Конспект по профессиональному модулю
ПМ.03 Эксплуатация объектов сетевой инфраструктуры раздел:
2.1. Безопасность компьютерных сетей
Екатеринбург
2021
|
Содержание |
Часов, согласно тематического плана |
|
|
1 |
Фундаментальные принципы безопасной сети Современные угрозы сетевой безопасности. Вирусы, черви и троянские кони. Методы атак. |
128 |
|
2 |
Безопасность Сетевых устройств OSI Безопасный доступ к устройствам. Назначение административных ролей. Мониторинг и управление устройствами. Использование функция автоматизированной настройки безопасности. |
|
|
3 |
Авторизация, аутентификация и учет доступа (ААА) Свойства ААА. Локальная ААА аутентификация. Server-based ААА |
|
|
4 |
Реализация технологий брандмауэра ACL. Технология брандмауэра. Контекстный контроль доступа (CBAC). Политики брандмауэра основанные на зонах. |
|
|
5 |
Реализация технологий предотвращения вторжения IPS технологии. IPS сигнатуры. Реализация IPS. Проверка и мониторинг IPS |
|
|
6 |
Безопасность локальной сети Обеспечение безопасности пользовательских компьютеров. Соображения по безопасности второго уровня (Layer-2). Конфигурация безопасности второго уровня. Безопасность беспроводных сетей, VoIP и SAN |
|
|
7 |
Криптографические системы Криптографические сервисы. Базовая целостность и аутентичность. Конфиденциальность. Криптография открытых ключей. |
|
|
8 |
Реализация технологий VPN VPN. GRE VPN. Компоненты и функционирование IPSec VPN. Реализация Site-to-site IPSec VPN с исполь-зованием CLI. Реализация Site-to-site IPSec VPN с использованием CCP. Реализация Remote-access VPN |
|
|
9 |
Управление безопасной сетью Принципы безопасности сетевого дизайна. Безопасная архитектура. Управление процессами и безопасность. Тестирование сети на уязвимости. Непрерывность бизнеса, планирование восстановления аварийных ситуаций. Жизненный цикл сети и планирование. Разработка регламентов компании и политик безопасности. |
|
|
10 |
Cisco ASA Введение в Адаптивное устройство безопасности ASA. Конфигурация фаирвола на базе ASA с использованием графического интерфейса ASDM. Конфигурация VPN на базе ASA с использованием графического интерфейса ASDM. |
|
1. Безопасность компьютерных сетей
Фундаментальные принципы безопасной сети
«Информационная безопасность» — это процесс обеспечения доступности, целостности и конфиденциальности информации.
Под «доступностью» понимается соответственно обеспечение доступа к информации. «Целостность» — это обеспечение достоверности и полноты информации. «Конфиденциальность» подразумевает под собой обеспечение доступа к информации только авторизованным пользователям.
Под «Угрозой» понимается потенциальная возможность тем или иным способом нарушить информационную безопасность. Попытка реализации угрозы называется «атакой», а тот, кто реализует данную попытку, называется «злоумышленником». Чаще всего угроза является следствием наличия уязвимых мест в защите информационных систем.
Рассмотрим наиболее распространенные угрозы, которым подвержены современные информационные системы.
Угрозы информационной безопасности, которые наносят наибольший ущерб
Рассмотрим ниже классификацию видов угроз по различным критериям:
Угроза непосредственно информационной безопасности:
· Доступность
· Целостность
· Конфиденциальность
Компоненты на которые угрозы нацелены:
· Данные
· Программы
· Аппаратура
· Поддерживающая инфраструктура
По способу осуществления:
· Случайные или преднамеренные
· Природного или техногенного характера
По расположению источника угрозы бывают:
· Внутренние
· Внешние
Как упоминалось в начале понятие «угроза» в разных ситуациях зачастую трактуется по-разному. И необходимые меры безопасности будут разными. Например, для подчеркнуто открытой организации угроз конфиденциальности может просто не существовать — вся информация считается общедоступной, однако в большинстве случаев нелегальный доступ представляется серьезной опасностью.
Применимо к виртуальным серверам, угрозы, которые Вам как администратору сервера, необходимо принимать во внимание это — угроза доступности, конфиденциальности и целостность данных. За возможность осуществления угроз направленных на конфиденциальность и целостность данных, не связанные с аппаратной или инфраструктурной составляющей, Вы несете прямую и самостоятельную ответственность. В том числе как и применение необходимых мер защиты, это Ваша непосредственная задача.
На угрозы направленные на уязвимости используемых Вами программ, зачастую Вы как пользователь не сможете повлиять, кроме как не использовать данные программы. Допускается использование данных программ только в случае если реализация угроз используя уязвимости этих программ, либо не целесообразна с точки зрения злоумышленника, либо не имеет для Вас как для пользователя существенных потерь.
