Системные требования

Требования к аппаратному обеспечению:

Процессор - Pentium 133 МГц; ОЗУ - 64 Мб + 8 Мб на каждые 1000 сканируемых узлов; НЖМД - не менее 10 Мб + 2.5 Мб на каждые 100 сканируемых узлов; Сетевой интерфейс - Ethernet, Fast Ethernet, Token Ring (в последнем случае нет возможности проводить скрытое сканирование, UDP-bomb и SYN-flood); Монитор - 800х600, не менее 256 цветов.

Требования к программному обеспечению:

Операционная система Windows NT 4.0 с SP3 и выше, SunOS - 4.1.3 и выше; Solaris - 2.3 и выше + Motif 1.2.2 и выше + X11R5 и выше; HP UX - 10.10 и выше; AIX - 4.1.5 и выше; Linux - ядро 2.0.24 и выше; Файловая система - желательно NTFS(для ОС Windows NT); Дополнительные сведения - для использования системы необходимы права администратора рабочей станции (желательно права администратора домена). Для повышения производительности установку лучше производить на Windows NT WorkStation (для ОС Windows NT).

Требования к аппаратному обеспечению: Процессор - Pentium Pro 200 МГц (рекомендуется Pentium II 300 МГц); ОЗУ - 64 Мб (рекомендуется 128 Мб); НЖМД - не менее 100 Мб (для базы данных и регистрационного журнала) + 10 Мб для ПО модуля слежения; Сетевой интерфейс - Ethernet, Fast Ethernet, Token Ring, FDDI.

Требования к программному обеспечению: Операционная система Windows NT 4.0 с SP3; Solaris - 2.4/2.5 + Motif; Linux - 1.3 + X Window R11; Дополнительные сведения - для использования системы требуются права администратора рабочей станции.

Системы анализа защищенности

Системы анализа защищенности проводят всесторонние исследования систем с целью обнаружения уязвимостей, которые могут привести к нарушениям политики безопасности. Результаты, полученные от средств анализа защищенности, представляют "мгновенный снимок" состояния защиты системы в данный момент времени. Несмотря на то, что эти системы не могут обнаруживать атаку в процессе ее развития, они могут определить возможность реализации атак.

Функционировать системы анализа защищенности могут на всех уровнях информационной инфраструктуры, т.е. на уровне сети, операционной системы, СУБД и прикладного программного обеспечения. Наибольшее распространение получили средства анализа защищенности сетевых сервисов и протоколов. Связано это, в первую очередь, с универсальностью используемых протоколов. Изученность и повсеместное использование таких стеков протоколов, как TCP/IP, SMB/NetBIOS и т.п. позволяют с высокой степенью эффективности проверять защищенность информационной системы, работающей в данном сетевом окружении, независимо от того, какое программное обеспечение функционирует на более высоких уровнях. Вторыми по распространенности являются средства анализа защищенности операционных систем. Связано это также с универсальностью и распространенностью некоторых операционных систем (например, UNIX и Windows NT). Однако, из-за того, что каждый производитель вносит в операционную систему свои изменения (ярким примером является множество разновидностей ОС UNIX), средства анализа защищенности ОС анализируют в первую очередь параметры, характерные для всего семейства одной ОС. И лишь для некоторых систем анализируются специфичные для нее параметры. Средств анализа защищенности СУБД и приложений на сегодняшний день не так много, как этого хотелось бы. Такие средства пока существуют только для широко распространенных прикладных систем, типа Web-броузеров Netscape Navigator и Microsoft Internet Explorer, СУБД Microsoft SQL Server и Oracle, Microsoft Office и BackOffice и т.п. [6].

При проведении анализа защищенности эти системы реализуют две стратегии. Первая - пассивная, - реализуемая на уровне операционной системы, СУБД и приложений, при которой осуществляется анализ конфигурационных файлов и системного реестра на наличие неправильных параметров; файлов паролей на наличие легко угадываемых паролей, а также других системных объектов на нарушения политики безопасности. Вторая стратегия, - активная, - осуществляемая в большинстве случаев на сетевом уровне, позволяющая воспроизводить наиболее распространенные сценарии атак, и анализировать реакции системы на эти сценарии.

Системы контроля целостности

Системы контроля целостности работают по замкнутому циклу, обрабатывая файлы, системные объекты и атрибуты системных объектов с целью получения контрольных сумм; затем они сравнивают их с предыдущими контрольными суммами, отыскивая изменения. Когда изменение обнаружено, система посылает сообщение администратору, фиксируя время, соответствующее вероятному времени изменения. Если вновь вернуться к этапам реализации атаки, то системы этого класса функционируют на третьем этапе, т.е. они могут однозначно сказать, происходила атака (точнее изменение контролируемого объекта) или нет.

Системы обнаружения атак

Аналогично системам анализа защищенности "классические" системы обнаружения атак также можно классифицировать по уровню информационной инфраструктуры, на котором обнаруживаются нарушения политики безопасности.

Обнаружение атак реализуется посредством анализа или журналов регистрации операционной системы и прикладного ПО, или сетевого трафика в реальном времени. Компоненты обнаружения атак, размещенные на узлах или сегментах сети, оценивают различные действия, в т.ч. и использующие известные уязвимости. И вновь проводя аналогию с миром физической защиты, системы обнаружения атак - это охранные видеокамеры и различные датчики (движения, давления и т.д.). У вас может на входе в здание (корпоративную сеть) может и обязательно должен стоять охранник (межсетевой экран). Но квалифицированный и опытный злоумышленник может его обмануть, маскируясь под сотрудника фирмы (украв идентификатор и пароль пользователя) или проникая через "черный ход" (через модем). В этом случае датчики (агенты системы обнаружения атак) своевременно обнаружат такие несанкционированные действия.

И вновь обращаясь к рисунку 2, можно заметить, что средства обнаружения атак функционируют сразу на двух этапах - втором и третьем. На втором этапе эти средства дополняют традиционные механизмы новыми функциями, повышающими защищенность корпоративной сети. Например, в описанном выше случае с нарушителем, укравшим пароль и проникшим в сеть через межсетевой экран, система обнаружения атак сможет обнаружить и предотвратить действия, отличающие от нормального поведения пользователя, у которого украли пароль. Также эффективно системы обнаружения атак будут блокировать и враждебные действия привилегированных пользователей (администраторов). И, наконец, эти системы одинаково эффективно функционируют и для защиты периметра корпоративной сети, дополняя возможности межсетевых экранов, и для защиты внутренних сегментов сети. Тем более что по статистике до 70% всех компьютерных инцидентов происходит именно изнутри организации.

Как частный и достаточно распространенный случай применения систем обнаружения атак я хотел бы привести ситуацию с неконтролируемым применением модемов, которые превращают сеть даже защищенную межсетевым экраном в решето. Системы анализа защищенности позволяют обнаружить такие модемы, а системы обнаружения атак - идентифицировать и предотвратить несанкционированные действия, осуществляемые через них.

При обнаружении атак эти системы сравнивают контролируемое пространство (сетевой трафик или журналы регистрации) с известными шаблонами (сигнатурами) несанкционированных действий.

Системы обнаружения атак на сетевом уровне

Версия 0.3, 1 января 1999 года

Этот FAQ предназначен для того, чтобы дать ответ на наиболее распространенные вопросы, связанные с обнаружением злоумышленников, атакующих системы с удаленных компьютеров.

Системы сбора статистики и предупреждения об атаке

Еще одним важным компонентом брандмауэра является система сбора

статистики и предупреждения об атаке. Информация обо всех событиях - отказах, входящих,

выходящих соединениях, числе переданных байт, использовавшихся сервисах, времени

соединения и т.д. - накапливается в файлах статистики. Многие брандмауэры позволяют гибко

определять подлежащие протоколированию события, описать действия брандмауэра при атаках

или попытках несанкционированного доступа - это может быть сообщение на консоль, почтовое

послание администратору системы и т.д. Немедленный вывод сообщения о попытке взлома на

экран консоли или администратора может помочь, если попытка оказалась успешной и

атакующий уже проник в систему. В состав многих брандмауэров входят генераторы отчетов,

служащие для обработки статистики. Они позволяют собрать статистику по использованию

ресурсов конкретными пользователями, по использованию сервисов, отказам, источникам, с

которых проводились попытки несанкционированного доступа и т.д.

Ситуация в России

Я не ставил перед собой цели сравнивать предлагаемые в России решения. Поскольку сравнивать различные средства - задача неблагодарная; особенно в России. Ведь между конечным пользователем и производителем всегда встает третье звено (или несколько) - поставщик, который может свести "на нет" все достоинства предлагаемого решения за счет низкого качества послепродажной и гарантийной поддержки. Вторая причина отказа от сравнения в том, что данные решения - это далеко не все, что должно сравниваться. Для каждого продукта должна существовать своя инфраструктура (которая также должна приниматься во внимание при выборе), включающая в себя качество документации (в том числе и на русском языке) и технической поддержки, наличие авторизованного обучения и квалифицированных консультаций, выезды специалистов организации к заказчику и т.д. Ну и наконец, сравнить и выбрать продукты может только конечный пользователь и только в своей собственной сети, чтобы проверить поведение и удобство использования того или иного решения именно в той технологии обработки информации, которая принята в организации.

В таблице 4 приведен список средств анализа защищенности, наиболее часто используемых в России.

Таблица 4. Средства анализа защищенности, используемые в России

НазваниеПроизводительКатегорияПримечание

Internet Scanner	Internet Security Systems	На уровне сети	Первая система, получившая сертификат ГТК. По системе существует авторизованное обучение в России.
System Scanner	Internet Security Systems	На уровне ОС	По системе существует авторизованное обучение в России.
Database Scanner	Internet Security Systems	На уровне СУБД	По системе существует авторизованное обучение в России.
Cisco Secure Scanner	Cisco Systems	На уровне сети
CyberCop Scanner	Network Associates	На уровне сети
WebTrends Security Analyzer	WebTrends Corporation	На уровне сети
NetRecon	Symantec	На уровне сети	Судьба продукта после его покупки у компании Axent пока неясна.
Enterprise	Security Manager	Symantec	На уровне ОС
SFProtect	Hewlett Packard	На уровне сети, ОС, СУБД
Nessus	Свободно распространяется	На уровне сети	Система имеет сертификат ГТК.

<
В России стоимость является, пожалуй, одним из основных критериев выбора системы обнаружения атак. Зачастую такой выбор делается не в пользу более эффективного, а в пользу более дешевого решения. Можно спорить, что такая практика порочна, но она существует и с ней надо считаться. Понимая это, многие производители помимо цены, указанной в прайс-листе, предлагают специальные программы удержания потенциального покупателя. Именно поэтому в вышеприведенной таблице нет колонки "Цена". Можно привести некоторые примеры без указания названий фирм, использующих такие методы:

Предложение для России цен ниже европейских и американских. Оплата выбираемой системы в рассрочку. Скидки при приобретении нескольких средств одного производителя. Скидки для образовательных учреждений. Скидки при переходе с продукта-конкурента. И т.д.

В среднем стоимость анализа одного узла может меняться в диапазоне от 100 до 3 долларов США, в зависимости от числа сканируемых устройств.

Сканирование URL

Возможность анализировать URL позволяет компании гибко регулировать используемую пропускную способность каналов и экономить рабочее время, ограничивая посещение сотрудниками организации нежелательных страниц WWW. Это позволяет администратору безопасности создать гибкую политику использования ресурсов Интернет, разрешив доступ только к допустимой информации WWW страниц в соответствующее время. Дополнительно, этот механизм может использоваться для накопления статистики обращений к определенным информационным ресурсам, что можно использовать при подготовке различных аналитических отчетов.

В FireWall-1 предусмотрено несколько способов определения механизмов сопоставления запрашиваемых URL:

Описание с помощью символов шаблона

Шаблоны содержатся во внешнем файле

Внешние базы данных и средства сопоставления

Каждый из этих механизмов разработан для предоставления администратору исчерпывающего и гибкого механизма настройки политики безопасности. Наиболее развитые возможности управления достигаются при применении специальных средств сторонних производителей, использующих внешние базы данных для хранения шаблонов. Обычно такие производители предоставляют возможность подписки на обновленные версии своих баз. Средства сопоставления, наиболее полно отвечающие требованиям организации, можно найти в списке сертифицированных OPSEC продуктов.

Сколько стоит киберслэкинг

Какой вред может нанести киберслэкинг современной компании?

Злоупотребление Internet всегда означает снижение производительности труда служащих, часть рабочего времени которых уходит на просмотр развлекательных ресурсов. Значительно увеличивается входящий Internet-трафик, что приводит, с одной стороны, к увеличению расходов компании (провайдеры чаще всего берут определенную плату при превышении лимита загруженных данных), а с другой - к снижению производительности корпоративной сети.

Чтобы приблизительно оценить ежемесячные дополнительные расходы компании на Internet, проведем небольшой расчет. Пусть в организации, подключенной по выделенному каналу, с Internet работает 10 сотрудников. Предположим, что ежедневно пять из них тратят около двух часов в Internet "не по делу". Сделаем еще несколько допущений: средняя заработная плата сотрудников - 200 долларов в месяц, рабочая неделя составляет 40 часов, а за дополнительный Internet-трафик компания платит 5 центов за каждый мегабайт. Рабочий час сотрудника, согласно сделанным предположениям, стоит 1,25 доллара. Тогда из-за неделового использования Сети компания потеряет 1,25х2х5х5х4=250 долларов в месяц. В среднем, при скоростном подключении к Internet за час работы можно загрузить 5 и более мегабайт. Из расчета 5 Мбайт в час получаем дополнительный трафик 5х2х5х5х4=1000 мегабайт в месяц. По среднерыночным ценам такой дополнительный трафик обойдется компании еще в 50 долларов ежемесячно. Итак, потери от всего лишь 5 сотрудников можно оценить в 300 долларов. Таким образом, становится очевидно, что бороться со злоупотреблением Internet нужно. Осталось только решить, каким образом.

