Проблема заключается в том, что для грамотного выбора необходимо понимать все аспекты работы криптографических продуктов. В противном случае можно очень легко ошибиться и остановиться на ПО, которое либо не позволит защитить всю необходимую информацию, либо не обеспечит должной степени безопасности. На что же нужно обращать внимание? Во-первых, это доступные в продукте алгоритмы шифрования. Во-вторых, способы аутентификации владельцев информации. В-третьих, способы защиты информации. В-четвертых, дополнительные функции и возможности. В-пятых, авторитет и известность производителя, а также наличие у него сертификатов на разработку средств шифрования. И это еще далеко не все, что может оказаться важным при выборе системы криптографической защиты [16].

Понятно, что человеку, не разбирающемуся в области защиты информации, сложно найти ответы на все эти вопросы.

Secret Disk 4 Lite

Разработчиком продукта Secret Disk 4 Lite является компания Aladdin - один из мировых лидеров, работающих в области информационной безопасности. Она обладает большим количеством сертификатов. И хотя сам рассматриваемый продукт не является сертифицированным средством (у Secret Disk 4 есть отдельная сертифицированная версия), данный факт говорит о признании компании серьезным разработчиком криптографических средств.

Secret Disk 4 Lite может использоваться для шифрования отдельных разделов винчестера, любых съемных накопителей, а также для создания защищенных виртуальных дисков. Таким образом, с помощью этого инструмента можно решить большую часть задач, связанных с криптографией. Отдельно стоит отметить возможность шифрования системного раздела. При этом сама загрузка ОС неавторизированным пользователем становится невозможной. Причем эта защита несоизмеримо надежнее, нежели встроенные средства защиты Windows.

В продукте Secret Disk 4 Lite нет встроенных алгоритмов шифрования. Эта программа для своей работы использует внешние криптопровайдеры. По умолчанию применяется стандартный модуль, интегрированный в Windows. В нем реализованы алгоритмы DES и 3DES. Однако сегодня они считаются уже морально устаревшими. Поэтому для лучшей защиты можно загрузить с сайта Aladdin специальный Secret Disk Crypto Pack. Это криптопровайдер, в котором реализованы наиболее надежные на сегодняшний день криптографические технологии, включая AES и Twofish с длиной ключа до 256 бит. Кстати, в случае необходимости в сочетание с Secret Disk 4 Lite можно использовать сертифицированных поставщиков алгоритмов Signal-COM CSP и «КриптоПро CSP».

Отличительной особенностью Secret Disk 4 Lite является система аутентификации пользователей. Дело в том, что она построена на использовании цифровых сертификатов. Для этого в комплект поставки продукта включен аппаратный USB-токен eToken. Он представляет собой надежно защищенное хранилище для секретных ключей. Фактически, речь идет о полноценной двухфакторной аутентификации (наличие токена плюс знание его PIN-кода). В результате рассматриваемая система шифрования избавлена от такого «узкого» места, как использование обычной парольной защиты.

Из дополнительных функция Secret Disk 4 Lite можно отметить возможность многопользовательской работы (владелец зашифрованных дисков может предоставить доступ к ним другим людям) и фоновую работу процесса шифрования.

Интерфейс Secret Disk 4 Lite прост и понятен. Он выполнен на русском языке, точно так же, как и подробная справочная система, в которой расписаны все нюансы использования продукта [17].

InfoWatch CryptoStorage

InfoWatch CryptoStorage - продукт достаточно известной компании InfoWatch, обладающей сертификатами на разработку, распространение и обслуживание шифровальных средств. Как уже отмечалось, они не обязательны, но могут играть роль своеобразного индикатора серьезности компании и качества выпускаемой ею продукции.

Рисунок 1. Контекстное меню

В InfoWatch CryptoStorage реализован только один алгоритм шифрования - AES с длиной ключа 128 бит. Аутентификация пользователей реализована с помощью обычной парольной защиты. Ради справедливости стоит отметить, что в программе есть ограничение минимальной длины ключевых слов, равное шести символам. Тем не менее, парольная защита, безусловно, сильно уступает по своей надежности двухфакторной аутентификации с использованием токенов. Особенностью программы InfoWatch CryptoStorage является ее универсальность. Дело в том, что с ее помощью можно зашифровывать отдельные файлы и папки, целые разделы винчестера, любые съемные накопители, а также виртуальные диски.

Данный продукт, как и предыдущий, позволяет защищать системные диски, то есть он может использоваться для предотвращения несанкционированной загрузки компьютера. Фактически, InfoWatch CryptoStorage позволяет решить весь спектр задач, связанных с использованием симметричного шифрования.

Дополнительной возможностью рассматриваемого продукта является организация многопользовательского доступа к зашифрованной информации. Кроме того, в InfoWatch CryptoStorage реализовано гарантированное уничтожение данных без возможности их восстановления.

InfoWatch CryptoStorage - русскоязычная программа. Ее интерфейс, выполнен на русском языке, однако достаточно необычен: главное окно как таковое отсутствует (есть только небольшое окошко конфигуратора), а практически вся работа реализована с помощью контекстного меню. Такое решение непривычно, однако нельзя не признать его простоту и удобство. Естественно, русскоязычная документация в программе также имеется.

Rohos Disk

Rohos Disk - продукт компании Tesline-Service.S.R.L. Он входит в линейку небольших утилит, реализующих различные инструменты по защите конфиденциальной информации. Разработка этой серии продолжается с 2003 года.

Рисунок 2. Интерфейс программы

Программа Rohos Disk предназначена для криптографической защиты компьютерных данных. Она позволяет создавать зашифрованные виртуальные диски, на которые можно сохранять любые файлы и папки, а также устанавливать программное обеспечение.

Для защиты данных в данном продукте используется криптографический алгоритм AES с длиной ключа 256 бит, который обеспечивает высокую степень безопасности.

В Rohos Disk реализовано два способа аутентификации пользователей. Первый из них - обычная парольная защита со всеми ее недостатками. Второй вариант - использование обычного USB-диска, на который записывается необходимый ключ.

