|
|
  |
Главная страница / Архитектура отрасли информационная безопасность : как настроить межсетевой экран (МСЭ) / firewall : системы IDS и IPSИногда, глядя на более молодых коллег, может быть, впервые в жизни, настраивающих межсетевые экраны, я вспоминаю свои первые опыты по сетевой безопасности. Какой сложной и даже таинственной представлялась в тот момент работа сетевых протоколов! И как здорово было добиться блокирования того, что требовалось при сохранении работы всего остального! Но проходило время, и становились очевидными уязвимость, несовершенство казавшегося несокрушимым бастиона защиты. Приходилось вновь и вновь анализировать, искать зависимости и настраивать правила фильтрации трафика. Так происходит не только в отношении частных технических решений, но и принципиальных ограничений и недостатков целых технологий, хорошо проверенных и, на первый взгляд, непоколебимых. Собственно, данная статья посвящена именно попытке посмотреть на возможности и ограничения традиционных средств защиты с позиции их несовершенства и недостатков, а не восхвалению «проверенных» и лишь поэтому всегда достаточных инструментов. Более того, здесь вы не найдете восторгов от новой панацеи – технологии, сразу решающей все проблемы. Чего мы хотим от системы информационной безопасности? Во-первых, отсутствия неприятных неожиданностей, возможно, любых неожиданностей. Наверное, нет ничего более досадного, чем обнаружить присутствие неконтролируемых и непонятных процессов – собственной скрытой жизни информационной системы, не наблюдавшейся ранее и возникшей «самопроизвольно». Это всегда наводит на мысль, что в аккуратно возведенной вокруг системы стене была или появилась брешь, через которую нечто и проникло в нее. Во-вторых, мы хотим, чтобы система информационной безопасности защищала нас сама, без нашего вмешательства и детального понимания того, как ей удается достичь этого. В-третьих, система защиты не должна мешать работе тех процессов, которые она должна защищать. В идеале – ее вообще не должно быть видно. К величайшему сожалению, пока подобное невозможно, по крайней мере, если у нас нет в запасе того времени, что понадобилось ее Величеству Природе для создания иммунной системы живых существ нашей планеты. Современное состояние Традиционно основным средством защиты сетевого уровня считаются межсетевые экраны (МСЭ). Большинство системных администраторов, специально не занимавшихся информационной безопасностью, считают, что установка МСЭ, тем более «аппаратного», в качестве средства защиты от вторжения извне способна реально улучшить ситуацию с безопасностью в их сети. Так ли это? Отрицательный ответ на этот вопрос не будет откровением, существует достаточно много статей признанных специалистов по информационной безопасности, доказывающих несостоятельность такого применения МСЭ. В чем же основной изъян этой давно проверенной и заслуженной технологии? Проблема заключается в уровне обработки информации. Даже самый «аппаратный» межсетевой эз сетевого трафика. Как правило, набор параметров не превышает доступного на транспортном уровне модели OSI: IP-адреса источника и получателя, порты источника и получателя, тип протокола, флаги протоколов, учет состояния соединения, для протоколов с установлением соединения (TCP) – и все! Чего же можно достичь, оперируя им? Можно отфильтровать доступ к ненужным службам, например, закрыть доступ к любым портам протокола TCP, кроме 80-го (обычно Web-сервер). Установить разрешенное направление установления соединения, например, серверу в ДМЗ (демилитаризованной зоне) совершенно необязательно устанавливать соединения с внешними или внутренними узлами по своей инициативе (что обычно означает взлом сервера и попытку использовать его в качестве отправной точки для атаки на остальную сеть или внешние узлы). Замаскировать структуру внутренней сети, используя механизм трансляции адресов (NAT). Произвести аутентификацию пользователей при доступе через МСЭ (с точностью до IP-адреса их станции). Вести журнал сетевого взаимодействия через МСЭ. Достаточно богатый и полезный набор функций! Чего же тогда не хватает? Возможности проверить пропускаемый трафик на наличие враждебного содержимого. Доля атак на сервисы (application level attack) постоянно увеличивается (по некоторым данным, более 50% сигнатур на современные атаки описывают атаками переполнения буфера/стека[М1], что усугубляет ситуацию), и простой фильтрации, как было описано выше, уже недостаточно. (Стоит отметить, что возможности по исключению из трафика ограниченного набора враждебного содержимого, как включения кода на JavaScript или ActiveX компоненты, доступны для современных МСЭ, но реальный уровень эффективности таких механизмов крайне низок, и сами возможности недостаточно гибко управляются.) Например, чтобы взломать почтовый или Web-сервер требуется не доступ к портам других служб, а посылка специфического запроса в открываемый на МСЭ порт (URL атака на Web-сервер – «http://host/scripts/something.asp=../../WINNT/system32/cmd.exe?dir+e:\», атака переполнения буфера на почтовом сервере – smtp HELO name[>1024]). Подобные атаки не могут быть блокированы анализом