Snare

System Intrusion Analysis and Reporting Environment представляет собой размещаемую на хосте систему обнаружения вторжений, предназначенную для систем с Linux. Альянс InterSect Alliance (), который объединяет консультантов, специализирующихся на вопросах защиты, разработала и выпустила Snare в ноябре 2001 года.

Snare использует технологию динамически загружаемых модулей для взаимодействия с ядром Linux во время исполнения. За счет использования только тех модулей, которые необходимы для выполнения конкретной задачи, Snare снижает нагрузку на хостовую систему. А поскольку Snare загружается динамически, пользователям не нужно перезагружать систему или перекомпилировать ядро, как это бывает с некоторыми усовершенствованиями Linux.

Снижение производительности

Несмотря на то, что подсоединение к сетям общего пользования или выход из корпоративной сети осуществляется по низкоскоростным каналам (как правило, при помощи dialup-доступа на скорости до 56 Кбит или использование выделенных линий до 256 Кбит), встречаются варианты подключения по каналам с пропускной способностью в несколько сотен мегабит и выше (ATM, T1, E3 и т.п.). В таких случаях межсетевые экраны являются самым узким местом сети, снижая ее пропускную способность. В некоторых случаях приходится анализировать не только заголовок (как это делают пакетные фильтры), но и содержание каждого пакета ("proxy"), а это существенно снижает производительность межсетевого экрана. Для сетей с напряженным трафиком использование межсетевых экранов становится нецелесообразным.

В таких случаях на первое место надо ставить обнаружение атак и реагирование на них, а блокировать трафик необходимо только в случае возникновения непосредственной угрозы. Тем более что некоторые средства обнаружения атак (например, RealSecure) содержат возможность автоматической реконфигурации межсетевых экранов.

Компромисс между типами межсетевых экранов - более высокая гибкость в пакетных фильтрах против большей степени защищенности и отличной управляемости в шлюзах прикладного уровня. Хотя на первый взгляд кажется, что пакетные фильтры должны быть быстрее, потому что они проще и обрабатывают только заголовки пакетов, не затрагивая их содержимое, это не всегда является истиной. Многие межсетевые экраны, построенные на основе прикладного шлюза, показывают более высокие скоростные характеристики, чем маршрутизаторы, и представляют собой лучший выбор для управления доступом при Ethernet-скоростях (10 Мбит/сек).

Snort

Snort () считается одним из наиболее популярных свободно распространяемых инструментальных средств защиты. По оценкам Марти Реуша, ведущего разработчика Snort, данным приложением пользуется от 250-500 тыс. человек. Это программное обеспечение имеет группу активных сторонников и весьма детальную документацию.

Snort — упрощенная система обнаружения сетевых вторжений, способная выполнять в реальном времени анализ трафика и пакетов, зарегистрированных в IP-сетях. Выпущенная в 1998 году, Snort помогает выявить потенциальные нарушения защиты, выполняя протокольный анализ пакетов, а также поиск с сопоставлением по шаблону в информационном наполнении. Эта система способна выявлять работу зондов и обнаруживать различные нарушения защиты, такие как переполнение буфера, скрытое сканирование портов и атаки с использованием общего интерфейса шлюзов.

Snort работает на различных платформах, в том числе на FreeBSD, Linux, MacOS, Solaris и Windows.

Безопасность в Internet- Intranet

ГЛАВА 2. ТЕОРИЯ СЕКРЕТНЫХ СИСТЕМ

Современная криптография Виды симметричных шифров Принципы криптоанализа

ГЛАВА 3. ДЕШИФРОВАНИЕ КЛАССИЧЕСКИХ ШИФРОВ

Отступление для программистов Раскрытие шифров простой замены Быстрое раскрытие шифров простой замены Дешифрование шифров гаммирования Золотая криптография

Возникновение блочных шифров

SP-сеть и шифры Файстеля Криптосистема Lucifer Первыe стандарты шифрования Архитектура SQUARE: от 3-WAY до AES Режимы шифрования Устройство поточных шифров

ГЛАВА 5. ДЕШИФРОВАНИЕ СОВРЕМЕННЫХ ШИФРОВ

Создание и оценка узлов замен Дешифрование DES Криптографические тесты AES Применение генетических алгоритмов

ГЛАВА 6. КPИПТОГPАФИЧЕСКОЕ СЖАТИЕ

Алгоритмы сжатия данных Арифметическое кодирование Криптографическое сжатие

Криптографическая защита исходных текстов Исследование программного обеспечения, реализующего криптографические алгоритмы

Совершенствование системы безопасности

Виктор Олифер,

Положение компании CheckPoint как мирового лидера в области интегрированных продуктов безопасности позволяет комплексно решить задачу совершенствования системы безопасности на основе продуктов CheckPoint, а также продуктов третьих фирм, поддерживающих открытые стандарты платформы OPSEC.

Сегодня компания CheckPoint выпускает продукты нескольких линий, обеспечивающие защиту сети в различных аспектах, а также выполняющие функции управления сетью:

FireWall-1 - комплекс модулей, составляющих ядро любой системы безопасности на продуктах CheckPoint. Помимо функций межсетевого экрана на основе запатентованной технологии Stateful Inspection, поддерживает аутентификацию пользователей, трансляцию адресов, контроль доступа по содержанию и аудит. Включает систему централизованного управления на основе правил политики, которая может управлять работой не только модулей FireWall-1, но и продуктов VPN-1, FloodGate-1. VPN-1 - набор продуктов для организации виртуальных частных сетей как со стороны центральной сети, так и со стороны удаленных пользователей. Продукты VPN-1 тесно интегрированы с FireWall-1. RealSecure - средства обнаружения вторжений в реальном времени. Экспертная база атак составляет более 160 образцов. Интегрированы с FireWall-1 - есть возможность автоматической реконфигурации правил экрана FireWall-1 при обнаружении вторжения. FloodGate - средства управления качеством обслуживания. Обеспечивают гибкое распределение полосы пропускания для различных классов трафика, а также отдельных соединений. Поддерживают централизованное управление на основе правил, интегрированных с правилами FireWall-1/VPN-1. MetaIP - система управления инфраструктурой IP-адресов предприятия. Интегрирует службы DHCP, DNS и аутентификации, дополняя их собственным сервисом UAM отображения имен пользователей на IP-адреса. Сервис UAM может быть использован межсетевыми экранами FireWall-1, за счет чего обеспечивается контроль доступа на уровне пользователей в динамической среде DHCP.

Предложенная компанией CheckPoint в 1997 году платформа интеграции продуктов безопасности на основе открытых стандартов OPSEC (Open Platform for Secure Enterprise Connectivity) сегодня поддерживается более, чем 200 производителями, многие из которых являются членами OPSEC Alliance.

Популярность платформы OPSEC позволяет включать в систему безопасности предприятия лучшие в своей области продукты, которые дополняют возможности продуктов CheckPoint и обеспечивают высокую степень интеграции с FireWall-1/VPN-1 на основе стандартных протоколов и API.

Продукты компании CheckPoint и ее партнеров позволяют построить Защищенную Виртуальную Сеть (Secure Virtual Network), использующую все преимущества транспорта и сервисов Internet и защищающую в то же время все компоненты корпоративной сети.

Рассмотрим, каким образом система, построенная на продуктах CheckPoint и OPSEC-совместимых продуктах третьих фирм, удовлетворяет современным требованиям.

Советы покупателю

И хотя в одной статье трудно описать критерии выбора различных средств анализа защищенности, я бы хотел дать некоторые основные советы, которым надо следовать при приобретении таких систем. Замечу, что подробное описание критериев оценки таких систем будет приведено в книге "Обнаружение атак", которая выйдет летом 2001 года в издательстве BHV-СПб (http://www.bhv.ru).

Я категорически не рекомендую использовать в качестве основного параметра выбора системы анализа защищенности число обнаруживаемых ею уязвимостей. Ведь это очень субъективный параметр. В качестве примера можно привести следующий случай. Зачем в сети, в которой используется только платформа Windows система, обнаруживающая еще и Unix'овые уязвимости. Эти возможности являются лишними и возможно никогда не будут использованы. Поэтому подходить к выбору системы анализа защищенности надо очень осторожно и не стоит полагаться только на число обнаруживаемых уязвимостей.

Поскольку постоянно появляются новые уязвимости, то для их эффективного обнаружения необходимо постоянно обновлять базу данных системы анализа защищенности. Ведь не вызывает сомнений необходимость обновления антивирусной системы или установка патчей и Service Pack'ов для операционных систем. Также и с системой поиска уязвимостей. Только в случае периодического и своевременного обновления эта система сможет поддерживать защищенность сети на должном уровне. В идеале разрыв между появлением информации об уязвимости в различных "хакерских" источниках и появлением сигнатуры в базе данных системы обнаружения должен отсутствовать. Еще лучше, когда производитель системы обнаружения уязвимостей идет на шаг впереди злоумышленников и обновляет свою систему еще до того, как информация о новых "дырах" разойдется по всему миру. Однако на практике это далеко не так. И задача и производителя (или поставщика) системы анализа защищенности и персонала, использующего эту систему, снизить этот интервал до минимума. Но как бы часто не обновлялась база данных уязвимостей, существует временной промежуток между сообщением о новой уязвимости и появлением проверки для нее. Уменьшение этого интервала - одна из главных задач, стоящих перед эксплуатирующим систему анализа защищенности подразделением. Один из путей ее решения - создание своих собственных проверок. Решаться это может путем использованием языка описания уязвимостей. Такая возможность существует в системах Internet Scanner, CyberCop Scanner, Nessus, WebTrends Security Analyzer и ряде других.

Механизм описания своих проверок, уязвимостей, атак и иных контролируемых событий является очень полезной возможностью для администраторов, отслеживающих уязвимости, описанные в Bugtraq и иных списках рассылки. Эта возможность позволяет быстро записать новое правило и использовать его в своей сети. Однако необходимо заметить, что хотя данная возможность и является полезной, ее необходимость достаточно эфемерна. В своей практической деятельности мне не приходилось встречаться с организациями, которые могли бы себе позволить содержать целый штат или одного сотрудника, занимающихся исследованиями в области новых проверок и уязвимостей (я не беру в расчет силовые ведомства и иные организации, работающие в области защиты информации). Как правило, человек, отвечающий за обеспечение безопасности в российских организациях, не обладает глубокими познаниями в программировании. Кроме того, помимо написания новых правил на нем "висит" еще много других задач (контроль деятельности пользователей, установка прав доступа, противодействие ПЭМИН и т.д.), и он просто не имеет времени для такой творческой работы, как создание новых проверок.

Несмотря на то, что система анализа защищенности является средством обеспечения информационной безопасности, она сама должна быть защищена от посягательств со стороны злоумышленников, так как выведение ее из строя существенно снизить защищенность всей сети. Для этого в этой системе должны быть предусмотрены механизмы контроля своей целостности, ограничения круга лиц к собранным данным и разграничения прав на запуск проверок.

Далеко не всегда система анализа защищенности является основным средством защиты в сети. Мало того, даже самая "главная" система защиты может быть второстепенной системой в общей телекоммуникационной инфраструктуре. Очень часто приходится встречаться с организациями, в которых отделы защиты информации находятся в подчиненном положении по отношению к отделам информатизации. В таких организациях в качестве корпоративного стандарта принята какая-либо система сетевого управления (например, HP OpenView), с которой и пытаются интегрировать все остальные системы (в том числе и средства защиты). Поэтому при выборе системы поиска уязвимостей необходимо делать выбор в пользу той, которая имеет возможность интеграции с системами управления и другими средствами, используемыми в вашей организации.