Обеспечением необходимых мер безопасности от угроз направленных на аппаратуру, инфраструктуру или угрозы техногенного и природного характера, занимается напрямую та хостинг компания, которую Вы выбрали и в которой арендуете свои сервера. В данном случае необходимо наиболее тщательно подходить к выбору, правильно выбранная хостинг компания на должном уровне обеспечит Вам надежность аппаратной и инфраструктурной составляющей.
Вам как администратору виртуального сервера, данные виды угроз нужно принимать во внимание только в случаях при которых даже кратковременная потеря доступа или частичная или полная остановка в работоспособности сервера по вине хостинг компании могут привести к не соизмеримым проблемам или убыткам. Это случается достаточно редко, но по объективным причинам ни одна хостинг компания не может обеспечить Uptime 100%.
Угрозы непосредственно информационной безопасности
К основным угрозам доступности можно отнести:
· Внутренний отказ информационной системы;
· Отказ поддерживающей инфраструктуры.
Основными источниками внутренних отказов являются:
· Нарушение (случайное или умышленное) от установленных правил эксплуатации
· Выход системы из штатного режима эксплуатации в силу случайных или преднамеренных действий пользователей (превышение расчетного числа запросов, чрезмерный объем обрабатываемой информации и т.п.)
· Ошибки при (пере)конфигурировании системы
· Вредоносное программное обеспечение
· Отказы программного и аппаратного обеспечения
· Разрушение данных
· Разрушение или повреждение аппаратуры
По отношению к поддерживающей инфраструктуре рекомендуется рассматривать следующие угрозы:
· Нарушение работы (случайное или умышленное) систем связи, электропитания, водо- и/или теплоснабжения, кондиционирования;
· Разрушение или повреждение помещений;
· Невозможность или нежелание обслуживающего персонала и/или пользователей выполнять свои обязанности (гражданские беспорядки, аварии на транспорте, террористический акт или его угроза, забастовка и т.п.).
Основные угрозы целостности
Можно разделить на угрозы статической целостности и угрозы динамической целостности.
Так же стоит разделять на угрозы целостности служебной информации и содержательных данных. Под служебной информацией понимаются пароли для доступа, маршруты передачи данных в локальной сети и подобная информация. Чаще всего и практически во всех случаях злоумышленником осозхнанно или нет, оказывается сотрудник организации, который знаком с режимом работы и мерами защиты.
С целью нарушения статической целостности злоумышленник может:
· Ввести неверные данные
· Изменить данные
Угрозами динамической целостности являются, переупорядочение, кража, дублирование данных или внесение дополнительных сообщений.
Основные угрозы конфиденциальности
Конфиденциальную информацию можно разделить на предметную и служебную. Служебная информация (например, пароли пользователей) не относится к определенной предметной области, в информационной системе она играет техническую роль, но ее раскрытие особенно опасно, поскольку оно чревато получением несанкционированного доступа ко всей информации, в том числе предметной.
Даже если информация хранится в компьютере или предназначена для компьютерного использования, угрозы ее конфиденциальности могут носить некомпьютерный и вообще нетехнический характер.
К неприятным угрозам, от которых трудно защищаться, можно отнести злоупотребление полномочиями. На многих типах систем привилегированный пользователь (например системный администратор) способен прочитать любой (незашифрованный) файл, получить доступ к почте любого пользователя и т.д. Другой пример — нанесение ущерба при сервисном обслуживании. Обычно сервисный инженер получает неограниченный доступ к оборудованию и имеет возможность действовать в обход программных защитных механизмов.
Для наглядности данные виды угроз так же схематично представлены ниже на рис.
Для применения наиболее оптимальных мер по защите, необходимо провести оценку не только угроз информационной безопасности но и возможного ущерба, для этого используют характеристику приемлемости, таким образом, возможный ущерб определяется как приемлемый или неприемлемым. Для этого полезно утвердить собственные критерии допустимости ущерба в денежной или иной форме.
Вредоносные программы
Цель вредоносных программ – причинить ущерб компьютеру, серверу или компьютерной сети. Они могут, например, испортить, украсть или стереть данные, хранящиеся на компьютере, замедлить или полностью остановить работу устройства. Вредоносные программы часто «прячутся» в письмах и сообщениях с заманчивыми предложениями от неизвестных лиц и компаний, в страницах новостных сайтов или других популярных ресурсах, которые содержат уязвимости. Пользователи заходят на эти сайты, и вредоносные программы незаметно проникают на компьютер.
Также вредоносные программы распространяются через электронную почту, съемные носители информации или скачанные из Интернета файлы. Файлы или ссылки, присланные по электронной почте, могут подвергать устройство заражению.
Вредоносные программы могут скрываться и под видом звуковых или графических сообщений. Например, красивая экранная заставка, которой с удовольствием любуется пользователь, может оказаться троянской программой (что это такое, читайте ниже). Ссылки, которые появляются во всплывающих окнах и в рекламных объявлениях на различных сайтах, также могут содержать вирусы.
К вредоносным программам относятся вирусы, черви, троянские программы.
