Размещено на http://www.allbest.ru/

Федеральное агентство связи

Санкт-Петербургский Государственный университет телекоммуникаций им. проф. М.А. Бонч-Бруевича

Факультет вечернего и заочного обучения

Реферат

по дисциплине

"Основы защиты информации в телекоммуникационных системах"

на тему: "Механизмы защиты информации в вычислительных сетях"

Выполнил: студент Боровиков П.А.

Санкт-петербург 2015

Содержание

• Введение
• 1. Основные механизмы обеспечения информационной безопасности корпоративных сетей от угроз со стороны Интернет
• 2. Механизм защиты информации на основе использования межсетевых экранов
• 2.1 История происхождения межсетевого экрана
• 2.2 Виды межсетевого экрана
• 2.3 Использование межсетевого экрана на примере Dell SonicWALL
• 3. Основные принципы построения защищенных виртуальных сетей (на примере протокола SKIP)
• 3.1 Классификация VPN по рабочему уровню ЭМВОС (эталонной модели взаимодействия открытых систем)
• 3.2 Протокол SKIP
• 4. Дополнительный вопрос №7: Механизмы защиты информации в сетях мобильной связи GSM (перечислить и пояснить)
• Заключение
• Литература

Введение

Проблема информационной безопасности в корпоративных сетях связи сегодня очень остро стоит перед компаниями любого уровня. Утечка критически важной корпоративной информации, рост объемов паразитного трафика, вымогательство, шантаж и заказные атаки на информационные ресурсы стали в последнее время частым явлением.

Важность интернета для любого современного предприятия - понятна и неоспорима. Интернет служит для коммуникации с партнерами и заказчиками (в том числе через корпоративный веб-сайт), обеспечения удаленного доступа к корпоративным ресурсам и гибкого расширения рабочего пространства, поиска полезной информации и осуществления электронных коммерческих транзакций. Между тем интернет обладает рядом свойств, которые затрудняют обеспечение информационной безопасности:

интернет - это публичная открытая сеть с нецентрализованными топологией и маршрутизацией;

вредоносная активность может возникнуть в одной части интернета и затем быстро распространиться по всей Всемирной сети;

в интернете контролируется главным образом, входящий трафик, но не исходящий;

во Всемирной сети практически отсутствует идентификация пользователей;

юрисдикция страны, в которой произошло преступление, зачастую не распространяется на киберпреступника.

Интернет - это среда, в которой информационная безопасность предприятий подвергается наибольшим угрозам, и вместе с тем это важное средство совершения бизнес-процессов.

Наиболее актуальные угрозы информационной безопасности в интернете - это:

защита информация вычислительная сеть

направленные на определенное предприятие или отрасль (таргетированные) хакерские и вирусные атаки;

кражи корпоративных данных в результате атак на мобильные устройства;

заражение вредоносными программами и разглашение конфиденциальной информации в социальных сетях;

незаметное инфицирование компьютеров и других устройств при посещении безопасных на первый взгляд веб-сайтов (атаки Drive-by);

использование недостаточно защищенных облачных веб-сервисов и технологии SaaS (Software as a Service, "ПО как сервис").

1. Основные механизмы обеспечения информационной безопасности корпоративных сетей от угроз со стороны Интернет

На настоящий момент времени существует множество подсистем информационной безопасности, поэтому в данном реферате остановимся только на некоторых конкретных видах, относящихся к рынку корпоративных средств сетевой безопасности, исключая средства защиты для домашних сетей. Специалисты применительно к данному рынку отмечают следующие виды технологий и устройств защиты:

· Межсетевые экраны UTM/Firewall;

· Системы предотвращения вторжений IPS/IDS;

· Системы защиты от распределённых атак DDoS;

· Контроль доступа к сети NAC;

· Виртуальные частные сети VPN;

· Аутентификации и авторизации пользователей AAA;

· Системы управления доступом IDM

Межсетевые экраны

Межсетевой экран (сетевой экран) - это комплекс аппаратных и программных средств в компьютерной сети, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.

Основной задачей сетевого экрана является защита сети или отдельных её узлов от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача - не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации.

Некоторые сетевые экраны также позволяют осуществлять трансляцию адресов - динамическую замену внутрисетевых (серых) адресов или портов на внешние, используемые за пределами локальной сети, - что может обеспечивать дополнительную безопасность.

Системы предотвращения вторжений IPS/IDS

Intrusion Detection System (IDS) или Intrusion Prevention System (IPS) - это программные и аппаратные средства для обнаружения и предотвращения вторжений. Они предназначены для обнаружения и предотвращения попыток несанкционированного доступа, использования или вывода из строя компьютерных систем, главным образом, через Интернет или локальную сеть. Такие попытки могут иметь форму как атаки хакеров или инсайдеров, так и быть результатом действий вредоносных программ.

В целом IPS по классификации и своим функциям аналогичны IDS. Главное отличие IPS от IDS состоит в том, что IPS функционируют в реальном времени и могут в автоматическом режиме блокировать сетевые атаки. Каждая IPS включает в себя модуль IDS.

Системы защиты от распределённых атак DDoS;

Специалисты различают несколько способов и видов группирования DoS-атак по типам. Основными двумя группами DoS-атак являются разрушающие и атаки на ресурсы системы.

Разрушающие - это атаки, которые приводят к тому, что устройство в сети становится полностью неработоспособно: зависает, уничтожается операционная система или конфигурация. Такие атаки основаны на уязвимостях ПО атакуемых систем.

Атаки на ресурсы системы - это атаки, которые значительно снижают производительность устройств или приложений.

Очень распространенной является атака с целью заполнения пропускной способности каналов связи.

В последнее время получили распространение DDOS-атаки при помощи создания сети вредоносных ботов (ботнетов). Бот - специальная программа, выполняющая автоматически и/или по заданному расписанию какие-либо действия через те же интерфейсы, что и обычный пользователь.

