Безопасное взаимодействие через интернет (А. Теренин, "Финансовая газета. Региональный выпуск", N 5, февраль 2007 г.)

Безопасное взаимодействие через интернет

Защита корпоративной локальной вычислительной сети с использованием межсетевых экранов. Межсетевой экран (МЭ) представляет собой локальное (однокомпонентное) или функционально-распределенное средство (комплекс), предназначенное для контроля за информацией, поступающей в локальную вычислительную сеть (ЛВС), подключенную к Интернету, и/или выходящей из ЛВС, и обеспечивает защиту ЛВС посредством фильтрации информации, т.е. ее анализа по совокупности критериев и принятия решения о ее распространении в (из) ЛВС.

Существует и другое название данному средству защиты - брандмауэр. Брандмауэр включает ряд элементов, позволяющих реализовать политику безопасности, отслеживающих внесение изменений в структуру сети, объединяющих технические средства и организационные меры. Термин "система брандмауэра" используется для обозначения хостов или маршрутизаторов, составляющих брандмауэр.

Применение МЭ является одним из способов, который доказал свою высокую эффективность при повышении общей безопасности сети. Система МЭ - это набор систем и маршрутизаторов, добавленных в сеть в местах ее соединения с Интернетом, и политика доступа, определяющая правила работы системы.

Брандмауэр заставляет все сетевые соединения проходить через шлюз, где они могут быть проанализированы и оценены с точки зрения безопасности, и предоставляет другие средства, такие, как меры усиленной аутентификации вместо паролей. Кроме того, он может ограничить доступ к тем или иным системам либо доступ к Интернету от них, блокировать определенные сервисы TCP/IP, а также обеспечить другие меры безопасности.

Политики доступа бывают двух типов: жесткая ("запрещено все, что явно не разрешено") или мягкая ("разрешено все, что явно не запрещено"). На практике необходимо соблюдать баланс при применении данных политик: эффективно закрыть все уязвимости и при этом не ограничивать пользователей сети в необходимых им сервисах.

Хорошо сконфигурированный МЭ способен эффективно обеспечивать информационную безопасность. Самой простой политикой сетевого доступа, которая может быть реализована с помощью брандмауэра, является предоставление доступа от внутренних систем к внешним и запрет, полный или частичный, доступа от внешних к внутренним системам. Но использование брандмауэра не должно позволять администраторам забыть о необходимости обеспечения безопасности отдельных систем. Существует большое число средств для системных администраторов, позволяющих повысить безопасность систем и обеспечить улучшенные возможности по протоколированию. Такие средства могут проверять пароли, журналы с информацией о соединениях, обнаруживать изменения системных файлов или обеспечивать другие меры безопасности, которые помогут администраторам обнаружить деятельность злоумышленников и проникновения в их системы.

МЭ требует тонкой настройки для эффективного поддержания безопасности. Он устанавливается таким образом, чтобы доступ к информационным ресурсам корпоративной сети извне мог быть осуществлен только через него. На рис. 1 изображена типичная схема подключения МЭ.

"Рис. 1. Схема подключения МЭ"

Можно организовать так называемую демилитаризованную зону, собрав там информационные ресурсы, к которым разрешается предоставлять свободный доступ из Интернета. К этой зоне предъявляются повышенные требования к защищенности.

К основным функциям, реализуемым МЭ для обеспечения надежной защиты от атак из общедоступных сетей, относятся:

фильтрация поступающих из внешней сети пакетов в соответствии с заданной политикой безопасности;

возможности администрирования (задания и редактирования политики безопасности);

сигнализация о возможных атаках. В случае возникновения ситуации, явно свидетельствующей о начале атаки из Интернета, возможна выдача администратору безопасности сообщения о необходимости предпринять адекватные меры противодействия;

аудит событий безопасности. Должны быть зарегистрированы для дальнейшего анализа, как минимум, все заблокированные пакеты, так как каждый из них может быть признаком атаки.

Для оценки защищенности конкретных реализаций МЭ вводятся различные классификации. Например, ФСТЭК (бывшая Государственная техническая комиссия при Президенте Российской Федерации) сертифицирует МЭ по пяти классам защищенности.

С выходом Ipsec брандмауэры различных производителей получили возможность работать друг с другом.

