ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 04.05.2024
Просмотров: 17
Скачиваний: 0
Інформаційна безпека Екранування, аналіз захищеності План
1 Екранування
1.1 Основні поняття
1.2 Архітектурні аспекти
1.3 Класифікація міжмережевих екранів
2 Аналіз захищеності
1 Екранування
1.1 Основні поняття
Формальна постановка задачі екранування, полягає в наступному. Хай є дві безліч інформаційних систем. Екран - цей засіб розмежування доступу клієнтів з однієї множини до серверів з іншої множини. Екран здійснює свої функції, контролюючи всі інформаційні потоки між двома безліччю систем (рис. 12.1). Контроль потоків полягає в їх фільтрації, можливо, з виконанням деяких перетворень.
Рис. 12.1. Екран як засіб разограничения доступу.
На наступному рівні деталізації екран (напівпроникну мембрану) зручно представляти як послідовність фільтрів. Кожний з фільтрів, проаналізувавши дані, може затримати (не пропустити) їх, а може і відразу "перекинути" за екран. Крім того, допускається перетворення даних, передача порції даних на наступний фільтр для продовження аналізу або обробка даних від імені адресата і повернення результату відправнику (рис. 12.2).
Рис. 12.2. Екран як послідовність фільтрів.
Крім функцій розмежування доступу, екрани здійснюють протоколювання обміну інформацією.
Звичайно екран не є симетричним, для нього визначені поняття "всередині" і "зовні". При цьому задача екранування формулюється як захист внутрішньої області від потенційно ворожої зовнішньої. Так, міжмережеві екрани (МЕ) (запропонований автором переклад англійського терміну firewall) частіше за все встановлюють для захисту корпоративної мережі організації, що має вихід в Internet (див. наступний розділ).
Екранування допомагає підтримувати доступність сервісів внутрішньої області, зменшуючи або взагалі ліквідовуючи навантаження, викликане зовнішньою активністю. Зменшується уразливість внутрішніх сервісів безпеки, оскільки спочатку зловмисник повинен подолати екран, де захисні механізми конфігуровані особливо ретельно. Крім того, екрануюча система, на відміну від універсальної, може бути влаштована більш простим і, отже, більш безпечним чином.
Екранування дає можливість контролювати також інформаційні потоки, направлені в зовнішню область, що сприяє підтримці режиму конфіденційності в ІС організації.
Підкреслимо, що екранування може використовуватися як сервіс безпеки не тільки в мережній, але і в будь-якому іншому середовищі, де відбувається обмін повідомленнями. Найважливіший приклад подібного середовища - об’єктно-орієнтовані програмні системи, коли для активізації методів об’єктів виконується (принаймні, в концептуальному плані) передача повідомлень. Мабуть, що в майбутніх об’єктно-орієнтованих середовищах екранування стане одним з найважливіших інструментів розмежування доступу до об’єктів.
Екранування може бути частковим, захищаючим певні інформаційні сервіси. Екранування електронної пошти описано в статті "Контроль над корпоративною електронною поштою: система "Дозор-Джет"" (Jet Info, 2002, 5).
Обмежуючий інтерфейс також можна розглядати як різновид екранування. На невидимий об’єкт важко нападати, особливо за допомогою фіксованого набору засобів. В цьому значенні Web-інтерфейс володіє природним захистом, особливо у тому випадку, коли гіпертекстові документи формуються динамічно. Кожний користувач бачить лише те, що йому належить бачити. Можна провести аналогію між динамічно формованими гіпертекстовими документами і уявленнями в реляційних базах даних, з тією істотною обмовкою, що у разі Web можливості істотно ширше.
Екрануюча роль Web-сервісу наочно виявляється і тоді, коли цей сервіс здійснює посередницькі (точніше, интегрирующие) функції при доступі до інших ресурсів, наприклад таблицям бази даних. Тут не тільки контролюються потоки запитів, але і ховається реальна організація даних.
1.2 Архітектурні аспекти
Боротися із загрозами, властивими мережному середовищу, засобами універсальних операційних систем не представляється можливим. Універсальна ОС - це величезна програма, що напевно містить, крім явних помилок, деякі особливості, які можуть бути використані для нелегального отримання привілеїв. Сучасна технологія програмування не дозволяє зробити такі великі програми безпечними. Крім того, адміністратор, що має справу з складною системою, далеко не завжди в змозі врахувати всі наслідки вироблюваних змін. Нарешті, в універсальній розрахованій на багато користувачів системі пролому в безпеці постійно створюються самими користувачами (слабкі и/или рідко змінні паролі, невдало встановлені права доступу, залишений без нагляду термінал і т.п.). Єдиний перспективний шлях пов’язаний з розробкою спеціалізованих сервісів безпеки, які через свою простоту допускають формальну або неформальну верифікацію. Міжмережевий екран якраз і є таким засобом, що допускає подальшу декомпозицію, пов’язану з обслуговуванням різних мережних протоколів.
