Разработка предложения по объединению вычислительных сетей ВУЗов в интрасеть

Рисунок 11 - Внешний межсетевой экран

Рисунок 12 - Внутренний межсетевой экран

Как правило, при общении с внешними сетями используется исключительно семейство протоколов TCP/IP. Соответственно, внешний межсетевой экран должен учитывать специфику этих протоколов, от внутренних экранов нередко требуется многопротокольность. Типична ситуация, при которой корпоративная сеть состоит из нескольких территориально разнесенных сегментов, каждый из которых подключен к сети общего пользования (Рис. 13). В этом случае каждое подключение должно защищаться своим экраном. Можно считать, что корпоративный внешний межсетевой экран является составным и требуется решать задачу согласованного администрирования (управления и аудита) всех компонентов.

Рисунок 13 - Экранирование корпоративной сети, состоящей из нескольких территориально разнесенных сегментов, каждый из которых подключен к сети общего пользования

При рассмотрении любого вопроса, касающегося сетевых технологий, основой служит семиуровневая эталонная модель ISO/OSI. Межсетевые экраны также целесообразно классифицировать по тому, на каком уровне производится фильтрация - канальном, сетевом, транспортном или прикладном (Рис. 14). Соответственно, можно говорить об экранирующих концентраторах (уровень 2), маршрутизаторах (уровень 3), о транспортном экранировании (уровень 4) и о прикладных экранах (уровень 7). Существуют также комплексные экраны, анализирующие информацию на нескольких уровнях.

Рисунок 14 - Экранирование и эталонная модель ISO/OSI

При принятии решения "пропустить/не пропустить" межсетевые экраны могут использовать не только информацию, содержащуюся в фильтруемых потоках, но и данные, полученные из окружения, например, текущее время, количество активных соединений, сетевой интерфейс, через который поступил сетевой запрос, и т.д. Возможности межсетевого экрана непосредственно определяются тем, какая информация может использоваться в правилах фильтрации и какова может быть мощность наборов правил. Чем выше уровень в модели ISO/OSI, на котором функционирует экран, тем более содержательная информация ему доступна и, следовательно, тем тоньше и надежнее экран может быть сконфигурирован. В то же время, фильтрация на каждом из перечисленных выше уровней обладает своими достоинствами. Так, в концентраторах и маршрутизаторах экранирование практически ничего не стоит (достаточно задействовать имеющиеся средства фильтрации), оно эффективно и прозрачно для приложений. Средства транспортного экранирования универсальны, недороги и просты. В последнее время все большее распространение получают комплексные экраны, охватывающие уровни от сетевого до прикладного, поскольку подобные продукты соединяют в себе лучшие свойства "одноуровневых" экранов разных видов. В силу принципов эшелонированности обороны и разнообразия защитных средств, а также по некоторым другим причинам в большинстве случаев используются смешанные конфигурации, в которых объединены разнотипные экраны. Наиболее типичным является сочетание экранирующих маршрутизаторов и прикладного экрана (Рис. 15).

