А. Требования заказчиков
Общие требования
Компоненты системы функционируют в гетерогенной среде. Система анализа защищенности построена по технологии "агент-менеджер" (для систем анализа защищенности на уровне ОС или прикладного ПО). Система имеет сертификаты.
Инсталляция и развертывание
Система устанавливается быстро и просто. Один агент может быть установлен оператором с низкой квалификацией не более, чем за 30 минут. Установка программно реализованной системы следует стандартной процедуре установке операционной системы. Инструкции по установке документированы. Система анализа защищенности позволяет сканировать сети, используемые в Вашей организации или планируемые к применению (для систем анализа защищенности на уровне сети). Система анализа защищенности позволяет сканировать операционные системы, используемые в Вашей организации или планируемые к применению (для систем анализа защищенности на уровне ОС). Система анализа защищенности позволяет сканировать прикладное программное обеспечение, используемое в Вашей организации или планируемое к применению (для систем анализа защищенности на уровне прикладного ПО). Все обеспечение, требуемое для функционирования системы поставляется одним производителем. Не требуется приобретать дополнительное обеспечение третьих разработчиков. Установка системы не требует изменения сетевой инфраструктуры (для систем анализа защищенности на уровне сети). Система может быть запущена из командной строки. Система может управляться из командной строки. При инсталляции создается резервная копия изменяемых файлов. Система поставляется с документацией на языке заказчика. Система обладает графическим интерфейсом и справочной системой, поддерживающими язык заказчика. Система работает в коммутируемых сетях. Система устанавливается только на узлы, заданные в ключе авторизации. Производитель предоставляет систему для тестирования.
Безопасность
Система использует различные коммуникационные каналы для соединения с компонентами системы и получения/передачи данных от них/к ним. Эти каналы используют ориентированный на соединение протокол (например, TCP); параметры соединения (например, порт для соединения) могут быть перенастроены администратором. Все соединения свободно осуществляются через межсетевой экран. Данные, передаваемые по этим каналам, шифруются, аутентифицируются и проверяются, используя стандартизованные технологии (например, алгоритмы RSA, Диффи-Хеллмана и т.п.). Производитель обеспечивает Вас адекватной инструкцией для повышения уровня защищенности хоста, на котором запускается система анализа защищенности. Система может быть запущена только пользователем с правами администратора. Система устанавливает специальные права доступа к своим директориям и файлам.
Обнаружение уязвимостей
Система обнаруживает уязвимости в реальном масштабе времени. Система обнаруживает уязвимости на сетевом уровне. Система обнаруживает уязвимости на уровне операционной системы. Система обнаруживает уязвимости на уровне прикладного ПО. Система обнаруживает уязвимости во внутренней сети также хорошо, как и во внешней. Система обнаруживает уязвимости, имитируя сетевые атаки, и может осуществлять попытки несанкционированного доступа. Система обнаруживает уязвимости, сравнивая эталонные значения с текущими. Система обнаруживает подверженность атакам типа "отказ в обслуживании" ("Denial of Service"). Система обнаруживает уязвимости межсетевых экранов, proxy-серверов и маршрутизаторов. Система обнаруживает уязвимости Web-, FTP- и почтовых серверов. Система обнаруживает уязвимости броузеров и почтовых программ. Система проводит проверки типа "подбор пароля". Система использует как собственные, так и подключаемые словари паролей. Система обнаруживает подверженность атакам типа "подмена адреса" ("Spoofing"). Система обнаруживает уязвимости удаленных сервисов. Система обнаруживает неустановленные patch'и. Система обнаруживает уязвимости системного реестра Windows (для ОС Windows). Система обнаруживает уязвимости учетных записей. Система проверяет конфигурационные файлы операционной системы. Система проверяет права доступа к файлам и каталогам. Система проверяет наличие сервисов, программ и устройств (например, модемов) для удаленного доступа. Система проверяет наличие антивирусных программ. Система контролирует целостность заданных Вами файлов. Система контролирует заданные Вами значения ключей системного реестра Windows. Система обнаруживает новые уязвимости вскоре после их обнаружения. Система может быть настроена к эксплуатационным требованиям сети заказчика для минимизации ложного обнаружения. Система описывает обнаруживаемые уязвимости с достаточной степенью подробности, включая потенциальный ущерб, подверженные системы, рекомендации по устранению уязвимостей и т.д. Система позволяет сканировать несколько узлов параллельно. Система позволяет сканировать несколько сервисов (процессов) параллельно. На анализируемый компьютер посылается уведомление о том, что осуществляется его тестирование. Система позволяет пропускать некоторые проверки в процессе проведения анализа защищенности.
Реагирование на уязвимости
Система вырабатывает подробные рекомендации по устранению уязвимостей. Рекомендации по устранению уязвимостей содержат ссылки на сервера производителей или на источники дополнительной информации. Система может посылать уведомления об обнаружении уязвимости на консоль управления. Система может посылать уведомление об обнаружении уязвимости по протоколу SNMP средствам сетевого управления. Система может уведомлять об обнаруженной уязвимости администратора по электронной почте. Система может регистрировать обнаруженные уязвимости в базе данных. Система может автоматически устранять обнаруженные уязвимости. Система может отменять сделанные изменения.
Конфигурация
Удаленные агенты системы могут быть настроены с консоли управления. Удаленные агенты системы могут быть настроены локально. Система позволяет изменять шаблоны для агентов. Эти шаблоны могут быть сохранены для дальнейшего использования, загружены на агенты и т.п. Степень риска каждой из обнаруживаемых уязвимостей может быть настроена с консоли управления. Интерфейс консоли управления позволяет разрешить/запретить заданные Вами проверки. Параметры проверок могут быть настроены для более эффективного сканирования. Система может быть настроена на обнаружение уязвимостей только определенных узлов, определенных протоколов и сервисов. Система может быть настроена таким образом, чтобы конечный пользователь мог модифицировать комментарии и описания обнаруживаемых уязвимостей. Система позволяет добавлять сигнатуры обнаруживаемых уязвимостей. В системе реализован язык описания уязвимостей. Система позволяет задавать группы анализируемых адресов. Система позволяет проводить анализ защищенности по расписанию.
Контроль событий
Система позволяет графически показывать все обнаруженные уязвимости. Система может быть использована оператором с низкой квалификацией и не требует специальных знаний или обучения. Графический интерфейс системы использует иконки и другие графические изображения для предупреждения оператора об обнаружении уязвимостей. Интерфейс системы позволят сортировать информацию по адресу источника, типу уязвимости, сервису, учетным записям и т.п. Интерфейс системы позволяет оператору получать дополнительную информацию об обнаруживаемых уязвимостях. События с любого агента системы могут быть просмотрены на одной, авторизованной консоли управления. Один агент системы может передавать данные о контролируемых событиях на несколько консолей управления. Система позволяет создавать графическую карту сети.
Управление данными
Данные от нескольких агентов объединяются на консоли управления. Данные на консоли управления сохраняются при помощи стандартизованного протокола доступа к БД, например, ODBC. Система обеспечивает возможность автоматической передачи данных от агентов на консоль управления. База данных может быть экспортирована в выбранный Вами формат. Структура базы данных полностью открыта и описана в документации на систему. Доступ к базе данных может быть осуществлен при помощи средств, разработанных другими производителями. Система обеспечивает встроенную систему генерации отчетов. Система позволяет создавать графические отчеты. Система обеспечивает генерацию отчетов различной степени детализации. Система обеспечивает генерацию отчетов для специалистов различных уровней. Как минимум должно быть два уровня: руководство организации и технические специалисты. Отчеты могут быть настраиваемыми к требованиям пользователя. Система позволяет добавлять свои шаблоны отчетов. Система позволяет автоматически рассылать созданные отчеты по заданным адресам. Система позволяет сравнивать два и более состояний защищенности, полученные в различные периоды времени.
Производительность
Агенты системы могут обнаруживать уязвимости автономно, без контроля с консоли управления. Увеличение числа обнаруживаемых уязвимостей практически не влияет на производительность сети. Агенты системы могут функционировать на компьютерах с объемом оперативной памяти, минимально необходимой для функционирования операционной системы. Система обладает механизмом Watchdog. Выведение компонент системы из строя не сказывается на функционировании защищаемой сети.
Архитектура
Архитектура системы адаптируется к коммутируемым сетям. Архитектура системы позволяет интегрировать модули обнаружения уязвимостей в другие сетевые устройства. Например, системы сетевого управления. Архитектура системы учитывает используемые компоненты, значительно уменьшая стоимость развертывания.
Обновление системы, техническая поддержка и НИОКР
Производитель обновляет базу данных уязвимостей как минимум 6 раз в год. Производитель или его представитель уведомляет Вас по электронной почте о доступности новых обновлений. Производитель или его представитель делает доступным обновление для загрузки с Web- или FTP-сервера. Производитель или его представитель обеспечивает техническую поддержку системы по телефону, электронной почте и факсу с 8.00 до 18.00 часов, с понедельника по пятницу, с предоставлением по особому требованию круглосуточной технической поддержки. Производитель обеспечивает обновление версий системы как минимум 3 раза в год. Производитель или его представитель уведомляет Вас по электронной почте о доступности новых версий системы. Производитель или его представитель делает доступными новые версии для загрузки с Web- или FTP-сервера. Производитель поддерживает команду исследований и разработки для изучения и добавления в систему новых уязвимостей. Производитель или его представитель периодически уведомляет по электронной почте о появлении новых атак или уязвимостей. При обновлении системы созданные Вами шаблоны подключаются к новой версии. При обновлении системы все настройки предыдущей версии системы остаются в силе.
|
Приложения
В настоящее время можно выделить три тесно связанных между собой и имеющих одни корни направления приложения стеганографии: сокрытие данных (сообщений), цифровые водяные знаки и заголовки.
Сокрытие внедряемых данных, которые в большинстве случаев имеют большой объем, предъявляет серьезные требования к контейнеру: размер контейнера в несколько раз должен превышать размер встраиваемых данных.
Цифровые водяные знаки используются для защиты авторских или имущественных прав на цифровые изображения, фотографии или другие оцифрованные произведения искусства. Основными требованиями, которые предъявляются к таким встроенным данным, являются надежность и устойчивость к искажениям.
Цифровые водяные знаки имеют небольшой объем, однако, с учетом указанных выше требований, для их встраивания используются более сложные методы, чем для встраивания просто сообщений или заголовков.
Третье приложение, заголовки, используется в основном для маркирования изображений в больших электронных хранилищах (библиотеках) цифровых изображений, аудио- и видеофайлов.
В данном случае стеганографические методы используются не только для внедрения идентифицирующего заголовка, но и иных индивидуальных признаков файла.
Внедряемые заголовки имеют небольшой объем, а предъявляемые к ним требования минимальны: заголовки должны вносить незначительные искажения и быть устойчивы к основным геометрическим преобразованиям.
Примеры методов защиты
Сокрытие Firewall - в нормальных условиях любой пользователь корпоративной сети потенциально может получить доступ к шлюзу с firewall. Этой ситуации необходимо избегать, для чего нужно предпринять меры для сокрытия шлюзового устройства.
Check Point FireWall-1 позволяет реализовать это путем добавления одного простого правила в политику безопасности. Сокрытие шлюза, таким образом, предотвращает любые попытки взаимодействия любого пользователя или приложения со шлюзом безопасности, и делает такой шлюз невидимым. Исключение составляют только администраторы системы безопасности.
Применение механизмов Трансляции Сетевых Адресов позволяет полностью скрыть или замаскировать внутреннюю сетевую структуру.
Принцип действия контекстного контроля доступа
Контекстный контроль доступа (ККД) - это механизм контроля доступа на уровне приложений для IP трафика. Он распостраняется на стандартные TCP/UDP приложения, мультимедиа (включая H.323 приложения, CU-SeeME, VDOLive, Streamworks и др.), протокол Oracle БД. ККД отслеживает состояние соединения, его статус.
Обычные и расширенные списки доступа, реализованные в IOS, тоже контролируют статус состояния. Однако при их использовании рассматривается только информация из заголовка пакета. ККД же использует всю информацию в пакете и использует ее для создания временых списков доступа для обратного трафика от этого приложения. После окончания соединения эти списки доступа уничтожаются. ККД является более строгим механизмом защиты, чем обычные списки доступа, поскольку он учитывает тип приложения и особенности его поведения
В настоящее время FFS существует только для маршрутизаторов 2500 и 1600 серий, наиболее распостраненных в Интернет.
Принципы мониторинга
Методика мониторинга сетевого трафика в продуктах данного назначения различна. Более половины предлагаемых программных средств представляют собой простые анализаторы файлов журнала proxy-сервера, в то время как остальные сами являются такими серверами со статистическими функциями и возможностью блокирования тех или иных IP-адресов по принципу сетевого "горлышка" (Pass-Through), через которое проходит трафик в Internet. В отличие от них продукт от JSB лишь проверяет пакеты, проходящие через сетевую карту. Эта технология называется сниффером (Pass-By). Она начала использоваться с того момента, как сетевые адаптеры начали поддерживать расширенный режим работы, т. е. у них появилась возможность перехватывать любые пакеты в сети. Применение именно такого способа снимает сразу несколько проблем: во-первых, сама собой отпадает необходимость в дополнительной настройке пользовательских компьютеров - они будут продолжать работать как обычно, даже не подозревая о контроле за их действиями в Internet. Во-вторых, не замедляется работа сети. По сравнению с proxy-сервером, который становится узким местом, сниффер не оказывает отрицательного воздействия на сеть. Но есть и минусы. Например, при превышении определенного уровня загрузки сети система может перестать справляться со своей задачей и начать пропускать пакеты. Как эта проблема была решена в surfCONTROL, рассказано в статье, а пока я добавлю, что этот недостаток имеет и оборотную сторону: ведь при выходе из строя системы слежения пользователи, хоть и бесконтрольно, но продолжают работу в Internet. Если же выходит из строя proxy-сервер, доступ прекращается. К недостаткам метода сниффера можно отнести и то, что при работе в сетях, разделенных маршрутизаторами, может возникнуть необходимость в установке нескольких систем surfCONTROL. Дело в том, что программа способна отслеживать лишь тот трафик, который проходит через сетевой адаптер системы. Если же пользовательские пакеты выходят в Internet разными путями, часть информации может быть потеряна. Для обеспечения ее целостности и достоверности придется установить по одной системе в каждый сегмент сети.
Призер в номинации Голубая лента
Продукт: Permit Enterprise 1.2
Производитель: TimeStep
Голубую ленту заслужил продукт Permit Enterprise 1.2 компании TimeStep, хотя соперники "дышали прямо в затылок". Он обеспечивает наилучшую поддержку инфраструктуры общедоступных ключей (PKI) и самые мощные функции управления для развертывания VPN-сети предприятия.
Производительность системы аутентификации.
Межсетевые экраны PIX обеспечивают производительность намного выше, чем конкурирующие продукты. Высокая скорость обеспечивается за счет сквозных (cut-through) proxy. В отличие от обычных proxy серверов, которые анализируют каждый пакет на уровне приложений согласно семиуровневой модели OSI ( что отнимает много времени и ресурсов процессора), PIX запрашивает у сервера TACACS+ или RADIUS информацию для аутентификации. Когда пользователь ввел свое имя и PIX проверил права доступа, образуется прямое соединение между сторонами и контролируется только состояние сессии. Таким образом, производительность PIX благодаря сквозным proxy много выше, чем у обычных proxy-серверов.
Еще одним фактором, который тормозит работу обычных proxy-серверов является то, что для каждой TCP сессии последний должен запустить отдельный процесс. Если работают 300 пользователей, должно быть запущено 300 процессов, а эта процедура занимает значительные ресурсы процессора. PIX может поддерживать более 16000 сессий одновременно. При полной загрузке PIX модели 10000 поддерживает пропускную способность 90 Мбит/с ( два T3 канала)
Простой пример настройки
FireWall-1 предлагает два метода настройки адресной трансляции. Первый метод - использовать автоматически создаваемые правила адресной трансляции путем задания необходимых свойств сетевых объектов.
Другой метод - создавать правила адресной трансляции непосредственно в редакторе правил трансляции. При определении правил адресной трансляции можно использовать все сетевые объекты. FireWall-1 имеет уникальную возможность проверять логическую не противоречивость созданных правил, что существенно упрощает создание сложных сценариев.
Пример определения трансляции сетевых адресов в свойствах сетевого объекта.
Пример сгенерированных автоматических правил трансляции адресов по приведенным выше определениям. Заметим, что аналогичные правила можно было создать и в ручном режиме.
© ООО , 1998
Простота использования
Процесс проведения анализа защищенности очень прост и заключается в выполнении всего 4-х операций:
задание глубины сканирования; выбор сканируемых узлов; запуск процесса сканирования; генерация и анализ отчета.
