Сетевая безопасность. Базовые технологии безопасности. Технологии аутентификации

В последнее время виртуализация  процессов, машин и т.д. становится одной из основных тенденций. У этой технологии имеется большое число  преимуществ (например, повышение эффективности  использования имеющихся ресурсов). Но виртуализация ставит и новые проблемы. В частности это относится к трудностям реализации выбранной политики безопасности.

Примерно 90% всех мобильных  приборов (лэптопы, MP3, USB-флэшки) не имеют необходимой защиты. Кроме того каждый год более одного миллиона компьютеров теряется или крадется, при этом менее 2% удается вернуть. Кража корпоративного laptop в среднем обходится в более чем 80000$. За два с половиной года было компрометировано 160000000 рекордов конфиденциальной информации.

Впервые зарегистрирован  случай заражения вирусом бортовой машины международной космической  станции. Заражение произошло через USB флэш-память (и это при тотальном контроле) .

 Расцвет сетевого воровства  происходит, в том числе и потому, что грабить человека, лица которого не видишь, психологически много проще.

При разработке средств защиты учет психологии как атакера, так  и его потенциальной жертвы совершенно необходим.

На следующем уровне размещается  архитектура безопасности сети и  составляющих систем (Firewall, системы управления доступом на прикладном уровне). Конечно, Firewall закрывает многие уязвимости, создаваемые дурным администрированием, но не все.

Далее следует уровень  безопасности специфических программ организации, так как именно они становятся чаще всего мишенями атаки. Например, FreeBSD имеет МАС-механизм (Mandatory Access Control), который препятствует приложению вести себя некорректным образом. Аналогичные возможности имеет SELinux (Security Enhanced Linux). Но конфигурирование этих систем весьма сложно. На этом же уровне работают списки доступа ACL (Access Contol List).

На вершине пирамиды находятся  системы IDS/IPS. К числу средств проверки безопасности компьютера или сети можно отнести сканер уязвимостей (например, NESSUS). Сочетание всех этих средств обеспечит 85% безопасности, но оставшиеся 15% закрыть крайне сложно.

При разработке новых устройств  и программ надо уже на стадии проектирования встраивать в них средства безопасности. Должны быть разработаны специальные курсы обучения тому, как писать безопасные программы, например, CGI.

Администратор может поменять стандартные значения номеров портов для обычных видов сервиса (SSH, FTP, WWW и т.д.). Это не делает данные сервисы безопасными, но заметно осложняет работу хакера. Он может просканировать порты и найти нужное значение, но это, вероятно, привлечет внимание администратора. Аналогично можно поменять имена некоторых системных утилит, например, cmd.exe, telnet.exe, tftp.exe и т.д.. При этом номера портов нужно будет задавать явно, что осложнит и работу обычных пользователей. Такие меры можно рассматривать в качестве дополнительных.

Одной из наиболее частых мишеней  атак являются базы данных, которые являются основой большинства информационных систем. Разработана схема, при которой исходная копия базы хранится на базовой ЭВМ, не связанной с Интернет. Копии этой базы передаются на компьютеры, которые обслуживают внешние сетевые запросы. При этом данные снабжаются цифровой подписью базовой ЭВМ. Вместе с откликом на запрос пользователь получает не только запрошенные данные, но и подтверждение того, что они получены из исходной базы. Как отклик, так и подтверждение снабжаются цифровой подписью, что позволяет клиенту проверить неискаженность полученных данных.

Пользователь сети должен ответить себе на следующие вопросы:

Почему могут атаковать  его сервер или рабочую станцию?

Какие угрозы и при каких условиях могут ему угрожать?

На сколько надежно и от каких угроз защищена сеть?

Ответив на эти вопросы, он сможет определить, какие средства защиты следует использовать. Некоторые  пользователи, зная, что работают за Firewall, или, что почтовый сервер снабжен  антивирусной защитой, считают, что  им ничего не грозит. При этом никогда  не следует исходить из предположения, что если у вас нет никакой привлекательной для воров информации, то ваша машина в безопасности. Она может быть нужна хакерам для атак других ЭВМ, для рассылки SPAM и т.д. Ваша ЭВМ может быть привлекательна для хакера просто потому, что плохо защищена. Конечно, сетевая безопасность является областью ответственности администраторов, но пользователи должны понимать, от чего они защищены, а от чего - нет.

При работе с беспроводными  сетями следует использовать VPN с  шифрованием. Беспроводное оборудование должно отключаться сразу после завершения использования.

Администраторы должны выдавать новый пароль в случае утраты, только позвонив предварительно клиенту по телефону.

