Сетевая безопасность. Базовые технологии безопасности. Технологии аутентификации

На первый взгляд метод  представляется достаточно простым. Фиксируются усредненные значения статусных параметров системы, и любые статистически значимые отклонения от этих усредненных величин должны вызывать сигналы тревоги. Но это, как правило не так. Во-первых, статистические распределения большинства статусных параметров являются нестационарными. Во-вторых, система (машина или сеть) являются динамическими объектами, там могут запускаться и прекращаться некоторые вычислительные или обменные процессы, как внутри самой машины или сети, так и во вне.

По этим причинам в системе  должна постоянно работать программа  мониторинга всех процессов. Нужно знать перечень процессов, которые активны на ЭВМ. Кроме того, для каждого приложения должен быть сформирован профайл, где описываются характеристики всех режимов работы этого приложения. В это описание нужно включить, в том числе все объекты, с которыми приложение может обмениваться данными. Если появляются новые объекты, с которыми приложение собирается обмениваться информацией, их характеристики должны быть немедленно включены в профайл.

Для локальной сети с большим  числом машин, такой мониторинг может  представлять серьезную проблему. Чтобы  облегчить задачу, сеть следует структурировать, разбивая ее на несколько VLAN. Особую проблему могут создавать виртуальные  машины, которые следует мониторировать независимо.

Но в случае правильного  конфигурирования и инсталляции  системы детектирования атак по аномальному поведению достаточно эффективны. Именно за этой технологией будущее. Но считать, что сигнатурный анализ атак потерял актуальность, было бы не верно. Многие, особенно целевые атаки, начинаются с разведки - выявляется тип ОС, тип оборудования и особенности приложений. Такая разведка может быть без труда детектирована методами сигнатурного анализа.

3.5 Методы противодействия вторжениям

Прежде чем обсуждать  средства противодействия, следует  рассмотреть пути и методы вторжения  и причины потери критических  данных. Эта информация позволит более осознанно строить линию обороны.

Практика показывает, что 60% компаний, подвергшихся серьезному сетевому вторжению, уже не могут восстановить свой имидж и в течение года прекращают свое существование. Но даже компаниям, которым удалось избежать такой печальной судьбы, приходится нести тяжелые убытки. Важным свойством корпоративной системы становится время восстановления после катастрофического вторжения.

В феврале 2005 Банк Америки  потерял ленты резервных копий  данных, содержащих персональную информацию о 1,2 миллионах клиентах, аналогичная история произошла Ситигруп в июне 2005, когда были потеряны ленты с данными о 3,9 миллионах клиентах. Компания ESG считает, что потеря одного рекорда обходится в 30-150 долларов. Эти инциденты показывают, насколько актуальным является использование криптографии при создании резервных копий. Но несмотря на эти события до 75% компаний до сих пор не используют криптографические методы для резервного копирования (это относится к концу 2005). Во многих штатах США приняты законы, обязывающие компании, хранящие у себя персональные данные граждан (налоговые номера, адреса, даты рождения, номера кредитных карт, медицинские карты и т.д.), уведомлять заинтересованных лиц не только о случаях кражи этих данных, но даже при подозрении, что к этим данным получило доступ неавторизованное лицо.

- Безопасность системы хранения данных не сводится к созданию надежной системы резервного копирования.

- Безопасность не зависит от используемого протокола (IP или Fibre Channel).

- Криптозащита данных не может считаться панацеей, это всего лишь один из рубежей обороны.

- Важным моментом в деле обеспечения информационной безопасности является согласованность действий всех подразделений предприятия.

- При организации работ с данными нужно четко определить, кто должен к ним иметь доступ, а кто - нет.

- Доступность очень часто не означает дозволенность. Сюда относятся черные ходы (люки), а также доступ лиц, которые в этом доступе по характеру работы не нуждаются.

Локальная сеть должна быть разумным образом поделена на субсети  и VLAN, что осложняет действия локальных атакеров. Для копирования каких-то файлов коллегами может быть открыт доступ к какому-то каталогу или файлу, но по завершении операции доступ не перекрывается, чем могут воспользоваться как локальные, так и удаленные хакеры. Особое внимание должно уделяться безопасности DNS- и почтового серверов, так как именно их атакеры проверяют на прочность первыми.

В последнее время в  связи с широким использованием мобильных средств появилась  потребность аутентификации мобильных  удаленных пользователей и процессов в рамках VPN. Для этой цели часто используется многопараметрическая аутентификация и средства генерации одноразовых паролей (OTP).

Одним из наиболее эффективных  способов защиты информации является шифрование сообщений, что к сожалению заметно увеличивает время отклика (шифрование-дешифрование). Задержки при большом входном трафике могут привести к блокировке сервера.