Основные вредоносные действия ботов:

· Спам-боты, собирающие адреса E-mail из контактных форм и гостевых книг;

· Программы, загружающие интернет-канал потоком ненужной информации (как правило, рекламного характера);

· Сайты, собирающие информацию о безвредных сайтах, для использования её в автоматически создаваемых дорвеях;

· Некоторые вирусы и черви;

· DoS - и DDoS-атаки;

· Ботнеты и компьютеры-зомби.

Система защиты от DDoS-атак базируется на уже имеющихся в сети маршрутизаторах и добавляет в сеть свои два компонента:

· Устройство для блокирования DDoS-атаки. В английском языке это устройство называют mitigator - блокиратор;

· Устройство со встроенным искусственным интеллектом для обнаружения DDoS-атаки и перенаправления атаки на блокиратор - детектор.

При этом в задачу блокиратора входит не только блокирование трафика, но и его замедление. После обнаружения DDoS-атаки на какую-то сеть анализатор трафика вставляет в таблицы динамической маршрутизации (при помощи BGP или OSPF) запись, которая говорит, что маршрут в атакуемую сеть лежит через этот блокиратор.

В результате весь трафик атаки начинает проходить через блокиратор, что дает возможность заблокировать трафик атаки, а легитимный трафик передать в защищаемую сеть. Передача в защищаемую сеть осуществляется любым доступным способом, например, при помощи инкапсуляции трафика внутри GRE.

После завершения атаки, таблица маршрутизации перенастраивается, чтобы трафик проходил через конечный маршрутизатор, связанный с этой сетью.

Контроль доступа к сети NAC

В последние годы все более заметное место на рынке по системам безопасности занимает эффективная стратегия защиты посредством контроля доступа к сети и ее ресурсам - технология NAC (Network Access Control).

Суть этой стратегии защиты сводится к регламенту доступа пользователей к сети и постоянному контролю над состоянием конечных сетевых устройств - как внутренних сотрудников, так и удаленных, и в том числе мобильных пользователей.

Технология NAC реализует широкий перечень функций, которые охватывают идентификацию пользователей, оценку и идентификацию состояния конечных точек, меры по пресечению угроз, проверку устройств на соответствие корпоративным политикам доступа в сеть.

На раннем этапе развития NAC методы контроля подключений персональных устройств к сети реализовались на основе протокола 802.1x и при этом были чрезвычайно сложны для внедрения и поддержки в масштабных сетях.

Применение системы контроля доступа на основе протокола 802.1х позволяет:

· контролировать подключение пользователей или устройств к сети (идентифицировать);

· назначить в определенный VLAN, присвоить соответствующий IP-адрес;

· собирать статистику: какой пользователь, когда, на каком коммутаторе, с каким IP-адресом произвел подключение к сети. Опционально - сколько времени проработал, какую нагрузку на сеть произвел;

· предоставить гостевой вход в Интернет для рабочих станций заказчиков и партнеров, находящихся на территории организации;

· обеспечить подключение принтеров, терминалов и других устройств, неподдерживающих 802.1x.

Тем самым применение 802.1x гарантирует, что в сети никогда не появится неавторизованное устройство. Однако не следует забывать, что при 802.1х контроль доступа к съемным носителям и проверка программного обеспечения подключаемых устройств не поддерживаются. А ведь именно эти два фактора являются причиной возникновения большинства инцидентов (утечка информации, распространение вирусов в локальной сети и др.). С развитием второго поколения систем контроля доступа к сети пришли и решения, основанные на использовании агента, который контролирует целостность программной среды и процессов, протекающих на рабочих станциях. Уже на этом уровне возникает вопрос профилирования различных пользователей и применения к ним различных политик доступа.

Виртуальные частные сети VPN

VPN (англ. Virtual Private Network - виртуальная частная сеть) - логическая сеть, создаваемая поверх другой сети, например Интернет. Несмотря на то, что коммуникации осуществляются по публичным сетям с использованием небезопасных протоколов, за счёт шифрования создаются закрытые от посторонних каналы обмена информацией. VPN позволяет объединить, например, несколько офисов организации в единую сеть с использованием для связи между ними неподконтрольных каналов.

С помощью методики туннелирования пакеты данных транслируются через общедоступную сеть как по обычному двухточечному соединению. Между каждой парой "отправитель-получатель данных" устанавливается своеобразный туннель - безопасное логическое соединение, позволяющее инкапсулировать данные одного протокола в пакеты другого.

Наиболее распространенный метод создания туннелей VPN - инкапсуляция сетевых протоколов (IP, IPX, AppleTalk и т.д.) в PPP и последующая инкапсуляция образованных пакетов в протокол туннелирования. Обычно в качестве последнего выступает IP или (гораздо реже) ATM и Frame Relay. Такой подход называется туннелированием второго уровня, поскольку "пассажиром" здесь является протокол именно второго уровня.

Альтернативный подход - инкапсуляция пакетов сетевого протокола непосредственно в протокол туннелирования (например, VTP) называется туннелированием третьего уровня.

Как правило, на сегодняшний день для построения сетей VPN используются протоколы следующих уровней:

· Канальный уровень;

· Сетевой уровень;

· Транспортный уровень.

Более подробно основные принципы работы сетей VPN рассмотрены в п.4 данного реферата.

Аутентификации и авторизации пользователей AAA

Существуют следующие технологии аутентификации:

· cетевая аутентификация на основе многоразового пароля;

· аутентификация с использованием одноразового пароля;

· аутентификация на основе сертификатов.

Сетевая аутентификация на основе многоразового пароля.