Рисунок 15 - Сочетание экранирующих маршрутизаторов и прикладного экрана

Приведенная конфигурация называется экранирующей подсетью или демилитаризованной зоной. Как правило, сервисы, которая организация предоставляет для внешнего использования (например, "представительский" Web-сервер), целесообразно выносить как раз в демилитаризованную зону. Качество межсетевого экрана определяется еще двумя очень важными характеристиками - простотой использования и собственной защищенностью. В плане простоты использования первостепенное значение имеют наглядный интерфейс при задании правил фильтрации и возможность централизованного администрирования составных конфигураций. В свою очередь, в последнем аспекте хотелось бы выделить средства централизованной загрузки правил фильтрации и проверки набора правил на непротиворечивость. Важен и централизованный сбор и анализ регистрационной информации, а также получение сигналов о попытках выполнения действий, запрещенных политикой безопасности. Собственная защищенность межсетевого экрана обеспечивается теми же средствами, что и защищенность универсальных систем. Имеется в виду физическая защита, идентификация и аутентификация, разграничение доступа, контроль целостности, протоколирование и аудит. При выполнении централизованного администрирования следует позаботиться также о защите информации от пассивного и активного прослушивания сети, то есть обеспечить ее (информации) целостность и конфиденциальность. Помимо блокирования потоков данных, нарушающих политику безопасности, межсетевой экран может скрывать информацию о защищаемой сети, тем самым затрудняя действия потенциальных злоумышленников. Так, прикладной экран может осуществлять действия от имени субъектов внутренней сети, в результате чего из внешней сети кажется, что имеет место взаимодействие исключительно с межсетевым экраном. При таком подходе топология внутренней сети скрыта от внешних пользователей, поэтому задача злоумышленника существенно усложняется. Более общим методом сокрытия информации о топологии защищаемой сети является трансляция "внутренних" сетевых адресов, которая попутно решает проблему расширения адресного пространства, выделенного организации. Ограничивающий интерфейс также можно рассматривать как разновидность экранирования. На невидимый объект трудно нападать, особенно с помощью фиксированного набора средств. В этом смысле Web-интерфейс обладает естественной защитой, особенно в том случае, когда гипертекстовые документы формируются динамически. Каждый видит лишь то, что ему положено видеть. Экранирующая роль Web-сервиса наглядно проявляется и тогда, когда этот сервис осуществляет посреднические (точнее, интегрирующие) функции при доступе к другим ресурсам, например, таблицам базы данных. Здесь не только контролируются потоки запросов, но и скрывается реальная организация баз данных. Кроме того если организация располагает исходными текстами прикладного экрана и в состоянии эти тексты модифицировать, перед ней открываются чрезвычайно широкие возможности по настройке экрана с учетом собственных нужд. В прикладных экранах фильтрация осуществляется так называемыми экранирующими агентами-программами, интерпретирующими сетевые протоколы прикладного уровня в той степени, которая необходима для обеспечения безопасности. В свою очередь, при разработке систем клиент/сервер, особенно в трехзвенной архитектуре, появляются специфические прикладные протоколы, нуждающиеся в защите не меньше стандартных. Подход, основанный на использовании экранирующих агентов, позволяет такую защиту построить, не понижая безопасность и эффективность других приложений и не усложняя структуру связей в межсетевом экране.

Безопасность программной среды.

В технологии Интранет, если заботиться о качестве и выразительной силе пользовательского интерфейса, возникает нужда в перемещении программ с Web-серверов на клиентские компьютеры - для создания анимации, выполнения семантического контроля при вводе данных и т.д. Вообще, активные агенты - неотъемлемая часть технологии Интранет. В каком бы направлении ни перемещались программы по сети, эти действия представляют повышенную опасность, поскольку программа, полученная из ненадежного источника, может содержать непреднамеренно внесенные ошибки или целенаправленно созданный зловредный код. Такая программа потенциально угрожает всем основным аспектам информационной безопасности:

1. доступности (программа может поглотить все наличные ресурсы);

2. целостности (программа может удалить или повредить данные);

3. конфиденциальности (программа может прочитать данные и передать их по сети).

Проблему ненадежных программ осознавали давно, но, пожалуй, только в рамках системы программирования Java впервые предложена целостная концепция ее решения. Java предлагает три оборонительных рубежа:

1. надежность языка;

2. контроль при получении программ;

3. контроль при выполнении программ.

