Сетевая безопасность. Базовые технологии безопасности. Технологии аутентификации

 

 

 

 

 

 

 

 

 

 

2. Виртуальные локальные сети VLAN, Интранет

2.1. Понятия Интранет  и локальных сетей VLAN

Широкое внедрение Интранет, где группы разбросанных по сети пользователей локальных сетей объединяются друг с другом с помощью виртуальных каналов VLAN (Virtual Local Area Network), потребовало разработки новых протоколов. Архитектура VLAN позволяет эффективно разделять трафик, лучше использовать полосу канала, гарантировать успешную совместную работу сетевого оборудования различных производителей и обеспечить высокую степень безопасности. При этом пакеты следуют между портами в пределах локальной сети. В последнее время для задач построения VLAN разработан стандартный протокол IEEE 802.10 (3-ий сетевой уровень). Этот протокол предполагает, что пакеты VLAN имеют свои идентификаторы, которые и используются для их переключения. Протокол может поддерживать работу 500 пользователей и более. Полное название стандарта - IEEE 802.10 Interoperable LAN/MAN Security (MAN - Metropolitan Area Network - региональная или муниципальная сеть). Стандарт принят в конце 1992 года. Количество VLAN в пределах одной сети практически не ограничено. Протокол позволяет шифровать часть заголовка и информационное поле пакетов.

2.2 Стандарт IEEE 802.10

С 2004 года стандарт 802.10 признан  устаревшим и заменен на 802.1Q.

Стандарт IEEE 802.10 определяет один протокольный блок данных (PDU), который носит название SDE (Secure Data Exchange) PDU. Заголовок пакета IEEE 802.10 имеет внутреннюю и внешнюю секции.

Рис. 2.1 Формат пакета IEEE 802.10

Поле чистый заголовок  включает в себя три субполя. MDF (Management Defined Field) является опционным и содержит информацию о способе обработки PDU. Четырехбайтовое субполе SAID (Security Association Identifier) - идентификатор сетевого объекта (VLAN ID). Субполе 802.10 LSAP (Link Service Access Point) представляет собой код, который указывает принадлежность пакета к протоколу VLAN. Предусматривается режим, когда используется только этот заголовок.

Защищенный заголовок  копирует себе адрес отправителя  из mac-заголовка (MAC - Media Access Control), что повышает надежность.

Поле ICV (Integrity Check Value) - служит для защиты пакета от несанкционированной модификации. Для управления VLAN используется защищенная управляющая база данных SMIB (Security Management Information Base).

Наличие VLAN ID (SAID) в пакете выделяет его из общего потока и  переправляет на опорную магистраль, через которую и осуществляется доставка конечному адресату. Размер поля Data определяется физической сетевой средой. Благодаря наличию mac-заголовка VLAN-пакеты обрабатываются как обычные сетевые кадры. По этой причине VLAN может работать в сетях TCP/IP (Appletalk или Decnet менее удобны). В среде типа Netbios работа практически невозможна. Сети ATM прозрачны для VLAN. Протокол VLAN поддерживается корпорацией cisco, 3com и др.. Хотя VLAN ориентирован на локальные сети, он может работать и в WAN, но заметно менее эффективно. В последнее время разработано большое число специальных программных средств сетевой безопасности. Среди них Firewall занимает лидирующее положение.

В разделе “Повторители, мосты (бриджи), мультиплексоры, переключатели и маршрутизаторы” упоминалась технология виртуальных сетей (VLAN). Созданная для целей безопасности эта техника оказалась полезной для структуризации локальных сетей, приводящей к улучшению их рабочих характеристик. В настоящее время доступны переключатели, маршрутизаторы и даже концентраторы, поддерживающие виртуальные сети.

Виртуальные сети просто необходимы, когда локальная сеть в пределах одного здания совместно используется несколькими фирмами, а несанкционированный доступ к информации желательно ограничить. Принцип построения виртуальной сети показан на рис. 2.2.

Рис. 2.2. Схема переключателя (или концентратора) с поддержкой VLAN.

Для формирования VLAN необходимо устройство, где возможно осуществлять управление тем, какие порты могут соединяться. Например, пусть запрограммирована возможность пересылки пакетов между портами 1, 3 и 6, 2 и 5, а также между портами 4, 7 и 8. Тогда пакет из порта 1 никогда не попадет в порт 2, а из порта 8 в порт 6 и т.д. Таким образом, переключатель как бы разделяется на три независимых переключателя, принадлежащих различным виртуальным сетям. Управление матрицей переключения возможно через подключаемый из вне терминал или удаленным образом с использованием протокола SNMP. Если система переключателей, концентраторов ( возможно маршрутизаторов) запрограммирована корректно, возникнет три независимые виртуальные сети.

Данная технология может  быть реализована не только в рамках локальной сети. Возможно выделение виртуальной сети в масштабах Интернет. В сущности, идея создания корпоративных сетей в Интернет (Интранет) является обобщением идей виртуальных сетей на региональные сети.