Подсистема генерации отчетов - немаловажный элемент системы анализа защищенности. Без нее трудно составить мнение о том, каков уровень защищенности сегментов корпоративной сети. На основе созданных этой системой отчетов администратор безопасности строит всю свою дальнейшую деятельность - изменяет политику безопасности, устраняет обнаруженные уязвимости, реконфигурирует средства защиты, готовит отчеты руководству и т.д. При этом хорошая подсистема генерации отчетов должна обладать следующими свойствами:

Наличие в отчетах, как текстовой информации, так и графических данных, что позволяет удовлетворить практически все требования по созданию удобных в понимании и содержательных отчетов. Наличие в отчетах не только информации об обнаруженной уязвимости, но и об уязвимых операционных системах, вариантах ложного обнаружения, методах устранения, ссылках на сервера производителей, дополнительной информации. В последнее время стало хорошим тоном указание соответствия между обнаруженной проблемой и базой данных CVE, описанной выше. Возможность выборки из всей собранной информации только нужных данных по заданным критериям (интервал времени, название уязвимости, степень риска, операционная система, тип уязвимости и т.д.). Возможность сортировки данных в создаваемых отчетах по различным параметрам (по имени, по дате, по степени риска и т.д.). Возможность создания отчетов для различных категорий специалистов. Как минимум можно выделить три таких категории: руководство компании, руководство среднего звена и технические специалисты. В отчетах первой категории не содержится никакой технической информации об обнаруженных уязвимостях или атаках. Они содержат описание общего состояния защищенности корпоративной сети. Отчеты второй категории могут содержать более подробную техническую информацию, например, описание обнаруженных уязвимостей или атак, но без указания мер по их устранению. К данной категории также относятся так называемые сравнительные отчеты (trend analysis), которые показывают тенденции в изменении уровня защищенности заданных узлов корпоративной сети. К последней категории отчетов можно отнести технические отчеты, содержащие не только подробное описание каждой из обнаруженных проблем, но и рекомендации по их устранению, а также ссылки на дополнительные источники информации. Такие категории отчетов приняты в Internet Scanner и Cisco Secure Scanner. Возможность экспорта создаваемых отчетов. Помимо печати отчетов на принтере и сохранения отчета в файле некоторые системы обнаружения атак могут экспортировать свои отчеты в другие приложения, например, Lotus Notes или MS Exchange. Поддержка различных форматов создаваемых отчетов. Как правило, системы обнаружения атак могут создавать отчеты в двух-трех форматах: HTML, CSV и в своем собственном формате. Однако в зависимости от операционной системы, под управлением которой работает система обнаружения атак, установленных на узле приложений и других параметров, она может создавать отчеты и в других форматах. Например, в формате Microsoft Word, Excel, ODBC, ODBC, DIF (Data Interchange Format), текстовом и т.д. Возможность создания своих шаблонов отчетов. Зачастую имеющихся шаблонов по разным причинам недостаточно. Например, если в организации принят свой собственный шаблон отчетов (с указанием логотипа компании, автора отчета, даты и времени создания, грифа и т.д.). В этом случае выбираемая система обнаружения атак должна иметь механизм подключения и создания своих собственных отчетов. Такими механизмами обладают системы Internet Scanner, Cisco Secure Scanner и другие.

Создание политики безопасности

Процесс описания правил разграничения доступа в такой хорошо спроектированной системе, как Check Point FireWall-1, прост и очевиден. Все аспекты политики информационной безопасности организации могут быть специфицированы с использованием графического интерфейса FireWall-1, который неоднократно завоевывал различные награды. При определении элементов сети применяется объектно-ориентированный подход.

Будучи создан, объект затем используется для определения политики безопасности при помощи редактора правил. Каждое правило может оперировать любой комбинацией сетевых объектов, сетевых сервисов, а также содержит в себе определение предпринимаемых действий и способов уведомления о срабатывании данного правила. Дополнительно можно указать, на какие узлы безопасности данное правило должно распространяться. По умолчанию правила действуют на всех шлюзах с установленным FireWall-1. Поддерживаются различные платформы, включая UNIX и NT, а также различное межсетевое оборудование OPSEC партнеров компании Check Point.

Уникальное преимущество Check Point FireWall-1 - это возможность создать единую политику безопасности для всего предприятия в целом. После создания политики безопасности FireWall-1 проверяет ее на непротиворечивость, компилирует и распределяет по всем узлам контроля трафика в сети.

Создание сценариев для устранения найденных проблем

Система System Security Scanner? обладает уникальной возможностью по созданию скриптов (fix script), корректирующих или устраняющих обнаруженные в процессе анализа защищенности проблемы. Кроме того, в процессе создания fix-скрипта система S3 также создает скрипт, позволяющий отменить изменения, сделанные fix-скриптом. Это может потребоваться в том случае, если сделанные изменения нарушили нормальное функционирование отдельных хостов корпоративной сети.

Список литературы

Столлингс В. , "Криптография и защита сетей" , М: Вильямс, 2001. Медведовский И.Д., Семьянов П.В., Платонов В.В., "Атака через Интернет ", СПб: 1999. В.Г.Проскурин, С.В.Крутов, И.В.Мацкевич: "Защита в операционных системах", М: Радио и связь: 2000. Аграновский А.В., Хади Р.А., Ерусалимский Я. М., "Открытые системы и криптография" , Телекоммуникации, 2000. Agranovsky A.V., Hady R.A. , "Crypto miracles with random oracle" , The Proceedings of IEEE SIBCOM'2001, The Tomsk Chapter of the Institute of Electrical and Electronics Engineers, 2001. А.В.Аграновский, А.В.Балакин, Р.А.Хади, "Классические шифры и методы их криптоанализа", М: Машиностроение, Информационные технологии, №10, 2001. А.А.Молдовян, Н.А.Молдовян, Советов Б.Я., "Криптография": СПб.: Издательство "Лань", 2000. С.Расторгуев, "Программные методы защиты информации в компьютерах и сетях", М:Издательство Агентства "Яхтсмен", 1993. А. Ростовцев, "Алгебраические основы криптографии", СПб: Мир и Семья, 2000. Чмора А.Л. , "Современная прикладная криптография" , М.: Гелиос АРВ, 2001. Устинов Г.Н. , "Основы информационной безопасности" , М: Синтег, 2000. Анин Б. , "Защита компьютерной информации" , СПб: БХВ, 2000. Романец Ю.В., Тимофеев П.А. , "Защита информации в компьютерных системах и сетях" , М: Радио и связь, 2001. Menezes A., van Oorschot P., Vanstone S. , "Handbook of Applied Cryptography" , CRC press, 1996. Schneier B. , "Applied Cryptography" , John Wiley & Sons Inc, 1996. Милославская Н.Г., Толстой А.И. , "Интрасети: доступ в Интернет , защита" , М.: ЮНИТИ-ДАНА, 2000. Gutmann P.: "Network Security", University of Auckland, 1996. Саломаа А.: "Криптография с открытым ключом", Москва: "Мир", 1995. - 318с. Олифер В., Олифер Н.: "Компьютерные сети", Спб: Издательство "Питер", 1999. - 672с.

1. Bruce Schneier. Applied Cryptography, Second edition. John Wiley & Sons, 1996

2. Брюс Шнайер. Слабые места криптографических систем. "Открытые системы", №1, 1999.

3. Ю. Мельников. Электронная цифровая подпись: всегда ли она подлинная? Банковские технологии, №5, 1995.

[1] А. Лукацкий. Отмычки к "поясу невинности". Business Online, №5, 2000

[2] А. Лукацкий. Адаптивная безопасность сети. Компьютер-Пресс, №8, 1999

[3] А. Лукацкий. Анатомия распределенной атаки. PCWeek/RE, №5, 2000

[4] В. Алексеенко, Ю. Древс. Основы построения систем защиты производственных предприятий и банков. М.: МИФИ, 1996

[5] А. Лукацкий. Атаки на информационные системы. Типы и объекты воздействия. Электроника: Наука, Технология, Бизнес. №1, 2000

[6] А. Лукацкий. Средства анализа защищенности - сделайте правильный выбор. "Мир Internet", №3, 1999

Список требования к системам обнаружения атак следующего поколения

Характеристики для систем обнаружения атак следующего поколения:

Возможности обнаружения атак на системном и сетевом уровне, интегрированные в единую систему. Совместно используемая консоль управления с непротиворечивым интерфейсом для конфигурации продукта, политики управления и отображения отдельных событий, как с системных, так и с сетевых компонентов системы обнаружения атак. Интегрированная база данных событий. Интегрированная система генерации отчетов. Возможности осуществления корреляции событий. Интегрированная он-лайновая помощь для реагирования на инциденты. Унифицированные и непротиворечивые процедуры инсталляции. Добавление возможности контроля за собственными событиями.

В четвертом квартале 1998 года вышла RealSecure™ версии 3.0, которая отвечает всем этим требованиям.

Модуль слежения RealSecure - обнаруживает атаки на сетевом уровне в сетях Ethernet, Fast Ethernet, FDDI и Token Ring. Агент RealSecure - обнаруживает атаки на серверах и других системных устройствах. Менеджер RealSecure - консоль управления, которая обеспечивает конфигурацию модулей слежения и агентов RealSecure и объединяет анализ сетевого трафика и системных журналов регистрации в реальном масштабе времени.

Способы обхода межсетевых экранов

В 1999 году я написал статью , которая рассказывала о различных недостатках, присущих технологии, используемой в межсетевых экранах (МСЭ). Я надеялся, что отечественные поставщики и, особенно разработчики, перестанут "дурить голову" заказчикам, утверждая, что именно их межсетевой экран - это панацея от всех бед, и он решит все проблемы заказчика, обеспечив надежную защиту всех ресурсов корпоративной сети. Однако этого не произошло, и я вновь хочу вернуться к этой теме. Тем более что, как показывает мой опыт чтения лекций по защите информации, этот вопрос живо интересует специалистов, которые уже используют межсетевые экраны (firewall) в своих организациях.

Существует ряд проблем, о которых я хотел бы рассказать и которые можно проиллюстрировать на примере. Межсетевой экран - это просто ограждение вокруг вашей сети. Оно может быть очень высоким или очень толстым, чтобы его можно было перелезть или проделать в нем дыру. Но… это ограждение не может обнаружить, когда кто-то роет под ним подкоп или пытается пройти по мостику, переброшенному через ограждение. МСЭ просто ограничивает доступ к некоторым точкам за вашим ограждением.

Сравнение различных защит.

Данная таблица позволят в наглядном виде не только получить основные параметры всех защитных систем, но и провести анализ их свойств. Сильной защитой можно назвать ту, которая совсем не вскрыта (пока не вскрыта). Перспективной можно считать ту, которая вскрыта, но вскрыта каким-то одним способом. Такая защита имеет перспективу стать трудно вскрываемой, если ее разработчики смогут усилить тот или иной слабый блок. И слабой будем считать ту защиту, которая взломана всеми тремя известными способами, что говорит о чрезвычайно низкой защитной функции.

Наименование защиты	Фирма-производитель\страна	Способ защиты	Необходимость в специальной аппаратуре для защиты	Защита небольших партий на CD-R\RW	Способы взлома
Cd-Cops	Link Data Security	Анализ физических характеристик CD. Без установки меток	НЕТ	НЕТ	Существует несколько "кряков"*
LaserLock	MLS LaserLock International	Нанесение не копируемых меток	ДА	НЕТ	Эмуляция**, побитовое копирование***, "кряк"
StarForce	ProtectionTechnology (Россия)	Анализ физических характеристик CD. Без установки меток	НЕТ	ДА	Защита пока не вскрыта****
SafeDisk	Macrovision Corporation	Нанесение не копируемых меток	ДА	НЕТ	Эмуляция, побитовое копирование, "кряк"
SecuRom	Sony	Нанесение не копируемых меток	ДА	НЕТ	Эмуляция, побитовое копирование, "кряк"
TAGES	Thomson & MPO	Анализ физических характеристик CD. Без установки меток	НЕТ	НЕТ	Эмуляция, "кряк"

*Под термином "кряк" здесь понимается внешняя программа, способная дезавуировать защиту. При данном способе в код защищенной программы вносятся изменения.

**Данный вид программ эмулирует лазерные метки. При данном подходе в код вскрываемой программы не вносится изменений

***Наиболее распространенный способ копирования, смысл которого состоит в использовании специальных побитовых копировщиков, наподобие CloneCD. Данный тип защиты может работать как сам по себе, так и вместе с "кряком".

****справедливости ради стоит отметить, что прецедент вскрытия есть, но стал он возможен только благодаря тому, что пираты получили доступ к незащищенному коду приложения, после чего был сделан кряк.

Сравните и противопоставьте системы

Саттерфилд: Автономный анализ (offline analysis) трафика с целью генерации тревог практически бесполезен. Министерство обороны США, являясь пионером в области обнаружения атак, придерживалось этого подхода. Однако времена меняются. Обработка нажатий клавиш уже не отвечает требованиям масштабируемости. Обнаружение и генерация тревог в реальном масштабе времени существенно необходимы. Хотя и об автономном анализе данных не надо забывать.

Клаус: Как я упомянул раньше, современные системы обнаружения атак - это реальная сетевая информация и инструментальные средства с некоторым встроенным интеллектом. Проанализированы ли данные в реальном масштабе времени или после свершения события, - различие только в своевременности реагирования. Система RealSecure обеспечивает обнаружение и реагирование на атаки в реальном масштабе времени. Мы также обеспечиваем средства управления данными для проведения автономного анализа. Анализ данных "постфактум" очень полезен при наличии обученного персонала. Требуемый состав персонала для эксплуатации системы обнаружения атак очень трудно определить, поскольку это зависит от объема данных, требующих анализа. Важно, чтобы системы обнаружения атак поддерживали этот процесс, предоставляя эффективные средства управления данными.

Карри: Если вы серьезно относитесь к защите, вы должны работать в реальном масштабе времени. Нападавший может войти, сделать то, что он должен и уйти в течение нескольких минут или даже секунд. Вы должны быть способны действовать мгновенно, чтобы среагировать на нападение. Автономный анализ нужен, если вы хотите знать, что вы делали в последний вторник. К сожалению, вы не имеете достаточно времени, чтобы проводить такой анализ. Хорошо то, что эта задача может быть легко автоматизирована и не требует большого числа людей.

Спаффорд: Тревога в реальном масштабе времени - это когда вы можете среагировать и устранить результат атаки, слушая сигнал тревоги. Автономный анализ часто снижает производительность контролируемых машин (за счет обработки и хранения большого объема регистрационных данных - примечание переводчика), однако также позволяет "сделать шаг назад", вновь рассмотреть событие и, возможно, "откатить" изменения, сделанные в результате реагирования. Если действие не привело к ожидаемым результатам, если тревога не сработала, то нет никакой разницы между автономным анализом и анализом в реальном масштабе времени! Вы называете ваш продукт системой обнаружения атак? Некоторые специалисты различают атаку (intrusion) и злоупотребление (misuse). Некоторые называют эти средства не системы обнаружения атак, а системы мониторинга сети. Каково ваше определение системы обнаружения атак?

