[ «Организация комплексной системы мониторинга безопасности компьютерных сетей ...»
УЗБЕКСКОЕ АГЕНТСТВО СВЯЗИ И ИНФОРМАТИЗАЦИИ
ТАШКЕНТСКИЙ УНИВЕРСИТЕТ ИНФОРМАЦИОННЫХ
ТЕХНОЛОГИЙ
Кафедра “Информационная безопасность”
На правах рукописи
Миносян Сергей Радиевич
Организация комплексной системы мониторинга безопасности
компьютерных сетей Специальность: 5А523509
ДИССЕРТАЦИЯ
на соискание академической степени магистра по специальности “Информационная безопасность”Работа рассмотрена и
Научный руководитель допускается к защите д.т.н., академик Зав. Кафедрой ИБ Бекмуратов Т.Ф.
к.т.н., доцент Юсупов С.С.
_ _ _2012 г. _ _ г.
Ташкент –
ОГЛАВЛЕНИЕ
Введение……………………………………………………………………...ГЛАВА 1. ОБЩИЕ ПОНЯТИЯ ОРГАНИЗАЦИЯ КОМПЛЕКСНОЙ
СИСТЕМЫ МОНИТОРИНГА БЕЗОПАСНОСТИ КОМПЬЮТЕРНЫХ
СЕТЕЙ……………………………………………………………………….. 1.1 Основные цели обеспечения информационной безопасности в компьютерных сетях………………………………………………………… 1.2.Методы защиты компьютерных сетей…………………………………. 1.3.Применение методов и средств мониторинга для обеспечения безопасности компьютерных сетей………………………………………… Выводы по первой главе……………………………………………………ГЛАВА 2. СРАВНИТЕЛЬНЫЙ АНАЛИЗ ОРГАНИЗАЦИИ
КОМПЛЕКСНОЙ СИСТЕМЫ МОНИТОРИНГА БЕЗОПАСНОСТИ
КОМПЬЮТЕРНЫХ СЕТЕЙ2.1. Формальная модель защищенной компьютерной сети
2.2. Анализ аппаратно-программных средств предоставляющих услуг мониторинга защишенности корпоративных сетей.……………………… 2.3. Метод мониторинга безопасности при функционировании инфокоммуникационных систем…………………………………………… Выводы по второй главе…………………………………………………….
ГЛАВА 3. ОРГАНИЗАЦИЯ СИСТЕМЫ МОНИТОРИНГА
БЕЗОПАСНОСТИ КОМПЬЮТЕРНЫХ СЕТЕЙ………………………….. 3.1. Применение proxy-серверов для организации системы мониторинга безопасности на примере использующих Internet –ресурсов……………. 3.2. Алгоритм функционирования программы……………………………. 3.3. Структура программы………………………………………………….. Выводы по третьей главе……………………………………………………. ЗАКЛЮЧЕНИЕ…………………………………………
СПИСОК ЛИТЕРАТУРЫ
ПРИЛОЖЕНИЕ
Введение В Республике Узбекистан ускоренными темпами развивается национальная инфраструктура информационных технологий. На открытии международной конференции «Подготовка образованного и интеллектуально развитого поколения – как важнейшее условие устойчивого развития и модернизации страны» 2012 году Президента Республики Узбекистан Ислама Каримов отметил: «Важное место в реформировании образовательного процесса и подготовке высококвалифицированных кадров, востребованных на рынке труда, занимают высшие учебные заведения. В стенах этих вузов готовят бакалавров и магистров по таким востребованным на рынке труда специальностям, как машиностроение, нефтегазовое дело, информационные технологии, экономика и управление бизнесом, финансовый менеджмент, коммерческое право, и их выпускники получают, что очень важно для нас, дипломы, признаваемые во всем мире.» Это свидетельствует о том, что за годы независимости республики произошли кардинальные изменения в жизни общества, изменились цели и задачи, состоящие сегодня перед экономикой, телекоммуникационной отраслью, информационной индустрию.Актуальность темы диссертационной работы. Задача анализа защищенности компьютерных сетей на различных этапах их жизненного цикла, основными из которых являются этапы проектирования и эксплуатации, все чаще становится объектом обсуждения на специализированных конференциях, посвященных обеспечению информационной безопасности [10]. Такое пристальное внимание к данной задаче объясняется тем, что анализ защищенности необходим при контроле и мониторинге защищенности компьютерных сетей, при аттестации автоматизированных систем (компьютерных сетей) и сертификации средств вычислительной техники по требованиям действующих нормативных документов и требует обработки большого объема данных в условиях дефицита времени. Мониторинг корпоративной сети в целях обеспечения информационной безопасности.
Под мониторингом корпоративной сети обычно понимается технология наблюдения за ресурсами сети, генерации сигналов тревоги и выработки адекватных диагностических решений. Организация процедур мониторинга является одним из необходимых условий реализации комплексной политики безопасности. Решение комплексной проблемы организации мониторинга корпоративной сети подразделяется на выполнение ниже перечисленных взаимосвязанных задач:
декодирование и анализ сетевых пакетов;
мониторинг активного сетевого оборудования;
мониторинг состояния кабельной системы;
мониторинг состояния серверов и ответственных рабочих станций;
мониторинг приложений.
При анализе защищенности компьютерных сетей во внимание следует принимать все разновидности угроз, однако наибольшее внимание должно быть уделено тем из них, которые связаны с действиями человека, злонамеренными или иными [18]. Поэтому как естественные угрозы, в данной работе рассматриваются угрозы искусственного характера.
практических аспектов проблем обеспечения информационной безопасности, различных подходам к их решению, методам построение защищенных компьютерных сетей и систем посвящены многочисленные работы ученых, С.К.Ганиева и многих других. Однако, к настоящему времени вопросы выбора компьютерным сетям недостаточно проработаны.
Цель работы и задачи исследования. Основной целью диссертационной работы является повышение эффективности анализа защищенности компьютерных сетей на этапах проектирования и эксплуатации на основе разработки и использования моделей компьютерных атак, нарушителя, анализируемой компьютерной сети, оценки уровня защищенности и методики анализа защищенности компьютерных сетей.
Для достижения данной цели в диссертационной работе поставлены и решены следующие задачи:
1) Анализ существующих методов и средств анализа защищенности КС на этапах проектирования и эксплуатации для выделения их достоинств и недостатков, определения требований к ним;
2) Анализ современных методов и средств мониторинга систем безопасности;
Разработка алгоритма функционирования системы мониторинга безопасности корпоративных сетей;
4) Разработка программного средства для автоматизации анализа защищенности компьютерных сетей на этапах проектирования и эксплуатации, позволяющего оценить эффективность предложенной методики.
Объект и предмет исследования. Объектом исследования является информационная безопасность компьютерных сетей. Предметом исследования являются структурные методы мониторинга, модель мониторинга безопасности компьютерных сетей, алгоритм и программные средства защиты информации.
Основные положение выносимые на защиту:
проектирования и эксплуатации для выделения их достоинств и недостатков, определения требований к ним;
современных методы и средства мониторинга систем безопасности;
алгоритм функционирования системы мониторинга безопасности корпоративных сетей;
Научная новизна работы заключается в следующем:
Предложен метод мониторинга безопасности при функционировании инфокоммуникационной системы, что позволяет при анализе параметров мониторинга учитывать характеристики загрузки вычислительных ресурсов, параметров уязвимостей и защищенности.
безопасности на примере использования Internet-ресурсов, позволяющий получить статистические данные о сетевом трафике.
Научная и практическая значимость результатов исследования.
Научная значимость результатов диссертационной работы заключает в разработке метода мониторинга безопасности компьютерных сетей примере использования Internet-ресурсов, позволяющий получить статистические данные о сетевом трафике для повышение уровня защищенности.
Практическая значимость результатов исследования диссертационной работы заключается в том, что предложенные метод мониторинга выявляет уязвимые точки и повысить защищенность от несанкционированных воздействие и надежное функционирование компьютерных сетей.
Структура и объем диссертационной работы. Диссертационная работа объемом 109 машинописные страницы, содержит введение, три главы и заключение, список литературы, содержащий 17 наименований, 9 таблиц, рисунков и листинг программы. В приложениях приведен пример использования разработанного программного прототипа системы анализа защищенности.
ГЛАВА 1. ПРОБЛЕМЫ ОРГАНИЗАЦИИ КОМПЛЕКСНОЙ СИСТЕМЫ
МОНИТОРИНГА БЕЗОПАСНОСТИ КОМПЬЮТЕРНЫХ СЕТЕЙ.
1.1. Основные цели обеспечения информационной безопасности в Цели обеспечения информационной безопасности в компьютерных сетях могут меняться в зависимости от ситуации, но основными считаются следующие:целостность данных;
конфиденциальность данных;
доступность данных.
Рассмотрим более подробно каждую из них.
Целостность данных. Одна из основных целей сетевой безопасности гарантированность того, чтобы данные не были изменены, подменены или уничтожены. Целостность данных должна гарантировать их сохранность как в случае злонамеренных действий, так и случайностей. Обеспечение целостности данных является обычно одной из самых сложных задач сетевой безопасности.
безопасности является обеспечение конфиденциальности данных. Не все данные можно относить к конфиденциальной информации. Существует достаточно большое количество информации, которая должна быть доступна всем. Но даже в этом случае обеспечение целостности данных, особенно открытых, является основной задачей. К конфиденциальной информации можно отнести следующие данные:
Личная информация пользователей.
Учетные записи (имена и пароли).
Данные о кредитных картах.
Данные о разработках и различные внутренние документы.
Бухгалтерская информация.
Доступность данных. Третьей целью безопасности данных является их доступность. Бесполезно говорить о безопасности данных, если пользователь не может работать с ними из-за их недоступности. Вот приблизительный список ресурсов, которые обычно должны быть "доступны" в локальной сети:
Рабочие станции.
Данные пользователей.
Любые критические данные, необходимые для работы.
Рассмотрим угрозы и препятствия, стоящие на пути к безопасности сети.
Все их можно разделить на две большие группы: технические угрозы и человеческий фактор.
Технические угрозы:
Ошибки в программном обеспечении.
Различные DoS- и DDoS-атаки.
Компьютерные вирусы, черви, троянские кони.
("снифферы").
Технические средства съема информации.
Ошибки в программном обеcпечении. Самое узкое место любой сети.
Программное обеспечение серверов, рабочих станций, маршрутизаторов и т. д.
написано людьми, следовательно, оно практически всегда содержит ошибки.