В соответствии с базовым принципом "единого входа", когда пользователю достаточно один раз пройти процедуру аутентификации, чтобы получить доступ ко всем сетевым ресурсам, в современных операционных системах предусматриваются централизованные службы аутентификации. Такая служба поддерживается одним из серверов сети и использует для своей работы базу данных, в которой хранятся учетные данные (иногда называемые бюджетами) о пользователях сети. Учетные данные содержат наряду с другой информацией идентификаторы и пароли пользователей. Упрощенно схема аутентификации в сети выглядит следующим образом. Когда пользователь осуществляет логический вход в сеть, он набирает на клавиатуре своего компьютера свои идентификатор и пароль. Эти данные используются службой аутентификации - в централизованной базе данных, хранящейся на сервере, по идентификатору пользователя находится соответствующая запись, из нее извлекается пароль и сравнивается с тем, который ввел пользователь. Если они совпадают, то аутентификация считается успешной, пользователь получает легальный статус и те права, которые определены для него системой авторизации.

Аутентификация с использованием одноразового пароля.

Алгоритмы аутентификации, основанные на многоразовых паролях, не очень надежны. Пароли можно подсмотреть или просто украсть. Более надежными оказываются схемы, использующие одноразовые пароли. С другой стороны, одноразовые пароли намного дешевле и проще биометрических систем аутентификации, таких как сканеры сетчатки глаза или отпечатков пальцев. Все это делает системы, основанные на одноразовых паролях, очень перспективными. Следует иметь в виду, что, как правило, системы аутентификации на основе одноразовых паролей рассчитаны на проверку только удаленных, а не локальных пользователей. Генерация одноразовых паролей может выполняться либо программно, либо аппаратно. Некоторые реализации аппаратных устройств доступа на основе одноразовых паролей представляют собой миниатюрные устройства со встроенным микропроцессором, похожие на обычные пластиковые карточки, используемые для доступа к банкоматам. Такие карточки, часто называемые аппаратными ключами, могут иметь клавиатуру и маленькое дисплейное окно. Аппаратные ключи могут быть также реализованы в виде присоединяемого к разъему устройства, которое располагается между компьютером и модемом, или в виде карты (гибкого диска), вставляемой в дисковод компьютера. Существуют и программные реализации средств аутентификации на основе одноразовых паролей (программные ключи). Программные ключи размещаются на сменном магнитном диске в виде обычной программы, важной частью которой является генератор одноразовых паролей. Применение программных ключей и присоединяемых к компьютеру карточек связано с некоторым риском, так как пользователи часто забывают гибкие диски в машине или не отсоединяют карточки от ноутбуков. Независимо от того, какую реализацию системы аутентификации на основе одноразовых паролей выбирает пользователь, он, как и в системах аутентификации с использованием многоразовых паролей, сообщает системе свой идентификатор, однако вместо того, чтобы вводить каждый раз один и тот же пароль, он указывает последовательность цифр, сообщаемую ему аппаратным или программным ключом. Через определенный небольшой период времени генерируется другая последовательность - новый пароль. Аутентификационный сервер проверяет введенную последовательность и разрешает пользователю осуществить логический вход. Аутентификационный сервер может представлять собой отдельное устройство, выделенный компьютер или же программу, выполняемую на обычном сервере.

Аутентификация на основе сертификатов.

Аутентификация с применением цифровых сертификатов является альтернативой использованию паролей и представляется естественным решением в условиях, когда число пользователей сети (пусть и потенциальных) измеряется миллионами. В таких обстоятельствах процедура предварительной регистрации пользователей, связанная с назначением и хранением их паролей, становится крайне обременительной, опасной, а иногда и просто нереализуемой. При использовании сертификатов сеть, которая дает пользователю доступ к своим ресурсам, не хранит никакой информации о своих пользователях - они ее предоставляют сами в своих запросах в виде сертификатов, удостоверяющих личность пользователей. Сертификаты выдаются специальными уполномоченными организациями - центрами сертификации (Certificate Authority, СА). Поэтому задача хранения секретной информации (закрытых ключей) возлагается на самих пользователей, что делает это решение гораздо более масштабируемым, чем вариант с использованием централизованной базы паролей. Сертификат является средством аутентификации Пользователя при его обращении к сетевым ресурсам, роль аутентифицирующей стороны играют при этом информационные серверы корпоративной сети или Интернета. В то же время и сама процедура получения сертификата включает этап аутентификации, здесь аутентификатором выступает сертифицирующая организация. Для получения сертификата клиент должен сообщить сертифицирующей организации свой открытый ключ и те или иные сведения, удостоверяющие его личность. Все эти данные клиент может отправить по электронной почте или принести на гибком диске лично. Перечень необходимых данных зависит от типа получаемого сертификата. Сертифицирующая организация проверяет доказательства подлинности, помещает свою цифровую подпись в файл, содержащий открытый ключ, и посылает сертификат обратно, подтверждая факт принадлежности данного конкретного ключа конкретному лицу. После этого сертификат может быть встроен в любой запрос на использование информационных ресурсов сети.

В сетевой терминологии широко применяется термин AAA (от англ. Authentication, Authorization, Accounting), который используется для описания процесса предоставления доступа и контроля за ним. В качестве сервера аутентификации AAA позволяет использовать RADIUS либо TACAS+ сервер.

RADIUS (англ. Remote Authenticationin Dial-In User Service) - протокол для реализации аутентификации, авторизации и сбора сведений об использованных ресурсах, разработанный для передачи сведений между центральной платформой и оборудованием. Этот протокол применялся для системы тарификации использованных ресурсов конкретным пользователем/абонентом.

TACACS+ (англ. Terminal Access Controller Access Control System plus) - сеансовый протокол, результат дальнейшего усовершенствования TACACS, предпринятого Cisco. Улучшена безопасность протокола (шифрование), а также введено разделение функций аутентификации, авторизации и учёта, которые теперь можно использовать по отдельности.

Системы управления доступом IDM

Системы управления правами доступа и учетными записями пользователей класса IDM (Identity Management) или как их еще называют IAM (Identity and Access Management) предназначены для централизованного управления правами на доступ к информации, учетными записями, паролями и другими атрибутами в различных информационных системах, что позволяет автоматизировать процессы управления правами доступа, снизить риски информационной безопасности и оптимизировать затраты на администрирование ИТ инфраструктуры.