Начинать нужно с классификации  информации и сетевых объектов в  сети компании, определения зон ответственности и доступа различных сотрудников.

Если в сети компании установлен Firewall, автоматически обновляемая антивирусная программа, система обновления прикладных и системных программ, IPS/IDS, VPN и система фильтрации почты и WEB-данных, это еще не гарантирует 100% безопасности. Все эти барьеры легко можно обойти.

Наиболее эффективными являются простые правила предосторожности, диктуемые здравым смыслом.

- Не устанавливать на машине программ, назначение которых не известно. Еще лучше, но редко осуществимо, запретить пользователям самостоятельно инсталлировать программное обеспечение.

- Не стоит без разбора кликать мышкой на кнопках просматриваемых страниц, например на "click her to close" (функция этой кнопки на неизвестном сайте может быть много "богаче"), лучше закрыть страницу, если сайт не известен.

- Не следует открывать сообщения SPAM и не кликать мышкой на ссылках в таких сообщениях.

- По возможности не использовать программы файлового обмена peer-to-peer (P2P).

- нужно точно знать,  сто настройки браузера запрещают какую-либо загрузку, не спросив разрешения пользователя.

- Установить экран, осуществляющий фильтрацию трафика в реальном времени, и выполнять регулярное сканирование системы.

Мировой опыт обеспечения  безопасности говорит о том, что  нельзя обойтись каким-то одним программным  средством мониторинга и защиты. По этой причине лучше иметь несколько  средств различной функциональности, полученных из разных и достойных доверия источников. Для выявления вирусов, spyware и rootkit можно заглянуть, соблюдая осторожность, на следующие серверы:

http://vil.nai.com/vil/stinger

http://www.spybot.info/en/index.html

http://www.microsoft.com/athome/security/spyware/software/default.mspx

http://www.sysinternals.com/Utilities/RootkitRevealer.html

http://greatis.com/unhackme

http://www.f-secure.com/blacklight

Можно использовать некоторые общедоступные программные средства сканирования. Ниже приведен список таких источников (но перед их установкой лучше провести проверку на наличие в них самих malware):

http://www.pestpatrol.com/prescan.htm

http://www.ewido.net/en/onlinescan

http://housecall.trendmicro.com/

http://www.pandasoftware.com/products/activescan

Следует проверить все  потенциально опасные места в  системе компьютера, такие как каталог startup Windows, Startup tab в файле msconfig, а также любые ключи регистра. Небесполезно просмотреть и содержимое всех временных каталогов Windows temp . Таким образом нужно просканировать всю систему. Полезно время от времени вообще удалять содержимое всех пользовательских и системных каталогов типа TEMP, а также cookie. Крайне полезно отслеживать, желательно автоматически, любые изменения конфигурационных файлов.

Следует загрузить системный Process Explorer и просмотреть загруженные процессы и приложения. Это может выявить работающие malware. Для поиска malware, подключенного к локальным портам TCP или UDP можно запустить Foundstone's Vision. Можно использовать сетевой анализатор (например, CommView или Ethereal), что посмотреть, что происходит в сетевом сегменте.

Следует удалить (выгрузить) любые программы, если вы подозреваете их зараженность, после чего повторите  сканирование. Может так случиться, что в системе присутствуют файлы, заблокированные против стирания или  помещенные под карантин программой удаления, это могут быть вредоносные коды.

Не следует посещать сайты, где вместо имени указан IP-адрес. Это может быть взломанный домашний компьютер, используемый для распространения malware.

Нужно заблокировать восстановление и перезагрузку системы в safe mode и после этого запустите программу детектирования/удаления вирусов/spyware. Для этой цели хороши программы, поставляемые на бутабельном CD.

Может так случиться, что  проблемы связаны с повреждением программы или неисправностью оборудования, а не с malware. Нужно реинсталлировать Windows или поврежденное приложение. Если это не помогает, необходимо вернуть систему к состоянию, когда она работала, восстановив конфигурацию оборудования.

Не  следует безгранично полагаться на Google или другую поисковую систему в отношении рекомендуемых программ детектирования и очистки системы от malware. Сайты ведущих поставщиков соответствующего программного обеспечения (Symantec, Trend Micro, Sophos и др.) наиболее безопасны для устранения имеющихся проблем в системе.

Необходимо хэшировать подозрительный файл с помощью, например, HashCalc и сравнить с результатом, полученным для заведомо рабочей копии этого файла.