Классические МЭ осуществляют фильтрацию на уровне сетевых/канальных пакетов распространенных протоколов сетевого взаимодействия (TCP/IP и др.). Современное развитие компьютерной техники и средств распределенного взаимодействия выдвигает все более высокие требования к уровню обеспечиваемой безопасности.

Фильтрацию на пакетном уровне можно обходить многочисленными способами (подмена адресов отправителя/получателя, туннелирование и т.п.), которые описываются в литературе, посвященной вопросам информационной безопасности вычислительных сетей. Современная защита осуществляется на прикладном уровне, на уровне приложений. Происходит анализ на деструктивные возможности исполняемого кода, используемых данных и т.д.

В настоящее время МЭ реализуются разнообразными способами - начиная от программного обеспечения и заканчивая программно-аппаратными распределенными комплексами. Это может быть одна программа, устанавливаемая на сервер вычислительной сети, или комплекс программного обеспечения и операционной системы на специально выделенной вычислительной машине, через которую осуществляется подключение к Интернету. Такая машина должна обеспечивать безопасное подключение и контроль трафика.

Все большее число производителей сетевой техники встраивают функции контроля безопасного функционирования сетевых устройств на аппаратном уровне. При этом предоставляются широкие возможности настройки и программирования сетевым администраторам и администраторам информационной безопасности. В качестве примера можно привести всемирно известных производителей Cisco, 3Com; любой запрос в Интернет позволит получить немалый список производителей, поддерживающих описанную концепцию. Локальная вычислительная сеть организации, а также подключение к сети Интернет строятся на основе таких сетевых устройств, как концентраторы, маршрутизаторы и т.п. Таким образом, безопасное функционирование корпоративной сети обеспечивают устройства, при помощи которых данная сеть строится.

Для повышения уровня защищенности подключения корпорации к сети Интернет организуется промежуточная область вычислительной сети, называемая демилитаризованной зоной (рис. 2). В эту зону выносятся вычислительные ресурсы и сервисы компании, которые должны быть в силу выполняемых бизнес-задач доступными внешним пользователям, клиентам, а также сотрудникам для удаленного доступа.

"Рис. 2. Схема организации демилитаризованной зоны"

Демилитаризованная зона отделяется от Интернета посредством МЭ, который контролирует входящий и исходящие трафики, а также разграничивает доступ к предоставляемым ресурсам. В свою очередь внутренняя локальная сеть компании отделена от демилитаризованной зоны еще одним МЭ. Подобная защита позволяет полностью предотвратить злоумышленный доступ из внешней недоверенной среды к внутренним ресурсам компании.

Все защитные, административные и профилактические меры направлены на поддержание информационной безопасности именно в демилитаризованной зоне. Все информационные риски также сосредоточены в этой выделенной области.

Защита распределенных корпоративных вычислительных сетей на основе технологии "Виртуальная частная сеть". Брандмауэр позволяет защитить локальную информацию компании от внешних посягательств. Однако возникает вопрос: как быть с информацией, которую необходимо передать во внешний мир, а потом принять на другом конце в целости и сохранности, что делать с данными, вышедшими из-под защиты экрана во внешнюю недоверенную сеть общего доступа, чтобы ее нельзя было перехватить или изменить. В этом случае необходима криптозащита информации, передаваемой по открытым каналам связи.

Виртуальные частные сети представляют собой следующий уровень защиты, основывающейся на использовании целого комплекса защит, в том числе и МЭ, на взаимодействующих сторонах.

Собственные физические каналы связи между подразделениями компании обеспечивают наилучший эффект - наибольшую пропускную способность и постоянное соединение. К сожалению, не многие компании могут позволить себе иметь связь по собственным каналам, особенно если их подразделения территориально расположены далеко (например, офис находится в Москве, а производственные объекты раскиданы по всей России).

Более дешевой альтернативой выделенных каналов является подключение всех филиалов компании через Интернет (рис. 3). В этом случае решаются многие проблемы: филиалы могут располагаться где угодно по всему миру; те офисы, которые нуждаются в выделенных каналах, могут иметь их, остальные - использовать телефонную связь для выхода в Интернет. Появление IP-телефонии, предоставляющей возможность телефонных разговоров через Интернет, делает такое решение еще более привлекательным.