Интуитивно понятный графический интерфейс и простота использования системы поможет быстро и легко настроить ее с учетом требований, предъявляемых в Вашей организации. Принципы функционирования системы не требуют реконфигурации других систем, используемых Вами. Это выгодно отличает систему RealSecure?, например, от межсетевых экранов или средств контроля "активного" кода (Java, ActiveX и т.п.).
Процесс проведения анализа защищенности очень прост и заключается в выполнении всего 4-х операций:
задание глубины сканирования; выбор сканируемых узлов; запуск процесса сканирования; генерация и анализ отчета.
"Проверка заголовков" (banner check)
Указанный механизм представляет собой ряд проверок типа "сканирование" и позволяет делать вывод об уязвимости, опираясь на информацию в заголовке ответа на запрос сканера. Типичный пример такой проверки - анализ заголовков программы Sendmail или FTP-сервера, позволяющий узнать их версию и на основе этой информации сделать вывод о наличии в них уязвимости.
Наиболее быстрый и простой для реализации метод проверки присутствия на сканируемом узле уязвимости. Однако за этой простотой скрывается немало проблем.
Эффективность проверок заголовков достаточно эфемерна. И вот почему. Во-первых, вы можете изменить текст заголовка, предусмотрительно удалив из него номер версии или иную информацию, на основании которой сканер строит свои заключения. И хотя такие случаи исключительно редки, пренебрегать ими не стоит. Особенно в том случае, если у вас работают специалисты в области безопасности, понимающие всю опасность заголовков "по умолчанию". Во-вторых, зачастую, версия, указываемая в заголовке ответа на запрос, не всегда говорит об уязвимости программного обеспечения. Особенно это касается программного обеспечения, распространяемого вместе с исходными текстами (например, в рамках проекта GNU). Вы можете самостоятельно устранить уязвимость путем модификации исходного текста, при этом забыв изменить номер версии в заголовке. И в-третьих, устранение уязвимости в одной версии еще не означает, что в следующих версиях эта уязвимость отсутствует.
Процесс, описанный выше, является первым и очень важным шагом при сканировании сети. Он не приводит к нарушению функционирования сервисов или узлов сети. Однако не стоит забывать, что администратор может изменить текст заголовков, возвращаемых на внешние запросы.
Прозрачность при использовании.
Главным положительным качеством пакетных фильтров является их прозрачность,
т.е. комфортабельность использования. Кроме того, при использовании пакетного
фильтра нет необходимости изменять клиентское матобеспечение.
Нынешний уровень развития фильтров на уровне приложений позволяют достичь
практически полной прозрачности. Рассматриваемый МЭ - пример наиболее
эффективной реализации этих возможностей. Для пользователей внутренней сети
МЭ может рассматриваться как стандартный роутер.
Рабочий инструментарий, который может пригодиться читателю
Исследуя вопросы реализации криптографических методов защиты информации, мы неизбежно сталкиваемся с вопросами, касающимися таких факторов, как среда программирования, язык программирования, схемы реализации и верификации программного обеспечения, тестовые испытания.
Все исходные тексты, представленные в данной книге, написаны на языках Си и Perl. Для языка Си использовалась среда разработки программного обеспечения Borland C++ Builder 5, а для исполнения скриптов на языке Perl необходим ActiveState Perl или иной другой аналогичный интерпретатор.
Рис. 1. Borland C++ Builder
Рис. 2. HexWorkshop
Еще одним необходимым в работе инструментом для читателя станет шестнадцатеричный редактор. Можно использовать какой-либо специализированный вроде HexWorkshop или, что еще лучше - HIEW, но для работы вполне сойдет и встроенный, например, в файловый менеджер Far редактор шестнадцатеричных кодов. Он особенно пригодится для изучения выхода тех шифров, которые реализованы в этой книге.
Собственно говоря, это практически все основные инструменты, которые понадобятся при получении практических навыков и работе с исходными текстами, опубликованными в данной книге.
РАБОТА ПРОДОЛЖАЕТСЯ
Работа над некоторыми функциональными сторонами DNSSEC еще продолжается, например над тем, как именно администрация com будет подписывать открытые ключи. Соответствующий новый протокол может вскоре появиться. Кроме того, во время смены ключей может потребоваться поддерживать одновременно более одной пары открытых/личных ключей, но, как это будет реализовано, пока неясно. Если личный ключ окажется украден и, как следствие, должен будет изъят из обращения, то в настоящее время никаким способом нельзя известить о компрометации ключа тех, кто будет проверять с его помощью подпись.
Наконец, это вопрос защиты личного ключа корня. Этот ключ будет по сути ключом ко всей коммерции Internet в мировом масштабе, но администрация корневых серверов постоянно меняется.
Должны ли Соединенные Штаты продолжать администрировать это всемирное средство обеспечения электронной коммерции? Если администрирование будет передано некоммерческой отраслевой ассоциации, например Internet Corporation for Assigned Name and Numbers (ICANN), то сможет ли такая организация учесть интересы и законодательство всех стран? Должно ли оно быть передано Объединенным Нациям? В состоянии ли Объединенные Нации справиться с подобной ответственностью? В состоянии ли кто-нибудь вообще? Развертывание DNSSEC во всемирном масштабе невозможно, пока вопрос с администрацией корня не будет урегулирован.
Верно, конечно, что работа над DNSSEC еще не завершена. Однако любая организация, активно использующая Internet, должна рассматривать DNSSEC в качестве важнейшего компонента своей инфраструктуры защиты, потому протокол DNS по-прежнему уязвим для злоупотреблений. Только DNSSEC, благодаря своим мощным криптографическим механизмам, в состоянии обеспечить одновременно аутентификацию и целостность всех аспектов DNS.
Дайана Давидович работает в Национальном управлении океанических и атмосферных исследований. С ней можно связаться по адресу: . Пол Викси - президент и основатель Internet Software Consortium (ISC) и архитектор BIND. С ним можно связаться по адресу: .
Распределение ключей
Очень важный вопрос при выборе системы электронной цифровой подписи - это распределение ключей между абонентами, участвующими в обмене защищаемыми документами. Такое распределение может осуществляться двумя способами:
Путем создания центра генерации и распределения ключей. Недостаток такого подхода очевиден. Центр обладает полной информацией о том, кто и какой ключ использует. Компрометация центра распределения приводит к компрометации всей передаваемой между абонентами этого центра информации. Кроме того, знание секретных ключей абонентов позволяет нечистым на руку сотрудникам центра фальсифицировать определенные документы, передаваемые в системе обмена информацией. Путем прямого обмена ключами между абонентами, которые хотят обмениваться подписанными сообщениями. В этом случае основная задача - подтверждение подлинности каждого абонента из участвующих в обмене.
Подтверждение подлинности абонентов в последнем случае может осуществляться следующим образом:
Непосредственно между абонентами. Данный метод применяется в том случае, если абонентов всего двое. Для обмена ключами в данном случае может быть использован алгоритм распределения ключей, например, разработанный в 1976 году криптографами Диффи и Хеллманом. Существуют и другие варианты обмена ключами. Например, при помощи симметричных криптосистем или фельдъегерской службы. Однако, в распределенных сетях, насчитывающих не один десяток абонентов, такие варианты не применимы из-за возникающих сложностей. С использованием посредника (арбитра). Данный метод может применяться в корпоративных сетях, в которых существует так называемый центр верификации или сертификации ключей. Данный центр удостоверяет ключи, используемые для проверки подписи. Подтверждение подлинности ключей может реализовываться или путем формирования справочника открытых ключей, или путем выдачи сертификатов, которые передаются вместе с сообщением, требующим проверки. Данный сертификат представляют собой ключ для проверки подписи и некоторую аутентифицирующую информацию, скрепленные подписью Центра сертификации. В данном случае достаточно проверить подпись Центра в сертификате, чтобы удостовериться в подлинности ключа абонента. С использованием двух и более посредников. Этот метод, являющийся комбинацией двух предыдущих, может применяться в том случае, когда необходимо обеспечить обмен подписанными сообщениями между несколькими корпоративными сетями, в каждой из которых существует свой центр сертификации.
Распределенный доступ
Архитектура FireWall-1 позволяет беспрепятственно наращивать возможности продукта по мере возрастания потребностей организации во внедрении различных элементов информационной безопасности. С другой стороны, административные функции FireWall-1 также ориентированы на многопользовательский доступ и предоставляют организации возможность разграничить функции администраторов системы безопасности. После авторизации администратор системы FireWall-1 наследует те права, которые установил администратор безопасности для этого FireWall-1 и которые специфицируются редактором правил. Это дает возможность администрировать несколько систем FireWall-1 с одного рабочего места одновременно.
FireWall-1 поддерживает различные уровни административного доступа:
Read/Write: полный доступ ко всем функциональным возможностям административных средств
User Edit: дает возможность изменять учетные записи пользователей, остальные возможности ограничены правами на чтение
Read Only: доступ только на чтение
Monitor Only: доступ на чтение к средствам визуализации статистики
Распространение ключей
Ясно, что в обоих криптосистемах нужно решать проблему распространения ключей.
В симметричных методологиях эта проблема стоит более остро, и поэтому в них ясно определяется, как передавать ключи между участниками взаимодействия до начала взаимодействия. Конкретный способ выполнения этого зависит от требуемого уровня безопасности. Если не требуется высокий уровень безопасности, то ключи можно рассылать с помощью некоторого механизма доставки (например, с помощью простой почты или курьерской службы). Банки, например, используют почту для рассылки PIN-кодов. Для обеспечения более высокого уровня безопасности более уместна ручная доставка ключей ответственными за это людьми, возможно по частям несколькими людьми.
Асимметричные методологии пытаются обойти эту проблему с помощью шифрования симметричного ключа и присоединения его в таком виде к зашифрованным данным. А для распространения открытых асимметричных ключей, используемых для шифрования симметричного ключа, в них используются центры сертификации ключей. CA, в свою очередь, подписывают эти открытые ключи с помощью секретного асимметричного ключа CA. Пользователи такой системы должны иметь копию открытого ключа CA. Теоретически это означает, что участникам взаимодействия не нужно знать ключей друг друга до организации безопасного взаимодействия.
Сторонники асимметричных систем считают, что такого механизма достаточно для обеспечения аутентичности абонентов взаимодействия.
Но проблема все равно остается. Пара асимметричных ключей должна создаваться совместно. Оба ключа, независимо от того, доступны они всем или нет, должны быть безопасно посланы владельцу ключа, а также центру сертификации ключей. Единственный способ сделать это - использовать какой-либо способ доставки при невысоких требованиях к уровню безопасности, и доставлять их вручную - при высоких требованиях к безопасности.
Проблема с распространением ключей в асимметричных системах состоит в следующем:
X.509 подразумевает, что ключи безопасно раздаются, и не описывает способ решения этой проблемы - а только указывает на существование этой проблемы. Не существует стандартов для решения этого. Для безопасности ключи должны доставляться вручную (независимо от того, симметричные они или асимметричные). Нет надежного способа проверить, между какими компьютерами осуществляется взаимодействие. Есть вид атаки, при котором атакующий маскируется под CA и получает данные, передаваемые в ходе взаимодействия. Для этого атакующему достаточно перехватить запрос к центру сертификации ключей и подменить его ключи своими. Эта атака может успешно продолжаться в течение длительного времени. Электронная подпись ключей центром сертификации ключей не всегда гарантирует их аутентичность, так как ключ самого CA может оказаться скомпрометированным. X.509 описывает способ электронной подписи ключей CA центрами сертификации ключей более высокого уровня и называет его "путь сертификации". X.509 рассматривает проблемы, связанные с проверкой корректности открытого ключа, предполагая, что эта проблема может быть решена только при отсутствии разрыва в цепочке доверенных мест в распределенном справочнике открытых ключей пользователей. Нет способа обойти это. X.509 предполагает, что пользователь уже имеет доступ к открытому ключу CA. Как это осуществляется, в нем не определяется. Компрометация центра сертификации ключей весьма реальная угроза. Компрометация CA означает. Что все пользователи этой системы будут скомпрометированы. И никто не будет знать об этом. X.509 предполагает, что все ключи, включая ключи самого CA, хранятся в безопасном месте. Внедрение системы справочников X.509 (где хранятся ключи) довольно сложно, и уязвимо к ошибкам в конфигурации. В настоящее время слишком мало людей обладают техническими знаниями, необходимыми для правильного администрирования таких систем. Более того, понятно, что на людей, занимающих такие важные должности, может быть оказано давление. CA могут оказаться узким местом. Для обеспечения устойчивости к сбоям X.509 предлагает, чтобы база данных CA была реплицирована с помощью стандартных средств X.500; это значительно увеличит стоимость криптосистемы. А при маскараде под CA будет трудно определить, какая система была атакована. Более того, все данные из базы данных CA должны посылаться по каналам связи каким-то образом. Система справочников X.500 сложна в установке, конфигурировании и администрировании. Доступ к этому справочнику должен предоставляться либо с помощью дополнительной службы подписки, либо организации придется самой ее организовывать. Сертификат X.509 предполагает, что каждый человек имеет уникальное имя. Выделение имен людям - задача еще одной доверенной службы - службы именования. Сеансовые ключи, несмотря на то, что шифруются, все-таки передаются по незащищенным каналам связи.
Несмотря на все эти серьезные недостатки пользователь должен неявно доверять асимметричной криптосистеме.
Управлением ключами называется их распределение, аутентификация и регламентация порядка использования. Независимо от вида используемой криптосистемы ключами надо управлять. Безопасные методы управления ключами очень важны, так как многие атаки на криптосистемы имеют объектом атаки процедуры управления ключами.
| Процедура | Комментарии |
| Физическая раздача ключей | Курьеры и ручная выдача - вот два распространенных примера этой процедуры. Конечно, из них двоих лучше ручная выдача. Серьезные организации имеют инструкции, описывающие порядок выдачи ключей. Раздача ключей может аудироваться и протоколироваться, но это все-таки не защитит ее до конца от компрометации отдельными людьми. Используется как симметричными, так и асимметричными криптосистемами. Несмотря на заявления о том, что в асимметричных криптосистемах не возникает проблем, связанных с физической доставкой ключей, на самом деле они есть. X.509 предполагает, что создатель ключей будет передавать асимметричный секретный ключ пользователю (и/или асимметричный открытый ключ CA) физически безопасным способом, и что предприняты соответствующие меры физической безопасности, чтобы защитить создателя и проводимые им операции с данными от атак. |
| Выдача общего ключа участникам взаимодействия центром выдачи ключей | Может использоваться как симметричными, так и асимметричными криптосистемами. Так как при данном способе каждый пользователь должен каким-то образом безопасно взаимодействовать с центром выдачи ключей в самом начале работы, то это просто еще один случай, когда начальный обмен ключами является проблемой. Если центр скомпрометирован, то обеспечение безопасности последующих запросов на выдачу ключей проблематично, а безопасность ранее выданных ключей зависит от криптосистемы. |
| Предоставление центром сертификации ключей доступа к открытым ключам пользователей и выдача секретных ключей пользователям | Используется асимметричными криптосистемами. Пользователи должны доверять всей этой системе. Всего лишь одна успешная атака компрометирует всю систему. Иерархическая система аттестации ключей приводит к появлению большего числа потенциальных уязвимых мест - CA должен публиковать свой асимметричный открытый ключ и предоставлять его сертификат, выданный CA более высокого уровня. Асимметричные секретные ключи CA должны храниться в безопасном месте, так как их компрометация может привести к успешным атакам, которые нельзя будет обнаружить. |
| Сеть доверия | Используется в асимметричных криптосистемах. Пользователи сами распространяют свои ключи и следят за ключами других пользователей; доверие заключатся в неформальном способе обмена ключами. |
| Метод Диффи-Хеллмана | Обмен секретным ключом по незащищенным каналам связи между двумя пользователями, которые до этого не имели общего секретного ключа. Не может использоваться для шифрования или расшифровки сообщений. Основывается на сложности взятия логарифма в конечных полях. При правильном выборе достаточно больших элементов полей решить проблему расчета дискретного логарифма невозможно. Уязвим к атаке "активное вмешательство в соединение". Запатентован PKP (Public Key Partners) |
Расширенное ядро
Игнорирует пакеты со специальными признаками
Закрыта прямая передача через ядро пакетов
Добавлена система глобального мониторинга соединений
Включен анализатор направления передачи пакетов
Установлен режим перехвата всех пакетов для прозрачного режима
Полностью закрыты от внешнего доступа сервисы, использующиеся локально
Расширенные возможности сбора статистики и генерация предупреждений
Connection Accounting - FireWall-1, помимо обычной регистрации факта соединения, предоставляет возможность получить интегральные данные о продолжительности, количестве переданных байтов информации и количестве переданных пакетов в данной сессии.
Эти данные записываются в регистрационный журнал в тот момент, когда отслеживаемая сессия заканчивается. Дополнительно можно проследить за параметрами активных соединений.