На уровне фирмы или  организации необходим специальный  план реагирования на любой сетевой инцидент. Одно дело очистить одну или две машины и совершенно другое - выполнить то же самое для целой сети. Ниже приведен список ссылок, которые могут быть полезными для решения рассмотренных проблем:

http://csrc.nist.gov/publications/nistpubs/800-83/SP800-83.pdf

http://csrc.nist.gov/publications/nistpubs/800-61/sp800-61.pdf

http://www.first.org/resources/guides

http://cirt.rutgers.edu/tools.php

3.6 Firewall

Традиционные Firewall постепенно замещаются программами, способными анализировать не только заголовки, но и данные, например, XML-firewall или WEB-сервис firewall. Следует иметь в виду, что наличие Firewall сети или отдельной ЭВМ не является гарантией безопасности, в частности потому, что сама эта программа может стать объектом атаки. XML-firewall анализирует содержимое (поле данных пакетов) сообщений и контролирует аутентификацию, авторизация и акоунтинг. Различие между XML-firewall и WEB-сервис firewall заключается в том, что последний не поддерживает открытые стандарты. В настоящее время Firewall должны контролировать четыре аспекта:

- Целостность сообщений;

- Предотвращение DoS атак;

- Защита с учетом анализа данных;

- Аутентификация и авторизация.

До недавнего времени  компания CISCO хранила пароли в конфигурационных файлах в виде открытого текста, теперь они собираются использовать хешированное хранение паролей.

Но современные ЭВМ  легко позволяют подобрать пароль при наличии хеша (2ГГц Intel может проверить 5000 паролей в сек). По этой причине нужно ограничить доступ к файлу хешей паролей. Табличный метод (rainbow tables) может ускорить подбор на порядок.

Многофакторная аутентификация является, похоже, единственной альтернативой современной системе паролей. Здесь имеется в виду использование сертификатов, ID-карт пользователей, и контроль их биометрических данных (отпечатков пальцев, голоса или радужной оболочки глаза).

Многие администраторы, установив Firewall, IDS и антивирусную защиту, считают задачу обеспечения сетевой безопасности выполненной. К сожалению, это лишь небольшая часть мер обеспечения безопасности. При проектировании системы безопасности полезно иметь в виду пирамиду Maslow'а (смотри рис. 7). Начинать надо с проектирования основания пирамиды, где расположено управление обновлением программных продуктов (Patches) и организация основных процедур. Это логично, так как хакеры обычно фокусируют свои усилия на известных уязвимостях ОС или приложений, и своевременное их обновление, блокирующее выявленные слабости, крайне важно. Такие обновления должны сначала тестироваться с целью детектирования возможных негативных последствий, прежде чем они будут рекомендованы или установлены на всех ЭВМ организации. Источник обновления должен также проверяться всеми возможными средствами. Выполнение обновлений должно поручаться квалифицированному персоналу. Должны быть разработаны инструкции для базовых операций администрирования ЭВМ и сети в целом. Сюда входят операции аутентификации и авторизации, контроля качества паролей, шифрование административного трафика, обслуживание журнальных файлов и т.д.

Рис. 3.1 Пирамида Maslow

3.7 VLAN и VPN

Несколько увеличить безопасность может применение VLAN или VPN. Эти технологии не дают абсолютной защиты, но заметно  поднимают уровень безопасности. Здесь нужно разделять истинные VPN и виртуальные сети, формируемые  в рамках протокола MPLS. Последние помогают улучшить ситуацию лишь незначительно. Хотя пометка определенных потоков с помощью DSCP, меток MPLS или IPv6, не давая реальной защиты, заметно усложняют работу хакера (что само по себе уже неплохо). Фирменные VPN достаточно эффективны, но включение в них мобильных laptop делает их уязвимыми, так как невозможно проконтролировать контакты такой машины, когда она находится вне VPN (возможно заражение, которое при последующем подключение к VPN может скомпрометировать всю эту сеть). По этой причине в некоторых компаниях перед подключением к сети такая машина контролируется на наличие в ней вредоносных кодов. Стационарные удаленные компьютеры рекомендуется снабжать полным комплектов детекторов вредоносных программ и программным Firewall. Но это не дает гарантии, так как laptop может попасть в руки детей или знакомых, а они могут зайти на какой-то неблагополучный WEB-сайт и там получить троянского коня или spyware. Они не знакомы с корпоративными правилами сетевой безопаности и не обязаны их выполнять. В обзоре "Дома они расслабляются" приведены исчерпывающие цифры исследований того как ведут себя и как к этому относятся сотрудники фирм, работающие время от времени в корпоративной сети удаленно (из дома). Усилить безопасность может использование протокола IPSec (Internet Protocol Security)