Чем выше сложность подобного ПО, тем больше вероятность обнаружения в нем ошибок и уязвимостей. Большинство из них не представляет никакой опасности, некоторые же могут привести к трагическим последствиям, таким, как получение злоумышленником контроля над сервером, неработоспособность сервера, несанкционированное использование ресурсов (хранение ненужных данных на сервере, использование в качестве плацдарма для атаки и т.п.).
Большинство таких уязвимостей устраняется с помощью пакетов обновлений, регулярно выпускаемых производителем ПО. Своевременная установка таких обновлений является необходимым условием безопасности сети.
DoS- и DDoS-атаки. Denial Of Service (отказ в обслуживании) - особый тип атак, направленный на выведение сети или сервера из работоспособного состояния. При DoS-атаках могут использоваться ошибки в программном обеспечении или легитимные операции, но в больших масштабах (например, посылка огромного количества электронной почты). Новый тип атак DDoS (Distributed Denial Of Service) отличается от предыдущего наличием огромного количества компьютеров, расположенных в большой географической зоне.
Такие атаки просто перегружают канал трафиком и мешают прохождению, а зачастую и полностью блокируют передачу по нему полезной информации.
Особенно актуально это для компаний, занимающихся каким-либо onlineбизнесом, например, торговлей через Internet.
Компьютерные вирусы, троянские кони. Вирусы - старая категория опасностей, которая в последнее время в чистом виде практически не встречается. В связи с активным применением сетевых технологий для передачи данных вирусы все более тесно интегрируются с троянскими компонентами и сетевыми червями. В настоящее время компьютерный вирус использует для своего распространения либо электронную почту, либо уязвимости в ПО. А часто и то, и другое. Теперь на первое место вместо деструктивных функций вышли функции удаленного управления, похищения информации и использования зараженной системы в качестве плацдарма для дальнейшего распространения. Все чаще зараженная машина становится активным участником DDoS-атак. Методов борьбы достаточно много, одним из них является все та же своевременная установка обновлений.
Анализаторы протоколов и "снифферы". В эту группу входят средства перехвата передаваемых по сети данных. Такие средства могут быть как аппаратными, так и программными. Обычно данные передаются по сети в открытом виде, что позволяет злоумышленнику внутри локальной сети перехватить их. Некоторые протоколы работы с сетью (POPS, FTP) не используют шифрование паролей, что позволяет злоумышленнику перехватить их и использовать самому. При передаче данных по глобальным сетям эта проблема встает наиболее остро. По возможности следует ограничить доступ к сети неавторизированным пользователям и случайным людям.
Технические средства съема информации. Сюда можно отнести такие средства, как клавиатурные жучки, различные мини-камеры, звукозаписывающие устройства и т.д. Данная группа используется в повседневной жизни намного реже вышеперечисленных, так как, кроме наличия спецтехники, требует доступа к сети и ее составляющим.
Человеческий фактор:
Уволенные или недовольные сотрудники.
Промышленный шпионаж.
Низкая квалификация.
Уволенные и недовольные сотрудники. Данная группа людей наиболее опасна, так как многие из работающих сотрудников могут иметь разрешенный доступ к конфиденциальной информации. Особенную группу составляют системные администраторы, зачаcтую недовольные своим материальным положением или несогласные с увольнением, они оставляют "черные ходы" для последующей возможности злонамеренного использования ресурсов, похищения конфиденциальной информации и т. д.
Промышленный шпионаж. Это самая сложная категория. Если ваши данные интересны кому-либо, то этот кто-то найдет способы достать их. Взлом хорошо защищенной сети - не самый простой вариант. Очень может статься, что уборщица "тетя Глаша", моющая под столом и ругающаяся на непонятный ящик с проводами, может оказаться хакером весьма высокого класса.
Халатность. Самая обширная категория злоупотреблений: начиная с не установленных вовремя обновлений, неизмененных настроек "по умолчанию" и заканчивая несанкционированными модемами для выхода в Internet, - в результате чего злоумышленники получают открытый доступ в хорошо защищенную сеть.
Низкая квалификация. Часто низкая квалификация не позволяет пользователю понять, с чем он имеет дело; из-за этого даже хорошие программы защиты становятся настоящей морокой системного администратора, и он вынужден надеяться только на защиту периметра.
Большинство пользователей не понимают реальной угрозы от запуска исполняемых файлов и скриптов и считают, что исполняемые файлы -только файлы с расширением "ехе". Низкая квалификация не позволяет также определить, какая информация является действительно конфиденциальной, а какую можно разглашать. В крупных компаниях часто можно позвонить пользователю и, представившись администратором, узнать у него учетные данные для входа в сеть. Выход только один -обучение пользователей, создание соответствующих документов и повышение квалификации.
Согласно статистике потерь, которые несут организации от различных компьютерных преступлений, львиную долю занимают потери от преступлений, совершаемых собственными нечистоплотными сотрудниками.
Однако в последнее время наблюдается явная тенденция к увеличению потерь от внешних злоумышленников. В любом случае необходимо обеспечить защиту как от нелояльного персонала, так и от способных проникнуть в вашу сеть хакеров. Только комплексный подход к защите информации может внушить уверенность в ее безопасности.
Однако в связи с ограниченным объемом данной статьи рассмотрим только основные из технических методов защиты сетей и циркулирующей по ним информации, а именно - криптографические алгоритмы и их применение в данной сфере.
Защита данных от внутренних угроз. Для защиты циркулирующей в локальной сети информации можно применить следующие криптографические методы:
шифрование информации;
электронную цифровую подпись (ЭЦП).
Шифрование. Шифрование информации помогает защитить ее конфиденциальность, т.е. обеспечивает невозможность несанкционированного ознакомления с ней. Шифрование - это процесс преобразования открытой информации в закрытую, зашифрованную (что называется "зашифрование") и наоборот ("расшифрование"). Это преобразование выполняется по строгим математическим алгоритмам; помимо собственно данных в преобразовании также участвует дополнительный элемент - "ключ". Иными словами, ключ представляет собой уникальный элемент, позволяющий зашифровать информацию так, что получить открытую информацию из зашифрованной можно только определенному пользователю или группе пользователей.
Шифрование можно выразить следующими формулами:
C=Ek1 (M) - зашифрование, M"=Dk2(C) - расшифрование.
Функция Е выполняет зашифрование информации, функция D – расшифрование. В том случае, если ключ k2 соответствует ключу k1, примененному при зашифровании, удается получить открытую информацию, т.е. получить соответствие М" = М.
При отсутствии же правильного ключа k2 получить исходное сообщение практически невозможно.
По виду соответствия ключей k1 и k2 алгоритмы шифрования разделяются на две категории:
расшифрования информации используется один и тот же ключ. Это означает, что пользователи, обменивающиеся зашифрованной информацией, должны иметь один и тот же ключ. Более безопасный вариант - существует уникальный ключ шифрования для каждой пары пользователей, который неизвестен остальным. Ключ симметричного шифрования должен храниться в секрете: его компрометация (утеря или хищение) повлечет за собой раскрытие всей зашифрованной данным ключом информации.
2) Асимметричное шифрование. Ключ k1- в данном случае называется "открытым", а ключ k2 - "секретным". Открытый ключ вычисляется из секретного различными способами (зависит от конкретного алгоритма шифрования). Обратное же вычисление k2 из k1 является практически невозможным. Смысл асимметричного шифрования состоит в том, что ключ k хранится в секрете у его владельца и не должен быть известен никому; ключ k1, наоборот, распространяется всем пользователям, желающим отправлять зашифрованные сообщения владельцу ключа k2; любой из них может зашифровать информацию на ключе k1, расшифровать же ее может только обладатель секретного ключа k2.
Оба ключа: ключ симметричного и секретный ключ асимметричного шифрования должны быть абсолютно случайными - в противном случае злоумышленник теоретически имеет возможность спрогнозировать значение определенного ключа. Поэтому для генерации ключей обычно используют датчики случайных чисел (ДСЧ), лучше всего - аппаратные.
Электронная цифровая подпись (ЭЦП). ЭЦП позволяет гарантировать целостность и авторство информации (Рис.1.2). Как видно из схемы, ЭЦП также использует криптографические ключи: секретный и открытый. Открытый ключ вычисляется из секретного по достаточно легкой формуле, например:
у=ах mod p (где х - секретный ключ, у - открытый ключ, а и р- параметры алгоритма ЭЦП), обратное же вычисление весьма трудоемко и считается неосуществимым за приемлемое время при современных вычислительных мощностях.
-------------------------------------------------------------------------------------------Использование Схема распространения ключей ЭЦП аналогична схеме асимметричного шифрования: секретный ключ должен оставаться у его владельца, открытый же распространяется всем пользователям, желающим проверять ЭЦП владельца секретного ключа. Необходимо обеспечивать недоступность своего секретного ключа, ибо злоумышленник легко может подделать ЭЦП любого пользователя, получив доступ к его секретному ключу.
Предварительно информацию обрабатывают функцией хэширования, цель которой - выработка последовательности определенной длины, однозначно последовательность называется "хэш", основное свойство хэша таково, что исключительно сложно модифицировать информацию так, чтобы ее хэш остался неизменным.
вычисляется ЭЦП. Как правило, ЭЦП отправляется вместе с подписанной информацией (ЭЦП файла чаще всего просто помещают в конец файла перед его отправкой куда-либо по сети). Сама ЭЦП, как и хэш, является бинарной последовательностью фиксированного размера. Однако, помимо ЭЦП, к информации обычно добавляется также ряд служебных полей, прежде всего, идентификационная информация о пользователе, поставившем ЭЦП; причем, данные поля участвуют в расчете хэша.
Естественно, в случае неверной ЭЦП выводится соответствующая информация, содержащая причину признания ЭЦП неверной. При проверке ЭЦП также вычисляется хэш информации; если он не совпадает с полученным при вычислении ЭЦП (что может означать попытку модификации информации злоумышленником), ЭЦП будет неверна.
Существует и более простой способ обеспечения целостности информации - вычисление имитоприставки. Имитоприставка - это криптографическая контрольная сумма информации, вычисляемая с использованием ключа шифрования. Для вычисления имитоприставки используется, в частности, один из режимов работы алгоритма ГОСТ 28147-89, позволяющий получить в качестве имитоприставки 32-битную последовательность из информации любого размера. Аналогично хэшу информации имитоприставку чрезвычайно сложно подделать. Использование имитоприставок более удобно, чем применение ЭЦП: во-первых, 4 байта информации намного проще добавить, например, к пересылаемому по сети IP-пакету, чем большую структуру ЭЦП, во-вторых, вычисление имитоприставки существенно менее ресурсоемкая используются такие сложные операции, как возведение 512-битного числа в степень, показателем которой является 256-битное число, что требует достаточно много вычислений. Имитоприставку нельзя использовать для контроля авторства сообщения, но этого во многих случаях и не требуется.