В случае работы с беспроводными  сетями при выявлении подозрительного объекта желательно его локализовать. Это может быть сделано с помощью узконаправленной антенны c аттенюатором входного сигнала. Помочь этому может программа GSP, поставляемая вместе с Kismet. Система аудита беспроводной сети должна непрерывно контролировать сотни устройств внутри и вблизи здания, где работает мониторируемая беспроводная сеть.

Существуют специальные  средства выявления уязвимостей  сети. Следует учитывать, что полный доклад о таких уязвимостях может иметь размер телефонной книги. В такой ситуации трудно решить, с чего начать, если число уязвимостей больше 10000. Одним из возможных подходов является использование этих данных совместно с результатами работы IDS. Это сделано, например, в ESM (Enterprise Security Management) или в SIM (Security Information Management).

Выявление все новых уязвимостей  вынуждает более внимательно  относиться системам обновлений (patches). В случае обеспечения безопасности отдельной ЭВМ применима системы Microsoft SMS (System Management Server) и SUS (Software Update Service). Существуют и общедоступные средства, например, www.patchmanagement.org. Следует учитывать, что процесс копирования и обновления ОС или приложений является сам уязвимым и проводить его следует со всеми возможными предосторожностями.

Хорошие результаты с точки  зрения безопасности могут быть получены, если запретить пользователям устанавливать  программное обеспечение по своему усмотрению.

3.8 Распознавание  авторов злонамеренных почтовых  сообщений

Электронная почта является одним из самых широко используемых средств злоумышленников (от рассылки SPAM до заражения машин вредоносными кодами). Злоумышленники предпринимают различные меры, чтобы скрыть свой истинный адрес. Сообщение может быть послано через прокси-сервер, из кафе или из взломанной чужой машины.

В США разрабатываются  средства распознавания авторства  таких анонимных сообщений. Эти средства базируются на анализе словарного запаса, характерных ошибках, стиля написания сообщений, длинах предложений и т.д.

Испытание метода было проведено  для базы данных, содержащей 200000 образцов писем от 158 отправителей и для 10 разных предметов (тем). Испытание показало, что вероятность распознавания  составляет 80-90%. Разработчики считают, что эта методика будет использована в судах США при установлении авторства сообщений.

 

 

 

 

 

 

 

 

 

 

 

 

4. Аутентификация в Интернет

Аутентификационные требования вычислительных систем и сетевых  протоколов варьируются в весьма широких пределах. Пароли, которые  уязвимы для атак пассивного типа, не могут удовлетворить требованиям современного Интернет (CERT94). А помимо пассивных атак в сетевой среде сплошь и рядом предпринимаются активные методы (Bellovin89, Bellovin92, Bellovin93, CB94, Stoll90). Так как масштаб сетевых угроз нарастает лавинообразно, приходится разрабатывать все более изощренные алгоритмы аутентификации (идентификации) людей, машин и процессов. Вектор развития этой технологий направлен на многопараметрические методы аутентификации.

Существует некоторое  число различных классов аутентификации, начиная с полного ее отсутствия до очень строгих механизмов контроля. Для различных целей могут использоваться разные виды аутентификации.

4.1 Отсутствие  аутентификации

Простейшая аутентификационная система не имеет аутентификации вовсе. Изолированная от сети частная персональная ЭВМ является примером, где аутентификация не нужна. Другим примером может служить автономная общедоступная рабочая станция, обслуживающая некоторые конференции, где раскрытие информации или ее модификация не являются критическими.

4.2 Аутентификационные  механизмы, уязвимые для пассивных  атак

Простая проверка пароля является наиболее общей формой аутентификации. Простые аутентификационные проверки имеют различные формы: ключ может быть паролем, запомненным пользователем, он может быть физическим или электронным объектом, принадлежащим пользователю, он может быть уникальной биологической характеристикой. Простые аутентификационные системы считаются "раскрывающими", так как, если ключ передается по сети, он может быть перехвачен злоумышленником. Имеются сообщения об успешных пассивных атаках в Интернет с помощью “расколотых” уже ЭВМ (CERT94). Механизмы раскрывающей аутентификации уязвимы для атак “воспроизведения”. Ключи доступа могут быть запомнены в атакуемой машине и при наличии бреши в системе безопасности можно получить доступ ко всем паролям. Обычно форма хранения паролей допускает их сверку, но не чтение.

