все лекции
.pdf
На механизм многоуровневой защиты ВЛИЯЕТ АРХИТЕКТУРА защищаемого объекта, (см. ниже). В общем случае, защищаемый объект содержит:
а) операционную систему (ОС); б) средства сетевого взаимодействия (ССВ);
в) функциональное программное обеспечение
и СУБД);
д) данные.
Для каждого из представленных элементов в общем случае может
применяться своё средство защиты информации.
Если на любом из этих уровней (в том числе и в СЗИ) существует ОШИБКА ЛИБО ЗАКЛАДКА, известные злоумышленнику, то злоумыш-
ленник может беспрепятственно похитить данные, так как любое СЗИ построено В ПРЕДПОЛОЖЕНИИ, что в системе ОТСУТСТВУЮТ ОШИБКИ И ЗАКЛАДКИ.
11.3 Реализации многоуровневой комплексной защиты
Идея МНОГОУРОВНЕВОЙ ЗАЩИТЫ В КОРПОРАТИВНОЙ СЕТИ состо-
ит в том, что между злоумышленником и защищаемым объектом
УСТАНАВЛИВАЕТСЯ техническое СЗИ (в общем случае несколько), ИМЕЮЩЕЕ (по НАПРАВЛЕННОСТИ) ТАКУЮ ЖЕ АРХИТЕКТУРУ,
что и защищаемый информационный объект.
При этом злоумышленник не может осуществить информационное
взаимодействие с информационным сервером, минуя соответствующие
уровни защиты.
ДЛЯ РЕАЛИЗАЦИИ МНОГОУРОВНЕВОЙ КОМПЛЕКСНОЙ
15
ЗАЩИТЫ информации необходимо следующее:
а) знать архитектуру защищаемого объекта, заданную имеющейся на нём технологией: определены типы ОС, СУБД (ФПО), ССВ;
б) архитектура технического средства защиты определяется при построении системы.
11.3.1 Многоуровневая защита от ошибок
Предположим, что злоумышленнику известна ошибка на одном из
уровней защищаемого объекта.
В этом случае многоуровневая защита эффективна, ЕСЛИ В техническом СРЕДСТВЕ ЗАЩИТЫ ОТСУТСТВУЕТ АНАЛОГИЧНАЯ одно-
уровневая ошибка. Иначе, несмотря на число уровней защиты, злоумышленник
все их преодолеет, используя свои знания об ошибке.
ДЛЯ ПОСТРОЕНИЯ МНОГОУРОВНЕВОЙ ЗАЩИТЫ информации
от ошибок необходимо:
1)один и тот же уровень в защищаемом объекте и в техническом
средстве защиты должен иметь различную реализацию;
2)уровень ССВ у технического средства защиты и санкционированно-
го пользователя должен отличаться от уровня ССВ, используемого зло-
умышленником – этот принцип обусловливает ЦЕЛЕСООБРАЗНОСТЬ ПРИМЕНЕНИЯ ЗАКРЫТЫХ ПРОТОКОЛОВ.
3)Компромиссное решение – использование ЗАКРЫТОГО
ПРОТОКОЛА В ФАЗЕ УСТАНОВЛЕНИЯ СОЕДИНЕНИЯ, а затем
ИСПОЛЬЗОВАНИЕ ОТКРЫТОГО ПРОТОКОЛА ДЛЯ информационного
ВЗАИМОДЕЙСТВИЯ клиент-сервер по установленному с точки зрения
обеспечения безопасности каналу связи.
16
Данный подход, с одной стороны, позволяет использовать закрытые для злоумышленника принципы взаимодействия, с другой стороны, обеспечивает возможность использования открытых информационных технологий (в частности,
сервисов и команд Internet) при взаимодействии клиент-сервер по установленному каналу.
Сетевое средство (программное) УСТАНОВЛЕНИЯ
ЗАЩИЩЕННОГО СОЕДИНЕНИЯ (ССУЗС) устанавливается,
наряду со стандартным ССВ (например, реализующим соответствующую команду
Internet), и НА КЛИЕНТЫ (пользователи) и НА ВЫДЕЛЕННОЕ
СРЕДСТВО ЗАЩИТЫ информации.
При установлении защищённого соединения используется ССУЗС, после чего – стандартное (открытое) ССВ.