безопасной передачи по сети каких-либо файлов, их достаточно подписать и зашифровать. На Рис.1.3 представлена технология специализированного архивирования, обеспечивающая комплексную защиту файлов перед отправкой по сети.
Рис.1.3. Технология специализированного архивирования Прежде всего, файлы подписываются секретным ключом отправителя, затем сжимаются для более быстрой передачи. Подписанные и сжатые файлы шифруются на случайном ключе сессии, который нужен только для зашифрования этой порции файлов -ключ берется с датчика случайных чисел, который обязан присутствовать в любом шифраторе. После этого к сформированному таким образом спецархиву добавляется заголовок, содержащий служебную информацию.
Заголовок позволяет расшифровать данные при получении. Для этого он содержит ключ сессии в зашифрованном виде. После зашифрования данных и записи их в архив, ключ сессии, в свою очередь, зашифровывается на ключе парной связи (DH-ключ), который вычисляется динамически из секретного ключа отправителя файлов и открытого ключа получателя по алгоритму Диффи-Хеллмана. Ключи парной связи различны для каждой пары "отправитель-получатель". Тот же самый ключ парной связи может быть вычислен только тем получателем, открытый ключ которого участвовал в вычислении ключа парной связи на стороне отправителя. Получатель для вычисления ключа парной связи использует свой секретный ключ и открытый ключ отправителя. Алгоритм Диффи-Хеллмана позволяет при этом получить тот же ключ, который сформировал отправитель из своего секретного ключа и открытого ключа получателя.
Таким образом, заголовок содержит копии ключа сессии (по количеству получателей), каждая их которых зашифрована на ключе парной связи отправителя для определенного получателя.
После получения архива получатель вычисляет ключ парной связи, затем расшифровывает ключ сессии, и наконец, расшифровывает собственно архив.
После расшифрования информация автоматически разжимается. В последнюю очередь проверяется ЭЦП каждого файла.
Защита от внешних угроз. Методов защиты от внешних угроз придумано немало - найдено противодействие практически против всех опасностей, перечисленных в первой части данной статьи. Единственная проблема, которой пока не найдено адекватного решения, - DDoS-атаки. Рассмотрим технологию виртуальных частных сетей (VPN - Virtual Private Network), позволяющую с помощью криптографических методов как защитить информацию, передаваемую через Internet, так и пресечь несанкционированный доступ в локальную сеть снаружи.
Виртуальные частные сети. На наш взгляд, технология VPN является весьма эффективной защитой, ее повсеместное внедрение - только вопрос времени. Доказательством этого является хотя бы внедрение поддержки VPN в последние операционные системы фирмы Microsoft - начиная с Windows 2000.
Суть VPN состоит в следующем (см. Рис.1.4.):
На все компьютеры, имеющие выход в Internet (вместо Internet может быть и любая другая сеть общего пользования), ставится средство, реализующее VPN. Такое средство обычно называют VPN-агентом. VPN-агенты обязательно должны быть установлены на все выходы в глобальную сеть.
передаваемую через них в Internet, а также контролируют целостность информации с помощью имитоприставок.
Сеть Как известно, передаваемая в Internet информация представляет собой множество пакетов протокола IP, на которые она разбивается перед отправкой и может многократно переразбиваться по дороге. VPN-агенты обрабатывают именно IP-пакеты, ниже описана технология их работы.
1. Перед отправкой IP-пакета VPN-агент выполняет следующее:
Анализируется IP-адрес получателя пакета. В зависимости от адреса и другой информации (см. ниже) выбираются алгоритмы защиты данного пакета (VPN-агенты могут, поддерживать одновременно несколько алгоритмов шифрования и контроля целостности) и криптографические ключи. Пакет может и вовсе быть отброшен, если в настройках VPN-агента такой получатель не значится. Вычисляется и добавляется в пакет его имитоприставка.
Пакет шифруется (целиком, включая заголовок IP-пакета, содержащий служебную информацию).
Формируется новый заголовок пакета, где вместо адреса получателя указывается адрес его VPN-агента. Это называется инкапсуляцией пакета. При использовании инкапсуляции обмен данными между двумя локальными сетями снаружи представляется как обмен между двумя компьютерами, на которых установлены VPN-агенты. Всякая полезная для внешней атаки информация, например, внутренние IP-адреса сети, в этом случае недоступна.
2. При получении IP-пакета выполняются обратные действия:
Из заголовка пакета получается информация о VPN-агенте отправителя пакета. Если такой отправитель не входит в число разрешенных в настройках, то пакет отбрасывается. То же самое происходит при приеме пакета с намеренно или случайно поврежденным заголовком.
Согласно настройкам выбираются криптографические алгоритмы и ключи.
Пакет расшифровывается, затем проверяется его целостность. Пакеты с нарушенной целостностью также отбрасываются.
В завершение обработки пакет в его исходном виде отправляется настоящему адресату по локальной сети.
Все перечисленные операции выполняются автоматически, работа VPNагентов является незаметной для пользователей. Сложной является только настройка VPN-агентов, которая может быть выполнена только очень опытным пользователем. VPN-агент может находиться непосредственно на защищаемом компьютере (что особенно полезно для мобильных пользователей). В этом случае он защищает обмен данными только одного компьютера - на котором установлен.
VPN-агенты локальными сетями или компьютерами (к таким каналам обычно применяется термин "туннель", а технология их создания называется "туннелировани-ем").
Вся информация идет по туннелю только в зашифрованном виде. Кстати, пользователи VPN при обращении к компьютерам из удаленных локальных сетей могут и не знать, что эти компьютеры реально находятся, может быть, в другом городе, - разница между удаленными и локальными компьютерами в данном случае состоит только в скорости передачи данных.
Как видно из описания действий VPN-агентов, часть IP-пакетов ими отбрасывается. Действительно, VPN-агенты фильтруют пакеты согласно своим настройкам (совокупность настроек VPN-агента называется "Политикой безопасности"). То есть VPN-агент выполняет два основных действия: создание туннелей и фильтрация пакетов (см.Рис. 1.5).
IP-пакет отбрасывается или направляется в конкретный туннель в зависимости от значений следующих его характеристик:
IP-адрес источника (для исходящего пакета - адрес конкретного компьютера защищаемой сети).
IP-адрес назначения.
Протокол более верхнего уровня, которому принадлежит данный пакет (например, TCP или UDP для транспортного уровня).
Номер порта, с которого или на который отправлен пакет (например, 1080).
1.3. Методы мониторинга и обеспечения безопасности для поддержания В начале развития компьютерных сетей считалось, что эффективная защита может быть обеспечена применением традиционных услуг безопасности (паролированием и разграничением доступа, криптографией и т.д.) и, для сетей, имеющих выход в internet, использованием межсетевых экранов. Сегодня общепринятым является подход, включающий постоянный (24 часа в день, 7 дней в неделю) контроль за трафиком корпоративной сети на предмет обнаружения вторжений (мониторинг сети) и периодическое проведение анализа сети на наличие уязвимостей (аудит сети).
Задача контроля трафика решается при помощи так называемых систем обнаружения вторжения (intrusion detection systems, ids). ids, в зависимости от технологий защиты, которые они реализуют, бывают двух видов: ids сетевого уровня (сети) и ids системного уровня (хоста).
Для решения задачи анализа сети на наличие уязвимостей должен существовать инструмент, позволяющий выявлять и анализировать уязвимости сети и выдавать рекомендации по их устранению. такие инструменты есть и называются они средствами анализа защищенности (за рубежом эти средства называют сканирующим обеспечением, или просто сканерами, а также сканерами безопасности).
Сегодня ведущие разработчики соответствующего программного обеспечения все чаще реализуют сетевой мониторинг и аудит в едином изделии («в одном флаконе»).
Мониторинг корпоративной сети в целях обеспечения информационной безопасности. Под мониторингом корпоративной сети обычно понимается технология наблюдения за ресурсами сети, генерации сигналов тревоги и выработки адекватных диагностических решений. организация процедур мониторинга является одним из необходимых условий реализации комплексной политики безопасности. решение комплексной проблемы организации мониторинга корпоративной сети подразделяется на выполнение ниже перечисленных взаимосвязанных задач:
декодирование и анализ сетевых пакетов;
мониторинг активного сетевого оборудования;
мониторинг состояния кабельной системы;
мониторинг состояния серверов и ответственных рабочих станций;
мониторинг приложений.
Организация сетевого мониторинга является очень сложной задачей в случае гетерогенных сетей и существенно проще в случае однородных сетей.
Существуют два подхода к организации мониторинга :
установка комплексной системы (единое программно-аппратное решение;
более дорогостоящий вариант);
организация мониторинга на основе множества продуктов.
В основе мониторинга безопасности лежит анализ сетевого трафика. в частном случае задача анализа трафика решается на основе применения сетевых анализаторов (анализаторов протоколов).
Анализаторы протоколов – программные или программно-аппаратные изделия для изучения особенностей трафика (вплоть до содержимого пакетов) в конкретном сегменте сети. программно-аппаратные решения подразумевают коммутационными портами и датчиками. стоимость подобных изделий – десятки тясяч долларов. стоимость программных решений на порядок дешевле, но они требуют выделения сетевого компьютера под соответствующие цели.
декодирующее ядро (engine). этот модуль осуществляет декодирование захваченных пакетов с точностью до значений полей. особенности процесса декодирования определяются точностью настройки фильтра, стоящего на входе. в некоторых анализаторах реализована достаточно гибкая система фильтрации (создание фильтров отбирающих из трафика необходимые пакеты с точностью до поля) - анализатор lansleuth. в других анализаторах осуществляется фильтрация трафика с точностью до протокола (анализатор etherpeak). информация, вырабатываемая модулем engine является основным анализируемым информационным ресурсом. генератор сигналов тревоги как правило обладает средствами настройки на сигнатуры возможных атак и неисправностей. в различных моделях анализаторов протоколов этот модуль способен вырабатывать звуковой сигнал а также посылать сообщения на пейджер и факс, используя при этом возможности анализируемой сети.
жизнеспособности сети является существенной компонентой некоторых типов анализаторов протоколов. это так называемая группа показателей - network vital signs. этот механизм неплохо реализован в анализаторах семейства linkviewpro.
Анализаторы протоколов снабжаются все более развитой системой фильтров и генераторами сигналов тревоги, позволяющими выдавать диагностические сообщения на сетевые устройства, пейджер или факс, безопасности. но всех этих функций явно недостаточно для полномасштабной реализации политики безопасности.
