсы для виртуального интерфейса PPP.

Дополнительные возможности:

-а/ф

PAP а/ф происходит следующим образом — при установлении PPP-соединения удалённая сторона предлагает нам а/ф PAP. Мы соглашаемся и затем передаём наше имя и пароль открытом текстом. Если удалённую сторону имя и пароль устраивает, то а/ф считается успешной. Имена и пароли для PAP хранятся в файле /etc/ppp/pap-secrets.

CHAP а/ф происходит следующим образом — при установлении PPP-соединения удалённая сторона предлагает нам а/ф CHAP. Мы соглашаемся, и удалённая сторона высылает нам ключ (challenge), состоящий из случайной последовательности символов, и своё имя. Мы берём наш пароль и присланный ключ и прогоняем их через алгоритм MD5. Получившийся результат высылаем вместе со своим именем. Удалённая сторона, зная наш пароль и высланный её ключ, в свою очередь, проделывает то же самое у себя, и если её результат совпадает с присланным нами, то а/ф считается успешной. Таким образом, пароль не передаётся в открытом виде, но удалённая сторона должна хранить наш пароль в открытом виде. Имена и пароли для CHAP хранятся в файле /etc/ppp/chap-secrets;

-сжатие данных;

-шифрование.

144) Организация VPN соединения средствами протокола РРТР

Протокол Point-to-Point Tunneling Protocol (протокол туннелирования м/у узлами) построен на основе РРР, но включает в себя шифрование передаваемых данных. Это означает, что РРТР позволяет удаленными клиентами устанавливать виртуальное закрытое соединение с внутренней сетью офиса через Internet.

Достоинства протокола РРТР:

-создается зашифрованный канал связи поверх Internet;

-поддерживаются различные сетевые протоколы, такие как TCP/IP, IPX или NetBEUI;

-его поддержка встроена в современные версии ОС Windows;

-он позволяет пользоваться частными IP-адресами, поскольку адрес соединению РРР присваивается провайдером;

-клиент в состоянии посылать поверх соединения пакеты по адресу внутренней сети.

В типичном сценарии удаленный клиент вначале подключается к локальному провайдеру Internet с помощью РРР.

Упр-щий канал РРТР:

Упр-щие сообщения пересылаются м/у клиентом и сервером РРТР для создания туннеля РРТР и упр-я им. Хотя РРТР позволяет туннелировать поверх РРР различные сетевые протоколы, для сообщений упр-я служат ТСР-датаграммы. После установки ТСР-соединения м/у клиентом-и сервером TCP происходит обмен следующими упр-щими сообщениями РРТР:

-Start-Control-Connection-Request (Запрос на создание упр-щего канала);

-Start-Control-Connection-Reply (Ответ на запрос о создании упр-щего канала);

-Stop-Control-Connection-Request (Запрос на закрытие упр-щего канала);

-Stop-Control-Connection-Reply (Ответ на запрос о закрытии упр-щего канала);

-Echo-Request (Эхо-запрос);

-Echo-Reply (Эхо-ответ);

-Outgoing-Call-Request (Запрос исходящего вызова);

-Outgoing-Call-Reply (Ответ на запрос исходящего вызова);

-Incoming-Call-Request (Запрос входящего вызова);

-Incoming-Call-Reply (Ответ на запрос входящего вызова);

-Incoming-Call-Connected (Подтверждение установки входящего соединения);

-Call-Clear-Request (Запрос на отмену вызова);

-Call-Disconnect-Notify (Извещение о разрыве соединения);

-VAN-Error-Notify (Извещение об ошибке глобальной сети);

-Set-Link-Info (Запись инф о канале).

Запрос на создание и закрытие канала и соответствующие ответы предназначены для установки соединения и обмена инф о св-вах клиента и сервера, в том числе о версии РРТР, о макс числе индивидуальных сеансов и об имени пославшего запрос узла. Сообщения о закрытии канала предназначены для завершения соединения. После закрытия упр-щего канала все связанные с соответствующим туннелем сеансы также завершаются.

Эхо-сообщения позволяют контролировать упр-щий канал и обнаруживать отказ. Если в течение 60 с после эхо-запроса не приходит ответ, соединение разрывается.

Поверх соединения РРР устанавливается соединение РРТР. Конечными точками соединения РРТР являются удаленный клиент и сервер Remote Access Server в локальной сети офиса. Соединение м/у удаленным клиентом и сервером RAS называется туннелем (tunnel). Все передаваемые м/у двумя конечными точками данные шифруются и защищаются протоколом РРТР. На сервере RAS пакеты РРТР распаковываются, а исходная 1Р-датаграмма (или датаграмма другого сетевого протокола) проверяется и пересылается адресату в локальной сети, обслуживаемой сервером RAS.

При установке защищенного соединения РРТР вначале формируется упр-щий канал, после чего начинается передача данных.

Передача данных по туннелю РРТР:

После установки соединения существующий виртуальный туннель может служить для обмена данными м/у клиентом и сервером РРТР. Посылаемый клиентом пакет сначала шифруется, а затем помещается внутрь IP-пакета и направляется серверу РРТР. Поскольку исходный РРР-пакет зашифрован, его пересылка по Internet безопасна. Даже перехватив IP-пакет, нарушитель будет располагать только инф из заголовка пакета. Содержащиеся в РРР-пакете данные защищаются криптографическим алгоритмом.

Различие м/у методами туннелирования, применяемыми протоколами РРТР и IPSec, состоит в том, что в случае IPSec для каждого сеанса м/у клиентом и сервером создается новая защищенная связь, а РРТР мультиплексирует множество сеансов связи м/у клиентом и сервером в единственном туннеле.

145) Назначение сетевого протокола SSH, версии протоколов SSH, техническая инф

SSH (Secure SHell — «безопасная оболочка») - сетевой протокол сеансового уровня, позволяющий производить удалённое упр-е ОС и туннелирование TCP-соединений (например, для передачи файлов). Сходен по функциональности с протоколами Telnet и rlogin, но, в отличие от них, шифрует весь трафик, включая и передаваемые пароли. SSH допускает выбор различных алгоритмов шифрования. SSH-клиенты и SSH-серверы имеются для большинства сетевых ОС.

SSH позволяет безопасно передавать в незащищенной среде практически любой другой сетевой протокол, таким образом, можно не только удаленно работать на компьютере через командную оболочку, но и передавать по шифрованному каналу звуковой поток или видео (например, с веб-камеры). Также SSH может использовать сжатие передаваемых данных для последующего их шифрования, что удобно, например, для удаленного запуска клиентов X Window System.

Большинство хостинг-провайдеров за определенную плату предоставляют клиентам доступ к их домашнему каталогу по SSH. Это может быть удобно как для работы в командной строке, так и для удаленного запуска программ (в том числе графических приложений).

Стандарты и программные реализации:

Первая версия протокола, SSH-1, была разработана в 1995 году исследователем Тату Улёнен из Технологического университета Хельсинки, Финляндия. SSH-1 был написан для обеспечения большей конфиденциальности, чем протоколы rlogin, telnet и rsh. В 1996 году была разработана более безопасная версия протокола, SSH-2, несовместимая с SSH-1. Протокол приобрел ещё большую популярность, и к 2000 году у него было около двух миллионов пользователей. В настоящее время под термином «SSH» обычно подразумевается именно SSH-2, т.к. первая версия протокола ввиду существенных недостатков сейчас практически не применяется.

В 2006 году протокол был утвержден рабочей группой IETF в качестве Интернет‐стандарта.

Однако, в некоторых странах (Франция, Россия, Ирак и Пакистан) до сих пор требуется специальное разрешение в соответствующих структурах для использования определенных методов шифрования, включая SSH.