Ранум: Мы называем нашу систему универсальным инструментом анализа трафика. Она имеет свойство программируемости, так что вы можете сами "сказать" ей, что надо обнаруживать. Если вы хотите обнаруживать, скажем, атаку SYN Flood, то вы можете сами запрограммировать функцию чтения SYN-пакетов и функцию реагирования в случае нахождения в них статистических аномалий. Также просто вы можете запрограммировать модель анализа роста WAN или подсчета посещений Web-сервера. Я думаю, что обнаружение атак - это одна из задач, которую вы можете решить с помощью нашей универсальной системы. Мы считаем, что люди устали от приобретения систем, которые реализуют только одну функцию. Даже, если она реализована хорошо.

Карри: Компания IBM предлагает обслуживание, которое объединяет предложение систем обнаружения атак в реальном режиме времени (компания IBM предлагает систему RealSecure компании ISS - примечание переводчика), круглосуточный текущий контроль обученным персоналом и опытную группу экспертов, реагирующих на нарушения и инциденты безопасности. Мы различаем термины "злоупотребление" и "атака", но давайте не будем сейчас останавливаться на этом. Мы полагаем, что система обнаружения атак - больше чем несколько датчиков, развернутых в сети. Вы нуждаетесь в сообщающейся системе, которая позволяет вам собирать информацию от датчиков на центральной консоли. Вы нуждаетесь в системе, хранящей эту информацию для более позднего анализа, и в средствах, чтобы такой анализ провести. Вы нуждаетесь в средствах, контролирующих эти датчики постоянно и мгновенно реагирующих в случае тревоги. Атака может быть завершена за минуты и даже секунды. В заключение, и возможно это наиболее важно, вы нуждаетесь в группе выделенных экспертов в области защиты, которые знают, как использовать все эти средства для всесторонней защиты от постоянно растущих угроз. Все эти компоненты вместе образуют реальную и эффективную систему обнаружения атак. Если вы реализуете ее без какого-либо из этих компонентов, то вы только вводите себя в заблуждение.

Саттерфилд: Все сводится к семантике. "Обнаружение атак" - термин, используемый для описания конечной цели деятельности. Вы должны обнаружить, когда кто-то делает что-то, что дает ему доступ к чему-то, к чему у него доступа быть не должно. В действительности, технология обнаружения атак обеспечивает способность обнаружить что-то, что пользователь хочет обнаружить. Думайте об этом, как о микроскопе или телескопе для потока данных. Фактически, обнаружение злоупотреблений - только один из вариантов использования технологии обнаружения атак. Базовая технология позволяет вам просматривать сетевой пакет, только пакет, и ничего кроме пакета. Дальше вы можете увидеть что-нибудь другое, если увеличите "размер изображения".

Мониторинг - это хорошо. Обнаружение атак гораздо более эффективно, если осуществляется 24 часа в сутки, 7 дней в неделю. Стоимость таких услуг значительна. Мы полагаем, что компании, которые собираются предлагать эти услуги, хотят делать большой бизнес. Это обеспечит намного более высокое качество защиты ресурсов заказчиков, чем, если бы они сами реализовали у себя комплекс мер по обнаружению атак. Поставщики услуг могут выбирать технологии, позволяющие масштабировать и дублировать свои решения, тем самым, снижая издержки и свои, и заказчиков. Наблюдайте за выбором системы обнаружения атак крупными поставщиками услуг. Это будет показателем качества предлагаемых на рынке систем обнаружения атак.

Клаус: Опасно игнорировать термин "злоупотребление". Единственное различие, которое я делаю между "обнаружением атак" и "обнаружением злоупотреблений" - исходит ли нарушение снаружи сети (это атака) или изнутри сети (это злоупотребление). Оба потенциально разрушительны. Система RealSecure может быть развернута как снаружи межсетевого экрана, так и после него, что позволяет обнаружить как внешних злоумышленников, так и внутренних участников злоупотреблений. И она может реагировать на оба события. Еще можно сказать о различии между терминами так: "злоупотребление" определяет действие, которое нарушает стратегию использования сети (например, посещение порносайтов), в то время как, "атака" определяет действие, которое указывает на то, что кто-то атакует и ставит под угрозу защиту сети. Оба этих действия важны для администратора защиты и системы обнаружения атак, подобно RealSecure, могут обнаружить и помочь предотвратить оба этих действия.

Спаффорд: Для нас, атака - это подмножество злоупотребления. Посторонние атакуют систему, чтобы неправильно использовать ее. Однако авторизованные пользователи также могут злоупотреблять системой. Сетевой мониторинг полезен для управления и оптимизации сети. Он также может использоваться для обнаружения атак и злоупотреблений. Однако он не может обеспечить вам контроль приложений, работающих на хосте.

Девид Карри (David A. Curry) - старший аналитик по безопасности Internet в службе реагирования и помощи компании IBM (IBM Internet Emergency Response Service - IBM-ERS). Участник технической группы, отвечающей за управление инцидентами и реагирование на них для заказчиков IBM-ERS. Он также отвечает за создание бюллетеня Security Vulnerability Alert и разработку планов тестирования шлюзов заказчиков.

Карри начинал как системный программист Unix. Работал системным программистом в университете Purdue, исследовательском центре NASA, лаборатории SRI и т.п. Автор нескольких книг по программированию для операционной системы Unix и обеспечению ее информационной безопасности.

Кристофер Клаус (Christopher Klaus) - основатель и технический директор компании Internet Security Systems. Автор системы анализа защищенности на сетевом уровне Internet Scanner. Он обеспечивает консультационную поддержку в области безопасности многих государственных учреждений и компаний, входящих в список Fortune 500. Руководитель групп компании ISS, разрабатывающей системы Internet Scanner, System Security Scanner и RealSecure.

Маркус Ранум (Marcus J. Ranum) - президент компании Network Flight Recorder и руководитель исследовательской группы корпорации V-ONE. Автор многих межсетевых экранов, включая DEC Seal, TIS Gauntlet и TIS Internet Firewall Toolkit. Контролировал и защищал сети, построенные на основе UNIX в течение 13 лет, включая настройку и управление доменом whitehouse.gov.

Ранум - частый лектор и участник конференций по информационной безопасности.

Ли Саттерфилд (Lee Sutterfield) - один из основателей и исполнительный вице-президент компании WheelGroup. Получил признание в Центре информационной войны Военно-воздушных сил США. Имеет 15-тилетний опыт работы в области защиты информации.

Юджин Спаффорд (Eugene Spafford) - профессор, директор лаборатории COAST в университете Purdue. В университете занимался вопросами увеличения надежности компьютерных систем, что привело к занятию вопросами защиты информации. Автор большого числа публикаций в области обеспечения информационной безопасности. В течение последних лет служил консультантом многих государственных и коммерческих организаций, включая ФБР, АНБ, Министерство Энергетики, Военно-воздушные силы США и т.д. Является одним из авторов системы анализа защищенности на уровне операционной системы COPS, системы обнаружения атак Tripwire, IDIOT и многих других.

Сравнительные характеристики

Ниже приведены основные преимущества и недостатки пакетных фильтров и серверов

прикладного уровня относительно друг друга.

К положительным качествам пакетных фильтров следует отнести следующие:

относительно невысокая стоимость

гибкость в определении правил фильтрации

небольшая задержка при прохождении пакетов

Недостатки у данного типа брандмауэров следующие :

локальная сеть видна ( маршрутизируется ) из INTERNET

правила фильтрации пакетов трудны в описании, требуются очень хорошие знания

технологий TCP и UDP

при нарушении работоспособности брандмауэра все компьютеры за ним становятся

полностью незащищенными либо недоступными

аутентификацию с использованием IP-адреса можно обмануть использованием IP-спуфинга

(атакующая система выдает себя за другую, используя ее IP-адрес)

отсутствует аутентификация на пользовательском уровне

К преимуществам серверов прикладного уровня следует отнести

следующие:

локальная сеть невидима из INTERNET

при нарушении работоспособности брандмауэра пакеты перестают

проходить через брандмауэр, тем самым не возникает угрозы

для защищаемых им машин

защита на уровне приложений позволяет осуществлять большое количество дополнительных

проверок, снижая тем самым вероятность взлома с использованием дыр в программном

обеспечении

аутентификация на пользовательском уровне

может быть реализована система немедленного

предупреждения о попытке взлома.

Недостатками этого типа являются:

более высокая, чем для пакетных фильтров стоимость;

невозможность использовании протоколов RPC и UDP;

производительность ниже, чем для пакетных фильтров.

Средства анализа защищенности и их классификация

Разумеется, уязвимости необходимо обнаруживать, чем и занимаются системы анализа защищенности (security assessment systems), также известные как сканеры безопасности (security scanners) или системы поиска уязвимостей. Они проводят всесторонние исследования заданных систем с целью обнаружения уязвимостей, которые могут привести к нарушениям политики безопасности. Результаты, полученные от средств анализа защищенности, представляют "мгновенный снимок" состояния защиты системы в данный момент времени. Несмотря на то, что эти системы не могут обнаруживать атаку в процессе ее развития, они могут определить потенциальную возможность реализации атак.

Эти системы могут быть классифицированы по типам обнаруживаемых ими уязвимостей (Рис.1), описанных выше.

Системы поиска уязвимостей проектирования не получили широкого распространения в российских компаниях. Связано это, на мой взгляд, с высокой стоимостью таких решений и недопониманием их значимости. Единственный класс организаций, где эти системы нашли свое применение, - это лаборатории, осуществляющие сертификацию программно-аппаратного обеспечения и аттестацию информационных систем по требованиям безопасности. Такие лаборатории существуют в рамках всех пяти российских систем сертификации по требованиям защиты информации, принадлежащих ГТК, ФАПСИ, МО РФ, ФСБ и СВР. Примерами таких зарубежных систем можно назвать CRAMM, RANK-IT, @RISK, ALRAM, ARES, LAVA и т.д. Из российских разработок известны ZOND, SEZAM и результаты работ 4 ЦНИИ Министерства Обороны РФ.

Системы анализа защищенности второго и третьего классов получили наибольшее распространение среди конечных пользователей. Существует несколько дополнительных классификаций этих систем. Например, системы анализа исходного текста и исполняемого кода тестируемого программно-аппаратного обеспечения и т.д. Первые также применяются обычно при сертификации программного обеспечения по требованиям безопасности. Такие систему существуют у зарубежных (например, SLINT) и российских (например, АИСТ, АСТМА и СОТМА) производителей.

В большинстве случаев программное обеспечение поставляется в организации без исходных текстов. Кроме того, анализ исходных текстов требует высокой квалификации от обслуживающего их персонала. Да и отсутствие эффективных систем анализа исходных текстов не позволяет проводить такой анализ на качественном уровне. По словам сотрудника одной из отечественных сертификационных лабораторий, "выполнение указанных работ проводится путем ручного анализа исходных текстов программ". Именно поэтому большой интерес вызывают системы поиска уязвимостей в исполняемом коде, самым распространенным подклассом которых являются системы имитации атак, которые моделируют различных несанкционированных воздействий на компоненты информационной системы. Именно эти системы получили широкую известность во всем мире ввиду своей относительной простоты и дешевизны. Посредством таких имитаторов обнаруживаются уязвимости еще до того, как они будут использованы нарушителями для реализации атак. К числу систем данного класса можно отнести SATAN, Internet Scanner, Cisco Secure Scanner и т.д. Из российских систем можно назвать систему с многозначительным названием НКВД, разработанную в Центре безопасности информации.

Системы имитации атак с одинаковым успехом обнаруживают не только уязвимости реализации, но и уязвимости эксплуатации. Именно эти системы, наряду с системами поиска уязвимостей эксплуатации, получили наибольшее распространение среди пользователей.

Как показано на рисунке 2 функционировать системы анализа защищенности, в частности системы поиска уязвимостей реализации и эксплуатации, могут на всех уровнях информационной инфраструктуры любой компании, то есть на уровне сети, операционной системы, СУБД и прикладного программного обеспечения. Наибольшее распространение получили средства анализа защищенности сетевых сервисов и протоколов. Связано это, в первую очередь, с универсальностью используемых протоколов. Изученность и повсеместное использование таких стеков протоколов, как TCP/IP, SMB/NetBIOS и т.п. позволяют с высокой степенью эффективности проверять защищенность корпоративной сети, работающей в данном сетевом окружении, независимо от того, какое программное обеспечение функционирует на более высоких уровнях. Примером такой системы является Internet Scanner компании ISS. Вторыми по распространенности являются средства анализа защищенности операционных систем. Связано это также с универсальностью и распространенностью некоторых операционных систем (например, UNIX и Windows NT). Однако, из-за того, что каждый производитель вносит в операционную систему свои изменения (ярким примером является множество разновидностей ОС UNIX), средства анализа защищенности ОС анализируют в первую очередь параметры, характерные для всего семейства одной ОС. И лишь для некоторых систем анализируются специфичные для нее параметры. Примером такой системы является System Scanner компании ISS. Средств анализа защищенности СУБД и приложений на сегодняшний день не так много, как этого хотелось бы. Такие средства пока существуют только для широко распространенных прикладных систем, типа Web-броузеры (Netscape Communicator, MS Internet Explorer), СУБД (MS SQL Server, Oracle) и т.п. Примером такой системы является Online Scanner и Database Scanner также компании ISS.

