безопасность сеть межсетевой экран
В настоящее время невозможно представить работу даже маленькой компании без использования компьютерных технологий. А следовательно необходимо создание локальных или по другому корпоративных сетей, в которых обычно задействованы практически все компьютеры любой компании. Однако со времени появления сетей появилась проблема и их безопасности. Многие руководители фирм даже и не задумываются о том, как может повлиять на работу организации несанкционированное проникновение в корпоративную сеть. Каждый руководитель должен понимать важность защиты своей сети от несанкционированных посягательств, атак из глобальной сети и т.д. Каждая уважающая себя фирма связывается с другими локальными сетями через глобальную сеть Интернет, так как налаживать отдельные каналы связи между отдельными филиалами довольно дорого, а такое могут позволить себе только крупнейшие корпорации. Следовательно ждать нарушения защиты сети можно ожидать не только со стороны сотрудников своей корпорации, но и со стороны хакеров через Интернет и со стороны конкурирующих фирм, которые могут нанять тех же хакеров и направить их деятельность на порчу конкретного имущества.
Целью данной работы является рассмотрение эволюции систем безопасности, управления систем безопасности и в последней главе как пример приведен анализ наиболее часто используемого средства защиты — межсетевого экрана (далее МСЭ).
Однако, не смотря на то, что изменяется сетевое оборудование структурная система принципов защиты сетей остается практически неизменной, так как не меняется пока направление разработок в сфере компьютерных технологий основными разработчиками.
1. Эволюция систем безопасности сетей
Актуальность проблемы защиты информации ни у кого не вызывает сомнения; особенно в последнее время, когда не проходит месяца, чтобы в России не устраивались конференции или семинары, посвященные этой теме. Российский рынок начинают осваивать многие зарубежные компании, которые еще недавно сторонились отечественного потребителя. К сожалению, такое изобилие приводит многих потенциальных заказчиков в замешательство. Что выбрать для защиты своей сети? Что актуально сейчас и что будет актуально в ближайшем будущем? Попробуем ответить на данный вопрос.
Надо понимать, что разные компании находятся на разных этапах развития своей информационной системы. Кто-то только приступает к созданию инфраструктуры обеспечения информационной безопасности. Причем начинает с самых насущных проблем — антивирусной защиты и установки межсетевых экранов. А кому-то явно недостаточно данных механизмов, используемых не один год, и актуальной стала проблема единой аутентификации всех пользователей корпоративной сети при помощи технологии PKI. Чтобы ответить на поставленные выше вопросы, необходимо посмотреть на эволюцию процесса защиты информации в компании. Несмотря на то, что правильно начинать процесс защиты своей организации с проектирования, анализа рисков и других нетехнических вопросов, многие предприятия пропускают данный этап и переходят сразу к закупкам и установке первоочередных средств защиты, к которым относятся межсетевые экраны и антивирусные системы. Почему именно они? Просто потому, что СМИ широко разрекламировали эти решения, как панацею, хотя они таковыми не являются. Результат — 60% компаний считают, что межсетевые экраны защищают их от всех атак.
Обеспечение пожарной безопасности объекта экономики
Система обеспечения пожарной безопасности объекта экономики включает в себя системы предотвращения пожара, противопожарной защиты, организационно-распорядительных мероприятий. Обеспечение пожарной безопасности объектов осуществляется путем: 1) Реализации комплекса ... и пожаров. Вместо воды по трубопроводам спринклерной или дренчерной сети пенного тушения к спринклерным головкам или дренчерам под ...
Что касается межсетевых экранов, то в 4-м номере журнала «Системы безопасности, связи и телекоммуникаций» за 2001 год, в статье «Способы обхода межсетевых экранов», уже описывалось, почему это решение является в сегодняшних условиях явно недостаточным. Об этом говорят и многие другие специалисты во всем мире. В частности, по данным испытаний, проведенных в Министерстве Обороны США, выяснилось, что межсетевые экраны обнаруживают только 35% всех атак. Налицо неспособность эффективно отражать угрозы со стороны внешних хакеров; не говоря уже о злоумышленниках внутренних. Почему? Потому что, как говорят специалисты Пентагона, средства для реализации атак качественно совершенствуются 1-2 раза в год и межсетевые экраны просто не поспевают за ними.
А что с антивирусными системами? На первый взгляд, это одно из самых востребованных средств защиты. Однако здесь кроется маленькая тайна. По данным Лаборатории Касперского львиную долю всех вредоносных программ, поступающих в корпоративную сеть, составляют не вирусы в их истинном понимании, а черви (в 2002 году — 89,1%), которые заражают компьютеры, а не отдельные файлы. Еще 3,9% составляют троянцы и только потом идут обычные вирусы. Отсюда следует банальный вывод — 90% функционала антивируса вам никогда не понадобится, т.к. его антивирусная база содержит тысячи сигнатур вирусов, которые никогда на вашем компьютере не встретятся. Другое дело — системы обнаружения атак, изначально разрабатываемые для применения в сетях и учитывающие их специфику. У этих систем несколько иная идеология и создавались они именно для корпоративного применения (в отличие от антивирусов, которые сначала оккупировали автономные компьютеры и только потом медленно переползли в сеть).