Распространены две реализации SSH: собственническая коммерческая и бесплатная свободная. Свободная реализация называется OpenSSH. К 2006 году 80 % компьютеров сети Интернет использовало именно OpenSSH. Собственническая реализация разрабатывается организацией SSH Inc., она бесплатна для некоммерческого использования. Эти реализации содержат практически одинаковый набор команд.

Как показывает практика, многие взломщики сканируют сеть в поиске открытого порта SSH, особенно адреса хостинг-провайдеров, обычно пытаясь подобрать пароль суперпользователя.

Протокол SSH-2 в отличие от протокола telnet устойчив к атакам прослушивания трафика («снифинг»), но неустойчив к атакам «man-in-middle». Протокол SSH-2 также устойчив к атакам путем присоединения посредине (session hijacking) - невозможно включиться в или перехватить уже установленную сессию. Для предотвращения атак «man-in-middle» при подключении к хосту, ключ которого еще не известен клиенту, клиентское ПО показывает пользователю "слепок ключа" (key fingerprint). Рекомендуется тщательно проверять показываемый клиентским ПО "слепок ключа" (key fingerprint) со слепком ключа сервера, желательно полученным по надежным каналам связи или лично.

Поддержка SSH реализована во всех UNIX‑подобных системах, и на большинстве из них в числе стандартных утилит присутствуют клиент и сервер ssh. Существует множество реализаций SSH-клиентов и для не-UNIX ОС. Большую популярность протокол получил после широкого развития анализаторов трафика и способов нарушения работы локальных сетей, как альтернативное небезопасному протоколу Telnet решение для упр-я важными узлами.

Для работы по SSH нужен SSH-сервер и SSH-клиент. Сервер прослушивает соединения от клиентских машин и при установлении связи производит а/ф, после чего начинает обслуживание клиента. Клиент используется для входа на удаленную машину и выполнения команд.

Для соединения сервер и клиент должны создать пары ключей — открытых и закрытых — и обменяться открытыми ключами. Обычно используется также и пароль.

Техническая инф о протоколе

SSH - это протокол прикладного уровня (или уровня приложений). SSH-сервер обычно прослушивает соединения на TCP-порту 22. Спецификация протокола SSH-2 содержится в RFC 4251. Для а/ф сервера в SSH используется протокол а/ф сторон на основе алгоритмов ЭЦП RSA или DSA. Для а/ф клиента также может использоваться ЭЦП RSA или DSA, но допускается также а/ф при помощи пароля (режим обратной совместимости с Telnet) и ip-адреса хоста (режим обратной совместимости с rlogin). А/ф по паролю наиболее распространена; она безопасна, так как пароль передается по зашифрованному виртуальному каналу. А/ф по ip-адресу небезопасна, эту возможность чаще всего отключают. Для создания общего секрета (сеансового ключа) используется алгоритм Диффи — Хеллмана (DH). Для шифрования передаваемых данных используется симметричное шифрование, алгоритмы AES, Blowfish или 3DES. Целостность переданных данных проверяется с помощью CRC32 в SSH1 или HMAC-SHA1/HMAC-MD5 в SSH2.

Для сжатия шифруемых данных может использоваться алгоритм LempelZiv (LZ77), который обеспечивает такой же уровень сжатия, что и архиватор ZIP. Сжатие SSH включается лишь по запросу клиента, и на практике используется редко.

146) И/ф и а/ф, назначение, виды реализаций, классификация алгоритмов.

И/ф и а/ф применяются для ограничения доступа случайных и незаконных субъектов (пользователи, процессы) инф систем к ее объектам (аппаратные, программные и инф ресурсы).

Общий алгоритм работы таких систем заключается в том, чтобы получить от субъекта (например, пользователя) инф, удостоверяющую его личность, проверить ее подлинность и затем предоставить (или не предоставить) этому пользователю возможность работы с системой.

Наличие процедур а/ф и/или и/ф пользователей является обязательным условием любой защищенной системы, поскольку все механизмы ЗИ рассчитаны на работу с поименованными субъектами и объектами инф систем.

Идентификация — присвоение субъектам и объектам доступа личного и/фикатора и сравнение его с заданным.

Аутентификация (установление подлинности) — проверка принадлежности субъекту доступа предъявленного им и/фикатора и подтверждение его подлинности. Другими словами, а/ф заключается в проверке: является ли подключающийся субъект тем, за кого он себя выдает.

При построении систем и/ф и а/ф возникает проблема выбора и/фикатора, на основе которого осуществляются процедуры и/ф и а/ф пользователя. В качестве и/фикаторов обычно используют:

-набор символов (пароль, секретный ключ, персональный и/фикатор и т. п.), который пользователь запоминает или для их запоминания использует специальные ср-ва хранения (эл ключи);

-физиологические параметры человека (отпечатки пальцев, рисунок радужной оболочки глаза и т. п.) или особенности поведения (особенности работы на клавиатуре и т. п.).

Механизм и/ф и а/ф пользователей

Общая процедура и/ф и а/ф пользователя при его доступе в защищенную инф систему заключается в следующем.

Пользователь предоставляет системе свой личный и/фикатор (например, вводит пароль или предоставляет палец для сканирования отпечатка). Далее система сравнивает полученный и/фикатор со всеми хранящимися в ее базе и/фикаторами. Если результат сравнения успешный, то пользователь получает доступ к системе в рамках установленных полномочий. В случае отрицательного результата система сообщает об ошибке и предлагает повторно ввести и/фикатор.

В тех случаях, когда пользователь превышает лимит возможных повторов ввода инф (ограничение на кол-во повторов является обязательным условием для защищенных систем) система временно блокируется и выдается сообщение о несанкционированных действиях (причем, может быть, и незаметно для пользователя).

Если в процессе а/ф подлинность субъекта установлена, то система ЗИ должна определить его полномочия (совокупность прав). Это необходимо для последующего контроля и разграничения доступа к ресурсам.

147) Методы аутентификации (пароли, сертификаты, биометрия).

Наиболее распространенными простыми и привычными являются методы а/ф, основанные на паролях — конфиденциальных и/фикаторах субъектов. В этом случае при вводе субъектом своего пароля подсистема а/ф сравнивает его с паролем, хранящимся в базе эталонных данных в зашифрованном виде. В случае совпадения паролей подсистема а/ф разрешает доступ к ресурсам системы.

Парольные методы а/ф по степени изменяемости паролей делятся на:

-методы, использующие постоянные (многократно используемые) пароли;

-методы, использующие одноразовые (динамично изменяющиеся) пароли.

Использование одноразовых или динамически меняющихся паролей является более надежным методом парольной защиты.

В последнее время получили распространение комбинированные методы и/ф и а/ф, требующие, помимо знания пароля, наличие карточки (token) — специального устр-ва, подтверждающего подлинность субъекта.

Карточки разделяют на два типа:

-пассивные (карточки с памятью);

-активные (интеллектуальные карточки).

Самыми распространенными являются пассивные карточки с магнитной полосой, которые считываются специальным устройством, имеющим клавиатуру и процессор. При использовании указанной карточки пользо­ватель вводит свой и/фикационный номер. В случае его совпадения с эл вариантом, закодированным в карточке, пользователь получает доступ в систему. Это позволяет достоверно установить лицо, получившее доступ к системе, и исключить несанкционированное использование карточки злоумышленником (например, при ее утере). Такой способ часто называют двукомпонентной а/ф.

Интеллектуальные карточки кроме памяти имеют собственный микропроцессор. Это позволяет реализовать различные варианты парольных методов защиты, например, многоразовые пароли, динамически меняющиеся пароли.

