Учебное пособие 800434

аутентичность двух сторон, создающих канал, а затем каждый пакет переносит цифровую подпись отправителя, удостоверяющую аутентичность и целостность пакета. Для защиты от несанкционированного доступа пакеты могут шифроваться, причем для сокрытия адресной информации, раскрывающей внутреннюю структуру сети, пакеты могут шифроваться вместе с заголовком и инкапсулироваться во внешний пакет, несущий только адрес внешнего интерфейса VPN-шлюза.

В настоящее время основой для организации защищенных

VPN-каналов стал комплекс стандартов Internet IPSec.

Стандартам IPSec свойственна гибкость: в них оговорены обязательные для аутентификации и шифрования протоколы и алгоритмы, что обеспечивает базовую совместимость IPSecпродуктов, и в то же время разработчику продукта не запрещается дополнять этот список другими протоколами и алгоритмами, что делает возможным постоянное развитие системы безопасности. Для аутентификации сторон и генерации сессионных ключей в IPSec

Комплекс служит мощным и гибким инструментом создания виртуальных частных сетей, позволяя строить VPN любой архитектуры или внедрять комлекс в уже функционирующие корпоративные сети без внесения изменений в устоявшиеся механизмы взаимодействия с открытыми сетями (Internet). Ниже представлена типовая

287

схема построения VPN на основе комплекса (рис. 54):

Рис. 54. Структура VPN на основе комплекса ―Континент-К‖

Функции комплекса:

-Объединение через Internet локальных сетей предприятия в единую сеть VPN.

-Разделение доступа между информационными подсистемами.

-Удаленное управление маршрутизаторами. -Подключение удаленных пользователей: -централизованное подключение; -подключение по схеме "дерево"; -децентрализованное подключение.

На рис. 55 приведен механизм функционирования криптошлюза комплекса "Континент-К" исходящих пакетов.

288

Рис. 55. Работа криптошлюза для исходящих пакетов

18.3. Средства обнаружения сетевых атак

Повысить уровень защищенности корпоративной сети можно с помощью средств обнаружения вторжений (Intrusion Detection).

-Средства обнаружения вторжений хорошо дополняют защитные функции межсетевых экранов. Если межсетевые экраны стараются отсечь потенциально опасный трафик и не пропустить его в защищаемые сегменты, то средства обнаружения вторжений анализируют результирующий (то есть прошедший через межсетевой экран или созданный внутренними источниками) трафик в защищаемых сегментах и выявляют атаки на ресурсы сети или действия, которые могут классифицироваться как потенциально опасные (подозрительные).

-Средства обнаружения вторжений могут также использоваться и в незащищенных сегментах, например, перед межсетевым экраном, для получения общей картины об атаках, которым подвергается сеть извне.

289

-Средства обнаружения вторжений автоматизируют такие необходимые элементы деятельности администратора системы безопасности, как:

-регулярный анализ событий, связанных с доступом к ресурсам, по данным журналов аудита;

-выявление атак и подозрительной активности; -выполнение ответных действий - реконфигурация средств

защиты (межсетевых экранов, настроек операционных систем и т.п.) для пресечения подобных атак в будущем.

-Для выполнения своих функций средства обнаружения вторжений обычно используют экспертные системы и другие элементы искусственного интеллекта (например, подсистему самообучения). База данных экспертной системы должна содержать сценарии большинства известных на сегодняшний день атак и постоянно пополняться.

-Средства обнаружения вторжений могут обнаружить атаку в реальном времени, анализируя реальный трафик в сети, а не журнал аудита. В этом случае желательным свойством такой системы будет тесная интеграция с межсетевым экраном для немедленного блокирования трафика злоумышленника.

-Средства обнаружения вторжений должны учитывать тенденции развития технологий корпоративных сетей - наличие большого количества коммутируемых сегментов, логическую структуризацию сети на основе VLAN, защиту внутреннего трафика

спомощью VPN и т.п. Только в этом случае анализ трафика будет полным, а защищенность сети - высокой.

-Еще одним важным требованием к средствам обнаружения вторжений является их масштабируемость, которая требуется для выполнения эффективного контроля в условиях постоянно увеличивающего количества сегментов и подсетей, а также количества защищаемых узлов в корпоративной сети.

Пример средства обнаружения атак.

Система обнаружения атак RealSecure™ разработана американской компанией Internet Security Systems, Inc. и

предназначена для решения одного из важных аспектов управления сетевой безопасностью - обнаружения атак.

290

-Имеет интеллектуальный анализатор пакетов с расширенной базой сигнатур атак, который позволяет обнаруживать враждебную деятельность и распознавать атаки на узлы корпоративной сети.