Т.е. IDS изначально имели функции централизованного управления, мониторинга, обновления и т.д., т.е. те функции, которые так важны в современных сетях. Многие антивирусы пока могут только мечтать о таких возможностях.
Кроме того, по мере развития, отдел защиты информации начинает сталкиваться с проблемой злоупотреблений со стороны сотрудников, которые нарушают политику безопасности и начинают ходить туда, куда не надо, скачивать то, что не надо и т.д. Статистика неумолима — 78% компаний сталкиваются со злоупотреблениями сотрудниками при использовании Internet, а 38% атак осуществляется изнутри компании. Никакой межсетевой экран не поможет защититься от внутренней угрозы. Это лишний раз доказывает необходимость применения технологии обнаружения атак, одинаково эффективно применяемой как внутри корпоративной сети, так и на ее границах.
Разработка Web-сайта компании
... для производителей, как и другие. Пользователи сети Internet больше всего ценят информацию. Поэтому, ... остальных СМИ. 7) Наличие у организации корпоративного Web-сайта сегодня считается не ... руководители функциональных подразделений. Исходя из функций компании, можно выделить следующие отделы: Секретариат - ... документов. Бухгалтерия взаимодействует с отделом по работе с персоналом и финансовым отделом, ...
Помимо обнаружения атак актуальным является их предотвращение, т.е. создание условий, препятствующих реализации несанкционированного доступа. Одной из технологий, использующих такой подход, является поиск уязвимостей (анализ защищенности), который заключается в идентификации различных «дыр» на узлах сети и своевременном их устранении до того, как ими смогут воспользоваться злоумышленники. Именно эти две технологии — обнаружение и предотвращение атак признаются вторым этапом эволюции процесса обеспечения информационной безопасности.
Этот же этап характеризуется применением систем контроля содержимого, которые позволяют анализировать весь сетевой трафик, передаваемый в рамках почтового и Web-сообщения. Такие средства, которые представлены в России и западными и отечественными производителями, очень востребованы, особенно в организациях, обрабатывающих конфиденциальную информацию. Ведь по статистике за 2002 год, 91% компаний столкнулись со случаями такой утечки, а ежегодные потери вследствие этого превысили 24 миллиарда долларов. Эти же средства могут использоваться и для других целей:
Защита от снижения производительности труда и бесполезной трата рабочего времени на посещение серверов, ненужных для выполнения непосредственных должностных обязанностей. Очень интересные цифры приводит ФБР и Институт компьютерной безопасности США. Согласно проведенному опросу, 93% организаций сталкиваются с злоупотреблениями в области использования Internet. А по данным eMarketer.com 32.6% пользователей, «блуждающих» по Internet, не имеют никакой конкретной цели и «ходят по Сети просто так».
Контроль загрузки неавторизованного или запрещенного программного обеспечения, с которым сталкиваются 91% компаний (в России эта цифра еще выше).
Как показывает опыт, многие предприятия находятся на первом уровне эволюции и только-только начинают задумываться о переходе на второй этап.
По мере роста компании, увеличивается число ее сотрудников и, как следствие, растет корпоративная сеть — возрастает число корпоративных узлов и ресурсов, точек выхода в Internet, филиалов и т.д. Все это накладывает особый отпечаток на обеспечение информационной безопасности. Головной болью становится задача обеспечение доступа сотен пользователей из разных сегментов сети к сотням ресурсов, возможно разбросанных по всей территории России и стран зарубежья. Только представьте себе ситуацию, когда один пользователь должен ввести пароль для доступа к своему компьютеру, базе данных, внутреннему порталу, Internet и другим ресурсам. А если таких пользователей сотни? И все они могут ошибиться, забыть один из паролей… В итоге критичная масса недовольства пользователей нарастает, на персонал, отвечающий за безопасность, наваливается шквал звонков с просьбой срочно разобраться в ситуации и т.д. Наверное, поэтому третьим этапом эволюции инфраструктуры информационной безопасности является внедрение системы единой аутентификации, которая может быть реализована по-разному, например, на базе инфраструктуры открытых ключей (PKI).
Использование технологии единой аутентификации позволяет пользователю проходит процесс своего опознания только один раз. Кроме того, такая технология:
Безопасность и защита населения при авариях на радиационно-опасных объектах
... средства, которые обеспечивали бы ликвидацию последствий стихийных бедствий, катастроф, аварий на радиоактивно опасных объектах или применения оружия. Для этих целей предназначена система гражданской обороны радиоактивной защиты. ... целью выявления основных задач безопасности и защиты, службы ГО по радиационной защите. 4. Анализ радиационной обстановки в г. Соликамске и работы службы ГО. Методы ...