Методы а/ф, основанные на измерении биометрических параметров человека, обеспечивают почти 100 % и/ф, решая проблемы утери или утраты паролей и личных и/фикаторов. Однако эти методы нельзя использовать при и/ф процессов или данных (объектов данных), они только начинают развиваться, требуют пока сложного и дорогостоящего оборудования. Это обусловливает их использование пока только на особо важных объектах.

Примерами внедрения указанных методов являются системы и/ф пользователя по рисунку радужной оболочки глаза, по почерку, по тембру голоса и др.

Новейшим направлением а/ф является док-во подлинности удаленного пользователя по его местонахождению. Данный защитный механизм ос­нован на использовании системы космической навигации, типа GPS. Пользователь, имеющий аппаратуру GPS, многократно посылает координаты заданных спутников, находящихся в зоне прямой видимости. Подсистема а/ф, зная орбиты спутников, может с точностью до метра определить месторасположение пользователя. Высокая надеж­ность а/ф определяется тем, что орбиты спутников подвержены колебаниям, предсказать которые достаточно трудно. Кроме того, координаты постоянно меняются, что исключает их перехват. Такой ме­тод а/ф может быть использован в случаях, когда авторизованный удаленный пользователь должен находиться в нужном месте.

148) Комбинированные методы аутентификации и идентификации.

Комбинированные методы и/ф и а/ф, требуют, помимо знания пароля, наличие карточки (token) — специального устр-ва, подтверждающего подлинность субъекта.

Парольные методы а/ф по степени изменяемости паролей делятся на:

-методы, использующие постоянные (многократно используемые) пароли;

-методы, использующие одноразовые (динамично изменяющиеся) пароли.

Использование одноразовых или динамически меняющихся паролей является более надежным методом парольной защиты.

Карточки разделяют на два типа:

-пассивные (карточки с памятью);

-активные (интеллектуальные карточки).

Самыми распространенными являются пассивные карточки с магнитной полосой, которые считываются специальным устройством, имеющим клавиатуру и процессор. При использовании указанной карточки пользо­ватель вводит свой и/фикационный номер. В случае его совпадения с эл вариантом, закодированным в карточке, пользователь получает доступ в систему. Это позволяет достоверно установить лицо, получившее доступ к системе, и исключить несанкционированное использование карточки злоумышленником (например, при ее утере). Такой способ часто называют двукомпонентной а/ф.

Интеллектуальные карточки кроме памяти имеют собственный микропроцессор. Это позволяет реализовать различные варианты парольных методов защиты, например, многоразовые пароли, динамически меняющиеся пароли.

Методы а/ф, основанные на измерении биометрических параметров человека, обеспечивают почти 100 % и/ф, решая проблемы утери или утраты паролей и личных и/фикаторов. Однако эти методы нельзя использовать при и/ф процессов или данных (объектов данных), они только начинают развиваться, требуют пока сложного и дорогостоящего оборудования. Это обусловливает их использование пока только на особо важных объектах.

Примерами внедрения указанных методов являются системы и/ф пользователя по рисунку радужной оболочки глаза, по почерку, по тембру голоса и др.

Новейшим направлением а/ф является док-во подлинности удаленного пользователя по его местонахождению. Данный защитный механизм ос­нован на использовании системы космической навигации, типа GPS. Пользователь, имеющий аппаратуру GPS, многократно посылает координаты заданных спутников, находящихся в зоне прямой видимости. Подсистема а/ф, зная орбиты спутников, может с точностью до метра определить месторасположение пользователя. Высокая надеж­ность а/ф определяется тем, что орбиты спутников подвержены колебаниям, предсказать которые достаточно трудно. Кроме того, координаты постоянно меняются, что исключает их перехват. Такой ме­тод а/ф может быть использован в случаях, когда авторизованный удаленный пользователь должен находиться в нужном месте.

149) Категории аутентификации по уровню ИБ.

В целом аутентификация по уровню информацион­ной безопасности делится на три категории:

-статическая аутентификация;

-устойчивая аутентификация;

-постоянная аутентификация.

Первая категория обеспечивает защиту только от несанкционированных действий в системах, где нару­шитель не может во время сеанса работы прочитать аутентификационную информацию. Примером средства статической аутентификации являются традиционные постоянные пароли. Их эффективность преимущественно зависит от сложности угадывания паролей и, собствен­но, от того, насколько хорошо они защищены.

Устойчивая аутентификация использует динамиче­ские данные аутентификации, меняющиеся с каждым сеансом работы. Реализациями устойчивой аутентифи­кации являются системы, использующие одноразовые пароли и электронные подписи. Устойчивая аутенти­фикация обеспечивает защиту от атак, где злоумыш­ленник может перехватить аутентификационную инфор­мацию и использовать ее в следующих сеансах работы.

Однако устойчивая аутентификация не обеспечивает защиту от активных атак, в ходе которых маскирую­щийся злоумышленник может оперативно (в течение сеанса аутентификации) перехватить, модифицировать и вставить информацию в поток передаваемых данных.

Постоянная аутентификация обеспечивает идентифи­кацию каждого блока передаваемых данных, что пре­дохраняет их от несанкционированной модификации или вставки. Примером реализации указанной категории аутентификации является использование алгоритмов генерации электронных подписей для каждого бита пе­ресылаемой информации.

150) Разграничение доступа и полномочий доступа к ресурсам АС, модели и механизмы реализации

Одним из ключевых методов ЗИ от НСД является разграничение полномочий и прав доступа пользователей к ресурсам АС. Разграничение доступа — организация и осуществление доступа субъектов к объектам доступа в строгом соответствии с порядком, установленным политикой без-ти предприятия. Доступ к инф, не нарушающий правила разграничения доступа называется санкционированным. Доступ к инф, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых ср-вами ВТ или АС, — несанкционированным.

Данное направление деят-ти включает разработку организационной схемы функционирования АС, анализ потоков данных, уточнение задач и полномочий пользователей, создание функциональных групп работников на основе круга решаемых задач, построение схемы категорирования объектов АС по критерию доступа различных пользователей.

В своде правил разграничения доступа (ПРД) из множества эл-тов произвольной автоматизированной системы выделяют два подмножества: множество объектов и множество субъектов доступа. Объект доступа (диск, каталог, файл, системная служба) — любой эл-т системы, доступ к которому может быть произвольно ограничен. Субъект доступа (пользователь) — любая сущность, способная инициировать выполнение операций над объектами. Для различных типов объектов вводятся различные операции или методы доступа. Некоторые методы доступа для удобства использования объединяются в группы, называемые правами доступа. Так, например, право доступа к файлу «изменение» подразумевает возможность доступа к нему по методам «чтение» и «запись». А право «полного» доступа — по всем существующим методам, включая «изменение прав доступа».

В качестве дополнительного множества иногда вводятся процессы, поро­ждаемые (инициируемые) субъектами над объектами. Одной из важнейших задач разграничения доступа в АС является обязательная проверка полномочий любых процессов по отношению к обрабатываемым данным.

На этапах проектирования и эксплуатации защищенных АС возникает за­дача синтеза системы разграничения доступа пользователей инф системы к ее ресурсам. Предельная открытость системы, когда максимальному числу пользователей предоставляются максимальные права на доступ ко всем ресурсам, приводит к максимальной эффективности ее функционирования, однако увеличивает риск возможных нарушений ИБ.

В то же время любые меры без-ти и ограничения объективно снижают отдельные хар-ки эффективности функционирования системы. Наличие или отсутствие прав доступа определяется принятой в организации политикой без-ти, при разработке которой следует учитывать следующие принципы:

-доступ любого субъекта к любому объекту доступа может осуществляться только на основе явного или косвенного санкционирования админом системы или владельцем объекта доступа;

-правила разграничения доступа не должны допускать изменения и удаления жизненно важных системных объектов;

-каждый объект должен иметь владельца;

-должна быть исключена возможность случайной (непреднамеренной) утечки конфиденциальной инф, включая так называемые скрытые каналы утечки инф.