-Система построена по технологии анализа сетевых пакетов в реальном масштабе времени (real-time packet analysis) и ориентирована на защиту целого сегмента сети (network-based). Для защиты конкретного узла (Hostbased) корпоративной сети может применяться система RealSecure 3.0, ранее называвшаяся системой

LookOut.

-Как только атака распознается происходит оповещение администратора через консоль управления или электронную почту. Кроме того, атака может быть зарегистрирована в базе данных, а также все операции при осуществлении атаки могут быть записаны для дальнейшего воспроизведения и анализа. В случае осуществления атаки, которая может привести к выведению из

строя узлов корпоративной сети, возможно автоматическое завершение соединения с атакующим узлом или реконфигурация межсетевых экранов и маршрутизаторов так, чтобы в дальнейшем соединения с атакующим узлом были запрещены.

- Распределенная архитектура системы RealSecure позволяет устанавливать компоненты системы таким образом, чтобы обнаруживать и предотвращать атаки на Вашу сеть как изнутри, так и снаружи.

Компоненты системы RealSecure:

-RealSecure Detector - отвечает за обнаружение и реагирование на атаки, и состоит из двух модулей - сетевого и системного агентов. Сетевой агент устанавливается на критичный сегмент сети и обнаруживает атаки путем "прослушивания" трафика. Системный агент устанавливается на контролируемый узел

иобнаруживает несанкционированную деятельность, осуществляемую на данном узле.

-Компонент RealSecure Manager отвечает за настройку и сбор информации от RealSecure Detector. Управление компонентами системы RealSecure 3.0 возможно осуществлять как с централизованной консоли, так и при помощи дополнительного модуля, подключаемого к системе сетевого управления HP

291

OpenView (HP OpenView Plug-In Module).

Возможности системы RealSecure: -большое число распознаваемых атак; -задание шаблонов фильтрации трафика;

-централизованное управление модулями слежения; -фильтрация и анализ большого числа сетевых протоколов, в

т.ч. TCP, UDP и ICMP;

-фильтрация сетевого трафика по протоколу, портам и IPадресам отправителя и получателя;

-различные варианты реагирования на атаки; -аварийное завершение соединения с атакующим узлом;

-управление межсетевыми экранами и маршрутизаторами; -задание сценариев по обработке атак;

-генерация управляющих SNMP-последовательностей для управления системами HP OpenView(r), IBM NetView(r) и Tivoli TME10(r);

-запись атаки для дальнейшего воспроизведения и анализа; -поддержка сетевых интерфейсов Ethernet, Fast Ethernet и

Token Ring;

-отсутствие требования использования специального аппаратного обеспечения;

-работа с различными Cryptographic Service Provider; -установление защищенного соединения между

компонентами системами, а также другими устройствами; -наличие всеобъемлющей базы данных по всем

обнаруживаемым атакам; -отсутствие снижения производительности сети;

-работа с одним модулем слежения с нескольких консолей управления;

-мощная система генерация отчетов; -использование протокола ODBC;

-простота использования и интуитивно понятный графический интерфейс;

-невысокие системные требования к программному и аппаратному обеспечению.

Система RealSecure™ позволяет обнаруживать большое число

292

атак и иных контролируемых событий. В версии 2.5 это число превышает 665. Основные типы контролируемых событий:

-"Отказ в обслуживании" (Denial of service) - любое действие или последовательность действий, которая приводит любую часть атакуемой системы к выходу из строя, при котором та перестают выполнять свои функции. Причиной может быть несанкционированный доступ, задержка в обслуживании и т.д.

Примером могут служить атаки SYN Flood, Ping Flood, Windows Out-of-Band (WinNuke) и т.п.

-"Неавторизованный доступ" (Unauthorized access attempt) -

любое действие или последовательность действий, которая приводит к попытке чтения файлов или выполнения команд в обход установленной политики безопасности. Также включает попытки злоумышленника получить привилегии, большие, чем установлены администратором системы. Примером могут служить атаки FTP Root, E-mail WIZ и т.п.

-"Предварительные действия перед атакой" (Pre-attack probe) - любое действие или последовательность действий по получению информации из или о сети (например, имена и пароли пользователей), используемые в дальнейшем для осуществления неавторизованного доступа. Примером может служить сканирование портов (Port scan), сканирование при помощи программы SATAN (SATAN scan) и т.п.

-"Подозрительная активность" (Suspicious activity) - сетевой трафик, выходящий за рамки определения "стандартного" трафика. Может указывать на подозрительные действия, осуществляемые в сети. Примером могут служить события Duplicate IP Address, IP Unknown Protocol и т.п.