IDM система существенно упрощает доступ к сетевым информационным ресурсам для сотрудников организации, при этом повышается уровень защиты корпоративных информационных систем. Централизованная система управления аккаунтами пользователей позволяет отслеживать все учетные записи в подключенных информационных системах.

IDM предоставляет консолидированную отчетность обо всех учетных записях и правах доступа пользователей компании в интегрированных с IDM информационных системах.

Основные задачи, которые решает IDM:

· Автоматизация процесса управления идентификационными данными;

· Унификация учетных данных пользователей;

· Централизованное управление правами доступа;

· Сокращение расходов на администрирование информационных систем и обслуживание пользователей;

· Снижение рисков несанкционированного доступа к корпоративным информационным системам;

· Сокращение временных затрат на предоставление, изменение и отзыв прав доступа пользователей;

· Соответствие некоторым требованиям законодательных актов, в частности 152-ФЗ "О персональных данных", руководящих документов ФСТЭК и ФСБ, в частности Приказ ФСТЭК от 5 февраля 2010 г. № 58, отраслевых стандартов, в частности СТО БР ИББС-1.0-2010 и PCI DSS.

2. Механизм защиты информации на основе использования межсетевых экранов

2.1 История происхождения межсетевого экрана

Межсетевое экранирование - блокирование трафика от несанкционированных источников - одна из старейших сетевых технологий безопасности, но производители соответствующих сред продолжают разрабатывать новые подходы, которые помогают эффективнее противодействовать современным угрозам в меняющемся сетевом окружении и защищать корпоративные ИТ-ресурсы. Межсетевые экраны нового поколения позволяют создавать политики, используя более широкий спектр контекстных данных, и обеспечивать их соблюдение.

История происхождения

Эволюция межсетевых экранов (FW - Firewall) прошла долгий путь. Впервые они были разработаны еще в конце 80-х компанией DEC и функционировали в основном на первых четырех уровнях модели OSI, перехватывая трафик и анализируя пакеты на соответствие заданным правилам. Затем Check Point предложила межсетевые экраны со специализированными микросхемами (ASIC) для глубокого анализа заголовков пакетов. Эти усовершенствованные системы могли вести таблицу активных соединений и задействовали ее в правилах (Stateful Packet Inspection, SPI). Технология SPI позволяет проверять IP-адреса отправителя и получателя и контролировать порты.

Большим шагом вперед считается создание FW, функционирующих на уровне приложений. Первый такой продукт выпустила компания SEAL еще в 1991-м, а два года спустя появилось открытое решение Firewall Toolkit (FWTK) от Trusted Information Systems. Эти межсетевые экраны проверяли пакеты на всех семи уровнях, что позволило использовать в наборах правил (политиках) расширенную информацию - не только о соединениях и их состоянии, но и об операциях с использованием протокола конкретного приложения. К середине 90-х межсетевые экраны обрели способность осуществлять мониторинг популярных протоколов прикладного уровня: FTP, Gopher, SMTP и Telnet. Эти усовершенствованные продукты (application-aware) получили название межсетевых экранов нового поколения (Next-Generation Firewall, NGFW).

TIS выпустила коммерческую версию FWTK - Gauntlet Firewall. Именно этот продукт, обладающий возможностями аутентификации пользователей, фильтрации URL, а также средствами защиты от вредоносных программ и функциями безопасности уровня приложений, считается первым межсетевым экраном "нового поколения". Таким образом, формально продуктам NGFW уже более 15 лет, хотя сегодня в этот термин вкладывают иной смысл.

2.2 Виды межсетевого экрана

Поддерживаемый уровень сетевой модели OSI является основной характеристикой при классификации межсетевых экранов. Различают следующие типы межсетевых экранов:

1. Управляемые коммутаторы (канальный уровень);

2. Сетевые фильтры сетевого уровня (stateless). Фильтрация статическая осуществляется путём анализа IP-адреса источника и приёмника, протокола, портов отправителя и получателя;

3. Шлюзы сеансового уровня (circuit-level proxy). В сетевой модели TCP/IP нет уровня, однозначно соответствующего сеансовому уровню OSI, поэтому к шлюзам сеансового уровня относят фильтры, которые невозможно отождествить ни с сетевым, ни с транспортным, ни с прикладным уровнем:

· Шлюзы, транслирующие адреса (NAT, PAT) или сетевые протоколы (транслирующий мост);

· Фильтры контроля состояния канала. К фильтрам контроля состояния канала связи нередко относят сетевые фильтры сетевого уровня с расширенными возможностями (stateful), которые дополнительно анализируют заголовки пакетов и умеют фильтровать фрагментированные пакеты);

· Шлюзы сеансового уровня. Наиболее известным и популярным шлюзом сеансового уровня является посредник SOCKS;

4. Шлюзы прикладного уровня (application-level proxy), часто называемые прокси-серверами. Делятся на прозрачные (transparent) и непрозрачные (solid).

5. Брандмауэр SPI (Stateful Packet Inspection, SPI), или иначе брандмауэры с динамической фильтрацией пакетов (Dynamic Packet Filtering), являются по сути шлюзами сеансового уровня с расширенными возможностями. Инспекторы состояния оперируют на сеансовом уровне, но "понимают" протоколы прикладного и сетевого уровней. В отличие от шлюза прикладного уровня, открывающего два виртуальных канала TCP (один - для клиента, другой - для сервера) для каждого соединения, инспектор состояния не препятствует организации прямого соединения между клиентом и сервером.

Существует также понятие "межсетевой экран экспертного уровня". Сетевой экран данного типа базируется на посредниках прикладного уровня или инспекторах состояния, но обязательно комплектуется шлюзами сеансового уровня и сетевыми фильтрами, иногда понимая и сетевой уровень. Зачастую имеют систему протоколирования событий и оповещения администраторов, средства поддержки удаленных пользователей (например авторизация), средства построения виртуальных частных сетей и т.д. К нему относятся почти все имеющиеся на рынке брандмауэры.