Механизмы разграничения доступа оперируют с мн-вами операций, которые субъекты могут инициировать над объектами. Для каждой пары «субъект — объект» вводится множество разрешенных операций, являющееся подмножеством всего множества допустимых операций. Оставшиеся операции будут составлять подмножество запрещенных данному пользователю методов доступа к конкретному объекту.

Существуют две основных модели разграничения доступа: дискрецион­ная (одноуровневая) и мандатная (многоуровневая).

Существуют следующие методы разграничения доступа:

-разграничение доступа по спискам;

-использование матрицы установления полномочий;

-разграничение доступа по уровням секретности и категориям;

-парольное разграничение доступа.

При разграничении доступа по спискам задаются соответствия: каждому пользователю - список ресурсов и прав доступа к ним или каждому ресурсу - список пользователей и их прав доступа к данному ресурсу.

Списки позволяют установить права с точностью до пользователя. Здесь нетрудно добавить права или явным образом запретить доступ. Списки используются в подсистемах без-ти ОС и систем упр-я БД.

Использование матрицы установления полномочий подразумевает применение матрицы доступа (таблицы полномочий). В указанной матрице строками являются идентификаторы субъектов, имеющих доступ в инф систему, а столбцами - объекты (ресурсы) инф системы. Каждый элемент матрицы может содержать имя и размер предоставляемого ресурса, право доступа (чтение, запись и др.), ссылку на другую инф структуру, уточняющую права доступа, ссылку на программу, управляющую правами доступа и др.

Данный метод предоставляет более унифицированный и удобный подход, так как вся инф о полномочиях хранится в виде единой таблицы, а не в виде разнотипных списков. Недостатками матрицы являются ее возможная громоздкость и неоптимальность (большинство клеток - пустые).

Разграничение доступа по уровням секретности и категориям заключается в разделении ресурсов инф системы по уровням секретности и категориям.

При разграничении по степени секретности выделяют несколько уровней, например: общий доступ, конфиденциально, секретно, совершенно секретно. Полномочия каждого пользователя задаются в соответствии с максимальным уровнем секретности, к которому он допущен. Пользователь имеет доступ ко всем данным, имеющим уровень (гриф) секретности не выше, чем ему определен.

При разграничении по категориям задается и контролируется ранг категории пользователей. Соответственно, все ресурсы инф системы разделяются по уровням важности, причем определенному уровню соответствует категория пользователей

151) Руководящий документ «Средства ВТ. Защита от несанкционированного доступа к инф». Показатели защищенности от несанкционированного доступа к инф.

Настоящий Руководящий документ устанавливает классификацию средств ВТ по уровню защищенности от несанкционированного доступа к инф на базе перечня показателей защищенности и совокупности описывающих их требований.

Под СВТ понимается совокупность программных и технических эл-тов систем обработки данных, способных функционировать самостоятельно или в составе других систем.

Данные показатели содержат требования защищенности СВТ от НСД к инф.

Показатели защищенности СВТ применяются к общесистемным программным средствам и ОС (с учетом архитектуры ЭВМ).

Конкретные перечни показателей определяют классы защищенности СВТ.

Уменьшение или изменение перечня показателей, соответствующего конкретному классу защищенности СВТ, не допускается.

Каждый показатель описывается совокупностью требований.

Дополнительные требования к показателю защищенности СВТ и соответствие этим дополнительным требованиям оговаривается особо.

Требования к показателям реализуются с помощью программно-технических средств.

Совокупность всех средств защиты составляет комплекс средств защиты.

Документация КСЗ должна быть неотъемлемой частью конструкторской документации на СВТ.

Устанавливается семь классов защищенности СВТ от НСД к инф. Самый низкий класс – 7, самый высокий – 1.

Классы подразделяются на 4 группы, отличающиеся качественным уровнем защиты:

- 1я группа содержит только один 7й класс;

- 2я группа характеризуется дискреционной защитой и содержит 6й и 5й классы;

- 3я группа характеризуется мандатной защитой и содержит 4й, 3й и 2й классы;

- 4я группа характеризуется верифицированной защитой и содержит только 1й класс.

Выбор класса защищенности СВТ для автоматизированных систем, создаваемых на базе защищенных СВТ, зависит от грифа секретности обрабатываемой в АС инф, условий эксплуатации и расположения объектов системы.

Применение в комплекте СВТ средств криптографической ЗИ по ГОСТ 28147-89 может быть использовано для повышения гарантий качества защиты.

Требования к показателям защищенности

Показатели защищенности

Перечень показателей по классам защищенности СВТ приведен в таблице.

Обозначения:

- "-" – нет требований к данному классу;

- "+" – новые или дополнительные требования,

- "=" – требования совпадают с требованиями к СВТ предыдущего класса.

152) Мандатное и дискретное управление доступом в современных сетевых ОС

Большинство ОС, применяющихся в настоящее время на практике (ОС семейства MS Windows NT, Novell NetWare, UNIX), реализуют дискреционную модель разграничения доступа. Система правил дискреционной модели разграничения доступа формулируется следующим образом:

-У каждого объекта ОС существует владелец.

-Владелец объекта может произвольно ограничивать (или разрешать) доступ других субъектов к данному объекту.

-Для каждой тройки субъект-объект-метод возможность доступа определена однозначно.

-Существует хотя бы один привилегированный пользователь, имеющий возможность обратиться к любому объекту по любому методу доступа.

Формально дискреционная модель разграничения доступа может быть представлена в виде матрицы доступа, строки которой соответствуют субъектам системы, а столбцы — объектам. Элементы матрицы характеризуют права доступа конкретного субъекта к конкретному объекту. Матрица доступа может формироваться на основе двух различных принципов: централизованного и децентрализованного. При реализации централизованного (принудительного) принципа возможность доступа субъектов к объектам определяется админом. При реализации децентрализованного (добровольного) принципа доступом управляет владелец объекта. Первый принцип жесткого администрирования обеспечивает более четкий контроль над соблюдением ПРД. Второй принцип более гибкий, однако, труднее поддается контролю со стороны лиц, несущих ответственность за без-сть данных. На практике часто применяют принудительный принцип упр-я доступа с эл-тами добровольного подхода.

В большинстве случаев матрица доступа имеет весьма существенные размеры (в компьютерной системе присутствует множество различных субъектов и объектов) и является разреженной (субъектам необходим доступ только к небольшим подмножествам объектов). В целях экономии памяти матрица доступа может задаваться в виде списков прав субъектов (для каждого субъекта создается список доступных объектов) или в виде списков прав доступа (для каждого объекта создается список субъектов, имеющих права доступа к нему).

В практических реализациях используется хранение матрицы доступа в виде списков прав доступа, ассоциированных с каждым объектом. Известны два способа кодирования строки матрицы доступа: механизм битов защиты, применяемый в ОС семейства UNIX, и механизм списков прав доступа, применяемый, например, в ОС семейства MS Windows NT.

При реализации дискреционной модели в рамках определенной ОС применяются различные алгоритмы проверки прав доступа субъекта к объекту.

Формализованный алгоритм проверки прав доступа при использовании механизма битов защиты, реализованный в ОС семейства Unix: с объектом (файлом) связываются биты защиты, указывающие права доступа для трех категорий субъектов: все пользователи, члены группы владельца и владелец объекта. Множество допустимых операций составляют три метода: чтение, запись и выполнение. При попытке доступа производится:

-проверка того, является ли субъект владельцем объекта;

-проверка вхождения субъекта в группу владельца;

-сравнение полномочий, предоставляемых всем пользователям системы, с запрашиваемым типом доступа.