Активное изучение применения анализаторов протоколов как средства предотвращения возможных атак на информационные ресурсы сети привело к появлению принципиально нового класса систем — систем мониторинга безопасности. любая такая система обязательно включает в свой состав декодирующий анализатор протоколов и библиотеку сигнатур типовых атак. на рис. 4 изображена обобщенная схема системы мониторинга безопасности.
Центральным элементом системы мониторинга безопасности является декодирующий анализатор протоколов. каждый декодированный пакет сравнивается с образцами атак из библиотеки сигнатур и в случае выявления сходства генерируется сигнал тревоги. В отличие от самых совершенных анализаторов протоколов, система мониторинга безопасности обладает широким спектром специализированных агентов, размещаемых на различных сетевых устройствах. существуют агенты для маршрутизаторов, для серверов, для межсетевых экранов, для систем управления базами данных и других ответственных приложений. Каждый агент обладает достаточно сложной структурой и снабжается настраиваемым фильтром, позволяющим отбирать из магистрали подозрительные с точки зрения безопасности пакеты. Системы мониторинга безопасности снабжены, как правило, средствами формализации правил политики безопасности, которые совместно с библиотеками сигнатур атак являются фундаментом процесса идентификации возможных атак.
Система мониторинга безопасности может применяться в комплексе с межсетевым экраном, выполняя при этом следующие основные задачи:
защита от внешних угроз посредством контроля трафика, проходящего между внешней и внутренней сетями. при этом система мониторинга безопасности дополняет возможности межсетевого экрана в части фильтрации трафика.
защита от внутренних угроз посредством контроля внутреннего трафика.
Система мониторинга безопасности обеспечивает выявление следующих типов «подозрительной» сетевой активности:
атаки типа «отказ в услугах».
попытки получения несанкционированного доступа.
«подозрительные» приложения.
Система мониторинга безопасности обеспечивает:
пассивную защиту – при обнаружении запрещенной сетевой активности система фиксирует действия в регистрационном журнале и отправляет сообщение на консоль администратора, e-mail сообщение, сообщение на пейджер;
Активную защиту - при обнаружении запрещенной сетевой активности система сбрасывает соединение с адресом, являющимся источником угрозы и модифицирует правила фильтрации межсетевого экрана (маршрутизатора) таким образом, чтобы запретить доступ с этого адреса.
Кроме того, возможна адаптация правил обнаружения запрещенной сетевой активности в соответствии с правилами политики информационной безопасности, принятыми на предприятии.
Существующие системы мониторинга способны функционировать в локальных сетях 10-100-1000 mbps. При этом наибольшими возможностями в части масштабируемости обладают системы мониторинга, использующие в качестве модулей сбора информации аппаратные реализации анализаторов трафика – в качестве примера можно привести систему cybercop, в которой применяются анализаторы sniffer фирмы network general. Причем, чрезвычайно важным с точки зрения производительности сети является то обстоятельство, что система мониторинга безопасности, в отличие от межсетевого экрана, не снижает пропускной способности сети, поскольку производит лишь наблюдение трафика, а не маршрутизацию, как это имеет место в случае использования межсетевого экрана.
Нельзя полагаться лишь на внимание системного администратора;
необходимы автоматические и непрерывно действующие средства контроля состояния сети и своевременного оповещения о возможных проблемах. Любая корпоративная компьютерная сеть, даже небольшая, требует постоянного внимания к себе. Как бы хорошо она ни была настроена, насколько бы надежное ПО не было установлено на серверах и клиентских компьютерах – нельзя полагаться лишь на внимание системного администратора; необходимы автоматические и непрерывно действующие средства контроля состояния сети и своевременного оповещения о возможных проблемах. Даже случайные сбои аппаратного или программного обеспечения могут привести к весьма неприятным последствиям. Существенное замедления функционирования сетевых сервисов и служб – еще наименее неприятное из них (хотя в худших случаях и может оставаться незамеченным в течение длительных промежутков времени). Гораздо хуже, когда критично важные службы или приложения полностью прекращают функционирование, и это остается незамеченным в течение длительного времени. Типы же «критичных» служб могут быть весьма разнообразны (и, соответственно, требовать различных методов мониторинга).
От корректной работы веб-серверов и серверов БД может зависеть работоспособность внутрикорпоративных приложений и важных внешних сервисов для клиентов; сбои и нарушения работы маршрутизаторов могут нарушать связь между различными частями корпорации и ее филиалами;
серверы внутренней почты и сетевых мессенджеров, автоматических обновлений и резервного копирования, принт-серверы – любые из этих элементов могут страдать от программных и аппаратных сбоев.
И все же, непреднамеренные отказы оборудования и ПО – в большинстве случаев, разовые и легко исправляемые ситуации. Куда больше вреда может принести сознательные вредоносные действия изнутри или извне сети.
Злоумышленники, обнаружившие «дыру» в безопасности системы, могут произвести множество деструктивных действий – начиная от простого вывода из строя серверов (что, как правило, легко обнаруживается и исправляется), и заканчивая заражением вирусами (последствия непредсказуемы) и кражей конфиденциальных данных (последствия плачевны).
аналогичных), в конечном итоге, ведут к серьезным материальным убыткам:
нарушению схем взаимодействия между сотрудниками, безвозвратной утере данных, потере доверия клиентов, разглашению секретных сведений и т.п.
Поскольку полностью исключить возможность отказа или некорректной работы техники невозможно, решение заключается в том, чтобы обнаруживать проблемы на наиболее ранних стадиях, и получать о них наиболее подробную информацию. Для этого, как правило, применяется различное ПО мониторинга и контроля сети, которое способно как своевременно оповещать технических специалистов об обнаруженной проблеме, так и накапливать статистические данные о стабильности и других параметрах работы серверов, сервисов и служб, доступные для подробного анализа.
Ниже мы рассматриваем базовые методы мониторинга работы сети и контроля ее защищенности.
Методы мониторинга состояния сети. Выбор способов и объектов мониторинга сети зависит от множества факторов – конфигурации сети, установленного на них ПО, возможностей ПО, используемого для мониторинга и т.п. На самом общем уровне можно говорить о таких элементах как:
проверка физической доступности оборудования;
функционирования сети: производительности, загрузки и т.п.;
проверка параметров, специфичных для сервисов и служб данного конкретного окружения (наличие некоторых значений в таблицах БД, содержимое лог-файлов).
доступности оборудования (которая может быть нарушена в результате отключения самого оборудования либо отказе каналов связи). Как минимум, это означает проверку доступности по ICMP-протоколу (ping), причем желательно проверять не только факт наличия ответа, но и время прохождения сигнала, и количество потерянных запросов: аномальные значения этих величин, как правило, сигнализируют о серьезных проблемах в конфигурации сети. Некоторые из этих проблем легко отследить при помощи трассировки маршрута (traceroute) – ее также можно автоматизировать при наличии «эталонных маршрутов».
Следующий этап – проверка принципиальной работоспособности соответствующему порту сервера, на котором должна быть запущена служба, и, возможно, выполнение тестового запроса (например, аутентификации на почтовом сервере по протоколу SMTP или POP или запрос тестовой страницы от веб-сервера).
В большинстве случаев, желательно проверять не только факт ответа службы/сервиса, но и задержки – впрочем, то относится уже к следующей по важности задаче: проверке нагрузки. Помимо времени отклика устройств и служб для различных типов серверов существуют другие принципиально важные проверки: память и загруженность процессора (веб-сервер, сервер БД), место на диске (файл-сервер), и более специфические – например, статус принтеров у сервера печати.
Способы проверки этих величин варьируются, но один из основных, доступных почти всегда – проверка по SNMP-протоколу. Помимо этого, можно использовать специфические средства, предоставляемые ОС проверяемого оборудования: к примеру, современные серверные версии ОС Windows на производительности (performance counters), из которых можно «считать»
довольно подробную информацию о состоянии компьютера.
Наконец, многие окружения требуют специфических проверок – запросов к БД, контролирующих работу некоего приложения; проверка файлов отчетов или значений настроек; отслеживание наличия некоторого файла (например, создаваемого при «падении» системы).
Контроль безопасности сети. Безопасность компьютерной сети (в смысле защищенности ее от вредоносных действий) обеспечивается двумя методами:
аудитом и контролем. Аудит безопасности – проверка настройки сети (открытых портов, доступности «внутренних» приложений извне, надежности аутентификации пользователей); методы и средства аудита выходят за рамки данной статьи.
Сущность контроля безопасности состоит в выявлении аномальных событий в функционировании сети. Предполагается, что базовые методы обеспечения и контроля безопасности (аутентификация, фильтрация запросов по адресу клиента, защита от перегрузок и т.п.) встроена во все серверное ПО.
Однако, во-первых, не всегда можно доверять этому предположению; вовторых, не всегда такой защиты достаточно. Для полноценной уверенности в безопасности сети в большинстве случаев необходимо использовать дополнительные, внешние средства. При этом проверяют, как правило, следующие параметры:
нагрузку на серверное ПО и «железо»: аномально высокие уровни загрузки процессора, внезапное сокращение свободного места на дисках, резкое увеличение сетевого трафика зачастую являются признаками сетевой атаки;
журналы и отчеты на наличие ошибок: отдельные сообщения об ошибках в лог-файлах программ-серверов или журнале событий серверной ОС допустимы, но накопление и анализ таких сообщений помогает выявить неожиданно частые или систематические отказы;
«защищенность» которых тяжело проконтролировать напрямую (ненадежное стороннее ПО, изменившаяся/непроверенная конфигурация сети):
нежелательные изменения прав доступа к некоторому ресурсу или содержимого файла может свидетельствовать о проникновении «врага».
Во многих случаях аномалии, замеченные при мониторинге и контроле, требуют немедленной реакции технических специалистов, соответственно, средство мониторинга сети должно иметь широкие возможности для пересылки оповещений (пересылка сообщений в локальной сети, электронной почтой, Интернет-пейджером). Изменения других контролируемых параметров реакции не требуют, но должны быть учтены для последующего анализа. Зачастую же необходимо и то, и другое – непрерывный сбор статистики плюс немедленная реакции на «выбросы»: например, отмечать и накапливать все случаи загрузки процессора более 80%, а при загрузке более 95% – немедленно информировать специалистов. Полноценный мониторинговый софт должен позволять организовывать все эти (и более сложные) сценарии.1.2. Аудит и мониторинг безопасности Для организаций, компьютерные сети которых насчитывают не один десяток компьютеров, функционирующих под управлением различных ОС, на первое место выступает задача управления множеством разнообразных защитных механизмов в таких гетерогенных корпоративных сетях. Сложность сетевой инфрастуктуры, многообразие данных и приложений приводят к тому, что при реализации системы информационной безопасности за пределами внимания администратора безопасности могут остаться многие угрозы.