Впрочем, существует еще одно, очень важное средство обеспечения информационной безопасности - беспрецедентная открытость Java-системы. Исходные тексты Java-компилятора и интерпретатора доступны для проверки, поэтому велика вероятность, что ошибки и недочеты первыми будут обнаруживать честные специалисты, а не злоумышленники. В концептуальном плане наибольшие трудности представляет контролируемое выполнение программ, загруженных по сети. Прежде всего, необходимо определить, какие действия считаются для таких программ допустимыми. Если исходить из того, что Java - это язык для написания клиентских частей приложений, одним из основных требований к которым является мобильность, загруженная программа может обслуживать только пользовательский интерфейс и осуществлять сетевое взаимодействие с сервером. Такая программа не может работать с файлами хотя бы потому, что на Java-терминале их, возможно, не будет. Более содержательные действия должны производиться на серверной стороне или осуществляться программами, локальными для клиентской системы. В этой связи подход, принятый в версии 2 Web-навигатора компании Netscape, нельзя назвать прокрустовым. Тем не менее, не так-то просто изменить программистские привычки, поэтому более поздние версии Netscape Navigator и другие навигаторы с теми или иными ограничениями разрешают доступ к локальным файлам и программам. Интересный подход предлагают специалисты компании Sun Microsystems для обеспечения безопасного выполнения командных файлов. Речь идет о среде Safe-Tcl (Tool Comman Language, инструментальный командный язык). Sun предложил так называемую ячеечную модель интерпретации командных файлов. Существует главный интерпретатор, которому доступны все возможности языка. Если в процессе работы приложения необходимо выполнить сомнительный командный файл, порождается подчиненный командный интерпретатор, обладающий ограниченной функциональностью (например, из него могут быть удалены средства работы с файлами и сетевые возможности). В результате потенциально опасные программы оказываются заключенными в ячейки, защищающие пользовательские системы от враждебных действий. Для выполнения действий, которые считаются привилегированными, подчиненный интерпретатор может обращаться с запросами к главному. Здесь, очевидно, просматривается аналогия с разделением адресных пространств операционной системы и пользовательских процессов и использованием последними системных вызовов. Подобная модель уже около 30 лет является стандартной для многопользовательских ОС. Существует еще один, довольно очевидный защитный механизм - аутентификация источника программ и контроль их целостности. Несомненно, этот механизм нужно использовать, но в силу принципа эшелонированности обороны, не следует слепо доверять программам, полученным из надежных источников. В ОС Unix файлы .rhosts, описывающие "надежные" компьютеры, очень часто используются для злоумышленных действий. Скорее можно представить себе политику безопасности, запрещающую выполнение программ, целостность которых нарушена, но предписывающую одинаково жестко контролировать выполнение всех прочих программ, независимо от источника.

Защита Web-серверов.

Наряду с обеспечением безопасности программной среды, важнейшим является вопрос о разграничении доступа к объектам Web-сервиса. Для решения этого вопроса необходимо уяснить, что является объектом, как идентифицируются субъекты, и какая модель управления доступом - принудительная или произвольная - применяется. В Web-серверах объектами доступа являются универсальные локаторы ресурсов (URL - Uniform (Universal) Resource Locator). За этими локаторами могут стоять различные сущности - html-файлы, CGI-процедуры и т.п. Как правило, субъекты доступа идентифицируются по IP-адресам и/или именам компьютеров и областей управления. Кроме того, может использоваться парольная аутентификация пользователей или более сложные схемы, основанные на криптографических технологиях. В большинстве Web-серверов права разграничиваются с точностью до каталогов (директорий) с применением произвольного управления доступом. Могут предоставляться права на чтение html-файлов, выполнение CGI-процедур и т.п. Для раннего выявления попыток нелегального проникновения в Web-сервер важен регулярный анализ регистрационной информации. Существуют программные продукты для подобного анализа, учитывающие специфику Web-сервиса. Разумеется, защита системы, на которой функционирует Web-сервер, должна следовать универсальным рекомендациям, главной из которых является максимальное упрощение. Все ненужные сервисы, файлы, устройства должны быть удалены. Число пользователей, имеющих прямой доступ к серверу, должно быть сведено к минимуму, а их привилегии должны быть упорядочены в соответствии со служебными обязанностями. Еще один общий принцип состоит в том, чтобы минимизировать объем информации о сервере, которую могут получить пользователи.

Аутентификация в открытых сетях.

Методы, применяемые в открытых сетях для подтверждения и проверки подлинности субъектов, должны быть устойчивы к пассивному и активному прослушиванию сети. Суть подобных методов сводится к следующему:

1.Субъект демонстрирует знание секретного ключа, при этом ключ либо вообще не передается по сети, либо передается в зашифрованном виде, с защитой от воспроизведения злоумышленником.