4) Если программные средства защищаемого объекта подвержены ЧАСТОЙ ЗАМЕНЕ, то в техническом средстве защиты необходимо
ИСПОЛЬЗОВАТЬ НАИБОЛЕЕ ПРОВЕРЕННЫЕ, имеющие большие гарантии в отсутствии ошибок программные средства.
НАИЛУЧШИМ РЕШЕНИЕМ ДЛЯ технического СРЕДСТВА ЗАЩИТЫ информации будет ИСПОЛЬЗОВАНИЕ ЗАКРЫТЫХ (мало-
известных, реализуемых не по общепринятым в открытых информационных технологиях стандартам) ПРОГРАММНЫХ СРЕДСТВ на
всех уровнях архитектуры.
5) Обязательно НЕПРЕРЫВНОЕ ОТСЛЕЖИВАНИЕ СТАТИСТИКИ по найденным ошибкам в программных средствах, ис-
пользуемых как в защищаемом объекте, так и в средстве защиты, ИХ НЕМЕДЛЕННОЕ УСТРАНЕНИЕ при обнаружении!
17
6) Необходимо ОБЕСПЕЧЕНИЕ ГАРАНТИЙ НЕВОЗМОЖНОСТИ
ПОДМЕНЫ злоумышленником ЛЮБОЙ ПРОГРАММНОЙ КОМПОНЕНТЫ на ту, в которой присутствует ошибка,
прежде всего на выделенном средстве защиты, что должно
ОБЕСПЕЧИВАТЬСЯ НЕПРЕРЫВНЫМ КОНТРОЛЕМ
ЦЕЛОСТНОСТИ программных средств.
??????????????????????????
7) С целью ПРЕДОТВРАЩЕНИЯ ВОЗМОЖНОСТИ НАКОПЛЕНИЯ злоумышленником ИНФОРМАЦИИ ОБ ОШИБКАХ
необходимо:
a) засекречивание информации о составе программных средств,
расположенных как на объекте защиты, так и на техническом средстве
защиты;
b) регистрация попыток несанкционированного доступа с целью ПОЛУЧЕНИЯ ИНФОРМАЦИИ О СОСТАВЕ программных средств, расположенных на объекте защиты и техническом средстве защиты;
с) оперативный ПОИСК ЗЛОУМЫШЛЕННИКОВ ПРИ РЕГИСТРАЦИИ ПОПЫТОК взлома.
11.3.2 Многоуровневая защита от закладок
Злоумышленник может совершить хищение информации, если ему ИЗВЕСТНЫ ЗАКЛАДКИ как В ОБЪЕКТЕ ЗАЩИТЫ, так и В ТЕХНИЧЕСКОМ
СЗИ. При этом закладки могут быть расположены в различных компо-
нентах программного обеспечения на различных уровнях.
Поэтому, НЕ СЛЕДУЕТ ИСПОЛЬЗОВАТЬ одинаковые программные средства на различных уровнях защищённой системы для уменьшения информированности злоумышленника относительно закладок
в обоих технических средствах – в ОБЪЕКТЕ ЗАЩИТЫ и В
18
ВЫДЕЛЕННОМ СЗИ.
Ситуация ОБЕИХ известных закладок возможна только в том случае, если В ОБОИХ технических средствах используются программные средства одного
производителя.
Гарантии защищённости от закладок при многоуровневой защите
информации обеспечиваются, если техническое СРЕДСТВО ЗАЩИТЫ
ИЗГОТАВЛИВАЕТСЯ ОТЕЧЕСТВЕННЫМ ПРОИЗВОДИТЕЛЕМ,
причём желательно с применением оригинальных программных компо-
нент.
Если же некоторые из используемых компонент, например ОС, в обоих
средствах иностранного производства, при построении многоуровневой защиты
целесообразно задумываться о том, чтобы максимально исключить возмож-
ность информированности злоумышленника относительно закладок в обоих используемых компонентах.
11.3.3 Требования к построению многоуровневой защиты от НСД
При построении многоуровневой защиты от НСД также НЕОБХОДИМО
УЧИТЫВАТЬ следующее.
1 ГАРАНТИРОВАННАЯ ЗАЩИТА может обеспечиваться лишь в
случае ПРИМЕНЕНИЯ ОТЕЧЕСТВЕННЫХ технических СЗИ, так как в программных средствах зарубежного производства могут находиться
закладки.