Данный вариант также не является очень надежным. При его использовании утеря «флешки» может грозить серьезными проблемами.

Rohos Disk отличается широким набором дополнительных возможностей. В первую очередь стоит отметить защиту USB-дисков. Суть ее заключается в создании на «флешке» специального зашифрованного раздела, в котором можно без опасений переносить конфиденциальные данные.

Причем в состав продукта входит отдельная утилита, с помощью которой можно открывать и просматривать эти USB-диски на компьютерах, на которых не инсталлирован Rohos Disk [18].

Следующая дополнительная возможность - поддержка стеганографии. Суть этой технологии заключается в сокрытии зашифрованной информации внутри мультимедиа-файлов (поддерживаются форматы AVI, MP3, MPG, WMV, WMA, OGG).

Ее использование позволяет скрыть сам факт наличия секретного диска путем его размещения, например, внутри фильма. Последней дополнительной функцией является уничтожение информации без возможности ее восстановления.

Программа Rohos Disk обладает традиционным русскоязычным интерфейсом. Кроме того, она сопровождена справочной системой, может быть, не столь подробной, как у двух предыдущих продуктов, однако достаточной для освоения принципов ее использования.

TrueCrypt

Говоря о криптографических утилитах, нельзя не упомянуть и про бесплатное программное обеспечение. Ведь сегодня практически во всех областях есть достойные продукты, распространяющиеся совершенно свободно. И защита информации не является исключением из этого правила.

Правда, к использованию свободного ПО для защиты информации существует двоякое отношение. Дело в том, что многие утилиты пишутся программистами-одиночками или небольшими группами. При этом никто не может поручиться за качество их реализации и отсутствии «дыр», случайных или намеренных. Но криптографические решения сами по себе весьма сложны для разработки. При их создании нужно учитывать огромное множество различных нюансов. Именно поэтому рекомендуется применять только широко известные продукты, причем обязательно с открытым кодом. Только так можно быть уверенным, что они избавлены от «закладок» и протестированы большим количеством специалистов, а значит, более-менее надежны. Примером такого продукта является программа TrueCrypt [19].



Рисунок 3. Интерфейс программы

TrueCrypt является, пожалуй, одной из самых функционально богатых бесплатных криптографических утилит. Изначально она использовалась только для создания защищенных виртуальных дисков. Все-таки для большинства пользователей это наиболее удобный способ защиты различной информации. Однако со временем в ней появилась функция шифрования системного раздела. Как мы уже знаем, она предназначается для защиты компьютера от несанкционированного запуска. Правда, шифровать все остальные разделы, а также отдельные файлы и папки TrueCrypt пока не умеет.

В рассматриваемом продукте реализовано несколько алгоритмов шифрования: AES, Serpent и Twofish. Владелец информации может сам выбрать, какой из них он хочет использовать в данный момент. Аутентификации пользователей в TrueCrypt может производиться с помощью обычных паролей. Однако есть и другой вариант - с использованием ключевых файлов, которые могут сохраняться на жестком диске или любом съемном накопителе. Отдельно стоит отметить поддержку данной программой токенов и смарт-карт, что позволяет организовать надежную двухфакторную аутентификацию.

Из дополнительных функций рассматриваемой программы можно отметить возможность создания скрытых томов внутри основных. Она используется для сокрытия конфиденциальных данных при открытии диска под принуждением. Также в TrueCrypt реализована система резервного копирования заголовков томов для их восстановлении при сбое или возврата к старым паролям.

Интерфейс TrueCrypt привычен для утилит подобного рода. Он многоязычен, причем есть возможность установить и русский язык. С документацией дела обстоят гораздо хуже. Она есть, причем весьма подробная, однако написана на английском языке. Естественно, ни о какой технической поддержки речи идти не может.

Для большей наглядности все их особенности и функциональные возможности сведены в таблицу 2 [20].

Таблица 2. Функциональные возможности программ криптографической защиты информации.

	Secret Disk 4 lite	InfoWatch CryptoStorage	Rohos Disk	TrueCrypt
Алгоритмы шифрования	DES, 3DES, AES, TwoFish	AES	AES	AES, Serpent, TwoFish
Максимальная длина ключа шифрования	256	256	256	256
Подключение внешних криптопровайдеров	+	-	-	-
Строгая аутентификация с использованием токенов	+	-	-	+ (токены приобретаются отдельно)
Шифрование файлов и папок	-	+	-	-
Шифрование разделов	+	+	-	-
Шифрование системы	+	+	-	+
Шифрование виртуальных дисков	+	+	+	+
Шифрование съемных накопителей	+	+	+	-
Поддержка многопользовательской работы	+	+	-	-
Гарантированное уничтожение данных	-	+	+	-
Сокрытие зашифрованных объектов	-	-	+	-
Работа «под принуждением»	-	-	-	+
Русскоязычный интерфейс	+	+	+	+
Русскоязычная документация	+	+	+	-
Техническая поддержка	+	+	+	-

Межсетевые экраны

Еще несколько лет назад для надежной защиты ПК достаточно было установить хорошую антивирусную программу и следить за регулярным обновлением баз. Однако изобретательность злоумышленников порождает все новые и новые способы нанесения ущерба. Зачастую основным путем проникновения на компьютер пользователя оказываются его сетевые подключения, точнее связанные с ними системные уязвимости. Антивирусный пакет может лишь определить вредоносный код, однако далеко не каждый антивирус способен обнаружить несанкционированный доступ к данным.

С развитием рыночных отношений информация всё более и более приобретает качества товара, то есть её можно купить, продать, передать и, к сожалению, украсть. Поэтому проблема обеспечения безопасности информации с каждым годом становится всё более актуальной. Одним из возможных направлений решения данной проблемы является использование межсетевых экранов.