протокола соответствующего сервиса, так как они не нарушают стандарт, о них нужно просто знать. Другим популярным методом защиты сетевого взаимодействия являются средства создания VPN-каналов. Принципиальная идея использования криптографических средств для защиты от модификации, прочтения или повторения атакующей стороной данных, передаваемых по открытым сетям связи, очень хороша, экономически оправдана, да и просто удобна. Каналы, создаваемые таким способом, позволяют прозрачно объединять географически распределенные сети с наименьшими финансовыми и техническими затратами. К сожалению, когда у организации возникает потребность в такого рода объединениях, она уже имеет сформировавшиеся сети центральных офисов, филиалов, выработанные правила работы в этих сетях, понятия о мерах безопасности и зааничения технологии возникают как раз на стыке нескольких самостоятельно сформировавшихся частей. Меняются предпосылки, начальные условия формирования правил защиты информации, но завороженные словосочетаниями «защищенный канал», «гарантия невторжения», «прозрачное объединение» и пр., администраторы попросту не учитывают новых реалий, что приводит к образованию брешей и нередко к полной бессмысленности старых мер информационной безопасности. Например, по вашей концепции антивирусной защиты на рабочие станции нельзя привнести вирусы, по причине отсутствия сменных накопителей (дисководов, flash-дисков и т. д.) и наличия серверного ПО, контролирующего прочие каналы связи с внешним миром. Установив связь по VPN с сетью филиала, где концепция антивирусной защиты другая, вы открываете путь вирусной атаке. Аналогичные примеры можно приводить и по персональным файрволам, и по регламенту управления учетными записями и т. д. В любом случае концепция информационной безопасности может быть только комплексной и никак не частной. Изменим ситуацию к лучшему Системы обнаружения атак являются еще одной технологией, традиционно используемой в мозаике комплексной безопасности корпоративных систем. Обычный, точнее, минимально-достаточный набор эффективной системы обнаружения атак, состоит из систем обнаружения атак на уровне хостов (HIDS) и на уровне сети (NIDS). Применение подобных средств в сети расширяет возможности эффективного наблюдения, но не позволяет решить две принципиальные проблемы: реагирование на атаку и выявление факта успеха ее реализации. Зачастую обнаружения трафика атаки недостаточно для выяснения ее результата – успех/неуспех. Для принятия решения необходимо знать хотя бы о наличии уязвимости, на которую направлена атака. Периодическое сканирование сети сканерами защищенности позволяет выяснить данный факт. Реагирование традиционных систем ограничивается посылкой уведомления администратору и разрывом соединения по протоколу TCP. Системы противодействия атакам IPS (Intrusion Protection System) – развитие идей системы IDS – уже сейчас дают возможность останавливать атаки до достижения ими защищаемых объектов. В применении таких устройств есть свои особенности, связанные с необходимостью анализа трафика и принятия решения о его дальнейшей судьбе в очень короткое время. Существуют сложности оценки их реальной производительности. Необходимо собирать фрагменты IP-трафика, потоки TCP, сессии прикладных протоколов, что требует много памяти и быстрого процессора. Всегда может быть создан такой трафик, обработка которого поглотит максимум ресурсов IPS, и реальная атака на фоне этого трафика будет либо пропущена, либо сброшена вместе с легальным трафиком, т. е. реализуется атака отказа в обслуживании (DoS). Как грамотно защитить себя от атак и эксплуатировать существующие системы защиты информации? Прежде всего, компания должна продумать и организоватию, внедрению и сопровождению систем безопасности. При анализе рисков проводятся инвентаризация и категорирование имеющихся ресурсов, формализуется перечень угроз ИС, оценивается вероятность и опасность их реализации, вырабатываются адекватные контрмеры. Выбор подхода к оценке рисков зависит от уровня требований, предъявляемых в организации к режиму информационной безопасности, характера принимаемых во внимание угроз и эффективности выбранных контрмер. Таким образом, обеспечение безопасности – это не только установка специальных систем, но целый комплекс мер. Начинать нужно с объективной и независимой оценки текущего состояния информационной безопасности компании, инвентаризации и категорирования ресурсов, формирования модели нарушителя и оценки рисков реализации угроз этой модели, разработки требований к корпоративной системе защиты информации, планирования их реализации. Проверять адекватность и эффективность политики безопасности организации, рассчитывать необходимые затраты на совершенствование корпоративной системы защиты информации, то есть предпринимать все необходимые меры организационно-управленческого и технического характера для повышения (адекватного обеспечения) уровня информационной безопасности компании. Только в этом случае можно говорить о реальной защите ваших ресурсов. Павел ВОЛКОВ, инженер, компания «Открытые Технологии», pvolkov@ot.ru Главная страница / Архитектура отрасли |