Active Connections - в FireWall-1 администратор системы безопасности может, используя то же средство просмотра и анализа статистики - Log Viewer - отслеживать активные соединения через модули брандмауэров. Эта статистика в реальном времени обрабатывается и предоставляется оператору так же, как и обычные записи. Они заносятся в специальный файл и находятся там до тех пор, пока соединение не будет закрыто. Это позволяет использовать те же механизмы отбора событий, как и при работе с обычным файлом статистики. Заметим, что при использовании опции сбора дополнительной информации о соединениях данные интегральной статистики непрерывно обновляются, так, что администратор безопасности может отслеживать не только сам факт соединения, но и интенсивность информационного обмена по нему в реальном времени.
Различные возможности уведомления - FireWall-1 включает в себя множество различных опций для уведомления операторов: от уведомления по электронной почте до возможности посылки SNMP-исключений (traps) для интеграции с такими платформами сетевого управления как HP OpenView, SunNet Manager, IBM's NetView 6000. В дополнение к основным механизмам уведомлений предусмотрена возможность создавать собственные варианты обработки ситуаций, требующих уведомления. Это предоставляет возможность стыковки системы защиты с пэйджинговыми службами или системами быстрого реагирования.
© ООО , 1998
Расследование и его результаты
Изучение программы из приложения к письму (так называемого "троянского коня") показало, что это была программа на C, которую можно легко найти в Интернете на хакерских веб-сайтах. Она ничего не делала, кроме уничтожения содержимого всего жесткого диска. Ее исходный текст имел не более 100 строк и был использован в нескольких вирусах.
Для того, чтобы проверить правильность гипотезы о том, что злоумышленником был тот самый уволенный сотрудник, требовалось провести ряд оперативных действий:
Следователь связался с интернет-провайдером, который предоставил почтовый аккаунт, с которого было послано письмо, чтобы узнать, кто является владельцем этого аккаунта и когда он использовался. Оказалось, что это был временный (бесплатный первые 3 дня), не требующий оплаты по кредитной карте аккаунт. Поэтому не удалось напрямую установить, когда он использовался и кто его владелец. Но доступ в эти первые 3 дня должен был производиться, используя телефонный номер модемного пула провайдера, начинающийся с 800, а при доступе по этому номеру протоколировался номер телефона, с которого звонил пользователь. Информация из этого журнала показала, что многие звонки в эти три дня делались с домашнего номера телефона подозреваемого уволенного сотрудника. Мало кто знает, что для номеров, начинающихся с 800 и 888 ведется журнал, в котором фиксируются номера звонящего и того, кому звонят, который может быть предоставлен по запросу телефонной компанией (в США). Изучение журналов почтового сервера у интернет-провайдера показало, что дата-время отправки письма, вызвавшего уничтожение данных на жестком диске, совпадает по времени со звонками подозреваемого на 800-номер у провайдера. Изучение архивов отправленных писем у провайдера показало наличие в них того самого сообщения вместе с приложением, содержащим троянского коня. Анализ журналов почтового сервера компании показал, что в интересуюшее время получались письма от почтового сервера провайдера, а проверка промежуточных почтовых серверов предоставила доказательства того, что письмо с троянским конем действительно передавалось между почтовым сервером провайдера и почтовым сервером компании. С помощью журналов межсетевого экрана компании удалось установить точные времена доставки писем и адреса их отправителей. Эта информация согласовывалась с информацией от провайдера и информацией от внутреннего почтового сервера. Анализ журналов телефонных звонков в компанию с помощью средств протоколирования, встроенных в офисную АТС, показал, что подозреваемый регулярно звонил в компанию нескольким сотрудникам. Было установлено, что почти сразу же после отправки троянского коня подозреваемый звонил нескольким людям и разговаривал с ними от 1 до 15 минут. Собеседование с этими людьми установило, что звонивший задавал им конкретные вопросы о троянском коне, как будто бы он уже слышал о случившемся с ними несчастье, но не мог понять, как этот троянский конь мог попасть к ним в компанию.
Так как в результате этой атаки пострадали сотрудники компании как в конкретном штате США, так и за его пределами (из-за того, что сеть компании была глобальной и имела возможность удаленного доступа к ней), расследованием занялись сотрудники федеральных правоохранительных органов США и завели уголовное дело. Позднее их расследование установило наличие исходного текста этой программы и отправленного письма на домашнем компьютере подозреваемого. Этот человек был обвинен по нескольким статьям и получил в наказание несколько месяцев федеральной тюрьмы.
Исследование рабочей станции НОА позволило установить следующее:
НОА использовал Netscape Communicator как браузер по умолчанию, что было важным фактом, так как НОА регулярно очищал его кэши и не сохранял их после сеанса работы в WWW. В директории, где хранились файлы для Internet Explorer, было обнаружено несколько поддиректорий с кэш-файлами, содержащими сотни мужских порнографических картинок. Также было обнаружено, что все эти директории имеют одинаковое время-дату создания , и что все файлы в этих директориях были созданы почти в одно и то же время утром в субботу. Изучение формата хранения информации в директории позволило сделать вывод, что этот формат хранения не является тем форматом, в котором Internet Explorer автоматически сохраняет кэш-файлы при работе в WWW.
После исследования рабочей станции уволившегося сотрудника была обнаружена следующая информация:
В системе были удалены все файлы, которые не входили в состав установленных приложений. Был обнаружен файл закладок Internet Explorer НОА. При восстановлении файлов на диске были обнаружены файлы с теми же самыми именами и содержимым, что и файлы, находящиеся на рабочей станции НОА. В некоторых восстановленных журналах со станции инженера была обнаружена информация о доступе к рабочей станции НОА приблизительно в то же время, в какое были созданы директории на рабочей станции НОА.
Дальнейшее изучение журналов и информации из восстановленных файлов позволило установить, что файлы, содержащие порнографические материалы, были вначале загружены из Интернета на рабочую станцию инженера. Затем эти файлы были перенесены на машину НОА. Таким образом уволившийся инженер пытался оклеветать НОА с целью уволить его из учреждения.
Бывший сотрудник обнаружил, что можно легко скопировать эти файлы на машину НОА. Так как на машине НОА была установлена Windows NT, этот инженер незаметно вошел в комнату НОА и сделал его жесткий диск доступным из локальной сети учреждения.
Расследование началось с изучения концентраторов и маршрутизаторов во внутренней сети и ее соединений с внешней сетью. Никаких модификаций обнаружено не было. Фактически, последние модификации в программы, обеспечивающие работу сети, вносились за три недели до увольнения сетевого администратора.
Изучение ПЭВМ было гораздо более трудным, так как нет никаких средств протоколирования в таких операционных системах, как Windows'95, Windows for Workgroups, Windows V3.11 и OS/2. Кстати, пострадали компьютеры именно с этими операционными системами, и не было замечено никаких проблем у компьютеров под управлением UNIX, Macintosh, у старых компьютеров IBM и DEC.
Анализ дат и времен модифицированных файлов оказался бесполезным, так как все системы администрировались удаленно группой системных администраторов каждый день, и наиболее критические файлы на большинстве систем обновлялись ежедневно.
Единственным способом понять, что происходит, было более детальное изучение проблем, возникающих у пользователей, и попытка установить причины происходящих конкретных проблем. Компания не хотела обратно нанимать уволенного сетевого администратор по политическим и кадровым соображениям, поэтому экспертам пришлось действовать самостоятельно.
При попытке установить соединения с другими системами стало ясно, что системы, которые не перезагружались, вообще не имеют проблем. Это означало, что следовало определить, какие различия имеются между системой, которая перезагрузилась, и той, которая не делала этого. Это оказалось очень сложным и дало небольшие результаты. Имелись естественные системные различия, но большинство из них могли быть вызваны различиями в администрировании их и различиями в их конфигурации. Но эта работа не была полностью бесполезной, так как позволила глубже изучить эксплуатируемые операционные среды сотрудникам отдела автоматизации.
Изучение систем, которые стали плохо работать, не выявило никаких необычных установок в панели средств управления сетью. Фактически, за исключением адреса, большинство установок во всех системах были идентичны и совпадали с тем, которые стояли на нормально работавших системах.
Следующим шагом был запуск сетевого анализатора в этом сегментеЛВС для выявления различий в трафике между нормально работающими системами и тем, которые работали плохо. Первичный анализ пакетов протоколов TCP/IP, используемых всеми рабочими станциями, не показал никаких различий в формате пакетов. Но после анализа большого числа пакетов и побитного их сравнения было выявлено небольшое различие между правильно работающими системами и теми, которые не могли получить доступ к Интернету.
В пакете IP есть поле, называемое "ВРЕМЯ ЖИЗНИ", которое используется для предотвращения переполнения сети ошибочными пакетами. Как правило, значение, стоящее в этом поле, декрементируется каждый раз, когда пакет проходит через маршрутизатор. Когда это значение становится равным нулю, пакет уничтожается маршрутизатором. С помощью такого удаления ошибочные пакеты удаляются из сети.
Это поле также часто используется для установки максимально допустимого числа маршрутизаторов между отправителем пакетов и их получателем. Его функция очень похожа на поводок собаки: оно ограничивает величину расстояния, на которое кто-то может отойти от своей системы. По умолчанию на большинстве систем его значение равно 255. Это означает. Что на пути между отправителем и получателем может быть не более 255 маршрутизаторов, при попытке пройти большее их число пакет будет уничтожен.
Изучение пакетов выявило, что правильно функционирующие системы посылали пакет с полем "ВРЕМЯ ЖИЗНИ", имеющим значение 255, а в пакетах, отправляемых плохо работающими системами он было равно 1. Это означало, что первый же маршрутизатор, на который попадал пакет, уничтожал его. По сути это лишало пользователя неправильно работающих систем возможности использовать сеть за маршрутизатором. Ему были доступны только те системы, пакеты к которым передавались через коммутаторы и концентраторы. Естественно для объединения сетей в организации использовались маршрутизаторы, и пользователи не могли добраться до удаленных машин.
Исследование параметров протокола на плохо работающих системах выявило, что это поле устанавливалось в 1 в одном из файлов, использовавшихся для конфигурирования протокола после перезагрузки. Другие системы не пострадали сразу же из-за того, что после перезагрузки они не считывали конфигурационные файлы и не меняли значение поля "ВРЕМЯ ЖИЗНИ".
Дата последнего изменения файлов соответствовала следующему дню после увольнения сетевого администратора. Дальнейшее расследование показало, что для распространения измененных файлов по системам пользователей были использованы средства системного администрирования. Журналы модемного пула показали наличие сеансов этого сетевого администратора в ночь после увольнения и на следующий день. Сразу же после этих сеансов начались проблемы у пользователей.
К сожалению в данной ситуации не было абсолютно никакого способа доказать, что именно сетевой администратор был причиной всех бед, хотя было ясно, что только он единственный из тех, кто имел доступ к системе администрирования, обладал необходимой квалификацией для совершения таких действий. Недостаточно для возбуждения судебного иска, но достаточно для установления причин произошедшего.
Средства системного администрирования были сконфигурированы так, что на всех пользовательских системах было установлено новое значение "ВРЕМЯ ЖИЗНИ" и они были обязательно перегружены на следующий день. После этого все заработало. В то же самое время были изучены все установки сетевых программ на предмет выявления аналогичных вредных установок. Было обнаружено, что на нескольких компьютерах ряд параметров также были изменены, что со временем также привело бы к их неработоспособности - они были исправлены. Изучение установок маршрутизаторов, концентраторов и других сетевых компонент также выявило факты модификации загрузочных модулей операционной системы и других файлов - эти файлы также были восстановлены.
Фактически, не зная никаких паролей на компьютерах, а имея только один аккаунт , сетевой администратор скомпрометировал всю сеть и модифицировал ее для вывода из строя сетевых компонентов.
Расследование началось с анализа журналов и изменений в конфигурации почтовых серверов CC:Mail. Были обнаружены явные следы уничтожения части информации в журналах, а в то время, когда имели место случаи "случайного" получения писем не теми адресатами, в журналах не было информации вообще - обычно эти случаи имели место ранним утром. Расследование также показало, что дата-время создания файлов с полученными не теми людьми письмами попадают в периоды отсутствия информации в журналах, что доказывало, что на самом деле что-то происходило в это время.
Дальнейшее изучение журналов сервера доступа показало, что в то время, когда имела место подчистка журналов, удаленного доступа не было. Проверка модемного аккаунта почтового администратора показала, что для него не было никаких сеансов вообще. Аналогичные проверки журналов межсетевого экрана для Интернета также не выявили никаких попыток удаленного доступа к сети. Также было установлено, что никаких модификаций журналов межсетевого экрана не производилось.
Проверка физического доступа в здание, где находится почтовый сервер, позволила установить, что в серверную никто не входил, кроме операторов, которые должны были находиться в комнате во время дежурства и других лиц, кто должен был быть в серверной для выполнения каких-либо работ. В то время, когда была произведена модификация журналов, в здании не было никого, кто мог бы иметь причины получить доступ к почтовому серверу. В то время, когда кто-то изменил конфигурацию почтовых серверов, что и вызвало получение писем не теми людьми, не было обнаружено удаленного доступа к сети, ни физического доступа к серверам.
Опрос сотрудников отдела автоматизации позволил установить, что пользователи сети могли попросить установить с разрешения своего начальника отдела у себя на рабочем месте телефон в одном из зданий исследовательского центра, в котором была проложена корпоративная сеть. Дальнейший опрос обнаружил, что эти телефоны не контролировались отделом автоматизации, и что не имелось средств проверки того, где установлены телефоны и как они используются.
Отдел телекоммуникаций, который отвечал за АТС организации, дал необходимую информацию. Во-первых имелось около 2400 телефонных розеток для подключения цифровых телефонов. Во-вторых, было установлено около 900 линий для факсов, модемов и пейджеров. Проверка их использования показала, что сотрудниками использовалось свыше 500 переносных компьютеров, все они имели встроенные модемы и имелось много модемов, постоянно стоящих в тех или иных комнатах в зданиях. Самыми популярными вариантами использования модемов были исходящие звонки для подключения к различным информационным службам и отправка факсов. Некоторые пользователи также подключались с помощью модемов к станциям на их рабочих местах из дома для удаленного доступа к ним и сети.
Большое число пользователей установили у себя средства удаленного управления компьютером, такие как Rapid Remote, PC Anywhere и Carbon Copy. С помощью этих программ удаленный пользователь мог получить доступ к системе в корпоративной сети, как будто бы он сидел за своей рабочей станцией (правда несколько медленнее). Они также удаленно монтировали диски и получали доступ к другим сетевым службам во внутренней сети от имени своей машины на рабочем месте путем удаленного подключения к ней через модем. Быстрое сканирование блока телефонных номеров организации программой, называемой "боевым диалером", которая последовательно пытается позвонить по каждому номеру из указанного диапазона, выявляет номера, по которым отвечают модемы (в ответ слышны тональные сигналы), и сообщает об этом, выявило что к 50% из 900 линий были подключены модемы и к 200 из них были подключены компьютеры с установленным на них программным обеспечением для удаленного доступа. Это означало, что при правильной настройке программы любая из этих 200 систем могла быть использована для установления удаленного соединения с сетью в обход модемного пула и межсетевого экрана. Это подключение не было запротоколировано и не подпадало под контроль отдела автоматизации.
Так как имелось подозрение, что именно почтовый администратор в ответе за неполадки с почтой, было логичным проверить способы, которыми он мог воспользоваться для получения удаленного доступа к одной из этих 200 машин. Было также логично предположить, что этот доступ имел место как раз тогда, когда были очищены журналы на почтовых серверах.
АТС организации имела возможность, позволяющую определять номер внешнего телефона, с которого поступил звонок. Эта возможность известна как АОН (автоматическое определение номера). Изучение информации о номерах телефонов в часы, когда происходили несанкционированные изменения на почтовом сервере, позволило установить, что звонили только по номерам, на которых были установлены автоответчики или факсы - ни на один из номеров с установленными на них модемами не было звонка.
Странно.
Хорошо, модем может и сам позвонить. Дальнейшее исследование исходящих звонков в то же самое время выявило, что был исходящий звонок по домашнему номеру телефона почтового администратора, а также другому номеру, который также находился в доме, где живет почтовый администратор. По внутреннему номеру, с которого был произведен звонок, было установлено, что звонок был организован одним из персональных компьютеров в отделе автоматизации. Исследование этого компьютера показало, что в тот день, когда почтовый администратор был наказан, на этом компьютере была установлена программа PC AnyWhere фирмы Symantec. Более того, этот компьютер не использовался никем из отдела автоматизации, так как его хозяин находился в полугодовой командировке за границей. Углубленный анализ телефонных звонков с/на этот внутренний номер выявил, что в несколько предыдущих недель с него звонили только по домашнему номеру почтового администратора.
Программа для удаленного доступа вела журнал всех подключений к компьютеру. Никаких паролей для входа не устанавливалось, поэтому получить удаленный доступ мог любой, кто установил себе клиентскую часть программы. Была произведена проверка установить клиентскую часть программы удаленного доступа на машину консультанта и успешно проведен тестовый сеанс удаленного подключения к этой машине. Таким образом удаленный пользователь мог получить доступ ко всей сети организации.
