6.1.5 Екранування

Як критерiї аналiзу iнформацiйного потоку можуть використатися наступнi параметри:

службовi поля пакетiв повiдомлень, що мiстять мережнi адреси, iдентифiкатори, адреси iнтерфейсiв, номера портiв й iншi значимi данi;

безпосереднiй умiст пакетiв повiдомлень, що перевiряє, наприклад на наявнiсть комп’ютерних вiрусiв;

зовнiшнi характеристики потоку iнформацiї, наприклад тимчасовi, частотнi характеристики, обсяг даних i т.iн.

Сучаснi ME фiльтрують данi на основi заздалегiдь заданої бази правил, що дозволяє реалiзовувати набагато бiльше гнучку полiтику безпеки, чим в ОС. При комплекснiй фiльтрацiї, що охоплює мережний, транспортний i прикладний рiвнi, у правилах можуть фiгурувати мережнi адреси, кiлькiсть переданих даних, операцiї прикладного рiвня, параметри оточення (наприклад, час) i т.iн. ME класифiкуються на пiдставi рiвнiв еталонної моделi ВВС, на яких здiйснюється фiльтрацiя потокiв даних.

У процесi фiльтрацiї може виконуватися додатковий контроль (наприклад, антивiрусний). Можливi й додатковi перетворення, найбiльш актуальним з яких є виправлення заголовкiв або iншої служебной iнформацiї.

Перетворення переданих даних може зачiпати як службовi поля пакетiв, так i прикладнi данi. У першому випадку звичайно мається на увазi мережна трансляцiя адрес (Network Address Translation, NAT), що допомагає сховати топологiю захищає системы, що. Це унiкальна властивiсть сервiсу екранування, що дозволяє приховувати iснування деяких об’єктiв доступу, Перетворення даних може складатися, наприклад, у їхньому шифруваннi.

ME може використатися й для захисту окремого комп’ютера. У цьому випадку ME встановлюється на захищає компьютер, що, i називається персональним. Вiн контролює весь вихiдний i вхiдний трафик, незалежно вiд всiх iнших системних захисних засобiв. При екрануваннi окремого комп’ютера з доступнiсть мережних сервiсiв, але зменшується або взагалi лiквiдується навантаження, породжувана зовнiшньою активнiстю, у результатi чого знижується уразливiсть внутрiшнiх сервiсiв комп’ютера, що захищає. (Докладно ME розглядаються в другiй частинi пiдручника.)

6.1.6 Тунелювання

Тунелювання (tunneling), або iнкапсуляцiя (encapsulation), це метод вирiшення завдання узгодження мереж, що застосуємо тiльки для узгодження транспортних протоколiв i тiльки при певних обмеженнях. Iнкапсуляцiя може бути використана, коли двi мережi з однiєю транспортною технологiєю необхiдно з’єднати через мережу, що застосовує iншу транспортну технологiю (рис. 6.2) [85].

Рис. 6.2. Iнкапсуляцiя протоколiв мережного рiвня

Суть туннелирования як самостiйного сервiсу безпеки полягає в тому, щоб “упакувати” передану порцiю даних, разом зi службовими полями, у новий “конверт”. Метод полягає в тiм, що прикордоннi маршрутизатори, якi пiдключають поєднуванi мережi до транзитного, упаковують пакети транспортного протоколу поєднуваних мереж у пакети транспортного протоколу транзитної мережi. Туннелирование може бути використане для транспортних протоколiв будь-якого рiвня. Наприклад, протокол мережного рiвня Х.25 може бути iнкапсульований до протоколу транспортного рiвня TCP або ж протокол мережного рiвня IP може бути iнкапсульований до протоколу мережного рiвня Х.25. Для узгодження

мереж на мережному рiвнi можуть бути використанi багатопротокольнi й iнкасулюючi маршрутизатори, а також програмнi й апаратнi шлюзи. Даний сервiс може застосовуватися для декiлькох цiлей:

для здiйснення переходу мiж мережами з рiзними протоколами (наприклад, IPv4 й IPv6);

забезпечення конфiденцiйностi й цiлiсностi всiєї переданої порцiї iнформацiї, включаючи службовi поля.

Звичайно тунелювання приводить до бiльше простих i швидких рiшень у порiвняннi iз трансляцiєю, тому що вирiшує бiльше приватне завдання, не забезпечуючи взаємодiї з вузлами транзитної мережi.

Тунелювання може застосовуватися як на мережному, так i на прикладному рiвнi. Наприклад, стандартизоване туннелювання для IP i подвiйне конвертування для пошти Х.400.

Комбiнацiя туннелирования й шифрування (з необхiдною криптографiчною iнфраструктурою) на видiлених шлюзах дозволяє реалiзувати таке важливе в сучасних умовах захисний засiб, як вiртуальнi частки мережi. Такi мережi, накладенi звичайно поверх Iнтернету, iстотно дешевше й набагато безпечнiше, нiж дiйсно власнi мережi органiзацiї, побудованi на видiлених каналах. Комунiкацiї на всьому їхньому протязi фiзично захистити неможливо, тому краще споконвiчно виходити iз припущення про уразливiсть i вiдповiдно забезпечувати захист. Сучаснi протоколи, спрямованi на пiдтримку класiв обслуговування, допоможуть гарантувати для вiртуальних приватних мереж задану пропускну здатнiсть, величину затримок i т.iн., лiквiдуючи тим самим єдине на сьогоднiшнiй день реальна перевага мереж власних.

(Питання побудови вiртуальних приватних мереж докладно розглядаються в другiй частинi пiдручника.)

6.1.7 Шифрування

Шифрування найважливiший засiб забезпечення конфiденцiйностi. У комп’ютерної криптографiї двi сторони властиво криптографiчна й интерфейсная, що дозволяє сполучатися з iншими частинами НС. Наприклад, iнтерфейс GSS-API (Generic Securi-

ty Service Application Program Interface, RFC 2078) захищає комунiкацiї мiж компонентами програмних систем, побудованих по архiтектурi клiєнт-сервер, надаючи їм послуги по взаємної автентифiкацiї й по забезпеченню цiлiсностi й конфiденцiйностi повiдомлень, що пересилають. Важливо, щоб були забезпеченi достатнє функцiональне багатство iнтерфейсiв й їхня стандартизацiя.

У сучасного шифрування є й внутрiшнi проблеми, як технiчнi, так i нормативнi. З технiчних найбiльш гострої є проблема продуктивностi. Програмна реалiзацiя на унiверсальних процесорах не є адекватним засобом (можна провести аналогiю з компресiєю вiдеозображень). Ще одне технiчне завдання розробка широкого спектра продуктiв, призначених для використання у всiх видах комп’ютерного й мережного устаткування вiд персональних коммунiкаторiв до потужних шлюзiв. З нормативних проблем вiдзначимо необхiднiсть офiцiйного визнання допустимостi використання закордонних засобiв й алгоритмiв (оскiльки це пропонується, наприклад, специфiкацiями протоколу IPSec).

(Докладнiше питання криптографiчного захисту розглядаються в другiй частинi пiдручника.)

6.1.8 Контроль цiлiсностi

У керiвних документах цiлiснiсть iнформацiї визначається як здатнiсть засобу обчислювальної технiки або автоматизованої системи забезпечувати незмiннiсть iнформацiї в умовах випадкового й/або навмисного перекручування (руйнування). Також поширене визначення цiлiсностi iнформацiї як вiдсутнiсть неналежних змiн.

Контроль цiлiсностi ставиться до числа тих сервiсiв, для яких проблема продуктивностi коштує не так гостро, як у випадку шифрування, i вiтчизнянi стандарти краще погодяться з мiжнародними.

Будь-якi внесенi в оригiнальнi файли програми-закладки (як вiдомi сьогоднi, так i тi, що з’являться в майбутньому) можуть бути виявленi в ходi перевiрок цiлiсностi. Вони будуть виявленi по змiнi довжини, контрольної суми й iнших параметрiв оригiнального файлу, що виконує.

Усучасних системах контроль цiлiсностi повинен поширюватися не тiльки на окремi порцiї даних (файли, ключi й т.iн.), апаратнi або програмнi компоненти. Вiн зобов’язаний охоплювати розподiленi конфiгурацiї, захищати вiд несанкцiонованої модифiкацiї потоки даних. Ще надiйнiше здiйснювати подвiйний контроль цiлiсностi безперервний контроль списку критичних подiй i контроль файлiв, що запускає при спробах несанкцiонованої пiдмiни списку критичних подiй (крiм того, перiодичний контроль файлiв).

Уцей час iснує досить рiшень для контролю цiлiсностi й iз системної, i з мережною спрямованiстю (звичайно контроль виконується прозорим для додаткiв образом як частина загальної протокольної активностi). Найбiльш простим й одним з найперших методiв забезпечення цiлiсностi даних є метод контрольних сум. Бiльше зроблений спосiб контролю цiлiсностi даних так званий метод циклiчної перевiрки надмiрностi (Cyclic Redundancy Check, CRC). Даний алгоритм широко використовується в апаратних пристроях (дисковi контролери, мережнi адаптери й iн.) для верифiкацiї незмiнностi вхiдної й вихiдної iнформацiї, а також у багатьох програмних продуктах для виявлення помилок при передачi даних по каналах зв’язку. Iстотно бiльше високої надiйностi можна досягти, використовуючи односпрямованi функцiї гешування. I найсучаснiшим методом є застосування ЕЦП, що визначається у федеральному законi про ЕЦП як реквiзит електронного документа, призначений для захисту даного електронного документа вiд пiдробки, отриманий у результатi криптографiчного перетворення iнформацiї з використанням закритого ключа електронного цифрового пiдпису й що дозволяє iдентифiкувати власника сертифiката ключа пiдпису, а також установити вiдсутнiсть перекручування iнформацiї в електронному документi.

Процедура контролю цiлiсностi окремого повiдомлення, або поля, мiстить у собi два процеси: один на передавальнiй сторонi, iншої на приймаючiй. На передавальнiй сторонi до повiдомлення додається надлишкова iнформацiя, що є функцiєю вiд повiдомлення (той або iнший рiзновид контрольної суми). На приймаючiй сторонi незалежно генерується контрольна сума отриманого повiдомлення з наступним порiвнянням результатiв. Але даний меха-

нiзм не захищає вiд дублювання повiдомлень (це робить, наприклад, протокол IPsec).

Для перевiрки цiлiсностi потоку повiдомлень: захисту вiд крадiжки, з, дублювання й вставки повiдомлень використаються порядковi номери, тимчасовi штампи, криптографiчне зв’язування, при якому результат шифрування чергового повiдомлення залежить вiд попереднього, або iншi аналогiчнi прийоми. При спiлкуваннi в режимi без установлення з’єднання використання тимчасових штампiв може забезпечити обмежену форму захисту вiд дублювання повiдомлень. Стандартизовано програмний iнтерфейс до цього сервiсу (як частина ранiше згаданого загального iнтерфейсу служби безпеки).

Цiкавi рiшення, що пропонують мережну реалiзацiю системи контролю цiлiсностi з метою пiдвищення надiйностi захисту спискiв критичних процесiв i пiдвищення ефективностi функцiонування системи захисту [94]. Цi рiшення розподiляють завдання контролю мiж клiєнтською й серверною частинами мережної системи захисту. Клiєнтська частина, установлювана на робочу станцiю, запобiгає можливим порушенням цiлiсностi iнформацiї (програм i даних). Iз цiєю метою видiляються подiї, змiна яких може привести до наступного перекручування даних, створюються списки дозволених подiй i здiйснюється контроль правильностi (неспотвореностi) даних спискiв. До таких подiй можуть бути вiднесенi iм’я користувача, iм’я процесу, що запускає, i т.д. (може почати роботу тiльки зареєстрований користувач, при цьому в системi може бути запущений тiльки дозволений процес, тобто виконана тiльки дозволена команда й т.д. ). У випадку виявлення спроби пiдмiни даних у таблицях вiдповiдна подiя знищується засобами ОС, про що iнформується сервер безпеки (передача iнформацiї на серверну частину). При одержаннi команди вiд серверної частини клiєнтська частина виконує контроль файлової системи. Серверна частина, установлювана на видiленому серверi безпеки, крiм функцiї централiзованої реєстрацiї подiй, пов’язаних зi спробами НСД до файлiв, i ухвалення рiшення про доцiльнiсть перевiрки файлової системи з видачею вiдповiдної команди на клiєнтську частину, здiйснює контроль схоронностi спискiв дозволених подiй. З метою захисту спискiв дозволених подiй клiєнтська частина здiйснює їхнє

перiодичне копiювання на серверну частину, де зберiгаються еталоннi списки, i порiвняння спискiв, що надiйшли, з еталоном. Крiм того, серверна частина здiйснює тi ж перевiрки, якi проводить i клiєнтська, на устаткуваннi, на якому вона сама встановлюється.

6.1.9 Контроль захищеностi

Контроль захищеностi, по сутi, являє собою спробу злому IС, здiйснюваного силами самої органiзацiї або уповноваженими особами. Iдея даного сервiсу в тiм, щоб протестувати реакцiю IС на вiдомi уразливостi в захистi й виявити їх ранiше зловмисникiв. У першу чергу маються на увазi не архiтектурнi (їх лiквiдувати складно), а “оперативнi” проломи, що з’явилися в результатi помилок конфiгурування й адмiнiстрування або через неуважнiсть до вiдновлення версiй ПЗ.

Засоби контролю захищеностi дозволяють накопичувати й багаторазово використати знання про вiдомi атаки. Очевидна їхня схожiсть iз антивiрусними засобами; формально останнi можна вважати їхньою пiдмножиною. Очевидний i реактивний, запiзнiлий характер подiбного контролю (вiн не захищає вiд нових атак).

Вiдзначимо також, що переважна бiльшiсть атак носить рутинний характер: вони можливi тiльки тому, що вiдомi слабостi роками залишаються неусунутими.

Iснує кiлька типових варiантiв застосування систем аналiзу захищеностi.

Iнвентаризацiя корпоративної мережi з метою одержання iнформацiї про її компоненти. Найчастiше карта мережi створюється (якщо взагалi створюється) на етапi проектування IС. Потiм вона вже не пiдтримується в актуальному станi й не може бути основою для контролю й виявлення несанкцiонованих змiн. Крiм того, подiбна iнформацiя перебуває тiльки в управлiннях iнформатизацiї i є недоступною для вiддiлiв захисту. Для побудови мережної складової цiєї карти можна використати рiзнi наявнi на ринку системи мережного управлiння типу HP OpenView, SPECTRUM, Visio, Internet Scanner i т.iн.

Такого роду iнструменти мiстять у собi функцiю AutoDiscovery, що дозволяє автоматично пiдтримувати актуальнiсть мережної

карти, вiдслiдковувати всi несанкцiонованi змiни в мережнiй конфiгурацiї й iдентифiкувати на вузлах мережi мережнi сервiси, заголовки активних сервiсiв, типи й версiї використовуваних ОС i прикладного ПЗ, подiлюванi ресурси NetBiOS (NetBiOS Share) i загальнi параметри ПБ (полiтика аудита, використання паролiв й облiкових записiв i т.д. ).

Виявлення невiдомих пристроїв. Зловмисники можуть пiдключати свої комп’ютери до критичних сегментiв мережi з метою одержання доступу до переданої конфiденцiйної iнформацiї. Тодi вони без працi одержують доступ до паролiв користувачiв й адмiнiстраторiв, переданим по бiльшостi протоколiв, побудованих на базi стека TCP/IP. Тут же можна видiлити й виявлення модемiв. Ком- п’ютери, до яких пiдключенi модеми, нiяк не захищенi, i будь-який зловмисник, що виявив такий “чорний хiд”, може скористатися ним для НСД до ресурсiв, що вимагають захисту.

Аналiз настроювань мережного устаткування й засобiв захисту (наприклад, що фiльтрують маршрутизаторiв або бiльше складних ME). Вихiд з ладу хоча б одного маршрутизатора або комутатора може надовго порушити функцiонування всiєї мережi. Метою аналiзу є перевiрка захищеностi комунiкацiйного устаткування i його схильностi рiзним атакам типу “вiдмова в обслуговуваннi”, що порушує функцiонування устаткування, або пiдбор пароля, що дозволяє встановити контроль над цим устаткуванням.

Аналiз рiдко використовуваних мережних сервiсiв. Адмiнiстратори безпеки, як правило, захищають тi комп’ютери, на яких обробляється критична iнформацiя (сервери додаткiв, веб-серверы, комп’ютери платiжної системи й т.iн.). Однак загальний рiвень безпеки мережi дорiвнює рiвню безпеки самої слабкої її ланки. Як вiдзначалося вище при розглядi типових уразливостей ОС, для рiдко використовуваних сервiсiв не встановлюють “латок”, що усувають виявленi уразливостi. Тому недооцiнка в захистi рiдко використовуваних сервiсiв, таких, як сервiс мережної печатки або мережного факсу, може бути використана зловмисниками для проникнення в Iнтранет або з її iнформацiйних ресурсiв.

Аналiз захищеностi робочих станцiй. Користувачi, не маючи вiдповiдну квалiфiкацiю в областi IБ, пiддають всi ресурси великому ризику, завантажуючи з Iнтернету, i встановлюючи непере-

вiрене ПЗ або пiдключаючи до свого комп’ютера модем. Також бiльшу небезпеку представляє електронна пошта, за допомогою якої зловмисники можуть впроваджувати на робочi станцiї користувачiв “троянськi конi”, що з паролi або дозволяють уживати цi комп’ютери як базова площадка для атаки на iншi комп’ютери мережi.

Виявлення конфiгурацiй за замовчуванням. Про цього вужа згадувалося вище. Результат очевидний: зловмисники, використовуючи вiдомi слабостi таких конфiгурацiй, найчастiше в ОС, проникають на вузли корпоративної мережi.

Аналiз захищеностi вилучених офiсiв. Iнтерес зловмисника спрямований, як правило, до тих крапкам Iнтранету, що де представляє для них iнтерес iнформацiя, iмовiрно, не iз захищеної, тобто до вузлiв або мереж, з якими встановленi довiренi вiдносини. А вилученi офiси ставляться саме до цiєї категорiї вузлiв.

Аналiз захищеностi доступу в Iнтернет. Метою даного аналiзу є виявлення всiх вiдомих уразивостей i неправильних конфiгурацiй, у першу чергу веб-сервера, а також будь-яких iнших пристроїв, що перебувають у ДМЗ (FTP-, DNS-сервера, поштового сервера й т.iн.).

Аналiз захищеностi специфiчних типiв мереж. У зв’язку з появою й поширенням нових мережних технологiй виникає необхiднiсть аналiзу їхньої уразливостi до типових мережних атак, наприклад можливостi несанкцiонованого пiдключення пристроїв доступу, до DoS-атак, пiдбору пароля до крапок доступу, неправильному конфiгуруванню й т.iн. Для специфiчних мереж типу бездротових (Wireless LAN), побудованих на основi стандарту 802.11b, потрiбно перевiряти й характернi тiльки для них уразливостi (у нашому випадку це слабостi Wired Equivalent Privacy, WEP).

Проведення детальних регулярних обстежень iз метою аналiзу захищеностi корпоративних ресурсiв i самих засобiв захисту.

Iснують як комерцiйнi, так i вiльно розповсюджуванi продукти для здiйснення автоматизованого контролю захищеностi. Важливо не просто один раз установити їх, але й постiйно обновлювати БД типових уразивостей.

(Докладнiше засобу аналiзу захищеностi з у другiй частинi пiд-

ручника.)

6.1.10 Виявлення вiдмов й оперативне вiдновлення

Однiєї з основних проблем побудови мереж є завдання забезпечення їхнього тривалого функцiонування, що означає усунення несправностей системи, породжуваних вiдмовами (faults) i збоями в її роботi. Виявлення вiдмов й оперативне вiдновлення ставиться до числа сервiсiв, що забезпечують надiйнiсть i високу доступнiсть (готовнiсть) (high availability). Його робота опирається на елементи архiтектурної безпеки, а саме на iснування надмiрностi в апаратно-програмнiй конфiгурацiї.

Сучаснi мережнi технологiї вимагають усунення крапок, вихiд яких з ладу може привести до вiдмови всiєї мережi. Сьогоднi при створеннi мереж характерне використання складних мережних пристроїв вiд рiзних постачальникiв, таких, як маршрутизатори й мережнi iнтелектуальнi комутатори (hubs). Маршрутизатори, якi визначають шлях даних у мережах, можуть обчислити новий шлях у випадку вiдмови зв’язку. Iнтелектуальнi комутатори можуть мати конфiгурацiї з надлишковими пристроями й можуть iзолювати вiдмови у фiзичнiй мережi для запобiгання вiдмови всiєї мережi. Важливу роль у пiдтримцi оптимального функцiонування систем грають також мережнi аналiзатори, що дозволяють викликати системного менеджера по будь-якому симптомi, що може потенцiйно привести до простою. Як правило, системнi компоненти типу драйверiв, файлових систем i мережних засобiв у випадку якої-небудь вiдмови просто повертають додатку код помилки. В ОС iз засобами забезпечення високої готовностi є можливiсть генерувати сигнали тривоги, iдентифiкувати їхнi джерела й передавати iнформацiю про їх централiзованому процесу обробки подiй.

Пiдвищення надiйностi засноване на принципi запобiгання несправностей шляхом зниження iнтенсивностi вiдмов i збоїв за рахунок застосування компонентiв з високим i надвисоким ступенем iнтеграцiї, зниження рiвня перешкод, полегшених режимiв роботи, а також за рахунок удосконалювання методiв зборки апаратури. Одиницею вимiру надiйностi є середнiй час наробiтку на вiдмову (Mean Time Between Failure, MTBF). Пiдвищення готовностi при-

виявлення й локалiзацiя несправностей у мережному устаткуваннi й мережi в цiлому в iнтересах мiнiмiзацiї часу вiдновлення;

облiк мережних й iнформацiйних ресурсiв в iнтересах забезпечення функцiй управлiння й планування;

контроль i управлiння продуктивнiстю мережi i її елементiв в iнтересах пiдтримки її працездатностi й рацiонального використання мережних ресурсiв;

забезпечення IБ.

Управлiння можна вiднести до числа iнфраструктурних сервiсiв, що забезпечують нормальну роботу функцiонально корисних компонентiв i засобiв безпеки. Складнiсть сучасних систем така, що без правильно органiзованого управлiння вони поступово деградують як у планi ефективностi, так й у планi захищеностi. Особливо важливою функцiєю управлiння є контроль погодженостi конфiгурацiй рiзних компонентiв (у змiстi семантичної погодженостi, що ставиться, наприклад, до наборiв правил декiлькох ME), постiйне адмiнiстрування й перевiрка на вiдповiднiсть полiтицi безпеки.