Вирус – разновидность компьютерной программы, отличительной особенностью которой является способность к размножению (саморепликации) и незаметному для пользователя внедрению в файлы, загрузочные секторы дисков и документы. Название «вирус» по отношению к компьютерным программам пришло из биологии именно по признаку способности к саморазмножению. Лежащий в виде зараженного файла на диске вирус не опасен до тех пор, пока его не открыть или не запустить. Он начинает действовать только тогда, когда пользователь его активирует. Вирусы разработаны, чтобы копировать себя, заражая компьютеры, при этом обычно они уничтожают файлы.
Черви – это разновидность вирусов. Они полностью оправдывают свое название, поскольку распространяются путем «переползания» из устройства в устройство. Так же, как и вирусы, они представляют собой саморазмножающиеся программы, но в отличие от вирусов, червю не нужна помощь пользователя, чтобы распространиться. Он сам находит лазейку.
Троянские программы – вредоносные программы, которые целенаправленно внедряются злоумышленниками для сбора информации, ее разрушения или модификации, нарушения работоспособности компьютера или использования его ресурсов в неблаговидных целях. Внешне троянские программы выглядят как легальные программные продукты и не вызывают подозрений. В отличие от вирусов, они полностью готовы к выполнению своих функций. На это и делается расчет злоумышленников: их задача – сделать такую программу, которую пользователи не побоятся запускать и использовать.
Злоумышленники могут заражать компьютер, чтобы сделать его частью ботнета – сети из зараженных устройств, расположенных по всему миру. Крупные ботнеты могут включать в себя десятки и сотни тысяч компьютеров. Пользователи часто даже не догадываются, что их компьютеры заражены вредоносными программами и используются злоумышленниками. Ботнеты создаются путем рассылки разными способами вредоносных программ, а зараженные машины в дальнейшем регулярно получают команды от администратора ботнета, так что оказывается возможным организовать согласованные действия компьютеров-ботов по атаке других устройств и ресурсов.
DoS и DDoS атаки
Суть DoS-атаки заключается в том, что злоумышленник пытается сделать временно недоступным конкретный сервер, перегрузить сеть, процессор или переполнить диск. Цель атаки – просто вывести компьютер из строя, а не получить информацию, захватить все ресурсы компьютера-жертвы, чтобы другие пользователи не имели к ним доступа. К ресурсам относятся: память, процессорное время, дисковое пространство, сетевые ресурсы и т. д.
Осуществить DoS-атаку можно двумя способами.
При первом способе для DoS-атаки используется уязвимость программного обеспечения, установленного на атакуемом компьютере. Уязвимость позволяет вызвать определенную критическую ошибку, которая приведет к нарушению работоспособности системы.
При втором способе атака осуществляется при помощи одновременной отсылки большого количества пакетов информации на атакуемый компьютер, что вызывает перегрузку сети.
Если подобная атака проводится одновременно сразу с большого числа компьютеров, то в этом случае говорят о DDoS-атаке.
Для организации DDoS-атак злоумышленники используют ботнет – специальную сеть компьютеров, зараженных особым видом вирусов. Каждым таким компьютером злоумышленник может управлять удаленно, без ведома владельца. При помощи вируса или программы, искусно маскирующейся под легальную, на компьютер-жертву устанавливается вредоносный программный код, который не распознается антивирусом и работает в фоновом режиме. В нужный момент по команде владельца ботнета такая программа активизируется и начинает отправлять запросы на атакуемый сервер, в результате чего заполняется канал связи между сервисом, на который проводится атака, и Интернет-провайдером и сервер перестает работать.
Социальная инженерия
Большинство злоумышленников полагается не только на технологии, но и на человеческие слабости, используя при этом социальную инженерию. Этот сложный термин обозначает способ получать нужную информацию не с помощью технических возможностей, а путем обыкновенного обмана, хитрости. Социальные инженеры применяют психологические методы воздействия на людей через электронную почту, социальные сети и службы мгновенного обмена сообщениями. В результате их умелой работы пользователи добровольно выдают свои данные, не всегда понимая, что их обманули.
Мошеннические сообщения чаще всего содержат угрозы, например, закрытия пользовательских банковских счетов, обещания огромного выигрыша с минимальными усилиями или вовсе без них, запросы о добровольных пожертвованиях от лица благотворительных организаций. Например, сообщение от злоумышленника может выглядеть так: «Ваш аккаунт заблокирован. Чтобы восстановить доступ к нему, необходимо подтвердить следующие данные: номер телефона, электронную почту и пароль. Присылайте их по такому-то электронному адресу». Чаще всего злоумышленники не оставляют пользователю времени для размышлений, например, просят заплатить в день получения письма.