2.Субъект демонстрирует обладание программным или аппаратным средством генерации одноразовых паролей или средством, работающим в режиме "запрос-ответ".

3.Субъект демонстрирует подлинность своего местоположения, при этом используется система навигационных спутников.

Остановимся чуть подробнее на последнем методе. Идея состоит в том, чтобы пользователь посылал координаты спутников системы GPS (Global Positioning System), находящихся в зоне прямой видимости. Сервер аутентификации знает орбиты всех спутников, поэтому может с большой точностью (порядка метра) определить положение пользователя. Поскольку орбиты спутников подвержены колебаниям, предсказать которые крайне сложно, подделка координат оказывается практически невозможной. Ничего не даст и перехват координат - они постоянно меняются. Непрерывная передача координат не требует от пользователя каких-либо дополнительных усилий, поэтому он может без труда многократно подтверждать свою подлинность. Аппаратура GPS сравнительно недорога и апробирована, поэтому в тех случаях, когда легальный пользователь должен находиться в определенном месте, данный метод проверки подлинности представляется весьма привлекательным и перспективным. В сетевых конфигурациях необходимо подтверждать подлинность не только партнеров по общению, но и источников данных. Для аутентификации источников данных, как правило, используются методы, основанные на механизме электронной подписи и службы сертификатов (сертификаты нужны для доказательства подлинности пары (субъект, открытый ключ)). Протокол SSL предоставляет соответствующие возможности. У аутентификации в сетевой среде, особенно среде клиент/сервер, есть еще одна грань - желательность поддержки концепции единого входа, когда субъект входит не в отдельные системы, а в сеть в целом, доказывая свою подлинность один раз, независимо от того, каким образом он в эту сеть вошел. Как правило, для поддержки концепции единого входа применяются те или иные разновидности системы Kerberos, поддерживающие базу данных с информацией о пользователях. Одновременно подобные системы являются средством дополнительной защиты серверов, принадлежащих сети.

Виртуальные частные сети.

Одной из важнейших задач является защита потоков корпоративных данных, передаваемых по открытым сетям. Открытые каналы могут быть надежно защищены лишь одним методом - криптографическим. Так называемые выделенные линии не обладают особыми преимуществами перед линиями общего пользования в плане информационной безопасности. Выделенные линии хотя бы частично будут располагаться в неконтролируемой зоне, где их могут повредить или осуществить к ним несанкционированное подключение. Единственным реальным достоинством является гарантированная пропускная способность выделенных линий, а вовсе не повышенная защищенность. Впрочем, современные оптоволоконные каналы способны удовлетворить потребности многих абонентов, поэтому и указанное достоинство не всегда облечено в реальную форму. Любопытно упомянуть, что в мирное время 95% трафика Министерства обороны США передается через сети общего пользования (в частности, через Интернет). В военное время эта доля должна составлять "лишь" 70%. Можно предположить, что Пентагон - не самая бедная организация. Американские военные полагаются на сети общего пользования потому, что развивать собственную инфраструктуру в условиях быстрых технологических изменений - занятие очень дорогое и бесперспективное, оправданное даже для критически важных национальных организаций только в исключительных случаях.

Представляется естественным возложить на межсетевой экран задачу шифрования и дешифрования корпоративного трафика на пути во внешнюю сеть и из нее. Чтобы такое шифрование/дешифрование стало возможным, должно произойти начальное распределение ключей. Современные криптографические технологии предлагают для этого целый ряд методов. Когда ключи распределены, выработка совместных секретных ключей, обслуживающих сеанс общения абонентов, производится обычно по алгоритму Диффи-Хелмана. После того, как межсетевые экраны осуществили криптографическое закрытие корпоративных потоков данных, территориальная разнесенность сегментов сети проявляется лишь в разной скорости обмена с разными сегментами. В остальном вся сеть выглядит как единое целое, а от абонентов не требуется привлечение каких-либо дополнительных защитных средств.

Простота и однородность архитектуры.