Современные технологии сетевой защиты являются одним из наиболее динамичных сегментов современного рынка обеспечения безопасности. Средства сетевой защиты настолько стремительно развиваются, что в настоящее время общепринятая терминология в данном направлении ещё окончательно не установилась. Эти средства защиты в литературе и средствах массовой информации фигурируют как firewall, брандмауэры и даже информационные мембраны. Но наиболее часто используется термин «межсетевые экраны» (МЭ).

В общем случае, для обеспечения сетевой защиты между двумя множествами информационных систем (ИС) ставится экран или информационная мембрана, которые являются средством разграничения доступа клиентов из одного множества систем к информации, хранящейся на серверах в другом множестве. В этом смысле МЭ можно представить как набор фильтров, анализирующих проходящую через них информацию и принимающих решение: пропустить информацию или её заблокировать. Одновременно с этим производится регистрация событий и тревожная сигнализация в случае обнаружения угрозы. Обычно экранирующие системы делаются несимметричными. Для экранов определяются понятия «внутри» и «снаружи», причём, в задачу экрана входит защита внутренней сети от потенциально враждебного окружения. Кроме того, МЭ может использоваться в качестве корпоративной открытой части сети, видимой со стороны Internet. Так, например, во многих организациях МЭ используются для хранения данных с открытым доступом, как, например, информации о продуктах и услугах, файлах из баз FTP, сообщений об ошибках и так далее.

Межсетевой экран или сетевой экран - комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами [22].

Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача - не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации.

Некоторые сетевые экраны также позволяют осуществлять трансляцию адресов - динамическую замену внутрисетевых (серых) адресов или портов на внешние, используемые за пределами локальной вычислительной сети.

Рисунок 4. Общая структура брандмауэра

Другие названия

Брандмауэр (нем. Brandmauer) - заимствованный из немецкого языка термин, являющийся аналогом английского firewall в его оригинальном значении (стена, которая разделяет смежные здания, предохраняя от распространения пожара). Интересно, что в области компьютерных технологий в немецком языке употребляется слово «Firewall».

Файрволл - образовано транслитерацией английского термина firewall.

Разновидности сетевых экранов

Сетевые экраны подразделяются на различные типы в зависимости от следующих характеристик:

1. обеспечивает ли экран соединение между одним узлом и сетью или между двумя или более различными сетями;

2. на уровне каких сетевых протоколов происходит контроль потока данных;

3. отслеживаются ли состояния активных соединений или нет.

В зависимости от охвата контролируемых потоков данных сетевые экраны делятся на:

1. традиционный сетевой (или межсетевой) экран - программа (или неотъемлемая часть операционной системы) на шлюзе (сервере, передающем трафик между сетями) или аппаратное решение, контролирующие входящие и исходящие потоки данных между подключенными сетями.

2. персональный сетевой экран - программа, установленная на пользовательском компьютере и предназначенная для защиты от несанкционированного доступа только этого компьютера.

Вырожденный случай - использование традиционного сетевого экрана сервером, для ограничения доступа к собственным ресурсам.

В зависимости от уровня, на котором происходит контроль доступа, существует разделение на сетевые экраны, работающие на [23]:

1. сетевом уровне, когда фильтрация происходит на основе адресов отправителя и получателя пакетов, номеров портов транспортного уровня модели OSI и статических правил, заданных администратором;

2. сеансовом уровне (также известные как stateful) - отслеживающие сеансы между приложениями, не пропускающие пакеты нарушающих спецификации TCP/IP, часто используемых в злонамеренных операциях - сканировании ресурсов, взломах через неправильные реализации TCP/IP, обрыв / замедление соединений, инъекция данных.

3. уровне приложений, фильтрация на основании анализа данных приложения, передаваемых внутри пакета. Такие типы экранов позволяют блокировать передачу нежелательной и потенциально опасной информации на основании политик и настроек.

Некоторые решения, относимые к сетевым экранам уровня приложения, представляют собой прокси-серверы с некоторыми возможностями сетевого экрана, реализуя прозрачные прокси-серверы, со специализацией по протоколам. Возможности прокси-сервера и многопротокольная специализация делают фильтрацию значительно более гибкой, чем на классических сетевых экранах, но такие приложения имеют все недостатки прокси-серверов (например, анонимизация трафика).

В зависимости от отслеживания активных соединений сетевые экраны бывают:

1. stateless (простая фильтрация), которые не отслеживают текущие соединения (например, TCP), а фильтруют поток данных исключительно на основе статических правил;

2. stateful, stateful packet inspection (SPI) (фильтрация с учётом контекста), с отслеживанием текущих соединений и пропуском только таких пакетов, которые удовлетворяют логике и алгоритмам работы соответствующих протоколов и приложений. Такие типы сетевых экранов позволяют эффективнее бороться с различными видами DoS-атак и уязвимостями некоторых сетевых протоколов. Кроме того, они обеспечивают функционирование таких протоколов, как H.323, SIP, FTP и т.п., которые используют сложные схемы передачи данных между адресатами, плохо поддающиеся описанию статическими правилами, и, зачастую, несовместимых со стандартными, stateless сетевыми экранами.

Необходимо отметить, что в настоящее время наряду с одноуровневыми межсетевыми экранами все большую популярность приобретают комплексные экраны, охватывающие уровни от сетевого до прикладного, поскольку подобные продукты соединяют в себе лучшие свойства одноуровневых экранов разных видов. На схеме 1 представлена структура информационного экранирования между двумя системами при использовании эталонной модели ISO/OSI.



Рисунок 5. Структура информационного экранирования с использованием эталонной модели

Современные требования к межсетевым экранам

1. Основное требование - это обеспечение безопасности внутренней (защищаемой) сети и полный контроль над внешними подключениями и сеансами связи.

2. Экранирующая система должна обладать мощными и гибкими средствами управления для простого и полного проведения в жизнь политики безопасности организации.

3. Межсетевой экран должен работать незаметно для пользователей локальной сети и не затруднять выполнение ими легальных действий.