При этом отсутствие разрешений для конкретного субъекта в приоритетной категории пользователей, к которой он принадлежит, приводит к отказу в доступе.

При использовании механизма списков прав доступа (Access Control List — ACL) не выделяют категорий пользователей. В то же время для удобства администрирования доступа пользователи могут объединяться в группы. Конкретный список субъектов (групп) доступа ассоциируется с каждым объектом с указанием прав доступа к нему для каждого пользователя (группы). Каждый список ACL состоит из так называемых записей упр-я доступом (Access Control Entries — ACE). Всего существует три типа записей. Два из них относятся к упр-ю доступом: первый разрешает указанный доступ и определяет метод доступа (ACE Allowed), а второй запрещает доступ (ACE Denied). Третий тип записей определяет настройки аудита доступа к объекту (ACE Audit).

Каждая запись упр-я доступом (ACE) состоит из и/фикатора пользователя или группы пользователей и совокупности разрешенных методов доступа. При принятии решения о предоставлении доступа к объекту в ОС семейства MS Windows NT записи упр-я доступом обрабатываются с учетом иерархической структуры каталогов следующим образом:

-система сравнивает и/фикатор пользователя, запросившего доступ к объекту, а также и/фикаторы всех групп, к которым он принадлежит, с и/фикаторами, присутствующими в ACL объекта. Если в ACL отсутствует упоминание и/фикаторов пользователя и его групп, то доступ запрещается;

-если и/фикаторы присутствуют в ACL, то сначала обрабатываются ACE типа Denied (по запрещенным методам доступа). Для всех записей ACE типа Denied, и/фикатор которых совпадает с и/фикатором пользователя или его групп, запрашиваемый метод доступа сравнивается с указанным в ACE. Если метод (чтение, запись и т.д.) присутствует в ACE данного типа, то доступ запрещается, и дальнейшая обработка по данному методу не производится, и ACE типа Allowed не анализируются;

-если система не обнаруживает запрета на доступ по запрашиваемому методу в ACE типа Denied, она осуществляет анализ ACE типа Allowed (по разрешенным методам доступа). Для всех записей, имеющих тип Allowed, запрашиваемый метод доступа также сравнивается с указанным в ACE. По результатам сравнения отмечается, какие методы запрашиваемого доступа разрешены;

-если все методы доступа, которые указаны в запросе, встретились в ACE типа Allowed и не были обнаружены в ACE типа Denied, то запрашиваемый пользователем доступ будет удовлетворен системой полностью. В противном случае доступ разрешается только по тем методам, которые не запрещены в ACE типа Denied и разрешены в ACE типа Allowed.

Многоуровневая (мандатная, полномочная) модель разграничения доступа. Мандатная модель предполагает категорирование объектов доступа по уровню конфиденциальности, а субъектов — по степени (уровням) допуска.

Мандатная модель разграничения доступа обычно применяется в совокупности с дискреционной. Различают два способа реализации мандатной модели: с контролем инф потоков и, более простой, без контроля потоков, который на практике встречается крайне редко. Правила мандатной модели разграничения доступа с контролем инф потоков формулируются следующим образом:

-У любого объекта ОС существует владелец.

-Владелец объекта может произвольно ограничивать (или разрешать) доступ других субъектов к данному объекту.

-Для каждой четверки субъект-объект-метод-процесс возможность доступа определена однозначно в каждый момент времени.

-Существует хотя бы один привилегированный пользователь, имеющий возможность удалить любой объект.

Во множестве объектов выделяются множества объектов полномочного разграничения доступа.

Каждый объект имеет свой уровень конфиденциальности.

Каждый субъект имеет уровень допуска.

Запрет чтения вверх (Not Read Up — NRU): запрет доступа по методу «чтение», если уровень конфиденциальности объекта выше уровня допуска субъекта, осуществляющего запрос.

Каждый процесс имеет уровень конфиденциальности, равный максимуму из уровней конфиденциальности объектов, открытых процессом.

Запрет записи вниз (Not Write Down — NWD): запрет доступа по методу «запись», если уровень конфиденциальности объекта ниже уровня конфиденциальности процесса, осуществляющего запрос.

Понизить гриф секретности объекта может субъект, который имеет доступ к объекту и обладает специальной привилегией.

Основная цель, которая достигается применением мандатной модели разграничения доступа с контролем инф потоков, — это предотвращение утечки инф определенного уровня конфиденциальности к субъектам, чей уровень допуска ниже.

В широко распространенных ОС семейства MS Windows NT и Unix-подобных ОС реализована только дискреционная модель. Следовательно, для распространенных ОС, при условии обработки инф, составляющей гос тайну, необходимо применение доп ср-в, реализующих мандатную модель разграничения доступа.

В ГОСТе Р 50739-95 «Ср-ва ВТ. Защита от несанкционированного доступа к инф» и в док-тах Гостехкомиссии РФ определены два вида (принципа) разграничения доступа:

Дискретное управление доступом представляет собой разграничение доступа м/у поименованными субъектами и поименованными объектами. Субъект с определенным правом доступа может передать это право любому другому субъекту. Данный вид организуется на базе методов разграничения по спискам или с помощью матрицы.

Мандатное упр-е доступом основано на сопоставлении меток конфиденциальности инф, содержащейся в объектах (файлы, папки, рисунки) и официального разрешения (допуска) субъекта к инф соответствующего уровня конфиденциальности.

При внимательном рассмотрении можно заметить, что дискретное упр-е доступом есть не что иное, как произвольное упр-е доступом (по «Оранжевой кни­ге США»), а мандатное упр-е реализует принудительное упр-е доступом.

153) Программно-аппаратные средства ограничения загрузки (входа) ПЭВМ (средства BIOS, СЗИ НСД Аккорд-АМДЗ, СЗИ Страж, СЗИ Dallas Lock)

Одной из встроенных в программно-аппаратную среду самого компьютера процедур ограничения логического доступа является операция ввода пароля BIOS при включении ПЭВМ.

При включении питания управление ПЭВМ берет на себя программа, записанная в ПЗУ BIOS, которая проводит процедуру самотестирования компьютера (Power-On Self-Test, POST). После тестирования из ПЗУ BIOS в ОЗУ ПЭВМ загружается содержимое первого сектора нулевого цилиндра нулевой стороны накопителя на жестком магнитном диске (НЖМД). В данном секторе НЖМД находится главная загрузочная запись (Master Boot Record — MBR), на которую передается упр-е компьютером. Программа первоначальной загрузки (Non-System Bootstrap — NSB — несистемный загрузчик) является первой частью MBR. NSB анализирует таблицу разделов жесткого диска (Partition Table), являющуюся второй частью MBR, и определяет по ней расположение (номера сектора, цилиндра и стороны) активного раздела, содержащего рабочую версию ОС. Определив активный (загрузочный) раздел НЖМД, программа NSB считывает его нулевой сектор (Boot Record — BR — загрузочную запись) и передает ей управление ПЭВМ. Алгоритм работы загрузочной записи зависит от ОС, но обычно состоит в запуске непосредственно ОС или программы — загрузчика ОС.

Парольная система BIOS имеет только два варианта паролей с категориями «пользователь» и «суперпользователь». Ввод парольной инф выполняется до обращения к жесткому диску компьютера, т. е. до загрузки ОС. Это только один из эшелонов защиты АС, который способен разделить потенциальных пользователей на легальных (своих, знающих пароль пользователя) и нелегальных.

Запуск защитных механизмов СЗИ обычно выполняется по одному из следующих способов: с использованием собственного контроллера СЗИ либо путем модификации главной загрузочной записи.