Фишинг
Фишинг является наиболее популярным способом атаки на пользователей и одним из методов социальной инженерии. Он представляет собой особый вид Интернет-мошенничества. Цель фишинга – получение доступа к конфиденциальным данным, таким как адрес, телефон, номера кредитных карт, логины и пароли, путем использования поддельных веб-страниц. Часто фишинговая атака происходит следующим образом: на электронную почту приходит письмо с просьбой войти в систему Интернет-банкинга от имени якобы сотрудника банка. Письмо содержит ссылку на ложный сайт, который трудно отличить от настоящего. Пользователь вводит личные данные на поддельном сайте, а злоумышленник перехватывает их. Завладев персональными данными, он может, например, получить кредит на имя пользователя, вывести деньги с его счета и расплатиться его кредитными картами, снять деньги с его счетов или создать копию пластиковой карты и с ее помощью снять деньги в любом месте мира.
2. Безопасность Сетевых устройств OSI
Управление доступом на основе ролей (англ. Role Based Access Control, RBAC) — развитие политики избирательного управления доступом, при этом права доступа субъектов системы на объекты группируются с учётом специфики их применения, образуя роли.
Формирование ролей призвано определить чёткие и понятные для пользователей компьютерной системы правила разграничения доступа. Ролевое разграничение доступа позволяет реализовать гибкие, изменяющиеся динамически в процессе функционирования компьютерной системы правила разграничения доступа.
Такое разграничение доступа является составляющей многих современных компьютерных систем. Как правило, данный подход применяется в системах защиты СУБД, а отдельные элементы реализуются в сетевых операционных системах. Ролевой подход часто используется в системах, для пользователей которых чётко определён круг их должностных полномочий и обязанностей.
Несмотря на то, что Роль является совокупностью прав доступа на объекты компьютерной системы, ролевое управление доступом отнюдь не является частным случаем избирательного управления доступом, так как его правила определяют порядок предоставления доступа субъектам компьютерной системы в зависимости от имеющихся (или отсутствующих) у него ролей в каждый момент времени, что является характерным для систем мандатного управления доступом. С другой стороны, правила ролевого разграничения доступа являются более гибкими, чем при мандатном подходе к разграничению.
Так как привилегии не назначаются пользователям непосредственно и приобретаются ими только через свою роль (или роли), управление индивидуальными правами пользователя по сути сводится к назначению ему ролей. Это упрощает такие операции, как добавление пользователя или смена подразделения пользователем.
Распределение административных ролей
|
Определите, кто должен быть администратором |
Определить роль в правилах |
Ограничьте то, что вы сможете администрировать |
|
Пользовательские настройки |
Позвольте администратору просматривать раздел QMС |
Пользовательские настройки |
|
Роли |
Позвольте администратору создавать ресурсы |
Потоки |
|
Атрибуты директории пользвателей |
Позвольте администратору читать ресурсы |
Владельцы |
|
Позвольте администратору править ресурсы |
Имя |
|
|
Позвольте администратору удалять ресурсы |
Три ключевых элемента, которые важны для управления ролями:
· Определение роли, используя правила.
· Назначение роли пользователю.
· Определение масштаба административных задач для пользователя.
Удалённый мониторинг и управление (англ. Remote monitoring and management, RMM) — удалённый мониторинг и управление ИТ-системами, такими как сетевые устройства, настольные компьютеры, серверы и мобильные устройства, с помощью локально установленных программных агентов, к которым может обратиться поставщик услуг управления.
Функции включают в себя возможность:
· установить новое или обновить уже присутствующее программное обеспечение удалённо (включая изменения конфигурации);
· обнаруживать новые устройства и автоматически устанавливать агент RMM и настраивать устройство;
· наблюдать за устройствами и программным обеспечением, измерение производительности и диагностика;
· выполнять оповещения и предоставлять отчёты и информационные панели.
Является эффективным решением для мониторинга, которое позволяет системным администраторам управлять и контролировать несколько единиц оборудования с одной централизованной консоли.
Во многом именно поэтому на рынке средств ИБ появились и активно продвигаются различные системы автоматизированного управления, позволяющие создать единый центр ИБ, адаптивно управлять различными процессами управления, визуализировать полученные данные о состоянии информационной безопасности в организации.
Обычно в качестве инструментария для создания единого центра ряд производителей предлагает автоматизированные системы управления ИБ, предоставляющие информацию о состоянии информационной безопасности в организации в реальном времени с необходимой степенью детализации для профильных специалистов всех уровней. Такие системы обеспечивают сбор данных от различных подсистем обеспечения ИБ, анализ и хранение событий безопасности, обработку инцидентов, формирование отчетов различной степени детализации, а также хранение в структурированном виде и актуализацию документов, регламентирующих требования информационной безопасности организации, баз инцидентов и рисков, перечней информационных активов и пр.
Типовая структура
В большинстве случаев типовая структура системы автоматизированного управления ИБ имеет трехуровневую архитектуру, выполняющую задачи, которые представлены на рисунке.
Первый уровень предназначен для сбора, первичной обработки (нормализации) и передачи на следующий уровень собранной информации по событиям ИБ. Сбор информации происходит от всех систем и средств обеспечения ИБ, системного и прикладного ПО, АРМ, серверов и сетевого оборудования, средств антивирусной защиты, межсетевых экранов и т.п.