Розроблено протоколи мережного управлiння, що визначають стандартний метод контролю якого-небудь пристрою зi станцiї управлiння з метою визначення його стану, настроювань й iншої iнформацiї, а також його модифiкацiї. Основним протоколом управлiння, використовуваним у сiмействi TCP/IP, є протокол SNMP. Сам протокол дуже простий: вiн визначає тiльки iєрархiчний простiр iмен об’єктiв управлiння й спосiб читання/запису даних цих об’єктiв на кожному вузлi. Основна перевага цього протоколу полягає в тiм, що вiн дозволяє однаковим образом управляти всiма типами апаратних засобiв, незалежно вiд їхнього призначення й особливостей. Вiн надає вилучений поточний контроль i настроювання маршрутизаторiв, мостiв, мережних плат, комутаторiв i т.iн.

Для управлiння звичайно застосовуються так називанi платформи мережного управлiння, що дозволяють здiйснювати виявлення пристроїв у мережi, поєднувати модулi управлiння устаткуванням рiзних виробникiв, виконувати загальнi функцiї управлiння й оповiщення. Сьогоднi на ринку вже представленi продукти,

що володiють достатньою iнтелектуальнiстю, вiдкритiстю, розширюванiстю, масштабованiстю, продукти, прийнятнi за цiною й по споживаних ресурсах. У число найбiльш вiдомих платформ мережного управлiння входять HP OpenView, Solstice Domain Manager (Sun Microsystems), CA Unicenter, ШМ Tivoli, SNMPc (Castle Rock) i iн. Вони надають через зручнi iнтерфейси такi функцiональнi можливостi, як швидке конфiгурування настроювань мережi, виявлення пристроїв i каналiв зв’язку, складання карт мережi, виявлення виникаючих проблем, управлiння портами мережних пристроїв, контроль завантаження зi складанням звiтiв, що набудовують, i вiдправленням попереджувальних повiдомлень, спостереження за мережними подiями, запуск програм настроювання устаткування, а також надання графiчної й статистичної iнформацiї про роботу мережi в масштабi реального часу.

(Питання адаптивного управлiння IБ у мережах докладнiше розглядаються в другiй частинi пiдручника.)

6.2 Технологiя мiжмережних екранiв

Мiжмережний екран (МЕ) це спецiалiзований комплекс мiжмережного захисту, що називається також брандмауером або системою firewall. Мiжмережний екран дозволяє роздiлити загальну мережу на двi частини або бiльше й реалiзувати набiр правил, що визначають умови проходження пакетiв з даними через границю з однiєї частини загальної мережi в iншу. Як правило, ця границя проводиться мiж корпоративною (локальної) мережею пiдприємства й глобальною мережею Iнтернет.

Звичайно мiжмережнi екрани захищають внутрiшню мережу пiдприємства вiд вторгнень iз глобальної мережi Iнтернет, хоча вони можуть використатися й для захисту вiд нападiв з корпоративної iнтрамережi, до якої приєднана локальна мережа пiдприємства. Технологiя мiжмережних екранiв стала однiєї з найперших технологiй захисту корпоративних мереж вiд зовнiшнiх загроз. Для бiльшостi органiзацiй установка мiжмережного екрана є необхiдною умовою забезпечення безпеки внутрiшньої мережi.

Докладний огляд iсторiї появи мiжмережевих екранiв можна знайти в [44, глава 3].

6.2.1 Функцiї мiжмережних екранiв

Для протидiї несанкцiонованому мiжмережному доступу мiжмережний екран повинен розташовуватися мiж мережею органiзацiї, що пiдлягає захисту, яка є внутрiшньої, i потенцiйно ворожою зовнiшньою мережею (рис. 6.3). При цьому всi взаємодiї мiж цими мережами повиннi здiйснюватися тiльки через мiжмережний екран. Органiзацiйно мiжмережний екран входить до складу мережi, що пiдлягає захисту.

Рис. 6.3. Схема пiдключення мiжмережного екрана

Мiжмережний екран, що захищає вiдразу багато вузлiв внутрiшньої мережi, призначений для вирiшення двох основних завдань:

обмеження доступу зовнiшнiх (стосовно мережi, що захищається) користувачiв до внутрiшнiх ресурсiв корпоративної мережi. До таких користувачiв можуть бути вiднесенi партнери, вiддаленi користувачi, хакери й навiть спiвробiтники самої компанiї, що пробують одержати доступ до серверiв баз даних, що захищаються мiжмережним екраном;

розмежування доступу користувачiв мережi, захищається, до зовнiшнiх ресурсiв.

Вирiшення цього завдання дозволяє, наприклад, регулювати доступ до серверiв, що не вимагається для виконання службових обов’язкiв.

Дотепер не iснує єдиної загальновизнаної класифiкацiї мiжмережних екранiв. МЕ можна класифiкувати за наступними основними ознаками [28].

За функцiонуванням на рiвнях моделi OSI:

пакетний фiльтр (екрануючий маршрутизатор screening router);

шлюз сеансового рiвня (екрануючий транспорт);

прикладний шлюз (application gateway);

шлюз експертного рiвня (stateful inspection firewall). За використовуваною технологiєю:

контроль стану протоколу (stateful inspection);

на основi модулiв посередникiв (proxy). За виконанням:

апаратно-програмний;

програмний.

За схемою пiдключення:

схема єдиного захисту мережi;

схема iз захищеним закритим i незахищеним вiдкритим сегментами мережi;

схема з роздiльним захистом закритого й вiдкритого сегментiв мережi.

6.2.1.1. Фiльтрацiя трафiка

Фiльтрацiя iнформацiйних потокiв полягає в їхньому вибiрковому пропусканнi через екран, можливо, з виконанням деяких перетворень [10, 28]. Фiльтрацiя здiйснюється на основi набору попередньо завантажених у мiжмережний екран правил, що вiдповiдають прийнятiй полiтицi безпеки. Тому мiжмережний екран зручно представляти як послiдовнiсть фiльтрiв, що обробляють iнформацiйний потiк (рис. 6.4).

Кожний з фiльтрiв призначений для iнтерпретацiї окремих правил фiльтрацiї шляхом виконання наступних дiй:

Аналiз iнформацiї iз заданих в iнтепретованирх правилах критерiях, наприклад за адресами одержувача й вiдправника або за типом додатку, для якого ця iнформацiя призначена.

Рис. 6.4. Структура мiжмережного екрана

Прийняття на основi iнтепретованих правил одного з наступних рiшень:

не пропустити данi;

обробити данi вiд iменi одержувача й повернути результат вiдправниковi;

передати данi на наступний фiльтр для продовження аналiзу;

пропустити данi, iгноруючи наступнi фiльтри.

Правила фiльтрацiї можуть задавати й додатковi дiї, якi вiдно-

сяться до функцiй посередництва, наприклад перетворення даних, реєстрацiї подiй i iн. Вiдповiдно, правила фiльтрацiї визначають перелiк умов, за яких здiйснюється:

дозвiл або заборона подальшої передачi даних;

виконання додаткових захисних функцiй.

Як критерiї аналiзу iнформацiйного потоку можуть використатися наступнi параметри:

службовi поля пакетiв повiдомлень, що мiстять мережнi адреси, iдентифiкатори, адреси iнтерфейсiв, номера портiв i iншi значимi данi;

безпосереднiй умiст пакетiв повiдомлень, що перевiряється, наприклад, на наявнiсть комп’ютерних вiрусiв;

зовнiшнi характеристики потоку iнформацiї, наприклад часовi, частотнi характеристики, обсяг даних i т.iн.

Використовуванi критерiї аналiзу залежать вiд рiвнiв моделi

OSI, на яких здiйснюється фiльтрацiя. У загальному випадку чим вище рiвень моделi OSI, на якому МЕ фiльтрує пакети, тим вище й забезпечуваний ними рiвень захисту.

6.2.1.2. Виконання функцiй посередництва

Функцiї посередництва МЕ виконує за допомогою спецiальних програм, що називаються екрануючими агентами, або програмами-посередниками. Данi програми є резидентними й забороняють безпосередню передачу пакетiв повiдомлень мiж зовнiшньою й внутрiшньою мережами. При необхiдностi доступу iз внутрiшньої мережi в зовнiшню мережу або навпаки спочатку повинне бути встановлене логiчне з’єднання iз програмоюпосередником, що функцiонує на комп’ютерi МЕ. Програмапосередник перевiряє допустимiсть запитаної мiжмережної взаємодiї й при одержаннi дозволу сама встановлює окреме з’єднання з необхiдним комп’ютером. Далi обмiн iнформацiєю мiж комп’ю- терами внутрiшньої й зовнiшньої мереж здiйснюється через програмного посередника, що може виконувати фiльтрацiю потоку повiдомлень, а також здiйснювати iншi захиснi функцiї.

Варто мати на увазi, що МЕ може виконувати функцiї фiльтрацiї без застосування програм-посередникiв, забезпечуючи прозору взаємодiю мiж внутрiшньою й зовнiшньою мережами. Разом з тим програмнi посередники можуть i не здiйснювати фiльтрацiю потоку повiдомлень.

У загальному випадку програми-посередники, блокуючи прозору передачу потоку повiдомлень, можуть виконувати наступнi функцiї:

перевiрку дiйсностi переданих даних;

фiльтрацiю й перетворення потоку повiдомлень, наприклад динамiчний пошук вiрусiв i прозоре шифрування iнформацiї;

розмежування доступу до ресурсiв внутрiшньої мережi;

розмежування доступу до ресурсiв зовнiшньої мережi;

гешування даних, запитуваних iз зовнiшньої мережi;

iдентифiкацiю й автентифiкацiю користувачiв;

трансляцiю внутрiшнiх мережних адрес для вихiдних пакетiв повiдомлень;

реєстрацiю подiй, реагування на заданi подiї, а також аналiз зареєстрованої iнформацiї й генерацiю звiтiв [10, 28]. Програми-посередники можуть здiйснювати перевiрку дiйсно-

стi одержуваних i переданих даних. Це актуально для автентифiкацiї не тiльки електронних повiдомлень, але й мiгруючих програм (Java, Active Controls), стосовно яких може бути виконана пiдробка. Перевiрка дiйсностi повiдомлень i програм полягає в контролi їхнiх цифрових пiдписiв.

Програми-посередники можуть виконувати розмежування доступу до ресурсiв внутрiшньої або зовнiшньої мережi, використовуючи результати iдентифiкацiї й автентифiкацiї користувачiв при їхньому звертаннi до мiжмережного екрана.

Способи розмежування доступу до ресурсiв внутрiшньої мережi практично не вiдрiзняються вiд способiв розмежування, пiдтримуваних на рiвнi операцiйної системи.

При розмежуваннi доступу до ресурсiв зовнiшньої мережi найчастiше використовується один з наступних пiдходiв:

дозвiл доступу тiльки по заданих адресах у зовнiшнiй мережi;

фiльтрацiя запитiв на основi обновлюваних спискiв неприпустимих адрес i блокування пошуку iнформацiйних ресурсiв по небажаних ключових словах;

нагромадження й вiдновлення адмiнiстратором санкцiонованих iнформацiйних ресурсiв зовнiшньої мережi в дисковiй пам’ятi

МЕ й повна заборона доступу в зовнiшню мережу.

За допомогою спецiальних посередникiв пiдтримується також гешування даних, запитуваних iз зовнiшньої мережi. При доступi користувачiв внутрiшньої мережi до iнформацiйних ресурсiв зовнiшньої мережi вся iнформацiя накопичується на просторi жорсткого диска МЕ, що називається в цьому випадку proxy-сервером. Тому якщо при черговому запитi потрiбна iнформацiя виявиться на proxy-серверi, то посередник надає її без звертання до зовнiшньої мережi, що iстотно прискорює доступ. Адмiнiстратору варто подбати тiльки про перiодичне вiдновлення вмiсту proxy-сервера.

Функцiя гешування успiшно може використатися для обмеження доступу до iнформацiйних ресурсiв зовнiшньої мережi. У цьому випадку всi санкцiонованi iнформацiйнi ресурси зовнiшньої мережi накопичуються й обновляються адмiнiстратором на proxy-серверi.

Користувачам внутрiшньої мережi дозволяється доступ тiльки до iнформацiйних ресурсiв proxy-сервера, а безпосереднiй доступ до ресурсiв зовнiшньої мережi забороняється.

Фiльтрацiя й перетворення потоку повiдомлень виконується посередником на основi заданого набору правил. Тут варто розрiзняти два види програм-посередникiв:

екрануючi агенти, орiєнтованi на аналiз потоку повiдомлень для певних видiв сервiсу, наприклад FTP, HTTP, Telnet;

унiверсальнi екрануючi агенти, що обробляють весь потiк по-

вiдомлень, наприклад агенти, орiєнтованi на пошук i знешкодження комп’ютерних вiрусiв або прозоре шифрування даних. Програмний посередник аналiзує вступникiв до нього пакети даних, i якщо який-небудь об’єкт не вiдповiдає заданим критерiям, то посередник або блокує його подальше просування, або виконує вiдповiднi перетворення, наприклад знешкодження виявлених комп’ютерних вiрусiв. При аналiзi вмiсту пакетiв важливо, щоб екрануючий агент мiг автоматично розпаковувати поточнii

файловi архiви.

МЕ з посередниками дозволяють також органiзовувати захищенi вiртуальнi мережi VPN (Virtual Private Network), наприклад безпечно об’єднувати кiлька локальних мереж, пiдключених до Iнтернету, в одну вiртуальну мережу.

Дальше розглянута реалiзацiя вiжмережними екранами таких функцiй, як iдентифiкацiя й автентифiкацiя користувачiв, трансляцiя внутрiшнiх мережних адрес для вихiдних пакетiв повiдомлень, реєстрацiя подiй, реагування на заданi подiї, а також аналiз зареєстрованої iнформацiї й генерацiя звiтiв.

6.2.1.3. Додатковi можливостi МЕ

Крiм виконання фiльтрацiї трафiка й функцiй посередництва деякi мiжмережнi екрани дозволяють реалiзувати ряд iнших, не менш важливих функцiй, без яких забезпечення захисту периметра внутрiшньої мережi було б неповним [10].

Iдентифiкацiя й автентифiкацiя користувачiв

Крiм дозволу або заборони допуску рiзних додаткiв у мережу, мiжмережнi екрани можуть також виконувати аналогiчнi дiї й для користувачiв, якi бажають одержати доступ до зовнiшнiх або внутрiшнiх ресурсiв, що дiляться мiжмережним екраном.

Перш нiж користувачевi буде надане право використати якийнебудь сервiс, необхiдно переконатися, що користувач дiйсно той, за кого себе видає. Iдентифiкацiя й автентифiкацiя користувачiв є важливими компонентами концепцiї мiжмережних екранiв. Авторизацiя користувача звичайно розглядається в контекстi автентифiкацiї як тiльки користувач автентифiкований, для нього визначаються дозволенi йому сервiси.

Iдентифiкацiя й автентифiкацiя користувача iнодi здiйснюються при пред’явленнi звичайного iдентифiкатора (iменi) i пароля. Однак ця схема уразлива з погляду безпеки пароль може бути перехоплений i використаний iншою особою. Багато iнцидентiв у мережi Iнтернет вiдбулися почасти через уразливiсть традицiйних багаторазових паролiв. Зловмисники можуть спостерiгати за каналами в мережi Iнтернет i перехоплювати переданi в них вiдкритим текстом паролi, тому така схема автентифiкацiї вважається неефективною. Пароль варто передавати через загальнодоступнi комунiкацiї в зашифрованому видi (рис. 6.5). Це дозволяє запобiгти одержанню несанкцiонованого доступу шляхом перехоплення мережних пакетiв.

Бiльш надiйним методом автентифiкацiї є використання одноразових паролiв. Широке поширення одержала технологiя автентифiкацiї на основi одноразових паролiв SecurID, розроблена компанiєю Security Dynamics i реалiзована в комунiкацiйних серверах ряду компанiй, зокрема в серверах компанiї Cisco Systems i iн. (див. глави 6 i 12).

Зручним та надiйним є також застосування цифрових сертифiкатiв, що видаються довiреними органами, наприклад центром розподiлу ключiв. Бiльшiсть програм-посередникiв розроблюється таким чином, щоб користувач був автентифiкованим тiльки на початку сеансу роботи з мiжмережним екраном. Пiсля цього вiд нього не потрiбна додаткова автентифiкацiя протягом часу, обумов-

Рис. 6.5. Схема автентифiкацiї користувача по пропонованому паролi

леного адмiнiстратором.

Оскiльки мiжмережнi екрани можуть централiзувати керування доступом у мережi, вони є пiдходящим мiсцем для установки програм або пристроїв посиленої автентифiкацiї. Хоча засоби посиленої автентифiкацiї можуть використовуватися на кожному хостi, бiльш практичним є їхнє розмiщення на мiжмережному екранi. При вiдсутностi мiжмережного екрана, що використає заходи посиленої автентифiкацiї, неавтентийфiкований трафiк таких додаткiв, як Telnet або FTP, може прямо проходити до внутрiшнiх систем у мережi.

Ряд мiжмережних екранiв пiдтримують Kerberos один з розповсюджених методiв автентифiкацiї. Як правило, бiльшiсть комерцiйних мiжмережних екранiв пiдтримує кiлька рiзних схем автентифiкацiї, дозволяючи адмiнiстраторовi мережної безпеки зробити вибiр найбiльш прийнятної схеми для своїх умов.

Трансляцiя мережних адрес

Для реалiзацiї багатьох атак зловмисниковi необхiдно знати адреса своєї жертви. Щоб приховати цi адреси, а також топологiю всiєї мережi, мiжмережнi екрани виконують дуже важливу функцiю трансляцiю внутрiшнiх мережних адрес (network address translation) рис. 6.6.

Рис. 6.6. Трансляцiя мережних адрес

Дана функцiя реалiзується стосовно всiх пакетiв, що виходять iз внутрiшньої мережi в зовнiшню. Для цих пакетiв виконується автоматичне перетворення IP-адрес комп’ютерiв-вiдправникiв в одну “надiйну” IP-адресу.

Трансляцiя внутрiшнiх мережних адрес може здiйснювати двома способами: динамiчно й статично. У першому випадку адреса видiляється вузлу в момент звертання до МЕ. Пiсля завершення з’єднання адреса звiльняється й може бути використаний будьяким iншим вузлом корпоративної мережi. У другому випадку адреса вузла завжди прив’язується до однiєї адреси МЕ, з якого передаються всi вихiднi пакети. IP-адреса МЕ стає єдиною активною IP-адресю, що попадає в зовнiшню мережу. У результатi всi вихiднi iз внутрiшньої мережi пакети виявляються вiдправленими МЕ, що виключає прямий контакт мiж авторизованою внутрi-

шньою мережею й зовнiшньою мережею, що є потенцiйно небезпечною.

При такому пiдходi топологiя внутрiшньої мережi прихована вiд зовнiшнiх користувачiв, що ускладнює завдання несанкцiонованого доступу. Крiм пiдвищення безпеки трансляцiя адрес дозволяє мати усерединi мережi власну систему адресацiї, не погоджену з адресацiєю в зовнiшнiй мережi, наприклад у мережi Iнтернет. Це ефективно вирiшує проблему розширення адресного простору внутрiшньої мережi й дефiциту адрес зовнiшньої мережi.

Адмiнiстрування, реєстрацiя подiй i генерацiя звiтiв

Простота й зручнiсть адмiнiстрування є одним iз ключових аспектiв у створеннi ефективної й надiйної системи захисту. Помилки при визначеннi правил доступу можуть утворити дiру, через яку може бути зламана система. Тому в бiльшостi мiжмережних екранiв реалiзованi сервiснi утилiти, що полегшують уведення, видалення, перегляд набору правил. Наявнiсть цих утилiт дозволяє також робити перевiрки на синтаксичнi або логiчнi помилки при уведеннi або редагування правил. Як правило, цi утилiти дозволяють переглядати iнформацiю, згруповану за будь-якими критерiями, наприклад, усе, що вiдноситься до конкретного користувача або сервiсу.

Важливими функцiями мiжмережних екранiв є реєстрацiя подiй, реагування на заданi подiї, а також аналiз зареєстрованої iнформацiї й складання звiтiв. Будучи критичним елементом системи захисту корпоративної мережi, мiжмережний екран має можливiсть реєстрацiї всiх дiй, що ним фiксуються. До них вiдносяться не тiльки пропуск або блокування мережних пакетiв, але й змiна правил розмежування доступу адмiнiстратором безпеки й iнших дiй. Така реєстрацiя дозволяє звертатися до створюваних журналiв у мiру необхiдностi у випадку виникнення iнциденту безпеки або збору доказiв для надання їх у судовi iнстанцiї або для внутрiшнього розслiдування.

При правильно налаштованiй системi фiксацiї сигналiв про пiдозрiлi подiї (alarm) мiжмережний екран може дати детальну iнформацiю про те, чи були мiжмережний екран або мережа атако-

ванi або зондированi. Збирати статистику використання мережi й докази її зондування важливо з ряду причин. Насамперед , потрiбно знати напевно, що мiжмережний екран стiйкий до зондування й атак, i визначити, чи адекватнi заходи захисту мiжмережного екрана. Крiм того, статистика використання мережi важлива в якостi вихiдних даних при проведеннi дослiджень i аналiзi ризику для формулювання вимог до мережного встаткування й програм.

Багато МЕ мають потужну систему реєстрацiї, збору й аналiзу статистики. Облiк може вестися по адресах клiєнта й сервера, iдентифiкаторам користувачiв, часу сеансiв, часу з’єднань, кiлькостi переданих/прийнятих даних, дiям адмiнiстратора й користувачiв. Системи облiку дозволяють зробити аналiз статистики й надають адмiнiстраторам докладнi звiти. За рахунок використання спецiальних протоколiв МЕ можуть виконати вiддалене оповiщення про певнi подiї в режимi реального часу.

Обов’язковою реакцiєю на виявлення спроб виконання несанкцiонованих дiй повинне бути визначене повiдомлення адмiнiстратора, тобто видача попереджувальних сигналiв. Будь-який МЕ, що не здатний посилати попереджувальнi сигнали при виявленнi нападу, не можна вважати ефективним засобом мiжмережний захисту.