2 Ввиду высоких темпов развития информационных технологий, высокой
частоты смены соответствующих программных средств обработки информации, ВЫСОКА ВЕРОЯТНОСТЬ НАХОЖДЕНИЯ И
ИСПОЛЬЗОВАНИЯ ОШИБОК на защищаемом объекте.
Можно сформулировать следующие ТРЕБОВАНИЯ К ПОСТРОЕНИЮ
СИСТЕМЫ МНОГОУРОВНЕВОЙ ЗАЩИТЫ от НСД:
19
a) так как невозможно гарантировать высокий уровень защищённости объекта защиты встроенными СЗИ, то ВСЕ СПОСОБЫ
ЗАЩИТЫ от НСД, в основе которых находится ИСПОЛЬЗОВАНИЕ
ПРИНЦИПА АУТЕНТИФИКАЦИИ, должны быть РЕАЛИЗОВАНЫ НА
ВЫДЕЛЕННОМ СЗИ.
Как отмечалось ранее, к таким способам относятся:
–использование секретного слова (пароля);
–введение санкционированных для пользователя прав доступа, с
учётом разделения прав между различными пользователями (механизм
разграничения прав доступа), где
параметрами доступа могут служить:
–идентификатор пользователя и информационного сервера;
–имя файла, команда над файлом, время доступа, продол-
жительность доступа и др;
– разграничение прав доступа к информации по уровню
(меткам) конфиденциальности информации и допуска пользователя (ман-
датный механизм управления доступом к информации).
b) Как локальные, так и удалённые ПОЛЬЗОВАТЕЛИ ДОЛЖНЫ
ВЗАИМОДЕЙСТВОВАТЬ с защищаемым объектом только ЧЕРЕЗ ВЫДЕЛЕННОЕ ТЕХНИЧЕСКОЕ СРЕДСТВО ЗАЩИТЫ.
c) Техническое СЗИ должно ОБЛАДАТЬ СИСТЕМОЙ
РЕГИСТРАЦИИ всех событий, связанных с попытками несанкциони-
рованного доступа как К защищаемому ОБЪЕКТУ, так И К СВОИМ ПРОГРАММНЫМ СРЕДСТВАМ И ДАННЫМ.
d) Как В СЗИ, так и в ОБЪЕКТЕ ЗАЩИТЫ должен быть
РЕАЛИЗОВАН МЕХАНИЗМ КОНТРОЛЯ ЦЕЛОСТНОСТИ программных
20
средств и данных.
e) Выделенное техническое средство защиты должно ПОДДЕРЖИВАТЬ ВОЗМОЖНОСТЬ ЗАСЕКРЕЧИВАНИЯ (шифрова-
ния) информации, передаваемой (получаемой) к (от) пользователю, в
случае, если последний является УДАЛЁННЫМ и подключён к выделенному средству защиты информации каналами средств передачи данных общего пользования (СПД ОП).
Шифровать сообщения, передаваемые между защищаемым объектом и выделенным техническим средством защиты, а также файлы, хранящиеся на защищаемом объекте, при реализации многоуровневой защиты не имеет смысла.
Рассмотрим иллюстрацию применения системного подхода при проектировании ЛВС кор-
порации [11]. Рассмотрим потоки информации, которые требуют защиты, циркулирующие в рамках некой типовой ЛВС корпорации:
-внутренний информационный поток взаимодействия рабочих станций (РС) с информационными серверами (ИС) баз данных;
-внутренний информационный поток взаимодействия РС с внутренними файл-серверами ЛВС корпорации;
-внутренний информационный поток взаимодействия внутренних и внешних файл-серверов между собой;
-внешний информационный поток взаимодействия внешних файл-серверов с удаленными рабочими станциями и серверами по виртуальным каналам сети передачи данных общего пользования (СПДОП).
Структура ЛВС корпорации обладает виртуальной системой защиты информационного потока (ВСЗИП) (виртуальной в том смысле, что может представлять собой как некоторое программное обеспечение, устанавливаемое на существующих технических средствах обработки информации, так и выделенное техническое средство защиты либо некоторую их совокупность) и виртуальной системой разделения информационных потоков (ВСРИП). Реализация первой ВСРИП в общем случае необходима, так как предполагается, что одни и те же РС могут иметь доступ как к серверам БД, так и к внутренним файл-серверам, вторая ВСРИП используется ввиду того, что внутренние файлсерверы могут обмениваться информацией как с соответствующими РС, так и с внешними файлсерверами.