При реализации первого способа СЗИ должно быть программно-аппаратным комплексом и содержать собственный контроллер, который обычно устанавливается в слот ISA или PCI. В процессе выполнения процедуры POST после проверки основного оборудования BIOS компьютера начинает поиск внешних ПЗУ в диапазоне адресов от С800:0000 до Е000:0000 с шагом в 2Kb. Аппаратная часть СЗИ должна быть организована так, чтобы ее ПЗУ, содержащее процедуры и/ф и а/ф пользователей, обнаруживалось компьютерной системой по одному из проверяемых системой адресов. При обнаружении внешнего ПЗУ POST BIOS передает упр-е программе, расположенной в найденном ПЗУ. Таким образом, защитные механизмы (процедуры и/ф и а/ф, контроля целостности и т. п., записанные в ПЗУ контроллера СЗИ) начинают работать еще до загрузки ОС. И только после удачной отработки механизмов защиты ср-во защиты возвращает упр-е процедуре POST, либо непосредственно передает упр-е на MBR жесткого диска. Кроме ПЗУ, хранящего программы защитных механизмов, в составе СЗИ должны быть перепрограммируемые ПЗУ, в которые заносятся список зарегистрированных пользователей с образами а/ф их инф и временными рамками разрешения входа в АС.

Второй способ запуска защитных механизмов применяется в программных СЗИ, примерами которых являются «Страж NT» и «Dallas Lock», которые не имеют собственных аппаратных контроллеров. Задача надежного запуска защитных механизмов (до загрузки ОС) решается здесь путем модификации главной загрузочной записи в процессе установки системы защиты. Обычно модификации подвергается только первая часть MBR — программа первоначальной загрузки. В процессе инициализации СЗИ программа первоначальной загрузки меняется на собственную программу ср-ва защиты, задачей которой является передача упр-я на программный код, реализующий запуск и отработку защитных механизмов доверенной загрузки. После удачного выполнения всех предусмотренных СЗИ процедур упр-е ПЭВМ передается либо на штатную программу первоначальной загрузки ОС, которая при установке ср-ва защиты копируется в некоторый сектор нулевой дорожки НЖМД, либо напрямую на загрузочную запись активного раздела жесткого диска.

В теории и практике обеспечения без-ти АС хорошо известен такой способ преодоления злоумышленником системы защиты, как подбор пароля. Для того чтобы исключить возможность осуществления штурма парольной системы защиты в СЗИ предусматривается режим блокировки компьютера после нескольких (обычно трех — пяти) неудачных попыток ввода пароля. Выход АС из этого режима возможен только после выключения питания. Режим блокировки может быть запущен при обнаружении системой защиты любых нештатных действий пользователя как во время доверенной загрузки (например, если код, записанный в предъявляемую карту памяти, не соответствует введенным и/фикатору и/или паролю), так и во время последующей работы (например, при попытке обратиться к запрещенным для доступа портам, устр-вам ввода-вывода). Естественно, все попытки неудачного входа в систему, приведшие к блокированию компьютера, должны быть зафиксированы в спец журнале

Необходимо обеспечить надежную защиту самого компьютера от непосредственного физического доступа. Если злоумышленнику удастся извлечь контроллер СЗИ из слота ПЭВМ, процесс загрузки ОС перестанет носить защищенный характер, и будет осуществляться стандартно.

Запрет загрузки со съемных носителей, а также противодействие анализу защищаемых данных при подключении жесткого диска к иному компьютеру осуществляется в СЗИ «Dallas Lock» путем включения режима прозрачного преобразования дисков. Алгоритм преобразования жесткого диска выбирается при установке СЗИ. Преобразованию может быть подвергнут весь диск либо его часть. Преобразование выполняется с использованием программы «Администратор DL 7.0», для чего необходимо в параметрах без-ти выбрать «Преобразование дисков» и указать область преобразования. Основным достигаемым результатом является невозможность обращения к диску в обход системы защиты.

При очередной загрузке компьютера начнется процесс преобразования указанной области. После преобразования получение доступа к данным, обрабатываемым на диске, в обход СЗИ становится невозможным. Таким образом, преобразование диска является важнейшим эл-том для предотвращения не­санкционированного доступа к данным и выполнения пункта 2 требований к защите компьютерной системы от НСД. Для гарантированного блокирования возможности НСД при загрузке с внешних носителей необходимо осуществлять преобразование всего диска. Дополнительной мерой защиты является установка запрета загрузки с внешних носителей в настройках BIOS Setup, подкрепляемая паролем.

СЗИ «Аккорд» (разработчик «ОКБ САПР») представляет собой программно-аппаратный комплекс, состоящий из платы расширения (аппаратного модуля доверенной загрузки — АМДЗ), устанавливаемой в PCI-слот, и набора ПО, обеспечивающего настройку и функционирование комплекса. Система обеспечивает:

- Организацию доверенной загрузки с возможностью и/ф пользователей АС по эл ключам Touch Memory; - Мандатный контроль доступа на основе меток конфиденциальности пользователей, защищаемых ресурсов и прикладных программ; - Создание для пользователей режима замкнутой программной среды;-Контроль потоков защищаемой инф; - Контроль целостности аппаратных средств ПЭВМ, служебных областей диска и заданных админом файлов; - Очистка освобождаемого дискового пространства и ОЗУ; - Аудит доступа к защищаемым ресурсам.

СЗИ «Страж NT» версии 2.5 представляет собой программно-аппаратный комплекс, способный работать в среде ОС Microsoft Windows NT 4.0, Windows 2000, XP, 2003 и добавляющий к системе без-ти ОС следующие функциональные возможности:

Организация доверенной загрузки с возможностью и/ф и а/ф пользователей при помощи дискет, устр-в iButton, USB-ключей eToken R2, eToken Pro, Guardant;

Реализация мандатной модели разграничения доступа на основе меток конфиденциальности пользователей, защищаемых ресурсов и прикладных программ;

Создание замкнутой программной среды для пользователей путем разрешения запуска ограниченного кол-ва прикладных программ и динамических библиотек;

Контроль потоков защищаемой инф;

Очистка освобождаемой памяти и дискового пространства;

Контроль целостности указанных администратором файлов;

Аудит доступа к защищаемым ресурсам;

Упр-е вводом-выводом на отчуждаемые носители.

СЗИ «Dallas Lock» представляет собой программно-аппаратный комплекс, добавляющий к системе без-ти Windows следующие функциональные возможности:

Организация доверенной загрузки с возможностью и/ф и а/ф при помощи эл идентификаторов Touch Memory;

Создание замкнутой программной среды для пользователей путем разрешения запуска ограниченного кол-ва прикладных программ и динамических библиотек;

Реализация мандатной модели разграничения доступа на основе меток конфиденциальности пользователей и защищаемых ресурсов;

Контроль потоков защищаемой инф;

Очистка секторов, занимаемых защищаемыми файлами при их удалении, а также очистка памяти, выделяемой прикладным программам;

Контроль целостности указанных администратором файлов и системных областей диска;

Аудит доступа к защищаемым ресурсам;

Защита данных путем криптографического преобразования инф на диске.

154) Руководящий документ «Средства ВТ. Защита от несанкционированного доступа к инф». Требования к показателям защищенности.

Требования к показателям защищенности 6го класса

Дискреционный принцип контроля доступа. КСЗ (комплекс ср-в защиты) должен контролировать доступ наименованных субъектов (пользователей) к наименованным объектам (файлам, программам, томам и т.д.).

Для каждой пары (субъект – объект) в СВТ должно быть задано явное и недвусмысленное перечисление допустимых типов доступа, которые являются санкционированными для данного субъекта к данному ресурсу СВТ (объекту).