Такая корпоративная сеть должна иметь один шлюз для входа  в Интернет. Такой шлюз может выполнять функции Firewall, решая проблемы безопасности корпоративной сети. Для обмена через Интернет целесообразно использовать технологию VPN.

На практике для обеспечения  безопасности особенно при широком внедрении виртуализации используется комбинация самых разных защитных мер, так как традиционные схемы становятся не эффективными. Например, как это показано на рис. 2.3.

Рис. 2.3. Схема физической защиты виртуальных машин.

Современная практика виртуализации  предполагает работу нескольких виртуальных  машин (VM) на одном компьютере (как  на рисунке выше). При этом они  практически не защищены друг от друга. Чтобы защитить их друг от друга нужны дополнительные меры, например, супервизор.

 

 

3. Система Firewall

3.1 Эволюция угроз

Год	Событие
1921	Карел Чапек написал роман RUR о бунте роботов
1948	Джон Фон Нейман опубликовал  книгу "Общая и логическая теория автоматов". Обоснование воспроизведения.
1976	Джон Бруннер опубликовал фантастический роман "Shockwave Rider" (о компьютерных взломах)
1982	Сотрудниками фирмы Ксерокс  Джоном Шоком и Ионом Хуппом введен термин "червь"
1984	Кохем публикует "A short course on computer viruses" (краткий курс по компьютерным вирусам)
1986	Создан первый вирус для  области boot (Brain)
1987	Зарегистрировано первое семейство вирусов Иерусалим
1988	Создан мультиплатформенный  червь, способный перемещаться по Интернет
1991	Зарегистрирован вирус Микельанжело, вызвавший шок в прессе, но имевший малую опасность
1992	Создано первое полиморфное  семейство вирусов (MtE - Mutation Engine)
1995	Первые атаки макровируса W97M документов MS Word
1998	Создан первый Java-вирус (Strange Brew)
1999	Первые успешные атаки  червя VBS/Melissa систем, базирующихся на почтовой системе Outlook
2000	Появление вируса VBS/Loveletter - нанесшего наибольший урон. Первое вторжение в ОС Windows (Win32/Qazworm)
2001	-Детектирование вируса Sega Dreamcast. -Появление вируса, базирующегося на IM (Win32/Goner). -Первая атака червя Red против WEB-серверов.
2002	Появление вируса, способного заражать Macromedia Flash-файлы (ActnS/LFM.A)
2003	-Регистрация червя Win32/Sobig -Появление червя Blaster, использующего уязвимости Windows -Регистрация кода Win32/SQLSlammer, использующего уязвимости Mirosoft SQL-сервера -IRCbots (Internet Relay Chat) начал использоваться для управления botnet
2004	-Первый червь Perl/Sarty - WEB-червь, использующий Google -Первая война malware - Bagle/Netsky.Mydoom -Создание быстро распространяющегося почтового червя (Win32/Mydoom) -Регистрация первого червя для мобильных средств (SymbOS/Cabir)
2005	-Появление червя Lion, поражающего LINUX-серверы -Массовое распространение червя Win32/Sober -Регистрация троянского коня Win32/TrojanDownloader, маскирующегося под видео кодек -Появление первого кода ransomware (Win32/Cpcode trojan) -Появление Adware, первого фальшивого антивирусного средства с выпадающими иконками предупреждений
2006	-Зафиксирован червь Win32/VB.NEI (Kamasutra), который разрушает или стирает файлы на третий день месяца -Появился червь W97/TrojanDropper, атакующий файлы MS Word
2007	-Выявлена botnet "Storm", вовлеченная в рассылку SPAM (Win32/Nuwar) -Созданы программы для удаленного занесения в машины вредоносных кодов -Рост популярности целевых атак, использующих файлы MS Office (PPT,XLS, DOC) -Получил распространение код Win32/Spy.Zbot для кражи банковской информации
2008	-Появился вирус, заражающий Photo Frame Driver CD -Червь Win32/Conficker поразил миллионы рабочих станций, использующих Microsoft OS
2009	Зарегистрирована botnet с числом машин в сети более 1.900.000 с центром управления на Украине

3.2 Защита от  инсайдеров

Хотя наибольшие усилия тратятся для защиты от внешних атак, до 80% вреда наносится своими сотрудниками, партнерами и прикомандированными (инсайдеры), т.е. теми, кто имеет легальный  доступ к машинам локальной сети непосредственно. Проблема усугубляется тем, что грубый досмотр за сотрудниками может нанести также заметный вред.

Многие меры защиты носят  общий характер (пароли и политика безопасности), но существуют и специфические способы.

Прежде всего нужно наладить контроль за информационными потоками внутри сети. Данные об усредненных значениях потоков должны храниться и быть всегда доступны администратору. Главная задача при этом заключается в выработке критериев детектирования критических ситуаций. Скажем, если каждым субботним утром из сети компании уходит большой файл в какую-то страну, с которой у нее нет контактов, или по неизвестному адресу уходит большое число почтовых сообщений, это должно стать предметом немедленного расследования. Озабоченность должен вызывать и неожиданно быстрый рост журнальных файлов. Это может и не быть атакой, но интерес администратора вызвать такой факт должен.