Четыре ВСЗИП предназначаются для защиты соответствующих информационных потоков: 1 – взаимодействия РС с серверами БД; 2 – взаимодействия РС с внутренними файл-серверами;
3 – взаимодействия внутренних файл-серверов с внешними файл-серверами; 4 – взаимодействия внешних файл-серверов с удаленными рабочими станциями и серверами.
Приведённая схема составлена в предположении, что все четыре потока характеризуются различными уровнями конфиденциальности. Например, если 2 и 3 потоки имеют равную конфиденциальность, то сольются 2 и 3 ВСЗИП и не потребуется 2 ВСРИП.
В рамках данной структуры должны быть разработаны требования к ВСЗИП и ВСРИП с учетом используемых средств защиты на РС и ИС. Заметим, что ВСЗИП в рассматриваемой структуре представляет собой технические средства защиты информации, реализуемые на РС и на выделенных серверах безопасности, если они используются; организационные мероприятия обеспечения информационной безопасности, реализуемые для защиты информационного потока.
11.4 Корпоративные сети с многоуровневой коммутацией
Многоуровневый подход к проектированию сетей обеспечивает оп-
21
тимальное использование многоуровневой коммутации, что позволит
создать масштабируемую, отказоустойчивую и управляемую сеть [12].
Независимо от того, по какой топологии построена корпоративная сеть –
Ethernet или ATM (Asynchronous Transfer Mode) – применение многоуровневой
модели имеет много преимуществ.
Многоуровневая кампусная сеть имеет строгое ИЕРАРХИЧЕСКОЕ РАЗДЕЛЕНИЕ РАЗЛИЧНЫХ КОМПОНЕНТОВ, что обеспечивает значительное упрощение процедур поиска и устранения неисправностей
при масштабировании такой сети.
На рисунке 11.5 показана типичная иерархическая модель сети,
объединяющей в себе маршрутизаторы и концентраторы-
повторители (хабы).
Кроме того, многоуровневая модель проектирования предоставляет
возможность МОДУЛЬНОСТИ СЕТИ, что позволяет увеличивать общую
производительность сети при добавлении дополнительных строительных блоков.
Появилась возможность масштабируемости пропускной способно-
сти.
22
Рисунок 11.5 – Традиционная кампусная сеть с применением маршрути-
заторов и концентраторов
Первоначально кампусные сети представляли собой единую локальную вычислительную сеть (ЛВС, LAN, Local-Area Network), к которой по необходимости добавлялись новые пользователи. Эти ЛВС имели логический или физический кабель, к которому подключались все устройства сети. В случае с Ethernet имелась полоса пропускания в 10 Мбит/с, которая в равной мере использовалась всеми узлами сети. Такая ЛВС образовывала единый коллизионный домен, в котором все пакеты в равной степени обрабатывались всеми устройствами. В такой ЛВС использовался метод передачи, называемый “множественный доступ с контролем несущей и обнаружением коллизий” (Carrier Sense Multiaccess With Collision Detection, CSMA/CD). При таком подходе возникновение коллизий в таких ЛВС было обычным делом, что приводило к тому, что реальная скорость сети была значительно ниже расчетной.
При достижении максимального числа пользователей в одном домене появлялась необходимость добавления в состав оборудования сети устройств, называемых мостами (Bridge).
Мост обеспечивал разделение всей сети на несколько коллизионных доменов, что позволяло увеличить доступную полосу пропускания для каждого узла сети за счет сокращения количества этих самых узлов в одном коллизионном до-
мене.
Мост можно условно назвать коммутатором, работающим по принципу “store-and-forward”. Мост производит распространение широковещательных (broadcast), многоцелевых (multicast) и неизвестных одноцелевых (unknown unicast) пакетов по всем сегментам сети. Таким образом, можно сказать, что все сегменты такой сети образуют единый широковещательный домен.
Теоретически количество широковещательного трафика устанавливает практический предел размеров широковещательного домена. На практике же происходит так, что управление и поиск неисправностей в такой сети усложняются прямо пропорционально количеству подключенных пользователей. Одна неправильно настроенная рабочая станция может вывести из строя весь широковещательный домен на достаточно длительное время.