- облегчает контроль доступа сотрудников к ресурсам компании, в т.ч. и к конфиденциальной информации;
- снижает нагрузку на сотрудников отдела защиты информации;
облегчает процедуру доступа пользователей к десяткам различных узлов, находящихся в корпоративной сети и за ее пределами
Нахождение на данном этапе говорит о зрелости компании и ее понимании роли информационных технологий в своем бизнесе. Однако, дойдя до третьего этапа, компания сталкивается с проблемой, которая только сейчас становится актуальной. Это лавина сообщений от разнородных средств защиты, установленных в самых критичных местах сети. И проблема не только в том, что средства защиты поставляются различными производителями. Например, межсетевой экран от компании Cisco Systems, система обнаружения атак — от Internet Security Systems, система защиты от НСД — от НИП «Информзащита», VPN — от CheckPoint Software, антивирус — от Диалог-Науки и т.д. Приобретая все указанные категории средств даже от одного производителя, вы не застрахованы от того, что они НЕ будут работать вместе. Например, возьмем для примера решения компании Symantec, которая на сегодняшний день предлагает практически весь спектр средств защиты — от антивирусных систем до межсетевых экранов. Однако, у каждого из продукта, выпускаемого под маркой Symantec (а их для корпоративного рынка насчитывается более 20) своя собственная консоль управления. Как вы думаете, сможете ли вы в таком случае эффективно управлять инфраструктурой информационной безопасностью вашей сети? Перед глазами сразу встает картина — администратор (хорошо, если он не один) сидит перед 20-тью мониторами и пытается одновременно следить за ними всеми. Впечатляет, не правда ли?
Для того чтобы избежать этой проблемы, необходима эффективная система управления и мониторинга информационной безопасности корпоративной сети. Т.е. наибольший эффект достигается тогда, когда все используемые защитные средства объединены в единую управляемую систему, которая:
унифицирует управление разнородными средствами в единых терминах политики безопасности
уменьшает временные и финансовые затраты на изучение разных консолей управления
позволяет эффективно обновлять все управляемые средства защиты
группирует все защищаемые ресурсы по различным признакам с целью фокусировки внимания на необходимых в данный моментах узлах
фильтровать события с целью устранения «шумовых» данных и снижения нагрузки на администратора безопасности
позволяет коррелировать данных от разнородных средств защиты с целью снижения числа ложных срабатываний и оповещения о действительно происходящих нарушениях политики безопасности.
Аудит информационной безопасности
... и сотрудникам служб безопасности и служб защиты информации предприятия для подготовки и проведения внутреннего и обоснования необходимости внешнего аудита информационной безопасности. Глава I. Аудит безопасности и методы его проведения 1 Понятие аудита безопасности Аудит представляет собой ...
Вершиной эволюции, ее завершающим пятым этапом, является переход от технической составляющей процесса информационной безопасности к ее организационной части и осознание руководством компании, что защита данных — важный элемент бизнес-стратегии организации. А раз так, то и подходить к решению этой проблемы надо не по частям, закупая в разное время различные средства защиты, а комплексно. Комплексность подразумевает выполнение работ с самых основ, т.е. начиная с анализа бизнеса компании и влияния на него информационных технологий, изучения потоков движения информации и каналов (способов) ее несанкционированного получения и т.д. Заканчивается этот процесс, называемый анализом рисков, составлением подробного плана действий по созданию инфраструктуры информационной безопасности, включающей в себя не только технические средства защиты информации, описанные выше, но и различные организационные, юридические и иные меры, направленные на повышение уровня защищенности корпоративных ресурсов.
2. Управление безопасностью сетей
В настоящее время в большинстве небольших коммерческих фирм обязанности по администрированию сети и обязанности по обеспечению информационной безопасности возложены на плечи одного человека: как правило, это администратор сети. Связано это с объективными причинами — экономическими. Недостаток этого подхода очевиден, достаточно посмотреть на занятость администратора сети в течение дня — большая часть рабочего времени уходит на обеспечение бесперебойного функционирования того оборудования и программного обеспечения, за которое он отвечает. На отслеживание НСД и проверку прав пользователей не хватает времени, в такой ситуации администратор сети полагается на русский «авось» или выполняет обязанности по обеспечению безопасности в свободное от основных обязанностей время.
Однако в больших организациях все по-другому. Когда речь заходит о безопасности информации, в дело вступает отдел Управления безопасности и защиты информации (УБиЗИ) — так обычно они называются в банках (в других коммерческих и государственных структурах по-другому, но возлагаемые на них функции те же).
Связано это с тем, что крупная организация обязана больше заботиться о безопасности корпоративных ресурсов: больше сведений в сети, которые могут навредить имиджу компании; информация, содержащая сведения ограниченного распространения, может быть очень интересна конкурентам.
Поэтому обязанности разделяются:
- за конфигурацию сети отвечает отдел информационных технологий (а также за работоспособность оборудования, СУБД и др.);
- за безопасность информации — Управление безопасности и защиты информации.
В УБиЗИ, как правило, выделяется человек (или несколько человек — в зависимости от размера организации), который и будет отвечать за информационную безопасность, его должность обычно называется «администратор информационной безопасности». Естественно, что ему, для выполнения возложенных на него задач, необходимо сотрудничать с сетевым администратором.
Рассмотрим, что необходимо администратору безопасности для выполнения этих задач:
Для контроля защищенных сетевых ресурсов и назначения прав и полномочий пользователей на эти ресурсы — средства ОС (обычно Win-dows NTили XP, реже Unix, NetWare).
Для проверки прав пользователей в базах данных — средства СУБД.