Поэтому необходимо осуществление регулярного аудита и постоянного мониторинга безопасности ИС.
Аудит безопасности информационной системы. Понятие аудита безопасности. Аудит представляет собой независимую экспертизу отдельных областей функционирования предприятия. Одной из составляющих аудита предприятия является аудит безопасности его ИС.
В настоящее время актуальность аудита безопасности ИС резко возросла.
Это связано с увеличением зависимости организаций от информации и ИС.
Возросла уязвимость ИС за счет повышения сложности элементов ИС, появления новых технологий передачи и хранения данных, увеличения объема ПО. Расширился спектр угроз для ИС из-за активного использования предприятиями открытых глобальных сетей для передачи сообщений и транзакций.
Аудит безопасности ИС дает возможность руководителям и сотрудникам организаций получить ответы на вопросы:
• как оптимально использовать существующую ИС при развитии бизнеса;
• как решаются вопросы безопасности и контроля доступа;
• как установить единую систему управления и мониторинга ИС;
• когда и как необходимо провести модернизацию оборудования и ПО;
• как минимизировать риски при размещении конфиденциальной информации в ИС организации, а также наметить пути решения обнаруженных проблем.
На эти и другие подобные вопросы нельзя мгновенно дать однозначный ответ. Достоверную и обоснованную информацию можно получить, только рассматривая все взаимосвязи между проблемами. Проведение аудита позволяет оценить текущую безопасность ИС, оценить риски, прогнозировать и управлять их влиянием на бизнес-процессы организации, корректно и обоснованно подойти к вопросу обеспечения безопасности информационных ресурсов организации.
Цели проведения аудита безопасности ИС:
• оценка текущего уровня защищенности ИС;
• локализация узких мест в системе защиты ИС;
• анализ рисков, связанных с возможностью осуществления угроз безопасности в отношении ресурсов ИС;
• выработка рекомендаций по внедрению новых и повышению эффективности существующих механизмов безопасности ИС;
• оценка соответствия ИС существующим стандартам в области информационной безопасности.
В число дополнительных задач аудита ИС могут также входить выработка рекомендаций по совершенствованию политики безопасности организации и постановка задач для ИТ персонала, касающихся обеспечения защиты информации.
Проведение аудита безопасности информационных систем. Работы по аудиту безопасности ИС состоят из последовательных этапов, которые в целом автоматизированной системы:
• инициирования процедуры аудита;
• сбора информации аудита;
• анализа данных аудита;
• выработки рекомендаций;
• подготовки аудиторского отчета.
Аудиторский отчет является основным результатом проведения аудита.
Отчет должен содержать описание целей проведения аудита, характеристику обследуемой ИС, результаты анализа данных аудита, выводы, содержащие оценку уровня защищенности АС или соответствия ее требованиям стандартов, совершенствованию системы защиты.
Мониторинг безопасности системы. Функции мониторинга безопасности ИС выполняют средства анализа защищенности и средства обнаружения атак.
Средства анализа защищенности исследуют настройки элементов защиты ОС на рабочих станциях и серверах, БД. Они исследуют топологию сети, ищут незащищенные или неправильные сетевые соединения, анализируют настройки МЭ.
В функции системы управления безопасностью входит выработка рекомендаций администратору по устранению обнаруженных уязвимостей в сетях, приложениях или иных компонентах ИС организации.
Использование модели адаптивного управления безопасностью сети дает возможность контролировать практически все угрозы и своевременно реагировать на них, позволяя не только устранить уязвимости, которые могут привести к реализации угрозы, но и проанализировать условия, приводящие к их появлению.
Мониторинг безопасности. Для организаций, компьютерные сети которых насчитывают не один десяток компьютеров, функционирующих под управлением различных ОС, на первое место выступает задача управления множеством разнообразных защитных механизмов в таких корпоративных сетях. Сложность сетевой инфрастуктуры, многообразие данных и приложений приводят к тому, что при реализации системы информационной безопасности за пределами внимания администратора безопасности могут остаться многие угрозы. Поэтому необходимо осуществление регулярного аудита и постоянного мониторинга безопасности IT - инфраструктры.
несанкционированного доступа;
информационной системы клиента;
учет и оптимизация затрат на использование ресурсов сети Интернет;
создание резервных копий и восстановление ключевой информации после сбоев;
удаленное администрирование сетей.
Преимущества мониторинга включают в себя следующие аспекты:
снижение производственных затрат в сфере IT повышение производительности работы защита доходов клиентов помощь в планировании пропускной способности сети Мониторинг позволит Вашей организации проверять доступность сервиса в режиме реального времени, проверять данные по прошедшей доступности сервиса и использовать эту информацию для соответствия уровню обслуживания, гарантированному пользователям данного приложения и Вашей организации в целом.
Средства для мониторинга сетей. Средства для мониторинга сети и обнаружения в е работе «узких мест» можно разделить на два основных класса:
• стратегические;
• тактические.
Назначение стратегических средств состоит в контроле за широким спектром параметров функционирования всей сети и решении проблем конфигурирования ЛВС. Назначение тактических средств – мониторинг и устранение неисправностей сетевых устройств и сетевого кабеля. К стратегическим средствам относятся:
• системы управления сетью • встроенные системы диагностики • распределнные системы мониторинга • средства диагностики операционных систем, функционирующих на больших машинах и серверах.
Наиболее полный контроль за работой, осуществляют системы управления сетью, разработанные такими фирмами, как DEC, Hewlett – Packard, IBM и Эти системы обычно базируются на отдельном компьютере и AT&T.
включают системы контроля рабочих станций, кабельной системой, соединительными и другими устройствами, базой данных, содержащей контрольные параметры для сетей различных стандартов, а также разнообразную техническую документацию. Одной из лучших разработок для управления сетью, позволяющей администратору сети получить доступ ко всем е элементам вплоть до рабочей станции, является пакет LANDesk Manager фирмы Intel, обеспечивающий с помощью различных средств мониторинг прикладных программ, инвентаризацию аппаратных и программных средств и защиту от вирусов. Этот пакет обеспечивает в реальном времени разнообразной информацией о прикладных программах и серверах, данные о работе в сети пользователей. Встроенные системы диагностики стали обычной компонентой таких сетевых устройств, как мосты, репиторы и модемы. Примерами подобных систем могут служить пакеты Open – View Bridge Manager фирмы Hewlett – Packard и Remote Bridge Management Software фирмы DEC. К сожалению большая их часть ориентирована на оборудование какого – то одного производителя и практически несовместима с оборудованием других фирм. Распределнные системы мониторинга представляют собой специальные устройства, устанавливаемые на сегменты сети и предназначенные для получения комплексной информации о трафике, а также нарушениях в работе администратора, в основном используются в много сегментных сетях. К тактическим средствам относят различные виды тестирующих устройств ( тестеры и сканеры сетевого кабеля ), а также устройства для комплексного анализа работы сети – анализаторы протоколов. Тестирующие устройства помогают администратору обнаружить неисправности сетевого кабеля и разъмов, а анализаторы протоколов – получать информацию об обмене данными в сети. Кроме того, к этой категории средств относят специальное ПО, позволяющее в режиме реального времени получать подробные отчты о состоянии работы сети.
Средства сетевого мониторинга Программа ipconfig Hyperic HQ (Open Source) Zabbix (Open Source) TclMon (Open Source) Nagios (ранее Netsaint) (Open Source) Intellipool Network Monitor Monit (Open Source) OpenNMS (Open Source) Cacti (Open Source) ping — утилита для проверки соединений в сетях на основе TCP/IP, а также обиходное наименование самого запроса.
Первоначально словом «ping» (по созвучию) именовали направленный акустический сигнал противолодочных гидролокаторов («асдиков») времн Второй Мировой войны.
Утилита отправляет запросы (ICMP Echo-Request) протокола ICMP указанному узлу сети и фиксирует поступающие ответы (ICMP Echo-Reply).
Время между отправкой запроса и получением ответа (RTT, от англ. Round Trip Time) позволяет определять двусторонние задержки (RTT) по маршруту и частоту потери пакетов, то есть косвенно определять загруженность на каналах передачи данных и промежуточных устройствах.
В разговорной речи пингом называют также время, затраченное на передачу пакета информации в компьютерных сетях от клиента к серверу и обратно от сервера к клиенту.
Программа ping является одним из основных диагностических средств в сетях TCP/IP и входит в поставку всех современных сетевых операционных систем. Функциональность ping также реализована в некоторых встроенных ОС маршрутизаторах, доступ к результатам выполнения ping для таких устройств по протоколу SNMP определяется RFC 2925 (Definitions of Managed Objects for Remote Ping, Traceroute, and Lookup Operations).
Так как для отправки ICMP-пакетов требуется создавать raw-сокеты, для суперпользователя. Чтобы обычные пользователи могли использовать ping в правах доступа файла /bin/ping устанавливают SUID-бит.
Выводы по первой главе Анализ проблем обеспечения информационной безопасности показывает целесообразность использования наряду со стандартными механизмами современных средств защиты компьютерных сетей:
защита от внешних и внутренних угроз посредством контроля внутреннего трафика.
Рассмотрены методы мониторинга безопасности, решающие проблемы непрерывного контроля компьютерных сетей, обнаруживая при этом внутренние и внешние воздействие на ресурсы компьютерных сетей.
Наиболее перспективными и широко используемыми методами является: декодирование и анализ сетевых пакетов, мониторинг активного сетевого оборудования, мониторинг состояния кабельной системы, мониторинг состояния серверов и ответственных рабочих станций, мониторинг приложений.
ГЛАВА 2. АНАЛИЗ СИСТЕМЫ МОНИТОРИНГА БЕЗОПАСНОСТИ
КОМПЬЮТЕРНЫХ СЕТЕЙ.
2.1. Формальная модель защищенной компьютерной сети Защищенность является одним из важнейших показателей эффективности функционирования компьютерных сетей (КС), наряду с такими показателями как надежность, отказоустойчивость, производительность и т. п.Под защищенностью КС будем понимать степень адекватности реализованных в ней механизмов защиты информации существующим в данной среде функционирования рискам, связанным с осуществлением угроз безопасности информации. Под угрозами безопасности информации традиционно понимается возможность нарушения таких свойств информации, как конфиденциальность, целостность и доступность.
На практике всегда существует большое количество не поддающихся точной оценке возможных путей осуществления угроз безопасности в отношении ресурсов КС. В идеале каждый путь осуществления угрозы должен быть перекрыт соответствующим механизмом защиты. данное условие является первым фактором, определяющим защищенность КС. Вторым фактором является прочность существующих механизмов защиты, характеризующаяся степенью сопротивляемости этих механизмов попыткам их обхода, либо преодоления. третьим фактором является величина ущерба, наносимого владельцу КС в случае успешного осуществления угроз безопасности.