При проектировании сетей с использованием мостов каждый сегмент сети ставился в соответствие рабочей группе. Сервер рабочей группы располагался в том же сегменте, что и его клиенты, что обеспечивало ограничение трафика, передаваемого по всей сети. Здесь необходимо упомянуть о правиле 80/20, по которому строились такие ЛВС. Это правило гласит, что 80 % трафика, генерируемого рабочей станцией, не должно выходить за пределы локального сегмента.
Маршрутизатором называется пакетный коммутатор, обеспечивающий взаимодействие разных широковещатель-
ных доменов. Маршрутизаторы перенаправляют пакеты узлам сети ориентируясь на сетевые адреса.
Сети с маршрутизаторами обладают лучшими возможностями по масштабированию по сравнению с сетями, построенными с использованием мостов. Это достигается за счет более интеллектуального управления трафиком.
23
Коммутация уровня 2 представляет собой аппаратно реализованный бриджинг. Коммутаторы уровня 2 заменяют кон- центраторы-повторители в составе коммуникационных узлов кампусной сети.
Увеличение производительности систем, построенных на коммутации уровня 2, по сравнению с сетями на концен-
траторах, достаточно велико. Рассмотрим рабочую группу из 100 пользователей на подсети, использующей 1 разделяемый сегмент Ethernet. Средняя полоса пропускания для каждого пользователя вычисляется путем деления общей полосы пропускания на количество пользователей, т. е. 10 Мбит/с на 100 пользователей, что составляет всего 100 Кбит/с. Замена концентратора на полнодуплексный коммутатор Ethernet приведет к тому, что средняя полоса пропускания для каждого узла составит удвоенную полосу пропускания всей сети, т. е. 20 Мбит/с. Общая пропускная способность коммутируемой рабочей группы на 100 пользователей в 200 раз больше пропускной способности аналогичной разделяемой рабочей группы. Ограничивающим фактором, препятствующим достижения высокой скорости обмена данными в такой сети, является подключение сервера на скорости 10 Мбит/с. Порт коммутатора, к которому подключается сервер рабочей группы, является узким местом коммутируемой сети. Высокая производительность коммутируемых сетей может явиться достаточным требованием для тех заказчиков, которые просто хотят увеличить число рабочих мест в каждой отдельной подсети.
Коммутация уровня 3 представляет собой аппаратную маршрутизацию. В частности, передачей пакетов занимаются специализированные устройства. В зависимости от протоколов, интерфейсов и поддерживаемых функций коммутаторы уровня 3 могут использоваться в кампусных сетях вместо маршрутизаторов.
Коммутация уровня 4 заключается в аппаратном анализе трафика, создаваемого различными типами пользовательских приложений.
В потоках данных, создаваемых протоколами TCP (Transmission Control Protocol) и UDP (User Datagram Protocol), порт того или иного приложения содержится в заголовке каждого пакета.
НА РАЗДЕЛЯЕМОЙ СРЕДЕ передачи все пакеты видны
для всех пользователей логической подсети. Это может быть использовано при взломе систем защиты данных, т. к. имеется возможность от-
слеживать передачу файлов и паролей пользователей.
ПОДДЕРЖКА КОНТРОЛЬНЫХ СПИСКОВ доступа (Access Control List) обеспечивается многоуровневой коммутацией без уменьшения про-
изводительности.
В связи с тем, что весь трафик сети проходит через уровень распределения (УРОВЕНЬ № 2), то именно ЭТОТ УРОВЕНЬ И ЕСТЬ
НАИБОЛЕЕ ПОДХОДЯЩЕЕ МЕСТО для установки списков досту-
па и средств обеспечения разграничения прав доступа. Эти списки доступа
могут также использоваться для ограничения взаимодействия коммутаторов на разных уровнях сети.
Использование коммутации уровня 2 на уровне доступа и в фермах серверов привносит в общую сеть дополнительные возможности по разграничению прав доступа.
В КОММУТИРУЕМОЙ СЕТИ при взаимодействии двух узлов па-
кеты ВИДНЫ ТОЛЬКО ОТПРАВИТЕЛЮ И ПОЛУЧАТЕЛЮ данных.
А также, если коммутация уровня 2 применяется в фермах серверов,
то весь межсерверный трафик не выпускается в общую сеть.
24