Процесс защиты информации на предприятии ОАО «Сбербанк России»
... сферу применения и проверенные многократным использованием. 2. Исследование процессов защиты информации в ОАО «Сбербанк России» 2.1 Разработка политики безопасности банка Стратегия информационной безопасности банков весьма сильно отличается от аналогичных стратегий других ...
Для проверки фактов и попыток несанкционированных действий пользователей — журналы регистрации ОС, СУБД, межсетевых экранов.
На этом поприще администратор безопасности столкнется с интересами администратора сети, которому, естественно, не понравится, что кто-то будет контролировать, даже частично, то, за что администратор сети отвечает головой.
Поэтому можно смело сделать самый простой и очевидный вывод: администратору безопасности крупной организации крайне необходимо средство, позволяющее выполнять свои служебные обязанности, и не вмешиваться (или как можно меньше вмешиваться) в зону ответственности администратора сети.
Инструмент
Каким должен быть инструмент?
Представим, что система защиты реализована следующим образом — на рабочие станции, сервера сети и сервера баз данных расставлены своеобразные «агенты», которые будут:
«Понимать», что происходит на подотчетном для них месте, и передавать данные о работе «своего участка» на некий единый центр (автоматизированное рабочее место администратора безопасности).
По требованию администратора безопасности приостанавливать или блокировать работу рабочей станции сети или сервера, в случае выполнения пользователем несанкционированных действий.
Данная схема позволит помочь администратору безопасности, не вмешиваясь в работу администратора сети, следить за исполнением политики безопасности организации. При этом система не вмешивается в работу межсетевых экранов, серверов сети, СУБД и других средств, подотчетных администратору сети, за исключением критических ситуаций — попыток совершения несанкционированных действий.
Контроль контролирующего
Еще один целесообразный подход к обеспечению безопасности — разделение управления на роли. Пусть, к примеру, доступ к управлению будут иметь несколько человек:
Администратор безопасности. Имеет доступ ко всем средствам управления безопасностью.
Аудитор системы защиты информации. Имеет доступ к журналам регистрации, фиксирующим, в том числе, и действия администратора безопасности.
Системы защиты информации обычно предусматривают для главного пользователя практически неограниченные полномочия, а в лице аудитора системы защиты мы получим человека, способного контролировать действия самого администратора безопасности.
В такой ситуации, администратор безопасности, возможно, и будет иметь технические возможности выполнять какие-либо действия, запрещенные ему организационно, но он будет знать, что действия его контролируются и не безнаказанны.
Добавим новых участников в процесс управления, основываясь на положениях разработки НИП «Информзащита» технологии управления безопасностью «Беркут». Согласно данной технологии, к управлению безопасностью могут быть привлечены подразделения организации, которые совершенно не имеют никакого отношения к безопасности. Такая возможность появилась благодаря подходу к управлению на уровне сотрудников и возложенных на них служебных обязанностей. Вот некоторые положения «Беркута»:
Каждому сотруднику сопоставим пользователя сети (давно выдвигаемое требование к системам управления безопасностью, и рядом систем с успехом выполняющееся, например, системой Secret Net).
Разработка политики информационной безопасности предприятия (на ...
... защиты информации. Данный свод документов называется политикой информационной безопасности. Политика информационной безопасности направлена на минимизацию рисков утечки информации на ... информационной безопасности. 6. Оценить эффективность разработанного комплекса, направленного на организацию политики информационной безопасности строительной организации. Практическая значимость работы ... сетей, ...
Должности сотрудника сопоставим права на те или иные ресурсы. Аналог — группа пользователей в Windows NT. В реализации такого механизма нет ничего сложного.
И, наконец, требование невмешательства в действия администратора сети. Пусть администратор сети добавляет и удаляет пользователей, но ничего не делает с их правами, а на администратора безопасности возложим обязанности по управлению полномочиями пользователей на использование того или иного защищаемого ресурса.
Приведем самый простой и очевидный пример, связанный с отделом кадров: любой отдел кадров ведет, как правило, свою базу данных, в которой учитываются сведения о сотрудниках, занимаемые ими должности, свободные клетки в штатной структуре и другие сведения, интересные в первую очередь, самому отделу кадров. Если такую базу данных связать с системой управления безопасностью организации, то получится интересный эффект, при котором повысится оперативность управления, прозрачность процесса, что, собственно, и преследуется. Рассмотрим подробнее как это происходит.
Выделим некоторые операции, происходящие в БД отдела кадров, которые будут интересны: увольнение сотрудника, отметка об уходе сотрудника в отпуск, назначение на другую должность.
Увольнение сотрудника
Уход в отпуск
Аналогичный эффект достигается при уходе сотрудника в отпуск: ставится отметка — и все электронные идентификаторы и права пользователя временно блокируются, и никто не сможет войти в систему под его именем.
Назначение на другую должность
При назначении сотрудника на другую должность, служащий отдела кадров изменяет в базе данных один параметр — должность сотрудника. Система управления безопасностью каждой должности сотрудника сопоставляет права и полномочия пользователя в информационной системе, и, при изменении должности, автоматически меняет его права на использование тех или иных корпоративных ресурсов. При изменении уровня допуска к конфиденциальной информации (для систем с полномочным управлением доступа), в базе данных отдела кадров сотруднику автоматически становятся доступны ресурсы с соответствующей меткой конфиденциальности.