Может быть реализован средствами SIEM-систем (Security Information and Event Management), либо набором специализированных коннекторов, обеспечивающих сбор необходимой информации. При этом существует возможность интеграции с системами физической защиты и другими системами безопасности.
Уровень обработки информации предназначен для сбора, анализа и корреляции событий, поступающих от предыдущего уровня, который, в свою очередь, получает ее из различных систем обеспечения ИБ.
Типовое решение – использование SIEM-системы, которая осуществляет проверку собранной информации на соответствие политике управления инцидентами, обрабатывает и коррелирует информацию, выделяя из множества событий ИБ информацию по инцидентам и передавая полученную информацию о них на уровень управления.
Уровень управления предназначен для автоматизации процесса управления и представляет собой адаптивный интерфейс, позволяющий в режиме реального времени управлять инцидентами ИБ, проводить анализ состояния и выдавать отчеты и рекомендации по состоянию ИБ организации в целом и по отдельным системам безопасности в частности
Реализуется в виде программной надстройки, позволяющей автоматизировать многие функции управления ИБ и имеющей ряд встроенных модулей, обеспечивающих решение той или иной отдельной задачи по ее обеспечению:
· визуализации данных и создания отчетов о состоянии ИБ;
· реестров информационных активов;
· хранения данных;
· анализа рисков ИБ;
· управления документацией ИБ;
· знаний и рекомендаций;
· управления инцидентами ИБ.
Несомненными достоинствами автоматизированных систем управления ИБ представляются:
· повышение управляемости и эффективности бизнес-процессов, связанных с обеспечением ИБ;
· снижение рисков и времени простоя в случае инцидентов ИБ;
· оптимизация затрат на обеспечение ИБ.
Внедрение и дальнейшее использование автоматизированных систем управления позволят не только повысить эффективность системы обеспечения ИБ, но и выполнить требования большого числа международных и российских стандартов в области ИБ. В частности, внедрение системы менеджмента информационной безопасности поможет выполнить значительную часть требований группы стандартов по ИБ ISO/IEC 27000, часть требований PCI DSS и стандарта Банка России, а также его положений и указаний, требования к созданию подсистемы регистрации и учета систем защиты ПДн и ключевых систем (требования ФСТЭК России).
3. Авторизация, аутентификация и учет доступа (ААА)
AAA (Authentication, Authorization, Accounting) — используется для описания процесса предоставления доступа и контроля за ним.
Authentication - аутентификация.
Authorization - авторизация (проверка уровня доступа).
Accounting - учёт, контроль (слежение за потреблением ресурсов пользователем, например, для тарификации (биллинга)).
Представьте организацию (например университет) с множеством систем (серверы, АТС, WI-FI, здания, помещения и т.д.). Необходимо регистрировать в каждой системе одного и того-же пользователя. Чтобы этого не делать, ставится сервер AAA и все пользователи регистрируются только в нем. Все системы организации обращаются к серверу AAA.
Алгоритм:
пользователь посылает запрос на аутентификацию системе (пароль, ключ и т.д)
система пересылает его серверу AAA (т.к. не может провести аутентификацию)
сервер AAA посылает ответ системе
пользователь получает или не получает доступ
Основные протоколы AAA:
· RADIUS, DIAMETER
· TACACS, TACACS+ (компании Cisco)
Наибольшее распространение получил RADIUS ему на смену создан DIAMETER. Закрытые протоколы не выдерживают конкуренции.
RADIUS (Remote Authentication in Dial-In User Service)
Протокол опубликован в 1997, был опубликован как RFC 2058 и RFC 2059.
Последние версии (2012) RFC 2865 (rus PDF) и RFC 2866 (rus PDF).
Основные особенности:
· используется транспортный протокол UDP протокол
· поддерживает аутентификацию PAP, CHAP, EAP.
· предоставляет более 50 пар атрибут/значение с возможностью создавать специфичные для производителя пары
· учетные данные могут хранится локально или во внешних источниках (базы SQL, Kerberos, LDAP, Active Directory)
Запрос клиента и варианты ответа сервера RADIUS
Пользователь посылает свои данные для аутентификации и авторизации серверу (FTP,POP,WWW,PROXY и т.д.), такие серверы называются Network Access Server (NAS).
Сервер NAS и сервер RADIUS используют общий секретный ключ (для аутентификации друг друга, и хэширования открытых паролей пользователей).
NAS (клиент) формирует запрос серверу RADIUS Access Request, сервер RADIUS может ответить:
· Access-Reject - доступ запрещен.
· Access-Challenge - запрос дополнительной информации от пользователя, например, второй пароль, пин-код, номер карты и т.п.
· Access Accept - доступ разрешен.