При проведении анализа защищенности эти системы реализуют две стратегии. Первая - пассивная, - реализуемая на уровне операционной системы, СУБД и приложений, при которой осуществляется анализ конфигурационных файлов и системного реестра на наличие неправильных параметров; файлов паролей на наличие легко угадываемых паролей, а также других системных объектов на нарушения политики безопасности. Вторая стратегия, - активная, - осуществляемая в большинстве случаев на сетевом уровне, позволяющая воспроизводить наиболее распространенные сценарии атак, и анализировать реакции системы на эти сценарии.

Однако не стоит думать, что при помощи средств анализа защищенности можно тестировать только возможность несанкционированного доступа в корпоративную сеть из сетей открытого доступа (например, Internet). Эти средства с не меньшим успехом могут быть использованы для анализа некоторых сегментов или узлов внутренней сети организации. Системы анализа защищенности могут быть использованы как отделами защиты информации (для оценки уровня безопасности организации), так и управлениями информатизации (для контроля эффективности настройки сетевого, системного и прикладного программно-аппаратного обеспечения). Эта два наиболее распространенных варианта применения систем анализа защищенности. Однако есть и другие варианты. Например, внешними аудиторскими и консалтинговыми компаниями, осуществляющими информационные обследования сетей своих заказчиков. Есть и более интересные варианты - например, для тестирования и сертификации того или иного программно-аппаратного обеспечения. Этот вариант очень популярен на Западе при оценке сетевого оборудования, межсетевых экранов и т.п. различными тестовыми лабораториями. В России такая практика пока не получила широкого распространения. Однако и у нас зафиксированы факты применения средств анализа защищенности. Гостехкомиссия России использует системы Internet Scanner и Nessus в процессе сертификации межсетевых экранов на соответствие требованиям руководящих документов.

В настоящий момент существует более сотни различных средств, автоматизирующих поиск уязвимостей на уровне сети, ОС, СУБД и прикладного ПО. Одни средства ориентированы на обнаружение целого спектра различных уязвимостей, другие - только на определенную их категорию. Например, система Internet Scanner является одним из самых известных средств поиска "дыр" и обнаруживает более 900 различных уязвимостей, принадлежащих различным категориям: Denial of Service, Brute Force, FTP, LDAP, SNMP, RPC, NIS, NFS, DNS и т.д. А система Whisker была создана специально для сканирования Web-серверов и позволяет выявлять уязвимые CGI-скрипты.

Средства аутентификации пользователей

МЭ позволяет использовать различные средства аутентификации пользователей,

как системы одноразовых паролей, так и пароли условно-постоянного действия.

Использование последних для доступа через открытые сети крайне не

рекомендуется, ввиду их легкой компрометации. Из систем одноразовых

паролей поддерживаются все основные виды смарт-карт и софтверных

реализаций. В наших условиях наиболее употребительной системой может

стать S/Key, ввиду доступности. смарт-карты на данный момент не могут

импортироваться в соответствии с законодательством.

Стандарты

В России в 1994 году были приняты стандарты ГОСТ Р 34.10-94 "Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма" и ГОСТ Р 34.11-94 " Криптографическая защита информации. Функция хэширования". Чем могут помочь пользователю данные стандарты? Во-первых, они должны гарантировать криптостойкость, т.е. надежность реализованных по ним алгоритмов. Во-вторых, применение стандартов должно обеспечить совместимость продуктов различных производителей. Однако есть и проблемы при использовании принятых стандартов.

Стандарты ГОСТ Р 34.10-94 и ГОСТ Р 34.11-94 описывают лишь процедуры выработки и проверки ЭЦП и хэш-функции. За пределами их рассмотрения остается такой важный вопрос, как распространение и генерация ключей, защита от несанкционированного доступа к ключевой информации и т.д. Поэтому зачастую продукты, реализующие один и тот же стандарт, несовместимы между собой. На российском рынке средств защиты информации существует несколько известных систем, в которых реализованы указанные стандарты (Верба-О, Криптон и т.д.), но между собой эти системы не совместимы.

Как уже отмечалось, использование стандарта должно гарантировать, что документы, подписанные при помощи ГОСТ Р 34.10-94, теоретически не могут быть подделаны за приемлемое для злоумышленника время. Однако на практике дело не всегда обстоит таким образом. Связано это с тем, что стандарт описывает алгоритм математическим языком, в то время как пользователи сталкиваются уже с его реализацией. А при реализации могут быть допущены различные ошибки, которые сводят на нет все достоинства алгоритма. Кроме того, эффективное применение систем ЭЦП зависит от их правильной эксплуатации. Например, хранение секретных ключей для генерации цифровой подписи на доступном всем жестком диске позволяет злоумышленнику получить к ним доступ и в дальнейшем подделывать документы, подписанные на этих ключах.

Поэтому далеко не всегда указанные системы обеспечивают необходимый уровень защищенности.

StarForce

Тип защиты:	Измерение физических характеристик без нанесения особых меток на носитель(!)
Способ преодоления защиты:	Способ не найден
Аппаратная совместимость (cd/dvd разных производителей):	Высокая
Наличие особой аппаратуры для защиты серии:	НЕ требуется
Предоставление SDK для производителей:	ДА
Защита мелких партий (CD/R/RW):	ДА
Фирма - производитель:	ProtectionTechnology
Сайт производителя:	www.star-force.ru
Коммерческие продукты, использующие данный вид защиты:
	1С (игры), Нивал, Softmax Co, Q-puncture Inc, Scholastic, Hypnosys World, руссобит-м (игры)
Особенности защиты:
	Данная программа так же, как и CD-COPS, пользуется самой эффективной системой защитой от копирования, основанной на способе измерения специфических характеристик CD\DVD-ROM. Поскольку защита не вскрыта, то не известен и способ, которым производителям удается идентифицировать различные диски. Заявленная 100% совместимость с любой аппаратурой и 100% идентификация дисков подтверждается независимыми сайтами.
	Увы, слабое место в защите найти не удалось. Защита эффективно противодействует отладчикам и дизассемблерам. Эффективность защиты подтверждает тот факт, что за год существования не нашелся способ ее нейтрализации. Дополнительный лоск защите придает возможность защиты мелких партий дисков (CD-R\RW) и наличие SDK, при помощи которого разработчики игр могут шифровать отдельные сегменты своих детищ.

Статическая мода трансляции адресов

При расширении сетевой инфраструктуры организации возникает потребность в обеспечении доступа пользователей сети Интернет к ресурсам организации, например для работников компании, работающих удаленно, или стратегических партнеров.

Статическая мода трансляции адресов призвана решить данную задачу путем однозначного назначения адресу ресурса в глобальной сети его реального адреса. Этот вариант трансляции обычно используется, если администратор не хочет использовать реальные адреса на сетевых серверах, или если по историческим причинам сеть использует нелегальные (внутренние) адреса, которым необходимо сопоставить реальные адреса, чтобы пользователи Интернет могли получить доступ к ним.

В обоих случаях, как для Динамической, так и для Статической мод трансляции адресов Check Point FireWall-1 предоставляет неограниченные возможности контроля и удобство настройки в сетях предприятий.

Статистика самых распространенных атак

В 1998 году NIST проанализировал 237 компьютерных атак, информация о которых была опубликована в Интернет. Этот анализ дал следующую статистику:

29% атак были организованы из-под Windows.
Урок: Не стоит считать опасной только Unix. Сейчас наступило время атак типа "укажи и кликни". в 20% атак атакующие смогли удаленно проникнуть в сетевые элементы (то есть маршрутизаторы, коммутаторы, хосты, принтеры и межсетевые экраны).
Урок: атаки, в ходе которых атакующий получает неавторизованный доступ к удаленным хостам не так уж редки. в 3% атак веб-сайты атаковали своих посетителей.
Урок: поиск информации в WWW больше не является полностью безопасным занятием. в 4% атак производилось сканирование Интернета на наличие уязвимых хостов.
Урок: Имеется много средств автоматического сканирования, с помощью которых могут быть скомпрометированы хосты. Системные администраторы (сами или с чьей-то помощью) должны регулярно сканировать свои системы (а не то это сделает кто-то другой). 5% атак оказались успешными атаками против маршрутизаторов и межсетевых экранов.
Урок: сами компоненты инфраструктуры Интернетеа уязвимы к атакам (правда благодаря профессионализму производителям компьютеров и программ для них, большинством этих атак были атаки удаленного блокирования компьютеров и сканирования, и только небольшая часть из них были удаленным проникновением в компьютеры.)

Стой, кто идет? Предъявите паспорт!

Абсолютное большинство межсетевых экранов построено на классических моделях разграничения доступа, разработанных в 70-х, 80-х годах прошлого столетия в военных ведомствах. Согласно этим моделям субъекту (пользователю, программе, процессу или сетевому пакету) разрешается или запрещается доступ к какому-либо объекту (например, файлу или узлу сети) при предъявлении некоторого уникального, присущего только этому субъекту, элемента. В 80% случаев этим элементом является пароль. В других случаях таким уникальным элементом является таблетка Touch Memory, Smart или Proximity Card, биометрические характеристики пользователя и т.д. Для сетевого пакета таким элементом являются адреса или флаги, находящиеся в заголовке пакета, а также некоторые другие параметры.

Можно заметить, что самым слабым звеном этой схемы является уникальный элемент. Если нарушитель каким-либо образом получил этот самый элемент и предъявил межсетевому экрану, то он воспринимает его, как "своего" и разрешает действовать в рамках прав того субъекта, секретным элементом которого несанкционированно воспользовались. При современных темпах развития технологий получить доступ к такому секретному элементу не составляет большого труда. Его можно "подслушать" при передаче по сети при помощи анализаторов протоколов, в том числе и встроенных в операционные системы (например, Network Monitor в Windows NT 4.0). Его можно подобрать при помощи специальных программ, доступных в Internet, например, при помощи L0phtCrack для Windows или Crack для Unix.

Т.о. даже самый мощный и надежный межсетевой экран не защитит от проникновения в корпоративную сеть нарушителя, если последний смог подобрать или украсть пароль авторизованного пользователя. Мало того, межсетевой экран даже не зафиксирует нарушения, так как для него нарушитель, укравший пароль, является авторизованным пользователем. Например, 22 марта 1995 г. неустановленный злоумышленник при помощи украденного пароля и программного обеспечения Пинского филиала БелАКБ "Магнатбанк" проник в компьютерную сеть Белорусского межбанковского расчетного центра и перевел на расчетный счет ООО "Арэса ЛТД" в Советское отделение БелАКБ "Промстройбанк" 1 млрд. 700 млн. рублей.

Стpуктуpа глав, или Как читать эту книгу

Книга, которую вы держите в своих руках, насыщена довольно разнообразным материалом. К сожалению, нет простых путей в изучении сложных вещей. По этой причине главы и разделы этой книги, возможно, придется читать в разном порядке - в зависимости от подготовки и уровня знаний читателя. Сейчас, в самом ее начале, неплохо сделать маленькую остановку и в краткой форме познакомиться с содержанием каждой главы и некоторых разделов, с тем чтобы определиться, что читать в первую очередь, а что оставить "на потом".

Как наверняка уже успел заметить внимательный читатель, всего в книге семь глав. Основные материалы в ней разделены между всеми главами поровну. Три главы носят вводный характер, остальные три носят прикладной характер. Первая глава является вводной.

Весь материал довольно четко сначала был разделен на два уровня, а затем слит воедино для удобства чтения. Так, в основном в книге более детальные описания криптосистем расположены после общих утверждений и небольших введений в соответствующие области криптографии и криптоанализа. Материал разного уровня обычно достаточно автономен и заключен в различные разделы глав. Однако общая концепция ее состоит в использовании общего и единого логического пути чтения всей книги последовательно. Хотя, конечно, как именно будет читать книгу ее непосредственный владелец - это его личное дело. Но чтобы оценить уровень своей подготовки и, не испытывая трудностей, преодолеть все без исключения страницы данной книги, читатель может ознакомиться с разделом "Для кого и о чем эта книга".

В этой книге авторы уделяют особое внимание вопросам терминологии вообще и русской терминологии в криптографии особенно. Сложившейся специализированной открытой отрасли русской терминологии в этой области уже более сорока лет, хотя в последнее время она претерпевает многочисленные изменения и дополнения. Учитывая это, авторы, чтобы избежать возможных недоразумений и недомолвок, пользуются своей привычной терминологией, стараясь использовать не популярные общепринятые толкования, а их стандартизированные эквиваленты. По этой причине всем без исключения мы советуем прочесть раздел "К вопросу о терминологии", поскольку он довольно важен и для начинающего, и для уже подготовленного специалиста. Многие вопросы, освещенные в данной книге, используют только ту терминологию, которая описана в указанном разделе.

Те читатели, кто хотят получить также и практический опыт параллельно с чтением книги, возможно предпочтут сначала хотя бы пробежать взглядом раздел "Рабочий инструментарий, который может пригодиться читателю". Кроме этого, людям, тяготеющим более к практическому программированию, чем к теоретическим выкладкам, следует обязательно обратить внимание на раздел "Отступление для программистов" второй главы "Теория секретных систем", в котором содержится соответствующая вводная информация и исходные тексты. Они будут активно использоваться в исходных текстах и частях книги "для пишущей братии" во всех остальных главах.

Конечно, в книге, связанной, пожалуй, с самой интригующей научной областью исследований, немало внимания уделяется увлекательным фактам из истории, особенно если они носят полумистический характер. Так, в третьей и пятой главах, целиком посвященных такой животрепещущей теме, как криптоанализ, читатель сможет прочесть даже о шифрах, которые использовались советской разведкой в прошлом, только что ушедшем от нас веке. Приведенные в третьей главе рассказы об известных головоломках могут увлечь не хуже хорошего детектива. Одной из таких головомок, заданных человечеству, являются шифры известного писателя и мистика Эдгара По, бывшего блистательным криптографом и криптоаналитиком. В конце второй главы дается решение двум его шифрам, проделанное именно с помощью компьютера, то есть, по сути, с помощью компьютерного криптоанализа.