4.3 Аутентификационные  механизмы, уязвимые для активных  атак

Не раскрывающие парольные  системы созданы для предотвращения атак воспроизведения. Разработано  несколько систем для генерации  не раскрываемых паролей. Система аутентификации S/Key (TM), разработанная в Bellcore, генерирует много одноразовых паролей из одного секретного ключа (Haller94). В системах одноразовых паролей они могут меняться один раз в минуту или даже чаще, такие системы часто используют аппаратные средства. Bellcore не использует физических объектов (token), поэтому удобна для аутентификации машина-машина. Аутентификация S/Key не требует запоминания секретного ключа пользователя, что является преимуществом при работе с ненадежными вычислительными системами. В ее сегодняшнем виде система S/Key уязвима для переборных атак со словарем в случае неудачного выбора пароля. Система CHAP протокола PPP не является раскрывающей, но применима только локально (LS92, Simpson93).

4.4 Аутентификационные  механизмы, не уязвимые для  пассивных атак

По мере расширения применения сетей растет необходимость более  жесткой аутентификации. В открытых сетях большое число пользователей могут получить доступ к информации, переносимой по сети. При желании пользователь может сымитировать ситуацию, при которой посланная им информация будет восприниматься, как посланная другим сетевым объектом.

Более мощные аутентификационные системы используют вычислительные возможности партнеров, участвующих в процессе аутентификации. Аутентификация может быть однонаправленной, например аутентификация пользователей в вычислительной системе, или она может быть взаимной, когда оба партнера должны идентифицировать друг друга. Некоторые системы аутентификации используют криптографические методы и формируют общий секретный код (например, ключ сессии), который может быть использован при последующем обмене. Например, пользователю после завершения процесса аутентификации может быть предоставлен аутентификационный билет, который может быть использован для получения других услуг без дополнительной аутентификации. Эти системы аутентификации могут также обеспечить, когда требуется, конфиденциальность (используя шифрование) при передаче данных по незащищенным сетям.

Технология LDAP

Популярность технологии каталожных сервисов LDAP продолжает расти. LDAP была разработана в 1993 году в университете Мичигана. Данный список включает только основные документы RFC, посвященные LDAP.

- RFC-4511 - Описание протокола

- RFC-4512 - Информационная модель каталогов

- RFC-4513 - Методы аутентификации и механизмы безопасности

- RFC-4514 - Представление строк для уникальных имен (DN)

- RFC-4515 - Представление строк для поисковых фильтров

- RFC-4516 - URL

- RFC-4517 - Синтаксис и правила согласования

- RFC-4518 - Подготовка интернацианализованных строк

- RFC-4519 - Схема пользовательских приложений

Эта техника явилась исходной моделью для разработки Microsoft Active Directory и MSDN (Microsoft Developer Network), она поддерживает современные технологии аутентификации, такие как карты доступа и биометрические устройства контроля. LDAP является стандартным Интернет протоколом для каталогов, где хранятся данные об аккаунте пользователя. Первоначально эта разработка служила для взаимодействия со стандартом каталогов Х.500 (ITU - Международный Телекоммуникационный союз)). Но к 1997 году, когда появились уже версии LDAPv2 и v3, функциональность была существенно расширена (были включены сервисы аутентификации и безопасности TLS и SSL). LDAP работает как в среде LINUX, так и в Windows. В рамках LDAP каждому пользователю присваивается уникальное имя DN. Каждое DN имеет несколько атрибутов, которые детально определяют доступ пользователя к дереву каталогов. DN является объектом, который может быть использован при написании программы управления на объектно-ориентированных языках. DN может быть встраиваться в URL и доступен через DNS-сервисы. На его основе были созданы Интернет протоколы XED (XML Enabled Directory) и DSML (Directory Service Markup Language). LDAP поддерживает сервисы динамических каталогов. Последние улучшения были связаны в основном с разработкой разнообразных GUI.

4.5  Криптография

Криптографические механизмы  широко используются для осуществления аутентификации в современных сетях. Существует два базовых вида криптографии (симметричная и асимметричная). Одной из фундаментальных проблем для криптографии является транспортировка секретных ключей. Для этой цели может использоваться и квантовая криптография.

Симметричная  криптография

Симметричная криптография включает в себя все системы, которые  используют один и тот же ключ для шифрования и дешифрования. Таким образом, если кто-либо получит ключ, он сможет дешифровать и читать информацию, зашифрованную с его помощью. Такое лицо сможет шифровать и посылать любые данные, выдавая их за информацию, посланную легальным владельцем этого секретного ключа. Это означает, что знание ключа нежелательным третьим лицом полностью компрометирует конфиденциальность системы. Следовательно, используемые ключи должны доставляться безопасным способом, либо курьером, либо с применением специального протокола пересылки ключей, лучшим из которых является алгоритм Нидхэма-Шрёдера (NS78, NS87). Широко используется алгоритм DES (Data Encryption Standard), который был стандартизован для защиты правительственной информации в США. Он представляет собой один из лучших симметричных алгоритмов шифрования (NBS77).