Важнейшим аспектом информационной безопасности является управляемость системы. Управляемость - это и поддержание высокой доступности системы за счет раннего выявления и ликвидации проблем, и возможность изменения аппаратной и программной конфигурации в соответствии с изменившимися условиями или потребностями, и оповещение о попытках нарушения информационной безопасности практически в реальном времени, и снижение числа ошибок администрирования, и многое, многое другое. Наиболее остро проблема управляемости встает на клиентских рабочих местах и на стыке клиентской и серверной частей информационной системы. Причина проста - клиентских мест гораздо больше, чем серверных, они, как правило, разбросаны по значительно большей площади, их используют люди с разной квалификацией и привычками. Обслуживание и администрирование клиентских рабочих мест - занятие чрезвычайно сложное, дорогое и чреватое ошибками. Технология Интранет за счет простоты и однородности архитектуры позволяет сделать стоимость администрирования клиентского рабочего места практически нулевой. Важно и то, что замена и повторный ввод в эксплуатацию клиентского компьютера могут быть осуществлены очень быстро, поскольку это "клиенты без состояния", у них нет ничего, что требовало бы длительного восстановления или конфигурирования. На стыке клиентской и серверной частей Интранет-системы находится Web-сервер. Это позволяет иметь единый механизм регистрации пользователей и наделения их правами доступа с последующим централизованным администрированием. Взаимодействие с многочисленными разнородными сервисами оказывается скрытым не только от пользователей, но и в значительной степени от системного администратора.

3.3 Защитные средства Интранет

Для обеспечения информационной безопасности Интранет-систем абсолютно необходимы меры и методики административного уровня (например, методика разработки политики безопасности) и процедурного уровня (например, инструкции для пользователей и администраторов, регламенты сервисного обслуживания).

Современные комплексные межсетевые экраны.

Современные комплексные межсетевые экраны, фильтрующие информацию на сетевом, транспортном и прикладном уровнях, обеспечивают надежное решение трех задач в области Интранет-безопасности:

1.защита подключений к внешним сетям;

2.разграничение доступа между сегментами корпоративной сети;

3.защита корпоративных потоков данных, передаваемых по открытым сетям.

Все перечисленные защитные функции выполняются комплексными экранами прозрачным для приложений образом, не требуя внесения каких-либо изменений ни в существующее программное обеспечение, ни в действия, ставшие привычными для пользователей.

Secure Sockets Layer (SSL) - протокол защиты коммуникаций и поддерживающие его решения.

Одним из важнейших фактических стандартов, обеспечивающих информационную безопасность в Интранет и Интернет, является протокол Secure Sockets Layer (SSL), разработанный специалистами компании Netscape Communications и поддержанный многими крупнейшими производителями программного обеспечения, такими как Microsoft и IBM. Этот протокол можно отнести к сеансовому (пятому) уровню эталонной модели ISO/OSI, то есть он располагается выше транспортного, но ниже прикладного уровня. Для приложений, опирающихся на SSL, обеспечивается аутентификация пользователей и компьютеров (без передачи имен и паролей в открытом виде), а также целостность и конфиденциальность пересылаемой по сети информации, поддерживается концепция единого входа в информационную систему (когда не надо доказывать свою подлинность каждому серверу в отдельности). Такими приложениями могут быть, например, сервисы HTTP, FTP, SMTP. В основе протокола SSL лежит использование общепризнанных криптографических решений, таких как алгоритмы RSA, DES, MD5 и сертификаты, соответствующие спецификациям X.509. В то же время, протокол достаточно гибок и допускает применение специфических методов шифрования, например, ГОСТ 28147-89. Поддержка SSL и ассоциированных протоколов - SET (Secure Electronic Transactions) и S/MIME (Secure Multipart Internet Mail Encoding) - встроена по существу во все продукты компании Netscape Communications. Так, Netscape Navigator обеспечивает проверку подлинности Web-сервера, контроль целостности и шифрование сообщений, пересылаемых между клиентами и сервером, причем при установлении контакта алгоритм шифрования может быть выбран по взаимному согласию. Семейство серверов Netscape SuiteSpot, включающее такие продукты, как Netscape Enterprise Server, Netscape News Server и Netscape Mail Server, позволяет ассоциировать сертификаты клиентов с элементами базы управления доступом. Это упрощает пользовательские действия, поскольку пользователю достаточно войти в свой экземпляр Netscape Navigator, который будет в дальнейшем автоматически вырабатывать и пересылать пользовательские сертификаты. Упрощаются и действия системного администратора, так как вместо того, чтобы поддерживать списки управления доступом на каждом сервере, он может разграничивать доступ в соответствии с тем, какой центр выдал сертификат данного пользователя. Сертификаты могут использоваться в программах на серверной стороне для более тонкого управления доступом, выполнения действий по доверенности и т.п.