Міжмережевий екран розташовується між мережею і зовнішнім середовищем, що захищається (внутрішньої) (зовнішніми мережами або іншими сегментами корпоративної мережі). В першому випадку говорять про зовнішній МЕ, в другому - про внутрішнє. Залежно від точки зору, зовнішній міжмережевий екран можна вважати першим або останньою (але ніяк не єдиної) лінією оборони. Першої - якщо дивитися на світ очима зовнішнього зловмисника. Останньої - якщо прагнути захищеності всіх компонентів корпоративної мережі і припинення неправомірних дій внутрішніх користувачів.
Міжмережевий екран - ідеальне місце для вбудовування засобів активного аудиту. З одного боку, і на першому, і на останньому захисному рубежі виявлення підозрілої активності по-своєму важливе. З другого боку, МЕ здатний реалізувати скільки завгодно могутню реакцію на підозрілу активність, аж до розриву зв’язку із зовнішнім середовищем. Правда, потрібно віддавати собі звіт в тому, що з’єднання двох сервісів безпеки у принципі може створити пролом, сприяючий атакам на доступність.
На міжмережевий екран доцільно покласти ідентифікацію/аутентифікацію зовнішніх користувачів, потребуючих в доступі до корпоративних ресурсів (з підтримкою концепції єдиного входу в мережу).
Через принципи эшелонированности оборони для захисту зовнішніх підключень звичайно використовується двокомпонентне екранування (див. мал. 12.3). Первинна фільтрація (наприклад, блокування пакетів управляючого протоколу SNMP, небезпечного атаками на доступність, або пакетів з певними IP-адресами, включеними в "чорний список") здійснюється граничним маршрутизатором (див. також наступний розділ), за яким розташовується так звана демілітаризована зона (мережа з помірним довір’ям безпеці, куди виносяться зовнішні інформаційні сервіси організації - Web, електронна пошта і т.п.) і основний МЕ, захищаючий внутрішню частину корпоративної мережі.
Рис. 12.3. Двокомпонентне екранування з демілітаризованою зоною.
Теоретично міжмережевий екран (особливо внутрішній) повинен бути багатопротокольним, проте на практиці домінування сімейства протоколів TCP/IP таке велике, що підтримка інших протоколів представляється надмірністю, шкідливою для безпеки (чим складніше сервіс, тим він більш уразливий).
Взагалі кажучи, і зовнішній, і внутрішній міжмережевий екран може стати вузьким місцем, оскільки об’єм мережного трафіку має тенденцію швидкого зростання. Один з підходів до рішення цієї проблеми припускає розбиття МЕ на декілька апаратних частин і організацію спеціалізованих серверів-посередників. Основний міжмережевий екран може проводити грубу класифікацію вхідного трафіку по видах і передовіряти фільтрацію відповідним посередникам (наприклад, посереднику, що аналізує HTTP-трафік). Витікаючий трафік спочатку обробляється сервером-посередником, який може виконувати і функціонально корисні дії, такі як кешування сторінок зовнішніх Web-серверів, що знижує навантаження на мережу взагалі і основний МЕ зокрема.
Ситуації, коли корпоративна мережа містить лише один зовнішній канал, є швидше виключенням, ніж правилом. Навпаки, типова ситуація, при якій корпоративна мережа складається з декількох сегментів, що територіально рознесли, кожний з яких підключений до Internet. В цьому випадку кожне підключення повинне захищатися своїм екраном. Точніше кажучи, можна вважати, що корпоративний зовнішній міжмережевий екран є складовим, і вимагається вирішувати задачу злагодженого адміністрування (управління і аудиту) всіх компонентів.
Протилежністю складовим корпоративним МЕ (або їх компонентами) є персональні міжмережеві екрани і персональні екрануючі пристрої. Перші є програмними продуктами, які встановлюються на персональні комп’ютери і захищають тільки їх. Другі реалізуються на окремих пристроях і захищають невелику локальну мережу, таку як мережу домашнього офісу.
При розгортанні міжмережевих екранів слід дотримувати розглянуті нами раніше принципи архітектурної безпеки, в першу чергу поклопотавшися про простоту і керованість, про эшелонированности оборони, а також про неможливість переходу в небезпечний стан. Крім того, слід брати до уваги не тільки зовнішні, але і внутрішні загрози.