6.2.2Особливостi функцiонування мiжмережних екранiв на рiзних рiвнях моделi OSI

МЕ пiдтримують безпеку мiжмережної взаємодiї на рiзних рiвнях моделi OSI. При цьому функцiї захисту, що реалiзуються на рiзних рiвнях еталонної моделi, iстотно вiдрiзняються один вiд одного. Тому комплексний МЕ зручно представити у виглядi сукупностi неподiльних екранiв, кожний з яких орiєнтований на окремий рiвень моделi OSI.

Найчастiше комплексний екран функцiонує на мережному, сеансовом i прикладному рiвнях еталонної моделi. Вiдповiдно, розрiзняють такi неподiльнi МЕ (рис. 6.7), як:

екрануючий маршрутизатор;

шлюз сеансового рiвня (екрануючий транспорт);

шлюз прикладного рiвня (екрануючий шлюз) [10, 28].

Рис. 6.7. Типи мiжмережних екранiв, що функцiонують на окремих рiвнях моделi OSI

Використовуванi в мережах протоколи (TCP/IP, SPX/IPX) не повнiстю вiдповiдають еталоннiй моделi OSI, тому екрани перерахованих типiв при виконаннi своїх функцiй можуть охоплювати

йсусiднi рiвнi еталонної моделi. Наприклад, прикладний екран може здiйснювати автоматичне зашифровування повiдомлень при їхнiй передачi в зовнiшню мережу, а також автоматичне розшифровування криптографiчно закритих прийнятих даних. У цьому випадку такий екран функцiонує не тiльки на прикладному рiвнi моделi, але й на рiвнi подання.

Шлюз сеансового рiвня при своєму функцiонуваннi охоплює транспортний i мережний рiвнi моделi OSI. Екрануючий маршрутизатор при аналiзi пакетiв повiдомлень перевiряє їхнi заголовки не тiльки мережного, але й транспортного рiвня.

Мiжмережнi екрани зазначених типiв мають свої достоїнства

йнедолiки. Багато з використовуваних МЕ є або прикладними шлюзами, або екрануючими маршрутизаторами, що не забезпечують повну безпеку мiжмережної взаємодiї. Надiйний же захист забезпечують тiльки комплекснi мiжмережнi екрани, кожний з яких поєднує екрануючий маршрутизатор, шлюз сеансового рiвня, а також прикладний шлюз.

6.2.2.1. Екрануючий маршрутизатор

Екрануючий маршрутизатор (screening router), що називаєтьсятакож пакетним фiльтром (packet filter), призначений для фiльтрацiї пакетiв повiдомлень i забезпечує прозору взаємодiя мiж внутрiшньою й зовнiшньою мережами. Вiн функцiонує на мережному рiвнi еталонної моделi OSI, але для виконання своїх окремих функцiй може охоплювати й транспортний рiвень еталонної моделi.

Рiшення про те, пропустити або вiдбракувати данi, приймається для кожного пакета незалежно на основi заданих правил фiльтрацiї. Для ухвалення рiшення аналiзуються заголовки пакетiв мережного й транспортного рiвнiв (рис. 6.8).

Рис. 6.8. Схема функцiонування пакетного фiльтра

Як аналiзованi поля IP- i TCP (UDP) заголовкiв кожного пакета можуть використовуватися:

адреса вiдправника;

адреса одержувача;

тип пакета;

прапорець фрагментацiї пакета;

номер порту джерела;

номер порту одержувача.

Першi чотири параметри вiдносяться до IP-заголовку пакета,

анаступнi до TCP або UDP-заголовка. Адреси вiдправника й одержувача є IP-адресами. Цi адреси заповнюються при формуваннi пакета й залишаються незмiнними при передачi його по мережi.

Поле типу пакета мiстить код протоколу ICMP, що вiдповiдає мережному рiвню, або код протоколу транспортного рiвня (TCP або UDP), до якого ставиться аналiзований IP-пакет.

Прапорець фрагментацiї пакета визначає наявнiсть або вiдсутнiсть фрагментацiї IP-пакетiв. Якщо прапорець фрагментацiї для аналiзованого пакета встановлений, то даний пакет є пiдпакетом фрагментованого IP-пакета.

Номера портiв джерела й одержувача додаються драйвером TCP або UDP до кожного пакету повiдомлення, що вiдправляється, й однозначно iдентифiкують додаток-вiдправник, а також додаток, для якого призначений цей пакет. Для можливостi фiльтрацiї пакетiв по номерах портiв необхiдне знання прийнятих у мережi угод щодо видiлення номерiв портiв протоколам високого рiвня.

При обробцi кожного пакета маршрутизатор, що екранує, послiдовно переглядає задану таблицю правил, поки не знайде правила, з яким погодиться повна асоцiацiя пакета. Тут пiд асоцiацiєю розумiється сукупнiсть параметрiв, зазначених у заголовках даного пакета. Якщо маршрутизатор, що екранує, одержав пакет, що не вiдповiдає жодному з табличних правил, вiн застосовує правило, задане за замовчуванням. З мiркувань безпеки це правило звичайно вказує на необхiднiсть вiдбраковування всiх пакетiв, що не задовольняють жодному з iнших правил.

Пакетнi фiльтри можуть бути реалiзованi як апаратно, так i програмно. Як пакетний фiльтр можуть бути використанi як звичайний маршрутизатор, так i працююча на серверi програма, сконфiгурованi таким чином, щоб фiльтрувати вхiднi й вихiднi пакети. Сучаснi маршрутизатори, зокрема компанiй Cisco i Bay Networks, дозволяють зв’язувати з кожним портом кiлька десяткiв правил i фiльтрувати пакети як на входi, так i на виходi.

Володiючи рядом позитивних якостей, пакетнi фiльтри не позбавленi серйозних недолiкiв. Вони не забезпечують високого ступеня безпеки, тому що перевiряють тiльки заголовки пакетiв i не пiдтримують багато необхiдних функцiй захисту, наприклад автентифiкацiю кiнцевих вузлiв, криптографiчне закриття пакетiв повiдомлень, а також перевiрку їхньої цiлiсностi й дiйсностi. Пакетнi фiльтри уразливi для таких розповсюджених мережних атак,

як пiдмiна вихiдних адрес i несанкцiонована змiна вмiсту пакетiв повiдомлень. “Обдурити” МЕ даного типу не важко досить сформувати заголовки пакетiв, якi задовольняють розв’язним правилам фiльтрацiї. Однак такi достоїнства пакетних фiльтрiв, як простота реалiзацiї, висока продуктивнiсть, прозорiсть для програмних додаткiв i мала цiна, обумовлена тим, що будь-який маршрутизатор у тiй чи iншi мiрi надає можливiсть фiльтрацiї пакетiв,перевершують зазначенi недолiки й спричиняють їхнє повсюдне поширення й використання як обов’язкового елемента системи мережної безпеки. Крiм того, вони є складовою частиною практично всiх мiжмережних екранiв, що використають контроль стану.

6.2.2.2. Шлюз сеансового рiвня

Шлюз сеансового рiвня, який називають ще екрануючим транспортом, призначений для контролю вiртуальних з’єднань i трансляцiї IP-адрес при взаємодiї iз зовнiшньою мережею. Вiн функцiонує на сеансовом рiвнi моделi OSI, охоплюючи в процесi своєї роботи також транспортний i мережний рiвнi еталонної моделi. Захиснi функцiї шлюзу сеансового рiвня вiдносяться до функцiй посередництва.

Контроль вiртуальних з’єднань полягає в контролi квитуваннi зв’язку, а також контролi передачi iнформацiї iз установлених вiртуальних каналiв. При контролi квитування зв’язку шлюз сеансового рiвня стежить за встановленням вiртуального з’єднання мiж робочою станцiєю внутрiшньої мережi й комп’ютером зовнiшньої мережi, визначаючи, чи є запитуваний сеанс зв’язку припустимим.

Такий контроль ґрунтується на iнформацiї, що втримується в заголовках пакетiв сеансового рiвня протоколу TCP. Однак якщо пакетний фiльтр при аналiзi TCP-заголовкiв з тiльки номера портiв джерела й одержувача, то екрануючий транспорт аналiзує iншi поля, що вiдносяться до процесу квитування зв’язку.

Щоб визначити, чи є запит на сеанс зв’язку припустимим, шлюз сеансового рiвня виконує наступнi дiї. Коли робоча станцiя (клiєнт) запитує зв’язок iз зовнiшньою мережею, шлюз приймає цей запит, перевiряючи, чи задовольняє вiн базовим критерiям фiльтрацiї, наприклад, чи може сервер визначити IP-адрес

клiєнта й асоцiйоване з ним iм’я. Потiм, дiючи вiд iменi клiєнта, шлюз установлює з’єднання з комп’ютером зовнiшньої мережi й стежить за виконанням процедури квитування зв’язку за протоколом TCP.

Ця процедура складається з обмiну TCP-пакетами, якi позначаються прапорцями SYN (Синхронiзувати) i ACK (Пiдтвердити),рис. 6.9.

Рис. 6.9. Схема квитування зв’язку за протоколом TCP

Перший пакет сеансу TCP, що позначений прапорцем SYN має довiльне число, наприклад 1000, є запитом клiєнта на вiдкриття сеансу. Комп’ютер зовнiшньої мережi, що одержав цей пакет, посилає у вiдповiдь пакет, що позначений прапорцем АСК i має число, на одиницю бiльше, нiж у прийнятому пакетi (у нашому випадку 1001), пiдтверджуючи в такий спосiб прийом пакета SYN вiд клiєнта. Далi здiйснюється зворотна процедура: комп’ютер зовнiшньої мережi посилає також клiєнтовi пакет SYN, але вже з порядковим номером першого байта переданих даних (наприклад, 2000), а клiєнт пiдтверджує його одержання передачею пакета АСК, що мiстить число 2001. На цьому процес квитування зв’язку завершується.

Для шлюзу сеансового рiвня (рис. 6.10) запитаний сеанс ува-

жається припустимим тiльки в тому випадку, якщо при виконаннi процедури квитування зв’язку прапорцi SYN i АСК, а також числа, що мiстяться в заголовках TCP-пакетiв, виявляються логiчно зв’язаними мiж собою.

Рис. 6.10. Схема функцiонування шлюзу сеансового рiвня

Пiсля того як шлюз визначив, що робоча станцiя внутрiшньої мережi й комп’ютер зовнiшньої мережi є авторизованими учасниками сеансу TCP, i перевiрив допустимiсть даного сеансу, вiн установлює з’єднання. При цьому шлюз помiщає в спецiальну таблицю з’єднань вiдповiдну iнформацiю (адреси вiдправника й одержувача, стан з’єднання, iнформацiю про номер послiдовностi й т.iн.).

Починаючи iз цього моменту шлюз копiює й перенаправляє пакети туди й назад, контролюючи передачу iнформацiї iз установленого вiртуального каналу. Вiн пiдтримує таблицю встановлених з’єднань, пропускаючи данi, що вiдносяться до одному iз сеансiв зв’язку, якi зафiксованi в цiй таблицi. Коли сеанс завершується, шлюз видаляє вiдповiдний елемент iз таблицi й розриває ланцюг, що використовувався в даному сеансi. Всi наступнi пакети, якi можуть бути сформованi зловмисником i “як би вiдносяться” до вже завершеного з’єднання, вiдкидаються.

У процесi контролю передачi iнформацiї з вiртуальних кана-

лiв фiльтрацiя пакетiв шлюзом сеансового рiвня не здiйснюється. Однак шлюз сеансового рiвня здатний вiдслiдковувати кiлькiсть переданої iнформацiї й розривати з’єднання пiсля перевищення певної межi, перешкоджаючи тим самим несанкцiонованому експорту iнформацiї. Можливо також нагромадження реєстрацiйної iнформацiї про вiртуальнi з’єднання.

Для контролю вiртуальних з’єднань у шлюзах сеансового рiвня використаються спецiальнi програми, якi називають канальними посередниками (pipe proxies). Цi посередники встановлюють мiж внутрiшньою й зовнiшньою мережами вiртуальнi канали, а потiм контролюють передачу по цих каналах пакетiв, що генеруються додатками TCP/IP.

Канальнi посередники орiєнтованi на конкретнi служби TCP/IP. Тому шлюзи сеансового рiвня можуть використовуватися для розширення можливостей шлюзiв прикладного рiвня, робота яких ґрунтується на програмах-посередниках конкретних додаткiв.

Шлюз сеансового рiвня забезпечує також трансляцiю внутрiшнiх адрес мережного рiвня (IP-адрес) при взаємодiї iз зовнiшньою мережею. Трансляцiя внутрiшнiх адрес виконується стосовно всiх пакетiв, що виходять iз внутрiшньої мережi в зовнiшню. Для цих пакетiв IP-адрес комп’ютерiв-вiдправникiв внутрiшньої мережi автоматично перетворяться в одну IP-адресу, асоцiйовану iз екрануючим транспортом. У результатi всi пакети, що виходять iз внутрiшньої мережi, виявляються вiдправленими мiжмережним екраном, що виключає прямий контакт мiж внутрiшньою й зовнiшньою мережами. IP-адрес шлюзу сеансового рiвня стає єдиною активною IP-адресю, що попадає в зовнiшню мережу.

Трансляцiя адрес викликана необхiднiстю посилення захисту шляхом приховування вiд зовнiшнiх користувачiв структури внутрiшньої мережi, що пiдлягає захисту. При трансляцiї внутрiшнiх IP-адрес шлюз сеансового рiвня екранує, тобто заслоняє внутрiшню мережу вiд зовнiшнього оточення.

З iншого боку, трансляцiя адрес викликана тим, що канальнi посередники створюють нове з’єднання щораз , коли вони активiзуються. Посередник приймає запит вiд робочої станцiї внутрiшньої мережi й потiм iнiцiює новий запит до комп’ютера зовнi-

шньої мережi. Тому комп’ютер зовнiшньої мережi сприймає запит як вихiдний вiд посередника, а не вiд дiйсного клiєнта.

З погляду реалiзацiї шлюз сеансового рiвня являє собою досить просту й вiдносно надiйну програму. Вiн доповнює екрануючий маршрутизатор функцiями контролю вiртуальних з’єднань i трансляцiї внутрiшнiх IP-адрес.

Недолiки в шлюзу сеансового рiвня тi ж, що й у екрануючого маршрутизатора, не забезпечуються контроль i захист умiсту пакетiв повiдомлень, не пiдтримуються автентифiкацiя користувачiв i кiнцевих вузлiв, а також iншi функцiї захисту локальної мережi. У даної технологiї є ще один серйозний недолiк неможливiсть перевiрки вмiсту поля даних. У результатi зловмисниковi представляється можливiсть передачi в мережу, що пiдлягає захисту, “троянських коней” i iнших шкiдливих програм. Крiм того, при перехопленнi TCP-сесiї (TCP hijacking) зловмисник може реалiзовувати свої атаки навiть у рамках дозволеної сесiї.

На практицi бiльшiсть шлюзiв сеансового рiвня не є самостiйними продуктами, а поставляються в комплектi зi шлюзами прикладного рiвня. Прикладами таких шлюзiв є Gauntlet Internet Firewall компанiї Trusted Information Systems i AltaVista Firewall компанiї DEC.

6.2.2.3. Прикладний шлюз

Прикладний шлюз, що називається також екрануючим шлюзом шлюзом, функцiонує на прикладному рiвнi моделi OSI, охоплюючи також рiвень подання, i забезпечує найбiльш надiйний захист мiжмережних взаємодiй [10, 28]. Захиснi функцiї прикладного шлюзу, як i шлюзу сеансового рiвня, вiдносяться до функцiй посередництва. Однак прикладний шлюз, на вiдмiну вiд шлюзу сеансового рiвня, може виконувати iстотно бiльшу кiлькiсть функцiй захисту, до яких вiдносяться наступнi:

iдентифiкацiя й автентифiкацiя користувачiв при спробi встановлення з’єднань через МЕ; перевiрка дiйсностi iнформацiї, переданої через шлюз;

розмежування доступу до ресурсiв внутрiшньої й зовнiшньої мереж;

фiльтрацiя й перетворення потоку повiдомлень, наприклад динамiчний пошук вiрусiв i прозоре шифрування iнформацiї;

реєстрацiя подiй, реагування на заданi подiї, а також аналiз зареєстрованої iнформацiї й генерацiя звiтiв;

гешування даних, запитуваних iз зовнiшньої мережi. Оскiльки функцiї прикладного шлюзу вiдносяться до функцiй

посередництва, цей шлюз являє собою унiверсальний комп’ютер, на якому функцiонують програмнi посередники (екрануючi агенти) по одному для кожного обслуговуючого прикладного протоколу (HTTP, FTP, SMTP, NNTP i iн.). Програмний посередник (application proxy) кожної служби TCP/IP орiєнтований на обробку повiдомлень i виконання функцiй захисту, що вiдносяться саме до цiєї служби.

Прикладний шлюз перехоплює за допомогою вiдповiдних екрануючих агентiв вхiднi й вихiднi пакети, копiює й перенаправляє iнформацiю, тобто прикладний шлюз функцiонує як посередник, виключаючи прямi з’єднання мiж внутрiшньою й зовнiшньою мережами (рис. 6.11).

Рис. 6.11. Схема функцiонування прикладного шлюзу

Посередники, що використовуються прикладним шлюзом, мають важливi вiдмiнностi вiд канальних посередникiв шлюзiв сеансового рiвня. По-перше, посередники прикладного шлюзу пов’язанi з конкретними додатками (програмними серверами), по-друге, вони можуть фiльтрувати потiк повiдомлень на прикладному рiвнi моделi OSI.

Прикладнi шлюзи використовують як посередникiв спецiально розробленi для цiєї мети програмнi сервери конкретних служб TCP/IP сервери HTTP, FTP, SMTP, NNTP i iн. Цi програмнi сервери функцiонують на МЕ в резидентному режимi й реалiзують функцiї захисту, що вiдносяться до вiдповiдних служб TCP/IP. Трафiк UDP обслуговується спецiальним транслятором умiсту UDP-пакетiв.

Як i у випадку шлюзу сеансового рiвня, для зв’язку мiж робочою станцiєю внутрiшньої мережi й комп’ютером зовнiшньої мережi вiдповiдний посередник прикладного шлюзу утворить два з’єднання: вiд робочої станцiї до МЕ й вiд МЕ до мiсця призначення. Але, на вiдмiну вiд канальних посередникiв, посередники прикладного шлюзу пропускають тiльки пакети, згенерированi тими додатками, якi їм доручено обслуговувати. Наприклад, посередник служби HTTP може обробляти лише трафiк, що генерується цiєю службою.

Якщо для якого-небудь iз додаткiв вiдсутнiй свiй посередник додаткiв, то прикладний шлюз не зможе обробляти трафiк такого додатка й вiн буде блокований. Наприклад, якщо прикладний шлюз використають тiльки програми-посередники HTTP, FTP i Telnet, то вiн буде обробляти лише пакети, що вiдносяться до цих служб, блокуючи при цьому пакети всiх iнших служб.

Фiльтрацiя потокiв повiдомлень реалiзується прикладними шлюзами на прикладному рiвнi моделi OSI. Вiдповiдно, посередники прикладного шлюзу, на вiдмiну вiд канальних посередникiв, забезпечують перевiрку вмiсту оброблюваних пакетiв. Вони можуть фiльтрувати окремi види команд або iнформацiї в повiдомленнях протоколiв прикладного рiвня, якi їм доручене обслуговувати. Наприклад, для служби FTP можливо динамiчне знешкодження комп’ютерних вiрусiв у файлах, копiюються iз зовнiшньої мережi. Крiм того, посередник даної служби може бути сконфiгурований таким чином, щоб запобiгати використання клiєнтами команди PUT, призначеної для запису файлiв на FTP-сервер. Таке обмеження зменшує ризик випадкового ушкодження iнформацiї, що зберiгається на FTP-серверi, i знижує ймовiрнiсть переповнення його непотрiбними даними.

При настроюваннi прикладного шлюзу й описi правил фiльтрацiї повiдомлень використовуються такi параметри, як назва сервiсу, припустимий часовий iнтервал його використання, обмеження на вмiст повiдомлень, пов’язаних з даним сервiсом, комп’ютери, з яких можна користуватися сервiсом, iдентифiкатори користувачiв, схеми автентифiкацiї й iн.

Шлюз прикладного рiвня має наступнi достоїнства:

забезпечує високий рiвень захисту локальної мережi завдяки можливостi виконання бiльшостi функцiй посередництва;

захист на рiвнi додаткiв дозволяє здiйснювати велику кiлькiсть додаткових перевiрок, зменшуючи тим самим iмовiрнiсть проведення успiшних атак, заснованих на недолiках програмного забезпечення;

при порушеннi працездатностi прикладного шлюзу блокується наскрiзне проходження пакетiв мiж подiлюваними мережами, у результатi безпека мережi, що пiдлягає захисту, не знижується через виникнення вiдмов.

До недолiкiв прикладного шлюзу вiдносяться:

вiдносно висока вартiсть;

досить бiльша складнiсть самого firewall, а також процедур його установки й конфiгурування;

високi вимоги до продуктивностi й ресурсної мiсткостi комп’ю- терної платформи;

вiдсутнiсть прозоростi для користувачiв i зниження пропускної здатностi при реалiзацiї мiжмережних взаємодiй.

Розглянемо останнiй недолiк бiльш докладно. Технологiя фун-

кцiонування прикладного шлюзу заснована на використаннi посередникiв, що перевiряють дiйснiсть, що звертаються до них клiєнтiв, а необхiднi з’єднання, що також установлюють, i виконуючi iншi функцiї захисту мiжмережної взаємодiї. Посередники виступають як промiжна ланка передачi пакетiв мiж сервером i клiєнтом. Спочатку встановлюється з’єднання з посередником, а вже потiм посередник ухвалює рiшення щодо тiм, створювати з’єднання iз чи адресатом нi. Вiдповiдно, прикладний шлюз у процесi свого функцiонування дублює будь-яке дозволене з’єднання. Наслiдком цього є вiдсутнiсть прозоростi для користувачiв i додатковi накладнi витрати на обслуговування з’єднань.

6.2.2.4. Шлюз експертного рiвня

Для усунення такого iстотного недолiку прикладних шлюзiв, як вiдсутнiсть прозоростi для користувачiв i зниження пропускної здатностi при реалiзацiї мiжмережних взаємодiй, компанiї Check Point i ON Technology розробили технологiю фiльтрацiї пакетiв, що iнодi називають фiльтрацiєю з контролем стану з’єднання (stateful inspection) або фiльтрацiєю експертного рiвня [10]. Така фiльтрацiя здiйснюється на основi спецiальних методiв багаторiвневого аналiзу стану пакетiв SMLT (Stateful Multi-Layer Technique).