Еще один вариант
Отдел кадров — это только первоначальный этап. Если внимательно присмотреться, то в рамках своих служебных обязанностей каждый сотрудник выполняет какую-то определенную задачу. Например: в коммерческом отделе ряд сотрудников имеют должность «менеджер по продажам», но каждый конкретный менеджер может специализироваться на определенном направлении продаж (на конкретном продукте или клиенте), или на какой-либо другой задаче, связанной со сбытом.
Определим данную задачу сотрудника в рамках своей должности термином «задача», и возложим распределение этих задач на руководителя отдела. Это не значит, что руководителю отдела придется тратить дополнительное время (обычно очень дорогое) на какие-то лишние телодвижения. Предоставим ему маленькую программку — электронную записную книжку, в которой указывается — какой сотрудник какую работу делает и когда он ее должен сдать. Таким образом, перекладываем с администратора безопасности еще ряд рутинных функций.
Затронутая в данной работе технология «Беркут» выдвигает подход, в котором роль администратора безопасности заключается в контроле соблюдения политики безопасности сотрудниками организации, в проверке прав и полномочий пользователей, и в оперативном реагировании на факты и попытки НСД, для чего, собственно, и назначается администратор безопасности.
Информационная безопасность в экономике
... разделить понятия безопасность данных (конкретного приложения) и безопасность сети (всей остальной информационной среды). При использовании любой информационной технологии следует обращать внимание на наличие средств защиты данных, программ, компьютерных систем. Безопасность данных включает ...
Отбрасываются необходимость собирать и обобщать данные о состоянии различных подсистем, конфигурировать права и полномочия пользователей информационной системы, так как делать это будет система управления, что избавляет администратора безопасности от потребности вмешиваться в работу администраторов сети.
Далеко не все преимущества данного подхода рассмотрены в статье. В настоящее время большинство ОС и СУБД имеют собственные, достаточно продвинутые, средства защиты. Поэтому разработчики систем защиты информации должны ориентироваться на что-то новое, а не на дублирование встроенных средств защиты ОС.
Глупо было бы отвергать достояние истории — разделение труда, которое ведет к специализации, повышению качества выполняемой работы и росту производительности.
Межсетевые экраны как один из основных способов защиты сетей
Развитие сети Internet обострило и в очередной раз выявило проблемы, возникающие при безопасном подключении к Internet корпоративной сети. Связано это в первую очередь с тем, что сеть Internet разрабатывалась как открытая, предназначенная для всех, система. Вопросам безопасности при проектировании стека протоколов TCP/IP, являющихся основой Internet, уделялось очень мало внимания.
Для устранения проблем, связанных с безопасностью было разработано много различных решений, самым известным и распространенным из которых является применение межсетевых экранов (firewall).
Их использование — это первый шаг, который должна сделать любая организация, подключающая свою корпоративную сеть к Internet. Первый, но далеко не последний. Одним межсетевым экраном для построения надежного и защищенного соединения с Internet не обойтись. Необходимо реализовать целый ряд технических и организационных мер, чтобы обеспечить приемлемый уровень защищенности корпоративных ресурсов от несанкционированного доступа.
Межсетевые экраны реализуют механизмы контроля доступа из внешней сети к внутренней путем фильтрации всего входящего и исходящего трафика, пропуская только авторизованные данные. Все межсетевые экраны функционируют на основе информации, получаемой от различных уровней эталонной модели ISO/OSI, и чем выше уровень OSI, на основе которого построен межсетевой экран, тем выше уровень защиты, им обеспечиваемый. Существует три основных типа межсетевых экранов — пакетный фильтр (packet filtering), шлюз на сеансовом уровне (circuit-level gateway) и шлюз на прикладном уровне (application-level gateway).
Очень немногие существующие межсетевые экраны могут быть однозначно отнесены к одному из названных типов. Как правило, МСЭ совмещает в себе функции двух или трех типов. Кроме того, недавно появилась новая технология построения межсетевых экранов, объединяющая в себе положительные свойства всех трех вышеназванных типов. Эта технология была названа Stateful Inspection. И в настоящий момент практически все предлагаемые на рынке межсетевые экраны анонсируются, как относящиеся к этой категории (Stateful Inspection Firewall).
На российском рынке средств защиты информации сейчас сложилась такая ситуация, что многие поставщики межсетевых экранов (МСЭ), предлагая свой продукт, утверждают, что он один решит все проблемы заказчика, обеспечив надежную защиту всех ресурсов корпоративной сети. Однако, это не так. И не потому что предлагаемый межсетевой экран не обеспечивает необходимых защитных механизмов (правильный выбор межсетевого экрана — это тема отдельной статьи), а потому что самой технологии присущи определенные недостатки.
Информационная безопасность в банковской сфере
... деньгам повышает вероятность преступного проникновения в банковские системы. 4. Информационная безопасность банка (в отличие от большинства ... системы защиты могли предусмотреть все такие ситуации. Более того, во многих случаях система в принципе не может предотвратить подобные нарушения (например, ... к разным частям системы, через сеть, но он должен быть. 2.1 Угрозы информационной безопасности банка со ...