Разграничение доступа в рамках httpd-сервера.

Web-серверы httpd, реализованные Национальным центром суперкомпьютерных приложений (National Center for Supercomputing Applications, NCSA) и совместимые с ними серверы Apache, являются, по-видимому, самыми распространенными в Интернет. В этих серверах разграничение производится с точностью до каталога (директории) документов. В конфигурационный файл, ведающий правами доступа, помещают директивы Directory, задающие имена каталогов, перечень разрешенных действий и список авторизованных субъектов. В директиве Directory можно задавать опции, управляющие поведением сервера при обслуживании соответствующих каталогов.

Сервер httpd допускает защиту отдельных каталогов с помощью паролей. Это значит, что при попытке доступа пользователь увидит форму, предлагающую ввести входное имя и пароль. Регистрация пользователей и их паролей реализована по образцу ОС Unix, однако у Web-сервера и ОС Unix разные базы пользователей, никакого отношения друг к другу не имеющие.

Средства аутентификации в открытых сетях.

В сетевой среде проблема проверки подлинности пользователей имеет два аспекта:

1.обеспечение устойчивости к пассивному и активному прослушиванию сети;

2.поддержка концепции единого входа в сеть.

Применительно к первому аспекту мы рассмотрим системы, основанные на использовании одноразовых паролей, поскольку они представляются наиболее практичными.

Системы, основанные на использовании одноразовых паролей.

Наиболее известным программным генератором одноразовых паролей является система S/KEY компании Bellcore. Идея этой системы состоит в следующем. Пусть имеется односторонняя функция f (то есть функция, вычислить обратную к которой за приемлемое время не представляется возможным). Эта функция известна и пользователю, и серверу аутентификации. Пусть, далее, имеется секретный ключ K, известный только пользователю. На этапе начального администрирования пользователя функция f применяется к ключу K n раз, после чего результат запоминается на сервере. После этого процедура проверки подлинности пользователя выглядит следующим образом:

1.сервер присылает на пользовательскую систему число (n-1);

2.пользователь применяет функцию f к секретному ключу K (n-1) раз и отправляет результат по сети на сервер аутентификации;

3.сервер применяет функцию f к полученному от пользователя значению и сравнивает результат с ранее сохраненной величиной. В случае совпадения подлинность пользователя считается установленной, сервер запоминает новой значение (присланное пользователем) и уменьшает на единицу счетчик (n).

На самом деле реализация устроена чуть более сложным образом (кроме счетчика, сервер посылает затравочное значение, используемое функцией f), но для нас сейчас это не имеет значения. Поскольку функция f необратима (в эталонной реализации применяется стандартная хэш-функция MD5), перехват пароля, равно как и получение доступа к серверу аутентификации, не позволяют узнать секретный ключ K и предсказать следующий одноразовый пароль. В настоящее время система S/KEY приобрела статус Интернет-стандарта. Другой подход к надежной аутентификации демонстрирует компания Security Dynamics, предлагающая целый спектр программных и аппаратных решений. В основе этого подхода - генерация нового пароля каждые 60 секунд. С практической точки зрения такие пароли можно считать одноразовыми. Пользователь, желающий доказать какой-либо системе свою подлинность, посылает свой идентификационный код и сгенерированный программно (программа SoftID) или аппаратно (карточки SecurID) одноразовый пароль. Для обеспечения повышенной защищенности могут применяться карточки SecurID PINPAD. Они снабжены цифровой клавиатурой, на которой пользователь набирает свой код, тот упаковывается вместе с одноразовым паролем и в таком защищенном виде (называемом PASSCODE) передается по сети. Получив идентификационную и аутентификационную информацию, система может, посредством программного компонента ACE/Server Client, переслать ее серверу аутентификации ACE/Server, который и определяет подлинность пользователя. На рисунке 16 дана структура сетевой системы, аутентификацию в которой выполняет ACE/Server.