Кроме этого, авторы предлагают рассмотреть и попробовать создать и использовать самостоятельно компьютерные методы криптоанализа, представляя вниманию читателя идеи и исходные тексты программ. Собственно, авторы рассчитывают на то, что в какой-то момент чтения, читателю наверняка захочется попробовать свои силы в криптографии и особенно в криптоанализе, которому в данной книге уделено достаточно внимания, в отличие от многих других подобных изданий. Для этого в каждой из трех основных глав приводятся исходные тексты программ, уже написанных авторами и зачастую предлагаются методы и алгоритмы их улучшения, что, несомненно, должно помочь читателю осуществить свои желания.

Несмотря на найденное решение довольно сложной проблемы выстраивания около полусотни разделов глав и расположения материала книги в логически стройные последовательности, книгу можно использовать и как справочное пособие при разработке и оценке одноключевых криптосистем. Это верно, поскольку третья глава "Как устроены современные шифры", кроме общей информации о классических системах шифрования наших дней, носит также и справочный характер, представляя более углубленный материал о популярных современных симметричных шифрах, а следующая за ней глава "Дешифрование современных шифров" описывает собственно методы их криптоанализа.

Кроме описания довольно популярных блочных и поточных криптосистем, в книгу было решено включить и довольно нестандартные решения и алгоритмы в области обеспечения конфиденциальности информации. Результатом этого решения стало появление дополнительной главы "Криптографическое сжатие", приведшее также к необходимости краткого изложения теории и методов сжатия.

Вторая глава предоставляет информацию о современной криптографии, начиная с эпохи Клода Шеннона и заканчивая принятым совсем недавно новым стандартом шифрования США. Параллельно с историческими аспектами и рассмотрением различных архитектур построения шифров рассматриваются современные методы криптоанализа, а также их возможные компьютерные реализации. Детально обсуждаются такие параметры симметричных шифров, как размер ключа и управляемые криптографические примитивы.

Каждое ружье, висящее на стене, должно когда-либо выстрелить. Этой непререкаемой истине последовали и авторы книги. Потому в седьмой главе "Прикладные задачи шифрования" все "ружья" оказались при деле. Именно в ней раскрываются решения прикладных задач: конфиденциальной связи, защищенных контейнеров данных, защиты исходных текстов и данных с помощью криптографических методов, о которых рассказано ранее. Кроме этого, в главе представлен пример исследования программного обеспечения на предмет надежности использования криптографических средств шифрования. Авторы провели небольшое исследование метода шифрования криптодиска популярной программы PGPDisk.

Каждая глава имеет самостоятельную нумерацию примеров исходных текстов - листингов программ и рисунков, а также независимый список литературы для углубленного изучения.

Таким образом, логическую цепочку связи глав можно представить приблизительно так:

I глава | \ | II глава | / III глава | \ | V глава | | IV глава | | | VI глава --^ | VII глава

Количество узких областей исследования в криптологии настолько велико, что трудно себе представить полное описание всех связанных с ней аспектов в одной книге. Книга призвана не только разобраться в уже существующих популярных системах шифрования, но и расширить кругозор читателя в этой области, а также дать реальную возможность научиться создавать и анализировать шифры самостоятельно.

Страх «черного хода»

Поскольку исходные тексты открыты, некоторые компании опасаются, что хакеры будут создавать «черные ходы» в свободно распространяемом инструментарии, через которые они смогут проникать в системы. Робичаукс по этому поводу заметил: «Это одно из самых серьезных препятствий на пути широкого распространения открытого программного обеспечения. Однако вовсе не значит, что такое опасение обоснованно и имеет под собой реальную почву. Тем не менее, некоторые компании требуют, чтобы все свободно распространяемое программное обеспечение, используемое в их подразделениях, было создано «с нуля», без каких-либо готовых или загруженных пакетов».

Стратегия выбора

(по материалам НИП "Информзащита")

Строгая защита

В основе работы PIX лежит алгоритм адаптивной защиты (ASA), который обеспечивает защиту соединений с контролем состояния. ASA отслеживает адреса источника и назначения, порядковые номера TCP соединений, номера портов и дополнительные TCP флаги для каждого пакета. Эта информация заносится в таблицу и все входящие и выходящие пакеты сравниваются со значениями в таблице. Это дает возможность прозрачной работы с Интернет внутренним пользователям и в то же время защищает внутреннюю сеть от несанкционированного доступа. Кроме того, в PIX используется встроенная система реального времени, которая по уровню защиты превосходит стандартные открытые системы вроде UNIX.

Сведения об авторах

Александр Владимирович Аграновский - один из ведущих специалистов в области информационных технологий и информационной безопасности, обладатель ряда государственных наград за развитие Интернет-технологий, кандидат технических наук старший научный сотрудник, профессор Академии военных наук, директор - главный конструктор ГНУ НИИ "Спецвузавтоматика".

Роман Ахмедович Хади - специалист-практик в области проектирования и использования систем и средств криптографической защиты информации, научный сотрудник ГНУ НИИ "Спецвузавтоматика".

Свободно распространяемые средства защиты: за и против

Сравним свободно распространяемые и коммерческие инструментальные средства по затратам, качеству и технической поддержке.

Затраты. Одно из основных преимуществ свободно распространяемых инструментальных средств — их меньшая по сравнению с коммерческими продуктами стоимость. Такие системы распространяются бесплатно или по очень низким ценам, а, кроме того, они либо вообще не предусматривают лицензионных выплат, либо выплаты эти значительно меньше, чем для коммерческих продуктов. Однако некоторые пользователи на собственном опыте убедились, что утверждение «вы получаете то, за что заплатили» в полной мере применимо к свободно распространяемому инструментарию.

Однако Бадди Бакстер, технический менеджер EDS по инфраструктурным решениям для кредитных союзов, полагает, что если продукт стоит дороже, это вовсе не означает, что он будет в большей степени защищен. По его словам, EDS может установить систему защиты на основе программного инструментария Astaro, которая будет стоить вчетверо дешевле коммерческого продукта компании Check Point Software Technologies.

Качество. Директор по технологиям компании Guardent Джерри Бреди подтвердил, что некоторые свободно распространяемые инструментальные средства защиты не хуже (а то и лучше) их коммерческих аналогов. Например, по его словам, сканер уязвимых мест защиты Nessus обеспечивает лучшие возможности распределенной обработки, удаленного запуска и планирования, чем многие коммерческие продукты. «Благодаря использованию свободно распространяемой методологии вы можете в большей степени сосредотачиваться на тех вещах, которые действительно важны. Для Nessus вопросы распространения намного менее приоритетны, чем вопросы качества кода», — подчеркнул он.

Однако ему возражает Маркус Ранум, эксперт по вопросам защиты и глава компании NFR Security: «Не думаю, что программы имеют высокое качество уже потому, что распространяются свободно. На самом деле, качественным продукт делает именно его целенаправленная разработка. А открытость этого никак не гарантирует».

С ним согласен и Спаффорд: «Надежность продукта определяется в первую очередь его качеством и поддержкой. Был ли он хорошо спроектирован? Придерживались ли его разработчики четкой дисциплины и не добавили ли к нему чересчур много функций? Многое свободно распространяемое программное обеспечение создается людьми, не имеющими надлежащего опыта, инструментальных средств, времени или ресурсов для того, чтобы сделать это настолько тщательно, как того требует действительно высоко надежная среда».

Сторонники свободно распространяемых решений утверждают, что открытый код изучает очень много специалистов, поэтому они способны обнаружить проблемы намного быстрее, чем ограниченный круг разработчиков, создающих коммерческий продукт той или иной компании. «Поисками и исправлением ошибок в общедоступном программном обеспечении могут заниматься намного больше людей», — сказал Майк Куртис, директор по исследованиям компании Redsiren Technologies, предоставляющей услуги обеспечения информационной безопасности.

Кроме того, как заметил Куртис, разработчики свободно распространяемых программ могут быстрее реагировать на обнаруженные изъяны в защите, чем коммерческие компании просто в силу меньшей загруженности и отсутствия бюрократических препон. «Разработчики свободно распространяемых решений в большей степени заинтересованы в том, чтобы исправить обнаруженные ошибки, чем добавить новые возможности для следующей версии», — считает он.

Однако с ним не согласен Ранум: «Исходя из собственного опыта, могу подтвердить, что очень немногие специалисты действительно тщательно изучают код. Они, как правило, просто просматривают файлы с описанием. Созданный мною первый открытый пакет инструментальных средств для межсетевого экрана в той или иной степени использовали около 2 тыс. сайтов, но лишь десять человек сообщили о нем свое мнение или прислали заплаты, исправляющие ошибки. Так что я бы не стал уповать на открытость программного обеспечения», — сказал он.

Многие сторонники закрытых исходных текстов считают, что для поиска ошибок в программе важнее качество, а не число изучающих ее людей. Они утверждают, что эксперты по программному обеспечению компании-производителя, работающие над своими продуктами, выполняют работу более качественно, чем те, кто изучает свободно распространяемые пакеты.



К его мнению присоединяется и Спаффорд. « Во многих компонентах свободно распространяемого программного обеспечения были найдены ошибки после того, как их долгие годы использовали и изучали сотни тысяч раз. Ошибки не были обнаружены просто потому, что те, кто просматривал этот код, не имели необходимых навыков, позволяющих это сделать. Во многих случаях пользователи изучают код, чтобы адаптировать его к своим нуждам, а не для того, чтобы детально его проанализировать», — заметил он.

Поддержка. Сторонники коммерческого программного обеспечения утверждают, что их производители, в отличие от организаций, занимающихся свободно распространяемыми решениями, предлагают клиентам услуги поддержки и другие ресурсы, которыми можно воспользоваться в случае каких-либо проблем. Однако такой подход позволяет усилить позиции и тем, кто предлагает услуги поддержки пользователям свободно распространяемого программного обеспечения защиты.

«Служба поддержки дает более надежные гарантии клиенту и позволяет оказать ему помощь. Вы можете определить соглашение об уровне обслуживания и предоставить производителю возможность самому выбирать нужный инструментарий и помогать клиентам адаптироваться к изменениям в технологии», — заметил Бреди.

Другие вопросы. Некоторые сторонники закрытых исходных текстов считают, что из-за доступности свободно распространяемого кода хакерам намного проще разобраться, каким образом можно преодолеть такую защиту. Однако апологеты свободно распространяемых решений утверждают, что это не так, поскольку хакерам по силам взломать защиту, организованную с помощью коммерческих продуктов. В то же время, они отмечают, что свободно распространяемые инструментальные средства защиты проще настроить, поскольку имеются их исходные тексты.

System Scanner и Security Manager

Одной из главных задач, на которые нацелены системы анализа защищенности, разработанные компанией ISS, является сбор информации о ПК-клиентах. Иногда это удается сделать дистанционно с помощью Internet Scanner, но часто разумнее проводить такую операцию, используя локальный компьютер (например, при проверке «слабых» паролей, наличия установленных пакетов модификаций, обновлений ОС или приложений и т. п.).

На первый взгляд, для анализа уязвимостей ОС Windows и Unix вполне достаточно Internet Scanner. Но дополнительный анализ, осуществляемый System Scanner (S2), способствует значительному повышению уровня защищенности. Как правило, общий анализ защищенности реализуется только на уровне сети, без локального сканирования на уровне ОС и без анализа защищенности приложений. System Scanner как бы обеспечивает взгляд на сеть «изнутри», обнаруживая «слабые места», которые не проявляются при дистанционном сканировании через сеть, но весьма опасны для Unix- и Windows-систем. Например, переполнение буфера (buffer overflow), может использоваться злоумышленником, в том числе с паролем «Guest», для получения привилегированного (root) доступа.

Весьма серьезной угрозой для работоспособности информационных систем является неправильная работа пользователя. Сканирование, обеспечиваемое S2, дает более детальный анализ его деятельности, чем сканирование с помощью систем дистанционного анализа защищенности на уровне сети. System Scanner позволяет проверять файлы .rhost, применять словарь часто используемых паролей, а также обнаруживать программы-«анализаторы протокола» типа «sniffer».

Любой системный администратор заинтересован в информации об установленных patches (модификациях). Благодаря своим встроенным функциям S2 не только обнаруживает уже установленные patches, но и выявляет необходимые модификации, имеющиеся у поставщиков программно-аппаратного обеспечения.

Подсистема Security Manager во многом аналогична системе System Scanner и также проводит анализ защищенности на уровне ОС. Однако Security Manager поддерживает гораздо больше платформ и ОС, чем S2 (в том числе SCO OpenServer и UnixWare, Netware), и обладает возможностью добавления своих собственных проверок.

Все указанные достоинства реализованы ISS вместе с купленной ею компанией March Information Systems (из Великобритании). В конце III квартала текущего года компания ISS планирует интегрировать системы System Scanner и Security Manager в единую систему анализа защищенности на уровне ОС.

T.Rex

T.Rex () — это свободно распространяемый программный межсетевой экран, который компания Freemont Avenue Software выпустила в 2000 году. Он работает на платформах AIX, Linux и Solaris, и сейчас его применяют около 31 тыс. пользователей.