Наиболее очевидный недостаток межсетевых экранов — невозможность защиты от пользователей, знающих идентификатор и пароль для доступа в защищаемый сегмент корпоративной сети. Межсетевой экран может ограничить доступ посторонних лиц к ресурсам, но он не может запретить авторизованному пользователю скопировать ценную информацию или изменить какие-либо параметры финансовых документов, к которым этот пользователь имеет доступ. А по статистике не менее 70% всех угроз безопасности исходит со стороны сотрудников организации. Поэтому, даже если межсетевой экран защитит от внешних нарушителей, то останутся нарушители внутренние, неподвластные МСЭ.
Для устранения этого недостатка нужны новые подходы и технологии. Например, использование систем обнаружения атак (intrusion detection systems).
Данные средства, ярким примером которых является система RealSecure, обнаруживают и блокируют несанкционированную деятельность в сети независимо от того, кто ее реализует — авторизованный пользователь (в т.ч. и администратор) или злоумышленник. Такие средства могут работать как самостоятельно, так и совместно с межсетевым экраном. Например, система RealSecure обладает возможностью автоматической реконфигурации межсетевого экрана CheckPoint Firewall-1 путем изменения правил, запрещая тем самым доступ к ресурсам корпоративной сети с атакуемого узла.
Вторым недостатком межсетевых экранов можно назвать невозможность защиты новых сетевых сервисов. Как правило, МСЭ разграничивают доступ по широко распространенным протоколам, таким как HTTP, Telnet, SMTP, FTP и ряд других. Реализуется это при помощи при помощи механизма «посредников» (proxy), обеспечивающих контроль трафика, передаваемого по этим протоколам или при помощи указанных сервисов. И хотя число таких «посредников» достаточно велико (например, для МСЭ CyberGuard Firewall их реализовано более двухсот), они существуют не для всех новых протоколов и сервисов. И хотя эта проблема не столь остра (многие пользователи используют не более десятка протоколов и сервисов), иногда она создает определенные неудобства.
Многие производители межсетевых экранов пытаются решить указанную проблему, но удается это далеко не всем. Некоторые производители создают proxy для новых протоколов и сервисов, но всегда существует временной интервал от нескольких дней до нескольких месяцев между появлением протокола и соответствующего ему proxy. Другие разработчики межсетевых экранов предлагают средства для написания своих proxy (например, компания CyberGuard Corporation поставляет вместе со своим МСЭ подсистему ProxyWriter позволяющую создавать proxy для специфичных или новых протоколов и сервисов).
В этом случае необходима высокая квалификация и время для написания эффективного proxy, учитывающего специфику нового сервиса и протокола. Аналогичная возможность существует и у межсетевого экрана CheckPoint Firewall-1, который включает в себя мощный язык INSPECT, позволяющий описывать различные правила фильтрации трафика.
Некоторые корпоративные сети используют топологию, которая трудно «уживается» с межсетевым экраном, или используют некоторые сервисы (например, NFS) таким образом, что применение МСЭ требует существенной перестройки всей сетевой инфраструктуры. В такой ситуации относительные затраты на приобретение и настройку межсетевого экрана могут быть сравнимы с ущербом, связанным с отсутствием МСЭ.
Решить данную проблему можно только путем правильного проектирования топологии сети на начальном этапе создания корпоративной информационной системы. Это позволит не только снизить последующие материальные затраты на приобретение средств защиты информации, но и эффективно встроить межсетевые экраны в существующую технологию обработки информации. Если сеть уже спроектирована и функционирует, то, возможно, стоит подумать о применении вместо межсетевого экрана какого-либо другого решения, например, системы обнаружения атак.
Межсетевые экраны не могут защитить ресурсы корпоративной сети в случае неконтролируемого использования в ней модемов. Доступ в сеть через модем по протоколам SLIP или PPP в обход межсетевого экрана делает сеть практически незащищенной. Достаточно распространена ситуация, когда сотрудники какой-либо организации, находясь дома, при помощи программ удаленного доступа типа pcAnywhere или по протоколу Telnet обращаются к данным или программам на своем рабочем компьютере или через него получают доступ в Internet. Говорить о безопасности в такой ситуации просто не приходится, даже в случае эффективной настройки межсетевого экрана.
Для решения этой задачи необходимо строго контролировать все имеющиеся в корпоративной сети модемы и программное обеспечение удаленного доступа. Для этих целей возможно применение как организационных, так и технических мер. Например, использование систем разграничения доступа, в т.ч. и к COM-портам (например, Secret Net) или систем анализа защищенности (например, Internet Scanner и System Scanner).
Правильно разработанная политика безопасности обеспечит дополнительный уровень защиты корпоративной сети, установит ответственность за нарушение правил работы в Internet и т.п. Кроме того, должным образом сформированная политика безопасности позволит снизить вероятность несанкционированного использования модемов и иных устройств и программ для осуществления удаленного доступа.