Ця гiбридна технологiя дозволяє вiдслiдковувати стан мережного з’єднання, перехоплюючи пакети на мережному рiвнi й витягаючи з них iнформацiю прикладного рiвня, що використається для iз за з’єднанням. Швидке порiвняння минаючих пакетiв з вiдомим станом (state) “дружнiх” пакетiв дозволяє значно скоротити час обробки в порiвняннi з МЕ рiвня додаткiв.

Мiжмережнi екрани, в основу функцiонування яких покладена описана технологiя фiльтрацiї, називають МЕ експертного рiвня. Такi МЕ сполучають у собi елементи екрануючих маршрутизаторiв i прикладних шлюзiв. Як i екрануючi маршрутизатори вони забезпечують фiльтрацiю пакетiв за вмiстом їхнiх заголовкiв мережного й транспортного рiвнiв моделi OSI. МЕ експертного рiвня також виконують всi функцiї прикладного шлюзу, що стосуються фiльтрацiї пакетiв на прикладному рiвнi моделi OSI. Вони оцiнюють умiст кожного пакета вiдповiдно до заданої полiтики безпеки.

Таким чином, МЕ експертного рiвня дозволяють контролюва-

ти:

кожний переданий пакет на основi наявної таблицi правил;

кожну сесiю на основi таблицi станiв;

кожний додаток на основi розроблених посередникiв. Достоїнством мiжмережних екранiв експертного рiвня є про-

зорiсть для кiнцевого користувача, що не потребує додаткового настроювання або змiни конфiгурацiї клiєнтського програмного забезпечення. Крiм прозоростi для користувачiв i бiльш високої швидкостi обробки iнформацiйних потокiв до достоїнств мiжмережних екранiв експертного рiвня вiдноситься також те, що цi МЕ не змiнюють IP-адрес проходячих через них пакетiв. Це означає що

будь-який протокол прикладного рiвня, що використає IP-адресу, буде коректно працювати iз цими МЕ без яких-небудь змiн або спецiального програмування.

Оскiльки данi МЕ допускають пряме з’єднання мiж авторизованим клiєнтом i комп’ютером зовнiшньої мережi, вони забезпечують менш високий рiвень захисту. Тому на практицi технологiя фiльтрацiї експертного рiвня використовується для пiдвищення ефективностi функцiонування комплексних МЕ. Прикладом комплексного МЕ, що реалiзує технологiю фiльтрацiї експертного рiвня, є Fire Wall-1 компанiї Check Point Software. Варто вiдзначити, що термiн stateful inspection, уведений компанiєю Check Point Software, став таким популярним, що зараз важко знайти мiжмережний екран, який би не вiдносився до цiєї категорiї.

Останнiм часом фiльтрацiя експертного рiвня стає однiєї з функцiй нових маршрутизаторiв. Наприклад, компанiї Bay Networks i Check Poinl Software уклали партнерську угоду з метою переносу розробленої Check Point Software архiтектури МЕ експертного рiвня на маршрутизатори Ваy Networks. Компанiя Cisco Systems розробила власну технологiю МЕ експертного рiвня й реалiзувала її в продуктi Cisco PI Fire Wall.

6.2.2.5. Варiанти виконання мiжмережних екранiв

Iснує два основних варiанти виконання мiжмережних екранiвпрограмний i програмно-апаратний. У свою чергу, програмноапаратний варiант виконання мiжмережних екранiв має два рiзновиди: у виглядi спецiалiзованого пристрою й у виглядi модуля в маршрутизаторi або комутаторi.

Останнiм часом частiше використовується програмне рiшення, що на перший погляд виглядає бiльш привабливим. Це пов’язане з тим, що для його застосування досить, здавалося б, тiльки придбати програмне забезпечення мiжмережного екрана й установити його на будь-який комп’ютер, наявний в органiзацiї. Однак на практицi далеко не завжди в органiзацiї перебуває вiльний комп’ю- тер, так ще й задовольняючий досить високим вимогам стосовно системних ресурсiв. Тому одночасно з покупкою програмного забезпечення необхiдно придбати й комп’ютер для його установки.

Потiм йде процес установки на комп’ютер операцiйної системи i її настроювання, що також вимагає часу й оплати роботи установникiв. I тiльки пiсля цього встановлюється й настроюється програмне забезпечення системи виявлення атак. Неважко помiтити, що використання звичайного персонального комп’ютера далеко не так просто, як здається на перший погляд.

Тому в останнi роки значно зрiс iнтерес до програмноапаратних рiшень [10,28]. Такi рiшення починають поступово витiсняти чисто програмнi системи. Бiльше широке поширення стали одержувати спецiалiзованi програмно-апаратнi рiшення, називанi security appliance. Програмно-апаратний комплекс мiжмережного екранування звичайно складається з комп’ютера, а також функцiонуючих на ньому операцiйної системи i спецiального програмного забезпечення. Слiд зазначити, що це спецiальне програмне забезпечення часто називають firewall. Використовуваний комп’ютер повинен бути досить потужним i фiзично захищеним, наприклад перебувати в спецiально вiдведеному примiщеннi, що знаходиться пiд охороною. Крiм того, вiн повинен мати засобу захисту вiд завантаження ОС iз несанкцiонованого носiя. Програмно-апаратнi комплекси використовують спецiалiзованi або звичайнi операцiйнi системи (як правило, на базi FreeBSD, Linux або Microsoft Windows NT/2000), “урiзанi” для виконання заданих функцiй i таких, що задовольняють ряду вимог:

мати засоби розмежування доступу до ресурсiв системи;

блокувати доступ до комп’ютерних ресурсiв в обхiд надаваного програмного iнтерфейсу;

забороняти привiлейований доступ до своїх ресурсiв з локальної мережi;

мiстити засобу монiторингу/аудита будь-яких адмiнiстратив-

них дiй.

Спецiалiзованi програмно-апаратнi рiшення мають наступнi достоїнства:

простота впровадження в технологiю обробки iнформацiї. Такi засоби поставляються вже iз заздалегiдь установленою й настроєною операцiйною системою й захисними механiзмами, тому необхiдно тiльки пiдключити їх до мережi, що виконується протягом декiлькох хвилин;

простота керування. Данi засоби можуть управлятися з будьякої робочої станцiї Windows 9x, NT, 2000 або UNI. Взаємодiя консолi керування iз пристроєм здiйснюється або по стандартних протоколах, наприклад, Telnet або SNMP, або за допомогою спецiалiзованих або захищених протоколiв, наприклад SSH або SSL;

стiйкiсть до вiдмов i висока доступнiсть. Виконання мiжмережного екрана у виглядi спецiалiзованого програмноапаратного комплексу дозволяє реалiзувати механiзми забезпечення не тiльки програмної, але й апаратної стiйностi до вiдмов й високої доступностi;

висока продуктивнiсть i надiйнiсть. За рахунок виключення з операцiйної системи всiх непотрiбних сервiсiв i пiдсистем програмно-апаратний комплекс працює бiльш ефективно з погляду продуктивностi й надiйностi;

спецiалiзацiя на захистi. Рiшення тiльки завдань забезпечення мережної безпеки не приводить до витрат ресурсiв на виконання iнших функцiй, наприклад маршрутизацiї й т.iн.

6.2.3 Схеми мережного захисту на базi мiжмережних екранiв

При пiдключеннi корпоративної або локальної мережi до глобальних мереж необхiдно вирiшувати наступнi завдання:

захист корпоративної або локальної мережi вiд несанкцiонованого вiддаленого доступу з боку глобальної мережi;

приховування iнформацiї про структуру мережi i її компонентiв вiд користувачiв глобальної мережi;

розмежування доступу в захищає сеть, що, iз глобальної й iз

захищає сети, що, у глобальну.

Для ефективного захисту мiжмережного взаємодiї система МЕ повинна бути правильно встановлена й сконфiгурована. Даний процес складається з наступних крокiв:

формування полiтики мiжмережної взаємодiї;

вибiр схеми пiдключення й настроювання параметрiв функцiонування мiжмережного екрана.

ру рiшення може бути прийняте як на користь безпеки на шкоду зручностi використання мережних сервiсiв, так i навпаки.

При виборi принципу “заборонене все, що явно не дозволено” мiжмережний екран настроюється таким чином, щоб блокувати будь-якi явно не дозволенi мiжмережнi взаємодiї. Даний принцип вiдповiдає класичнiй моделi доступу, використовуваної у всiх областях iнформацiйної безпеки. Такий пiдхiд дозволяє адекватно реалiзувати принцип мiнiмiзацiї привiлеїв, тому з погляду безпеки вiн є кращим. Адмiнiстратор безпеки повинен на кожний тип дозволеної взаємодiї задавати одне й бiльше правил доступу. Адмiнiстратор не зможе по безпам’ятностi залишити дозволеними якi-небудь повноваження, тому що за замовчуванням вони будуть забороненi. Доступнi зайвi сервiси можуть бути використанi на шкоду безпеки, що особливо характерно для закритого й складного програмного забезпечення, у якому можуть бути рiзнi помилки й некоректностi. Принцип “заборонене все, що явно не дозволено”, по сутi, є визнанням факту, що незнання може заподiяти шкода. Слiд зазначити, що правила доступу, сформульованi вiдповiдно до цього принципу, можуть доставляти користувачам певнi незручностi.

При виборi принципу “дозволене все, що явно не заборонено” мiжмережний екран настроюється таким чином, щоб блокувати тiльки явно забороненi мiжмережнi взаємодiї. У цьому випадку пiдвищується зручнiсть використання мережних сервiсiв з боку користувачiв, але знижується безпека мiжмережної взаємодiї. Користувачi мають бiльше можливостей обiйти мiжмережний екран. Наприклад, користувачi можуть одержати доступ до нових сервiсiв, не забороних полiтикою (або навiть не зазначених у полiтицi), або запустити забороненi сервiси на нестандартних портах TCP/UDP, якi не забороненi полiтикою. Адмiнiстратор може врахувати не всi дiї, якi забороненi користувачам. Йому доводиться працювати у режимi реагування, передбачаючи й забороняючи тi мiжмережнi взаємодiї, якi негативно впливають на безпеку мережi. При реалiзацiї даного принципу внутрiшня мережа виявляється менш захищеної вiд нападiв хакерiв. Тому виробники мiжмережних екранiв звичайно вiдмовляються вiд використання даного принципу.

Мiжмережний екран не є симетричним. Для нього окремо задаються правила, що обмежують доступ iз внутрiшньої мережi в зовнiшню мережу й навпаки. У загальному випадку робота мiжмережного екрана заснована на динамiчному виконаннi двох груп функцiй:

фiльтрацiї iнформацiйних потокiв, що проходять через нього;

посередництва при реалiзацiї мiжмережних взаємодiй. Залежно вiд типу екрана цi функцiї можуть виконуватися з

рiзною повнотою. Простi мiжмережнi екрани орiєнтованi на виконання тiльки однiєї з даних функцiй. Комплекснi МЕ забезпечують спiльне виконання зазначених функцiй захисту. Власна захищенiсть мiжмережного екрана досягається за допомогою тих же засобiв, що й захищенiсть унiверсальних систем [10].

Щоб ефективно забезпечувати безпеку мережi, комплексний МЕ зобов’язаний управляти всiм потоком, що проходить через нього, i вiдслiдковувати свiй стан. Для прийняття керуючих рiшень по використовуваних сервiсах МЕ повинен одержувати, запам’ятовувати, вибирати й обробляти iнформацiю вiд всiх комунiкацiйних рiвнiв i вiд iнших додаткiв.

Недостатньо просто перевiряти пакети окремо. Iнформацiя про стан з’єднання, отримана з iнспекцiї з’єднань у минулому й iнших додаткiв, головний фактор в ухваленнi керуючого рiшення при спробi встановлення нового з’єднання. Для ухвалення рiшення можуть ураховуватися як стан з’єднання (отримане з минулого потоку даних), так i стан додатка (отримане з iнших додаткiв). Повнота й правильнiсть керування вимагають, щоб комплексний МЕ мав можливiсть аналiзу й використання наступних елементiв:

iнформацiї про з’єднання iнформацiї вiд всiх семи рiвнiв у пакетi;

iсторiї з’єднань iнформацiї, отриманої вiд попереднiх з’єднань;

стану рiвня додатка iнформацiї про стан, отриманої з iнших додаткiв. Наприклад, автентифiкованого до даного моменту користувачевi можна надати доступ через МЕ тiльки для авторизованих видiв сервiсу;

агрегуючих елементiв обчислень рiзноманiтних виразiв, заснованих на всiх перерахованих вище факторах.

6.2.3.2. Основнi схеми пiдключення мiжмережних екранiв

При пiдключеннi корпоративної мережi до глобальних мереж необхiдно розмежувати доступ до мережi, що пiдлягає захисту, iз глобальної мережi й iз мережi, що пiдлягає захисту, у глобальну мережу, а також забезпечити захист мережi, що приєданана, вiд несанкцiонованого вiддаленого доступу з боку глобальної мережi. При цьому органiзацiя зацiкавлена в приховуваннi iнформацiї про структуру своєї мережi i її компонентiв вiд користувачiв глобальної мережi. Робота з вiддаленими користувачами вимагає встановлення твердих обмежень доступу до iнформацiйних ресурсiв мережi, що пiдлягає захисту.

В органiзацiї часто виникає потреба мати в складi корпоративної мережi декiлькох сегментiв з рiзними рiвнями захищеностi:

вiльно доступнi сегменти (наприклад, рекламний WWWсервер);

сегмент iз обмеженим доступом (наприклад, для доступу спiвробiтникам органiзацiї з вiддалених вузлiв);

закритi сегменти (наприклад, фiнансова локальна пiдмережа органiзацiї).

Для пiдключення мiжмережних екранiв можуть використовуваатися рiзнi схеми, якi залежать вiд умов функцiонування мережi, що пiдлягає захисту, а також вiд кiлькостi мережних iнтерфейсiв i iнших характеристик використовуваних МЕ. Широке поширення одержали наступнi схеми пiдключення мiжмережних екранiв:

схеми захисту мережi з використанням екрануючого маршрутизатора;

схеми єдиного захисту локальної мережi;

схеми iз захищеною закритою й не захищеною вiдкритої пiдмережами;

схеми з роздiльним захистом закритої й вiдкритої пiдмереж [10, 28].

Схема захисту з використанням екрануючого маршрутизато-

ра. Мiжмережний екран, заснований на фiльтрацiї пакетiв, є найпоширенiшим i найбiльш простим у реалiзацiї. Вiн складається з екрануючого маршрутизатора, розташованого мiж мережею, що пiдлягає захисту, i потенцiйно ворожою вiдкритою зовнiшньою ме-

режею (рис. 6.12). Екрануючий маршрутизатор (пакетний фiльтр) сконфiгурований для блокування або фiльтрацiї вхiдних i вихiдних пакетiв на основi аналiзу їхнiх адрес i портiв.

Рис. 6.12. Мiжмережний екран екрануючий маршрутизатор

Комп’ютери, що перебувають у мережi, що пiдлягає захисту, мають прямий доступ у мережу Iнтернет, у той час як бiльша частина доступу до них з Iнтернету блокується.

Часто блокуються такi небезпечнi служби, як X Windows, NI i NFS. У принципi, екрануючий маршрутизатор може реалiзувати кожну з полiтик безпеки, описаних ранiше. Однак якщо маршрутизатор не фiльтрує пакети по порту джерела й номеру вхiдного й вихiдного порту, то реалiзацiя полiтики "заборонене все, що не дозволено в явнiй формi"може бути утруднена.

Мiжмережнi екрани, заснованi на фiльтрацiї пакетiв, мають тi ж недолiки, що й екрануючi маршрутизатори, причому цi недолiки стають бiльше вiдчутними при жорсткостi вимог до безпеки мережi, що пiдлягає захисту. Вiдзначимо деякi з них:

складнiсть правил фiльтрацiї; у деяких випадках сукупнiсть цих правил може стати некерованої;

неможливiсть повного тестування правил фiльтрацiї; це приводить до незахищеностi мережi вiд непротестованих атак;

практично вiдсутнi можливостi реєстрацiї подiй; у результатi адмiнiстраторовi важко визначити, чи пiддавався маршрутизатор атацi й чи скомпрометований вiн.

Схеми пiдключення мiжмережних екранiв з декiлькома мере-

жними iнтерфейсами. Схеми захисту з МЕ з одним мережним iнтерфейсом () недостатньо ефективнi як з погляду безпеки, так i

локальну мережу вiд потенцiйно ворожої зовнiшньої мережi. Мiж маршрутизатором i МЕ є тiльки один шлях, по якому йде весь трафiк. Даний варiант МЕ реалiзує полiтику безпеки, засновану на принципi “заборонене все, що явно не дозволено”; при цьому користувачевi недоступнi всi служби, крiм тих, для яких визначенi вiдповiднi повноваження. Звичайно маршрутизатор настроюється таким чином, що МЕ є єдиною видимою зовнi машиною.

Рис. 6.14. Схема єдиного захисту локальної мережi

Вiдкритi сервери, що входять у локальну мережу, також будуть захищенi мiжмережним екраном. Однак об’єднання серверiв, доступних iз зовнiшньої мережi, з iншими ресурсами локальної мережi, що пiдлягає захисту, iстотно знижує безпеку мiжмережних взаємодiй. Тому дану схему пiдключення МЕ можна використовувати лише при вiдсутностi в локальнiй мережi вiдкритих серверiв або коли наявнi вiдкритi сервери робляться доступними iз зовнiшньої мережi тiльки для обмеженого числа користувачiв, яким можна довiряти.

Оскiльки мiжмережний екран використовує хост, то на ньому можуть бути встановленi програми для посиленої автентифiкацiї користувачiв. Мiжмережний екран може також протоколювати доступ, спроби зондування й атак системи, що дозволить виявити дiї зловмисникiв.

Для деяких мереж може виявитися неприйнятної недостатня гнучкiсть схеми захисту на базi мiжмережного екрана iз двома iнтерфейсами.

Схема iз захищуваною закритої й незахищуваною вiдкритої пiдсистемами. Якщо в складi локальної мережi є загальнодоступнi вiдкритi сервери, тодi їх доцiльно винести як вiдкриту пiдсистему до мiжмережного екрана (рис. 6.15). Даний спосiб має бiльш висо-

ку захищенiсть закритої частини локальної мережi, але забезпечує знижену безпеку вiдкритих серверiв, розташованих до мiжмережного екрана.

Рис. 6.15. Схема iз захищуваною закритою незахищуваною вiдкритою пiдсистемами

Деякi МЕ дозволяють розмiстити цi сервери на собi. Однак таке рiшення не є кращим з погляду безпеки самого МЕ й завантаження комп’ютера. Схему пiдключення МЕ iз захищеною закритою й незахищеною вiдкритою пiдсистемами доцiльно використати лише при невисоких вимогах по безпецi до вiдкритого пiдмережi.

Якщо ж до безпеки вiдкритих серверiв пред’являються пiдвищенi вимоги, тодi необхiдно використати схему з роздiльним захистом закритої й вiдкритої пiдмереж.

Схеми з роздiльним захистом закритої й вiдкритої пiдмережi. Така схема може бути побудована на основi одного МЕ iз трьома мережними iнтерфейсами (рис. 6.16) або на основi двух МЕ iз двома мережними iнтерфейсами (рис. 6.17). В обох випадках доступ до вiдкритої i закритої пiдсистем локальної мережi можливий тiльки через мiжмережний екран. При цьому доступ до вiдкритої пiдмережi не дозволяє здiйснити доступ до закритої пiдмережi.

Iз цих двох схем бiльший ступiнь безпеки мiжмережних взаємодiй забезпечує схема iз двома МЕ, кожний з яких утворить окремий ешелон захисту закритої пiдмережi. Захищувана вiдкрита пiдмережа тут виступає в якостi екрануючої.

Звичайно екрануючу пiдмережу конфiгурують таким чином, щоб забезпечити доступ до комп’ютерiв пiдмережi як з потенцiйно ворожої зовнiшньої мережi, так i iз закритої пiдмережi локальної мережi. Однак прямий обмiн iнформацiйними пакетами мiж зов-

Рис. 6.16. Схема з роздiльним захистом закритої й вiдкритої пiдмереж на основi одного МЕ iз трьома мережними iнтерфейсами

Рис. 6.17. Схема з роздiльним захистом закритої й вiдкритої пiдмереж на основi двох МЕ iз двома мережними iнтерфейсами

нiшньою мережею й закритої пiдмережею неможливий. При атацi системи iз екрануючої пiдмережi необхiдно перебороти принаймнi двi незалежнi лiнiї захисту, що є досить складним завданням. Засоби монiторингу стану мiжмережних екранiв дозволяють практично завжди виявити подiбну спробу, i адмiнiстратор системи може вчасно почати необхiднi дiї по запобiганню несанкцiонованого доступу.

Варто звернути увагу на те, що робота вiддалених користу-

вачiв, якi пiдключаються через лiнiї зв’язку, що комутируються, також повинна контролюватися вiдповiдно до полiтики безпеки, проведеної в органiзацiї. Типове рiшення цього завдання установка сервера вiддаленого доступу (термiнального сервера), що має необхiднi функцiональнi можливостi, наприклад, термiнального сервера Annex компанiї Bay Networks. Термiнальний сервер є системою з декiлькома асинхронними портами й одним iнтерфейсом локальної мережi. Обмiн iнформацiєю мiж асинхронними портами й локальною мережею здiйснюється тiльки пiсля вiдповiдної автентифiкацiї зовнiшнього користувача.

Пiдключення термiнального сервера повинне здiйснюватися таким чином, щоб його робота виконувалася винятково через мiжмережний екран. Це дозволяє досягти необхiдного ступеня безпеки при роботi вiддалених користувачiв з iнформацiйними ресурсами органiзацiї. Таке пiдключення можливо, якщо термiнальний сервер включити до складу вiдкритої пiдмережi при використаннi схем пiдключення МЕ з роздiльним захистом вiдкритої й закритої пiдмережi. Програмне забезпечення термiнального сервера повинне надавати можливостi адмiнiстрування й контролю сеансiв зв’язку через комутирують канали, що. Модулi керування сучасних термiнальних серверiв мають досить розвиненi можливостi забезпечення безпеки самого сервера й розмежування доступу клiєнтiв i виконують наступнi функцiї:

використання локального пароля на доступ до послiдовного порту, на вiддалений доступ по протоколi РРР, а також для доступу до адмiнiстративної консолi;

використання запиту на автентифiкацiю з якої-небудь машини локальної мережi;

використання зовнiшнiх засобiв автентифiкацiї;

установку списку контролю доступу на порти термiнального сервера;

протоколювання сеансiв зв’язку через термiнальний сервер.