"Рис. 3. Частная виртуальная сеть на базе Интернета"

При использовании технологии виртуальных частных сетей (VPN - Virtual Private Network) производится шифрование всего трафика, передаваемого между двумя сегментами корпоративной сети по открытому каналу, на уровне IP-пакетов. Шифрование пакетов происходит прозрачно (незаметно) для пользователей.

Во многих современных МЭ и некоторых маршрутизаторах реализована возможность построения виртуальных частных сетей. Применение этой технологии позволяет осуществлять объединение удаленных сегментов корпоративной сети в единое информационное пространство с минимальными затратами, так как общедоступные каналы связи являются наиболее дешевым способом соединения сегментов, а их единственная проблема - угроза безопасности передаваемой информации.

Сканирование ЛВС - поиск уязвимостей. Известный способ поиска уязвимостей вычислительной сети и предоставляемых сервисов злоумышленником может использоваться и администратором безопасности. Можно осуществлять сканирование локальных вычислительных сетей на наличие известных уязвимостей.

На начальном уровне проверки выполняются сканирование портов на их открытость/закрытость и подключение к ним. Затем производится тестирование обнаруженных брешей на противостояние известным угрозам, приводящим к успешным атакам на вычислительные ресурсы. Например, возможно ли при соединении с открытым портом заставлять программное обеспечение, обслуживающее этот порт, выполнять команды, которые подаются на него извне и преследуют злоумышленные действия.

Сканирование осуществляется и по другим направлениям. Оно помогает выявить недостатки в организации защиты сети, проконтролировать: все ли необходимые сервисы обновлены до последних версий, обеспечивающих максимальный уровень безопасности и не содержащих уязвимостей, которые выявлены для предыдущих версий; все ли патчи (заплатки) к существующим версиям программ установлены;

проверить правильность административных сетевых настроек и оценить возможность преодоления сетевой защиты, а также требуемые для этого время, вычислительные ресурсы и пропускной канал, которыми должен обладать злоумышленник.

Обнаружение атак. В последнее время активно развивается направление разработки программных и аппаратных комплексов, предназначенных для мониторинга работы вычислительной сети с целью обнаружения в ней нелегальных, несанкционированных или иных подозрительных действий. Любое отклонение от нормального функционирования сетевых интерфейсов и каждый известный сценарий атаки тщательно анализируются этой системой, а также регистрируются в специальных журналах для последующего ознакомления с развитиями событий сетевыми администраторами и администраторами (офицерами) безопасности.

Подобные системы снабжаются средствами сигнализации и уведомления ответственных лиц о любых попытках нарушения безопасного состояния информационной системы. Они локализуют место возникновения угрозы, характеризуют уровень критичности реализации данной угрозы и стадию, на которой находится развитие предполагаемой информационной атаки.

Заключение. В данной статье рассмотрена только одна сторона из многогранной проблемы обеспечения информационной безопасности вычислительных сетей - техническая. Кроме того, существуют организационные, административные, юридические и иные меры.

Необходимо иметь четко сформулированную комплексную политику безопасности и корпоративную культуру использования информационных ресурсов компании, а также распределить ответственность за любые противоправные действия на каждом из уровней доступа к информации и закрепить роли и ответственности каждого сотрудника в его трудовом соглашении с компанией.

Невозможно проконтролировать абсолютно все, что запрещено (действия пользователей или инструменты реализации угрозы). В этом нет необходимости. Нужны сдерживающие моральные, законодательные, организационные факторы, которые помогут держать действия пользователей системы в допустимых рамках.

Следует также отметить, что система информационной безопасности должна быть комплексной. Если руководство или администрация компании в статье, посвященной защите информации в корпоративных вычислительных системах, прочитает о новой технологии, которая, по заверениям ее авторов, является средством от всех бед, не стоит полагаться на нее, как на панацею. Ее поспешное внедрение может привести к снижению производительности всей системы и эффективности защиты, а также могут возникнуть неразрешимые проблемы совместимости новых средств с существующей корпоративной информационной средой.

Степень надежности и защиты, обеспечиваемой системой информационной безопасности, определяется уровнем защиты самого слабейшего составного звена. Хочется подчеркнуть еще раз, что данная проблема должна решаться комплексно и охватывать все возможные уязвимости и пути реализации угроз информационным ресурсам компании.

А. Теренин,

к.т.н, руководитель отдела тестирования GE Money Bank

"Финансовая газета. Региональный выпуск", N 5, февраль 2007 г.