Новые возможности, которые появились недавно, и которые облегчают жизнь пользователям Internet, разрабатывались практически без учета требований безопасности. Например, WWW, Java, ActiveX и другие сервисы, ориентированные на работу с данными. Они являются потенциально опасными, так как могут содержать в себе враждебные инструкции, нарушающие установленную политику безопасности. И если операции по протоколу HTTP могут достаточно эффективно контролироваться межсетевым экраном, то защиты от «мобильного» кода Java и ActiveX практически нет. Доступ такого кода в защищаемую сеть либо полностью разрешается, либо полностью запрещается. И, несмотря на заявления разработчиков межсетевых экранов о контроле апплетов Java, сценариев JavaScript и т.п., на самом деле враждебный код может попасть в защищаемую зону даже в случае полного их блокирования в настройках межсетевого экрана.
Защита от таких полезных, но потенциально опасных возможностей должна решаться в каждом конкретном случае по-своему. Можно проанализировать необходимость использования новой возможности и совсем отказаться от нее; а можно использовать специализированные защитные средства, например, систему SurfinShield компании Finjan или SafeGate компании Security-7 Software, обеспечивающие безопасность сети от враждебного «мобильного» кода.
Практически ни один межсетевой экран не имеет встроенных механизмов защиты от вирусов и, в общем случае, от атак. Как правило, эта возможность реализуется путем присоединения к МСЭ дополнительных модулей или программ третьих разработчиков (например, система антивирусной защиты ViruSafe для МСЭ CyberGuard Firewall или система обнаружения атак RealSecure для МСЭ CheckPoint Firewall-1).
Использование нестандартных архиваторов или форматов передаваемых данных, а также шифрование трафика, сводит всю антивирусную защиту «на нет». Как можно защититься от вирусов или атак, если они проходят через межсетевой экран в зашифрованном виде и расшифровываются только на оконечных устройствах клиентов?
В таком случае лучше перестраховаться и запретить прохождение через межсетевой экран данных в неизвестном формате. Для контроля содержимого зашифрованных данных в настоящий момент ничего предложить нельзя. В этом случае остается надеяться, что защита от вирусов и атак осуществляется на оконечных устройствах. Например, при помощи системных агентов системы RealSecure.
Несмотря на то, что подсоединение к сетям общего пользования или выход из корпоративной сети осуществляется по низкоскоростным каналам (как правило, при помощи dialup-доступа на скорости до 56 Кбит или использование выделенных линий до 256 Кбит), встречаются варианты подключения по каналам с пропускной способностью в несколько сотен мегабит и выше (ATM, T1, E3 и т.п.).
В таких случаях межсетевые экраны являются самым узким местом сети, снижая ее пропускную способность. В некоторых случаях приходится анализировать не только заголовок (как это делают пакетные фильтры), но и содержание каждого пакета («proxy»), а это существенно снижает производительность межсетевого экрана. Для сетей с напряженным трафиком использование межсетевых экранов становится нецелесообразным.
В таких случаях на первое место надо ставить обнаружение атак и реагирование на них, а блокировать трафик необходимо только в случае возникновения непосредственной угрозы. Тем более что некоторые средства обнаружения атак (например, RealSecure) содержат возможность автоматической реконфигурации межсетевых экранов.
Компромисс между типами межсетевых экранов — более высокая гибкость в пакетных фильтрах против большей степени защищенности и отличной управляемости в шлюзах прикладного уровня. Хотя на первый взгляд кажется, что пакетные фильтры должны быть быстрее, потому что они проще и обрабатывают только заголовки пакетов, не затрагивая их содержимое, это не всегда является истиной. Многие межсетевые экраны, построенные на основе прикладного шлюза, показывают более высокие скоростные характеристики, чем маршрутизаторы, и представляют собой лучший выбор для управления доступом при Ethernet-скоростях (10 Мбит/сек).
Даже если все описанные выше проблемы решены, остается опасность, что межсетевой экран неправильно сконфигурирован. Приходится сталкиваться с ситуацией, когда приобретается межсетевой экран, первоначальная конфигурация которого осуществляется специалистами поставщика и тем самым, как правило, обеспечивается высокий уровень защищенности корпоративных ресурсов. Однако, с течением времени, ситуация меняется, — сотрудники хотят получить доступ к новым ресурсам Internet, работать с новым сервисами (RealAudio, VDOLive и т.п.) и т.п. Таким образом, постепенно защита, реализуемая межсетевым экраном, становится дырявой как решето, и огромное число правил, добавленных администратором, сводятся к одному: «разрешено все и всем».
В этом случае помогут средства анализа защищенности. Средства анализа защищенности могут тестировать межсетевой экран как на сетевом уровне (например, подверженность атакам типа «отказ в обслуживании»), так и на уровне операционной системы (например, права доступа к конфигурационным файлам межсетевого экрана).
Кроме того, при сканировании возможна реализация атак типа «подбор пароля», позволяющие обнаружить «слабые» пароли или пароли, установленные производителем по умолчанию. К средствам, проводящим такие проверки, можно отнести, например, систему Internet Scanner американской компании internet Security Systems (ISS).