6.2.3.3. Персональнi й розподiленi мережнi екрани

За останнi кiлька рокiв у структурi корпоративних мереж вiдбулися певнi змiни. Якщо ранiше границi таких мереж можна було

чiтко окреслити, то зараз це практично неможливо. Ще недавно така границя проходила через всi маршрутизатори або iншi пристрої (наприклад, модеми), через якi здiйснювався вихiд у зовнiшнi мережi. У вiддалених офiсах органiзацiї ситуацiя була схожа. Однак зараз повноправним користувачем мережi, що захищається мiжмережним екраном, є спiвробiтник, що перебуває за межами периметра, що пiдлягає захисту. До таких спiвробiтникiв вiдносяться користувачi, що працюють вдома або перебувають у вiдрядженнi. Безсумнiвно, їм також потрiбна захист. Але всi традицiйнi мiжмережнi екрани побудованi так, що пользователи, якi пiдлягають захисту, i ресурси повиннi перебувати пiд їхнiм захистом iз внутрiшньої сторони корпоративної або локальної мережi, що є неможливим для мобiльних користувачiв.

Для рiшення цiєї проблеми були запропонованi наступнi пiдходи: застосування розподiлених мiжмережних екранiв (distributed firewall) i використання можливостей вiртуальних приватних мереж VPN, якi будуть описанi в наступнiй главi.

Розподiлений мiжмережний екран являє собою централiзовано керовану сукупнiсть мережних мiнi-екранiв, що захищають окремi комп’ютери мережi. Прикладами такого рiшення є BlacklCE Agent i RealSecure Server Sensor компанiї Internet Secutity Systems.

Для iндивiдуальних користувачiв становить iнтерес технологiя персонального мережного екранування. У цьому випадку мережний екран установлюється на персональний комп’ютер, що захищає. Такий екран, називаний персональним екраном комп’ютера (personal firewall) або системою мережного екранування, контролює весь вихiдний i вхiдний трафiк незалежно вiд всiх iнших системних захисних засобiв. При екрануваннi окремого комп’ютера пiдтримується доступнiсть мережних сервiсiв, але зменшується навантаження, iндукована зовнiшньою активнiстю. У результатi знижується уразливiсть внутрiшнiх сервiсiв комп’ютера, що захищає таким чином, оскiльки спочатку стороннiй зловмисник повинен перебороти екран, де захиснi засоби сконфiгурованi особливо ретельно й жорстко.

Як приклади персональних мережних екранiв можна вказати CyberwallPLUS компанiї Network 1 i BlacklCE Defender компанiї ISS. Компанiя Check Point Software запропонувала своє рiшення

засоби VPN-1 SecureClient i VPN-1 SecureServer. Цi засоби не тiльки захищають вiд зовнiшнiх атак комп’ютери, на яких вони встановленi, але й забезпечують захист трафiка, переданого за межi даного вузла (тобто органiзують захищенi канали VPN). Саме таке рiшення дозволило забезпечити захист мереж з нечiтко обкресленими границями.

Головна вiдмiннiсть розподiленого мiжмережного екрана вiд персонального полягає в наявностi у розподiленого мiжмережного екрана функцiї централiзованого керування. Якщо персональнi мережнi екрани управляються тiльки з того комп’ютера, на якому вони встановленi, i iдеально пiдходять для домашнього застосування, то розподiленi мiжмережнi екрани можуть управлятися централiзовано, з єдиної консолi керування, установленої в головному офiсi органiзацiї. Такi вiдмiнностi дозволили деяким виробникам випускати свої рiшення МЕ у двох версiях:

персональної (для iндивiдуальних користувачiв);

розподiленої (для корпоративних користувачiв).

Так, наприклад, пiдiйшла компанiя Internet Secutity Systems,

що пропонує персональний мiжмережний екран BlacklCE Defender i розподiлений мiжмережний екран BlacklCEAgent.

У сучасних умовах бiльше 50% рiзних атак i спроб доступу до iнформацiї здiйснюється зсередини локальних мереж, тому класичний “периметровий” пiдхiд до створення системи захисту корпоративної мережi стає недостатньо ефективним. Корпоративну мережу можна вважати дiйсно захищеної вiд НСД тiльки при наявностi в нiй як засобiв захисту точок входу з боку Iнтернету, так i рiшень, що забезпечують безпеку окремих комп’ютерiв, корпоративних серверiв i фрагментiв локальної мережi пiдприємства. Рiшення на основi розподiлених або персональних мiжмережних екранiв щонайкраще забезпечують безпека окремих комп’ютерiв, корпоративних серверiв i фрагментiв локальної мережi пiдприємства [65].

6.2.3.4. Проблеми безпеки мiжмережних екранiв

Мiжмережний екран не в змозi вирiшити всi проблеми безпеки корпоративної мережi. Крiм описаних вище достоїнств мiжмере-

жних екранiв, iснує ряд обмежень у їхньому використаннi й ряд загроз безпецi, вiд яких мiжмережнi екрани не можуть захистити. Вiдзначимо найбiльш iстотнi обмеження в застосуваннi мiжмережних екранiв [10, 40]:

можливе обмеження пропускної здатностi. Традицiйнi мiжмережнi екрани є потенцiйно вузьким мiсцем мережi, тому що всi з’єднання повиннi проходити через мiжмережний екран i в деяких випадках вивчатися мiжмережним екраном;

вiдсутнiсть убудованих механiзмiв захисту вiд вiрусiв. Традицiйнi МЕ не можуть захистити вiд користувачiв, що завантажують зараженi вiрусами програми для ПЕОМ iз iнтернетiвських архiвiв або при передачi таких програм як додатки до листiв, оскiльки цi програми можуть бути зашифрованi або стислi бiльшим числом способiв;

вiдсутнiсть ефективного захисту вiд одержуваного з Iнтернету небезпечного вмiсту (аплетiв Java, що управляють елементiв Active, коду ShockWave, сценарiїв JavaScript, JScipt i VBScript i т.п.).

Специфiка мобiльного коду така, що вiн може бути використаний як засiб для проведення атак. Мобiльний код може бути реалiзований у виглядi:

вiрусу, що вторгається в iнформацiйну систему й знищує данi на локальних дисках, постiйно модифiкуючи свiй код i утрудняючи тим самим своє виявлення й видалення;

агента, що перехоплює паролi, номери кредитних карт i т.п.;

програми, що копiює конфiденцiйнi файли, що мiстять дiлову й фiнансову iнформацiю, та iн.;

мiжмережний екран, як будь-який iнший засiб, не може захистити вiд помилок i некомпетентностi адмiнiстраторiв i користувачiв;

традицiйнi МЕ є, власне кажучи, засобами, що тiльки блокують атаки.

У бiльшостi випадкiв вони захищають вiд атак, якi вже перебу-

вають у процесi здiйснення. Бiльше ефективним було б не тiльки блокування, але й попередження атак, тобто усунення самих передумов реалiзацiї вторгнень. Для органiзацiї попередження атак необхiдно використати засоби виявлення атак i пошуку уразливо-

стей, якi будуть вчасно виявляти й рекомендувати заходу щодо усунення слабких мiсць у системi захисту. Технологiї виявлення атак i аналiзу захищеностi мереж розглядаються в главi 13. Для захисту iнформацiйних ресурсiв розподiлених корпоративних систем необхiдне застосування комплексної системи iнформацiйної безпеки, що дозволить ефективно використати достоїнства мiжмережних екранiв i компенсувати їхнi недолiки за допомогою iнших засобiв безпеки.

6.3Технологiя VPN

6.3.1Особливостi побудови вiртуальних приватних мереж як об’єктiв системи безпеки

6.3.1.1. Основнi поняття й функцiї VPN

При пiдключеннi корпоративної локальної мережi до вiдкритої мережi виникають загрози безпеки двох основних типiв:

несанкцiонований доступ до внутрiшнiх ресурсiв корпоративної локальної мережi, одержуваний зловмисником у результатi несанкцiонованого входу в цю мережу;

несанкцiонований доступ до корпоративних даних у процесi їхньої передачi по вiдкритiй мережi.

Забезпечення безпеки iнформацiйної взаємодiї локальних ме-

реж й окремих комп’ютерiв через вiдкритi мережi, зокрема через мережу Iнтернет, можливо шляхом ефективного рiшення наступних завдань [1,5]:

захист пiдключених до вiдкритих каналiв зв’язку локальних мереж й окремих комп’ютерiв вiд несанкцiонованих дiй з боку зовнiшнього середовища;

захист iнформацiї в процесi її передачi по вiдкритих каналах зв’язку.

Як ми вже вiдзначали ранiше, для захисту локальних мереж й окремих комп’ютерiв вiд несанкцiонованих дiй з боку зовнiшнього середовища звичайно використають мiжмережнi екрани, що пiдтримують безпеку iнформацiйної взаємодiї шляхом фiльтрацiї двостороннього потоку повiдомлень, а також виконання функцiй по-

Тунель VPN являє собою з’єднання, проведене через вiдкриту мережу, по якому передаються криптографiчно захищенi пакети повiдомлень вiртуальної мережi. Захист iнформацiї в процесi її передачi по тунелi VPN заснований на виконаннi наступних функцiй:

автентифiкацiя взаємодiючих сторiн;

криптографiчне закриття (шифрування) переданих даних;

перевiрка дiйсностi й цiлiсностi iнформацiї, що доставляється.

Для цих функцiй характерний взаємозв’язок один з одним. При реалiзацiї цих функцiй використовуються криптографiчнi методи захисту iнформацiї. Ефективнiсть такого захисту забезпечується за рахунок спiльного використання симетричних й асиметричних криптографiчних систем. Тунель VPN, формований пристроями VPN, має властивостi захищеної видiленої лiнiї, причому ця захищена видiлена лiнiя розгортається в рамках загальнодоступної мережi, наприклад Iнтернету. Пристрої VPN можуть вiдiгравати у вiртуальних приватних мережах роль VPN-клiєнта, VPN-сервера або шлюзу безпеки VPN.

VPN-клiєнт являє собою програмний або програмно-апаратний комплекс, виконуваний звичайно на базi персонального комп’ютера. Його мережне програмне забезпечення модифiкується для виконання шифрування й автентифiкацiї трафiка, яким цей пристрiй обмiнюється з iншими VPN-клiєнтами, VPN-серверами або шлюзами безпеки VPN. Звичайно реалiзацiя VPN-клiєнта являє собою програмне рiшення, що доповнює стандартну операцiйну системуWindows NT/2000/XP або UNIX.

VPN-сервер являє собою програмний або програмно-апаратний комплекс, установлюваний на комп’ютерi, що виконує функцiї сервера. VPN-сервер забезпечує захист серверiв вiд несанкцiонованого доступу iз зовнiшнiх мереж, а також органiзацiю захищених з’єднань (асоцiацiй) з окремими комп’ютерами й з комп’ютерами iз сегментiв локальних мереж, захищених вiдповiдними VPNпродуктами. VPN-сервер є функцiональним аналогом продукту VPN-клiєнт для серверних платформ. Вiн вiдрiзняється, насамперед, розширеними ресурсами для пiдтримки множинних з’єднань iз VPN-клiєнтами. VPN-сервер може пiдтримувати захищенi з’єднання з мобiльними користувачами.

Шлюз безпеки VPN (security gateway) це мережний пристрiй, що пiдключає до двох мереж, що виконує функцiї шифрування й автентифiкацiї для численних хостiв, розташованих за ним. Розмiщення шлюзу безпеки VPN виконується таким чином, щоб через нього проходив весь трафiк, призначений для внутрiшньої корпоративної мережi. Мережне з’єднання шлюзу VPN прозоро для користувачiв за шлюзом, воно представляється їм видiленою лiнiєю, хоча насправдi прокладається через вiдкриту мережу з комутацiєю пакетiв. Адреса шлюзу безпеки VPN указується як зовнiшня адреса вхiдного пакета, що тунелюється, а внутрiшня адреса пакета є адресою конкретного хоста за шлюзом. Шлюз безпеки VPN може бути реалiзований у виглядi окремого програмного рiшення, окремого апаратного пристрою, а також у виглядi маршрутизатора або мiжмережного екрана, доповнених функцiями VPN.

Вiдкрите зовнiшнє середовище передачi iнформацiї включає як канали швидкiсної передачi даних, у якостi якої використається мережа Iнтернет, так i бiльше повiльнi загальнодоступнi канали зв’язку, якi звичайно являють собою канали телефонної мережi. Ефективнiсть вiртуальної приватної мережi VPN визначається ступенем захищеностi iнформацiї, що циркулює по вiдкритих каналах зв’язку. Для безпечної передачi даних через вiдкритi мережi широко використають iнкапсуляцiю й тунелювання. За допомогою методики тунелювання пакети даних передаються через загальнодоступну мережу як по звичайному двухточковому з’єднанню. Мiж кожною парою вiдправник-одержувач даних установлюється своєрiдний тунель логiчне з’єднання, що дозволяє инкапсулировать данi одного протоколу в пакети iншого.

Суть тунелювання полягає в тому, щоб iнкапсулювати, тобто “упакувати” передану порцiю даних, разом зi службовими полями, у новий “конверт’. При цьому пакет протоколу бiльше низького рiвня мiститься в поле даних пакета протоколу бiльше високого або такого ж рiвня. Слiд зазначити, що тунелювання саме по собi не захищає данi вiд несанкцiонованого доступу або перекручування, але завдяки тунелюванню з’являється можливiсть повного криптографiчного захисту вихiдних пакетiв, що пiддаються iнкапсуляцiї. Щоб забезпечити конфiденцiйнiсть переданих даних, вiдправник шифрує вихiднi пакети, упаковує їх у зовнiшнiй пакет

з новим IP-заголовком i вiдправляє по транзитнiй мережi (рис. 6.19).

Рис. 6.19. Приклад пакета, пiдготовленого для тунелювання

Особливiстю тунелювання є те, що ця технологiя дозволяє зашифрувати вихiдний пакет цiлком разом iз заголовком, а не тiльки його поле даних. Це важливо, оскiльки деякi поля заголовка мiстять iнформацiю, що може бути використана зловмисником. Зокрема, iз заголовка вихiдного пакета можна витягти вiдомостi про внутрiшню структуру мережi данi про кiлькiсть пiдмереж i вузлiв й їхнiх IP-адрес. Зловмисник може використати таку iнформацiю при органiзацiї атак на корпоративну мережу. Вихiдний пакет iз зашифрованим заголовком не може бути використаний для органiзацiї транспортування по мережi. Тому для захисту вихiдного пакета застосовують його iнкапсуляцiю й тунелювання. Вихiдний пакет зашифровують повнiстю разом iз заголовком, i потiм цей зашифрований пакет помiщають в iнший зовнiшнiй пакет з вiдкритим заголовком. Для транспортування даних по вiдкритiй мережi використовуються вiдкритi поля заголовка зовнiшнього пакета. Пiсля прибуття в кiнцеву крапку захищеного каналу iз зовнiшнього пакета витягають внутрiшнiй вихiдний пакет, розшифровують його й використають його вiдновлений заголовок для подальшої передачi по внутрiшнiй мережi (рис. 6.20).

Тунелювання може бути використане для захисту не тiльки конфiденцiйностi вмiсту пакета, але i його цiлiсностi й автентичностi, при цьому електронний цифровий пiдпис можна поширити на всi поля пакета.

На додаток до приховання мережної структури мiж двома крапками тунелювання може також запобiгти можливому конфлiкту

Рис. 6.20. Схема вiртуального захищеного тунелю

адрес мiж двома локальними мережами. При створеннi локальної мережi, не пов’язаної з Iнтернетом, компанiя може використати будь-якi IP-адреси для своїх мережних пристроїв i комп’ютерiв. При об’єднаннi ранiше iзольованих мереж цi адреси можуть почати конфлiктувати один з одним i з адресами, якi вже використовуються в Iнтернетi. Iнкапсуляцiя пакетiв вирiшує цю проблему, оскiльки дозволяє сховати первiснi адреси й додати новi адреси, унiкальнi в просторi IP-адрес Iнтернету, якi потiм використовуються для пересилання даних по подiлюваних мережах. Сюди ж входить завдання настроювання IP-адреси й iнших параметрiв для мобiльних користувачiв, що пiдключаються до локальної мережi.

Механiзм тунелювання широко застосовується в рiзних протоколах формування захищеного каналу. Звичайно тунель створюється тiльки на дiлянцi вiдкритої мережi, де iснує загроза порушення конфiденцiйностi й цiлiсностi даних, наприклад мiж крапкою входу у вiдкритий Iнтернет i крапкою входу в корпоративну мережу. При цьому для зовнiшнiх пакетiв використовуються адреси прикордонних маршрутизаторiв, установлених у цих двох

крапках, а внутрiшнi адреси кiнцевих вузлiв утримуються у внутрiшнiх вихiдних пакетах у захищеному видi. Слiд зазначити, що сам механiзм тунелювання не залежить вiд того, з якою метою застосовується тунелювання. Тунелювання може застосовуватися не тiльки для забезпечення конфiденцiйностi й цiлiсностi всiєї переданої порцiї даних, але й для органiзацiї переходу мiж мережами з рiзними протоколами (наприклад, IPv4 й IPv6). Тунелювання дозволяє органiзувати передачу пакетiв одного протоколу в логiчному середовищi, що використає iнший протокол. У результатi з’являється можливiсть вирiшити проблеми взаємодiї декiлькох рiзнотипних мереж, починаючи з необхiдностi забезпечення цiлiсностi й конфiденцiйностi переданих даних i закiнчуючи подоланням невiдповiдностей зовнiшнiх протоколiв або схем адресацiї.

Реалiзацiю механiзму тунелювання можна представити як результат роботи протоколiв трьох типiв: протоколу-"пасажира протоколу, що несе, й протоколу тунелювання. Наприклад, як протокол-"пасажир"може бути використаний транспортний протокол IPX, що переносить данi в локальних мережах фiлiй одного пiдприємства. Найпоширенiшим варiантом несучого протоколу є протокол IP мережi Iнтернет. Як протоколи тунелювання можуть бути використанi протоколи канального рiвня РРТР й L2TP, а також протокол мережного рiвня IPSec. Завдяки тунелюваню стає можливим приховання iнфраструктури Iнтернету вiд VPNдодаткiв.

Тунелi VPN можуть створюватися для рiзних типiв кiнцевих користувачiв -або це локальна мережа LAN (local area network) зi шлюзом безпеки, або окремi комп’ютери вiддалених i мобiльних користувачiв. Для створення вiртуальної приватної мережi великого пiдприємства потрiбнi VPN-шлюзи, VPN-сервери й VPNклiєнти.

VPN-шлюзи доцiльно використати для захисту локальних мереж пiдприємства, VPN-сервери й VPN-клiєнти застосовують для органiзацiї захищених з’єднань вiддалених i мобiльних користувачiв з корпоративною мережею через Iнтернет.

6.3.1.2. Варiанти побудови вiртуальних захищених каналiв

Безпеку iнформацiйного обмiну необхiдно забезпечувати як у випадку об’єднання локальних мереж, так й у випадку доступу до локальних мереж вiддалених або мобiльних користувачiв. При проектуваннi VPN звичайно розглядаються двi основнi схеми:

вiртуальний захищений канал мiж локальними мережами (канал ЛОМ ЛОМ);

вiртуальний захищений канал мiж вузлом i локальною мережею (канал клiєнт-ЛОМ) рис. 6.21.

Рис. 6.21. Вiртуальнi захищенi канали типу ЛОМ-ЛОМ i клiєнтЛОМ

Перша схема з’єднання дозволяє вiдмовитися вiд дорогих видiлених лiнiй мiж окремими офiсами й створити постiйно доступнi захищенi канали мiж ними. У цьому випадку шлюз безпеки служить iнтерфейсом мiж тунелем i локальною мережею, при цьому користувачi локальних мереж застосовують тунель для спiлкування один з одним. Багато компанiй використають даний вид VPN як замiна або доповнення до наявних з’єднань глобальної мережi, таким як Frame Relay.

Друга схема захищеного каналу VPN призначена для встановлення з’єднань iз вiддаленими або мобiльними користувачами.

Створення тунелю iнiцiює клiєнт (вiддалений користувач). Для зв’язку зi шлюзом, що захищає вiддалену мережу, вiн запускає на своєму комп’ютерi спецiальне клiєнтське програмне забезпечення. Цей вид VPN замiняє собою комутирують з’єднання, що комутируються, i може використатися поряд iз традицiйними методами вiддаленого доступу.

Iснує ряд варiантiв схем вiртуальних захищених каналiв. У принципi, кожної iз двох вузлiв вiртуальної корпоративної мережi, мiж якими формується вiртуальний захищений канал, може належати кiнцевiй або промiжнiй крапцi потоку повiдомлень, що захищає.

З погляду забезпечення iнформацiйної безпеки кращим є варiант, при якому кiнцевi крапки захищеного тунелю збiгаються з кiнцевими крапками потоку повiдомлень, що захищає. У цьому випадку забезпечується захищенiсть каналу уздовж усього шляхи проходження пакетiв повiдомлень. Однак такий варiант веде до децентралiзацiї керування й надмiрностi ресурсних витрат. У цьому випадку необхiдна установка засобiв створення VPN на кожному клiєнтському комп’ютерi локальної мережi. Це ускладнює централiзоване керування доступом до комп’ютерних ресурсiв i не завжди виправдано економiчно. Окреме адмiнiстрування кожного клiєнтського комп’ютера з метою конфiгурування в ньому засобiв захисту є досить трудомiсткою процедурою у великiй мережi.

Якщо усерединi локальної мережi, що входить у вiртуальну мережу, не потрiбна захист трафiка, тодi як кiнцева крапка захищеного тунелю можна вибрати мiжмережний екран або прикордонний маршрутизатор цiєї локальної мережi. Якщо ж потiк повiдомлень усерединi локальної мережi повинен бути захищений, тодi як кiнцева крапка тунелю в цiй мережi повинен виступати комп’ютер, що бере участь у захищенiй взаємодiї. При доступi до локальної мережi вiддаленого користувача комп’ютер цього користувача повинен бути кiнцевою крапкою вiртуального захищеного каналу.

Досить розповсюдженим є варiант, коли захищений тунель прокладається тiльки усерединi вiдкритої мережi з комутацiєю пакетiв, наприклад усерединi Iнтернету. Цей варiант вiдрiзняється зручнiстю застосування, але має порiвняно низьку безпеку. Як кiнцевi

крапки такого тунелю звичайно виступають iнтернет-провайдери або прикордоннi маршрутизатори (мiжмережнi екрани) локальної мережi.