Для сбора улик нужно было обследовать домашний компьютер почтового администратора, чтобы получить достоверную информацию о том, что именно он устанавливал соединение с сетью по телефону через компьютер уехавшего ученого, и что именно он модифицировал журналы почтового сервера и его конфигурацию. Нужно было получить ордер на обыск, так как в противном случае осмотр компьютера был бы незаконным.
Стало известно, что компьютер, установленный дома у почтового администратора, принадлежит отделу автоматизации. Но если попросить его вернуть компьютер официально, вся информация на нем окажется уничтоженной, и никаких улик не останется. Но если сказать почтовому администратору, что его машину будут обновлять, то есть шанс, что он сам принесет компьютер в учреждение. Так как периодически все компьютеры обновлялись, фамилия почтового администратора была внесена в список, и на следующей неделе он принес машину для обновления. Он скопировал содержимое диска со старой машины на новую и забрал ее домой. После этого была создана резервная копия старого диска на CD-ROM, чтобы гарантировать подлинность данных при представлении их в суде.
Содержимое диска было исследовано, и сразу стало ясно, что на компьютере была установлена клиентская часть программы удаленного доступа, и в его журналах имеются записи о сеансах как раз в то время, когда производились несанкционированные действия на почтовом сервере, а компьютеры, с которыми устанавливалось соединение, находятся во внутренней сети организации и являются как раз теми самыми почтовыми серверами. Была также обнаружена информация о том, что соединение было установлено в ответ на удаленный звонок от компьютера уехавшего ученого.
Вся эта информация была предоставлена почтовому администратору, который после этого сознался, что именно он совершил все это. По законам США он мог быть привлечен к уголовной ответственности за промышленный шпионаж и несанкционированное вмешательство в работу компьютеров, но потери учреждения не были настолько велики, чтобы правоохранительные органы стали заниматься этим делом. Но можно было возбудить гражданский иск - почтовый администратор мог быть обвинен в реальных нарушениях в работе сети учреждения и возможных последствиях этого, и на основании этого против него мог быть возбужден иск на большую сумму, которую он не смог бы заплатить. Чтобы избежать скандала, учреждение уволило его, и он подписал специальный договор, в котором он обязался не сообщать никому, что он совершил, и не пытаться повторить попытки несанкционированного доступа к сети организации, в противном случае против него был бы сразу же возбужден этот гражданский иск.
Растущий интерес
ИТ-специалисты в той или иной степени используют свободно распространяемые средства защиты уже около 15 лет. Сейчас все больший интерес к таким инструментам проявляют крупные компании, консультанты по вопросам защиты и поставщики услуг, которые могут адаптировать подобное программное обеспечение к нуждам конкретных пользователей. Например, EDS начала использовать свободно распространяемый инструментарий защиты компании Astaro для обеспечения безопасности компонента переднего плана Web-сайтов нескольких кредитных союзов, предлагающих возможности обработки транзакций.
Интеграторы систем информационной безопасности признают, что пользователей привлекает невысокая цена свободно распространяемых средств. Например, Ричард Майр, управляющий директор R2R Informations und Kommunikations, отметил, что его компания уже долгие годы предлагает свой коммерческий межсетевой экран. Однако собранные данные показывают, что 75% клиентов компании отдают предпочтение свободно распространяемым аналогам. Компания Guardent предлагает подписку на услуги Internet-защиты стоимостью 1,5 тыс. долл. в месяц, основу которой составляет ее Security Defense Appliance. Это решение объединяет в себе коммерческие компоненты, такие как межсетевой экран PIX компании Cisco Systems, и свободно распространяемые компоненты, в том числе iptables, Nessus и Snort. Аналогичная услуга, опирающаяся исключительно на коммерческие продукты, может стоить около 10 тыс. долл.
В то же время, компания C2Net Software, которую недавно приобрела Red Hat, разработала свой коммерческий сервер Stronghold Secure Web Server на базе Apache и OpenSSL — свободно распространяемого инструментария, реализующего протоколы защиты на уровне сокетов и на транспортном уровне, а также содержащего криптографическую библиотеку общего назначения.
По словам консультанта по вопросам защиты Пола Робичаукса из компании Robichaux & Associates, организации, которые предъявляют особые требования к защите, определяемые законодательством, например, работающие в области здравоохранения и финансов, вряд ли станут использовать свободно распространяемый инструментарий. Вместо этого, они, скорее всего, будут по-прежнему зависеть от производителей, на которых они могут возложить ответственность за нарушение защиты. Робичаукс считает, что свободно распространяемые системы защиты чаще будут использоваться консалтинговыми и сервисными фирмами, которые уже знают эти инструментальные средства и доверяют им, а также компаниями, чьи отделы ИТ уже опробовали такие решения.
Марк Кокс, директор по разработке группы OpenSSL компании Red Hat добавил: «Организации, работающие на Unix-платформах, таких как Linux и Solaris, скорее всего, будут выбирать инструменты типа Nessus, Snare и Snort, поскольку их история разработки и использования аналогична Unix».
Различные варианты реагирования на атаки
Система RealSecure? имеет возможность по заданию различных вариантов реагирования на обнаруженные атаки:
запись факта атаки в регистрационном журнале; уведомление об атаке администратора через консоль управления; уведомление об атаке администратора по электронной почте; аварийное завершение соединения с атакующим узлом; запись атаки для дальнейшего воспроизведения и атаки; реконфигурация межсетевых экранов или маршрутизаторов; посылка управляющих SNMP-последовательностей; задание собственных обработчиков атак.
Разница в реализации
Системы различных производителей могут использовать различные методы поиска одной и той же уязвимости, что может привести к ее нахождению в случае использования одного средства и ненахождения - в случае другого. Хорошую ассоциацию приводит ведущий разработчик системы Internet Scanner Девид ЛеБлан. "Если вы спросите меня - дома мой товарищ или нет, я просто позвоню ему. Если его телефон не отвечает, то я позвоню вам и сообщу, что его нет дома. Затем вы идете к нему домой, стучите в дверь и он отвечает. Не называйте меня лжецом только из-за того, что то, что я пытался сделать не сработало. Возможно, я был не прав или необходимо было использовать другие методы, но я пытался сделать то, что считал нужным". Так и со средствами поиска уязвимостей.
Кроме того, если в созданном отчете не сказано о той или иной уязвимости, то иногда стоит обратиться к журналам регистрации (log) системы анализа защищенности. В некоторых случаях, когда сканер не может со 100%-ой уверенностью определить наличие уязвимости, он не записывает эту информацию в отчет, однако сохраняет ее в логах. Например, анализ и разбор поля sysDescr в журнале регистрации системы Internet Scanner существенно помогает во многих спорных случаях.
Существуют различия и между тем, как влияет одна и та же проверка на различные версии сервисов в различных операционных системах. Например, использование учетной записи halt для демона Telnet на некоторых компьютерах под управлением Unix или Windows NT не приведет к плачевным последствиям, в то время как на старых версиях Unix это вызовет запуск команды /bin/halt при попытке доступа к удаленной системе с использованием этой учетной записи.
Развертывание продукта
Цель
Цель данного этапа - эффективная установка системы анализа защищенности на Вашу сеть. Многие организации выбирают поэтапное развертывание системы для изучения ее персоналом и интеграции с информационной системой организации.
Предположительная длительность
60 - 90 рабочих дней, в зависимости от размера, сложности и использования сети, а также доступных технических ресурсов.
Процедура
Успешное развертывание системы анализа защищенности включает в себя планирование, соответствующее обучение и координацию с существующей политикой безопасности. Следующие шаги описывают, как лучше всего развернуть систему для эффективного долгосрочного применения:
Планирование
Планирование включает:
Определение требований к установке, настройке и управлению системой и связанными с ними действиями (например, обновлением, технической поддержкой). Определение действий, связанных с реагированием на обнаруженные уязвимости. Выбор анализируемых сетей и узлов. Определение числа консолей управления устанавливаемой системы анализа защищенности. Определение числа и типов (например, Windows NT, Unix и т.п.) агентов системы анализа защищенности.
Обучение
Обучение, предоставляемое консультантом или производителем, значительно увеличивает вероятность успешного развертывания. Обучение должно включать в себя изучение следующих тем:
Базовая концепция информационной безопасности (при необходимости) Введение в уязвимости и атаки Архитектура продукта, системные требования Возможности системы, включая использование и создание собственных шаблонов и отчетов; автоматический запуск; генерация отчетов; настройка; обновление и добавление сигнатур новых уязвимостей Интеграция продукта в комплексную систему защиты информации организации
Развертывание
Развертывание системы анализа защищенности состоит из следующих шагов:
Приобретение системы - предоставляется производителем на CD-ROM или через Web-сервер. Подготовка хоста(ов) - базируется на системных требованиях устанавливаемого продукта. Выбор и подготовка хостов для установки системы анализа защищенности, включая действия по повышению безопасности хоста, рекомендуемые производителем. Уведомление - сетевые пользователи и администраторы уведомляются о развертывании системы анализа защищенности. Установка и конфигурация - установка модулей системы; конфигурация системы для Вашей сети. Настройка - разработка и тестирование шаблонов и отчетов; выбор и активация фильтров; настройка параметров проверок (например, для проверки подверженности атаке SYN Flood число пакетов в секунду); установка параметров баз данных системы; и настройка других параметров системы для Вашего сетевого окружения.
Функционирование
Как только система установлена и настроена, начинается функционирование системы, которое включает в себя:
Управление работоспособностью узла, на котором она установлена; Точная подстройка системы к параметрам Вашего сетевого окружения; Установление шаблонов для обнаружения уязвимостей; Управление данными, создаваемыми системой; Создание, оценка и изменение отчетов о состоянии безопасности сети; Назначение персонала для изучения и использования системы; Интеграция системы анализа защищенности, в структуру Вашей сети.
Как и в любой другой критичной системе, необходимо ежедневно контролировать безопасность хоста, на котором установлена система анализа защищенности, проверять его доступность и проводить периодическое резервирование системы.
Обратная связь
Система анализа защищенности является очень динамичным продуктом, отражая динамизм защищаемой сети, сетевых уязвимостей и атак. Отчеты должны использоваться, чтобы постоянно контролировать и улучшать состояние защищенности Вашей сети. Например, если в докладе отмечено, что обнаружены уязвимости на конкретных хостах Вашей сети, то необходимо устранить найденные уязвимости, а через какое-то время вновь проверить данные хосты. Кроме того, возможна настройка системы анализа защищенности для защиты указанных хостов.
Ресурсы, требуемые на этом этапе
К ресурсам, требуемым на данном этапе относится:
Хосты и сетевые сегменты, выбранные и доступные для развертывания системы анализа защищенности - обеспечивается отделом телекоммуникаций или автоматизации; Система анализа защищенности - предоставляется производителем; План и график развертывания - создается на третьем этапе; Политика безопасности и руководство по внедрению системы анализа защищенности; Технический персонал для развертывания - это можете быть Вы, отдел защиты информации или телекоммуникаций Вашей организации (подразумевается, что соответствующее обучение проводилось). Желательно включить помощь третьего лица - производителя, консультанта или торгового посредника.
Результат
Успешно установленная и настроенная система анализа защищенности. Документированный и управляемый процесс для поддержки системы и реагирования на создаваемую информацию. План дальнейшего развертывания системы анализа защищенности на всю Вашу организацию. Защищенная сеть.
Развитие методов и средств аутентификации
Для работы с пользователями межсетевой экран (а при необходимости и другие средства безопасности, например, шлюз VPN) может выполнять аутентификацию пользователей либо полностью самостоятельно, либо с привлечением внешних систем аутентификации и авторизации, которые имеются в сетевых операционных системах или системах удаленного доступа. Самостоятельное выполнение аутентификации экраном ведет к дублированию базы учетных записей пользователей, что нежелательно по многим причинам. В то же время сегодня в корпоративных сетях широко используются средства аутентификации, основанные на централизованной службе каталогов, такой как NDS компании Novell или Directory Services компании Microsoft (которую должна сменить служба Active Directory для Windows 2000, обладающая существенно более высокой масштабируемостью и совместимостью с основными стандартами Internet ). Такие системы аутентификации обладают многими привлекательными свойствами:
обеспечивается единый логический вход пользователя в сеть (а не на отдельный сервер), администратор работает с единственной записью учетных данных о каждом пользователе и системном ресурсе, система отлично масштабируются за счет распределенного характера базы данных каталога, доступ к данным каталога осуществляется с помощью стандартного для Internet протокола LDAP (службой Directory Services не поддерживается) данные о пользователях и ресурсах сети хранятся в иерархическом виде, соответствующем структуре организации и сети.
Для повышения эффективности работы с пользователями межсетевой экран должен уметь использовать учетные данные, хранящиеся в службе каталогов сети, при конструирования правил доступа (например, обращаясь к ним по протоколу LDAP), а также выполнять транзитную аутентификацию, выполняя роль посредника между пользователем и используемой в сети системой аутентификации. Такой вариант работы средств безопасности позволяет администратору средств безопасности сосредоточиться на выполнении своих прямых обязанностей и не дублировать работу по администрированию пользователей.
Особым случаем является аутентификация массовых клиентов предприятия, которые возникают при ведении бизнеса с помощью Internet. При усложнении схем бизнеса появляются различные категории массовых клиентов, которым нужно давать разные права доступа. Для аутентификации массовых клиентов традиционные схемы на основе индивидуальных паролей неэффективны, так как требуют ввода в систему и хранения каждого пароля, и, следовательно, плохо масштабируются. Для работы с массовыми пользователями очень желательно, чтобы межсетевой экран поддерживал технологию аутентификации на основе цифровых сертификатов стандарта X.509 и инфраструктуры публичных ключей (PKI), которая получает все большее распространение в Internet. Сертификаты позволяют разбить пользователей на несколько классов и предоставлять доступ в зависимости от принадлежности пользователя к определенному классу. Инфраструктура публичных ключей нужна для организации жизненного цикла сертификатов и позволяет, в частности, проверить подлинность предъявленного сертификата за счет проверки подлинности цифровой подписи сертифицирующей организации (Certificate Authority) или цепочки сертифицирующих организаций, если организация, выдавшая сертификат, не входит в перечень пользующихся на данном предприятии доверием сертификационных центров.
Аутентификация на основе сертификатов может применяться не только к массовым клиентам, но и к сотрудникам предприятий-партнеров, а также и к собственным сотрудникам.
Поддержка межсетевым экраном сертификатов и инфраструктуры публичных ключей приводит к исключительно масштабируемым системам аутентификации, так как в этом случае в системе требуется хранить только открытые ключи нескольких корневых сертифицирующих организаций и поддерживать протоколы взаимодействия с их серверами сертификатов. Для успешной работы в гетерогенной среде, порождаемой взаимодействием с различными пользователями и организациями, важно, чтобы средства безопасности могли поддерживать продукты PKI основных ведущих производителей, таких как Entrust, Netscape, Microsoft и т.п.
Средства безопасности FireWall-1/VPN-1 поддерживают разнообразные схемы аутентификации пользователей, которые могут активизироваться при задании соответствующих правил доступа. Эти схемы на сегодня включают аутентификацию на основе паролей, хранящихся в FireWall-1, цифровых сертификатов X.509, систем аутентификации ОС, RADIUS, TACACS, SecurID и ряда других. С помощью модуля Account Management, входящего в состав FireWall-1/VPN-1, в правилах доступа можно использовать информацию о пользователях и группах, хранящуюся во внешних базах учетных данных, поддерживающих протокол LDAP (например, NDS или Active Directory), что освобождает администратора безопасности от необходимости дублировать пользовательские данные в системе FireWall-1/VPN-1.
Поддержка цифровых сертификатов и инфраструктуры публичных ключей PKI в продуктах CheckPoint обеспечивает масштабированное решение проблемы аутентификации массовых пользователей. Продукты FireWall-1/VPN-1 работают сегодня с системами PKI компаний Entrust, VeriSign, Netscape, Microsoft, Baltimore Technologies и Data Key, это делает возможным аутентификацию пользователей в гетерогенной среде, когда сертификаты изданы и подписаны различными сертифицирующими организациями. Используя систему VPN-1 Certificate Manager компании CheckPoint, в которую входит сервер сертификатов от Entrust Technologies и LDAP-совместимая служба каталогов от Nescape Communications, предприятие может самостоятельно поддерживать инфраструктуру публичных ключей, администрируя ее с помощью стандартной графической утилиты Account Management.
Компания CheckPoint уделяет большое внимание поддержке схем аутентификации, обеспечивая возможность интеграции своих продуктов практически со всеми распространенными в корпоративных сетях системами этого назначения.