На практике получение точных значений приведенных характеристик затруднено, т. к. понятия угрозы, ущерба и сопротивляемости механизма защиты трудноформализуемы. Например, оценку ущерба в результате НСД к информации политического и военного характера точно определить вообще невозможно, а определение вероятности осуществления угрозы не может базироваться на статистическом анализе. оценка степени сопротивляемости механизмов защиты всегда является субъективной.
Описанный в настоящей работе подход позволяет получать качественные оценки уровня защищенности ас путем сопоставления свойств и параметров КС с многократно опробованными на практике и стандартизированными критериями оценки защищенности.
Для того, чтобы математически точно определить этот показатель, рассмотрим формальную модель системы защиты КС.
Основой формального описания систем защиты традиционно считается модель системы защиты с полным перекрытием, в которой рассматривается взаимодействие "области угроз", "защищаемой области" (ресурсов КС) и "системы защиты" (механизмов безопасности ас).
Таким образом, имеем три множества:
t = {ti} - множество угроз безопасности, o = {oj} - множество объектов (ресурсов) защищенной системы, m = {mk} - множество механизмов безопасности.
Элементы этих множеств находятся между собой в определенных отношениях, собственно и описывающих систему защиты.
Для описания системы защиты обычно используется графовая модель, представленная на рисунок 2.1. множество отношений угроза-объект образует двухдольный граф {}. цель защиты состоит в том, чтобы перекрыть все возможные ребра в графе. это достигается введением третьего набора m. в результате получается трехдольный граф {}.Р Развитие этой модели предполагает введение еще двух элементов:
V - набор уязвимых мест, определяемый подмножеством декартова произведения T*O: vr =. Таким образом, под уязвимостью системы защиты будем понимать возможность осуществления угрозы t в отношении объекта o (На практике под уязвимостью системы защиты обычно понимают не саму возможность осуществления угрозы безопасности, а те свойства системы, которые способствуют успешному осуществлению угрозы, либо могут быть использованы злоумышленником для осуществления угрозы);
B - набор барьеров, определяемый декартовым произведением V*M: bl =, представляющих собой пути осуществления угроз безопасности, перекрытые средствами защиты.
В результате получаем систему, состоящую из пяти элементов:, описывающую систему защиты с учетом наличия в ней уязвимостей, которая представлена на Рисунке 2.2.
Рис.2.2.Интегрированная система безопасности Для системы с полным перекрытием выполняется условие:
т.е. для любой уязвимости имеется соответствующий барьер, устраняющий эту уязвимость.
Интегрированная система безопасности(ИСБ) – совокупность технических средств (двух или более взаимоувязанных КС), предназначенных для построения систем охранной, пожарной сигнализации и оповещения, управления противопожарной автоматикой, контроля и управления доступом и систем телевизионного наблюдения, которые обладают технической, информационной, программной и эксплуатационной совместимостью так, что эту совокупность можно рассматривать как единую КС.
обеспечивающая защиту от нескольких видов угроз. В данном выше определении – ИСБ предназначена для защиты от пожара (пожарная сигнализация, оповещение, противопожарная автоматика) и от криминальных угроз (охранная сигнализация, контроль доступа, охранное телевидение).
Современные ИСБ строятся на основе иерархической сетевой структуры, в которую входят компьютерные сети, а также локальные сети различного уровня сложности специальных вычислительных устройств - контроллеров.
Обобщенная структура ИСБ приведена на рисунке 2.3. В ней можно выделить четыре уровня сетевого взаимодействия Первый (верхний) уровень представляет собой компьютерную сеть типа клиент/сервер на основе сети Ethernet, с протоколом обмена TCP/IP и с использованием сетевых операционных систем. Этот уровень обеспечивает связь между сервером и рабочими станциями операторов. Управление ИСБ на верхнем уровне обеспечивается посредством специализированного программного обеспечения (СПО). Для небольших объектов возможно использование для управления ИСБ одного компьютера. На верхнем уровне также обеспечивается связь и управление удаленными объектами.
Современные возможности компьютерных сетей позволяют передавать информацию по различным каналам связи, тем самым на основе ИСБ можно создавать системы мониторинга безопасности удаленных объектов.
компонентов управления ИСБ. Каждый локальный контроллер должен обеспечивать выполнение основных функций в своей зоне контроля, даже при нарушении связи с верхним уровнем ИСБ. Для связи между однородными контроллерами (горизонтальный уровень связи) используется интерфейс RS промышленного уровня с хорошей помехозащищенностью и достаточной скоростью обмена данными. Связь между вторым и верхним уровнем (вертикальный уровень связи) может обеспечиваться через один из сетевых контроллеров, посредством подключения его к серверу ПО АРМ ИСБ через стандартный порт ПЭВМ. В контроллерах некоторых ИСБ возможен прямой выход на первый уровень в протоколе TCP/IP.
подключаются к каждому контроллеру второго уровня. Здесь, как правило, применяется интерфейс RS485. Количество сетевых устройств, подключаемых к одному контроллеру, может быть до 256. Номенклатура адресных сетевых устройств достаточно разнообразна, от простых расширителей для подключения радиальных ШС до сложных контроллеров третьего уровня, например, устройств управления пожаротушением или модулей подключения адресно-аналоговах пожарных извещателей.
Четвертый уровень – извещатели и оповещатели ОПС, считыватели и исполнительные устройства СКУД, датчики и устройства управления технологическим оборудованием и др.. Здесь, как правило, применяются нестандартные специализированные интерфейсы и протоколы.
Технические возможности ИСБ позволяют определить дальнейшие перспективы их развития – интеграция с другими системами автоматизации и расширение видов и количества угроз, защита от которых обеспечивается с помощью ИСБ.
Тенденция дальнейшей интеграции – объединение ИСБ с системами автоматизации и управления инженерными системами здания или объекта связана с появлением термина – «интеллектуальное здание».
2.2. Анализ аппаратно-программных средств мониторинга При создании информационной инфраструктуры корпоративной автоматизированной системы (АС) на базе современных компьютерных сетей неизбежно возникает вопрос о защищенности этой инфраструктуры от угроз безопасности информации.
Компания LETA в рамках Услуги «Оценка защищенности ресурсов сети»
предлагает два варианта внедрения и выполнения работ:
Разовая оценка защищенности. Специалисты компании LETA с помощью выбранного Заказчиком технического средства выполняют разовое сканирование корпоративной сети согласно заданным параметрам.
По результатам работы подготавливается отчет о результатах сканирования, который содержит результаты проведенных работ по выявлению уязвимостей корпоративной сети Заказчика, а также экспертные заключения специалистов LETA и рекомендации по результатам сканирования.
Внедрение системы управления уязвимостями. Специалисты Исполнителя обеспечивают внедрение системы управления уязвимостями на стороне Заказчика, что позволяет значительно повысить защищенность всей информационной системы в целом и вывести ИБ в организации на качественно новый уровень.
Внедрение системы управления уязвимостями позволяет:
автоматизировать управление жизненным циклом уязвимостей;
регламентировать процессы обнаружения, анализа и устранения обеспечить четкий алгоритм устранения обнаруженных в результате сканирования уязвимостей, в приоритетном порядке на основе критичности тех или иных обнаруженных уязвимостей;
защищенности корпоративной сети.
Состав внедряемой системы управления уязвимостями:
решение по управлению уязвимостями – сканирование внешних и внутренних ip-адресов корпоративной сети, выявление уязвимостей, их анализ и устранение;
соответствие политикам безопасности – автоматическая проверка на соответствие требованиям политик безопасности, рекомендаций и стандартов (PCI DSS, COBIT, ISO,SOX, Basel II и др.);
Контроль защищенности веб-приложений – выявление, анализ и устранение уязвимостей, присущих именно веб-приложениям (SQL-injection, XSS и др.);
организационно-распорядительная документация – набор документов, обеспечивающих регламентирование процесса управления уязвимостями в рамках корпоративной сети, в общем случае включает в себя политику управления уязвимостями, процедуры проведения сканирований и устранения уязвимостей, а также различные инструкции и другие документы.
Обеспечение выполнения внутренних и внешних требований, а также оценка эффективности имеющихся мер контроля являются основными задачами процесса внутреннего аудита ИБ. Компания LETA предлагает набор услуг, направленных на формирование четких требований ИБ в организации и успешное обеспечение контроля за их выполнением.куда входят:
установленным внешним или внутренним требованиям;
разработка политик и стандартов в области ИБ;
разработка и внедрение процедур внутреннего аудита ИБ:
определение актуальных требований;
оценка эффективности имеющихся мер контроля;
анализ со стороны руководства;
внедрение корректирующих мер по итогам аудита;
проектирование и внедрение программно-технических средств аудита и контроля за соответствием требованиям;
разработка технических проверок для информационных систем консультационное сопровождение и техническая поддержка.
Что дает внедрение услуги по построению системы внутреннего аудита и обеспечения соответствия требованиям политик ИБ Предлагаемые программно-технические решения позволяют значительно снизить трудозатраты на выполнение процедур внутреннего аудита ИБ за счет автоматизации процесса, а также существенно повысить полноту и качество собираемой информации.
Комплексная система МСР.Система.0.7 предоставляет услуги связи с использованием стационарных, мобильных и персональных программноаппаратных комплексов на основе специальной сети передачи данных (ССПД) защищенности 1Г, без доступа в Интернет, с возможностью масштабирования от предприятия до всей территории РФ, с обменом конфиденциальной информацией (речь, видео, данные) с помощью мобильного комплекса МК-СУи персонального МСР-Терминала.
Основные функции МСР.Системы 0.7:1. Формирование федеральных и региональных разнородных баз данных по объектам учета, управления и мониторинга.2. Ведение единого реестра паспортов объектов.3. Оперативный доступ к БД объектов с любой точки РФ с применением мобильных персональных терминалов.4. Ведение и пополнение разнородных БД с оперативным доступом к паспортам объектов, текущим техникоэкономическим показателям, нормативным документам в автоматизированном и ручном режимах.5. Автоматизированное составление и выдача формализованных данных в виде документов, таблиц и графиков.