При об’єднаннi локальних мереж тунель формується тiльки мiж прикордонними iнтернет-провайдерами або маршрутизаторами (мiжмережними екранами) локальної мережi. При вiддаленому доступi до локальної мережi тунель створюється мiж сервером вiддаленого доступу iнтернет-провайдера, а також прикордонним iнтернет-провайдером або маршрутизатором (мiжмережним екраном) локальної мережi.

Побудованi по даному варiантi вiртуальнi корпоративнi мережi, мають гарну масштабованiсть i керованiстю. Сформованi захищенi тунелi повнiстю прозорi для клiєнтських комп’ютерiв i серверiв локальної мережi, що входить у таку вiртуальну мережу. Програмне забезпечення цих вузлiв залишається без змiн. Однак даний варiант характеризується порiвняно низькою безпекою iнформацiйної взаємодiї, оскiльки частково трафiк проходить по вiдкритих каналах зв’язку в незахищеному видi. Якщо створення й експлуатацiю такий VPN бере на себе провайдер ISP, тодi вся вiртуальна приватна мережа може бути побудована на його шлюзах прозоро для локальних мереж i вiддалених користувачiв пiдприємства. Але в цьому випадку виникають проблеми довiри до провайдера й постiйної оплати його послуг.

Захищений тунель створюється компонентами вiртуальної мережi, що функцiонують на вузлах, мiж якими формується тунель. Цi компоненти прийнятий називати iнiцiатором тунелю й термiнатором тунелю.

Iнiцiатор тунелю iнкапсулює вихiдний пакет у новий пакет, що мiстить новий заголовок з iнформацiєю про вiдправника й одержувача. Iнкапсульованi пакети можуть належати протоколу будьякого типу, включаючи пакети немаршрутизованих протоколiв, наприклад NetBEUI. Всi переданi по тунелi пакети є пакетами IP. Маршрут мiж iнiцiатором i термiнатором тунелю визначає звичайна маршрутизована мережа IP, що може бути мережею, вiдмiнної вiд Iнтернету.

Iнiцiювати й розривати тунель можуть рiзнi мережнi пристрої й програмне забезпечення. Наприклад, тунель може бути iнiцiйова-

ний ноутбуком мобiльного користувача, обладнаним модемом i вiдповiдним програмним забезпеченням для встановлення з’єднань вiддаленого доступу. Як iнiцiатор може виступити також маршрутизатор локальної мережi, надiлений вiдповiдними функцiональними можливостями. Тунель звичайно завершується комутатором мережi або шлюзом провайдера послуг.

Термiнатор тунелю виконує процес, зворотний iнкапсуляцiї. Термiнатор видаляє новi заголовки й направляє кожен вихiдний пакет адресатовi в локальнiй мережi. Конфiденцiйнiсть iнкапсульованих пакетiв забезпечується шляхом їхнього шифрування, а цiлiснiсть i дiйснiсть шляхом формування електронного цифрового пiдпису. Iснує безлiч методiв й алгоритмiв криптографiчного захисту даних, тому необхiдно, щоб iнiцiатор i термiнатор тунелю вчасно погодили один з одним i використали тi самi методи й алгоритми захисту. Для забезпечення можливостi розшифрування даних i перевiрки цифрового пiдпису при прийомi iнiцiатор i термiнатор тунелю повиннi також пiдтримувати функцiї безпечного обмiну ключами. Крiм того, кiнцевi сторони iнформацiйної взаємодiї повиннi пройти автентифiкацiю, щоб гарантувати створення тунелiв VPN тiльки мiж уповноваженими користувачами.

Iснуюча мережна iнфраструктура корпорацiї може бути пiдготовлена до використання VPN за допомогою як програмного, так й апаратного забезпечення.

6.3.1.3. Засоби забезпечення безпеки VPN

При побудовi захищеної вiртуальної мережi VPN першорядне значення має завдання забезпечення iнформацiйної безпеки. Вiдповiдно до загальноприйнятого визначення пiд безпекою даних розумiють їхня конфiденцiйнiсть, цiлiснiсть i доступнiсть. Стосовно до завдань VPN критерiї безпеки даних можуть бути визначенi в такий спосiб:

конфiденцiйнiсть гарантiя того, що в процесi передачi даних по захищених каналах VPN цi данi можуть бути вiдомi тiльки легальними вiдправниковi й одержувачевi;

цiлiснiсть гарантiя схоронностi переданих даних пiд час проходження по захищеному каналi VPN. Будь-якi спроби змiни,

руйнування або створення нових даних будуть виявленi й стануть вiдомi легальним користувачам;

доступнiсть гарантiя того, що засобу, що виконують функцiї VPN, постiйно доступнi легальним користувачам. Доступнiсть засобiв VPN є комплексним показником, що залежить вiд ряду факторiв: надiйностi реалiзацiї, якостi обслуговування й ступеня захищеностi самого засобу вiд зовнiшнiх атак.

Конфiденцiйнiсть забезпечується за допомогою рiзних методiв

йалгоритмiв симетричного й асиметричного шифрування. Цiлiснiсть переданих даних звичайно досягається за допомогою рiзних варiантiв технологiї електронного пiдпису, заснованих на асиметричних методах шифрування й однобiчних функцiй.

Автентифiкацiя здiйснюється на основi багаторазових й одноразових паролiв, цифрових сертифiкатiв, смарт-карт, протоколiв строгої автентифiкацiї й забезпечує встановлення VPN-з’єднання тiльки мiж легальними користувачами й запобiгає доступ до засобiв VPN небажаних осiб.

Авторизацiя має на увазi надання абонентам, що довели свою легальнiсть (автентичнiсть), рiзних видiв обслуговування, зокрема рiзних способiв шифрування їх трафiка. Авторизацiя й керування доступом часто реалiзуються тими самими засобами.

Для забезпечення безпеки переданих даних у вiртуальних захищених мережах повиннi бути вирiшенi наступнi основнi завдання мережної безпеки:

взаємна автентифiкацiя абонентiв при встановленнi з’єднання; Об забезпечення конфiденцiйностi, цiлiсностi й автентичностi переданої iнформацiї;

авторизацiя й керування доступом;

безпека периметра мережi й виявлення вторгнень;

керування безпекою мережi.

Автентифiкацiя абонентiв

Процедура автентифiкацiї (установлення дiйсностi) дозволяє вхiд для легальних користувачiв i запобiгає доступу до мережi небажаних осiб.

Сучаснi засоби iдентифiкацiї й автентифiкацiї повиннi задовольняти двом умовам:

пiдтримувати принцип єдиного входу в мережу;

бути стiйкими до мережних загроз (пасивному й активному

прослуховуванню мережi).

Суть принципу єдиного входу в мережу полягає в тому, що користувач здiйснює один логiчний вхiд у мережу й пiсля успiшного проходження автентифiкацiї одержує деякий набiр дозволiв по доступi до мережних ресурсiв на увесь час роботи в мережi. Єдиний вхiд у мережу це в першу чергу вимога зручностi для користувачiв.

Друга вимога можна реалiзувати, використовуючи криптографiчнi методи. У цей час загальноприйнятими є пiдходи, заснованi на службi каталогiв iз сертифiкатами в стандартi Х.509 або системi Kerberos.

Процедурi автентифiкацiї можуть пiддаватися не тiльки користувачi, але й рiзнi додатки, пристрої й данi.

Забезпечення конфiденцiйностi, цiлiсностi й автентичностi iнформацiї

Завдання забезпечення конфiденцiйностi iнформацiї полягає в захистi переданих даних вiд несанкцiонованого читання й копiювання. Основним засобом забезпечення конфiденцiйностi iнформацiї є шифрування.

Хоча головною турботою безпеки для компанiй є загрози перехоплення й перегляду даних у подiлюванiй мережi, забезпечення цiлiсностi даних також є серйозною проблемою. Завдання забезпечення цiлiсностi переданих даних полягає в перевiрцi того, що данi в процесi передачi не були перекрученi зловмисником або через помилки передачi в мережi. Автентифiкацiя даних означає доказ цiлiсностi цих даних, а також того, що вони надiйшли вiд конкретної людини, що оголосив про це. Для здiйснення автентифiкацiї даних звичайно використається криптографiчний механiзм електронного цифрового пiдпису.

Необхiдно звернути увагу на те, що в комп’ютерної криптографiї двi сторони властиво криптографiчна й iнтерфейсна, що

дозволяє сполучатися з iншими частинами iнформацiйної системи. Стандартизацiя iнтерфейсiв й їхню функцiональну розмаїтiсть дозволяють розробляти криптографiчнi компоненти, якi можна було б вбудовувати в iснуючi й перспективнi конфiгурацiї VPN.

Авторизацiя й керування доступом

Ключовим компонентом безпеки VPN є гарантiя того, що доступ до комп’ютерних ресурсiв одержують авторизованi користувачi, у той час як для неавторизованих користувачiв мережа повнiстю закрита. Система авторизацiї має справу з легальними користувачами, якi успiшно пройшли процедуру автентифiкацiї. Цiль системи авторизацiї полягає в тiм, щоб надати конкретному легальному користувачевi тi види доступу до мережних ресурсiв, якi були визначенi для нього адмiнiстратором системи.

Система авторизацiї надає легальним користувачам не тiльки певнi права доступу до каталогiв, файлам i принтерам, але й регулює доступ користувача до засобiв шифрування пакетiв, формування цифрового пiдпису й певних VPN-пристроїв. Процедури авторизацiї реалiзуються програмними засобами, убудованими в операцiйну систему або в додаток. При побудовi програмних засобiв авторизацiї застосовується два пiдходи:

централiзована схема авторизацiї;

децентралiзована схема авторизацiї.

Основне призначення централiзованої системи авторизацiї

реалiзувати принцип єдиного входу. Керування процесом надання ресурсiв користувачевi здiйснюється сервером. Централiзований пiдхiд до процесу авторизацiї реалiзований у системах Kerberos, RADIUS й TACACS.

При децентралiзованому пiдходi до процесу авторизацiї кожна робоча станцiя оснащується засобами захисту. У цьому випадку доступ до кожного додатка повинен контролюватися засобами захисту того операцiйного середовища, у якiй працює даний додаток. Адмiнiстратор мережi повинен контролювати роботу засобiв безпеки, використовуваних всiма типами додаткiв. При видаленнi або додаваннi нових користувачiв адмiнiстраторовi доводиться конфiгурувати доступ до кожної програми або системи.

У великих мережах звичайно застосовується комбiнований пiдхiд у наданнi легальним користувачам прав доступу до мережних ресурсiв. Сервер вiддаленого доступу обмежує доступ користувачiв до укрупнених елементiв мережi пiдмереж, сегментiв мережi або корпоративних серверiв. Кожен окремий сервер мережi здiйснює обмеження доступу користувача до своїх внутрiшнiх ресурсiвкаталогам, додаткам або принтерам.

Останнiм часом активно розвивається так називане рольове керування доступом. Воно не стiльки вирiшує проблеми безпеки, скiльки полiпшує керованiсть систем. Суть рольового керування доступом полягає в тiм, що мiж користувачами i їхнiми привiлеями помiщають промiжнi сутностi ролi. Для кожного користувача одночасно можуть бути активними кiлька ролей, кожна з яких дає йому цiлком певного права.

Складнiсть iнформацiйної системи характеризується, насамперед, числом наявних у нiй зв’язкiв. Оскiльки ролей багато менше, нiж користувачiв i привiлеїв, використання ролей сприяє зниженню складностi й, отже, полiпшенню керованостi системи.

Крiм того, на пiдставi рольової моделi керування доступом можна реалiзувати такий важливий принцип, як подiл обов’язкiв (наприклад, неможливiсть поодинцi скомпрометувати критично важливий процес). Мiж ролями можуть бути визначенi статичнi або динамiчнi вiдносини несумiсностi (наприклад, неможливiсть одному суб’єктовi одночасно виконувати двi ролi).

Безпека периметра мережi й виявлення вторгнень Твердий контроль доступу до додаткiв, сервiсам i ресурсам мережi, що захищається, є важливою функцiєю правильно побудованої мережi. Використання таких засобiв безпеки, як мiжмережнi екрани, системи виявлення вторгнень, системи аудита безпеки, антивiруснi комплекси, забезпечує системний захист перемiщуваних по мережi даних.

Важливою частиною загального рiшення безпеки мережi є мiжмережнi екрани, якi контролюють трафiк, що перетинає периметр захищає сети, що, i накладають обмеження на пропуск трафiка вiдповiдно до полiтики безпеки органiзацiї. Мiжмережнi екрани захищають корпоративнi мережi вiд несанкцiонованого доступу до обчислювальних ресурсiв i вiд таких мережних атак, як “вiдмова

в обслуговуваннi”. Незважаючи на те що мiжмережнi екрани дозволяють або забороняють проходження трафiка на основi таких критерiїв, як данi про джерело, пункт призначення, порту й iн., вони фактично не аналiзують трафiк.

Додатковим елементом гарантiї безпеки периметра мережi є система виявлення вторгнень IDS (Intrusion Detection System), що працює в реальному часi й призначена для виявлення, фiксацiї й припинення неавторизованої мережної активностi як вiд зовнiшнiх, так i вiд внутрiшнiх джерел. Системи виявлення вторгнень аналiзують умiст i контекст окремих пакетiв з метою визначення, чи є цей трафiк авторизованим.

Мiжмережне екранування й виявлення вторгнень надають надiйнi механiзми захисту вiд мережних атак, але надiйна безпека починається усерединi корпоративної мережi шляхом аудита її безпеки за допомогою засобiв аналiзу захищеностi. Системи аналiзу захищеностi сканують корпоративну мережу з метою виявлення потенцiйних уразливостей безпеки, даючи можливiсть менеджерам мережi краще захистити мережу вiд атак.

6.3.1.4. Керування безпекою мережi

Мережi VPN iнтегрують як самi мережнi пристрої, так i численнi сервiси керування безпекою й пропускною здатнiстю. Компанiям необхiдно цiлiсне керування цими пристроями й сервiсами через iнфраструктуру VPN, включаючи користувачiв вiддаленого доступу й засобiв extranet. У зв’язку iз цим керування засобами VPN стає однiєї з найважливiших завдань забезпечення ефективного функцiонування VPN. Система керування корпоративною мережею повинна включати необхiдний набiр засобiв для керування полiтиками безпеки, пристроями й сервiсами VPN будьякого масштабу.

VPN дають можливiсть компанiям визначити, який рiвень керування мережею їм варто зберегти за собою, а якi функцiї доцiльно передати сервiс-провайдерам. Багато компанiй волiють здiйснювати повний контроль над розгортанням i функцiонуванням своїх VPN й, вiдповiдно, хочуть мати всеосяжну систему керування мережею, засновану на полiтику безпеки компанiї.

ної приватної мережi, що є сервiсом, “керованим користувачем”. Це означає, що спiвробiтник вiдповiдальний за вибiр iнтернетпровайдера, проведення iнсталяцiї необхiдного програмного забезпечення й оплату пов’язаних iз цим витрат. Подальшi деталi можуть бути уточненi в полiтику вiддаленого доступу. Додатково варто мати на увазi:

спiвробiтник, що має доступ у корпоративну мережу через вiртуальну приватну мережу, вiдповiдає за недопущення доступу стороннiх осiб у внутрiшню мережу компанiї;

автентифiкацiя у вiртуальнiй приватнiй мережi вiдбувається з використаннi їм або однократних (one-time) паролiв, або архiтектури вiдкритих ключiв зi стiйкими до злому ключовими фразами;

пiсля встановлення вiртуальної приватної мережi весь трафiк буде йти тiльки через тунель, весь iнший трафiк буде блокуватися;

подвiйнi тунелi забороненi, дозволене тiльки одне мережне з’єднання;

точки термiнування трафiка вiртуальних приватних мереж будуть встановлюватися й обслуговуватися групою мережних операцiй;

на всiх комп’ютерах, що одержують доступ до внутрiшньої корпоративної мережi, повинне бути встановлене прийняте в якостi обов’язкового в компанiї антивiрусне програмне забезпечення iз самими останнiми вiдновленнями антивiрусних баз;

з’єднання через вiртуальну приватну мережу буде перервано у випадку 30-хвилинної бездiяльностi спiвробiтника. Пiсля цього спiвробiтник повинен знову встановити з’єднання. Використання ping або подiбних засобiв для пiдтримки активностi з’єднання заборонено;

загальний час безперервного з’єднання обмежено 24 годинами;

власники комп’ютерiв, що не є спiвробiтниками компанiї, повиннi сконфiгурувати свої комп’ютери вiдповiдно до полiтикiв iнформацiйної безпеки компанiї;

у якостi програмних й апаратних клiєнтiв для органiзацiї вiртуальної приватної мережi можуть виступати тiльки затвердженi вiддiлом iнформацiйної безпеки засобу;

при використаннi технологiї вiртуальних приватних мереж комп’ютери стають частиною корпоративної мережi й повиннi бути сконфiгурованi вiдповiдно до полiтики iнформацiйної безпеки компанiї.

6.3.1.6. Вiдповiдальнiсть

До будь-якого спiвробiтника, що порушив цю полiтику, можуть бути застосованi дисциплiнарнi мiри, аж до звiльнення.

6.3.2Види мереж VPN, що застосовуються для реалiзацiї полiтики безпеки

На змiну традицiйному способу встановлення з’єднань мiж користувачами Iнтернету за допомогою модемiв й/або видiлених лiнiй приходять вiртуальнi приватнi мережi VPN, що дозволяють користувачам вiльно спiлкуватися мiж собою через Iнтернет. Протягом найближчого рокiв на базi вiдкритої для всiх глобальної мережi Iнтернет можна буде впевнено пiдтримувати практично всi види трафiка, включаючи обмiн даними, мова й вiдеозображення. Завдяки перевагам технологiї VPN багато компанiй починають будувати свою стратегiю з урахуванням використання Iнтернету як головний засiб передачi iнформацiї, причому навiть тiєї, котра є уразливою або життєво важливою.

Iснують рiзнi варiанти класифiкацiї VPN. Найбiльше часто використовуються наступнi три ознаки класифiкацiї:

робочий рiвень моделi OSI;

архiтектура технiчного рiшення VPN;

спосiб технiчної реалiзацiї VPN.

Види VPN вiдповiдно до рiвня моделi OSI Для технологiй без-

печної передачi даних по загальнодоступнiй (незахищеної) мережi застосовують узагальнену назву захищений канал (secure channel). Термiн “канал” пiдкреслює той факт, що захист даних забезпечується мiж двома вузлами мережi (хостами або шлюзами) уздовж деякого вiртуального шляху, прокладеного в мережi з комутацiєю пакетiв.

Захищений канал можна побудувати за допомогою системних засобiв, реалiзованих на рiзних рiвнях моделi взаємодiї вiдкритих систем OSI (рис. 6.23).

Рис. 6.22. Рiвнi протоколiв захищеного каналу

Протоколи захищеного доступу Прикладний Впливають на додатки Представницький Сеансовий Транспортний Мережний Прозорi для додаткiв Канальний Фiзичний

Класифiкацiя VPN по робочому рiвнi моделi OSI становить значний iнтерес, оскiльки вiд обраного рiвня OSI багато в чому залежить функцiональнiсть реалiзованої VPN й її сумiснiсть iз додатками корпоративної iнформацiйної системи, а також з iншими засобами захисту.

По ознацi робочого рiвня моделi OSI розрiзняють наступнi групи VPN:

VPN канального рiвня;

VPN мережного рiвня;

VPN сеансового рiвня.

Можна помiтити, що VPN будуються на досить низьких рiвнях

моделi OSI. Причина цього досить проста чим нижче в стецi реалiзованi засоби захищеного каналу, тим простiше їх зробити прозорими для додаткiв i прикладних протоколiв. На мережному й канальному рiвнях залежнiсть додаткiв вiд протоколiв захисту зникає зовсiм. Тому побудувати унiверсальний i прозорий захист для користувача можливо тiльки на нижнiх рiвнях моделi. Однак тут виникає iнша проблема залежнiсть протоколу захисту вiд конкретної мережної технологiї.

Якщо для захисту даних використовується протокол одного з верхнiх рiвнiв (прикладний або представницького), то такий спосiб захисту не залежить вiд того, якi мережi (IP або IPX, Ethernet або ATM) застосовуються для транспортування даних, що можна вважати безсумнiвним достоїнством. З iншого боку, додаток при цьому стає залежним вiд конкретного протоколу захисту, тобто для додаткiв такий протокол не є прозорим.

Захищеному каналу на найвищому, прикладному рiвнi властивий ще один недолiк обмежена область дiї. Протокол захищає тiльки цiлком певну мережну службу файлову, гiпертекстову або поштову. Наприклад, протокол S/MIME захищає винятково повiдомлення електронної пошти. Тому для кожної служби необхiдно розробляти вiдповiдну захищену версiю протоколу. Слiд зазначити, що на верхнiх рiвнях моделi OSI iснує досить твердий зв’язок мiж використовуваним стеком протоколiв i додатком.

Розглянемо бiльш докладно групи VPN, що працюють на канальному, мережному й сеансовому рiвнях моделi OSI.

VPN канального рiвня. Засоби VPN, використовуванi на канальному рiвнi моделi OSI, дозволяють забезпечити iнкапсуляцiю рiзних видiв трафiка третього рiвня (i бiльше високих рiвнiв) i побудова вiртуальних тунелiв типу точка-крапка (вiд маршрутизатора до маршрутизатора або вiд персонального комп’ютера до шлюзу ЛВС). До цiєї групи ставляться VPN-продукти, якi використають протоколи L2F (Layer 2 Forwarding) i РРТР (Point-to-Point Tunneling Protocol), а також стандарт L2TP (Layer 2 Tunneling Protocol), розроблений спiльно фiрмами Cisco Systems й Microsoft.

Протокол захищеного каналу РРТР заснований на протоколi

РРР, що широко використається в з’єднаннях точка-крапка, наприклад при роботi з видiлених лiнiй. Протокол РРТР забезпечує прозорiсть засобiв захисту для додаткiв i служб прикладного рiвня й не залежить вiд застосовуваного протоколу мережного рiвня. Зокрема, протокол РРТР може переносити пакети як у мережах IP, так й у мережах, що працюють на основi протоколiв IPX, DECnet або NetBEUI. Однак, оскiльки протокол РРР використається далеко не у всiх мережах (у бiльшостi локальних мереж на канальному рiвнi працює протокол Ethernet, а в глобальних протоколи ATM, Frame Relay), те РРТР не можна вважати унiверсальним засобом. У рiзних частинах великої складеної мережi, загалом кажучи, використовуються рiзнi канальнi протоколи, тому прокласти захищений канал через це гетерогенне середовище за допомогою єдиного протоколу канального рiвня неможливо.