И/ф и а/ф. КСЗ должен требовать от пользователей и/фицировать себя при запросах на доступ. КСЗ должен подвергать проверке подлинность и/ф – осуществлять а/ф. КСЗ должен препятствовать доступу к защищаемым ресурсам не и/фицированных пользователей и пользователей, подлинность и/ф которых при а/ф не подтвердилась.

Тестирование. Должны тестироваться: - реализация дискреционных ПРД (правил разграничения доступа) (перехват явных и скрытых запросов, правильное распознавание санкционированных и несанкционированных запросов на доступ, ср-ва защиты механизма разграничения доступа, санкционированные изменения ПРД);- успешное осуществление и/ф и а/ф.

Руководство для пользователя. Документация на СВТ должна включать в себя краткое руководство для пользователя с описанием способов использования КСЗ (комплекс средств защиты) и его интерфейса с пользователем.

Руководство по КСЗ. Данный док-т адресован админу защиты и должен содержать: - описание контролируемых ф-ций;

- руководство по генерации КСЗ; - описание старта СВТ и процедур проверки правильности старта.

Тестовая документация.Должно быть предоставлено описание тестов и испытаний, которым подвергалось СВТ и его результатов.

Конструкторская (проектная) документация. Должна содержать общее описание принципов работы СВТ, общую схему КСЗ, описание интерфейсов КСЗ с пользователем и интерфейсов частей КСЗ м/у собой, описание механизмов и/ф и а/ф.

Требования к показателям 5го класса защищенности.

Дискреционный принцип контроля доступа. Совпадает с 6м классом. + должны быть предусмотрены ср-ва упр-я, ограничивающие распространение прав на доступ.

Очистка памяти. КСЗ должен предотвращать доступ субъекту к остаточной инф.

И/ф и а/ф. Совпадает 6м классом.

Гарантии проектирования. На начальном этапе проектирования СВТ должна быть построена модель защиты. Модель должна включать в себя ПРД к объектам и непротиворечивые правила изменения ПРД (правила разраничения доступа).

Регистрация. КСЗ должен регистрировать события: - использование и/фикационного и а/фикационного механизма; - запрос на доступ к защищаемому ресурсу (открытие файла, запуск и т.д.); - создание и уничтожение объекта; - действия по изменению ПРД.

Для каждого из этих событий должна регистрироваться следующая инф: - дата и время; - субъект, осуществляющий действие; - тип события;- успешно ли осуществилось событие. КСЗ должен содержать ср-ва выборочного ознакомления с регистрационной инф.

Целостность КСЗ. Должны быть предусмотрены ср-ва периодического контроля за целостностью программной и инф части КСЗ.

Тестирование. Должны тестироваться: - реализация ПРД; - успешное осуществление и/ф и а/ф, а также их ср-ва защиты; - очистка памяти в соответствии; - регистрация событий, ср-ва защиты регистрационной инф и возможность санкционированного ознакомления с ней; - работа механизма, осуществляющего контроль за целостностью КСЗ.

Руководство пользователя. Совпадает с 6м классом.

Тестовая документация; Руководство по КСЗ. Совпадает с 6м классом + работы со ср-вами регистрации.

Конструкторская и проектная документация. Должна содержать: - описание принципов работы СВТ; - общую схему КСЗ; - описание интерфейсов КСЗ с пользователем и интерфейсов модулей КСЗ; - модель защиты; -описание механизмов контроля целостности КСЗ, очистки памяти, и/ф и а/ф.

Требования к показателям 4го класса защищенности.

Дискреционный принцип контроля доступа. Включают 5й класс.

Мандатный принцип контроля доступа. Должны сопоставляться классификационные метки каждого субъекта и объекта, отражающие их место в соответствующей иерархии. Посредством этих меток субъектам и объектам должны назначаться классификационные уровни (уровни уязвимости, категории секретности и т.п.), являющиеся комбинациями иерархических и неиерархических категорий. Данные метки должны служить основой мандатного принципа разграничения доступа.

Очистка памяти. При первоначальном назначении или при перераспределении внешней памяти КСЗ должен затруднять субъекту доступ к остаточной инф. При перераспределении ОЗУ КСЗ должен осуществлять ее очистку.

Изоляция модулей. В ОЗУ ЭВМ программы разных пользователей должны быть защищены друг от друга.

Маркировка док-тов. При выводе защищаемой инф на док-т в начале и конце проставляют штамп № 1 и заполняют его реквизиты.

Защита ввода и вывода на отчуждаемый физический носитель инф. КСЗ должен различать каждое устр-во ввода-вывода и каждый канал связи как произвольно используемые или и/фицированные (помеченные"). При вводе (/выводе) с "помеченного" устр-ва КСЗ должен обеспечивать соответствие м/у меткой вводимого (выводимого) объекта и меткой устр-ва.

Сопоставление пользователя с устр-вом. КСЗ должен обеспечивать вывод инф на запрошенное пользователем устр-во как для произвольно используемых устр-в, так и для и/фицированных (при совпадении маркировки).

И/ф и а/ф. КСЗ должен требовать от пользователей и/фицировать себя при запросах на доступ, должен проверять подлинность и/фикатора субъекта - осуществлять а/ф. КСЗ должен препятствовать входу в СВТ неи/фицированного пользователя.

Гарантии проектирования. Проектирование КСЗ должно начинатся с построения модели защиты, содержащей: -непротиворечивые ПРД; - непротиворечивые правила изменения ПРД; - правила работы с устр-вами ввода и вывода инф и каналами связи.

Регистрация. Включают 5й класс. + должна быть регистрация всех попыток доступа, всех действий оператора и админов защиты.

Целостность КСЗ. Должен осуществляться периодический контроль за целостностью КСЗ. Программы КСЗ должны выполняться в отдельной части ОЗУ.

Тестирование. Должны тестироваться: - реализация ПРД - невозможность присвоения субъектом себе новых прав; - очистка оперативной и внешней памяти; - работа механизма изоляции процессов в ОЗУ; - маркировка док-тов; - защита вода и вывода инф на отчуждаемый физический носитель и сопоставление пользователя с устр-вом; - и/ф и а/ф, а также их ср-ва защиты; - запрет на доступ несанкционированного пользователя; - работа механизма, осуществляющего контроль за целостностью СВТ.

Руководство для пользователя.Совпадает с 6м и 5м классом.

Руководство по КСЗ.Совпадают с 5м классом.

Тестовая документация. Должно быть представлено описание тестов и испытаний, которым подвергалось СВТ и его результатов.

Конструкторская (проектная) документация. Должна содержать: - общее описание принципов работы СВТ; - общую схему КСЗ; - описание внешних интерфейсов КСЗ и интерфейсов модулей КСЗ; - описание модели защиты; - описание диспетчера доступа; - описание механизма контроля целостности КСЗ; - описание механизма очистки памяти; - описание механизма изоляции программ в ОЗУ; - описание ср-в защиты ввода и вывода на отчуждаемый физический носитель инф и сопоставления пользователя с устр-вом; - описание механизма и/ф и а/ф; - описание средств регистрации.

Требования к показателям 3го класса защищенности

Дискреционный принцип контроля доступа. Совпадают с 5м и 4м классом.

Мандатный принцип контроля доступа. Совпадают с 4м классом.

Очистка памяти. КСЗ должен осуществлять очистку оперативной и внешней памяти.

Изоляция модулей; Маркировка док-тов; Защита ввода и вывода на отчуждаемый физический носитель инф; Сопоставление пользователя с устройством; И/ф и а/ф: Совпадают с 4м классом.

Гарантии проектирования. На начальном этапе КСЗ должна строиться модель защиты, задающая принцип разграничения доступа и механизм упр-я доступом. Эта модель должна содержать: - непротиворечивые правила изменения ПРД; - правила работы с устр-вами ввода и вывода; - формальную модель механизма упр-я доступом.