Рис. 16 - Архитектура системы аутентификации компании Security Dynamics

Средства единого входа в сеть.

В настоящее время существует целый ряд систем, поддерживающих концепцию единого входа в сеть. Такие системы не только повышают удобство работы пользователей (не надо многократно доказывать свою подлинность), но и способствуют усилению информационной безопасности, так как исключают открытую передачу по сети аутентификационной информации и делают возможным протоколирование действий пользователей в рамках всей сети, независимо от смены компьютеров, или имен.

Важно и то, что подобные системы упрощают архитектуру средств информационной безопасности, облегчают администрирование больших конфигураций, способствуют эффективному проведению в жизнь единой политики безопасности. Система SeOS (Security for Open Systems - безопасность для открытых систем) разработана в компании Memco Software. В рамках единой базы пользователей SeOS позволяет гибко управлять такими параметрами доступа, как разрешенные часы работы и способ доступа. SeOS контролирует качество паролей, поддерживает одноразовые пароли и аутентификационные карточки, блокирует неиспользуемые идентификаторы пользователей, следит за сроком годности временных имен и т.д.

Другим популярным средством поддержки единого входа является система BoKS компании DynaSoft. Функционально она близка к SeOS, однако использует для аутентификации не Kerberos, а RSA-ключи и сертификаты в стандарте X.509 (и вообще опирается на асимметричные криптографические методы). Отметим, что BoKS поддерживает аутентификационные карточки SecurID и может содержать в качестве дополнительного компонента ACE/Server компании Security Dynamics.

Выделение сервера аутентификации делает сетевую конфигурацию уязвимой по отношению к атакам на доступность. Выход сервера аутентификации из строя способен блокировать работу всей сети. Учитывая это, перечисленные выше компании предлагают различные решения, основанные на применении дублирующих серверов или других аппаратно-программных конструкций высокой готовности.

Средства протоколирования и аудита в рамках сетевых конфигураций.

Средства протоколирования и аудита всегда были одним из важнейших рубежей обороны. Хотя непосредственно они не препятствуют злоумышленным действиям, но само сознание того, что все действия фиксируются и за них придется отвечать, способно остановить многих. Выше отмечалось необходимость построения эшелонированной обороны. У каждого рубежа есть определенное время сопротивления. Даже если злоумышленник сумеет преодолеть этот рубеж, он, скорее всего, оставит следы в регистрационном журнале. Если аудит, выполняемый в реальном или почти реальном времени, способен достаточно быстро выявить подозрительную ситуацию и привлечь к ней внимание администратора безопасности, тот может принять соответствующие меры противодействия и остановить злоумышленника на одном из последующих рубежей.

Семейство продуктов компании Haystack Labs.

Одним из продвинутых средств протоколирования и аудита является семейство продуктов компании Haystack Labs, способных функционировать в сетях, построенных на основе Unix-серверов. Компания Haystack давно занимается проблемой безопасности Unix-систем. Она накопила уникальную базу знаний по этому вопросу, которая и стала идейной основой рассматриваемых продуктов, в особенности подсистемы выявления подозрительной активности Misuse Detector системы Stalker. В базе знаний хранятся сигнатуры известных атак, с которыми сравниваются текущие действия пользователей. При выявлении подозрительной активности Stalker генерирует отчет, содержащий регистрационную информацию, имеющую отношение к инциденту, и отправляет его администратору безопасности.

Misuse Detector способен отвечать на вопросы типа:

1.не ищет ли кто-то слабости в сети посредством инструментов класса SATAN?

2.не стал ли кто-то суперпользователем посредством нелегальных действий? и т.п.

Компания постоянно пополняет свою базу знаний.