TAGES

Тип защиты:	Измерение физических характеристик без нанесения особых меток на носитель(!)
Способ преодоления защиты:	Эмуляция, "Кряк"
Аппаратная совместимость (cd/dvd разных производителей):	Хорошая
Наличие особой аппаратуры для защиты серии:	НЕ требуется
Предоставление SDK для производителей:	НЕТ
Защита мелких партий (CD/R/RW):	НЕТ
Фирма - производитель:	Thomson & MPO
Сайт производителя:	http://www.licensing.thomson-csf.com/buy/cdcopy.html
Коммерческие продукты, использующие данный вид защиты:
	Moto Racer 3
Особенности защиты:
	Защита основана на достаточно оригинальном методе многократного чтения одного и того же сектора с последующим сравнением результатов. Вполне возможно, что здесь происходит анализ физических характеристик носителя. Слабое место защиты ее программный модуль, который уже вскрыт.

Технические спецификации

Поддержка операционных систем:	Sun® Solaris™ 2.5, 2.6 Windows NT 4.0
Требования к диску и памяти:	минимум 25 MB на диске минимум 64 MB памяти

Технология Stateful Inspection.

Stateful Inspection –архитектура firewall нового поколения, реализованная в Check Point FireWall-1, - удовлетворяет всем требованиям к безопасности, приведенным выше. Возможностей традиционных технологий firewall недостаточно для выполнения всех этих требований. Для более подробного анализа смотрите Таблицу 1 или “Сравнение технологий Firewall” на .

Таблица 1. Сравнение возможностей трех основных архитектур Firewall.

Функция		Пакетные фильтры		Шлюзы уровня приложения		Stateful inspection
Информация из пакета	Частично		Частично		Да
Предыстория соединения	Нет		Частично		Да
Состояние приложения	Нет		Да		Да
Модифицирование информации	Частично		Да		Да

[Page 1] [][]

© ООО , 1998

Термины и определения

Несмотря на то что стеганография как способ сокрытия секретных данных известна уже на протяжении тысячелетий, компьютерная стеганография - молодое и развивающееся направление.

Как и любое новое направление, компьютерная стеганография, несмотря на большое количество открытых публикаций и ежегодные конференции, долгое время не имела единой терминологии.

До недавнего времени для описания модели стеганографической системы использовалась предложенная 1983 году Симмонсом [3] так называемая "проблема заключенных". Она состоит в том, что два индивидуума (Алиса и Боб) хотят обмениваться секретными сообщениями без вмешательства охранника (Вилли), контролирующего коммуникационный канал. При этом имеется ряд допущений, которые делают эту проблему более или менее решаемой. Первое допущение облегчает решение проблемы и состоит в том, что участники информационного обмена могут разделять секретное сообщение (например, используя кодовую клавишу) перед заключением. Другое допущение, наоборот, затрудняет решение проблемы, так как охранник имеет право не только читать сообщения, но и модифицировать (изменять) их.

Позднее, на конференции Information Hiding: First Information Workshop в 1996 году было предложено использовать единую терминологию и обговорены основные термины [4].

Стеганографическая система или стегосистема - совокупность средств и методов, которые используются для формирования скрытого канала передачи информации.

При построении стегосистемы должны учитываться следующие положения:

противник имеет полное представление о стеганографической системе и деталях ее реализации. Единственной информацией, которая остается неизвестной потенциальному противнику, является ключ, с помощью которого только его держатель может установить факт присутствия и содержание скрытого сообщения; если противник каким-то образом узнает о факте существования скрытого сообщения, это не должно позволить ему извлечь подобные сообщения в других данных до тех пор, пока ключ хранится в тайне; потенциальный противник должен быть лишен каких-либо технических и иных преимуществ в распознавании или раскрытии содержания тайных сообщений.

Обобщенная модель стегосистемы представлена на рис. 1.



В качестве данных может использоваться любая информация: текст, сообщение, изображение и т. п.

В общем же случае целесообразно использовать слово "сообщение", так как сообщением может быть как текст или изображение, так и, например, аудиоданные. Далее для обозначения скрываемой информации, будем использовать именно термин сообщение.

Контейнер - любая информация, предназначенная для сокрытия тайных сообщений.

Пустой контейнер - контейнер без встроенного сообщения; заполненный контейнер или стего - контейнер, содержащий встроенную информацию.

Встроенное (скрытое) сообщение - сообщение, встраиваемое в контейнер.

Стеганографический канал или просто стегоканал - канал передачи стего.

Стегоключ или просто ключ - секретный ключ, необходимый для сокрытия информации. В зависимости от количества уровней защиты (например, встраивание предварительно зашифрованного сообщения) в стегосистеме может быть один или несколько стегоключей.

По аналогии с криптографией, по типу стегоключа стегосистемы можно подразделить на два типа:

с секретным ключом; с открытым ключом.

В стегосистеме с секретным ключом используется один ключ, который должен быть определен либо до начала обмена секретными сообщениями, либо передан по защищенному каналу.

В стегосистеме с открытым ключом для встраивания и извлечения сообщения используются разные ключи, которые различаются таким образом, что с помощью вычислений невозможно вывести один ключ из другого. Поэтому один ключ (открытый) может передаваться свободно по незащищенному каналу связи. Кроме того, данная схема хорошо работает и при взаимном недоверии отправителя и получателя.

Типичный пример реализации системы защиты при доступе к Internet

Структура сети и ее вклад в политику защиты

При построении системы защиты очень важен выбор структуры сети. Правильный выбор структуры сети обычно облегчает разработку политики безопасности и управлении firewall и повышает устойчивость защиты. Во многих случаях неудачное размещение какого-либо сетевого объекта может создать трудности при контроле некоторых видов трафика и детектировании попыток взлома сети. Примерная схема сети компании, реализующей полнофункциональное подключение к Internet, приведена на рисунке. В некоторых случаях (где часть сервисов предоставляет провайдер) отдельные элементы схемы могут отсутствовать. Практически, реализация данной схемы не зависит от величины компании, важно только наличие или отсутствие соответствующих сетевых сервисов.

Распределенная DMZ и минимизация внутренних угроз

Одним из примеров решения по выбору структуры сети является размещение общедоступных серверов - Web, FTP, SMTP, DNS в распределенной демилитаризованной зоне. С одной стороны, эти серверы должны быть доступны для всего внешнего мира, с другой - необходимо строго контролировать попытки доступа к ним. В достаточно крупной компании администратор не может контролировать все подключения к этим серверам, так как это заняло бы как минимум весь рабочий день. С другой стороны, именно эта часть системы подвержена наибольшему риску оказаться объектом атаки как по причине своей очевидной доступности, так и из-за массы известных и регулярно обнаруживаемых новых ошибок в реализации программ, обеспечивающих эти типы сервиса. Даже при безупречном программном обеспечении существуют некоторые возможности прервать работу публичных серверов, используя особенности реализации стека TCP/IP. Так или иначе, даже если администраторы сети постоянно следят за всеми публикациями об обнаруженных ошибках и устанавливают все выпускаемые "заплатки", нет никакой гарантии, что некто не сможет получить доступ к открытым серверам. Пока единственной гарантией может служить только полная изоляция сервера.

Поэтому все доступные извнесерверы обычно размещают в специально отведенной только для них зоне так, чтобы в худшем случае под угрозой оказался только один участок сети. Еще более предпочтительным вариантом является подключение каждого из открытых серверов на отдельный сетевой интерфейс firewall. Это дает возможность со стопроцентной уверенностью контролировать весь трафик такого сервера и гарантирует защиту одного открытого сервера от другого в случае нарушения безопасности одного из них. В случае размещения всех серверов в одной сети такой возможности не существует, и, получив доступ к одной из машин, нарушить работу остальных достаточно просто.

Proxy - помощник или конкурент?

Все системы firewall обычно делятся на два основных класса - packet-filtering и application proxy. Системы первого типа свои функции выполняют на уровне протокола TCP/IP. Вторые обычно являются набором прокси-программ для каждого из поддерживаемых типов сервисов. Firewall-1 имеет свойства каждого из этих классов, и, казалось бы, наличие дополнительного прокси-сервера для HTTP и FTP является избыточным. Однако такой прокси-сервер позволяет в некоторых случаях сильно упростить политику безопасности, а также исключить ряд неприятных возможностей доступа извне к машинам внутренних сетей.

Firewall-1 имеет ряд полезных функций по контролю соединений HTTP и FTP: запрещение доступа к спискам URL, вырезание тегов Java и ActiveX из загружаемых страничек, антивирусная проверка файлов, ограничение доступа по паролю и т. п. Однако такая проверка обычно выполняется для стандартного протокола HTTP, который использует порт 80. Безусловно, существует возможность описания и других портов, но это становится не очень удобным, а иногда такой вариант и просто неприемлем, так как очень многие русскоязычные сайты используют для разных кодировок произвольные порты. В таком случае приходится либо открывать для доступа в глобальную сеть все старшие порты TCP/IP, либо постоянно добавлять тот или иной порт для новых сайтов. Кроме того, ряд сайтов использует тот же номер порта, что и доступные http-прокси вне локальной сети предприятия. В случае необходимости применения ограничений на HTTP вариант с внешними прокси сводит на нет все усилия администратора.

Также достаточно неприятным моментом является возможность доступа к машинам локальной сети предприятия с использованием стандартных средств протокола FTP - обратного соединения. В случае если firewall позволяет пользователям работать напрямую по протоколу FTP, для передачи данных обычно используется соединение, открываемое машиной, находящейся вне внутренней сети, к машине, запросившей файл. Причем в зависимости от реализации firewall, такое обратное соединение может быть открыто либо только к машине, инициировавшей ftp-сессию (такая проверка есть в Firewall-1), либо вообще к любой машине.

Установка прокси-сервера на отдельном сетевом сегменте системы firewall позволяет решить эти проблемы. Так как все пользователи обращаются к прокси-серверу по единственному порту TCP, есть возможность применения всех средств контроля протоколов FTP и HTTP в одном месте - между пользователями и прокси-сервером. В случае с протоколом FTP, установка прокси исключает возможность использования обратного соединения, так как всю работу по FTP прокси-сервер выполняет сам. Заметим, что использование только прокси-сервера в качестве центрального элемента защиты во многих случаях просто невозможно.



Служба DNS — двуликий Янус

При построении системы защиты предприятия, имеющего доступ к открытым сетям, важным принципом является сокрытие информации о внутреннем устройстве сети от внешних лиц. Один из источников такой информации — служба имен DNS. Классическим решением этой задачи может служить установка двух отдельных серверов DNS — одного для обслуживания запросов внутренних пользователей, другого для запросов имен извне (некоторые системы защиты предоставляют средства, объединяющие эти два DNS-сервера на одном компьютере, но функциональность этих средств, как правило, ограничена). Внутренний сервер должен содержать всю информацию о внутренней сети предприятия, а для разрешения запросов об именах внешних машин обращаться к внешнему серверу организации, который содержит записи, необходимые только для поддержания функционирования сервера имен, и имена публичных серверов (SMTP, Web, FTP). Такая структура позволяет создать полноценную службу DNS внутри организации, а на все внешние запросы DNS сообщать информацию только о доступных всем серверах.

Адресная трансляция

При подключении к Internet организация обычно получает в свое распоряжение одну сеть класса С, что позволяет использовать 254 уникальных адреса для компьютеров в сети предприятия (наличие внутри сети маршрутизаторов сокращает это число). Кроме очевидной проблемы с количеством, использование выделенных Internet-адресов достаточно сильно снижает гибкость при распределении адресов, создает массу трудностей при смене провайдера услуг Internet, обеспечивает потенциальную возможность доступа извне к любой машине, имеющей такой адрес. Не случайно в пространстве IP-адресов существуют области, специально зарезервированные для внутреннего использования. При применении этих адресов администратор сети имеет возможность назначать внутренним машинам адреса из сетей любого класса по своему усмотрению. Это снимает все ограничения на количество IP-адресов во внутренней сети и вместе с тем затрудняет задачу доступа к таким адресам из внешнего мира. В простейшем случае с помощью NAT (Network Address Translation) возможно организовать работу всей компании с использованием единственного зарегистрированного IP-адреса.

Для организации работы таких сетей с Internet используется механизм трансляции адресов (NAT). Обычно эти функции (NAT) выполняет либо маршрутизатор, либо система firewall - эти устройства подменяют адреса в заголовках проходящих через них IP-пакетов. Check Point Firewall-1 имеет достаточно гибкие возможности по организации NAT. В простейшем случае администратору достаточно поставить галочку, разрешая трансляцию адресов, и указать, в какой реальный адрес (или начиная с какого) и как (Static/Hide) транслировать адрес данной машины, сети или набора адресов.

Если же требуется более сложная конфигурация, Firewall-1 позволяет в ручном режиме задать правила трансляции в зависимости от адресов источника или назначения и типа протокола, которому принадлежит пакет.



Удаленный доступ в схеме "корпорация и провайдер"

Во многих организациях необходимо обеспечить возможность работы удаленных или мобильных пользователей с каким-либо ресурсом внутренней сети компании по телефонной линии через модем или через ближайшего к ним провайдера. Оба случая требуют особого внимания к аутентификации пользователей и защите передаваемых данных.

Хорошим решением в таких случаях могут стать средства Firewall-1 SecuRemote. Этот пакет может быть установлен на компьютерах удаленных пользователей для защиты от прослушивания и изменения конфиденциальной информации и обеспечения безопасности процедур входа и регистрации при загрузке или аутентификации. SecuRemote использует средства с открытым ключом, причем использование их возможностей может быть ограничено лишь отдельными видами трафика, тогда как остальной обмен (например, выход в глобальную сеть) может передаваться в открытом виде. Аутентификация firewall поддерживает целый ряд программных и аппаратных средств других производителей - ActiveCard, Axent/ AssureNet, Funk Software, Security Dynamics/RSA, VASCO Data Security. При реализации удаленного доступа мы рекомендуем устанавливать устройства удаленного доступа на отдельный интерфейс системы firewall. Как отмечалось выше, это позволяет полностью контролировать как доступ к серверам удаленного доступа, так и все процессы авторизации пользователей (обычно в крупных системах используются внешние серверы авторизации).