4. Процессор межсетевого экрана должен быть быстродействующим, работать достаточно эффективно и успевать обрабатывать весь входящий и исходящий поток в пиковых режимах, чтобы его нельзя было блокировать большим количеством вызовов и нарушить его работу.

5. Система обеспечения безопасности должна быть сама надежно защищена от любых несанкционированных воздействий, поскольку она является ключом к конфиденциальной информации в организации.

6. Система управления экранами должна иметь возможность централизованно обеспечивать проведение единой политики безопасности для удаленных филиалов.

7. Межсетевой экран должен иметь средства авторизации доступа пользователей через внешние подключения, что является необходимым в случаях работы сотрудников организации в командировках.

Особенности современных межсетевых экранов

Как видно из таблицы 3 межсетевой экран является наиболее распространенным средством усиления традиционных средств защиты от несанкционированного доступа и используется для обеспечения защиты данных при организации межсетевого взаимодействия [24].

Конкретные реализации МЭ в значительной степени зависят от используемых вычислительных платформ, но, тем не менее, все системы этого класса используют два механизма, один из которых обеспечивает блокировку сетевого трафика, а второй, наоборот, разрешает обмен данными.

При этом некоторые версии МЭ делают упор на блокировании нежелательного трафика, а другие - на регламентировании разрешенного межмашинного обмена.

Таблица 3. Особенности межсетевых экранов

Тип межсетевого экрана	Принцип работы	Достоинства	Недостатки
Экранирующие маршрутизаторы (брандмауэры с фильтрацией пакетов)	Фильтрация пакетов осуществляется в соответствии с IP - заголовком пакета по критерию: то, что явно не запрещено, является разрешенным. Анализируемой информацией является: - адрес отправителя; - адрес получателя; - информация о приложении или протоколе; - номер порта источника; - номер порта получателя	Низкая стоимость · Минимальное влияние на производительность сети · Простота конфигурации и установки · Прозрачность для программного обеспечения	Уязвимость механизма защиты для различных видов сетевых атак, таких как подделка исходных адресов пакетов, несанкционированное изменение содержимого пакетов · Отсутствие в ряде продуктов поддержки журнала регистрации событий и средств аудита
Экранирующий шлюз (ЭШ)	Информационный обмен происходит через хост-бастион, установленный между внутренней и внешней сетями, который принимает решения о возможности маршрутизации трафика. ЭШ бывают двух типов: сеансового и прикладного уровня	· Отсутствие сквозного прохождения пакетов в случае сбоев · Усиленные, по сравнению с ЭМ, механизмы защиты, позволяющие использовать дополнительные средства аутентификации, как программные, так и аппаратные · Использование процедуры трансляции адресов, позволяющей скрытие адресов хостов закрытой сети	· Использование только мощных хостов-бастионов из-за большого объема вычислений · Отсутствие «прозрачности» из-за того, что ЭШ вносят задержки в процесс передачи и требуют от пользователя процедур аутентификации
Экранирующие подсети (ЭП)	Создается изолированная подсеть, расположенная между внутренней и открытой сетями. Сообщения из открытой сети обрабатываются прикладным шлюзом и попадают в ЭП. После успешного прохождения контроля в ЭП они попадают в закрытую сеть. Запросы из закрытой сети обрабатываются через ЭП аналогично. Фильтрование осуществляется из принципа: то, что не разрешено, является запрещенным	Возможность скрытия адреса внутренней сети · Увеличение надежности защиты · Возможность создания большого трафика между внутренней и открытой сетями при использовании нескольких хостов-бастионов в ЭП · «прозрачность» работы для любых сетевых служб и любой структуры внутренней сети	Использование только мощных хостов-бастионов из-за большого объема вычислений · Техническое обслуживание (установка, конфигурирование) может осуществляться только специалистами