Реализации
Описание Fortezza является интересным само по себе, однако как пользователей,так и исследователей этой технологии не могут не заинтересовать прикладныеаспекты конкретных разработок. В таблице 2 содержатся основные параметры3-х известных автору реализаций технологии Fortezza на основе информации,полученной по сети Internet.
| Название, характеристики |
Windows 3.1
Windows 95
Windows NT
SCO ODT
Windows 3.1
Windows 95
Windows NT
Apple Macintosh
SCO ODT
UNIX-HP/UX
IBM AIX
SUN OS и Solaris
Windows 3.1
Windows 95*
Windows NT*
Apple Macintosh7.x*
OSF*
UNIX*
IBM AIX*
HPBLS*
шифрование
цифровая подпись
верификация подписи
хэширование
> 1.4 Мбайт/с
23 мс
39 мс
н/д
> 1.1 Мбайт/с
67 мс
н/д
н/д
2 Мбайт/с
<50 мс
<100 мс
2 Мбайт/с
напряжение
мощность
+5В
н/д
+5В 605 мВт
(62.5 мВт**)
+5В
< 1Вт
Таблица 2. Характеристики производимых криптокарт Fortezza
Примечания: * - в будущем, ** - в режиме standby, н/д - нет данных.
 |
 |
 |
RealSecure
Наряду с анализом защищенности процесс обеспечения адаптивной безопасности включает в себя обнаружение атак. ПО RealSecure 3.1, полноправный член семейства SAFEsuite, позволяет обнаруживать враждебную деятельность на хостах, распознавать атаки на корпоративную сеть и реагировать на них соответствующим образом в режиме реального времени. При этом RealSecure может использоваться для защиты как внешнего доступа (например, из Internet), так и внутренней сети (по статистике, до 75% всех инцидентов происходят по вине сотрудников организации).
Пока RealSecure — единственная система на рынке средств защиты, которая функционирует на двух уровнях: сети (network-based) и хоста (host-based). Продукты других производителей, как правило, ориентированы только на сетевые атаки. При работе на уровне сети RealSecure анализирует весь сетевой трафик, а на уровне хоста — журналы регистрации ОС (EventLog и syslog) и деятельность пользователей в режиме реального времени.
Необходимо отметить, что система RealSecure обладает возможностью не только контролировать 600 событий (в том числе 200 сетевых атак), но и добавлять свои собственные сигнатуры, что позволяет своевременно защищать сеть от постоянно появляющихся угроз безопасности.
| RealSecure поддерживает базу данных инцидентов по 700 контролируемым событиям |
ПО RealSecure имеет распределенную архитектуру и содержит два основных компонента: RealSecure Detector и RealSecure Manager. Первый обеспечивает обнаружение атак и реакцию на них; он состоит из двух модулей-агентов — сетевого и системного. Сетевой агент устанавливается на критичном сегменте сети и распознает атаки путем «прослушивания» трафика. Системный агент инсталлируется на контролируемом узле и выявляет несанкционированные операции. Компонент RealSecure Manager служит для настройки продукта и сбора информации от RealSecure Detector.
Управление компонентами RealSecure осуществляется и с помощью так называемого модуля консоли, и с использованием дополнительного модуля, подключаемого к системам сетевого управления HP OpenView (HP OpenView Plug-In Module) или Tivoli. В распределенной сети можно установить нескольких консолей, обеспечивающих управление всеми модулями обнаружения атак.
Любую систему обнаружения атак характеризуют возможности ее реакции на эти атаки. RealSecure обеспечивает три типа реакций: уведомление (notification), хранение (storage) и активная реакция (active response).
Уведомления могут рассылаться на одну или несколько консолей управления (RealSecure Manager) по электронной почте или (при подключении системы AlarmPoint) по факсу, телефону и на пейджер. Предусмотрена генерация управляющих SNMP-последовательностей визуализиции контролируемых событий в системах сетевого управления (например, HP OpenView, CA Unicenter, Tivoli). Все данные о событиях сохраняются в стандартном (дата и тип события, адрес атакующего и атакуемого, дополнительные сведения) и расширенном форматах. В последнем случае сохраняется и содержание всего трафика. RealSecure обеспечивает воспроизведение администратором всех действий нарушителя с заданной скоростью для последующего анализа. Часто это помогает разобраться, каким образом злоумышленник проник в корпоративную сеть и что именно требуется противопоставить ему в дальнейшем.
При атаке, которая может привести к выведению из строя узлов корпоративной сети, RealSecure позволяет автоматически разорвать соединение с атакующим узлом, блокировать учетную запись нарушителя (если он сотрудник организации) или реконфигурировать МЭ и маршрутизаторы таким образом, чтобы последующие соединения с таким узлом были запрещены. В настоящее время ПО поддерживает МЭ CheckPoint Firewall-1 и Lucent Managed Firewall, маршрутизаторы компаний Cisco, Nortel и ODS Networks. Администратор способен также создать собственные сценарии обработки контролируемых событий и задать операции активной реакции.
Применение RealSecure в сети не снижает ее производительности не только при использовании каналов Ethernet, Token Ring и FDDI, но и при работе с высокоскоростными магистралями типа Fast Ethernet. Сама система RealSecure может быть защищена от внешних атак при помощи так называемой Stealth-конфигурации, которая не позволяет «видеть» эту систему из внешней сети.
Реконфигурация маршрутизаторов
Аналогично реконфигурации межсетевого экрана CheckPoint Firewall-1, система RealSecure? позволяет управлять маршрутизаторами серии 7000 компании Cisco Systems.
Реконфигурация межсетевых экранов
В версии 2.0 системы RealSecure? появилась уникальная возможность управления межсетевым экраном компании CheckPoint - Firewall-1. Взаимодействие осуществляется по технологии OPSEC? (Open Platform for Secure Enterprise Connectivity) и, входящему в нее, протоколу SAMP (Suspicious Activity Monitoring Protocol). Сертификация системы RealSecure (в апреле 1998 г.) на совместимость с технологией OPSEC позволяет расширяет возможности системы по реагированию на обнаруженные атаки. Например, после обнаружения атаки на WWW-сервер, система RealSecure? может по протоколу SAMP послать сообщение межсетевому экрану Firewall-1(r) для запрета доступа с адреса, осуществляющего атаку.
В версии 2.5 системы RealSecure? к возможности управления межсетевым экраном CheckPoint Firewall-1 добавилась возможность посылки уведомления об атаке на межсетевой экран Lucent Managed Firewall.
Решение проблемы
Для предотвращения подобных атак в будущем были предприняты следующие меры:
Был обновлен межсетевой экран, и в нем была установлена последняя версия программного обеспечения, позволяющего сканировать приложения к письмам на вирусы и известных троянских коней. Кроме того, любые приложения, имеющие размер больше определенного, удалялись, а вместо них в письмо включалось сообщение об этом. Был разработан ряд политик безопасности и инструкций, которые были доведены до пользователей, чтобы они знали, как себя вести в случае повторения подобных ситуаций. Стали регулярно проверяться журналы телефонных звонков на специфические виды звонков и разговоры сотрудников с уволенными сотрудниками, которых уволили не по их собственному желанию, вскоре после их увольнения. При увольнении сотрудников с ними стали проводиться собеседования с целью определения списка машин, к которым они имели доступ, и уровня этого доступа, чтобы системные администраторы сразу же узнали об увольнении сотрудников и тут же удалили их аккаунты со всех этих машин. Были обновлены программы на почтовом сервере компании. В новой версии добавлена возможность сканирования писем на определенные слова, чтобы своевременно выявить потенциально опасные письма до того, как они будут получены пользователями. Во всех критических системах компании (в том числе и в бухгалтерской системе) стало проводиться регулярное аудирование их использования, и в них были добавлены программы, которые отслеживают все изменения в контролируемых ими базах данных. Стало обращаться должное внимание на создание архивных копий данных пользователей, и было предложено пользователям хранить свои критические файлы на серверах, которые стали регулярно архивироваться системными администраторами.
Хотя все эти меры и не являются совершенными, тем не менее они обеспечивают уровень безопасности в три раза выше прежнего уровня, и являются достаточными для противодействия соответствующим угрозам.
Следующие изменения были сделаны для повышения сетевой безопасности:
Было установлено программное обеспечение для повышения безопасности рабочей станции НОА, а также ряд других систем, содержащих критическую информацию. В состав его входит программа шифрования файлов, средства аудирования работы в сети, средства создания персональной виртуальной сети и персональный пакетный фильтр. Коммутаторы и маршрутизаторы стали фильтровать трафик в сети для дополнения межсетевых экранов, чтобы быть уверенным, что только разрешенные системы могут получить доступ к наиболее важным системам в сети. Стал проводиться периодический аудит безопасности наиболее важных систем отделом аудита. Были удалены все ненужные программы из рабочей станции НОА, чтобы они не могли быть использованы для атак на систему. Было минимизировано число пользователей, имеющих возможность удаленного доступа к наиболее важным системам. Были внедрены и обновлены политики безопасности и инструкции пользователям в отношении вопросов безопасности персональных данных. На межсетевом экране было установлено программное обеспечение, которое может блокировать доступ к определенным URL, чтобы минимизировать возможность доступа к порнографическим сайтам из корпоративной сети. На все ключевые системы были установлены системы аутентификации на базе смарт-карт, чтобы быть уверенным, что только авторизованные пользователи могут иметь доступ к этим системам. Резервные копии данных с ключевых систем и другие важные данные стали храниться в защищенном месте, чтобы исключить неавторизованный доступ людей к ним. Были разработаны политики безопасности и инструкции сотрудникам, чтобы быть уверенным, что все сотрудники знают о том, какие действия можно совершать при просмотре персональной информации, а какие повлекут за собой наказания. Стали проводиться периодические скрытые проверки службой безопасности лиц, занимающих наиболее важные посты в организации. Все сотрудники теперь должны расписываться за то, что они знают корпоративные политики в отношении работы с критической информацией и будут соблюдать их, а также должны подтвердить, что знают, какие действия они должны предпринимать в случае обнаружения дыры в системе безопасности. Стало проводиться периодическое тестирование системы безопасности, чтобы быть уверенным, что не произошло изменений в уровне защиты, и что нет новых уязвимых мест в системе НОА и установленных на ней программах, которые нужно заделать.
Следующие меры были приняты, чтобы избежать повторения подобных случаев в будущем:
Было внесено стратегическое изменение в руководящие документы организации в отношении того, кто может запросить установку и телефона и причин, которые считаются достаточными. Основную массу пользователей заставили использовать для удаленных соединений способы, которые рекомендовал отдел автоматизации. Существующие телефонные линии стали постепенно отключаться, и поэтому со временем все пользователи будут подключаться только так, как это разрешил отдел автоматизации. Была усилена аутентификация на почтовых серверах, чтобы точно идентифицировать того, кто выполняет системное администрирование на них в то или иное время. Используя смарт-карты, можно точно установить, кто пришел в серверную и работает на том или ином сервере. Постепенно устанавливаются дополнительные меры защиты на всех серверах в сети, чтобы можно было фиксировать соединения пользователей с серверами и протоколировать работу пользователей с серверами для проведения ее аудита в дальнейшем. Был разработан принципиально новый проект удаленного доступа по телефонным линиям пользователей к сети, после чего он стал внедряться. Было решено использовать комбинацию технологий клиент-сервер на основе создания VPN и управления доступом таких удаленных пользователей с помощью межсетевых экранов, использующихся для работы с Интернетом. Таким образом будет обеспечено безопасное соединение с удаленными пользователями, фильтрация содержимого, аутентификация пользователей и централизованное протоколирование их сеансов - единая методология доступа, которая может использоваться во всей организации. Резервные копии журналов АТС стали храниться более 90 дней. Кроме того, был полностью изменен порядок контроля за аналоговыми линиями с целью выявления попыток обойти рекомендованные отделом автоматизации методы удаленного доступа. Были рекомендованы конкретные методы и программы для удаленного доступа пользователей, чтобы пользователи могли иметь те же самые возможности, что и раньше, но только через Интернет, только с помощью конкретных программ с возможностями аутентификации, только после обучения правилам безопасного удаленного доступа, и только при условии включения в этой программе функций протоколирования сеансов пользователя (для предоставления в дальнейшем возможности службе компьютерной безопасности провести аудит сеансов пользователя и проверить, не было ли попыток несанкционированного доступа к сети).
Со временем все эти работы значительно улучшили безопасность сети при удаленном доступе к ней.
Следующие действия были предприняты для предотвращения повторения подобных проблем в будущем:
Был разработана автоматизированная процедура еженедельного аудирования всех систем и ежедневного аудирвоания всех сетевых компонент. О любых изменениях в сетевых компонентах теперь становится известно после следующего запуска программ аудирования ночью. Для всех увольняющихся сотрудников организации (и особенно для технических специалистов) отделом кадров и отделом автоматизации был разработан новый, очень строгий порядок увольнения. Как только отдел кадров узнает о том, что нужно уволить кого-то из организации, его сотрудники предпринимают действия, гарантирующие, что увольняющиеся технические работники уведомлены о том, что доступ к компьютерам организации после увольнения является незаконен, и что их аккаунты будут корректно отключены после их увольнения. Была произведена замена ряда сетевых компонент на аналогичные, но поддерживающие аутентификацию с использованием криптографии. Это позволило защититься от любых атак, связанных с паролями. Был заново составлен контракт для всех новых работников, чтобы можно было законно наказать их в случае попыток несанкционированного доступа к системам организации.
Драйвера для всех протоколов должны иметь конфигурационные файлы, которые должны изменяться крайне редко. Лучший способ гарантировать, что конфигурационные файлы не были изменены неавторизованным образом - контроль за этими файлами и использование специальных программ для их модификации.
Ресурсы Internet
Internet Software Consortium (ISC) - некоммерческая организация, занимающаяся созданием, обновлением и публикацией реализаций базовых протоколов Internet в виде исходных кодов. Домашняя страница ISC имеет адрес: .
Collaborative Advanced Interagency Research Network (CAIRN) представляет собой тестовую сеть, спонсируемую Defense Advanced Research Projects Agency (DARPA). CAIRN предлагает информацию о DNSSEC на .
Более подробную информацию о DNSSEC и других вопросах защиты можно найти на .
Результаты тестирования
| Permit Enterprise 1.2 | 8 | 7 | 8 | 8 | 6 | 7 | 7,35 |
| RiverWorks Enterprise VPN 1.2 | 6 | 8 | 7 | 9 | 7 | 6 | 7,15 |
| VPN Concentrator Series 1.2 | 6 | 7 | 7 | 7 | 8 | 8 | 7,10 |
| VPN Gateway Plus 6.7 | 8 | 7 | 8 | 7 | 6 | 6 | 7,05 |
| VPN-1 Gateway 1.2 | 7 | 7 | 9 | 7 | 6 | 6 | 7,00 |
| Security Management Server 4.1 | 6 | 7 | 8 | 8 | 7 | 6 | 6,95 |
| VPNWare 2.51 | 6 | 8 | 5 | 6 | 7 | 7 | 6,55 |
| cIPro System 4.0 | 6 | 7 | 8 | 6 | 6 | 6 | 6,50 |
| Ravlin 7100 3.3 | 5 | 7 | 7 | 6 | 5 | 7 | 6,15 |
| F-Secure VPN+ 4.2 | 5 | 7 | 8 | 6 | 6 | 4 | 6,00 |
| VTCP/Secure 4.2 | 5 | 8 | 5 | 7 | 4 | 4 | 5,60 |
Категории оценивались по 10-балльной шкале. Процент, указанный для каждой категории - это ее вес при определении итогового балла.
SafeDisk
| Тип защиты: | Физическое нанесение метки на носитель |
| Способ преодоления защиты: | Копирование (CloneCD), "кряк", эмуляция (D-Tools) |
| Аппаратная совместимость (cd/dvd разных производителей): | Хорошая |
| Наличие особой аппаратуры для защиты серии: | ДА, требуется |
| Предоставление SDK для производителей: | ДА |
| Защита мелких партий (CD/R/RW): | НЕТ |
| Фирма - производитель: | Macrovision Corporation |
| Сайт производителя: | http://www.macrovision.com/ |
| Коммерческие продукты, использующие данный вид защиты: | |
| Практически все игры после 01-01-2001 | |
| Особенности защиты: | |
| Здесь также применяется метод нанесения физических меток, для чего требуется дополнительное оборудование. Производитель утверждает о большой эффективности системы, не раскрывая методов, которые применяются в защите. Только пиравтов это не остановило. Все программы, защищенные данной системой уже вскрыты. Способов противодействия защите также найдено несколько. Невзирая на предоставление SDK компаниям-производителям игр не удалось обеспечить надежного противодействия. |
SAFESuite Decisions
Системы, обеспечивающие управление разнородными сетевыми средствами, почти всегда содержат элементы так называемых средств принятия решений. Таковы продукты компаний Computer Associates (ProtectIT, DirectIT, Unicenter TNG), Tivoli Systems (Management Framework, User Administration, Security Management), PLATINUM (ProVision AutoSecure Access Control, ProVision AutoSecure Enterprise Security Administration). В одном ряду с ними — система SAFEsuite Decisions, которая позволяет собирать, анализировать и обобщать сведения, получаемые от различных установленных в организации средств защиты информации. К средствам, поддерживаемым первой версией, относятся все продукты компании ISS, МЭ CheckPoint Firewall-1 и Gauntlet (и, как следствие, МЭ российского производства «Пандора» и «Застава-Джет», разработанные на базе Gauntlet).