Протокол L2TP стане, iмовiрно, що домiнує рiшенням для органiзацiї вiддаленого доступу до ЛОМ (оскiльки базується в основному на ОС Windows). Тим часом рiшення другого рiвня не при-

дбають, iмовiрно, таке ж значення для взаємодiї ЛОМ через недостатню масштабованiсть при необхiдностi мати кiлька тунелiв iз загальними кiнцевими крапками.

VPN мережного рiвня. VPN-продукти мережного рiвня виконують iнкапсуляцiю IP в IP. Одним iз широко вiдомих протоколiв на цьому рiвнi є протокол SKIP, що поступово витiсняється протоколом IPSec (IP Security), призначеним для автентифiкацiї, тунелювання й шифрування IP-пакетiв. Стандартизований консорцiумом Internet Engineering Task Force (IETF), протокол IPSec увiбрав у себе всi кращi рiшення по шифруванню пакетiв i повинен увiйти як обов’язковий компонент до протоколу IPv6.

Працюючий на мережному рiвнi протокол IPSec є компромiсним варiантом. З одного боку, вiн прозорий для додаткiв, а з iншого боку - вiн може працювати практично у всiх мережах, тому що засновано на широко розповсюдженому протоколi IP. У цей час

усвiтi тiльки 1% комп’ютерiв не пiдтримує IP взагалi, iншi 99% використають його або як єдиний протокол, або в якостi одного з декiлькох протоколiв. Протокол IPSec передбачає стандартнi методи iдентифiкацiї користувачiв або комп’ютерiв при iнiцiацiї тунелю, стандартнi способи використання шифрування кiнцевими крапками тунелю, а також стандартнi методи обмiну й керування ключами шифрування мiж кiнцевими крапками.

Протокол IPSec стрiмко завойовує популярнiсть i стане, iмовiрно, що домiнує методом VPN для взаємодiї ЛВС. Тим часом не слiд забувати, що специфiкацiя IPSec орiєнтована на IP й, таким чином, не пiдходить для трафiка будь-яких iнших протоколiв мережного рiвня. Протокол IPSec може працювати разом iз протоколом L2TP,

урезультатi цi два протоколи забезпечують бiльше надiйну iдентифiкацiю, стандартизоване шифрування й цiлiснiсть даних. Тунель IPSec мiж двома локальними мережами може пiдтримувати безлiч iндивiдуальних каналiв передачi даних, у результатi чого додатка даного типу одержують переваги з погляду масштабування в порiвняннi з технологiєю другого рiвня.

Iз протоколом IPSec зв’язаний протокол IKE (Internet Key Exchange), що вирiшує завдання безпечного керування й обмiну криптографiчними ключами мiж вiддаленими пристроями. Протокол IKE автоматизує обмiн ключами й установлює захищене

з’єднання, тодi як IPSec кодує й “пiдписує” пакети. Крiм того, IKE дозволяє змiнювати ключ для вже встановленого з’єднання, що пiдвищує конфiденцiйнiсть переданої iнформацiї.

VPN сеансового рiвня. Деякi VPN використають iнший пiдхiд за назвою “посередники каналiв” (circuit proxy). Цей метод функцiонує над транспортним рiвнем i ретранслює трафiк iз захищеної мережi в загальнодоступну мережу Iнтернет для кожного сокета окремо. (Сокет IP iдентифiкується комбiнацiєю TCP- з’єднання й конкретного порту або заданим портом UDP. Стек TCP/IP не має п’ятого сеансового рiвня, однак орiєнтованi на сокеты операцiї часто називають операцiями сеансового рiвня.)

Шифрування iнформацiї, переданої мiж iнiцiатором i термiнатором тунелю, часто здiйснюється за допомогою захисту транспортного рiвня TLS (Transport Layer Security). Для стандартизацiї автентифiкованого проходу через мiжмережнi екрани консорцiум IETF визначив протокол за назвою SOCKS, i в цей час протокол SOCKS v.5 застосовується для стандартизованої реалiзацiї посередникiв каналiв.

У протоколi SOCKS v.5 клiєнтський комп’ютер установлює автентифiкований сокет (або сеанс) iз сервером, що виконує роль посередника (proxy). Цей посередник єдиний спосiб зв’язку через мiжмкережний екран. Посередник, у свою чергу, проводить будь-якi операцiї, запитуванi клiєнтом. Оскiльки посередниковi вiдомо про трафiк на рiвнi сокета, вiн може здiйснювати ретельний контроль, наприклад блокувати конкретнi додатки користувачiв, якщо вони не мають необхiдних повноважень. Для порiвняння, вiртуальнi приватнi мережi рiвнiв 2 й 3 звичайно просто вiдкривають або закривають канал для всього трафiка по автентифiкованому тунелi. Це може представляти проблему, якщо користувач не до кiнця довiряє мережi на iншому кiнцi тунелю.

Якщо протокол IPSec, власне кажучи, поширює мережа IP на захищений тунель, то продукти на базi протоколу SOCKS розширюють її на кожен додаток i кожен сокет окремо. На вiдмiну вiд рiшень рiвнiв 2 й 3, де створенi тунелi другого й третього рiвнiв функцiонують однаково в обох напрямках, мережi VPN рiвня 5 допускають незалежне керування передачею в кожному напрямку. Аналогiчно протоколу IPSec i протоколам другого рiвня, мере-

жi VPN рiвня 5 можна використати з iншими типами вiртуальних приватних мереж, оскiльки данi технологiї не є взаємовиключними.

6.3.2.1. Види VPN вiдповiдно до архiтектури технiчного рiшення

По архiтектурi технiчного рiшення прийнято видiляти три основних види вiртуальних часток мереж:

внутрiшньокорпоративнi VPN;

VPN з вiддаленим доступом;

мiжкорпоративнi VPN.

Внутрiшньокорпоративнi мережi VPN (Intranet VPN) призначенi для забезпечення захищеної взаємодiї мiж пiдроздiлами усерединi пiдприємства або мiж групою пiдприємств, об’єднаних корпоративними мережами зв’язку, включаючи видiленi лiнiї.

Вiртуальнi приватнi мережi VPN з вiддаленим доступом (Remote Access VPN) призначенi для забезпечення захищеного вiддаленого доступу до корпоративних iнформацiйних ресурсiв мобiльним й/або вiддаленим (home-o ce) спiвробiтникам компанiї.

Мiжкорпоративнi мережi VPN (Extranet VPN) призначенi для забезпечення захищеного обмiну iнформацiєю зi стратегiчними партнерами по бiзнесi, постачальниками, великими замовниками, користувачами, клiєнтами й т.iн. Extranet VPN забезпечує прямий доступ з мережi однiєї компанiї до мережi iншої компанiї й тим самим сприяє пiдвищенню надiйностi зв’язку, пiдтримуваної в ходi дiлового спiвробiтництва.

Слiд зазначити, що останнiм часом спостерiгається тенденцiя до конвергенцiї рiзних конфiгурацiй VPN.

6.3.2.2. Види VPN вiдповiдно до способу технiчної реалiзацiї

Конфiгурацiя й характеристики вiртуальної приватної мережi багато в чому визначаються типом застосовуваних VPN-пристроїв.

За способом технiчної реалiзацiї розрiзняють наступнi групи VPN:

VPN на основi маршрутизаторiв;

VPN на основi мiжмережних екранiв;

VPN на основi програмних рiшень;

VPN на основi спецiалiзованих апаратних засобiв з убудовани-

ми шифропроцесорами.

VPN на основi маршрутизаторiв. Даний спосiб побудови VPN припускає застосування маршрутизаторiв для створення захищених каналiв. Оскiльки вся iнформацiя, що виходить iз локальної мережi, проходить через маршрутизатор, те цiлком природно покласти на нього й завдання шифрування. Приклад устаткування для VPN на маршрутизаторах пристрою компанiї Cisco Systems. VPN на основi мiжмережних екранiв. Мiжмережнi екрани бiльшостi виробникiв пiдтримують функцiї тунелювання й шифрування даних. Як приклад рiшення на основi мiжмережних екранiв можна назвати продукт Fire Wall-1 компанiї Check Point Software Technologies. При використаннi мiжмережних екранiв на базi ПК треба пам’ятати, що подiбне рiшення пiдходить тiльки для вiдносно малих мереж з невеликим обсягом переданої iнформацiї. Недолiками цього методу є висока вартiсть рiшення в перерахуваннi на одне робоче мiсце й залежнiсть продуктивностi вiд апаратного забезпечення, на якому працює мiжмережний екран.

VPN на основi програмного забезпечення. VPNпродукти, реалiзованi програмним способом, з погляду продуктивностi уступають спецiалiзованим пристроям, однак мають достатню потужнiсть для реалiзацiї VPN-мереж. Слiд зазначити, що у випадку вiддаленого доступу вимоги до необхiдної смуги пропущення невеликi. Тому чисто програмнi продукти легко забезпечують продуктивнiсть, достатню для вiддаленого доступу.

Безсумнiвним достоїнством програмних продуктiв є гнучкiсть i зручнiсть у застосуваннi, а також вiдносно невисока вартiсть.

VPN на основi спецiалiзованих апаратних засобiв. Головною перевагою VPN на основi спецiалiзованих апаратних засобiв є їхня висока продуктивнiсть. Бiльше висока швидкодiя спецiалiзованих VPN-систем обумовлене тим, що шифрування в них здiйснюється спецiалiзованими мiкросхемами. Спецiалiзованi VPN-пристрої забезпечують високий рiвень безпеки, однак мають значну вартiсть.

6.3.2.3. Основнi варiанти архiтектури VPN

Iснує безлiч рiзновидiв вiртуальних приватних мереж. Їхнiй спектр варiюється вiд провайдерських мереж, що дозволяють управляти обслуговуванням клiєнтiв безпосередньо на їхнiх площах, до корпоративних мереж VPN, що розвертають i керованих самими компанiями. Проте прийнято видiляти три основних види вiртуальних часток мереж: VPN з вiддаленим доступом, внутрiшньокорпоративнi VPN i мiжкорпоративнi VPN.

VPN з вiддаленим доступом

Вiртуальнi приватнi мережi VPN з вiддаленим доступом (Remote Access VPN) забезпечують захищений вiддалений доступ до iнформацiйних ресурсiв пiдприємства для мобiльних або вiддалених спiвробiтникiв корпорацiї (керiвництво компанiєю, спiвробiтники, що перебувають у вiдрядженнях, спiвробiтники-надомники й т.iн.).

Вiртуальнi приватнi мережi з вiддаленим доступом (рис. 6.25) завоювали загальне визнання завдяки тому, що вони дозволяють значно скоротити щомiсячнi витрати на використання що комутирують i видiлених лiнiй. Принцип їхньої роботи простий: користувачi встановлюють з’єднання з мiсцевою крапкою доступу до глобальної мережi, пiсля чого їхнi виклики тунелюються через Iнтернет, що дозволяє уникнути плати за мiжмiський i мiжнародний зв’язок або виставляння рахункiв власникам безкоштовних мiжмiських номерiв. Потiм всi виклики концентруються на вiдповiдних вузлах i передаються в корпоративнi мережi.

Перехiд вiд приватнокерованих мереж iз зв’язком, що комутується, до VPN з вiддаленим доступом дає ряд переваг, зокрема:

можливiсть використання мiсцевих телефонних номерiв замiсть мiжмiських, що дозволяє значно знизити витрати на мiжмiськi телекомунiкацiї;

ефективна система встановлення дiйсностi вiддалених i мобiльних користувачiв, що забезпечує надiйне проведення процедури автентифiкацiї;

Рис. 6.24. З’єднання вузлiв мережi за допомогою технологiї Intranet VPN

iнформацiєю зi стратегiчними партнерами по бiзнесi, у тому числi закордонними, основними постачальниками, великими замовниками, клiєнтами й т.д. (рис. ??). Extranet це мережна технологiя, що забезпечує прямий доступ з мережi однiєї компанiї до мережi iншої компанiї й у такий спосiб сприяє пiдвищенню надiйностi зв’язку, пiдтримуваної в ходi дiлового спiвробiтництва.

Внутрiшньокорпоративнi мережi VPN будуються з використанням Iнтернету або подiлюваних мережних iнфраструктур, що надаються сервiс-провайдерами. Компанiї досить вiдмовитися вiд використання дорогих видiлених лiнiй, замiнивши їх бiльше дешевим зв’язком через Iнтернет. Це iстотно скорочує витрати на використання смуги пропущення, оскiльки в Iнтернетi вiдстань нiяк не впливає на вартiсть з’єднання.

Рис. 6.25. Мiжкорпоративна мережа VPN

Мiжкорпоративнi мережi VPN у цiлому схожi на внутрiшньокорпоративнi вiртуальнi приватнi мережi з тiєю лише рiзницею, що проблема захисту iнформацiї є для них бiльше гострої. Для мiжкорпоративних мереж VPN характерне використання стандартизованих VPN-продуктiв, що гарантують здатнiсть до взаємодiї з рiзними VPN-рiшеннями, якi дiловi партнери могли б застосовувати у своїх мережах.

Коли кiлька компанiй вирiшують рiшення разом i вiдкривають друг для друга свої мережi, вони повиннi подбати про те, щоб їхнi новi партнери мали доступ тiльки до певної iнформацiї. При цьому конфiденцiйна iнформацiя повинна бути надiйно захищена вiд несанкцiонованого використання. Саме тому в межкорпоративных мережах велике значення надається контролю доступу з вiдкритої мережi за допомогою мiжмережних екранiв. Важлива й автентифiкацiя користувачiв, покликана гарантувати, що доступ до iнформацiї одержують тiльки тих, кому вiн дiйсно дозволений. Разом з тим розгорнута система захисту вiд несанкцiонованого доступу не повинна залучати до себе уваги.

З’єднання Extranet VPN розгортаються, використовуючи тi ж

самi архiтектуру й протоколи, якi застосовуються при реалiзацiї Intranet VPN й Remote Access VPN. Основне розходження полягає в тiм, що дозвiл доступу, що дається користувачам мiжкорпоративних мереж VPN, пов’язане з мережею їхнього партнера.

Iнодi в окрему групу видiляють локальний варiант мережi VPN (Localnet VPN). Локальна мережа Localnet VPN забезпечує захист iнформацiйних потокiв, що циркулюють усерединi локальних мереж компанiї (як правило, центрального офiсу), вiд несанкцiонованого доступу з боку зайво цiкавих спiвробiтникiв самої компанiї. У цей час спостерiгається тенденцiя до конвергенцiї рiзних способiв реалiзацiй VPN.

6.3.2.4. Основнi види технiчної реалiзацiї VPN

Засоби побудови вiртуальних захищених мереж VPN вiдрiзняються бiльшою розмаїтiстю. Для побудови VPN можуть застосовуватися мережнi засоби захисту наступних категорiй:

сервери вiддаленого доступу, що дозволяють створювати захищенi тунелi на канальному рiвнi еталонної моделi мережної взаємодiї (моделi OSI);

маршрутизатори з убудованими функцiями VPN, що пiдтримують протоколи створення VPN на канальному й мережному рiвнях моделi OSI;

мiжмережнi екрани, можливо, що включають у свiй склад сервери вiддаленого доступу й що дозволяють створювати VPN на канальному, мережному й сеансовому рiвнях моделi OSI;

автономне програмне забезпечення, що дозволяє створювати VPN в основному на мережному й сеансовому рiвнях моделi OSI;

спецiалiзованi апаратнi засоби, орiєнтованi на формування захищених тунелiв на канальному й мережному рiвнях моделi

OSI.

Засоби побудови VPN можуть вiдрiзнятися друг вiд друга по багатьом характеристикам:

точками розмiщення VPN-пристроїв;

типом платформи, на якiй цi засоби працюють;

реалiзованим протоколам формування захищених каналiв;

набору функцiональних можливостей;

застосовуваним алгоритмам шифрування й протоколам автентифiкацiї.

Як вiдзначалося вище, за способом технiчної реалiзацiї розрiзняють наступнi групи VPN:

VPN на основi маршрутизаторiв;

VPN на основi мiжмережних екранiв;

VPN на основi програмних рiшень;

VPN на основi спецiалiзованих апаратних засобiв.

Кожне з перерахованих рiшень має свої достоїнства й недолiки. Варто мати на увазi, що корпоративнi замовники пред’являють, як правило, досить твердi вимоги до таких технiко-економiчних характеристик VPN, як:

iнтегрованiсть iз уже iснуючими в пiдроздiлах компанiї засобами захисту iнформацiї, а також прозорiсть роботи VPN для всiх працюючих внутрiшньокорпоративних додаткiв (системи документообiгу, системи аудита й керування комп’ютерними мережами й т.д.);

масштабованiсть застосовуваних технiчних рiшень;

пропускна здатнiсть мережi, що пiдлягають захисту, тобто VPN-пристрої не повиннi вносити iстотнi затримки в процес обробки й передачi iнформацiї, а також помiтно звужувати смугу пропущення каналу зв’язку;

стiйкiсть застосовуваних криптоалгоритмiв, що надiйно захищала б корпоративну iнформацiю вiд криптоаналiтичних атак зловмисникiв i несумлiнних конкурентiв, а також забезпечення цiлiсностi переданої по мережах iнформацiї й надiйної автентифiкацiї користувачiв VPN;

унiфiкованiсть VPN-рiшення, що дозволяє даної компанiї в майбутньому без особливих технiчних й органiзацiйних проблем установлювати захищенi з’єднання з новими партнерами по бiзнесi;

загальна вартiсть побудови корпоративної VPN.

VPN на базi маршрутизаторiв

Маршрутизатор пропускає через себе всi пакети, якими локальна мережа обмiнюється iз зовнiшнiм миром. Це робить маршрутизатор природною платформою для шифрування вихiдних пакетiв i розшифрування криптозащищених вхiдних пакетiв. Iншими словами, маршрутизатор може, у принципi, сполучати основнi операцiї по маршрутизацiї з пiдтримкою функцiй VPN.

Таке рiшення має свої достоїнства й недолiки. Достоїнства полягають у зручностi спiльного адмiнiстрування функцiй маршрутизацiї й функцiй VPN. Використання маршрутизаторiв для пiдтримки VPN особливо корисно в тих випадках, коли пiдприємство не використає мiжмережний екран й органiзує захист корпоративної мережi тiльки за допомогою маршрутизатора, що сполучає функцiї захисту як по доступi в мережу, так i по шифруванню переданого трафiка. Недолiки даного рiшення пов’язанi з пiдвищеними вимогами до продуктивностi маршрутизатора, змушеного сполучати основнi операцiї по маршрутизацiї iз трудомiсткими операцiями шифрування й автентифiкацiї трафiка.

Проблема одержання пiдвищеної продуктивностi маршрутизатора звичайно вирiшується за допомогою апаратної пiдтримки функцiй шифрування. Сьогоднi практично всi провiднi виробники маршрутизаторiв й iнших мережних пристроїв заявляють про пiдтримку у своїх продуктах рiзних VPN-протоколiв.

VPN на базi мiжмережних екранiв

Через мiжмережний екран локальної мережi, як i через маршрутизатор, пропускається весь трафiк. Тому функцiї зашифрування вихiдного трафiка й расшифрування вхiдного трафiка може з успiхом виконувати й МЕ. Сьогоднi ряд VPN-рiшень опирається на розширення МЕ додатковими функцiями пiдтримки VPN, що дозволяє встановити через Iнтернет шифроване з’єднання з iншим МЕ.

Побудова VPN на базi мiжмережних екранiв є цiлком обґрунтованим рiшенням з погляду забезпечення комплексного захисту корпоративної мережi вiд атак з вiдкритих мереж. Дiйсно, при об’-

єднаннi функцiй МЕ й VPN-шлюзу в однiй крапцi пiд контролем єдиної системи керування й аудита всi функцiї по захисту корпоративної мережi виявляються зосередженими в одному пристрої, при цьому пiдвищується якiсть адмiнiстрування засобiв захисту.

Однак така унiверсалiзацiя засобу захисту при iснуючому рiвнi можливостей обчислювальних засобiв має не тiльки позитивнi, але й негативнi сторони. Обчислювальна складнiсть в операцiй шифрування й автентифiкацiї набагато вище, нiж у традицiйних для мiжмережного екрана операцiй фiльтрацiї пакетiв. Тому МЕ, розрахований на виконання менш трудомiстких операцiй, часто не забезпечує потрiбну продуктивнiсть при виконаннi додаткових функцiй VPN. Коли корпоративна мережа пiдключена до вiдкритої мережi через високошвидкiсний канал, рекомендується для забезпечення якiсного захисту використати VPN-шлюз, виконаний у виглядi окремого апаратного, програмного або комбiнованого пристрою.

Переваги вiд iнтегрованої роботи МЕ й VPN-шлюзу виявляються досить привабливими й часто переважують фактор низької продуктивностi, про що свiдчить стратегiя провiдних виробникiв МЕ. Ряд виробникiв МЕ розширюють пiдтримку функцiй VPN у своїх продуктах. Провiдними виробниками мiжмережних екранiв з пiдтримкою функцiй VPN є компанiї Check Point Software Technologies, Axent Technologies, Network Associates, Secure Computing й iн. Зокрема, компанiя Check Point Software Technologies, чий мiж мережний екран Fire Wall-1 багаторазово визнавався кращим, випускає популярне сiмейство продуктiв VPN-1, що тiсно iнтегроване з Fire Wall-1 [3].

Бiльшiсть МЕ являє собою серверне програмне забезпечення, тому актуальна проблема пiдвищення продуктивностi може бути вирiшена за рахунок застосування високопродуктивної комп’ютерної платформи.

Побудова VPN на базi МЕ виглядає цiлком рацiональним рiшенням, хоча йому властивi деякi недолiки. Насамперед, це бiльша вартiсть даного рiшення в перерахуваннi на одне робоче мiсце корпоративної мережi й досить високi вимоги до продуктивностi МЕ навiть при помiрнiй ширинi смуги пропущення вихiдного каналу зв’язку.

VPN на базi спецiалiзованого програмного забезпечення

Для побудови VPN широко використовуються спецiалiзованi програмнi засоби. Програмнi засоби побудови VPN дозволяють формувати захищенi тунелi чисто програмним образом i перетворюють комп’ютер, на якому вони функцiонують, у маршрутизатор TCP/IP, що одержує зашифрованi пакети, розшифровує їх i передає по локальнiй мережi далi, до кiнцевої крапки призначення. Останнiм часом з’явилося досить багато таких продуктiв. У виглядi спецiалiзованого програмного забезпечення можуть бути виконанi VPN-шлюзи, VPN-сервери й VPN-клiєнти.