Схема с полностью скрытым шлюзом (и VPN)

Как бы ни была построена сеть компании и система защиты, главным является сам firewall.

Как правило, большинство ограничений и проверок выполняются именно этой машиной, и firewall имеет интерфейсы во все основные сети предприятия. Защита самого firewall по этой причине является одной из важных задач в обеспечении безопасности сети. Для решения этой задачи используются два основных элемента. Во-первых, выключение на компьютере всех, не относящихся к firewall служб и запрещение любого трафика, адресатом или инициатором которого мог бы быть firewall. Модули Firewall-1 устанавливаются сразу за драйверами сетевых адаптеров до операционной системы, что позволяет оградить firewallот различных атак, направленных на стек TCP/IP. Во-вторых, для затруднения неавторизованного доступа к firewall используют адреса из пространства, зарезервированного самим firewall. Для попытки подключения к такой машине необходимо узнать ее IP-адрес, что практически невозможно при отсутствии доступа к расположенным поблизости от firewall маршрутизаторам. Если такой адрес все же стал известен, для доставки пакета с таким "нелегальным" адресом назначения через открытую сеть потребуются определенные усилия.

Организация такой схемы защиты предполагает наличие маршрутизатора между firewall и внешней сетью для использования зарезервированных адресов на всех интерфейсах firewall, а также для фильтрации нежелательных пакетов с его внешнего интерфейса.

Конечно, необходимо обеспечить защиту внешнего маршрутизатора, но эта задача несоизмеримо проще. Как правило, предоставляемые маршрутизаторами средства фильтрации прекрасно приспособлены для защиты самого устройства и в меньшей степени пригодны для реализации полнофункциональной защиты предприятия. Для облегчения задачи создания правил фильтрации можно использовать Firewall-1 Router Extension, который поддерживает генерацию и установку списков фильтрации на маршрутизаторы Bay Networks, Cisco, 3Com. Этот механизм полностью интегрирован в политику безопасности Firewall-1, его средства управления и мониторинга.



Протоколы администрирования сетевых устройств

Большинство сетевых устройств управляется и конфигурируется по протоколам telnet или SNMP v1, причем многие не имеют возможности задавать список адресов станций управления.

Авторизация построена на передаче секретной строки текста, причем эта передача идет в незакодированном виде. Таким образом, любой пользователь, находящийся в одном сегменте с администратором, может узнать полную конфигурацию или даже получить доступ к управлению устройствами. При построении системы защиты имеет смысл постараться привести структуру сети к такому виду, чтобы возможность этих действий была сведена к минимуму. Одним из решений, не требующих замены или модернизации сетевых устройств для поддержки какого-либо из протоколов с защитой информации, является вынесение всех администраторов и интерфейсов сетевых устройств, через которые ведется управление, в одну сеть или в одну виртуальную локальную сеть. Связь выделенной для управления части сети с остальными частями внутренней сети и внешним миром должна быть защищена firewall с блокировкой всего SNMP, telnet и др. трафика в направлении этой сети.

Вирусы в сети и способы борьбы с ними

Кроме стандартных способов борьбы с вирусами, таких как сканирование дисковых разделов, где хранятся файлы, и почтовых ящиков, в Firewall-1 имеется возможность проводить проверку всего входящего и выходящего SMTP, FTP и HTTP-трафика на наличие в нем вирусов и архивов с зараженными файлами.

Специально для этих целей создан протокол CVP (Content Vectoring Protocol), который поддерживают продукты многих компаний-изготовителей антивирусных средств (Symantec, EliaShim, McAfee, Integralis, Cheynne). Антивирусный сервер представляет собой отдельный компьютер с работающим на нем антивирусным программным обеспечением. Firewall передает ему все проходящие через него файлы, а проверенные или вылеченные направляет затем пользователю.

Точный, простой и всеобъемлющий

Check Point FireWall-1 предлагает лучшее решение для управления безопасностью на маршрутизаторах. Используя пользовательский графический интерфейс FireWall-1, администраторы могут создать фильтры на маршрутизаторах 3Com, Bay Networks и Cisco. FireWall-1 использует объектно-ориентированный подход для управления устройствами, позволяя администратору определять маршрутизаторы как сетевые объекты и использовать их в правилах политики безопасности. Однажды определенные, маршрутизирующие объекты могут многократно использоваться при определении и управлении списками доступа (ACL) на маршрутизаторах. Нет необходимости помнить каждый IP адрес сетевых интерфейсов. FireWall-1 позволяет администраторам управлять безопасностью маршрутизатора, используя логическое имя или ассоциацию. Поскольку все производимые операции - это перемещение и нажатие кнопки мыши, процесс конфигурирования безопасности маршрутизатора прост и не требует знания специализированных команд. Изменять настройки также очень легко, поскольку все изменения производятся на объектах. Если конфигурация касается многочисленных объектов, система сделает изменения во всех затронутых маршрутизаторах, так что нет необходимости делать это вручную. Однажды определенные объекты могут быть модифицированы. Путем простого нажатия кнопки "load policy " на центральной консоли управления маршрутизаторы будут быстро и легко перестроены.

Транслирующие сервера - набор поддерживаемых сервисов

Proxy TCP

Основной функцией этого proxy является поддержка коммуникаций между

интерфейсами межсетевого экрана. Для выполнения этой функции proxy может

консультироваться с Oracle. Поскольку этот сервер является базовым, он не

поддерживает аутентификации пользователей, преимущественно предназначен для

работы в прозрачном режиме. Администратор имеет возможность контролировать

использование этого proxy по следующим параметрам:

устанавливать максимальное время неактивности, после которого разрывается

соединение.

устанавливать время действия аутентификации для прозрачного режима работы

Proxy TCP запускается через Guardian после проверки последним

правомочности запрошенного соединения.

Proxy FTP.

Этот сервер поддерживает протокол FTP и позволяет:

производить аутентификацию пользователя

интерпретировать команды протокола FTP

включать прозрачный режим

Proxy Telnet

Служит для поддержки протокола удаленного интерактивного доступа Telnet.

Позволяет:

производить аутентификацию пользователя

включать прозрачный режим

менять пароль пользователя

Proxy HTTP

Этот сервер служит для поддержки на межсетевом экране протокола HTTP и имеет следующие

возможности:

аутентификация пользователя на использование протокола и запроса

включение прозрачного режима

изменять пароль пользователя

интерпретировать команды HTTP протокола

Proxy Gopher

Служит для поддержки протокола Gopher на межсетевом экране и позволяет:

осуществлять аутентификацию пользователя для использование gopher-запроса

включать прозрачный режим

UDP relay

Очень сходен с TCP proxy, за исключением того, что вместо TCP соединения

оперирует виртуальными UDP соединениями. Служит для поддержки некоторых

протоколов, таких как DNS, Archie. При запуске консультируется с Oracle для

определения правомочности пришедшего запроса.

Netacl

Служит для разрешения удаленного администрирования межсетевого экрана. Поддерживает все виды

аутентификации пользователей (по адресам, условно-постоянным и одноразовым

паролям, смарт-картам).

Система электронной почты.

Система состоит их двух частей - получателя почты и отправителя. Получатель

стартует через guardian при попытке удаленной машины. Не требует аутентификации

пользователя. Для дополнительного режима безопасности работает в ограниченном

участке файловой системы (UNIX chroot). Производит анализ управляющих

заголовков сообщений на предмет несанкционированных адресов.

Отправитель почты запускается при первоначальной загрузке системы как сервер

и через определенные промежутки времени проверяет пришедшую через приемник

почты, которую оправляет по назначению. В отличие от стандартных почтовых

программ в состав отправителя не включены:



Include mailer

File mailer

Program mailer

local mailer

Такая схема обеспечивает прием и передачу только корректных сообщений,

содержащих все необходимые заголовки в правильном формате.

Системный журнал.

Сервер системного журнала стартует при начальной загрузке системы и служит для

обработки сообщений, записываемых в системных журнал. Распределение сообщений в

соответствии с приоритетами осуществляется по правилам, описанных в

конфигурационном файле. Для предотвращения записи ложных сообщений, порт, по

которому работает этот сервер недоступен со стороны сети.

Уведомление администратора о событиях

Данная подсистема позволяет в реальном времени отслеживать события, связанные с

попытками нарушения политики безопасности. Имеется возможность пользоваться

различными механизмами уведомления, например по электронной почте, пэджеру или

путем вывода сообщения в специальное окно на консоли межсетевого экрана.

Система анализа статистики

Данная система позволяет осуществлять гибкий анализ статистики межсетевого экрана. Конкретные

возможности:



Суммарный анализ трафика

Анализ трафика по протоколам

Анализ переданного/принятого количества пакетов по функциям

Анализ трафика по рабочим станциям

приходящий трафик

Исходящий трафик

10 наиболее популярных удаленных машин.

Система администрирования межсетевого экрана

Содержит в своем составе развитый графический интерфейс, который позволяет:



работать с базой данных по пользователям

работать с базой данных по сервисам

управлять базой правил сетевого доступа

Трансляция адресов

Поскольку МЭ является фильтром на уровне приложений, все соединения

проходящие через него имеют обратный адрес самого МЭ, что полностью

скрывает внутреннюю структуру защищенной сети.

Трансляция сетевых адресов

Технологии Интернет базируются на использовании IP-протокола, и для обеспечения взаимодействия через IP-сеть, каждое устройство должно иметь уникальный адрес. Это требование легко удовлетворяется в корпоративных сетях, которые ограничены внутренними сетями предприятия, не подключенными к глобальным сетям. Но когда организация подключается к глобальной сети, например Интернет, возникает требование обеспечить уникальность адресов для всей глобальной сети, то есть по всему миру. Здесь обычно возникают проблемы, связанные с ограничением на количество доступных для использования адресов. Обычно организациям выделяют диапазон адресов существенно меньший, чем необходимо, что делает невозможным присвоение каждому устройству, участвующему в сетевом обмене, реального адреса.

С другой стороны, даже если вы можете обеспечить все ресурсы и пользователей сети реальными адресами, этот вариант не является предпочтительным, так как каждый пользователь глобальной сети может потенциально взаимодействовать с вашими ресурсами. Более того, необдуманное опубликование IP-адресов ваших сетевых устройств может привести к появлению атак на эти устройства и сеть в целом.

Transparent Session Authentication

Механизм Transparent Session Authentication можно использовать для любых служб. При этом установление подлинности будет происходить для каждой сессии.

После того, как пользователь инициировал соединение непосредственно с сервером, шлюз с установленным FireWall-1 распознает, что требуется установление подлинности клиента, и инициирует соединение с Агентом Авторизации Сессий.

Агент производит необходимую авторизацию, после чего FireWall-1 разрешает данное соединение, если подлинность клиента установлена.

Требования

Любая стегосистема должна отвечать следующим требованиям:

Свойства контейнера должны быть модифицированы, чтобы изменение невозможно было выявить при визуальном контроле. Это требование определяет качество сокрытия внедряемого сообщения: для обеспечения беспрепятственного прохождения стегосообщения по каналу связи оно никоим образом не должно привлечь внимание атакующего. Стегосообщение должно быть устойчиво к искажениям, в том числе и злонамеренным. В процессе передачи изображение (звук или другой контейнер) может претерпевать различные трансформации: уменьшаться или увеличиваться, преобразовываться в другой формат и т. д. Кроме того, оно может быть сжато, в том числе и с использованием алгоритмов сжатия с потерей данных. Для сохранения целостности встраиваемого сообщения необходимо использование кода с исправлением ошибки. Для повышения надежности встраиваемое сообщение должно быть продублировано.

Требования к безопасности, обеспечиваемой Firewall

Для того, что бы надежно обеспечивать безопасность, firewall должен отслеживать и управлять всеми соединениями, проходящими через него. Для выработки окончательных решений о разрешении того или иного соединения для служб TCP/IP (то есть пропустить, запретить, аутентифицировать или зашифровать данную попытку соединения, сделать запись об этом в журнале), firewall должен уметь получать, хранить, извлекать и манипулировать информацией со всех уровней сетевой модели и из других приложений.

Не достаточно только лишь просматривать отдельные пакеты. Информация о состоянии, извлеченная из состоявшихся ранее соединений и других приложений, является основным фактором при принятии окончательного решения для текущей попытки установления соединения. В зависимости от типа проверяемого пакета, для принятия конечного решения важными могут быть как текущее состояние соединения, которому он принадлежит (полученное из его истории), так и состояние приложения, его использующего.

Таким образом, для обеспечения наивысшего уровня безопасности, firewall должен уметь считывать, анализировать и использовать следующую информацию:

Информация о соединении – информация со всех семи уровней пакета.

Состояние соединения – состояние, полученное из предыдущих пакетов. Например, исходящая команда PORT сессии FTP могла бы быть запомнена для последующей проверки входящего соединения FTP data.

Состояние приложения – информация о состоянии, полученная из других приложений. Например, когда-либо авторизованному пользователю будет разрешен доступ через firewall только для разрешенных типов сетевых протоколов.

Действия над передаваемой информацией – выполнение различных действий в зависимости от всех вышеизложенных факторов.

---

---