Типовые варианты включения межсетевых экранов

Рисунок 6. Включение МЭ по схеме двухпортового шлюза

Рисунок 7. Включение МЭ непосредственно на защищаемом сервере



Рисунок 8. Включение МЭ в системе Интернет-Интранет

Сравнительные характеристики современных межсетевых экранов

Таблица 4 Сравнительные характеристики современных межсетевых экранов

Продукт	Тип	Платформа	Компания	Особенности
Solstice Firewall	Комплексный экран	SunOS, UNIX, Solaris	Sun Microsystems	Реализует политику безопасности: все данные, не имеющие явного разрешения - отбрасываются. В процессе работы фильтры пакетов на шлюзах и серверах генерируют записи обо всех событиях, запускают механизмы тревоги, требующие реакции администратора.
Black Hole	Экранирующий шлюз прикладного уровня	Различные аппаратные платформы	Milkyway Networks Corporation	Не использует механизм фильтрации пакетов. Принцип действия: то, что явно не разрешено, является запрещенным. Регистрирует все действия сервера, предупреждает о возможных нарушениях. Может использоваться как двунаправленный шлюз.
BorderWare Firewall Server	Экранирующий шлюз прикладного уровня	UNIX, Windows, DOS	Secure Computing Corporation	Программное средство защиты, обеспечивающее работу под управлением ОС (собственная разработка). Позволяет фиксировать адреса, время, попытки, используемый протокол.
ALF (Application Layer Filter)	Экранирующий шлюз прикладного уровня	BSDI	SOS Corporation	Может фильтровать IP-пакеты по адресам, диапазонам портов, протоколам и интерфейсам. Приходящий пакет может пропустить, ликвидировать или отослать по его адресу.
ANS InterLock Service	Экранирующий шлюз прикладного уровня	UNIX	ANS CO + RE Systems	Использует программы-посредники для служб Telnet, FTR, HTTR. Поддерживает шифрование соединения точка-точка, причем, в качестве средств аутентификации могут использоваться аппаратные.
Brimstone	Комплексный экран	SunOS, BSDI на Intel, IRIX на INDY и Challenge	SOS Corporation	Для анализа использует время, дату, адрес, порт и т.д. Включает программы-посредники прикладного уровня для служб Telnet, FTR, SMTP, X11, HTTP, Gopher и др. Поддерживает большинство пакетов аппаратной аутентификации.
Centri	Экранирующий шлюз прикладного уровня	SunOS, BSDI, Solaris, HP - UX, AIX	Global Internet	Закрытая сеть видится извне как единственный хост. Имеет программы-посредники для служб: электронной почты, протокола FTR и др. Регистрирует все действия сервера, предупреждает о нарушениях.
CONNECT	Экранирующий шлюз прикладного уровня	UNIX	Sterling Software	Является программным продуктом, обеспечивающим защиту информации от НСД при соединении закрытой и открытой сетей. Позволяет регистрировать все действия сервера и предупреждать о возможных нарушениях.
CyberGuard Firewall	Двунаправленный шлюз комплексного типа (хост-бастион как фильтр, шлюз прикладного уровня или комплексный экран)	Платформа RISC, OS UNIX	Harris Computer Systems Corporation	Использованы комплексные решения, включающие механизмы защиты ОС UNIX и интегрированные сетевые средства, предназначенные для RISC-компьютеров. Для анализа используется исходный адрес, адрес назначения и др.
Digital Firewall for UNIX	Комплексный экран	Digital Alpha	Digital Equipment Corporation	Предустанавливается на системы Digital Alpha и представляет возможности экранирующего фильтра и шлюза прикладного уровня.
Eagle Enterprise	Экранирующий шлюз прикладного уровня	Реализация технологии Virtual Private Networking	Raptor Systems	Включает в себя программы-посредники прикладного уровня для служб FTR, HTTP, Telnet. Регистрирует все действия сервера и предупреждает о нарушениях.
Firewall IRX Router	Экранирующий маршрутизатор	DOS, MS-Windows	Livingston	Позволяет произвести анализ сети в целях оптимизации сетевого трафика, безопасно связать локальную сеть с удаленными сетями на основе открытых сетей.
Firewall-1	Комплексный межсетевой экран	Intel x86, Sun Sparc и др	Check Point Software Technologies	Обеспечивает защиту от хакерских нападений типа address-spoofing (подделка адресов пакетов) и представляет комбинацию средств защиты сетевого и прикладного уровней.
Firewall-1/ VPN-1	Комплексный межсетевой экран	Intel x86, Sun Sparc и др	Check Point Software Technologies	Представляет открытый интерфейс приложения OPSEC API. Обеспечивает: - выявление компьютерных вирусов; - сканирование URL; - блокирование Java и ActiveX; - поддержку протокола SMTP; - фильтрацию HTTP; - обработку протокола FTP
TIS Firewall Toolkit	Набор программ для создания и управления системами firewall	BSD UNIX	Trusted Information Systems	Распространяется в исходном коде, все модули написаны на языке С. Набор предназначен для программистов - экспертов.

Межсетевой экран сам по себе не панацея от всех угроз для сети. В частности, он [25]:

1. не защищает узлы сети от проникновения через «люки» (англ. back doors) или уязвимости ПО;

2. не обеспечивает защиту от многих внутренних угроз, в первую очередь - утечки данных;

3. не защищает от загрузки пользователями вредоносных программ, в том числе вирусов;

Для решения последних двух проблем используются соответствующие дополнительные средства, в частности, антивирусы. Обычно они подключаются к файрволу и пропускают через себя соответствующую часть сетевого трафика, работая как прозрачный для прочих сетевых узлов прокси, или же получают с файрвола копию всех пересылаемых данных. Однако такой анализ требует значительных аппаратных ресурсов, поэтому обычно проводится на каждом узле сети самостоятельно.

Системы обнаружения вторжения

Сегодня возможности обнаружения вторжения становятся необходимыми добавлениями к инфраструктуре защиты информации каждой крупной компании. Вопрос о том, необходима ли система обнаружения вторжения (СОВ), для профессионалов защиты информации уже не стоит, однако перед ними возникает проблема выбора такой системы для конкретной организации. Кроме того, высокая стоимость подобных продуктов заставляет более тщательно подходить к обоснованию необходимости их использования [26].

Типы систем обнаружения вторжений

На сегодняшний день существует несколько различных типов СОВ, отличающихся различными алгоритмами мониторинга данных и подходами к их анализу. Каждому типу системы соответствуют те или иные особенности использования, преимущества и недостатки.

Один из способов классификации СОВ основывается на уяснении того, что они, собственно, контролируют. Одни контролируют весь сетевой трафик и анализируют сетевые пакеты, другие разворачиваются на отдельных компьютерах и контролируют операционную систему на предмет выявления признаков вторжения, третьи, как правило, контролируют отдельные приложения.

СОВ, защищающие сегмент сети

Этот класс СОВ в настоящее время наиболее распространен среди коммерческих продуктов. Система обычно состоит из нескольких специализированных серверов, которые анализируют сетевой трафик в различных сегментах сети и передают сообщения о возможном нападении на централизованную консоль управления. Никакие другие приложения не работают на серверах используемых СОВ, поэтому они могут быть защищены от нападения, в том числе специальными средствами. Многие из них могут функционировать в «стелс» - режиме, что затрудняет обнаружение нападающих и определение их местонахождения в сети.

Преимущества:

1. несколько удачно расположенных систем могут контролировать большую сеть;

2. их развертывание оказывает незначительное воздействие на существующую сеть. Подобные СОВ, как правило, пассивные устройства, которые перехватывают сетевой трафик, не загружая сеть служебными потоками;

3. cистема может быть весьма защищенной от нападений на нее саму, к тому же отдельные ее узлы можно сделать невидимыми для нападающих.