Пакет SAFEsuite Decisions состоит из нескольких взаимосвязанных компонентов:
подсистемы SAFElink, обеспечивающей сбор данных от различных средств защиты и их запись в централизованную базу данных SAFEsuite Enterprise Database; базы данных SAFEsuite Enterprise Database для хранения данных, полученных от SAFElink (построена на основе СУБД Microsoft SQL Server); подсистемы SAFEsuite Decisions Report, которая дает возможность обрабатывать, анализировать и обобщать информацию, хранящуюся в базе данных. Decisions Report позволяет ранжировать риски системы защиты организации, идентифицировать нарушителей политики безопасности, выявлять тенденции, прогнозировать изменение уровня защищенности ресурсов организации и т. д.
Все системы семейства SAFEsuite Enterprise прошли сертификацию Госкомсвязи на соответствие требованиям перехода к 2000 году.
Saint
Security Administrators Integrated Network Tool — сканер уязвимых мест защиты (см. рис. 1), который работает с большинством разновидностей Unix, включая Linux. Сканер создан на базе свободно распространяемого инструментария для анализа дефектов защиты Satan (Security Administrator’s Tool for Analyzing Networks). Компания Saint () отказалась от более старых версий сканера, но продает новейший его вариант, а также SAINTwriter для генерации настраиваемых отчетов и SAINTexpress для автоматического обновления сигнатур дефектов защиты.
Рис. 1. Saint — сканер, который проверяет системы на наличие уязвимых мест. С учетом конкретной конфигурации механизм контроля определяет, может ли Saint (и до какой степени) сканировать набор сетевых узлов. Подсистема выбора целей создает список атак для тестов, запускаемых на сканируемых узлах. Подсистема сбора данных собирает факты о результатах работы зондов. С помощью базы правил механизм взаимодействий обрабатывает факты, при этом собирая данные и определяя новые адресуемые хосты, зонды и факты. Подсистема результатов отображает собранные данные как гиперпространство, с которым пользователи могут работать с помощью браузера
Самы популярные атаки в Интернет
В марте 1999 г. самыми популярными атаками (или наиболее уязвимыми приложениями), как было установлено NIST, являлись Sendmail, ICQ, Smurf, Teardrop, IMAP, Back Orifice, Netbus, WinNuke и Nmap.
Sendmail: Sendmail - это очень старая программа, в которой на протяжении всей ее истории имелись уязвимости. Sendmail - наглядное доказательство того, что у сложных программ редко бывают исправлены все ошибки, так как разработчики постоянно добавляют новые возможности, из-за которых появляются новые уязвимые места. Последние атаки против sendmail попадают в категорию удаленного проникновения, локального проникновения, а также удаленного блокирования компьютера. ICQ: - это сложная программа онлайнового общения с большим числом разнообразных возможностей, название которой является сокращением для фразы "I-Seek-You." (я ищу вас). Сейчас она используется приблизительно 26 миллионами пользователей. В прошлом году было разработано несколько атак на ICQ, которые позволяли атакующему выдавать себя за другого и расшифровывать "зашифрованный" трафик. Затем атакующий начинал диалог в ICQ с тем человеком, чьим другом являлся тот, за кого он себя выдавал, и посылал ему через ICQ троянские кони (враждебные программы, встроенные в казалось бы нормальные программы). Smurf: Smurf использует сеть, в которой машины обрабатывают широковещательные ping-пакеты для переполнения жертвы пакетами ответов на ping. Эту атаку можно представить как усилитель, позволяющий атакующему анонимно блокировать работу компьютера жертвы из-за прихода ему по сети огромного количества пакетов. Teardrop: Teardrop полностью блокирует компьютеры с Windows 95 и Linux, используя ошибку в подпрограммах сетевых драйверов, обрабатывающих фрагментированные пакеты. IMAP: IMAP позволяет пользователям получать их электронные письма с почтового сервера. В последний год было выпущено программное обеспечение сервера IMAP, в котором содержались ошибки, позволяющие удаленному атакующему получать полный контроль над машиной. Эта уязвимость очень опасна, так как большое количество почтовых сервероа используют уязвимое программное обеспечение IMAP. Back Orifice: Back Orifice - это троянский конь, позволяющий пользователю удаленно управлять компьютером с Windows 95/98 с помощью удобного графического интерфейса. Netbus: Netbus аналогичен Back Orifice, но может атаковать как Windows NT, так и Windows 95/98. WinNuke: WinNuke полностью блокирует работу компьютера с Windows 95 путем посылки ему особого пакета "срочные данные" по протоколу TCP. Nmap: Nmap - это сложное средство для сканирования сети. Помимо всего прочего, nmap может сканировать с помощью нескольких протоколов, работать в скрытом режиме и автоматически идентифицировать удаленные операционные системы.
Security Pitfalls in Cryptography
by Bruce Schneier
Cryptography Consultant
e-mail:
Copyright Counterpane Internet Security, Inc., 2001
SecuRom
| Тип защиты: | Физическое нанесение метки на носитель |
| Способ преодоления защиты: | "Кряк", эмуляция (D-Tools) |
| Аппаратная совместимость (cd/dvd разных производителей): | Низкая |
| Наличие особой аппаратуры для защиты серии: | ДА, требуется |
| Предоставление SDK для производителей: | НЕТ |
| Защита мелких партий (CD/R/RW): | НЕТ |
| Фирма - производитель: | Sony |
| Сайт производителя: | http://www.securom.com/ http://www.sony.com/ |
| Коммерческие продукты, использующие данный вид защиты: | |
| Diablo 2, SimCity 3000, Decent FreeSpace, FIFA 99, Panzer Commander, S.A.G.A: Rage of the Vikings | |
| Особенности защиты: | |
| Используются все те же метки. Достаточно интересным отличием данной защиты является то, что они действительно некопируемые. По крайней мере до сих пор не найдено программ, способных побитово копировать защищенные диски. В остальном же так же как и со многими системами - есть методы обхода защиты, и это невзирая на громкое имя корпорации, производящей защиту. Справедливости ради стоит отметить, что над совершенствованием защиты ведутся постоянные работы. Кто знает, может им и удастся стать абсолютно непроницаемыми. Некопируемая метка уже есть. |
Сентябрь
Компания America Online
начала блокировать всю электронную почту от пяти фирм, "фарширующих"
Интернет низкопробной продукцией: cyberpromo.com, honeys.com,
answerme.com, netfree.com и servint.com. (AP, 4 сентября). Фирма
CyberPromo, один из самых злостных нарушителей этики Интернет,
запрещающей рассылать по электронной почте всякий хлам, возбудила
судебный иск, обвиняя AOL в нарушении прав на свободу слова. На
заседании, состоявшемся 4 ноября, суд Филадельфии отверг эти аргументы.
(EPIC Alert 3.19). Суд постановил, что вопреки утверждениям Cyber
Promotions, компания AOL на самом деле имеет право блокировать
поток, изливаемый плодовитым производителем непрошенных электронных
сообщений. Судья отклонил ссылки на Первую поправку к конституции,
заявив, что ни у кого нет права навязывать ненужную электронную
корреспонденцию подписчикам Интернет-услуг. (AP, 4 ноября). В
другом деле со сходной тематикой, компания Concentric Network
Corporation возбудила 2 октября судебный иск против Cyber Promotions
и ее владельца Sanford Wallace, требуя моральной и материальной
компенсации за ущерб, вызванный отправкой тысяч поддельных электронных
сообщений с низкопробным содержанием, якобы исходящих от Concentric
Network. Этот хлам вызвал перегрузку сети, так как десятки тысяч
писем с несуществующими адресами были возвращены бедным "отправителям",
в почтовую систему Concentric Network. По постановлению суда фирмы
Wallace и Cyber Promotions подписали клятвенные заверения больше
никогда так не делать (см. ).
В начале сентября неизвестный
криминальный хакер организовал против поставщика Интернет-услуг
PANIX (Нью-Йорк) атаку с использованием так называемого "SYN-наводнения".
Смысл данной атаки в том, что на сервер направляется поток поддельных
запросов на установление TCP-соединений с несуществующими IP-адресами.
Этот поток вызывает перегрузку сервера, что ведет к отказу в обслуживании
законных пользователей. (AP, 13 сентября; ). В течение
недели специалисты по TCP/IP предоставили заплаты для противостояния
подобным атакам на доступность. Исчерпывающий анализ данной проблемы
можно найти по адресу .
Также в Нью-Йорке губернатор
Pataki подписал новый закон, объявляющий уголовным преступлением
компьютерную передачу непристойных материалов лицам, не достигшим
семнадцати лет. Закон определил новый класс E уголовных преступлений
- распространение непристойных материалов среди подростков среднего
возраста (Penal Law Section 235.21). Такие деяния наказываются
заключением в тюрьме штата на срок до четырех лет. (LACC-D, 12
сентября).
Как явствует из интервью
с Margot Kidder, опубликованного в "People Online",
компьютерный вирус стал последним звеном в цепи, приведшей ее
к широко обсуждавшемуся в прессе нервному расстройству. (Актрису
нашли на чьем-то заднем дворе, съежившуюся и что-то бормочущую.)
Неидентифицированный вирус необратимо разрушил единственный экземпляр
книги, над которой исполнительница главной роли в фильме "Супермен"
работала три года. Резервной копии сделано не было. ().
Заместитель начальника
управления по экономическим преступлениям Министерства внутренних
дел России сообщил, что российские хакеры с 1994 по 1996 год сделали
почти 500 попыток проникновения в компьютерную сеть Центрального
банка России. В 1995 году ими было похищено 250 миллиардов рублей.
(ИТАР-ТАСС, AP, 17 сентября).
Бурю протестов вызвало
известие о том, что газеты "Tampa Tribune" и "St.
Petersburg Times" получили компьютерные диски с именами 4
тысяч жертв СПИДа. Диски были присланы из окружного управления
здравоохранения вместе с анонимным письмом, в котором утверждалось,
что служащий управления показывал людям в баре список больных
и предостерегал своих друзей от контактов с ВИЧ-инфицированными.
(AP, 20 сентября). Служащий сознался в преступлении и в октябре
был уволен.
Компания Penguin Books
распространила по электронной почте сфабрикованный совет от имени
вымышленного профессора Edward Prideaux из несуществующего Колледжа
славянских наук. Текст розыгрыша был таким: "По Интернет
рассылается компьютерный вирус. Если Вы получите электронное сообщение
с заголовком "Irina", немедленно УДАЛИТЕ его, НЕ читая.
Некий злодей рассылает сведения о людях и файлы с заголовком "Irina".
Если Вы наткнетесь на такое письмо или файл, не загружайте его.
Содержащийся в нем вирус затрет Ваш жесткий диск, уничтожив все
данные. Пожалуйста, соблюдайте осторожность во время путешествий
по Интернет. Перешлите данное письмо Вашим близким и знакомым."
Письмо вызвало беспокойство у некоторых получателей, которые засыпали
своих антивирусных поставщиков запросами о помощи против этой
несуществующей напасти. (Graham Cluley, в "Proceedings of
the International Virus Prevention Conference '97").
Телефонные хакеры начали
прослушивать телефонные линии в квартирах и домах американцев,
подключаясь к каналам, проходящим через расположенные неподалеку
"бежевые ящики". Такие ящики стоят на тротуарах по всей
Америке. Специалисты компании Pacific Bell утверждают, что только
в Калифорнии каждую неделю выявляется 10 - 15 новых "включений".
Ежегодный ущерб, наносимый при этом компании, оценивается в несколько
миллионов долларов. (UPI, 22 сентября).
В Кентукки бывший сотрудник
управления по сбору налогов сознался в краже 4.2 миллионов долларов
из казначейства штата. Он использовал компьютеры штата для организации
компенсационных налоговых выплат на счет созданной им фиктивной
корпорации (AP, 23 сентября).
Paul Engel, брокер фондовой
биржи в Сан-Франциско, сообщил, что размолвка с сотрудником исследовательской
фирмы SRI International Inc. привела к "взрыву" 23 сентября
"почтовой бомбы". В этот день Пол получил от компьютеров
SRI 25 тысяч писем, состоящих из одного слова - "Идиот".
Поток писем сделал работу за компьютером невозможной, поэтому
в декабре мистер Энгель предъявил фирме SRI иск на 25 тысяч долларов.
(UPI, 27 декабря). Независимо от исхода судебного разбирательства,
данный случай еще раз доказывает, что корпоративная политика безопасности
должна явным образом задавать границы допустимого использования
корпоративных идентификаторов пользователей в Интернет.
На шокированную женщину
обрушились сотни телефонных звонков с запросами сексуальных услуг
после того, как ее имя и телефон, якобы принадлежащие проститутке,
были разосланы по Интернет. (PA News, 25 сентября).
В конце сентября злобный
робот-стиратель удалил 27 тысяч сообщений из различных телеконференций
в Usenet. Особенно пострадали телеконференции, организованные
иудеями, мусульманами, феминистками и гомосексуалистами. У некоторых
"стирателей" были расистские и человеконенавистнические
имена. В настоящее время не ясно, противоречит ли подобный вандализм
каким-либо законам, зато достаточно очевидно, что аналогичные
атаки будут продолжаться до тех пор, пока правом на удаление сообщений
из Сети не будут обладать только их однозначно идентифицируемые
авторы. ("San Jose Mercury News", 25 сентября).
Судом Лос-Анджелеса Kevin
Mitnick был обвинен по 25 пунктам, включая кражу программного
обеспечения, повреждение компьютеров в университете Южной Калифорнии,
неавторизованном использовании паролей, а также использовании
украденных кодов сотовых телефонов. Кевин не признал себя виновным.
(AP, Reuters, 27, 30 сентября).
Как забавное напоминание
о розыгрыше с вирусом "Good Times", начавшемся в 1994
году, некто продемонстрировал, как написать текст на HTML, разрывающий
Netscape-сеанс и даже иногда ломающий Windows 95. Секрет прост
- Web-страница должна всего лишь ссылаться на порты LPT1 или COM
как на источники данных. У пользователей почтового клиента Netscape
проблемы еще неприятнее, так как можно загрузить "отравленное"
электронное сообщение и автоматически проинтерпретировать HTML-код,
"завесив" навигатор и сделав отравленное письмо неудаляемым.
().
Криптоаналитики из компании
Bellcore Dan Boneh, Richard A. DeMillo и Richard J. Lipton показали,
что нарушение нормальной работы смарт-карт может дать достаточно
информации об алгоритмах шифрования и ключах для проведения успешного
криптоанализа. (Edupage, 1 октября; ; ). Опираясь на эту работу и свои прежние исследования,
израильские ученые Eli Biham и Adi Shamir опубликовали предварительный
вариант статьи "The Next Stage of Differential Fault Analysis:
How to break completely unknown cryptosystems" ("Очередной
этап анализа дифференциальных ошибок: как взламывать абсолютно
незнакомые криптосистемы"). В аннотации (см. )
авторы пишут: "Идею использования вычислительных ошибок для
взлома криптосистем впервые применили Boneh, Demillo и Lipton
к системам с открытыми ключами. Затем Biham и Shamir распространили
ее на большинство криптосистем с секретными ключами. ().
В нашем новом исследовании мы вводим модифицированную модель ошибок,
делающую возможным нахождение секретного ключа, хранящегося в
защищенном от вскрытия криптографическом устройстве, даже если
о структуре и функционировании этого устройства ничего не известно.
Прекрасным примером приложения новой модели является система Skipjack,
разработанная Агентством национальной безопасности США. Конструкция
этой системы неизвестна, она реализована в виде защищенной от
доступа микросхемы, устанавливаемой на имеющиеся в продаже ПК-модули
компании Fortezza. Мы не проводили тестовых атак на Skipjack,
но мы считаем, что они представляют реальную угрозу по отношению
к некоторым приложениям смарт-карт, спроектированным без учета
описываемых средств."
В ноябре британский криптограф
Ross Anderson опубликовал предварительный вариант статьи "A
serious weakness of DES" ("Серьезная слабость DES").
([, ; ).
Аннотация гласит: "Eli Biham и Adi Shamir () недавно
указали, что если атакующий может вызывать направленные ошибки
в ключевой памяти криптографических устройств, он сможет быстро
выделить ключи. Хотя их атака очень элегантна, ее нельзя назвать
практичной применительно ко многим реальным системам. Например,
внесение однобитного изменения в DES-ключ при правильной реализации
криптосистемы приведет к сообщению об ошибке четности."