-"Анализ протокола" (Protocol decode) - сетевая активность, которая может быть использована для осуществления одной из атак вышеназванных типов. Может указывать на подозрительные действия, осуществляемые в сети. Примером могут служить события FTP User decode, Portmapper Proxy decode и т.п.

293

18.4. Средства защиты электронных сообщений с помощью цифровой подписи

Все современные информационные технологии, связанные с обменом электронных документов в своей основе содержат ―кирпичик‖, который получил название цифровая подпись. К системам, использующим такие технологии, относятся автоматизированные банковские системы типа ―Клиент – Банк‖, системы для обеспечения электронных платежей в Интернет, платѐжные системы на основе smart – карт, другие коммерческие и секретные системы связи.

Любая подпись, как обычная, так и цифровая, выполняет три основные функции:

-удостоверение того, что подписавшийся является тем, за которого мы его принимаем (функция авторизации);

-то, что подписавшийся не может отказаться от документа, который он подписал;

-подтверждение того, что отправитель подписал именно тот документ, который отправил, а не какой-либо иной.

Аутентификация сообщений – это установление приѐмником и, возможно, арбитром того факта, что при существующем протоколе (правилах) аутентификации данное сообщение послано санкционированным (законным) передатчиком и что оно при этом не заменено и не искажено. Большинство методов аутентификации электронных сообщений базируются на тех или иных криптографических алгоритмах (преимущественно с открытыми ключами). К ним относятся системы RSA и E Gamal (госстандарт на цифровую подпись в США и в России - ГОСТ

34.10).

В таких системах у каждого участника (абонента) есть два разных, но связанных математически друг с другом ключа: один – совершенно секретный, а второй открытый и доступный всем абонентам. Система устроена так, что сообщение, зашифрованное с помощью открытого ключа, может быть открыто только с помощью секретного ключа и наоборот. Таким образом, ключи являются взаимно обратными друг к другу. Обычно эти ключи для удобства

294

обозначают буквами E и D. Каждый абонент системы имеет свою пару ключей (E и D). Эти ключи он создает сам и, поэтому секретный ключ действительно принадлежит только ему (при этом он должен хранить его в соответствии с требованиями, предъявляемыми к сохранности секретных документов). Свои ключи E все абоненты хранят в секрете, а ключи D делаются доступными для пользователей системы.

Принцип работы цифровой подписи на основе системы с открытыми ключами:

-Если абонент A должен подписать какое-либо сообщение, он с помощью специальной хеш-функции создаѐт дайджест (слепок) этого сообщения и зашифровывает его своим секретным ключом E. Свойства хеш-функции таковы, что полученный с помощью еѐ дайджест ―жестко‖ связан с сообщением. Зашифрованный дайджест ―прикрепляется‖ к сообщению и становится цифровой подписью сообщения.

-После этого любой пользователь системы, получив подписанное сообщение, может проверить подпись абонента A. Для этого ему необходимо создать свой вариант дайджеста полученного сообщения, расшифровать прикреплѐнный дайджест к сообщению с помощью открытого ключа D пользователя A, и сравнить свой вариант дайджеста с расшифрованным дайджестом. Если они совпадают, подпись считается верной. В противном случае сообщение отвергается. Поскольку секретный ключ известен только пользователю A, то ясно, что подписать сообщение мог только он.

Сертификация открытых ключей При использовании цифровой подписи на основе систем с

открытыми ключами существует опасность, заключающаяся в том, что открытый ключ какого либо пользователя X может быть подменѐн злоумышленником. В этом случае подменивший ключ может выдать себя за пользователя X.

Такая проблема решается с помощью сертификации (освидетельствования) открытых ключей санкционированных пользователей системы. Для этого открытые ключи пользователей заверяются цифровой подписью центра сертификации – специальной организацией создаваемой группой пользователей

295

системы.

Центр сертификации создает сертификаты открытых ключей пользователей, в которые включаются, собственно открытый ключ и идентификатор пользователя, серийный номер сертификата, даты начала и окончания действия сертификата, данные об организации, выдавшей сертификат и другая информация. Все эти данные подписываются с помощью секретного ключа центра сертификации. Открытый ключ центра сертификации делается доступным для всех пользователей системы.

19. КОМПЛЕКСНЫЕ РЕШЕНИЯ ЗИ ДЛЯ КОРПОРАТИВНЫХ СЕТЕЙ

Рис. 56. Структура комплесного средства защиты корпоративной сети

19.1. Программный комплекс VIPNET

Назначение: технология ViPNet предназначена для создания целостной системы доверительных отношений и безопасного функционирования технических средств и информационных ресурсов корпоративной сети, взаимодействующей с внешними техническими средствами и