Система позволяет:
использованием СНС ГЛОНАСС/GPS и по технологии Cell ID по производить оповещение и управление абонентами голосом и текстовыми сообщениями (SMS);
организовать службу информации (CellBroadcast GSM);
организовать закрытые группы абонентов с короткими номерами и выходом на фиксированную связь;
использовать единый тарифный план на всей территории РФ и IPадресацию заказчика;
оборудования МСР-МКУ СУ со специальным программным обеспечением для доступа к базам данных, мониторинга состояния сети, систем НСД и СКЗИ для обеспечения безопасности и базируется на специальных услугах связи, предоставляемых оператором сотовой связи GSM ОАО «МегаФон», которые включают в себя:
услуги специальной сети передачи данных (ССПД) с обеспечением приоритетного обслуживания, в том числе и радиоинтерфейсе;
услуги специальной федеральной подсистемы конфиденциальной сотовой связи (СФПКСС) со специальными сотовыми телефонами;
услуги конвергированной фиксированной мобильной связи (ФМС);
услуги стандартных сервисов сотовой связи GSM (АОП, короткие номера, MMS, SMS, пакетная передача данных GPRS, конференц-связь Использование Alchemy Eye для мониторинга состояния сети и контроля ее безопасности. Alchemy Eye – средство мониторинга состояния серверов в сети с богатыми возможностями. Ниже показано, как реализуются сценарии, описанные в предыдущих разделах, посредством этой программы.
Прежде всего, чтобы обеспечить непрерывность мониторинга, нужно запустить программу как NT-службу (установить ее в Файл>Настройки>NTслужба, затем запустить из Панели управления Windows). После запуска службы появится иконка в области уведомлений (системном трее), по клику на ней откроется главное окно программы, где и нужно создать необходимые проверки.
Alchemy Eye позволяет создавать любое количество объектов мониторинга («сервер» в терминах программы, но пусть это вас не смущает:
одному физическому серверу может соответствовать любое количество объектов мониторинга). Каждому объекту мониторинга соответствует проверка одного типа для одного компьютера.
Чтобы добавить проверку в программ, откройте диалог создания нового сервера (меню «Сервер>Добавить сервер>Новый») – рис 2.4. На основной закладке этого диалога нужно задать логическое имя для объекта мониторинга, интервал между проверками, и тип проверки.
Скриншот на рис.2.4. может продемонстрировать лишь небольшое количество типов проверок, доступных в программе (полный список вы можете посмотреть самостоятельно). Для ориентировки можно привести соответствия между задачами, описанными выше, и некоторыми проверками, доступными в Alchemy Eye:
Проверка физической доступности оборудования: ICMP, UDP, трассировка маршрута (traceroute).
Проверка работоспособности служб и сервисов, запущенных в сети:
все стандартные протоколы (POP/SMTP, DNS, DHCP,HTTP/FTP), подключение к базам данных (Oracle, MySQL, MS SQL Server, или любая БД, доступная через источники данных ODBC). Кроме того, Alchemy Eye предоставляет мощное средство для проверки нестандартных серверов – TCP-скрипт. В этой проверке можно описать достаточно сложную логику подключения к порту сервера, отсылки ему любых строк-команд и тестирования ответов.
Проверка нагрузки сети и отдельных служб: можно использовать проверку стандартных переменных SNMP MIB (Management Information Base) – программа не только позволяет контролировать их, но и предоставляет деревосписок всех доступных в MIB переменных (рис.2.5). Счетчики производительности для Windows-машин доступны «из коробки» (рис. 3), а сходная функциональность для nix-серверов – в виде бесплатного плагина на сайте производителя.
Проверка специфических параметров* для данного окружения: список проверок включает и SQL-запросы с проверкой результата, и анализ лог-файлов (в том числе на удаленных компьютерах), и еще более специфичные проверки (например, анализ значений ключей реестра или журнала событий Windows).
Проверка состояния уязвимых объектов: сюда можно отнести подключение по TCP/IP к любому порту удаленного компьютера, проверка прав доступа к различным файлам и папкам (права могут быть изменены злоумышленником или некачественным ПО), проверка количества файлов в определенной папке и сравнения файла по содержимому с эталоном.
Рис.2.5. Браузер дерева MIB – выбор переменной для SNMP-мониторинга.
Рис.2.6. Браузер счетчиков производительности Windows – выбор параметра для В случае сложных окружений, для которых недостаточно встроенных проверок, можно использовать одну из возможностей расширения, доступных в Alchemy Eye: запуск скриптовых функций (VBScript, JavaScript, ActivePerl) или внешних приложений, а так же подсистему плагинов.
После выбора типа проверки нужно задать ее параметры – как правило, они включают адрес проверяемого сервера и несколько других, очевидных либо в деталях объясняемых всплывающими подсказками. На рис.2.7. показана страница выбора параметров ICMP-проверки.
Рис.2.7. Страница выбора параметров ICMP-проверки Если проверка является критичной (ее несрабатывание требует немедленного внимания технических специалистов), в этом же диалоге необходимо настроить уведомления: Alchemy Eye может отсылать их с помощью электронной почты, ICQ/MSN (обратите внимание, что в настройках программы должен быть настроен доступ к соответствующим аккаунтам) или сообщениями локальной сети (net send).
Когда объекты мониторинга созданы, главное окно Alchemy Eye само по себе становится инструментом анализа текущей ситуации, наглядно отображая состояния серверов (рис.2.8). Если заданных проверок больше чем 4-5 (и к тому же, они имеют разную степень критичности), лучше всего разбить их по папкам (впоследствии это даст дополнительные «приятности», вроде возможности сгенерировать отчеты только для проверок из конкретной папки).
Рис.2.8. Главное окно Alchemy Eye – мониторинг серверов Все проверки Alchemy Eye «бинарные» (проверка либо прошла, либо нет), но на количество однотипных проверок никаких ограничений не накладывается. Таким образом, встроенных средств программы вполне достаточно для реализации сложных сценариев: например, две независимые проверки загрузки процессора одного и того же сервера – одна будет «ловить»
загрузку выше 95% и немедленно сообщать о проблеме техническим специалистам, а другая – загрузку выше 80% для статистического учета и последующего анализа.
Задачи этого рода (учет и анализ) в Alchemy Eye решаются с помощью встроенных отчетов (меню Отчеты). Стоит учесть, что вся статистика выполненных программой проверок и их результатов записывается в стандартной форме в файл stat.csv в папке программы, данные из него можно использовать для последующего анализа (Alchemy Eye позволяет подключать сторонние программы-анализаторы в качестве генераторов отчетов – подробная инструкция имеется в справке программы).
Напоследок хотелось бы заметить, что даже при наличии качественного программного средства разработка работающей системы мониторинга крупной сети и контроля ее безопасности (читай – выбор необходимого количества и типов проверок) является серьезной инженерной задачей, требующей вдумчивого подхода. Две основных цели, о которых не следует забывать при конфигурации системы мониторинга:
1. создать достаточное количество проверок для обеспечения высокой степени надежности;
2. не слишком увлечься количеством и частотой проверок, чтобы избежать перегрузок оборудования, но в первую очередь – специалистов, в чьи обязанности входит анализ результатов мониторинга.
Анализ конфигурации средств защиты внешнего периметра ЛВС. При анализе конфигурации средств защиты внешнего периметра ЛВС и управления межсетевыми взаимодействиями особое внимание обращается на следующие настройка правил разграничения доступа (правил фильрации сетевых пакетов) на МЭ и маршрутизаторах;
используемые схемы и настройка параметров аутентификации;
настройка параметров системы регистрации событий;
использование механизмов, обеспечивающих сокрытие топологии защищаемой сети, включающих в себя трансляцию сетевых адресов (NAT), маскарадинг и использование системы split DNS;
настройка механизмов оповещения об атаках и реагирования;
наличие и работоспособность средств контроля целостности;
программных коррекций.
Методы тестирования системы защиты. Тестирование системы защиты АС проводится с целью проверки эффективности используемых в ней механизмов защиты, их устойчивости в отношении возможных атак, а также с целью поиска уязвимостей в защите. Традиционно используются два основных метода тестирования:
тестирование по методу «черного ящика»;
тестирование по методу «белого ящика».
Тестирование по методу «черного ящика» предполагает отсутствие у тестирующей стороны каких-либо специальных знаний о конфигурации и внутренней структуре объекта испытаний. При этом против объекта испытаний реализуются все известные типы атак и проверяется устойчивость системы защиты в отношении этих атак. Используемые методы тестирования эмулируют действия потенциальных злоумышленников, пытающихся взломать систему защиты. Основным средством тестирования в данном случае являются сетевые сканеры, располагающие базами данных известных уязвимостей.
Метод «белого ящика» предполагает составление программы тестирования на основании знаний о структуре и конфигурации объекта испытаний. В ходе тестирования проверяется наличие и работоспособность механизмов безопасности, соответствие состава и конфигурации системы защиты требованиям безопасности и существующим рисками. Выводы о наличие уязвимостей делаются на основании анализа конфигурации используемых средств защиты и системного ПО, а затем проверяются на практике. Основным инструментом анализа в данном случае являются программные агенты средств анализа защищенности системного уровня, рассматриваемые ниже.
Средства анализа защищенности. Арсенал программных средств, используемых для анализа защищенности КС достаточно широк. Причем, во многих случаях, свободно распространяемые программные продукты ничем не уступают их коммерческим аналогам. Достаточно сравнить некоммерческий сканер NESSUS с его коммерческими аналогами.
Удобным и мощным средством анализа защищенности ОС является рассматриваемый ниже свободно распространяемый программный продукт CIS Windows 2000 Level I Scoring Tool, а также аналогичные средства разработчиков ОС, предоставляемые бесплатно, такие как ASET для ОС Solaris или MBSA (Microsoft Security Baseline Analyzer) для ОС Windows 2000.
Одним из методов автоматизации процессов анализа и контроля защищенности распределенных компьютерных систем является использование технологии интеллектуальных программных агентов. Система защиты строится на архитектуре консоль/менеджер/агент. На каждую из контролируемых систем устанавливается программный агент, который и выполняет соответствующие настройки ПО и проверяет их правильность, контролирует целостность файлов, своевременность установки пакетов программных коррекций, а также выполняет другие полезные задачи по контролю защищенности КС.
Управление агентами осуществляет по сети программой менеджером.
Менеджеры являются центральными компонентом подобных систем. Они посылают управляющие команды всем агентам контролируемого ими домена и сохраняют все данные полученные от агентов в центральной базе данных.
Администратор управляет менеджерами при помощи графической консоли, позволяющей выбирать, настраивать и создавать политики безопасности, анализировать изменения состояния системы, осуществлять ранжирование уязвимостей и т. п. Все взаимодействия между агентами, менеджерами и управляющей консолью осуществляются по защищенному клиент-серверному протоколу. Такой подход был использован при построении комплексной системы управления безопасностью организации Symantec ESM.