Недостатки:

1. не в состоянии распознавать нападение, начатое в момент высокой загрузки сети. Некоторые разработчики пытаются решить эту проблему, реализуя СОВ на основе аппаратных средств, обладающих более высокой скоростью. Кроме того, необходимость быстро анализировать пакеты вынуждает разработчиков обнаруживать нападение с минимальными затратами вычислительных ресурсов, что серьезно снижает эффективность обнаружения;

2. многие из преимуществ СОВ небольших сегментов (обычно один высокоскоростной канал Ethernet на сервер) и обеспечивают выделенные каналы между серверами, обслуживаемыми тем же коммутатором. Большинство коммутаторов не обеспечивают универсальные порты управления, что сокращает контролирующий диапазон датчика СОВ. В таких коммутаторах отдельный порт зачастую не может отразить весь трафик, проходящий через коммутатор;

3. не способны анализировать зашифрованную информацию;

4. сообщают об инициированном нападении, не анализируя степень проникновения.

СОВ, защищающие отдельный сервер

Данные системы работают, анализируя активность процессов на конкретном сервере, на котором установлены; собирают информацию о контролируемом ими сервере. Это позволяет СОВ анализировать действия на сервере с высокой степенью детализации и точно определять, кто из пользователей выполняет злонамеренные действия в операционной системе сервера [27-30].

Некоторые СОВ этого класса имеют возможность управлять группой серверов, подготавливая централизованные отчеты о возможных нападениях, которые обобщаются на консоли администратора защиты. Другие генерируют сообщения, совместимые с системами управления сетью.

Преимущества:

1. обнаруживают нападения, которые не выявляют СОВ, защищающие сегмент сети, так как имеют представление о событиях, локализованных на конкретном сервере;

2. работают в сети, использующей шифрование данных, когда информация находится в открытом виде на сервере до ее отправки потребителю;

3. функционируют в коммутируемых сетях.

Недостатки:

1. механизмы сбора информации должны устанавливаться и поддерживаться на каждом сервере, который будет контролироваться;

2. могут быть атакованы и заблокированы подготовленным противником;

3. не способны контролировать ситуацию во всей сети, так как «видят» только сетевые пакеты, получаемые сервером, на котором они установлены;

4. трудности в обнаружении и противодействии нападениям с отказом в обслуживании;

5. используют вычислительные ресурсы сервера, который контролируют, снижая тем самым эффективность его работы.

СОВ на основе защиты приложений

Эти системы контролируют события, проявляющиеся в пределах отдельного приложения, и нередко обнаруживают нападения при анализе системных журналов приложения. Возможность связываться непосредственно с приложением посредством служебного интерфейса, а также большой запас прикладных знаний о приложении позволяют СОВ данного класса обеспечивать более детальное представление о подозрительной деятельности в приложении.

Преимущества:

1. контролируют деятельность с очень высокой степенью детализации, позволяющей им прослеживать неправомочную деятельность индивидуальных пользователей;

2. способны работать в зашифрованных средах.

Некоторые эксперты отмечают, что различие между системами на основе защиты приложений и системами на основе защиты отдельного сервера не всегда четко прослеживаются, поэтому в дальнейшем оба класса будем относить к системам обнаружения вторжений на основе защиты отдельного сервера.

Подходы к анализу событий.

В настоящее время существуют два основных подхода к анализу событий: обнаружение сигнатуры и обнаружение аномалии.

СОВ на основе сигнатуры

Подход к обнаружению вторжения на основе сигнатуры выявляет деятельность, которая соответствует предопределенному набору событий, уникально описывающих известное нападение. Следовательно, системы на основе сигнатуры должны быть заранее запрограммированы, чтобы обнаружить каждое известное нападение. Эта методика чрезвычайно эффективна и является основным методом, используемым в коммерческих программах.

Преимущества:

1. весьма эффективны при обнаружении нападений, не генерируя значительное число ложных тревог.

Недостатки:

2. системы на основе сигнатуры должны быть заранее запрограммированы, чтобы обнаруживать каждое нападение, и постоянно модифицироваться сигнатурами новых нападений;

3. сами сигнатуры во многих системах данного класса определены достаточно узко, что затрудняет обнаружение ими вариантов традиционных нападений, сигнатура которых незначительно отличается от имеющейся в их базе.

2. Защита информации на предприятии ТОО «IT-Line»

2.1 Характер деятельности предприятия

Базой моего исследования является ТОО «IT-Line», г. Костанай.

Организационно-правовая форма предприятия - товарищество с ограниченной ответственностью.

Данное предприятие является поставщиком в области компьютеров и программного обеспечения в Костанайской области. На рынке появляются фирмы аналогичного профиля, но из-за использования ими нелицензионных программ, систем с низким качеством и надежностью, а также из-за небольшого ассортимента товаров и услуг, основная масса потребителей пользуется услугами нашей фирмы.

ТОО «IT-Line» является официальным представителем и партнером очень многих известных торговых марок, разработанных в сфере компьютерных технологий и программного обеспечения. Например, 1С, Юрист, Microsoft, Canon, Aquarius, Dr. Web, D-Link, и многие другие.

В ТОО «IT-Line» присутствует три основных смежных видов деятельности:

1. продажа, ремонт, обслуживание компьютеров и оргтехники;

2. продажа и обслуживание программного обеспечения;

3. учетный центр.

Вниманию Клиентов предложен следующий перечень оказываемых услуг:

1. продажа и сопровождение программ: бухгалтерских, антивирусных, СПС Юрист, налоговая отчетность через Интернет и т.д.;

2. настройка программ Клиента на конкретные особенности бухгалтерии;

3. ежемесячное обновление версий программ;

4. продажа расходных материалов и комплектующих (от дискеты до полной поставки компьютера);

5. ремонт и модернизация компьютеров, принтеров, копировальных и факсимильных аппаратов;

6. консультации;

7. диагностика компьютера;

8. проектирование и монтирование сети;

9. помощь в сдаче отчетности, в ведении бухгалтерского учета и др. (учетный центр).

Для физических лиц разработана система кредитования на приобретение товаров и программного обеспечения. С юридическими лицами заключаются договора на информационное сопровождение, поставку товаров и оказание услуг.

Так же в компании постоянно осваиваются новинки программных продуктов и разрабатываются новые направления деятельности предприятия.

Основным преимуществом ТОО «IT-Line» над конкурентами является предоставление комплексного обслуживания.