2.3 Использование межсетевого экрана на примере Dell SonicWALL

Современные сетевые атаки часто используют несколько сложных методов для проникновения в корпоративные сети. Чтобы избежать обнаружения системами предотвращения вторжений, эти атаки часто кодируются с помощью сложных алгоритмов. После захвата цели под контроль злоумышленник попытается загрузить и установить вредоносное ПО на "захваченное" устройство. Во многих случаях используются вредоносные программы новейших версий, которые не могут обнаружить традиционные антивирусные решения. Более того, располагая существенными трудовыми и денежными ресурсами, разработчики вредоносных решений подстраиваются под присутствующие на рынке решения по защите сетей, принцип их работы и анализа трафика. Например, современные атаки используют SSL-шифрование, чтобы скрыть загрузку вредоносного ПО или даже замаскировать трафик командного управления, передаваемого атакующим. Или же, зная об ограниченности в возможностях межсетевых экранов предыдущего поколения обрабатывать большие пакеты в существенном количестве, маскируют вредоносный код в крупном трафике.

Все продукты Dell SonicWALL NGFW от младших до старших моделей используют запатентованную технологию "однопроходного движка" с малым временем задержки Reassembly-Free Deep Packet Inspection (RFDPI), который проверяет каждый байт каждого пакета, сохраняя при этом высокую скорость передачи и производительность. Продукты SonicWALL для защиты сети от внутренних и внешних атак, использующих уязвимости приложений, сканируют весь трафик, независимо от размера файлов, порта или протокола. Возможности визуализации и контроля используются для изучения каждого пакета, чтобы определить какие приложения используются, и кто их использует. Принцип работы технологии RFPDI - разбиение входящего пакета на сегменты и параллельное, одновременное сканирование каждого сегмента. Позволяет это реализовать многоядерная архитектура процессоров, используемых в межсетевых экранах SonicWALL. Естественно, что технология RFPDI интегрирована с платформой самого устройства и позволяет оптимизировать управления детализированными политиками межсетевого экрана, как через интерфейс межсетевого экрана, так и через систему Dell SonicWALL Global Management System.

Расшифровка и проверка SSL-трафика является одним из главных и обязательным элементом обеспечения более глубокого уровня сетевой безопасности в сетях нового поколения. Аналитики утверждают, что практически 35 процентов корпоративного сетевого трафика шифруется с помощью SSL. Таким образом, организации, которые не имеют соответствующего оборудования и не проверяют SSL-трафик, фактически оставляют без просмотра одну треть трафика в сети, что привело к повышенному вниманию злоумышленников именно к SSL, т.к. гарантирует стопроцентный успех атак таких организаций. Из этого следует, что организация должна иметь возможность проверять весь трафик, и на любом порту, независимо - с шифрованием SSL он или нет. Соответствующую возможность предоставляют межсетевые экраны Dell SonicWALL, проверяя шифрованный SSL и нешифрованный трафик на каждом порту.

Кроме того, межсетевые экраны Dell SonicWALL используют фирменный ресурс сети идентификации атак и мониторинга сети Dell SonicWALL Global Response Intelligent Defense (GRID). Сеть представляет собой более 1 миллиона разбросанных по всей планете, как их называет производитель, "сенсоров". Эти сенсоры собирают данные о подозрительной сетевой активности, вредоносном ПО, атаках и отправляют в условный "Центр", где данные анализируются на предмет реальности угрозы, выпускаются обновления баз и сигнатур, после чего рассылаются всем устройствам SonicWALL на планете.

Отдельным вопросом является обновление баз и средств сетевой защиты от вредоносного ПО. Нам логически понятно, что если злоумышленник выпускает средство, которое использует уязвимость в каком-либо ПО, то у злоумышленника есть карт-бланш на "сбор урожая" на этой уязвимости до тех пор, пока:

а) производитель уязвимого ПО не сделает заплатку-патч и/или производитель защитной системы не обновит базы и средства, препятствующие использованию уязвимости;

б) обеспечивающие защиту средства не получат обновление.

В целом, NGFW от Dell SonicWALL обеспечивает интеграцию средств сетевой безопасности, веб-защиты и безопасности электронной почты. Это многоуровневая защита от вирусов, червей, троянов, шпионского ПО и вторжений. Веб-защита устройств обеспечивает удобное управление блокированием не отвечающих требованиям сайтов и контроль использования мгновенного обмена сообщениями и пиринговых приложений.

Решения Dell SonicWALL для анализа, управления и визуализации приложений расширяют контроль над непроизводственными приложениями, например, сервисами онлайн-торговли, обмена мгновенными сообщениями/чата, пирингового обмена и потоковой передачи видео. Решения Dell SonicWALL для защиты электронной почты обеспечивают защиту от спама и фишинг-атак, чтобы избавить сотрудников от получения мошеннических и неправомочных электронных сообщений. Интеллектуальные решения Dell SonicWALL упрощают и снижают стоимость централизованного управления локальными, удаленными и мобильными сетевыми службами, защищая ключевую информацию и коммуникационные ресурсы.

Межсетевые экраны Dell SonicWALL предоставляют возможность использовать 3G/4G-связь, что за небольшие деньги обеспечивает организации принципиально новый уровень резервирования Интернет-доступа по альтернативному, выделенной линии, физическому способу передачи данных через беспроводную связь, что в 00-х годах концептуально было доступно только компаниям с крупными ИТ-бюджетами за счёт организации каналов спутниковой связи. Вдобавок к этому, межсетевые экраны Dell SonicWALL позволяют иметь несколько одновременно подключенных WAN соединений и не только перебрасывать трафик с канала на канал в случае отказа рабочего соединения, но и использовать каналы одновременно, балансируя реальный трафик между ними на уровне приложений, отправляя, например, критичный трафик на более надёжные и дорогие каналы, а второстепенный - на менее надёжные и более дешёвые.

