Механизмы защиты информации

Способы предотвращения удаленных атак на информационные системы

Удаленные атаки были бы не осуществимы, если бы на каждое сетевое соединение была выделена отдельная линия связи, но инфраструктура сетей общего пользования не предусматривает соединения по принципу выделенного канала для каждого сетевого объекта. Альтернативой выделенному каналу связи стало использование защищенных виртуальных соединений по технологиям VPN (Virtual Private Network – виртуальные частные сети). Данному механизму посвящен отдельный раздел "Виртуальные частные сети (VPN)".

Задача идентификации и аутентификации пользователей в распределенной сети имеет чрезвычайно важное значение. От успеха ее решения зависит безопасность информационной системы в целом. Как выше было рассмотрено, стандартными способами компрометации пользователей злоумышленником являются:

• выдача себя за легального пользователя с присвоением его прав и полномочий для доступа в систему (например, типовая удалённая атака "MITM");
• внедрение в систему ложного объекта, выдающего себя за доверенный объект системы (например, типовая удалённая атака "Ложный объект сети").

Исходя из того, что стандартные методы идентификации и аутентификации (имя/ пароль) в информационных системах не достаточны для защиты от удалённых атак на неё, необходимо введение дополнительных средств идентификации объектов в информационной сети и криптозащиты передаваемой в ней информации.

При создании виртуального канала могут использоваться криптоалгоритмы с открытым ключом (например, SSL – Secret Socket Layer). Как упоминалось ранее, основная идея заключается в способе шифрования с двумя ключами, при котором ключ шифрования и ключ для дешифровки отличаются друг от друга, причем последний нельзя определить по первому. Суть криптографии с открытым ключом (или двухключевой криптографии) заключается в том, что ключи, имеющиеся в криптосистеме, входят в нее парами и каждая пара удовлетворяет следующим двум свойствам:

• информация, зашифрованная на одном ключе, может быть дешифрована на другом;
• знание одного ключа не позволяет вычислить другой.

Поэтому один из ключей может быть опубликован. При опубликованном (открытом) ключе шифрования и секретном ключе дешифрования получается система шифрования с открытым ключом. Каждый пользователь сети связи может зашифровать сообщение при помощи открытого ключа, а расшифровать его сможет только владелец секретного ключа. При опубликовании ключа дешифрования получается система цифровой подписи. Здесь только владелец секретного ключа создания подписи может правильно зашифровать текст (т.е. подписать его), а проверить подпись (дешифровать текст) может любой на основании опубликованного ключа проверки подписи.

В 1976 г. У. Диффи и М. Хеллман предложили следующий метод открытого распределения ключей. Пусть два объекта A и B условились о выборе в качестве общей начальной информации большого простого числа P и большого простого числа a. Тогда эти пользователи действуют в соответствии с алгоритмом:

• A вырабатывает случайное число x, вычисляет число a^x (mod P) и посылает его B;
• B вырабатывает случайное число y, вычисляет число a^y (mod P) и посылает его A;
• затем A и B возводят полученное число в степень со своим показателем и получают число a^xy (mod P).

Рис. 2.10. Алгоритм В.Диффи и М.Хеллмана открытого распределения ключей

Следует отметить, что объекты А и В обменялись не своими секретными кодами, а только результатами mod-функций, что делает достаточно трудным провести обратную операцию для получения секретного ключа.

Это число и является сеансовым ключом для одноключевого алгоритма, например, DES. Для раскрытия этого ключа криптоаналитику необходимо по известным a^x (mod P), a^y (mod P) найти a^xy (mod P), т.е. найти x или y. Нахождение числа x по его экспоненте a^x (mod P) называется задачей дискретного логарифмирования в простом поле. Эта задача является труднорешаемой, и поэтому полученный ключ, в принципе, может быть стойким.

Особенность данного криптоалгоритма состоит в том, что перехват по каналу связи пересылаемых в процессе создания виртуального канала сообщений a^x (mod P) и a^y (mod P) не позволит атакующему получить конечный ключ шифрования a^xy (mod P). Этот ключ далее должен использоваться, во-первых, для цифровой подписи сообщений и, во-вторых, для их криптозащиты. Цифровая подпись сообщений позволяет надежно идентифицировать объект распределенной сети, который запрашивает доступ к ресурсам информационной системы по виртуальному каналу.

Защита от атаки "анализ сетевого трафика"

Анализ сетевого трафика относится к постоянно ожидаемой угрозе, которую невозможно устранить, но можно сделать бессмысленной для атакующего, если применять стойкие криптоалгоритмы в передаваемом потоке данных.

Для предоставления удаленного авторизованного доступа к ресурсам информационных систем не рекомендуется использовать протоколы удаленного доступа TELNET, HTTP и FTP, так как они не предусматривают элементарную криптозащиту передаваемых по сети идентификаторов (имен) и аутентификаторов (паролей). Использование защищенных протоколов обмена (таких как SSL, TLS, SSH, HTTPS) обеспечит защищенный удаленный доступ к ресурсам своих систем.

Для передачи конфиденциальной информации рекомендуется применять виртуальные каналы связи (VPN), подключения в которых обеспечиваются с использованием средств криптографии.

Защита от DoS-атак

Сегодня ряд компаний предлагает как программные средства защиты от DoS-атак, так и программно-аппаратные. Однако стопроцентной защиты от отказа в обслуживании для стандарта IPv4 в распределенной сети не существует. Это связано с тем, что в IPv4 невозможен контроль за маршрутом сообщений. Поэтому нельзя обеспечить надежный контроль за сетевыми соединениями, так как одним пользователем может быть занято неограниченное число каналов связи с удаленным объектом, и при этом сохраняется анонимность пользователя.