Access Request - может содержать:
· User-Name
· User-Password
· CHAP-Password
Ответ Access-Challenge может использоваться для посылки случайного числа пользователю, для дальнейшего хеширования его с паролем (см. CHAP).
При выполнении всех условий в отклик Access-Accept включается список всех конфигурационных параметров для данного пользователя.
К таким параметрам относятся тип сервиса (например, SLIP, PPP, Login User) и все требуемые для предоставления этого сервиса значения.
Для протоколов SLIP и PPP могут включаться такие параметры, как
· адрес IP
· маска подсети
· MTU
· желательность использования компрессии
· идентификаторы желаемых фильтров
· Взаимодействие с PAP и CHAP
PAP
· NAS принимает от пользователя PAP ID (login) и пароль
· NAS PAP ID (login) и пароль в запросе Access-Request как атрибуты User-Name и User- Password
· сервер RADIUS сверяет User-Name и User- Password со своими значениями
CHAP
· NAS генерирует случайное число - challenge (предпочтительно 16 октетов) и передает его пользователю
· пользователь возвращает CHAP-отклик вместе с CHAP ID и CHAP username
· NAS передает запрос Access-Request серверу RADIUS со значением CHAP username для атрибута User-Name и значениями CHAP ID и CHAP-отклик в качестве CHAP-Password.
· сервер RADIUS находит пароль для пользователя "User-Name", хэширует (CHAP ID+пароль+CHAP challenge) и сравнивает результат с атрибутом CHAP-Password.
DIAMETER
Название DIAMETER - игра слов, отражающая превосходство нового протокола над предшественником RADIUS (диаметр - удвоенный радиус).
Таблица. Сравнение протоколов Diameter и RADIUS
|
Diameter |
RADIUS |
|
|
Транспортный протокол |
Ориентированные на соединение протоколы (TCP и SCTP) |
Протокол без установления соединения (UDP) |
|
Защита |
Hop-to-Hop, End-to-End |
Hop-to-Hop |
|
Поддерживаемые агенты |
Relay, Proxy, Redirect, Translation |
Полная поддержка, означающая, что поведение агента может быть реализовано на RADIUS-сервере |
|
Возможности по согласованию |
Согласовывает поддерживаемые приложения и уровень безопасности |
Не поддерживается |
|
Обнаружение узлов |
Статическая конфигурация и динамическое обнаружение |
Статическая конфигурация |
|
Сообщение инициации сервера |
Поддерживается. Например, сообщение повторной аутентификации, завершения сессии |
Не поддерживается |
|
Максимальный размер данных атрибутов |
16,777,215 октетов |
255 октетов |
|
Поддержка сторонних производителей |
Поддерживает сторонние атрибуты и сообщения |
Поддерживает только сторонние атрибуты |
LDAP (Lightweight Directory Access Protocol)
Облегченный (относительно DAP) протокол для доступа к службе каталогов X.500
Cлужба каталогов — это репозитарий, в котором хранится информация о людях, компьютерах, сетевых устройствах и приложениях.
LDAP можно использовать, например, для web-сайта, для аутентификации. Кроме этого, web-сайт может получить ФИО, email, телефон и д.р. информацию о пользователе из LDAP, что позволяет исключить подмену информации о себе пользователем или допустить ошибку при вводе информации пользователем, а так же уменьшает количество ручной работы по вводу информации.
Протоколы AAA такой информации не дают, но, например, коммутаторы могут работать только с RADIUS, и не могут работать с LDAP.
Примеры использования служб каталогов:
· Идентификация компьютеров
· Аутентификация пользователей
· Группировка пользователей
· Адресные книги
· Представление штатно-кадровой структуры организации
· Учет закрепления имущества организации за сотрудниками
· Телефонные справочники
· Управление пользовательскими ресурсами
· Справочники адресов электронной почты
· Хранение конфигурации приложений
· Хранение конфигурации АТС
· и т.д. ...
Дерево каталога LDAP (традиционное именование записей)
dc (domain component) — компонент домена
ou (organizational unit) — организационную единицу
uid (user id) — идентификатор пользователя
Имя запись пользователя напоминает записи DNS.
Так же как и DNS серверы LDAP:
· могут быть распределенными;
· имеют средства репликации.
Построение дерева может быть также основано на доменных именах Internet. Этот подход к именованию записей становится всё более популярным, поскольку позволяет обращаться к службам каталогов по аналогии с доменами DNS.
Дерево каталога LDAP (Internet-именование записей)
Пример записи LDAP:
dn: cn=John Doe,dc=example,dc=com
cn: John Doe
givenName: John
sn: Doe
telephoneNumber: +1 888 555 6789
telephoneNumber: +1 888 555 1232
mail: john@example.com
manager: cn=Barbara Doe,dc=example,dc=com
objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: person
objectClass: top
Аутентификация
Аутентификация (Authentication) — проверка принадлежности субъекту доступа по предъявленному им идентификатору (пароль, ключ и т.д.); подтверждение подлинности.