Однако, если скомбинировать
идеи израильских ученых с недавней работой по восстановлению памяти
(автор - Peter Gutman), можно получить две весьма практичные атаки.
Одна из них позволяет выделить электронные ключи смарт-карт с
помощью гораздо более дешевого оборудования, чем то, которое в
настоящее используют пираты платного телевидения. Вторая представляет
реальную угрозу для неохраняемых банковских устройств. Эти атаки
показывают, что свойства DES, которые раньше казались безобидными,
на самом деле свидетельствуют о серьезной ошибке проектирования.
Новости из подполья. Журнал
"Phrack" номер 48 выпустили новые редакторы: "ReDragon",
"Voyager" и "Daemon9". В этом номере, как
и в ежеквартальном хакерском журнале "2600", опубликованы
исходные тексты программ, реализующих упоминавшуюся выше атаку
против доступности - "SYN-наводнение". Greg Perry, известный
в подполье как "Digital Hitler", арестован по обвинению
в мошенничестве на ниве сотовой телефонии.
В сентябрьском докладе
группы IS/Recon содержится следующее настоятельное предупреждение:
Вопреки нашим усилиям
по защите информационных систем от атак злоумышленников, последние
продолжают использовать сведения по безопасности, почерпнутые
из открытых источников, для выявления уязвимых систем и нападения
на них. Не боясь повториться или уподобиться волку, воющему на
луну, мы подчеркиваем обязательность быстрого наложения заплат
и поддержания постоянного контакта с производителями для внесения
в системы всех рекомендованных изменений. Самым свежим и тревожным
примером сбора информации о брешах в безопасности является новая
страница на одном из отслеживаемых нами типичных хакерских Web-серверов.
По адресу "http://..." располагается Web-страница, позволяющая
Вам ввести информацию о Вашей системе и опробовать Ваш экземпляр
программы httpd на предмет наличия в нем "дыры", описанной
в CERT Advisory 96.06. На хакерском сервере имеется регистрационный
журнал, в котором фиксируются все обращения к серверу и, в частности,
к упомянутой странице. ПОМНИТЕ! Когда Вы загружаете эту страницу,
в журнал попадает Ваш IP-адрес. Не делайте этого с Ваших корпоративных
компьютеров! Если Вы обнаружите свои знания о данном сервере,
Вы можете стать объектом атаки со стороны этих людей или невольно
способствовать тому, что мы "потеряем" сервер хакеров,
если они закроют его или поймут, что за ними следят. Чтобы взглянуть
на Web-страницу злоумышленников, воспользуйтесь каким-либо другим,
не корпоративным Интернет-адресом.
Сертификация
Сертификация продукта уполномоченными государственными организациями может дать серьезный импульс к его широкому применению. Правительство США требует, чтобы системы защиты и другие продукты, связанные с информационными технологиями, проходили проверку на соответствие Federal Information Processing Standard, осуществляемую Национальным институтом по стандартам и технологии (NIST), прежде чем американским госучреждениям можно будет их приобрести.
Стоимость тестирования на соответствие может варьироваться от десятков до сотен тысяч долларов. Все это может помешать организациям, создающим свободно распространяемое обеспечение (и имеющими, как правило, весьма скромный бюджет), сертифицировать свои технологии. Фактически, как отметила Аннабел Ли, директор программы NIST Cryptographic Module Validation Program, ей не известен ни один свободно распространяемый продукт, прошедший сертификацию.
Сертификация системы Internet Scanner
2 сентября 1998 г. система Internet Scanner&153; получила сертификат Государственной технической комиссии при Президенте РФ № 195 и стала первой в России системой анализа защищенности признанной этой авторитетной в области защиты информации организацией. Сертификация проводилась по техническим условиям (ТУ № 19-98), поскольку Руководящий документ, в котором приводятся требования к средства анализа защищенности в настоящий момент не разработан. Применение сертифицированной системы Internet Scanner дает два преимущества по сравнению с другими аналогичными средствами. Во-первых, "информационные системы, органов государственной власти Российской Федерации и органов государственной власти субъектов Российской Федерации, других государственных органов, организаций, которые обрабатывают документированную информацию с ограниченным доступом, а также средства защиты этих систем подлежат обязательной сертификации" (Федеральный Закон РФ от 25.01.95 "Об информации, информатизации и защите информации", ст.19). Сертификация системы Internet Scanner позволяет применять ее в государственных организациях. Во-вторых, сертификат выдается по результатам сертификационных испытаний, проводимых независимой испытательной лабораторией, назначаемой Гостехкомиссией России. В процесс испытаний осуществляется большое число тестов, которые гарантируют отсутствие "недекларированных возможностей" (Сертификат соответствия Гостехкомиссии России № 195).
Сертификаты
Как следует из сказанного выше, в технологии Fortezza должен существоватьпротокол, регламентирующий выдачу и распространение открытых ключей пользователей.Открытые ключи ассоциируются с их владельцами с помощью так называемых"сертификатов". Сертификат представляет собой структуру данных,связывающую идентификатор пользователя, открытые ключи, предназначенныедля алгоритмов KEA и DSA, а также информацию о лице, выдавшем сертификат.С целю защиты от подделки сертификат защищается цифровой подписью выдавшегосертификат лица. Сертификаты и пары секретных/открытых ключей образуютоснову системы управления ключами технологии Fortezza.
В качестве основы системы аутентификации Fortezza использует схему аутентификациисертификатов X.509 и соглашения о наименовании объектов X.500. ТехнологияFortezza различает две структуры сертификатов. Под "сертификатом Fortezza"понимается внутренняя структура данных технологии Fortezza, под "сертификатомX.509" - блок данных стандарта X.509, содержащийся в сертификате Fortezza(см. Рис.5.).
2820 байт
| метка | флажки | размер | DSA | KEA | DSA | DSA | DSA | DSA | DSA | KEA | KEA | KEA | KEA | KEA | сертификат | |||||||||||||
| данных | Private (X) | Private (X) | размер PG | размер Q | P | Q | G | размер PG | размер Q | P | Q | G | X.509 | |||||||||||||||
| 32 | 16 | 4 | 48 | 48 | 4 | 4 | 128 | 48 | 128 | 4 | 4 | 128 | 48 | 128 | 2048 байт |
Рис. 5.
Каждый сертификат Fortezza состоит из двух пар открытых/секретных ключей(одна из них предназначена для использования в KEA, другая - в DSA) и соответствующихим значений параметров P, Q и G. Сертификат X.509 содержит открытые составляющиеэтих ключей. Открытые ключи всегда доступны пользователю карты. Ключи хранятсяв закодированном виде: секретные - с помощью локальных ключей пользователяKs (ключ Ks имеет размер 80 бит, находится в специальном регистре криптокартыи становится доступным после успешного ввода PIN пользователя), открытые- с помощью ASN.1. Поле данных размером 2048 байт, зарезервированное длясертификата X.509, может использоваться для хранения любой информации (биометрическихданных, фотоизображений), если только такие "сертификаты" неиспользуются в криптографических функциях. Приложения могут загружать этиданные в энергонезависимую память карты и сохранять их там продолжительноевремя.
Сертификаты X.509 могут быть размещены в базу данных специализированного"сертификационного сервера" (нескольких серверов) или распределеныпо сети и сохранены локально в картах всех участников информационного обмена.Единственным условием является доступность сертификата для криптографическихфункций приложений Fortezza. Некоторые приложения позволяют включать сертификатотправителя в заголовок сообщения, предоставляя получателю возможностьдинамически создавать локальную базу сертификатов абонентов. Такая локальнаябаза может служить своего рода "кэшем" сертификатов, что делаетвозможным посылку сообщений без обращения к серверу сертификатов. Однако,долгое использование локальной базы может привести к устареванию содержащихсяв ней сертификатов.
Таблица 1 содержит описание всех криптографических функций.
Криптографическая функция
Таблица 1. Криптографические функции Fortezza.
Сервера прикладного уровня
Брандмауэры с серверами прикладного уровня используют сервера конкретных сервисов -
TELNET, FTP и т.д. (proxy server), запускаемые на брандмауэре и пропускающие через себя
весь трафик, относящийся к данному сервису. Таким образом, между клиентом и сервером
образуются два соединения: от клиента до брандмауэра и от брандмауэра до места назначения.
Полный набор поддерживаемых серверов различается для каждого конкретного
брандмауэра, однако чаще всего встречаются сервера для следующих сервисов:
терминалы (Telnet, Rlogin)
передача файлов (Ftp)
электронная почта (SMTP, POP3)
WWW (HTTP)
Gopher
Wais
X Window System (X11)
Принтер
Rsh
Finger
новости (NNTP) и т.д.
Использование серверов прикладного уровня позволяет решить важную задачу - скрыть от
внешних пользователей структуру локальной сети, включая информацию в заголовках
почтовых пакетов или службы доменных имен (DNS). Другим положительным качеством
является возможность аутентификации на пользовательском уровне (аутентификация - процесс
подтверждения идентичности чего-либо; в данном случае это процесс подтверждения,
действительно ли пользователь является тем, за кого он себя выдает). Немного подробнее об
аутентификации будет сказано ниже.
При описании правил доступа используются такие параметры как название сервиса, имя
пользователя, допустимый временной диапазон использования сервиса, компьютеры, с
которых можно пользоваться сервисом, схемы аутентификации. Сервера протоколов
прикладного уровня позволяют обеспечить наиболее высокий уровень защиты - взаимодействие
с внешним миров реализуется через небольшое число прикладных программ, полностью
контролирующих весь входящий и выходящий трафик.
Сервера уровня соединения
Сервер уровня соединения представляет из себя транслятор TCP соединения.
Пользователь образует соединение с определенным портом на брандмауэре, после чего
последний производит соединение с местом назначения по другую сторону от брандмауэра. Во
время сеанса этот транслятор копирует байты в обоих направлениях, действуя как провод.
Как правило, пункт назначения задается заранее, в то время как источников может быть
много ( соединение типа один - много). Используя различные порты, можно создавать
различные конфигурации.
Такой тип сервера позволяет создавать транслятор для любого определенного пользователем
сервиса, базирующегося на TCP, осуществлять контроль доступа к этому сервису, сбор
статистики по его использованию.
Сеть Файстеля
В начале 1970-х годов, сознавая необходимость защиты уже электронной информации при передаче данных в сетях ЭВМ (особенно бизнес-транзакций, при осуществлении денежных переводов и передаче конфиденциальных финансовых данных), компания International Business Machines (она же известная во всем мире как IBM) приступила к выполнению собственной программы научных исследований, посвященных защите информации в электронных сетях, в том числе и криптографии. Так развитие одной передовой технологии повлекло за собой настоящую революцию в другой.
Поскольку в ряде университетов Соединенных Штатов (таких, как Станфордский университет и Массачусетский технологический институт) всегда существовал интерес к данной области исследования, IBM постаралась привлечь университетских специалистов к разработке методов защиты электронной информации. Это было отчасти вызвано и тем, что многие из специалистов этих университов активно сотрудничали с военными кругами и соответственно специалистами военной разведки - основными потребителями криптографических методов сокрытия и защиты информации. Поэтому университетские криптографы обладали несколько большими объемами информации о защите информации, нежели другие профессиональные математики и аналитики. Ведь военные специалисты в то время были единственными источниками достойной научной информации, посвященной криптографии, хорошо знавшими криптографию не только с теоретической, но и практической стороны.
Команду разработчиков фирмы IBM, приступившую к исследованию систем шифрования с симметричной схемой использования ключей, возглавил доктор Хорст Файстель, в то время уже ставший довольно известным криптографом.
Файстель до того момента уже успел тесно поработать с Клодом Шенноном в компании Bell Laboratories. Идеи Шеннона вдохновляли многих исследователей на оригинальные изобретения. Свидетельством тому является довольно большое количество патентов, зарегистрированных и принятых в середине 60-х годов Национальным патентным бюро США (United States Patent and Trademark Office). Файстель активно сотрудничал с Шенноном и не мог не заразиться его идеями. На его счету как минимум два патента и несколько революционных статей в области криптографии и криптоанализа.
Воплотить большую часть из своих идей в жизнь он смог с помощью возможностей, предоставленных ему компанией IBM, не жалевшей денег и специалистов на разработку новых методов защиты электронной информации. Передовая технология требовала инвестиций и отнюдь не гарантировала быстрой отдачи, требовалось время на разработку действительно эффективных средств защиты электронного документооборота - эффективной и стойкой к взлому шифросистемы и методов ее использования. Представители руководства IBM понимали это и в достаточной степени предоставили свободу разработчикам, поставив перед ними в общем-то нелегкую и нетривиальную задачу.
Надо признать, что результат оправдал ожидания. Им стала проведенная в исследовательской лаборатории IBM Watson Research Lab разработка новой оригинальной архитектуры построения симметричных шифров на базе необратимых преобразований. Архитектура нового способа шифрования впоследствии была названа в классической литературе архитектурой Файстеля (на данный момент в русской и зарубежной криптографии существует более устоявшийся термин: сеть Файстеля или Feistel's network). Позднее, в соответствии с разработанными Хорстом принципами, был сконструирован шифр Люцифер (Lucifer) - первый серьезный блочный шифр, описание которого появилось в открытой литературе и вызвало новую волну интереса специалистов к криптографии в целом.
Построение сложных криптографически стойких, но обратимых преобразований представляет собой довольно трудоемкую задачу. Кроме того, практическая реализация обратимых преобразований обычно содержит неэффективные алгоритмы, что приличным образом сказывается на скорости шифрования. По этой причине Файстель решил не искать решение проблемы обратимого преобразования данных, а попытаться найти схему шифрования, в которой такие преобразования не участвовали бы вовсе.
Идея использования операции "исключающее ИЛИ" возникла из классических примеров систем шифрования, а именно из идеи использовать самый простой с технической точки зрения способ шифрования - гаммирование. Стойкость такого способа, как известно, зависит от свойств вырабатываемой гаммы. Следовательно, процесс выработки гаммы - двоичной последовательности, которую затем суммируют с открытым текстом, - является самым узким местом во всем способе.
Файстель разрешил проблему следующим образом. Изначально выбирается размер блока данных, который будет зашифрован за одну итерацию алгоритма шифрования. Обычно размер блока фиксирован и не изменяется во время работы алгоритма над открытым текстом. Выбрав достаточно большого размера блок данных, его делят, например, пополам и затем работают с каждой из половинок. Если размер левой половинки равен размеру правой, такую архитектуру называют классической или сбалансированной сетью Файстеля. Если же деление блока данных происходит не на равные части, то такой алгоритм называют разбалансированной сетью Файстеля.
Предложенная им схема шифрования легко может быть продемонстрирована с помощью схемы шифрования (рис. 4.1).
Рис. 4.1. Архитектура сети Файстеля
На изображенной схеме буквами Li и Ri обозначены левая и правая половинки исходных данных на i-м шаге последовательного преобразования. Каждый такой целый шаг называют раундом шифрования. Функция гаммирования обозначена через Fi, поскольку на каждом раунде может быть использована своя собственная функция. Ключ также имеет индекс i, но уже в силу того, что исходный ключ k может быть преобразован некоторым образом (говорят, развернут) в последовательность итерационных ключей либо подключей, то есть ключей, которые используются непосредственно функцией гаммирования.
Как видно из схемы, сначала с помощью функции гаммирования вырабатывают гамма-последовательность, которая зависит от итерационного ключа ki и правой половины данных. После этого левая половинка просто суммируется с полученной гаммой по модулю, например, 2. Затем левая и правая половинки меняются местами. На этом один цикл шифрования заканчивается. Поскольку за один раз обрабатывается только одна половина данных, желательно, чтобы число раундов было кратно двум. В таком случае есть уверенность, что каждая из половинок будет обработана одинаковое число раз. На схеме рис. 4.2 отображена сеть Файстеля с четным числом раундов.
Рис. 4.2. Сеть Файстеля с несколькими раундами
Исходя из данного описания, преобразование данных одного раунда можно представить с помощью двух формул, выражающих новые значения левой и правой половинок блока шифруемых данных:
Архитектура разбалансированной сети Файстеля выглядит весьма похоже на архитектуру обычной сети и определяется таким же способом. Единственное, но весьма существенное отличие состоит в том, что, поскольку используется разбиение не на равные половинки блока, а на участки различной длины, функция гаммирования, обозначенная буквой "F", может зависеть не от всех битов исходного блока данных или иметь разные зависимости в разных раундах.
Собственно говоря, разбалансированную сеть Файстеля можно рассматривать как обобщение понятия сети Файстеля. Стойкость криптосистемы, построенной на основе сети Файстеля, зависит целиком от результата исполнения нелинейной функции гаммирования в нескольких итерациях. Поэтому для обеспечения достаточной надежности данные должны быть преобразованы с достаточно большим числом раундов, что позволяет достичь требуемых свойств рассеивания и полноты и соответственно стойкости шифра к дифференциальному и линейному криптоанализу (см. раздел "Современные методы криптоанализа").