Ознакомившись с описанными проблемами, многие могут сделать вывод, что межсетевые экраны не могут обеспечить защиту корпоративной сети от несанкционированного вмешательства. Это не так. Межсетевые экраны являются необходимым, но явно недостаточным средством обеспечения информационной безопасности. Они обеспечивают лишь первую линию обороны. Не стоит покупать межсетевой экран только потому, что он признан лучшим по результатам независимых испытаний. При выборе и приобретении межсетевых экранов необходимо тщательно все продумать и проанализировать. В некоторых случаях достаточно установить простейший пакетный фильтр, свободно распространяемый в сети Internet или поставляемый вместе с операционной системой, например squid. В других случаях межсетевой экран необходим, но применять его надо совместно с другими средствами обеспечения информационной безопасности.
В заключение хочу отметить, что не стоить обходить внимание персональные межсетевые экраны. Пусть и они и не делают всего того, что присуще корпоративным МСЭ (таким как Check Point Firewall-1), но все же они обеспечивают некоторый уровень защищенности от внешних посягательств. Вы можете быть уверенными, что ваш компьютер не станет легкой добычей для злоумышленников, а правильно настроенный персональный МСЭ станет непреодолимой преградой для многих из них.
Заключение
В заключении работы подведем некоторые итоги. Рассмотрев проблему безопасности компьютерных сетей, следует говорить о том в первую очередь, что каждой локальной или корпоративной сети следует иметь специальный аппарат сотрудников, который позволит качественно проводить администрирование сети. А для этого необходимо обучение и постоянное совершенствование кадров.
Кадровая политика фирмы должна быть построена таким образом, чтобы руководитель мог надеяться на своих сотрудников, ведь самый большой процент несанкционированных проникновений в защиту происходит внутри сети. В данном случае, как известно не помогут так широко разрекламированные сейчас в России Межсетевые экраны. Защита сети должна быть построена таким образом, чтобы все ее составные компоненты могли наиболее продуктивно взаимодействовать между собой, сюда входит и программное обеспечение, МСЭ, антивирусные средства защиты и, конечно же, персонал.
Компетентность персонала, пожалуй, самый важный аспект проблемы, так как практически каждый день появляются новые пути нарушений защиты, особенно это важно для больших корпораций, ведь именно там сложнее всего прослеживать все передвижения информации. Лучше сегодня потратить больше денег, чем в дальнейшем будущем терпеть миллионные убытки, связанные с нарушениями нормальной работы сети. Можно, к примеру, контролировать работу уже конкретно администраторов, ведь лучше содержать одного контролера, чем испытывать постоянные проблемы. В настоящее время производители предлагают вместе с оборудованием как пример к МСЭ пакеты ПО, которое поможет администраторам более успешно справляться с администрированием сети. Этим ни в коем случае нельзя пренебрегать, как и квалифицированными кадрами и другими аспектами решения данной проблемы.
Список использованной литературы
Гайкович В. Ю., Ершов Д. В. необходимое условие их успешного применения »Системы безопасности, связи и телекоммуникаций», N3, 2007
Ершов Д.В., Попова З.В . Обучение компьютерной безопасности <http://www.infosec.ru/press/pub/p76.htm> «КомпьюЛог», N2, 2007
Лукацкий А.В. Cпособы обхода межсетевых экранов <http://www.infosec.ru/press/pub/p77.htm> . // « Системы безопасности, связи и телекоммуникаций», №40, 2007
Лукацкий А.В. Новые подходы к обеспечению информационной безопасности сети <http://www.infosec.ru/press/pub/p57.htm> . // Компьютер-Пресс. №7 , 2007
Лукацкий А.В . Адаптивная безопасность. Дань моде или осознанная необходимость <http://www.infosec.ru/press/pub/p42.htm>? // «PCWeek/RE», N37, 2009
Лукацкий А.В. Семейство средств адаптивного управления безопасностью SAFEsuite <http://www.infosec.ru/press/pub/p48.htm> . // « Сети», №10, 2008
Лукацкий А.В. Что SAFEsuite грядущий нам готовит <http://www.infosec.ru/press/pub/p05.html > ? // «Системы безопасности, связи и телекоммуникаций», N5, 2008
Лукацкий А.В. Семейство SAFEsuite: что нового <http://www.infosec.ru/press/pub/p07.html > ? // «Системы безопасности, связи и телекоммуникаций», N3, 2008
Лукацкий А.В. Средства обнаружения уязвимостей и атак: сделайте правильный выбор <http://www.infosec.ru/press/pub/p08.html >. // «Системы безопасности, связи и телекоммуникаций», N5, 2007
Просянников Р.Е. «Третий глаз» в информационной системе <http://www.infosec.ru/press/pub/p93.htm>. //»PCWeek/RE», N46, 2001
Попова З.В. Требования к специалистам, ответственным за информационную безопасность <http://www.infosec.ru/press/pub/p154.htm> // « Связьинвест», N3, 2003
Симонов. С. Анализ рисков, управление рисками //. JetInfo, №1, 2009
Симонов. С. Аудит безопасности информационных систем. // JetInfo, №9, 2009
Уиллис Д. . Управление безопасностью: свет в конце туннеля. // Сети и системы связи. N4, 2009.