ТОО «IT-Line» ведет активную политику на рынке области: проводит рекламные кампании, принимает участие в семинарах для бухгалтеров, устраивает олимпиады для школьников и студентов и т.п.

ТОО «IT-Line» является предприятием с вертикальной структурой организации управления. На рисунке 9 представлена существующая организационная схема управления предприятием.

Основные функции организации по принятию решений, прогнозированию и планированию, а также контрольные функции, в целом, возложены на генерального и технического директоров (учредителей фирмы).

Взаимодействие между руководителями и структурными подразделениями, а также внешней средой, осуществляется через соответствующие отделы.



Рисунок 9. Структурная схема управления в ТОО «IT-Line»

Проанализировав представленную структурную схему управления предприятием, можно выделить следующие идентифицирующие ее признаки:

1. единство и четкость распорядительства;

2. согласованность действий исполнителей;

3. подчинение всех отделов общим целям и задачам;

4. оперативность в принятии решений;

5. высокая ответственность руководителя за результаты деятельности возглавляемого им подразделения.

Исходя из вышеизложенного, можно сделать вывод, что существующая в ТОО «IT-Line» система управления относится к линейной структуре управления.

В данной фирме работают 20 человек, 18 из которых имеют непосредственное отношение к компьютерам.

По своим должностным обязанностям весь персонал разделяется на управленческий персонал (руководители), инженерно-технические работники (специалисты), служащие и рабочие.

В ТОО «IT-Line» можно выделить 3 рабочие группы:

1. отдел продаж и обслуживания компьютеров;

2. бухгалтерия;

3. группа программного обеспечения.

В ближайшем будущем планируется разделение техно-торгового отдела на два: торговый отдел и сервисную службу.

Таким образом, в данной компании будет уже 4 рабочих группы, что в свою очередь приведет к увеличению штата сотрудников.

2.2 Техническое обеспечение на предприятии

Офис ТОО «IT-Line» состоит из семи комнат: торговый зал (магазин), группа ПО, сервис, бухгалтерия, кабинета генерального директора, а также кабинета технического директора и кабинета руководителя группы ПО. Также имеется ряд вспомогательных комнат на прямую не относящихся к деятельности компании. Там имеется 13 компьютеров и 2 сервера. Их соединяет единая информационная система, на базе локальной сети типа «звезда», с использованием двух восьми портовых коммутатора Ethernet, фирмы-производителя Acorp, с проускной способностью 10/100 Мбит/с (является неуправляемым коммутатором 10/100-Мбит/с предназначенным для повышения производительности работы малой группы пользователей, обеспечивая при этом высокий уровень гибкости.

Мощный и, одновременно с этим, простой в использовании, Acorp позволяет пользователям без труда подключить к любому порту сетевое оборудование, работающее на скоростях 10 Мбит/с или 100 Мбит/с, понизить время отклика и удовлетворить потребности в большой пропускной способности сети).

В качестве сетевого оборудования в ПК используются либо интегрированные варианты, либо сетевые карты D-Link DFE-520TX 10/100Mbps, восьмижильного кабеля (витая пара).

Имеющиеся на предприятии два сервера работают под разными операционными системами: один под управлением ОС Linux, а другой под управлением Microsoft Windows server (рисунок 10).

2.3 Программное обеспечение и информационная документация на предприятии

В ТОО «IT-Line» на всех рабочих станциях установлена операционная система Windows 7 и стандартный набор программ Microsoft Office 2007.

На сервере установлены сетевые программы 1С: Бухгалтерия 8.0, 1С: УправлениеТорговлей 8.0, 1С: Зарплата и Кадры 8.0. К программам 1С есть доступ у всех остальных компьютеров, каждый пользователь может зайти только под своим именем и паролем с соответствующими правами.

Рисунок 10. Структурная схема локальной сети ТОО «IT-Line»

Также находятся реестры документооборота, договора и другие документы ТОО «IT-Line». Здесь же хранятся обновления, пополнения для различного программного обеспечения. За сервером никто не работает, таким образом, он представляет собой «архив», «хранилище» самых важных данных для этой фирмы. С правами администратора на сервер может войти только технический директор и системный администратор.

Генеральный директор фирмы ТОО «IT-Line» работает за компьютером «Director». Ген. директор имеет доступ ко всем базам 1С, ЮРИСТ и рабочим папкам менеджеров данного предприятия.

Он просматривает и обрабатывает всевозможные ежемесячные отчеты (по продажам, информационному сопровождению, дебиторской и кредиторской задолженности и т.д.), разрабатывает стратегию работы фирмы на основании этих отчетов, как на ближайшее время, так и на долгосрочный период.

В торговом зале находятся два компьютера. За ними работают руководитель техно-торгового отдела и менеджер по продажам. Менеджеры этого отдела имеют доступ к 1С: УправлениеТорговлей 8.0 с одинаковыми правами (приход и отгрузка товара, выписка счетов и счетов-фактур, создание новой номенклатуры и контрагентов).

Они получают через интернет прейскуранты от поставщиков, из которых формируют собственные, занимаются ценообразованием. Составляют конфигурации на компьютеры и комплектующие, готовят заявки на поставку нового товара. Для своей повседневной работы также используют Word, Excel и почтовую программу The Bat.

На компьютере руководителя отдела информационного сопровождения установлены ДИУ (дистрибутивы информационного узла) базы СПС ЮРИСТ (к сетевым базам систем ЮРИСТ имеют доступ все остальные компьютеры сети).

Руководитель отдела ПО в первую очередь отвечает за своевременную закачку обновления для ЮРИСТ, 1С, Dr. Web и др. программ, а так же оперативный прием / отправка электронной почты для поставщиков и клиентов. Для этой части своей работы используются почтовая программа The Bat. Есть доступ к программе 1С: УправлениеТорговлей 8.0 для выписки счетов и счетов-фактур клиентам информационного сопровождения, накладных, для прихода товара и услуг от поставщиков ПО.

