Безопасность в локальных и глоб сетях

2.3 Идентификация и аутентификация

   Идентификацию  и  аутентификацию  можно считать основой программно-

технических средств безопасности, поскольку  остальные сервисы рассчитаны  на

обслуживание  именованных субъектов. Идентификация  и  аутентификация  -  это

первая  линия обороны, "проходная" информационного  пространства  организации. 

      Идентификация  позволяет   субъекту  -   пользователю   или   процессу,

действующему  от имени  определенного  пользователя,  назвать  себя,  сообщив

свое  имя. Посредством аутентификации вторая сторона убеждается, что  субъект

действительно  тот,  за  кого  себя  выдает.  В  качестве   синонима   слова

"аутентификация"  иногда  используют   сочетание   "проверка   подлинности".

Субъект может подтвердить свою подлинность, если предъявит по  крайней мере

одну  из следующих сущностей:

      •нечто,  что  он  знает:  пароль,  личный   идентификационный   номер,

      криптографический ключ и т.п.,

      •нечто,  чем  он  владеет:  личную  карточку   или   иное   устройство

      аналогичного назначения,

      •нечто, что является частью его  самого:  голос,  отпечатки   пальцев  и

      т.п., то есть свои биометрические  характеристики,

      •нечто, ассоциированное с ним,  например координаты.

     

      Необходимо искать компромисс  между надежностью, доступностью  по цене и

удобством  использования  и  администрирования   средств   идентификации   и

аутентификации. Обычно компромисс достигается за  счет  комбинирования  двух

первых  из перечисленных базовых механизмов проверки подлинности.

      Наиболее распространенным средством   аутентификации  являются  пароли. 

    

3. Защита в глобальных  сетях.  

      В настоящее время вопросам безопасности данных в распределенных компьютерных системах уделяется очень большое внимание. Разработано множество средств для обеспечения информационной безопасности, предназначенных для использования на различных компьютерах с разными ОС. В качестве одного из направлений можно выделить межсетевые экраны (firewalls), призванные контролировать доступ к информации со стороны пользователей внешних сетей.

3.1 Технология работы в глобальных сетях Solstice FireWall-1 .

Одним из наиболее распространенных механизмов защиты от интернетовских бандитов - “хакеров”  является применение межсетевых экранов - брэндмауэров (firewalls).

Стоит отметить, что вследствие непрофессионализма администраторов и недостатков  некоторых типов брэндмауэров порядка 30% взломов совершается после установки защитных систем.

В настоящем  документе рассматриваются основные понятия экранирующих систем, а также  требования, предъявляемые к ним. На примере пакета Solstice FireWall-1 рассматривается неcколько типичных случаев использования таких систем, особенно применительно к вопросам обеспечения безопасности Internet-подключений. Рассмотрено также несколько уникальных особенностей Solstice FireWall-1, позволяющих говорить о его лидерстве в данном классе приложений.

3.2. Назначение экранирующих систем и требования к ним.

Проблема  межсетевого экранирования формулируется  следующим образом. Пусть имеется  две информационные системы или  два множества информационных систем. Экран (firewall) - это средство разграничения доступа клиентов из одного множества систем к информации, хранящейся на серверах в другом множестве. (см.рис.5)

Экран выполняет свои функции, контролируя  все информационные потоки между  этими двумя множествами информационных систем, работая как некоторая  “информационная мембрана”. В этом смысле экран можно представлять себе как набор фильтров, анализирующих  проходящую через них информацию и, на основе заложенных в них алгоритмов, принимающих решение: пропустить ли эту информацию или отказать в  ее пересылке. Кроме того, такая система  может выполнять регистрацию  событий, связанных с процессами разграничения доступа. в частности, фиксировать все “незаконные” попытки доступа к информации и, дополнительно, сигнализировать о ситуациях, требующих немедленной реакции, то есть поднимать тревогу.

Обычно  экранирующие системы делают несимметричными. Для экранов определяются понятия  “внутри” и “снаружи”, и задача экрана состоит в защите внутренней сети от “потенциально враждебного” окружения. Важнейшим примером потенциально враждебной внешней сети является Internet.  
 

3.3 Проблемы при построении  экранирующих систем.

Рассмотрим  более подробно, какие проблемы возникают  при построении экранирующих систем. При этом мы будем рассматривать  не только проблему безопасного подключения  к Internet, но и разграничение доступа внутри корпоративной сети организации.

Первое, очевидное требование к таким системам, это обеспечение безопасности внутренней (защищаемой) сети и полный контроль над внешними подключениями и сеансами связи.

Во-вторых, экранирующая система должна обладать мощными и гибкими средствами управления для простого и полного воплощения в жизнь политики безопасности организации и, кроме того, для обеспечения простой реконфигурации системы при изменении структуры сети.

В-третьих, экранирующая система должна работать незаметно для пользователей локальной сети и не затруднять выполнение ими легальных действий.

В-четвертых, экранирующая система должна работать достаточно эффективно и успевать обрабатывать весь входящий и исходящий трафик в “пиковых” режимах. Это необходимо для того, чтобы firewall нельзя было, образно говоря, “забросать” большим количеством вызовов, которые привели бы к нарушению ее работы.

Пятое. Система обеспечения безопасности должна быть сама надежно защищена от любых несанкционированных воздействий, поскольку она является ключом к конфиденциальной информации в организации.