Для контроля приложений в SonicWALL используется функция Application Intelligence and Control, которая обеспечивает детализированный контроль и визуализацию приложений в режиме реального времени, гарантируя приоритезацию пропускной способности. Эта функция использует уже упомянутую запатентованную технологию Reassembly-Free Deep Packet Inspection (RFDPI) для распознавания и контроля приложений, независимо от порта или протокола. В настоящий момент база сигнатур распознаёт более 4600 приложений и миллионы видов вредоносного ПО, продолжая расширяться и обеспечивать распределение полосы пропускания, и запрещать доступ к веб-сайтам. Посмотреть в режиме реального времени за использованием приложений можно с помощью функции Application Flow Monitor, которая даёт сведения о входной и выходной полосах пропускания, активных подключениях к веб-сайтам и активности пользователей.

Технология Dell SonicWALL Clean VPN предназначена для обеспечения безопасного доступа и взаимодействия с удалёнными пользователями при соединениях IPSec и SSL VPN. Сам VPN доступ защищается через аутентификацию, шифрование данных и настройки доступа. При этом проверяется одновременно как входящий, так и исходящий VPN трафик. Перед попаданием трафика в сеть внутри "периметра", весь VPN трафик дешифруется и очищается. В дополнение, с помощью функций Application Intelligence and Control есть возможность визуализации трафика в VPN туннелях и применение политик по контролю полосы пропускания, приоретизируя трафик нужных приложений и блокируя (или ограничивая) трафик ненужных.

Список протоколов, анализируемых системой предотвращения вторжения Dell SonicWALL:

· IPv4/IPv6/SSL

· TCP / ICMP / DNS

· HTTP / HTTPS

· SMTP / IMAP / POP3

· FTP / FTPS

· Telnet / SNMP

· SIP / H.323

· RTP / RPC

· MySQL / MS-SQL

· NetBIOS / SMB / SMB2

3. Основные принципы построения защищенных виртуальных сетей (на примере протокола SKIP)

3.1 Классификация VPN по рабочему уровню ЭМВОС (эталонной модели взаимодействия открытых систем)

Для технологий безопасной передачи данных по общедоступной (незащищенной) сети применяют обобщенное название - защищенный канал (secure channel).

Защищенный канал можно построить с помощью системных средств, реализованных на разных уровнях эталонной модели взаимодействия открытых систем (ЭМВОС, OSI). Рассмотрим упрощенную модель OSI, реализованную в стеке протоколов TCP/IP. Эта модель предполагает наличие четырех уровней: прикладного, транспортного, сетевого и канального. Соответственно, для каждого уровня возможность шифрования передаваемой информации различна. Так, на прикладном уровне можно скрыть данные, например, электронного письма или получаемой web-страницы. Однако факт передачи письма, т.е. диалог по протоколу SMTP скрыть невозможно. На транспортном уровне может быть вместе с данными скрыт и тип передаваемой информации, однако IP-адреса получателя и приемника остаются открытыми. На сетевом уровне уже появляется возможность скрыть и IP-адреса. Эта же возможность имеется и на канальном уровне.

VPN строятся на достаточно низких уровнях модели OSI. Чем ниже уровень, тем легче сделать систему, функционирование которой будет незаметно для приложений высокого уровня, и тем большую часть передаваемой информации можно скрыть. Однако здесь возникает другая проблема - зависимость протокола защиты от конкретной сетевой технологии. Если для защиты данных используется протокол одного из верхних уровней, то такой способ защиты не зависит от того, какие сети (IP или IPX, Ethernet или ATM) применяются для транспортировки данных, что можно считать несомненным достоинством. С другой стороны, приложение при этом становится зависимым от конкретного протокола защиты, то есть для приложений подобный протокол не является прозрачным.

Для каждого уровня модели разработаны свои протоколы (таблица 1).

Таблица 1 - Уровни защищенных каналов и протоколы

Прикладной	S/MIME / PGP / SHTTP
Транспортный	SSL / TLS / SOCKS
Сетевой	IPSec / SKIP
Канальный	PPTP / L2F / L2TP

От выбранного уровня OSI во многом зависит функциональность реализуемой VPN и ее совместимость с приложениями ИС, а также с другими средствами защиты.

Так, на прикладном уровне для защиты электронной почты применяется протокол S/MIME (Secure Multipurpose Internet Mail Extension) либо система PGP. Для защиты обмена по протоколу HTTP применяется протокол SHTTP (Secure HTTP). На данном уровне шифруется текст передаваемого почтового сообщения или содержимое HTML-документа. Недостатками организации VPN на базе протоколов прикладного уровня является узкая область действия. Протокол защищает только вполне определенную сетевую службу - файловую, гипертекстовую или почтовую. Так как существует жесткая связь между используемым стеком протоколов и приложением, для каждой службы необходимо разрабатывать соответствующую защищенную версию протокола.

На транспортном уровне чаще всего применяются протоколы SSL (Secure Socket Layer) и его более новая реализация - TSL (Transport Layer Security). Шифрование информации, передаваемой между инициатором и терминатором туннеля, часто осуществляется с помощью защиты транспортного уровня TLS. Также применяется протокол SOCKS, где клиентский компьютер устанавливает аутентифицированный сокет (или сеанс) с сервером, выполняющим роль посредника (proxy). Этот посредник - единственный способ связи через межсетевой экран. Посредник, в свою очередь, проводит любые операции, запрашиваемые клиентом. Поскольку посреднику известно о трафике на уровне сокета, он может осуществлять тщательный контроль, например блокировать конкретные приложения пользователей, если они не имеют необходимых полномочий.

Особенность протоколов транспортного уровня - независимость от прикладного уровня, хотя чаще всего шифрование осуществляется для передачи по протоколу HTTP (режим HTTPS). Недостатком является невозможность шифрования IP-адресов и туннелирования IP-пакетов.