Руководителем отела ПО ведется учет предприятий пользующихся нашими услугами информационного сопровождения, потенциальных клиентов и тех, кто по каким-то причинам отказался от наших услуг. Для этого он пользуется специальной базой данных, разработанной в MS Access», для учета продаж и сопровождения дистрибутивов СПС ЮРИСТ настоящим и будущим клиентам.

Так же руководитель отдела программного обеспечения принимает заявки на информационное сопровождение от населения и предприятий города, ведет журнал посещения клиентов, распределяя приоритеты обслуживания, готовит задачи и обновление для инженеров по сопровождению, занимается продажей ПО, готовит коммерческие предложения и т.д.

2.4 Анализ средств защиты информации на предприятии

На предприятии ТОО «IT-Line» сервер является сервером терминалов, файл-сервером, а так же прокси-сервером.

В качестве антивирусной защиты на предприятии используется Dr. Web Enterprise Suite. Так же на сервере установлен TrustAccess 1.2 (firewall).

TrustAccess - распределенный межсетевой экран высокого класса защиты c централизованным управлением, предназначенный для защиты серверов и рабочих станций локальной сети от несанкционированного доступа, а также разграничения сетевого доступа к информационным системам предприятия.

Рассмотрим более подробно основные достоинства данных приложений:

Trust Access

TrustAccess от компании «Код безопасности» представляет собой сетевой экран, позволяющий защищать компьютеры (рабочие машины или серверы) от несанкционированного доступа. Сферой применения TrustAccess является защита локальной сети предприятий и обеспечение разделяемого доступа к папкам с документами.

Продукт может использоваться для защиты конфиденциальных секретных документов, а также документов составляющих государственную тайну. TrustAccess может использоваться как в сетях с доменной организацией, так и в одноранговых сетях, при этом объектом защиты могут быть как физические, так и виртуальные машины [31].

TrustAccess построен на основе архитектуры «клиент-сервер». Настройка аутентификации, правил фильтрации и разграничение прав доступа производится администратором на сервере управления.

Фильтрация осуществляется на защищаемых компьютерах. Все действия пользователей в процессе работы с программой сводятся к прохождению процедуры аутентификации на серверной части TrustAccess.

TrustAccess состоит из трех компонентов:

1. сервер управления - обеспечивает централизованное управление агентами TrustAccess на защищаемых компьютерах, а также обработку и хранение данных. Основные функции - аутентификация абонентов TrustAccess при помощи протокола Kerberos, регистрация событий безопасности и хранение конфигураций. Рекомендуется устанавливать на выделенный сервер или на один из компьютеров в сети;

2. агент межсетевого экрана (далее - агент) - предназначен для аутентификации пользователя, установления доверенного канала передачи данных и обеспечения функции разграничения доступа к защищаемым компьютерам;

3. автоматизированное рабочее место (АРМ) администратора - обеспечивает централизованное управление абонентами и механизмами защиты. Устанавливается на рабочее место администратора безопасности.

Для прохождения процедуры аутентификации в TrustAccess пользователи могут использовать не только пароль, но и дополнительные аппаратные средства. К ним относятся персональные идентификаторы eToken (производства фирмы Aladdin Knowledge Systems) или iButton (производства фирмы Dallas Semiconductor).

Для обеспечения защиты компьютеров используются наборы правил [32]:

1. правила доступа. Применяются для ограничения доступа к сетевым сервисам защищаемого компьютера. Для настройки правил используются данные о параметрах соединения с компьютером (учетные записи, наименования протоколов, портов TCP/IP и т.д.);

2. прикладные правила. Используются для фильтрации доступа к общим папкам защищаемого компьютера и сетевых соединений по протоколу Named Pipes;

3. системные правила. Используются для ограничения доступа к защищаемым компьютерам по сетевым протоколам, портам, удаленным адресам

Также TrustAccess позволяет блокировать различные сетевые протоколы (IPv4, IPv6, Novell IPX, LLC, IPX) и настраивать защиту от сетевых сбоев. Осуществляется защита от различных сетевых атак: «Man in the Middle», подмены защищаемого объекта, Replay-атак, подмены IP-адреса перехвата сетевых пакетов, прослушивания сети, подмены сетевых пакетов, отказа в обслуживании.



Рисунок 11. Схема применения различных правил

Важной особенностью TrustAccess является возможность его совместного использования на одном компьютере с другими программами для обеспечения безопасности, в том числе и с сетевыми экранами других производителей.

Решаемые задачи

Защита персональных данных. TrustAccess позволяет получать доступ к защищаемым серверам, базам данных или общим ресурсам только тем пользователям, которые работают с персональными данными. Для всех остальных пользователей в локальной сети доступ к указанным ресурсам и данным будет недоступен.

Изоляция информационных систем персональных данных. Изоляция или разделение сети на взаимодействующие участки, позволяет снизить общую стоимость защиты

Разграничения доступа пользователей к серверам. TrustAccess позволяет разграничить сетевой доступ к нескольким серверам на основе групп пользователей. Например, в зависимости от того, в каком отделе работает сотрудник, он получает доступ к тому или иному серверу базы данных.



Рисунок 12. Пример организации доступа к серверам разным группам пользователей

Также можно организовать доступ к файл-серверу на уровне общих папок. Это можно делать на основе уровня допуска или должностей. Например, доступ к общей папке на доступном всем сервере может предоставляться только бухгалтерам.

Dr. Web Enterprise Suite

Решение Dr. Web Enterprise Suite имеет клиент-серверную архитектуру. Установка клиентов производится на защищаемые рабочие станции и серверы. Антивирусный сервер обеспечивает централизованное администрирование антивирусной и антиспам-защиты сети предприятия, включая развертывание, обновление вирусных баз и программных модулей компонентов, мониторинг состояния сети, извещения о вирусных событиях, сбор статистики. Установка антивирусного сервера и развёртывание антивирусной сети на базе Dr. Web ES отличается простотой и занимает минимум времени.