Рис. 4.3. Архитектура разбалансированной сети Файстеля
В большинстве шифров с архитектурой сети Файстеля используемая функция F в течение каждого раунда зависит только от одного из подключей, вырабатываемых из основного ключа шифра. Это свойство на самом деле не является основополагающим или положительно влияющим на стойкость шифра - в шифре Khufru, например, параметры функции F изменяются после зашифрования каждого следующего символа. Сеть с такого рода зависимостью функции гаммирования называют гетерогенной и гомогенной в противном случае. Применение гетерогенных сетей может значительно улучшить характеристики шифра, поскольку неравномерное изменение внутренних свойств сети в пределах допустимых границ делает изучение свойств шифра достаточно затруднительным занятием. Меняя размеры половинок и их влияние на выход шифра, можно добиться впечатляющих статистических результатов, поскольку существует очевидная зависимость не только между сложностью функции гаммирования, но и структурой используемой сети Файстеля.
Целью построения блочных шифров является не только создание стойкого алгоритма защиты информации, но и такого, чтобы его реализация была достаточно дешевой, а время работы как можно более меньшим. Именно поэтому, легко реализуемые шифры на базе гомогенных сбалансированных сетей Файстеля применяются гораздо чаще и считаются своего рода "панацеей". Однако это вовсе не означает, что они являются более криптостойкими и надежными.
Естественным путем увеличения сложности анализа сетей Файстеля является следующий метод (кстати, использованный и в алгоритме в соответствии с ГОСТ 28147-89 - отечественным стандартом криптографического преобразования данных). Для того чтобы распространить влияние функции F в одном раунде на выход и функцию следующего раунда, к выходному значению F прибавляют по некоторому модулю значение итерационного подключа для текущего раунда и затем полученное значение подают на вход функции F следующего раунда шифрования. Такой способ организации сети ставит выходы последующих раундов шифров в прямую зависимость от предыдущих, что способствует организации лавинного эффекта и полноты.
Примером практической реализации сбалансированной гомогенной сети Файстеля может служить следующий исходный текст (cм. листинг 4.3):
uint16_t F_Gamma(uint16_t data_half, uin8_t key) { // используем какие-либо сложные преобразования // но желательно такие, чтобы их выполнение было как можно более быстрым return (data_half ^ ((uint16_t) key * 0xABCD1234); } uint32_t Feistel_Network(uint32_t data, uint8_t key, int rounds) { uint16_t left, right, swap; left = data & 0xFFFF; // делим данные (размер 32 бита) right = (data >> 16) & 0xFFFF; // на половинки по 16 битов for (int i = 0; i < rounds; i++) { swap = left ^ F_Gamma(right, key); // готовим левую половинку left = right; // и меняем местами левую и правую right = swap; // половинки } return (left | ((uint32_t) right << 16)); }
Листинг 4.3
Функция Feistel_Network() представляет собой реализацию сети Файстеля с произвольным числом раундов rounds. Ключ key представляет собой 8-битное значение, которое используется только как аргумент для передачи его функции гаммирования F_Gamma(). Обратите на это особое внимание, поскольку, очевидно, здесь таится первый способ оптимизации алгоритма.
Чтобы ускорить исполнение функции Feistel_Network(), мы можем внести тело функции F_Gamma() внутрь Feistel_Network(), устранив тем самым накладные расходы на передачу параметров и вызов подфункции. Другой очевидный способ ускорить процесс состоит в том, чтобы сделать число раундов постоянным (например, равным восьми или шестнадцати), а затем избавиться от цикла, расписав все итерации шифра последовательно, одну за другой. Выбор количества раундов объясняется нахождением некоторого своего рода компромисса между малой скоростью шифрования у шифра с большим количеством раундов и простотой вскрытия шифра с малым их числом. Этот показатель у шифра, построенного на сети Файстеля, колеблется от 8 до 32 раундов. Впрочем, никто не возбраняет применять и 64, и 128 раундов. Все упирается лишь в вычислительные мощности компьютерных систем. Единственное ограничение состоит в том, что количество раундов должно быть четным. В таком случае обе половинки - и левая, и правая - будут обработаны одинаковое число раз и, следовательно, не возникнет ситуации, когда одна половина данных (например, четная), зашифровываемых 16-раундовым алгоритмом, в действительности обработана восемью, а другая всего лишь семью итерациями алгоритма.
Все проделанные модификации для алгоритма с четырьмя раундами показаны в листинге 4.4. Подобная оптимизация обычно дает прирост производительности в 5 - 10%, а ведь это еще оптимизация не алгоритма, как такового, а примитивная оптимизация его реализации.
uint32_t Feistel_Network_Optimal( uint32_t data, uint8_t key, int rounds) { uint16_t left, right, swap; left = data & 0xFFFF; // делим данные на половинки right = (data >> 16) & 0xFFFF; swap = left ^ right ^ ((uint16_t) key * 0xABCD1234); // 1-й раунд left = right; right = swap; swap = left ^ right ^ ((uint16_t) key * 0xABCD1234); // 2-й раунд left = right; right = swap; swap = left ^ right ^ ((uint16_t) key * 0xABCD1234); // 3-й раунд left = right; right = swap; swap = left ^ right ^ ((uint16_t) key * 0xABCD1234); // 4-й раунд left = right; right = swap; return (left | ((uint32_t) right << 16)); }
Листинг 4.4
На сегодняшний день практически отсутствуют системы шифрования, построенные с помощью разбалансированных сетей Файстеля, а все популярные алгоритмы являются с этой точки зрения классическими. Их вид и функции шифрования можно успешно представить себе, исходя из предоставленных в листингах раздела примеров.
Сетевой или системный уровень?
Руководство по выбору технологии обнаружения атак
Схемы подключения
Для подключения брандмауэров используются различные схемы. Брандмауэр может
использоваться в качестве внешнего роутера, используя поддерживаемые типы устройств для
подключения к внешней сети (см ). Иногда используется схема, изображенная на , однако пользоваться ей следует только в крайнем случае, поскольку требуется очень аккуратная настройка роутеров и небольшие ошибки могут образовать серьезные дыры в защите.
Если брандмауэр может поддерживать два Ethernet интерфейса (так называемый dual-homed
брандмауэр), то чаще всего подключение осуществляется через внешний маршрутизатор (см рис. 4).
При этом между внешним роутером и брандмауэром имеется только один путь, по которому
идет весь трафик. Обычно роутер настраивается таким образом, что брандмауэр является
единственной видимой снаружи машиной. Эта схема является наиболее предпочтительной с
точки зрения безопасности и надежности защиты.
Другая схема представлена на рис. 5.
При этом брандмауэром защищается только одна
подсеть из нескольких выходящих из роутера. В незащищаемой брандмауэром области часто
располагают серверы, которые должны быть видимы снаружи (WWW, FTP и т.д.). Некоторые
брандмауэры предлагают разместить эти сервера на нем самом - решение, далеко не лучшее с
точки зрения загрузки машины и безопасности самого брандмауэра
Существуют решения (см ),которые позволяют организовать для серверов,
которые должны быть видимы снаружи, третью сеть; это позволяет обеспечить контроль за
доступом к ним, сохраняя в то же время необходимый уровень защиты машин в основной сети.
При этом достаточно много внимания уделяется тому, чтобы пользователи внутренней сети не
могли случайно или умышленно открыть дыру в локальную сеть через эти сервера.
Для повышения уровня защищенности возможно использовать в одной сети несколько
брандмауэров, стоящих друг за другом.
Шифруй, не шифруй, все равно…
Очень часто из уст многих отечественных разработчиков средств VPN можно услышать, что разработанное им средство построения виртуальных частных сетей способно решить многие проблемы безопасности. Они упирают на то, что раз защищаемая сеть общается со своими оппонентами (удаленными офисами, партнерами, заказчиками и т.д.) только по VPN-соединению, то никакая "зараза" в нее не проникнет. Отчасти это так, но только при условии, что и оппоненты также ни с кем не общаются по незащищенным каналам. А это уже представить себе трудно. И поскольку большинство организаций используют шифрование для защиты внешних сетевых соединений, интерес злоумышленника будет направлен к тем местам в сети, где информация, представляющая для него интерес, вероятно, не является защищенной, то есть к узлам или сетям, с которым установлены доверенные отношения. И даже в случае создания VPN-соединений между сетью, защищаемой при помощи МСЭ с функциями VPN, и доверенной сетью, злоумышленник сможет с той же эффективностью реализовывать свои атаки. Мало того, эффективность его атак будет еще выше, поскольку зачастую требования по безопасности к доверенным узлам и сетям намного ниже всех остальных узлов. Злоумышленник сможет проникнуть в доверенную сеть, а уж затем из нее осуществлять свои несанкционированные действия по отношению к цели своей атаки. В марте 1995 г. администратор безопасности Космического Центра Джонсона (Johnson Space Center) получил сообщение о том, что два компьютера этого центра были атакованы злоумышленниками. Однако в результате расследования выяснилось, что данные компьютеры были скомпрометированы еще в декабре 1994 года и на них были установлены программы-перехватчики пользовательских идентификаторов и паролей. Журналы регистрации этих программ содержали около 1300 идентификаторов и паролей пользователей из более 130 систем, подключенных к скомпрометированным узлам.
Симметричные алгоритмы
Для шифрования и расшифровки используются одни и те же алгоритмы. Один и тот же секретный ключ используется для шифрования и расшифровки. Этот тип алгоритмов используется как симметричными, так и асимметричными криптосистемами.
| Тип | Описание | |
| DES (Data Encryption Standard) | Популярный алгоритм шифрования, используемый как стандарт шифрования данных правительством США.
Шифруется блок из 64 бит, используется 64-битовый ключ (требуется только 56 бит), 16 проходов Может работать в 4 режимах: Электронная кодовая книга (ECB-Electronic Code Book ) - обычный DES, использует два различных алгоритма. Цепочечный режим (CBC-Cipher Block Chaining), в котором шифрование шифрование блока данных зависит от результатов шифрования предыдущих блоков данных. Обратная связь по выходу (OFB-Output Feedback), используется как генератор случайных чисел. Обратная связь по шифратору (CFB-Cipher Feedback), используется для получения кодов аутентификации сообщений. | |
| 3-DES или тройной DES | 64-битный блочный шифратор, использует DES 3 раза с тремя различными 56-битными ключами.
Достаточно стоек ко всем атакам | |
| Каскадный 3-DES | Стандартный тройной DES, к которому добавлен механизм обратной связи, такой как CBC, OFB или CFB
Очень стоек ко всем атакам. | |
| FEAL (быстрый алгоритм шифрования) | Блочный шифратор, используемый как альтернатива DES
Вскрыт, хотя после этого были предложены новые версии. | |
| IDEA (международный алгоритм шифрования) | 64-битный блочный шифратор, 128-битовый ключ, 8 проходов
Предложен недавно; хотя до сих пор не прошел полной проверки, чтобы считаться надежным, считается более лучшим, чем DES | |
| Skipjack | Разработано АНБ в ходе проектов правительства США "Clipper" и "Capstone".
До недавнего времени был секретным, но его стойкость не зависела только от того, что он был секретным. 64-битный блочный шифратор, 80-битовые ключи используются в режимах ECB, CFB, OFB или CBC, 32 прохода | |
| RC2 | 64-битный блочный шифратор, ключ переменного размера
Приблизительно в 2 раза быстрее, чем DES Может использоваться в тех же режимах, что и DES, включая тройное шифрование. Конфиденциальный алгоритм, владельцем которого является RSA Data Security | |
| RC4 | Потоковый шифр, байт-ориентированный, с ключом переменного размера.
Приблизительно в 10 раз быстрее DES. Конфиденциальный алгоритм, которым владеет RSA Data Security | |
| RC5 | Имеет размер блока 32, 64 или 128 бит, ключ с длиной от 0 до 2048 бит, от 0 до 255 проходов
Быстрый блочный шифр Алгоритм, которым владеет RSA Data Security | |
| CAST | 64-битный блочный шифратор, ключи длиной от 40 до 64 бит, 8 проходов
Неизвестно способов вскрыть его иначе как путем прямого перебора. | |
| Blowfish. | 64-битный блочный шифратор, ключ переменного размера до 448 бит, 16 проходов, на каждом проходе выполняются перестановки, зависящие от ключа, и подстановки, зависящие от ключа и данных.
Быстрее, чем DES Разработан для 32-битных машин | |
| Устройство с одноразовыми ключами | Шифратор, который нельзя вскрыть.
Ключом (который имеет ту же длину, что и шифруемые данные) являются следующие 'n' бит из массива случайно созданных бит, хранящихся в этом устройстве. У отправителя и получателя имеются одинаковые устройства. После использования биты разрушаются, и в следующий раз используются другие биты. | |
| Поточные шифры | Быстрые алгоритмы симметричного шифрования, обычно оперирующие битами (а не блоками бит).
Разработаны как аналог устройства с одноразовыми ключами, и хотя не являются такими же безопасными, как оно, по крайней мере практичны. |
Система генерации отчетов
Система Internet Scanner&153; обладает очень мощной подсистемой генерации отчетов, позволяющей легко создавать различные формы отчетов. Возможность детализации данных о сканировании облегчает чтение подготовленных документов как руководителями организации, так и техническим специалистами.
Создаваемые отчеты могут содержать как подробную текстовую информацию об уязвимостях и методах их устранения, так и графическую информацию, позволяющую наглядно продемонстрировать уровень защищенности узлов Вашей корпоративной сети.
К концу 1998 года планируется завершить русификацию системы Internet Scanner, и в частности системы генерации отчетов.
Вся информация в создаваемых отчетах может быть отсортирована по различным признакам:
по сканируемым устройствам; по типу и версии операционной системы; по сетевым сервисам; по номерам портов; по именам пользователей; по уязвимостям; по IP-адресам; по DNS-именам; по степени риска.
Система RealSecure? обладает очень мощной подсистемой генерации отчетов, позволяющей легко создавать различные формы отчетов. Возможность детализации данных облегчает чтение подготовленных документов как руководителями организации, так и техническим специалистами.
Создаваемые отчеты могут содержать как подробную текстовую информацию о обнаруженных атаках, отсортированную по различным признакам, так и графическую информацию, позволяющую наглядно продемонстрировать уровень защищенности узлов Вашей корпоративной сети.
Вся информация в создаваемых отчетах может быть отсортирована по различным признакам:
по приоритету (степени риска) атаки; по IP-адресу отправителя; по IP-адресу получателя; по именам контролируемых событий.
Система System Security Scanner? обладает очень мощной подсистемой генерации отчетов, позволяющей легко создавать различные формы отчетов. Возможность детализации данных о сканировании облегчает чтение подготовленных документов как руководителями организации, так и техническим специалистами.
Создаваемые отчеты могут содержать как подробную текстовую информацию об уязвимостях и методах их устранения, так и графическую информацию, позволяющую наглядно продемонстрировать уровень защищенности узлов Вашей корпоративной сети.
К концу 1998 года планируется завершить русификацию системы System Security Scanner, и в частности системы генерации отчетов.
Система обработки статистики
МЭ содержит мощную систему сбора и анализа статистики. Учет ведется по
адресам клиента и сервера, имени пользователя, времени сеанса, времени
соединения, количеству переданных/принятых данных, действия администратора
по управлению пользователями, действий пользователей по авторизации
и изменения пароля. Система обработки производит анализ статистики
и предоставляет администратору подробный отчет. За счет использования
специальных протоколов МЭ позволяет организовать удаленное оповещение
об определенных событиях в режиме реального времени.
Система подсказки
Система Internet Scanner&153; обладает мощной системы подсказки, которая поможет Вам эффективно и надлежащим образом проводить анализ защищенности Вашей корпоративной сети. Секция описания уязвимостей содержит не только подробную информацию об уязвимости и пошаговых инструкциях по ее устранению, но и гипертекстовые ссылки на Web- и FTP-сервера производителей программного обеспечения, на которых можно получить последние версии ПО или изменения и обновления, устраняющие найденные проблемы.
К концу 1998 года планируется завершить русификацию системы Internet Scanner (системы подсказки, документации, системы генерации отчетов и т.п.).
Система RealSecure? обладает мощной системы подсказки, которая поможет Вам эффективно и надлежащим образом осуществлять обнаружение атак на узлы Вашей корпоративной сети. Объемная база данных содержит подробную информацию обо всех обнаруживаемых системой атаках.
Система System Security Scanner? обладает мощной системы подсказки, которая поможет Вам эффективно и надлежащим образом проводить анализ защищенности Вашей корпоративной сети. Секция описания уязвимостей содержит не только подробную информацию об уязвимости и пошаговых инструкциях по ее устранению, но и гипертекстовые ссылки на Web- и FTP-сервера производителей программного обеспечения, на которых можно получить последние версии ПО или patch'и и hotfix'ы, устраняющие найденные проблемы