Шестое. В идеале, если у организации имеется несколько внешних подключений, в том числе и в удаленных филиалах, система управления экранами должна иметь возможность централизованно обеспечивать для них проведение единой политики безопасности.

Седьмое. Система Firewall должна иметь средства авторизации доступа пользователей через внешние подключения. Типичной является ситуация, когда часть персонала организации должна выезжать, например, в командировки, и в процессе работы им, тем немение, требуется доступ, по крайней мере, к некоторым ресурсам внутренней компьютерной сети организации. Система должна уметь надежно распознавать таких пользователей и предоставлять им необходимый доступ к информации.

(см.рис.6)

3.4. Язык программирования. Прозрачность и эффективность.

Система Solstice FireWall-1 имеет собственный встроенный обьектно-ориентированный язык программирования, применяемый для описания поведения модулей - Фильтров системы. Собственно говоря, результатом работы графического интерфейса администратора системы является сгенерированный сценарий работы именно на этом внутреннем языке. Он не сложен для понимания, что допускает непосредственное программирование на нем. Однако на практике данная возможность почти не используется, поскольку графический интерфейс системы и так позволяет сделать практически все, что нужно.

FireWall-1 полностью прозрачен для конечных пользователей. Еще одним замечательным свойством системы Solstice FireWall-1 является очень высокая скорость работы. Фактически модули системы работают на сетевых скоростях передачи информации, что обусловлено компиляцией сгенерированных сценариев работы перед подключением их непосредственно в процесс фильтрации.

Компания  Sun Microsystems приводит такие данные об эффективности работы Solstice FireWall-1. Модули фильтрации на Internet-шлюзе, сконфигурированные типичным для многих организаций образом, работая на скоростях обычного Ethernet в 10 Мб/сек, забирают на себя не более 10% вычислительной мощности процессора SPARCstation 5,85 МГц или компьютера 486DX2-50 с операционной системой Solaris/x86.

• Solstice FireWall-1 - эффективное средство защиты корпоративных сетей и их сегментов от внешних угроз, а также от несанкционированных взаимодействий локальных пользователей с внешними системами.
• Solstice FireWall-1 обеспечивает высокоуровневую поддержку политики безопасности организации по отношению ко всем протоколам семейства TCP/IP.
• Solstice FireWall-1 характеризуется прозрачностью для легальных пользователей и высокой эффективностью.

По совокупности технических и стоимостных характеристик  Solstice FireWall-1 занимает лидирующую позицию среди межсетевых экранов

4. Защита информации  путём ограничения  доступа

4.1. Ограничения доступа в WWW серверах.

Рассмотрим  два из них:

• Ограничить доступ по IP адресам клиентских машин;

• ввести идентификатор получателя с паролем  для данного вида документов.

Такого  рода ввод ограничений стал использоваться достаточно часто, т.к. многие стремятся  в Internet, чтобы использовать его коммуникации для доставки своей информации потребителю. С помощью такого рода механизмов по разграничению прав доступа удобно производить саморассылку информации на получение которой существует договор.

4.2. Ограничения по IP адресам.

Доступ  к приватным документам можно  разрешить, либо наоборот запретить используя IP адреса конкретных машин или сеток, например:

123.456.78.9

123.456.79.

В этом случае доступ будет разрешен (или  запрещен в зависимости от контекста) для машины с IP адресом 123.456.78.9 и для  всех машин подсетки 123.456.79.

4.3. Ограничения по идентификатору получателя.

Доступ  к приватным документам можно разрешить, либо наоборот запретить используя присвоенное имя и пароль конкретному пользователю, причем пароль в явном виде нигде не хранится.

Рассмотрим  такой пример: Агенство печати предоставляет свою продукцию, только своим подписчикам, которые заключили договор и оплатили подписку. WWW Сервер находится в сети Internet и общедоступен.(см.рис.7)

Любые дополнительные соединения с другими  сегментами или подключение к Интернет порождают новые проблемы. Атаки на локальную сеть через подключение к Интернету для того, чтобы получить доступ к конфиденциальной информации, в последнее время получили широкое распространение, что связано с недостатками встроенной системы защиты информации в протоколах TCP/IP.

4.3.1. Классификация сетевых  атак.

Сетевые атаки через Интернет могут быть классифицированы следующим образом:

• Сниффер пакетов (sniffer – в данном случае в смысле фильтрация) – прикладная программа, которая использует сетевую карту, работающую в режиме promiscuous (не делающий различия) mode (в этом режиме все пакеты, полученные по физическим каналам, сетевой адаптер отправляет приложению для обработки).
• IP-спуфинг (spoof – обман, мистификация) – происходит, когда хакер, находящийся внутри корпорации или вне ее, выдает себя за санкционированного пользователя.
• Отказ в обслуживании (Denial of Service – DoS). Атака DoS делает сеть недоступной для обычного использования за счет превышения допустимых пределов функционирования сети, операционной системы или приложения.
• Парольные атаки – попытка подбора пароля легального пользователя для входа в сеть.
• Атаки типа Man-in-the-Middle – непосредственный доступ к пакетам, передаваемым по сети.
• Атаки на уровне приложений.
• Сетевая разведка – сбор информации о сети с помощью общедоступных данных и приложений.
• Злоупотребление доверием внутри сети.
• Несанкционированный доступ (НСД), который не может считаться отдельным типом атаки, так как большинство сетевых атак проводятся ради получения несанкционированного доступа.
• Вирусы и приложения типа "троянский конь".