VPN-продукти, реалiзованi програмним способом, з погляду продуктивностi уступають спецiалiзованим апаратним пристроям, у той же час програмнi продукти легко забезпечують продуктивнiсть, достатню для вiддаленого доступу. Безсумнiвним достоїнством програмних продуктiв є гнучкiсть i зручнiсть у застосуваннi, а також вiдносно невисока вартiсть. Багато компанiй-виробникiв апаратних шлюзiв доповнюють лiнiйку своїх продуктiв чисто програмною реалiзацiєю VPN-клiєнта, що розрахований на роботу в середовищi стандартної ОС.

Вiдзначимо такi розповсюдженi VPN-засоби на базi спецiалiзованого програмного забезпечення, як програмнi продукти RAS (Remote Access Service) i RRAS (Routing and Remote Access Service) вiд компанiї Microsoft й AltaVista Tunnel вiд компанiї Digital Equipment, якi пiдтримують захищену передачу даних вiд однiєї локальної мережi до iнший i вiд вiддаленого комп’ютера до локальної мережi.

VPN на основi спецiалiзованих апаратних засобiв

Головною перевагою VPN-засобiв на основi спецiалiзованих апаратних пристроїв є їхня висока продуктивнiсть. Обсяг обчислень, якi необхiдно виконати при обробцi VPN-пакета, в 50–100 разiв перевищує той, котрий потрiбно для обробки звичайного пакета. Бiльше висока швидкодiя VPN-систем на базi апаратних засобiв досягається завдяки тому, що шифрування в них здiйснюється спецiалiзованими мiкросхемами.

Такi VPN-засоби найчастiше сумiснi iз протоколом IPSec i застосовуються для формування криптозахищених тунелiв мiж локальними мережами. Устаткування для формування VPN вiд деяких виробникiв одночасно пiдтримує й захищений зв’язок у режимi “вiддалений комп’ютер локальна мережа”.

Апаратнi VPN-шлюзи реалiзуються у виглядi окремого апаратного пристрою, основною функцiєю якого є високопродуктивне шифрування трафiка. Цi VPN-шлюзи працюють iз цифровими сертифiкатами Х.509 й iнфраструктурою керування вiдкритими ключами PKI, пiдтримують роботу з довiдковими службами по LDAP.

Iнсталяцiя апаратних шлюзiв здiйснюється набагато простiше в порiвняннi iз програмними шлюзами й шлюзами на основi маршрутизаторiв i МЕ. Керування такими пристроями вимагає рiшення двох основних завдань: керування ключами через сертифiкацiйний центр i керування захищеним тунелюванням. У бiльшостi засобiв апаратного тунелювання сертифiкацiйнi центри являють собою програмнi додатки пiд Windows. Апаратними тунелями можна управляти централiзовано з одного робочого мiсця. Бiльшiсть апаратних засобiв VPN поставляється разом з керуючим програмним забезпеченням, здатним функцiонувати пiд керуванням операцiйних систем Windows NT/ 2000/ХР. Програми керування забезпечують виконання основних захисних функцiй тунелю й обробку помилок.

Спецiалiзованi апаратнi VPN-засоби лiдирують практично по всiх можливих показниках, крiм вартостi. Спецiалiзоване апаратне

Зє кращим рiшенням для вiдповiдальних застосувань.

6.4Технологiя виявлення атак

6.4.1 Концепцiя адаптивного управлiння безпекою

Ряд провiдних закордонних органiзацiй, що займаються мережною безпекою, розробили пiдходи, що дозволяють не тiльки розпiзнавати iснуючої уразливостi й атаки, але й виявляти изменившиеся старi або появившиеся новi уразливостi й протиставляти їм вiдповiднi засоби захисту. Зокрема, компанiя ISS (Internet Security

Systems) уточнила й розвила цi пiдходи й розробила модель адаптивного управлiння безпекою ANS (Adaptive Network Security). У Росiї роботами по адаптивному управлiнню безпекою займається НИП "Информзащита".

Атакою на корпоративну iнформацiйну систему (КIС) вважається будь-яка дiя, виконуване порушником для реалiзацiї погрози шляхом використання уразливостей КIС. Пiд уразливiстю корпоративної iнформацiйної системи розумiється будь-яка характеристика або елемент КIС, використання яких порушником може привести до реалiзацiї погрози.

Уразливi практично все компоненти корпоративної iнформацiйної системи. По-перше, це мережнi протоколи (TCP/IP, IPX/SPX, NetBIOS/SMB) i пристрою (маршрутизатори, комутатори), що утворять мережу. По-друге, операцiйнi системи (Windows NT, UNIX, Netware). По-третє, бази даних (Oracle, Sybase, MS SQL Server) i додатка (SAP, поштовi й Web-сервери й т.iн.) [38].

У загальному випадку архiтектура корпоративної iнформацiйної системи (КIС) мiстить у собi чотири рiвнi:

Рiвень прикладного програмного забезпечення, вiдповiдальний за взаємодiю з користувачем. Прикладом елементiв IС, що працюють на цьому рiвнi, можна назвати текстовий редактор WinWord, редактор електронних таблиць Excel, поштову програму Outlook, системи MS Query i т.iн.

Рiвень системи управлiння базами даних, вiдповiдальний за зберiгання й обробку даних iнформацiйної системи. Прикладом елементiв IС, що працюють на цьому рiвнi, можна назвати СУБД Oracle, MS SQL Server, Sybase й MS Access.

Рiвень операцiйної системи (ОС), вiдповiдальний за обслуговування СУБД i прикладного програмного забезпечення. Прикладом елементiв IС, що працюють на цьому рiвнi, можна назвати ОС Microsoft Windows NT/2000/XP, Sun Solaris, Novell Netware.

Рiвень мережi, вiдповiдальний за взаємодiю вузлiв iнформацiйної системи. Прикладом елементiв IС, що працюють на цьому рiвнi, можна назвати стеки протоколiв TCP/IP, IPS/SPX й SMB/NetBTOS.

Зловмисник має у своєму розпорядженнi широкий спектр можливостей для порушення безпеки КIС. Цi можливостi можуть

бути реалiзованi на всiх чотирьох перерахованi вище рiвнях КIС. Наприклад, для одержання несанкцiонованого доступу до фiнансової iнформацiї в СУБД MS SQL Server зловмисник може реалiзувати одну з наступних можливостей:

Перехопити переданi по мережi данi (рiвень мережi). Прочитати файли бази даних, звертаючись безпосередньо до

файлової системи (рiвень ОС).

Прочитати потрiбнi данi засобами самої СУБД (рiвень СУБД). Прочитати запису БД за допомогою SQL-запитiв через програму MS Query, що дозволяє одержувати доступ до записiв СУБД

(рiвень прикладного ПЗ).

При побудовi бiльшостi традицiйних комп’ютерних засобiв захисти використалися класичнi моделi розмежування доступу, розробленi ще в 70-80-i роки. Недостатня ефективнiсть таких традицiйних механiзмiв захисту, як розмежування доступу, автентификация, фiльтрацiя й iн., обумовлена тим, що при їхньому створеннi не врахованi багато аспектiв, пов’язанi iз сучасними атаками.

Розглянемо етапи здiйснення атаки на КIС (рис. 6.4.2)[38].

Рис. 6.26. Етапи здiйснення атаки

Перший, пiдготовчий, етап полягає в пошуку зловмисником передумов для здiйснення тiєї або iншої атаки. На цьому етапi зловмисник шукає уразливостi в системi. На другому, основному, етапiреалiзацiї атаки здiйснюється використання знайдених уразливостей. На третьому, заключному, етапi зловмисник завершує атаку й намагається сховати слiди вторгнення. У принципi, перший i третiй етапи самi по собi можуть бути атаками. Наприклад, пошук зловмисником уразливостей за допомогою сканерiв безпеки сам по собi вважається атакою.

Слiд зазначити, що iснуючi механiзми захисту, реалiзованi в межсетевых екранах, серверах автентифiкацiї, системах розмежування доступу, працюють тiльки на етапi реалiзацiї атаки. Власне

iмовiрностi їхньої реалiзацiї) i т.iн. Оскiльки конфiгурацiя мережi постiйно змiнюється, то й процес оцiнки ризику повинен проводитися постiйно. З оцiнки ризикiв повинне починатися побудова системи захисту корпоративної iнформацiйної системи.

Аналiз захищеностi це пошук уразливих мiсць у мережi. Мережа складається iз з’єднань, вузлiв, хостiв, робочих станцiй, додаткiв i баз даних. Всi вони бiдують як в оцiнцi ефективностi їхнього захисту, так й у пошуку невiдомих уразливостей у них. Технологiї аналiзу захищеностi дослiджують мережа й шукають слабкi мiсця в нiй, узагальнюють цi вiдомостi й друкують по них звiт. Якщо система, що реалiзує цю технологiю, мiстить й адаптивний компонент, то усунення знайденої уразливостi буде здiйснюватися не вручну, а автоматично. Технологiя аналiзу захищеностi є дiючим методом, що дозволяє реалiзувати полiтику мережної безпеки перш, нiж здiйсниться спроба її порушення iз-зовнi або зсередини органiзацiї.

Перелiчимо деякi iз проблем, що iдентифiкуються технологiєю аналiзу захищеностi:

“люки” у системах (back door) i програми типу "троянський кiнь"; слабкi паролi;

сприйнятливiсть до проникнення з незахищених систем й атакам типу “вiдмова в обслуговуваннi”;

вiдсутнiсть необхiдних вiдновлень (патчiв, пакетiв вiдновлень) операцiйних систем;

неправильне настроювання мiжмережних екранiв, Webсерверiв i баз даних i багато чого iншого.

Виявлення атак є процесом оцiнки пiдозрiлих дiй, якi вiдбу-

ваються в корпоративнiй мережi. Виявлення атак реалiзується за допомогою аналiзу або журналiв реєстрацiї операцiйної системи й додатка, або мережного трафика в реальному часi. Компоненти виявлення атак, розмiщенi на вузлах або сегментах мережi, оцiнюють рiзнi подiї й дiї, у тому числi й дiї, що використають вiдомi уразливостi (рис. 6.27).

Адаптивний компонент моделi адаптивного управлiння безпекою ANS вiдповiдає за модифiкацiю процесу аналiзу захищеностi, надаючи йому саму останню iнформацiю про новий уразливостях. Вiн також модифiкує компонент виявлення атак, доповнюючи йо-

Рис. 6.27. Взаємодiя систем аналiзу захищеностi й виявлення атак

го останньою iнформацiєю про атаки. Як приклад адаптивного компонента можна вказати механiзм вiдновлення баз даних антивiрусних програм для виявлення нових вiрусiв. Керуючий компонент повинен бути здатний до генерацiї звiтiв й аналiзу тенденцiй, пов’язаних з формуванням системи захисту органiзацiї.

Адаптацiя даних може полягати в рiзних формах реагування, якi можуть включати:

вiдправлення повiдомлень системам мережного управлiння за протоколом SNMP, по електроннiй поштi або на пейджер адмiнiстраторовi;

автоматичне завершення сесiї з атакуючим вузлом або користувачем, реконфигурация межсетевых екранiв або iнших мережних пристроїв (наприклад, маршрутизаторiв);

вироблення рекомендацiй адмiнiстраторовi, що дозволяють

вчасно усунути виявленi уразливостi в мережах, додатках або iнших компонентах iнформацiйної системи органiзацiї [38]. Використання моделi адаптивної безпеки мережi рис. 6.28 до-

зволяє контролювати практично всi погрози й вчасно реагувати на них високоефективним способом, що дозволяє не тiльки усунути уразливостi, якi можуть привести до реалiзацiї погрози, але й проаналiзувати умови, що приводять до появи уразливостей.

Модель адаптивної безпеки мережi дозволяє також зменшити зловживання в мережi, пiдвищити поiнформованiсть користувачiв, адмiнiстраторiв i керiвництва компанiї про подiї безпеки в мережi. Слiд зазначити, що дана модель не вiдкидає вже використовуванi механiзми захисту (розмежування доступу, автентифiкацiю й т.iн.). Вона розширює їхня функцiональнiсть за рахунок нових технологiй.

Рис. 6.28. Модель адаптивної безпеки

Для того щоб привести свою систему забезпечення iнформацiйної безпеки у вiдповiднiсть сучасним вимогам, органiзацiям необхiдно доповнити наявнi рiшення трьома новими компонентами, вiдповiдальними за аналiз захищеностi, виявлення атак i управлiння ризиками.

6.4.2 Технологiя аналiзу захищеностi

В органiзацiї, що використає корпоративну iнформацiйну систему, доводиться регулярно перевiряти, наскiльки реалiзованi або використовуванi механiзми захисту iнформацiї вiдповiдає положенням прийнятої в органiзацiї полiтики безпеки. Таке завдання перiодично виникає при змiнi й вiдновленнi компонентiв iнформацiйної системи, змiнi конфiгурацiї операцiйної системи й т.iн. [10, 38].

Однак адмiнiстратори мереж не мають досить часу на проведення такого роду перевiрок для всiх вузлiв корпоративної мережi. Тому фахiвцi вiддiлiв захисту iнформацiї мають потребу в засобах, що полегшують аналiз захищеностi використовуваних механiзмiв забезпечення iнформацiйної безпеки. Цей процес допомагають автоматизувати засоби аналiзу захищеностi, що часто називаються сканерами безпеки (security scanners).

Використання засобiв аналiзу захищеностi дозволяє визначити

уразливостi на вузлах корпоративної мережi й усунути їх до того, як ними скористаються зловмисники. Власне кажучи, дiї системи аналiзу захищеностi аналогiчнi дiям охоронця, що перiодично обходить всi поверхи охоронюваного будинку в пошуках вiдкритих дверей, незакритих вiкон й iнших проблем. Тiльки як будинок виступає корпоративна мережа, а як незакритi вiкна й дверей уразливостi.

Якщо звернутися знову до рисунку , що пояснює етапи розвитку атаки на корпоративну iнформацiйну систему, то можна помiтити, що засобу аналiзу захищеностi працюють на першому етапi здiйснення атаки. Виявляючи й вчасно усуваючи уразливостi, вони тим самим запобiгають самiй можливостi реалiзацiї атаки, що дозволяє знизити витрати (фiнансовi, ресурснi, людськi й т.iн.) на експлуатацiю засобiв захисту. Технологiї аналiзу захищеностi є дiючим методом, що дозволяє проаналiзувати й реалiзувати полiтику мережної безпеки перш, нiж здiйсниться спроба її порушення зовнi або зсередини органiзацiї.

Засоби аналiзу захищеностi можуть функцiонувати на мережному рiвнi, рiвнi операцiйної системи (ОС) i рiвнi додатка. Вони можуть проводити пошук уразливостей, поступово нарощуючи число перевiрок й “заглиблюючись” в iнформацiйну систему, дослiджуючи всi її рiвнi.

Найбiльше поширення дiстали кошти аналiзу захищеностi мережних сервiсiв i протоколiв. Обумовлено це в першу чергу унiверсальнiстю використовуваних протоколiв. Вивченiсть i повсюдне використання таких протоколiв, як IP, TCP, HTTP, FTP, SMTP i т.iн., дозволяють iз високим ступенем ефективностi перевiряти захищенiсть iнформацiйної системи, що працює в мережному оточеннi.

Другими по поширеностi є засоби аналiзу захищеностi операцiйних систем. Обумовлено це також унiверсальнiстю й поширенiстю деяких операцiйних систем (наприклад, UNIX й Windows NT). Однак, через те що кожен виробник вносить в операцiйну систему свої змiни (як приклад можна привести безлiч рiзновидiв ОС UNIX), засобу аналiзу захищеностi ОС аналiзують у першу чергу параметри, характернi для всього сiмейства однiєї ОСI лише для деяких систем аналiзуються специфiчнi для неї параметри.

Засобiв аналiзу захищеностi додаткiв на сьогоднiшнiй день не так вуж багато. Такi засоби поки iснують тiльки для широко розповсюджених прикладних систем типу Web-браузерiв (Netscape Navigator, Microsoft Internet Explorer), СУБД (Microsoft SQL Server, Oracle) i т.iн.

Застосування засобiв аналiзу захищеностi дозволяє швидко визначити всi вузли корпоративної мережi, доступнi в момент проведення тестування, виявити всi використовуванi в мережi сервiси й протоколи, їхнi настроювання й можливостi для несанкцiонованого впливу (як зсередини корпоративної мережi, так i зовнi). За результатами сканування цi засоби виробляють рекомендацiї й покроковi мiри, що дозволяють усунути виявленi недолiки.

Даний метод контролю порушень полiтики безпеки не може замiнити фахiвця з iнформацiйної безпеки. Засоби аналiзу захищеностi можуть лише автоматизувати пошук деяких вiдомих уразливостей.

6.4.2.1. Засоби аналiзу захищеностi мережних протоколiв i сервiсiв

Взаємодiя абонентiв у будь-якiй мережi базується на використаннi мережних протоколiв i сервiсiв, що визначають процедуру обмiну iнформацiєю мiж двома й бiльше вузлами. При розробцi мережних протоколiв i сервiсiв до них пред’являлися вимоги (звичайно явно недостатнi) по забезпеченню безпеки оброблюваної iнформацiї. Тому постiйно з’являються повiдомлення про виявленi в мережних протоколах уразливостях. У результатi виникає потреба в постiйнiй перевiрцi всiх використовуваних у корпоративнiй мережi протоколiв i сервiсiв.

Системи аналiзу захищеностi виконують серiю тестiв по виявленню уразливостей. Цi тести аналогiчнi застосовуваними зловмисниками при здiйсненнi атак на корпоративнi мережi.

Сканування з метою виявлення уразливостей починається з одержання попередньої iнформацiї про систему, що перевiряється, зокрема про дозволенi протоколи й вiдкритi порти, використовуванi версiї операцiйної системи й т.iн. Закiнчується сканування спробами iмiтацiї проникнення, використовуючи широко вiдомi атаки,

Обов’язковою вимогою, що пред’являється до обраної системи, є вiдсутнiсть необхiдностi змiни мережної iнфраструктури пiдприємства. Iнакше витрати на таку реорганiзацiю можуть перевищити вартiсть самої системи аналiзу захищеностi. У даний момент тiльки система Internet Scanner компанiї Internet Security Systems задовольняє цiй вимозi.

При неправильному застосуваннi засобiв аналiзу захищеностi ними можуть скористатися зловмисники для проникнення в корпоративну мережу. Тому засобу аналiзу захищеностi повиннi бути забезпеченi механiзмами розмежування доступу до своїх компонентiв i зiбраних даних. До числа таких механiзмiв можна вiднести:

обмеження на запуск даних засобiв тiльки користувачем iз правами адмiнiстратора;

шифрування архiвiв данi сканування;

автентифiкацiю з’єднання при вилученому управлiннi;

установку спецiальних прав на каталоги iз системою й т.iн. Необхiдно звернути увагу на наявнiсть наступних можливостей

процесу виявлення уразливостей:

можливостi збiльшення швидкостi сканування за рахунок паралельної обробки декiлькох пристроїв або сервiсiв;

можливостi посилки повiдомлень на кожен сканируемый вузол мережi для запобiгання несанкцiонованого використання системи;

можливостi настроювання на експлуатацiйнi вимоги мережi для мiнiмiзацiї помилкових спрацьовувань.

Постiйнi змiни стану корпоративної мережi змiнюють й її за-

хищенiсть. Тому гарна система аналiзу захищеностi повинна мати режим роботи з розкладу, щоб, не чекаючи, поки адмiнiстратор згадає про неї, самої перевiрити уразливостi вузлiв мережi й не тiльки сповiстити адмiнiстратора про виниклi проблеми, але й порекомендувати способи усунення виявлених уразливостей. Якщо ж така можливiсть не передбачена в самiй системi аналiзу захищеностi, то необхiдно поцiкавитися в постачальника, чи може пропонована система працювати з командного рядка. Така можливiсть дозволить скористатися вбудованими в операцiйну систему сервiсами, що дозволяють запускати заданi програми за розкла-

дом (наприклад, службою розкладу AT для ОС Windows NT або CRON для ОС UNIX).

Однiєї з важливих характеристик, на яку необхiдно звернути увагу, є наявнiсть системи генерацiї звiтiв. Незалежно вiд ефективностi використовуваних механiзмiв виявлення уразливостей, засобу аналiзу захищеностi навряд чи знайдуть застосування в органiзацiї, якщо в них вiдсутня система генерацiї звiтiв. Ця система повинна дозволяти створювати документи рiзного ступеня деталiзацiї й для рiзних категорiй користувачiв, починаючи вiд технiчних фахiвцiв i закiнчуючи керiвниками органiзацiї.

Форма подання даних у звiтах має немаловажне значення. Документ, насичений тiльки текстовою iнформацiєю, не принесе користi. Використання ж графiки наочно продемонструє керiвництву всi проблеми з безпекою в мережi органiзацiї. Обов’язковою умовою при виборi засобiв аналiзу захищеностi є наявнiсть у звiтах рекомендацiй з усунення знайдених проблем.

Постiйне виявлення нових уразливостей вимагає, щоб система аналiзу захищеностi мiстила можливiсть поповнення бази даних уразливостей.

Це може бути реалiзоване за допомогою як спецiальної мови опису уразливостей (наприклад, АРХ у системах компанiї ISS, CASL у системi Суbеrсор Scanner), так i перiодичного поповнення iнформацiї про уразливостях, що забезпечується виробником системи. Для наступного аналiзу змiн рiвня захищеностi вузлiв корпоративної мережi вибраний засiб повинне дозволяти накопичувати вiдомостi про проведенi сеанси сканування.

Ефективнiсть застосування систем аналiзу захищеностi буде досягнута тiльки в тому випадку, якщо їхнiй виробник постiйно забезпечує свої продукти вiдповiдною пiдтримкою, що враховує останнi змiни в областi забезпечення iнформацiйної безпеки. Iнформацiя про уразливостях повинна постiйно поповнюватися. Наприклад, система SATAN не може бути рекомендована як надiйний й ефективний засiб, тому що останнi змiни в неї вносилися кiлька рокiв назад.

Однак слiд зазначити, що iнформацiя про уразливiсть звичайно з’являється в базi данi системи не ранiше, нiж найдеться їй “протиотрута”. Це є певним недолiком всiх способiв пошуку ура-