На сетевом уровне используются два основных протокола: SKIP (Simple Key management for Internet Protocol - простое управление ключами для IP-протокола) и IPSec. На данном уровне возможно как шифрование всего трафика, так и туннелирование, включающее скрытие IP-адресов. На сетевом уровне строятся самые распространенные VPN системы.

Средства VPN, используемые на канальном уровне модели OSI, позволяют обеспечить инкапсуляцию различных видов трафика третьего уровня (и более высоких уровней) и построение виртуальных туннелей типа "точка-точка" (от маршрутизатора к маршрутизатору или от персонального компьютера к шлюзу ЛВС). Канальный уровень представлен протоколами PPTP (Point-to-Point Tunneling Protocol), L2F (Layer-2 Forwarding) и L2TP (Layer-2 Tunneling Protocol). Достоинством данного уровня является прозрачность не только для приложений прикладного уровня, но и для служб сетевого и транспортного уровня. В частности, достоинством является независимость от применяемых протоколов сетевого и транспортного - это может быть не только IP-протокол, но и протоколы IPX (применяется в локальных сетях с серверами на основе ОС Novell Netware) и NetBEUI (применяется в локальных сетях Microsoft). Шифрованию подлежат как передаваемые данные, так и IP-адреса.

В каждом из указанных протоколов по-разному реализованы алгоритмы аутентификации и обмена ключами шифрования.

3.2 Протокол SKIP

На сетевом уровне применяются два основных алгоритма: SKIP и IPSec. Различие в алгоритмах, главным образом, состоит в способе генерации и передачи ключей для шифрования содержимого пакетов.

Simple Key-Management for Internet Protocol (или SKIP) - протокол, разработанный около 1995 года компанией IETF Security Working Group для обмена ключами шифрования.

Почему же SKIP представляется решением, адекватным задачам защиты информации в масштабах такой сети, как Internet?

Прежде всего, потому, что SKIP совместим с IP. Это достигается тем, что заголовок SKIP-пакета является стандартным IP-заголовком, и поэтому защищенный при помощи протокола SKIP пакет будет распространяться и маршрутизироваться стандартными устройствами любой TCP/IP-сети. Отсюда вытекает и аппаратная независимость SKIP. Протокол SKIP имплементируется в IP-стек выше аппаратно-зависимой его части и работает на тех же каналах, на которых работает IP.

В основе SKIP лежит криптография открытых ключей Диффи-Хеллмана и обладает рядом достоинств:

обеспечивает высокую степень защиты информации;

обеспечивает быструю смену ключей;

поддерживает групповые рассылки защищенных сообщений;

допускает модульную замену систем шифрования;

вносит минимальную избыточность.

SKIP имеет, по сравнению с существующими системами шифрования трафика, следующий ряд уникальных особенностей:

1. SKIP универсален: он шифрует IP-пакеты, не зная ничего о приложениях, пользователях или процессах, их формирующих; установленный в компьютере непосредственно над пакетным драйвером, он обрабатывает весь трафик, не накладывая никаких ограничений ни на вышележащее программное обеспечение, ни на физические каналы, на которых он используется;

2. SKIP сеансонезависим: для организации защищенного взаимодействия не требуется дополнительного информационного обмена (за исключением однажды и навсегда запрошенного открытого ключа партнера по связи);

3. SKIP независим от системы шифрования (в том смысле, что различные системы шифрования могут подсоединяться к системе, как внешние библиотечные модули); пользователь может выбирать любой из предлагаемых поставщиком или использовать свой алгоритм шифрования информации; могут использоваться различные (в разной степени защищенные) алгоритмы шифрования для закрытия пакетного ключа и собственно данных.

4. Дополнительный вопрос №7: Механизмы защиты информации в сетях мобильной связи GSM (перечислить и пояснить)

Все механизмы обеспечения безопасности GSM находятся исключительно под контролем операторов: пользователи не имеют возможности воздействовать на применение или отсутствие аутентификации, шифрования и т.д. Более того, пользователям не всегда известно, какие функции безопасности используются системой. Напротив, как правило, услуги безопасности не афишируются и не входят в число платных. Далее подробнее рассмотрим способы защиты информации, применяемые в мобильных сетях стандарта GSM.

Механизмы защиты информации в сетях мобильной связи GSM:

1. Алгоритмы аутентификации

Прежде всего рассмотрим использование пароля - PIN-кода - одного из наиболее простых методов аутентификации. Он дает очень низкий уровень защиты в условиях использования радиосвязи. Достаточно услышать этот персональный код всего лишь один раз, чтобы обойти средства защиты. В действительности GSM использует PIN-код в сочетании с SIM (Subscriber Identify Module): данный PIN-код проверяется на месте самим SIM без передачи в эфир. Помимо него GSM использует более сложный метод, который состоит в использовании случайного числа (от 0 до 2^{128 -} 1), на которое может ответить только соответствующее абонентское оборудование (в данном случае - SIM). Суть этого метода в том, что существует огромное множество подобных чисел и поэтому маловероятно, что оно будет использовано дважды. Ответ, который называется SRES (Signed RESult - подписанный результат), получают в форме итога вычисления, включающего секретный параметр, принадлежащий данному пользователю, который называется Ki (рис.1).

Секретность Ki является краеугольным камнем, положенным в основу всех механизмов безопасности, - свой собственный Ki не может знать даже абонент. Алгоритм, описывающий порядок вычисления, называется алгоритмом A3. Как правило, такой алгоритм хранится в секрете (лишние меры предосторожности никогда не помешают!).