Регистрация. Совпадают с 4м классом.

Взаимодействие пользователя с КСЗ. Для обеспечения возможности изучения, анализа, верификации и модификации КСЗ должен быть хорошо структурирован, его структура должна быть модульной и четко определенной. Каждый интерфейс пользователя и КСЗ должен быть логически изолирован от других таких же интерфейсов.

Надежное восстановление После сбоев и отказов оборудования должны обеспечиваться полное восстановление св-в КСЗ.

Целостность КСЗ. Необходимо осуществлять периодический контроль за целостностью КСЗ. Программы должны выполняться в отдельной части ОЗУ. Это требование должно подвергаться верификации.

Тестирование. Включает 4й класса. + должны тестироваться: - очистка памяти; - работа механизма надежного восстановления.

Руководство для пользователя. Совпадают с 4м классом.

Руководство по КСЗ. Док-т адресован админу защиты и должен содержать: - описание контролируемых ф-ций; - руководство по генерации КСЗ; - описание старта СВТ, процедур проверки правильности старта, процедур работы со ср-вами регистрации; - руководство по ср-вам надежного восстановления.

Тестовая документация. Должно быть представлено описание тестов и испытаний, которым подвергалось СВТ, и его результатов.

Конструкторская (проектная) документация. Совпадает с 4м классом. + необходимы: - высокоуровневая спецификация КСЗ и его интерфейсов; - верификация соответствия высокоуровневой спецификации КСЗ модели защиты.

Требования к показателям 2го класса защищенности

Дискреционный принцип контроля доступа. Включают 3й класс. + требуется, чтобы дискреционные правила разграничения доступа были эквивалентны мандатным правилам (т.е. всякий запрос на доступ должен быть одновременно санкционированным или несанкционированным одновременно и по дискреционным правилам, и по мандатным ПРД).

Мандатный принцип контроля доступа; Очистка памяти.Совпадают с 3м классом.

Изоляция модулей.В ОЗУ ЭВМ программы разных пользователей должны быть изолированы друг от друга.

Маркировка документов. Совпадают с 4м классом.

Защита ввода и вывода на отчуждаемый физический носитель инф. Совпадают с аналогичным требованием 3го класса.

Сопоставление пользователя с устр-вом; И/ф и а/ф. Совпадает с 4м и 3м классом.

Гарантии проектирования. Включают 3й класс. + требуется, чтобы высокоуровневые спецификации КСЗ были отображены последовательно в спецификации одного или нескольких нижних уровней, вплоть до реализации высокоуровневой спецификации КСЗ на языке программирования высокого уровня.

Регистрация. Совпадают с 4м и 3м классом.

Взаимодействие пользователя с КСЗ; Надежное восстановление; Целостность КСЗ. Совпадают с 3м классом.

Контроль модификации. При проектировании, построении и сопровождении СВТ должно быть предусмотрено упр-е конфигурацией СВТ, т.е. контроль изменений в формальной модели, спецификациях (разных уровней), документации, исходном тексте, версии в объектном коде. Должно обеспечиваться соответствие м/у документацией и текстами программ.

Контроль дистрибуции. Должен осуществляться контроль точности копирования в СВТ при изготовлении копий с образца.

Тестирование. Включают 3 класс. + должен тестироваться контроль дистрибуции.

Руководство для пользователя. Совпадают с 4м и 3м классом.

Руководство по КСЗ. Включают 3й класс. + должны быть представлены руководства по надежному восстановлению, по работе со ср-вами контроля модификации и дистрибуции.

Тестовая документация. Должно быть представлено описание тестов и испытаний, которым подвергалось СВТ, и его результатов.

Конструкторская (проектная) документация. Включает 3й класс. + должны быть описаны гарантии процесса проектирования и эквивалентность дискреционных и мандатных ПРД.

Требования к показателям первого класса защищенности

Дискреционный принцип контроля доступа; Мандатный принцип контроля доступа; Очистка памяти; Изоляция модулей; Маркировка документов; Защита ввода и вывода на отчуждаемый физический носитель инф; Сопоставление пользователя с устр-вом; И/ф и а/ф; Гарантии проектирования.Совпадают с 2м классом, + требуется верификация соответствия объектного кода тексту КСЗ на языке высокого уровня.

Регистрация; Взаимодействие пользователя с КСЗ; Надежное восстановление; Целостность КСЗ; Контроль модификации; Контроль дистрибуции; Тестирование; Руководство пользователя; Руководство по КСЗ; Тестовая документация: Совпадают с 2м классом.

Гарантии архитектуры.КСЗ должен гарантировать перехват диспетчером доступа всех обращений субъектов к объектам.

Конструкторская (проектная) документация. Включает 2 класс + разрабатывается описание гарантий процесса проектирования.

155) Регистрация и аудит – как механизмы обеспечения защищенности инф систем.

Регистрация является одним из механизмов обеспечения защищенности инф системы. Этот механизм основан на подотчетности системы обеспечения без-ти, фиксирует все события, касающиеся без-ти, такие как:

-вход и выход субъектов доступа; -запуск и завершение программ; -выдача печатных документов; -попытки доступа к защищаемым ресурсам; -изменение полномочий субъектов доступа; -изменение статуса объектов доступа и т. д.

Для сертифицируемых по без-ти инф систем список контролируемых событий определен рабочим док-том Гостехкомиссии РФ: «Положение о сертификации ср-в и систем ВТ и связи по требованиям БИ».

Эффективность системы без-ти принципиально повышается в случае дополнения механизма регистрации механизмом аудита. Это позволяет оперативно выявлять нарушения, определять слабые места в системе защиты, анализировать закономерности системы, оценивать работу пользователей и т. д.

Аудит — это анализ накопленной инф, проводимый оперативно в реальном времени или периодически (например, раз в день). Оперативный аудит с автоматическим реагированием на выявленные нештатные ситуации называется активным.

Реализация механизмов регистрации и аудита позволяет решать следующие задачи обеспечения ИБ:

-обеспечение подотчетности пользователей и админов;

-обеспечение возможности реконструкции последовательности событий;

-обнаружение попыток нарушений ИБ;

-предоставление инф для выявления и анализа проблем.

Рассматриваемые механизмы регистрации и аудита являются сильным психологическим ср-вом, напоминающим потенциальным нарушителям о неотвратимости наказания за несанкционированные действия, а пользователям — за возможные критические ошибки.

Практическими ср-вами регистрации и аудита являются:

-различные системные утилиты и прикладные программы;

-регистрационный (системный или контрольный) журнал.

Первое ср-во является обычно дополнением к мониторингу, осуществляемого админом системы. Комплексный подход к протоколированию и аудиту обеспечивается при использовании регистрационного журнала.

Регистрационный журнал — это хронологически упорядоченная совокупность записей результатов деят-ти субъектов системы, достаточная для восстановления, просмотра и анализа последовательности действий, окружающих или приводящих к выполнению операций, процедур или совершению событий при транзакции с целью контроля конечного результата.

Обнаружение попыток нарушений ИБ входит в ф-ции активного аудита, задачами которого является оперативное выявление подозрительной активности и предоставление ср-в для автоматического реагирования на нее.

Под подозрительной активностью понимается поведение пользователя или компонента инф системы, являющееся злоумышленным (в соответствии с заранее определенной политикой без-ти) или нетипичным (согласно принятым критериям).

Например, подсистема аудита, отслеживая процедуру входа (регистрации) пользователя в систему подсчитывает кол-во неудачных попыток входа. В случае превышения установленного порога таких попыток подсистема аудита формирует сигнал о блокировке учетной записи данного пользователя.