Другим широко используемым методом анализа защищенности является активное тестирование механизмов защиты путем эмуляции действий злоумышленника по осуществлению попыток сетевого вторжения в АС. Для этих целей применяются сетевые сканеры, эмулирующие действия потенциальных нарушителей. В основе работы сетевых сканеров лежит база маршрутизаторов и сетевых сервисов, а также алгоритмов осуществления попыток вторжения (сценариев атак). Рассматриваемые ниже сетевые сканеры Nessus и Symantec NetRecon являются достойными представителями данного класса программных средств анализа защищенности.
Таким образом, программные средства анализа защищенности условно можно разделить на два класса. Первый класс, к которому принадлежат сетевые сканеры, иногда называют средствами анализа защищенности сетевого уровня.
Второй класс, к которому относятся все остальные рассмотренные здесь средства, иногда называют средствами анализа защищенности системного уровня. Данные классы средств имеют свои достоинства и недостатки и на практике взаимно дополняют друг друга.
Для функционирования сетевого сканера необходим только один компьютер, имеющий сетевой доступ к анализируемым системам, поэтому, в отличие от продуктов, построенных на технологии программных агентов, нет необходимости устанавливать в каждой анализируемой системе своего агента (своего для каждой ОС).
К недостаткам сетевых сканеров можно отнести большие временные затраты, необходимые для сканирования всех сетевых компьютеров из одной системы, и создание большой нагрузки на сеть. Кроме того, в общем случае, трудно отличить сеанс сканирования от действительных попыток осуществления атак. Сетевыми сканерами также с успехом пользуются злоумышленники.
Системы анализа защищенности, построенные на интеллектуальных программных агентах, являются потенциально более мощным средством, чем сетевые сканеры. Однако, несмотря на все свои достоинства, использование программных агентов не может заменить сетевого сканирования, поэтому эти средства лучше применять совместно. Кроме того, сканеры являются более простым, доступным, дешевым и, во многих случаях, более эффективным средством анализа защищенности.
Средства анализа параметров защиты (Security Benchmarks). Уровень защищенности компьютерных систем от угроз безопасности определяется многими факторами. При этом одним из определяющих факторов является адекватность конфигурации системного и прикладного ПО, средств защиты информации и активного сетевого оборудования существующим рискам.
Перечисленные компоненты АС имеют сотни параметров, значения которых оказывают влияние на защищенности системы, что делает их ручной анализ трудновыполнимой задачей. Поэтому в современных АС для анализа конфигурационных параметров системного и прикладного ПО, технических специализированные программные средства.
Анализ параметров защиты осуществляется по шаблонам, содержащим списки параметров и их значений, которые должны быть установлены для обеспечения необходимого уровня защищенности. Различные шаблоны, определяют конфигурации для различных программно-технических средств.
Относительно коммерческих корпоративных сетей, подключенных к сети Интернет, можно говорить о некотором базовом уровне защищенности, который в большинстве случаев можно признать достаточным. Разработка спецификаций (шаблонов) для конфигурации наиболее распространенных системных программных средств, позволяющих обеспечить базовых уровень защищенности, в настоящее время осуществляется представителями профессионально занимающихся вопросами информационной безопасности и аудита АС, под эгидой международной организации Центр Безопасности Интернет (Center of Internet Security). На данный момент закончены, либо находятся в разработке следующие спецификации (Security Benchmarks):
Solaris (Level-1) Windows 2000 (Level-1) CISCO IOS Router (Level-1/Level-2) Linux (Level-1) HP-UX (Level-1) AIX (Level-1) Check Point FW-1/VPN-1 (Level-2) Apache Web Server (Level-2) Windows NT (Level-1) Windows 2000 Bastion Host (Level-2) Windows 2000 Workstation (Level-2) Windows IIS5 Web Server (Level-2) В приведенном списке спецификации первого уровня (Level-1) определяют базовый (минимальный) уровень защиты, который требуется обеспечить для большинства систем, имеющих подключения к Интернет. Спецификации второго уровня (Level-2) определяют продвинутый уровень защиты, необходимый для систем, в которых предъявляются повышенные требования по безопасности.
Перечисленные спецификации являются результатом обобщения мирового опыта обеспечения информационной безопасности.
Для анализа конфигурации компонентов КС на соответствие этим спецификациям используются специализированные тестовые программные средства (CIS-certified scoring tools).
В качестве примера, рассмотрим спецификацию базового уровня защиты для ОС MS Windows 2000 и соответствующий программный инструментарий для анализа конфигурации ОС.
Windows 2000 Security Benchmark. CIS Windows 2000 Security Benchmark является программой, позволяющей осуществлять проверку соответствия безопасности, определяющих базовый уровень защищенности, который, в общем случае, является достаточным для коммерческих систем. Требования к базовому уровню защищенности ОС Windows 2000 были выработаны в результате обобщения практического опыта. Свой вклад в разработку этих спецификаций внесли такие организации, как SANS Institute, Center for Internet Security, US NSA и US DoD.
В состав инструментария CIS Windows 2000 Security Benchmark входит шаблон политики безопасности (cis.inf), позволяющий осуществлять сравнение текущих настроек ОС c эталонными и производить автоматическую переконфигурацию ОС для обеспечения соответствия базовому уровню защищенности, задаваемому данным шаблоном.
количественную оценку текущего уровня защищенности анализируемой ОС по 10-бальной защищенности (после установки ОС, ее уровень защищенности как раз и будет равен 0). Уровень 10 является максимальным и означает полное соответствие анализируемой системы требованиям базового уровня защищенности для коммерческих систем.
Сетевые сканеры. Основным фактором, определяющим защищенность АС от угроз безопасности, является наличие в АС уязвимостей защиты.
Уязвимости защиты могут быть обусловлены как ошибками в конфигурации компонентов АС, так и другими причинами, в число которых входят ошибки и программные закладки в коде ПО, отсутствие механизмов безопасности, их неправильное использование, либо их неадекватность существующим рискам, а также уязвимости, обусловленные человеческим фактором. Наличие уязвимостей в системе защиты АС, в конечном счете, приводит к успешному осуществлению атак, использующих эти уязвимости.
Сетевые сканеры являются, пожалуй, наиболее доступными и широко используемыми средствами анализа защищенности. Основной принцип их функционирования заключается в эмуляции действий потенциального злоумышленника по осуществлению сетевых атак. Поиск уязвимостей путем имитации возможных атак является одним из наиболее эффективных способов конфигурации по шаблонам, выполняемый локально с использованием шаблонов (списков проверки). Сканер является необходимым инструментом в арсенале любого администратора, либо аудитора безопасности АС.
Современные сканеры способны обнаруживать сотни уязвимостей сетевых ресурсов, предоставляющих те или иные виды сетевых сервисов. Их предшественниками считаются сканеры телефонных номеров (war dialers) использовавшиеся с начала 80-х и не потерявшие актуальности по сей день.
Первые сетевые сканеры представляли собой простейшие сценарии на языке Shell, сканировавшие различные TCP-порты. Сегодня они превратились в зрелые программные продукты, реализующие множество различных сценариев сканирования.
Современный сетевой сканер выполняет четыре основные задачи:
идентификация доступных сетевых ресурсов идентификация доступных сетевых сервисов идентификация имеющихся уязвимостей сетевых сервисов выдача рекомендаций по устранению уязвимостей В функциональность сетевого сканера не входит выдача рекомендаций по использованию найденных уязвимостей для реализации атак на сетевые ресурсы. Возможности сканера по анализу уязвимостей ограничены той информацией, которую могут предоставить ему доступные сетевые сервисы.
Принцип работы сканера заключается в моделировании действий злоумышленника, производящего анализ сети при помощи стандартных сетевых утилит, таких как host, showmount, traceout, rusers, finger, ping и т. п.
При этом используются известные уязвимости сетевых сервисов, сетевых протоколов и ОС для осуществления удаленных атак на системные ресурсы и осуществляется документирование удачных попыток.
В настоящее время, существует большое количество как коммерческих, так и свободно распространяемых сканеров, как универсальных, так и специализированных - предназначенных для выявления только определенного класса уязвимостей. Многие из них можно найти в сети Интернет. Число уязвимостей в базах данных современных сканеров медленно но уверенно приближается к 1000.
Одним из наиболее продвинутых коммерческих продуктов этого класса является сетевой сканер NetRecon компании Symantec, база данных которого содержит около 800 уязвимостей UNIX, Windows и NetWare систем и постоянно обновляется через Web. Рассмотрение его свойств позволит составить представление обо всех продуктах этого класса.
Сетевой сканер NetRecon. Сетевой сканер NetRecon является инструментом администратора безопасности, предназначенным для исследования структуры сетей и сетевых сервисов и анализа защищенности сетевых сред. NetRecon позволяет осуществлять поиск уязвимостей в сетевых сервисах, ОС, МЭ, маршрутизаторах и других сетевых компонентов. Например, NetRecon позволяет находить уязвимости в таких сетевых сервисах, как ftp, telnet, DNS, электронная почта, Web-сервер и др. При этом проверяются версии и конфигурации сервисов, их защищенность от сетевых угроз и устойчивость к попыткам проникновения. Для поиска уязвимостей используются как стандартные средства тестирования и сбора информации о конфигурации и функционировании сети, так и специальные средства, которые реализуют алгоритмы, эмулирующие действия злоумышленника по осуществлению сетевых атак.
Программа работает в среде ОС Windows NT и имеет удобный графический интерфейс, позволяющий определять параметры сканирования, наблюдать за ходом сканирования, генерировать и просматривать отчеты о результатах сканирования. Результаты отображаются в графической и в табличной форме в реальном масштабе времени.
Рис.2.10. Суммарное количество уязвимостей, обнаруженных сканером NetRecon Создаваемые NetRecon отчеты содержат подробную информацию о найденных уязвимостях, включая слабость паролей пользователей, подверженность определенных сервисов угрозам отказа в обслуживании, уязвимые для сетевых атак конфигурации ОС и многие другие. Наряду с сообщениями о найденных уязвимостях и их описаниями, приводятся рекомендации по их устранению. Отчет о результатах сканирования позволяет наметить план мероприятий по устранению выявленных недостатков.
Для генерации отчетов в NetRecon используется ПО Crystal Report, предоставляющее удобные средства для просмотра отчетов и их экспорта во все популярные форматы представления данных. Найденные уязвимости ранжируются, при этом каждой из них присваивается числовой рейтинг, что позволяет отсортировать их по степени критичности для облегчения последующего анализа результатов сканирования.
Пример описания уязвимости в отчете, сгенерированном сканером NetRecon, приведен на Рисунок 2.11. В NetRecon используется следующий формат описания уязвимости (который однако является общим и для всех остальных сетевых сканеров):
«