Подсистема Tracer/Browser позволяет просматривать регистрационные журналы через набор фильтров, отбирая тем самым только нужную в данный момент информацию. С помощью данной подсистемы администратор безопасности может быстро найти ответы на интересующие его вопросы, например:

1.кто прочитал письма начальника?

2.что произошло прошлой ночью на сервере СУБД?

3.входили ли в сеть внешние пользователи? и т.п.

Подсистема Audit Control служит для централизованного администрирования протоколирования и аудита на всех компьютерах сети, а подсистема Storage Manager - для контроля за расходованием памяти под регистрационные журналы. Отдельный пакет Stalker for Firewalls позволяет следить за функционированием межсетевых экранов (внешних и внутренних). Это повышает собственную защищенность экранов. Система Stalker может входить в состав интегрирующих окружений, таких как Tivoli Enterprise Console, что облегчает администрирование многокомпонентных, разнородных конфигураций. Продукт WebStalker Pro предназначен для слежения за работой Web-серверов. В основе реализации данного продукта лежит тот же подход, что и в системе Stalker - использование базы знаний для выявления подозрительной активности. Впрочем, некоторые вещи, такие как несанкционированная остановка Web-сервера или, напротив, запуск лишнего процесса, могут выявляться более простыми средствами. При обнаружении подозрительной активности или выявлении нарушения целостности программ или данных WebStalker Pro способен выполнить следующие действия:

1.зафиксировать события, обратившись к syslog;

2.терминировать нелегальный процесс;

3.перезапустить Web-сервер;

4.послать сообщение Web-мастеру и т.д.

WebStalker Pro поддерживает, пожалуй, все популярные реализации Web-серверов, он способен функционировать на различных вариантах ОС Unix и Windows NT. Для организаций, желающих выявлять и поддерживать собственные сигнатуры подозрительной активности, предназначено средство разработки Stalker Misuse Detector Developers Kit. Это делает Stalker до некоторой степени открытой, расширяемой системой, что очень важно в динамичном мире сетевой безопасности.

Семейство продуктов AXXiON компании OpenVision.

Компания OpenVision предлагает набор продуктов AXXiON, охватывающий практически все стороны безопасности корпоративных информационных систем. Система AXXiON-Authorize предназначена для усиления защиты Unix-систем за счет более развитых (по сравнению со стандартными) средств контроля доступа. AXXiON-Authenticate - продукт, реализующий концепцию единого входа в сеть на основе системы Kerberos. AXXiON-SecureMax - средство аудита в рамках сетевых конфигураций, включающих операционные платформы Unix, Windows NT и OpenVMS. AXXiON-SecureMax позволяет задать пороговые значения различных параметров, описывающих поведение подобных конфигураций, и затем с одной, центральной консоли контролировать работу всех систем. В число контролируемых параметров могут входить пароли (нет ли среди них слабых?), неиспользуемые идентификаторы пользователей, размеры очередей к устройствам и сервисам, сетевые характеристики. Может проверяться целостность файловых систем. Иными словами, AXXiON-SecureMax позволяет в довольно естественной форме выразить многие аспекты политики безопасности, а затем контролировать проведение этой политики в жизнь. Системный администратор может программировать реакцию на выход того или иного параметра за допустимые границы, за счет чего в дальнейшем последствия сбоев и нарушений безопасности будут ликвидироваться автоматически. В совокупности AXXiON-Authorize, AXXiON-Authenticate и AXXiON-SecureMax близки по функциональности к рассмотренным выше системам SeOS и BoKS.

Задача обеспечения информационной безопасности в Интранет оказывается более простой, чем в случае произвольных распределенных систем, построенных в архитектуре клиент/сервер. Причина тому - однородность и простота архитектуры Интранет. Если разработчики прикладных систем сумеют в полной мере воспользоваться этим преимуществом, то на программно-техническом уровне им будет достаточно нескольких недорогих и простых в освоении продуктов. Правда, к этому необходимо присовокупить продуманную политику безопасности и целостный набор мер процедурного уровня.

Размещено на Allbest.ru