Должен быть введен журнальный файл для всех сетевых событий, анализ журнального файла должен производиться программой, которая может автоматически уведомлять администратора о серьезных событиях.

Следует наладить контроль за доступом к критическим файлам (пароли, конфигурационные файлы, журнальные файлы, базы данных и т.д.). Для этой цели могут использоваться как коммерческие продукты, так и свои программы.

Нужно периодически сканировать  серверы и саму сеть на наличие  вредоносных, потенциально опасных и подозрительных файлов. Обычные антивирусные системы вполне приемлемы для этих целей.

Появление хакерского средства Khobe, которое позволяет обходить традиционные средства антивирусной защиты, делает борьбу против инсайдеров еще более актуальной.

Крайне полезны для  выявления внутреннего врага  и такие средства как Honeypot.

Крайне важно четко  определить области ответственности  и доступа для различных сотрудников (это относится к сфере политики безопасности - принцип RBAC - Role Base Access Control). Каждый сотрудник должен иметь минимально возможный уровень доступа. Упомяну и тривиальное соображение совершенствования системы управления доступом.

3.3 IDS (Intrusion Detection System)

Существует много методов  обмануть IDS (система детектирования попыток вторжения), например, перегрузив ее. Некоторые IDS имеют механизмы улучшения эффективности и это может быть использовано хакером, например, многие IDS игнорируют параметры, передаваемые в запросе GET. Можно обмануть IDS, используя медленное сканирование. Существует известная сигнатура атаки, содержащая в себе определенную строку в URL-запросе. Если представить ее в альтернативной кодировке с использованием символов %, IDS эту строку не распознает. Настройка IDS должна выполняться с учетом реальных угроз конкретной сети. Полагаться на то, что сервис провайдер имеет свою систему IDS, ни в коем случае нельзя. Следует также учитывать, что поставляемые вместе с IDS программы анализа журнальных файлов, требуют хорошей настройки. Настройка IDS сильно зависит от используемой ОС. Одним из способов атак является шестнадцатеричное кодирование параметров HTTP-запросов или использование для этих целей уникодов. Идея атаки заключается в том, что дешифровка такого представления параметров может в определенных случаях производится некорректно, что открывает хакерам дополнительные возможности. Еще одним недостатком IDS являются ложные тревоги, которые при достаточно высокой частоте могут, в конце концов, притупить внимание администратора к реальным угрозам или при большом их числе перегрузить журнальный файл.

Следует также учесть, что  на большом сервере или в Firewall генерируется до 50000 записей в сутки. "Ручной" просмотр такого объема данных не представляется реальным. Поэтому для этой цели нужно использовать специальные программы анализа журнальных файлов. Такие программы будут представлять результаты анализа в сжатой форме, а в особо важных случаях передавать администратору почтовое или IM-сообщение.

Для решения данной проблемы можно также привлечь технологию SIEM (Security Information & Event Management).

Следует иметь в виду, что возрастание входных пропускных способностей до уровня 100Гбит/c и выше делает системы IDS недостаточно эффективными несмотря на рост производительности современных машин. Проблема может быть решена на аппаратном уровне путем распараллеливания обработки входного информационного потока. Анализ сложных сигнатур атак может занимать достаточно много времени, а это приводит к большим задержкам отклика, что замедляет работу многих приложений. Задержка должна быть не более 100 Мксек, но в некоторых случаях задержка достигает 167 секунд, что совершенно не приемлемо. Получила распространение технология DPI (Deep Packet Inspection), позволяющая анализировать не только заголовки пакетов, но и поле данных.

IDS дает данные для сетевого  администратора, чтобы он, если сочтет  нужным, предпринял определенные  шаги. Иногда оказывается, что  действия администратора уже  запоздали. Исследования показывают, что запаздывание в 10 часов  дает 80% для успеха хакера, а при  20 часах вероятность вторжения  оказывается равной 95%, при 30 часах  задержки - успех хакера гарантирован, каким бы искусным ни был  администратор. При нулевой задержке  реакции на подготовку атаки  хороший администратор не оставляет  никаких шансов хакеру. Быстрая реакция на угрозу сокращает возможный ущерб не только для атакуемого объекта, но иногда и для всего Интернет-сообщества (может сократиться число пораженных сетевых объектов).

IDS представляет собой  окно в сеть, которое позволяет  администратору составить прогноз  в отношении сетевой безопасности.

3.4 Распознавание  атак по аномальному поведению

Распознавание атак по сигнатурам становится все более проблематичным. Во-первых, сигнатур становится настолько много (более 2 миллионов), что их перебор начинает поглощать все более заметные ресурсы процессора. Во-вторых, многие вредоносные коды содержат в себе механизмы активной вариации сигнатуры. Кроме того, не следует забывать об атаках нулевого дня, которые несут в себе наибольшую угрозу. Альтернативой сигнатурному распознаванию является регистрация аномального поведения машины или всей локальной сети, которое может быть сопряжено с атакой или вторжением.