Методы аутентификации:
· парольные (PIN коде и т.д.) - уникальная последовательность символов, которую пользователь должен знать.
· "ключе" - в случае электронных систем это электронный ключ, который хранится на носителе (смарт-карты, электронные таблетки iButton, USB-токены и т. д.)
· биометрические (отпечаток пальца, рисунок радужной оболочки глаза, форма лица, параметры голоса и т. д.)
· криптографические
Методы аутентификации
Аутентификация по многоразовым паролям
Используется один пароль многократно.
Хотя аутентификация может использоваться не только к удаленным системам, методы аутентификации будем рассматривать сразу на примерах к удаленным системам
Протоколы аутентификации
PAP (Password Authentication Protocol)
PAP - аутентификация по имени и паролю пользователя. Протокол PAP ненадежен при использовании в сетях, т.к. пароли можно перехватить.
Алгоритм PAP:
· клиент посылает имя и пароль серверу
· сервер сверяет присланный пароль с паролем в своем хранилище
Протокол PAP
Преимущества:
· простота
· Недостатки и пути решения:
· подбор паролей
· просмотр паролей в системе
· перехват паролей при передачи
· пароль можно «подсмотреть» при вводе
· человеческий фактор – человек не может запомнить сложные пароли (записывает), диктует открытым способом (по телефону) и т.д.
· каждый раз нужно набирать на клавиатуре
· нужна предварительная регистрация пользователя в системе
Решение проблемы "подбора паролей":
· использовать "сильные" пароли
· блокировка при неправильных попытках (например: 5 раз) ввода пароля
Плохие пароли
Почему эти пароли плохие:
· "2" - один символ, легко перебрать.
· "123456" - один из популярных паролей (еще примеры - 123; 111; qwerty; qazwsx; qazwsxedc; password; "ваш логин"; "номер телефона"; "дата рождения" и т.д.).
· "пароль" - словарное слово, после перебора популярных паролей, перебирают слова из словаря.
· "Gjhs6129dgGF_9eK_sj2vc9d" - пароль очень сложный, его не запомнят, а запишут и приклеят к монитору, пароль должен быть только в голове (или в сейфе).
Наиболее хорошим вариантом являются пароли построенные на фразах:
· хорошо запоминаются
· достаточно длинные
· словарные атаки не проходят
Хорошие пароли
Решение проблемы "просмотра паролей в системе":
· шифрование (для расшифровывания нужно будет при себе носить ключ шифрования, при хранении на диске не защищенного ключа шифрования шифрование пароля не имеет смысла).
· не хранить пароль в системе, а хранить его контрольную сумму или хэш.
Пароли не хранятся в системе, а хранятся их хэши
Пароли в системе не хранятся, при этом пользователь проходит аутентификацию по паролю.
В большинстве современных систем именно так и сделано. Не только в ОС, но и в СУБД, форумах, сайтах и т.д.
Решение проблемы "перехвата паролей при передачи":
· шифровать передаваемые пароли
· использовать алгоритмы без передачи паролей (рассмотрены ниже (CHAP))
Шифрование передаваемых паролей
В настоящее время чаще всего для шифрования паролей используется протокол SSL (Secure Sockets Layer — уровень защищённых сокетов
CHAP (Challenge Handshake Authentication Protocol)
CHAP - аутентификация без передачи пароля.
Алгоритм CHAP:
1. пользователь посылает серверу запрос на доступ (login)
2. сервер отправляет клиенту случайное число
3. на основе этого случайного числа и пароля пользователя клиент вычисляет хеш
4. клиент пересылает хеш серверу
5. сервер сверяет присланный хеш со своим вычисленным
6. в случайные промежутки времени сервер отправляет новый и повторяет шаги с 2 по 5.
Протокол CHAP
Основной недостаток - необходимо хранить пароль на сервере.
CRAM - (challenge-response authentication mechanism)
Основан на вычислении имитовставки по алгоритму HMAC, роль симметричного ключа выполняет пароль.
В зависимости от алгоритма хэширования - CRAM-MD5, CRAM-MD4, CRAM-SHA1 и т.д.
Алгоритм CRAM:
1. пользователь посылает серверу запрос на доступ (login)
2. сервер вычисляет имитовставку с секретным ключом-паролем пользователя для строки (случайное число + временная метка + доменное имя сервера) (например: <1896.697170952@postoffice.reston.mci.net>)
3. сервер отправляет клиенту имитовставку
4. клиент вычисляет имитовставку из строки - (идентификатор клиента (login) + пробел + имитовставка сервера)
5. отправляет серверу
6. сервер сверяет полученное с ожидаемым
Протокол CRAM
В CRAM вместо пароля на сервере может хранится хэш.
Digest access authentication (DIGEST-MD5)
Схема аналогичная CHAP.