Для того чтобы достигнуть требуемого уровня безопасности, алгоритм A3 должен быть однонаправленной функцией, как ее называют эксперты-криптографы. Это означает, что вычисление SRES при известных Ki и RAND должно быть простым, а обратное действие - вычисление Ki при известных RAND и SRES - должно быть максимально затруднено. Безусловно, именно это и определяет в конечном итоге уровень безопасности. Значение, вычисляемое по алгоритму A3, должно иметь длину 32 бита. Ki может иметь любой формат и длину.

Рис. 1 Блок-схема вычисления аутентификации

2. Шифрование

Криптографические методы дают возможность с помощью относительно простых средств добиться высокого уровня безопасности. В GSM используются единые методы для защиты всех данных, будь то пользовательская информация: передача сигналов, связанных с пользователем (например, сообщений, в которых содержатся номера вызываемых телефонов), или даже передача системных сигналов (например, сообщений, содержащих результаты радиоизмерений для подготовки к передаче). Необходимо различать только два случая: либо связь оказывается защищенной (тогда всю информацию можно отправлять в зашифрованном виде), либо связь является незащищенной (тогда вся информация отправляется в виде незашифрованной цифровой последовательности).

Как шифрование, так и дешифрование производятся с применением операции "исключающее или" к 114 "кодированным” битам радиопакета и 114-битовой последовательности шифрования, генерируемой специальным алгоритмом, который называется А5. Для того чтобы получить последовательность шифрования для каждого пакета, алгоритм А5 производит вычисление, используя два ввода: одним из них является номер кадра, а другим является ключ, который называется Кс, известный только мобильной станции и сети (рис. 2). В обоих направлениях соединения используются две разные последовательности: в каждом пакете одна последовательность используется для шифрования в мобильной станции и для дешифрования на базовой станции (BTS), в то время как другая последовательность используется для шифрования в BTS и дешифрования в мобильной станции.

Рис. 2 Блок-схема процессов шифрования и дешифрования по алгоритму А5

Номер кадра меняется от пакета к пакету для всех типов радиоканалов. Ключ Кс контролируется средствами передачи сигналов и изменяется, как правило, при каждом сообщении. Этот ключ не предается гласности, но поскольку он часто меняется, то не нуждается в столь сильных средствах защиты, как например, ключ Кi. Кс можно свободно прочитать в SIM.

Алгоритм A5 необходимо устанавливать на международном уровне, поскольку для обеспечения MS-роуминга он должен быть реализован в рамках каждой базовой станции (равно как и в любом мобильном оборудовании). Алгоритм А5 выводит последовательность шифрования из 114 бит для каждого пакета отдельно, с учетом номера кадра и шифровального ключа Кс. На данный момент один-единственный алгоритм А5 установлен для использования во всех странах. В настоящее время базовые станции могут поддерживать три основных варианта алгоритма А5:

· А5/1 - наиболее стойкий алгоритм, применяемый в большинстве стран;

· А5/2 - менее стойкий алгоритм, внедряемый в странах, в которых использование сильной криптографии нежелательно;

· А5/0 - отсутствует шифрование.

В России применяется алгоритм А5/1. По соображениям безопасности его описание не публикуется. Этот алгоритм является собственностью организации GSM MoU. Тем не менее его внешние спецификации обнародованы и его можно представить как "черный ящик”, принимающий параметр длиной 22 бита и параметр длиной 64 бита для того, чтобы создавать последовательности длиной 114 бит. Как и в случае с алгоритмом аутентификации A3, уровень защиты, предлагаемой алгоритмом А5, определяется сложностью обратного вычисления, то есть вычисления Кс при двух известных 114-битовых последовательностях шифрования и номера кадра.

3. Управление ключами

Ключ Кс до начала шифрования должен быть согласован мобильной станцией и сетью. Особенность стандарта GSM заключается в том, что ключ Кс вычисляется до начала шифрования во время процесса аутентификации. Затем Кс вводится в энергонезависимую память внутри SIM с тем, чтобы он хранился там даже после окончания сеанса связи. Этот ключ также хранится в сети и используется для шифрования.

Рис. 3. Блок-схема вычисления Кс

Алгоритм А8 используется для вычисления Кс из RAND и Ki (рис.3).

Фактически алгоритмы A3 и А8 можно было бы реализовать в форме одного-единственного вычисления. Например, в виде единого алгоритма, выходные данные которого состоят из 96 бит: 32 бита для образования SRES и 64 бита для образования Кс. Следует отметить, что длина значимой части ключа Кс, выданная алгоритмом А8, устанавливается группой подписей GSM MoU и может быть меньше 64 бит. В этом случае значимые биты дополняются нулями для того, чтобы в этом формате всегда были использованы все 64 бита.

Всякий раз, когда какая-либо мобильная станция проходит процесс аутентификации, данная мобильная станция и сеть также вычисляют ключ шифрования Кс, используя алгоритм А8 с теми же самыми вводными данными RAND и Ki, которые используются для вычисления SRES посредством алгоритма A3.

4. Средства защиты идентичности пользователя

Шифрование оказывается весьма эффективным для защиты конфиденциальности, но не может использоваться для защиты каждого отдельно взятого обмена информацией по радиоканалу. Шифрование с помощью Кс применяется только в тех случаях, когда сети известна личность абонента, с которым идет разговор. Понятно, что шифрование не может применяться для общих каналов, которые принимаются одновременно всеми мобильными станциями в данной сотовой ячейке и в соседних сотовых ячейках (иначе говоря, оно может применяться с использованием ключа, известного всем мобильным станциям, что абсолютно лишает его смысла как механизма безопасности). При перемещении мобильной станции на какой-либо специальный канал некоторое время происходит "начальная загрузка”, в течение которой сеть еще не знает личности абонента и, следовательно, шифрование его сообщения невозможно. Поэтому весь обмен сигнальными сообщениями, несущий сведения о личности неопределенного абонента, должен происходить в незашифрованном виде. Какая-либо третья сторона на данной стадии может подслушать информацию. Считается, что это ущемляет права личности, поэтому в GSM введена специальная функция, позволяющая обеспечить конфиденциальность такого рода.