Тем не менее, выполняя определенные правила, можно значительно ослабить DoS-атаку и снизить ее воздействие на атакуемую систему. Ниже приведены рекомендации, применение которых позволит в определенной степени защититься от DoS-атак.

1. Для повышения надежности работы системы использовать как можно более мощные компьютеры. Чем больше число и частота работы процессоров, чем больше объем оперативной памяти, тем более надежной будет работа сетевой ОС, когда на нее обрушится направленный шторм ложных запросов на создание соединения. Кроме того, необходимо использование соответствующих вычислительным мощностям операционных систем с внутренней очередью, способной вместить большое число запросов на подключение.
2. Применение функций анти-DoS и анти-spoofing на межсетевых экранах и маршрутизаторах защищает систему от перегрузки за счет ограничения полуоткрытых каналов.
3. Регулярное обновление операционной системы и программного обеспечения.
4. Использование кластера серверов позволяет увеличить надежность и производительность работы в несколько раз по сравнению с обычным сервером.
5. При обнаружении атаки маскирование IP-адреса сервера.

Программно-аппаратные средства обеспечения безопасности информационных сетей

Как указывалось выше, система защиты информации – это комплекс мер, а также соответствующих им мероприятий, сил, средств и методов. Программно-аппаратный компонент системы защиты информации предназначен для защиты данных, обрабатываемых и хранящихся в компьютерах и серверах локальных сетей в различных информационных системах. Как правило, он реализует тесно взаимосвязанные процессы:

• управление доступом и управление политикой безопасности,
• идентификацию и аутентификацию пользователей,
• регистрацию событий и аудит,
• криптографическую защиту,
• сетевую защиту,
• антивирусную защиту,
• обнаружение атак программными средствами (IDS – Intrusion Detection Systems).

Средства управления доступом позволяют разграничивать и контролировать выполняемые над информацией действия, которые совершаются пользователями (ограничение доступа на вход в систему, разграничение доступа авторизованных пользователей, запрет доступа неавторизованных пользователей и т.п.). То есть речь идет о логическом управлении доступом, который реализуется программными средствами. Контроль прав доступа осуществляется посредством различных компонентов программной среды – ядром сетевой операционной системы, системой управления базами данных, дополнительным программным обеспечением и т.д.

Идентификация предназначена для того, чтобы пользователь мог идентифицировать себя путем сообщения своего имени. С помощью аутентификации вторая сторона убеждается, что пользователь, пытающийся войти в систему, действительно тот, за кого себя выдает.

Регистрация событий (протоколирование, журналирование) – это процесс сбора и накопления информации о событиях, происходящих в информационной системе. Возможные события принято делить на две группы:

1. внешние события, вызванные действиями как авторизованных, так и неавторизованных пользователей;
2. внутренние события, вызванные действиями пользователей и администраторов. Аудитом называется процедура анализа накопленной в результате журналирования информации. Этот анализ может осуществляться оперативно, почти в реальном времени, или периодически.

Методы криптографии – одно из наиболее мощных средств обеспечения конфиденциальности и целостности информации. Как уже упоминалось, основной элемент криптографии – шифрование.

Сетевая защита, как правило, обеспечивается установкой на границе сетей так называемых экранов. Экран – это средство разграничения доступа пользователей из одного сетевого множества к ресурсам, принадлежащим другому сетевому множеству. Функция экрана заключается в контроле всех информационных потоков между двумя множествами систем. Примерами экранов являются межсетевые экраны, устанавливаемые для защиты локальной сети организации, имеющей выход в публичную сеть (такую как Интернет).

Помимо прочего, сегодня практически все производители программно-аппаратных средств обеспечения безопасности информации включают поддержку антивирусной защиты и систем обнаружения вторжений, обеспечивающих защиту от вредоносного ПО и атак.

Для примера приведем аппаратные межсетевые экраны D-Link серии DFL, обладающие функцией проверки трафика на наличие вредоносных программ. В частности, даже "младшая" модель DFL-260/260E позволяет сканировать на наличие вредоносного ПО файлы любого размера, используя технологию потокового сканирования. Данный метод сканирования увеличивает производительность проверки, сокращая так называемые "узкие места" в сети. Межсетевые экраны серии DFL используют сигнатуры вирусов от антивирусной компании "Лаборатории Касперского" (Kaspersky Labs). При этом существует возможность обновления сигнатур. В результате вирусы и вредоносные программы могут быть эффективно заблокированы до того, как они достигнут устройств локальной сети.

Кроме того, для эффективной борьбы с вредоносным трафиком и для того, чтобы минимизировать влияние аварийной ситуации на всю сеть, межсетевые экраны компании D-Link (DFL-800/860/860E/1600/1660/2500/2560) поддерживают специальную функцию – ZoneDefense, представляющую собой механизм, позволяющий им работать с коммутаторами локальных сетей D-Link и обеспечивающий активную сетевую безопасность. Функция ZoneDefense автоматически изолирует инфицированные компьютеры локальной сети и предотвращает распространение ими вредоносного трафика. Более подробно аппаратные межсетевые экраны компании D-Link и о технологии ZoneDefense мы рассмотрим в следующих главах.

Рис. 2.11. DFL-260E – межсетевой экран NetDefend для сетей SOHO