Протокол:
запрос клиента (без аутентификации)
ответ сервера (Unauthorized), содержащий
"realm" - строка (например: realm=testrealm@host.com)
"nonce" - случайное число сервера (например: nonce="dcd98b7102dd2f0e8b11d0f600bfb0c093")
клиент вычисляет хэш HA1 = MD5 (username: realm: password)
клиент вычисляет хэш HA2 = MD5 (URI)
клиент вычисляет хэш для ответа Response = MD5(HA1:nonce:nc:cnonce:qop:HA2)
"nc" - счётчика запросов
"cnonce" - клиентское случайное значение
"qop" - код качества защиты
клиент посылает ответ
сервер сравнивает значение полученное и вычисленное
Пример:
HA1 = MD5( "Mufasa:testrealm@host.com:Circle Of Life" )
= 939e7578ed9e3c518a452acee763bce9
HA2 = MD5( "GET:/dir/index.html" ) = 39aff3a2bab6126f332b942af96d3366
Response = MD5( "939e7578ed9e3c518a452acee763bce9:\
dcd98b7102dd2f0e8b11d0f600bfb0c093:\
00000001:0a4f113b:auth:\
39aff3a2bab6126f332b942af96d3366" )
= 6629fae49393a05397450978507c4ef1
Взаимная аутентификация
Т.к. сервер может быть ложным, необходимо провести взаимную аутентификацию.
клиент отправляет запрос серверу, содержащий его login и случайное число N1
сервер зашифровывает число N1, генерирует случайное число N2, и отправляет их оба клиенту расшифровывает числа (N1,N2) и сравнивает первое (N1) число с N1. Идентичность означает, что сервер обладает тем же уникальным ключом, что и клиент зашифровывает число N2 и результат отправляет серверу
сервер расшифровывает полученное сообщение. При совпадении результата с исходным числом N2, взаимная аутентификация прошла успешно.
Протокол взаимной аутентификации
Аутентификация по одноразовым паролям (One-time password)
Различные подходы к созданию одноразовых паролей:
использующие математические алгоритмы для создания нового пароля на основе предыдущих (пароли фактически составляют цепочку, и должны быть использованы в определённом порядке).
основанные на временной синхронизации между сервером и клиентом, обеспечивающей пароль (пароли действительны в течение короткого периода времени)
использующие математический алгоритм, где новый пароль основан на запросе (например. случайное число, выбираемое сервером или части входящего сообщения) и/или счётчике.
Одноразовые пароли клиент может получать:
· на бумаге
· в токене
· пересылкой (по СМС)
пример банковской карты
Многофакторная аутентификация
Иногда используются сразу несколько методов аутентификации.
Например: электронный ключ и логин.
При использовании SIM-карт в мобильных телефонах. Субъект вставляет свою SIM-карту в телефон и при включении вводит свой PIN-код (пароль).
В случае банковской карты. Субъект вставляет свою банковскую карту в банкомат и вводит свой PIN-код (пароль).
Криптография
Криптография с симметричными ключами
Шифры подстановки Шифр Цезаря
Используется подстановка (замена) букв из измененного алфавита. В классическом варианте алфавит получают с помощью сдвига букв на три позиции.
С точки зрения современной парадигмы, можно выделить:
алгоритм (замена букв из полученного с помощью сдвига алфавита)
ключ - k (величина сдвига)
Пример: зашифрованный текст с различными ключами.
k=0 зашифрованный текст с различными ключами
k=1 ибщйхспгбооьк уёлту т сбимйшоьнй лмяшбнй
k=2 йвъкцтрдвппэл фжмуф у твйнкщпэок мнащвок
k=3 кгылчусегррюм хзнфх ф угколърюпл нобъгпл
k=4 лдьмшфтёдссян циохц х фдлпмысярм опвыдрм
k=5 меэнщхужеттао чйпцч ц хемрньтасн пргьесн
k=6 нёюоъцфзёуубп шкрчш ч цёнсоэубто рсдэёто
Шифр Виженера
Используется несколько алфавитов.
Исходный текст: HELLOWORLD
Создается ключевое слово: WELCOM
Ключевое слово повторяется циклически до заполнения всего исходного текста.
|
W |
E |
L |
C |
O |
M |
W |
E |
L |
C |
|
H |
E |
L |
L |
O |
W |
O |
R |
L |
D |
Берем букву исходного теста, выбираем алфавит соответствующий букве ключевого слова, и делаем замену из этого алфавита.
|
W |
E |
L |
C |
O |
M |
W |
E |
L |
C |
|
H |
E |
L |
L |
O |
W |
O |
R |
L |
D |
|
D |
I |
W |
N |
C |
I |
K |
V |
W |
F |
Получили зашифрованный текст: DIWNCIKVWF
Шифр Вернама (одноразовые блокноты)
Каждая страница блокнота является ключом и используется один раз.
Ключ должен обладать тремя свойствами:
1. быть истинно случайным
2. совпадать по размеру с заданным исходным текстом
3. применяться только один раз
Пример ключа:
Алгоритм:
Зашифруем исходный текст "HELLO" ключом "XMCKL"
Каждой букве присваивается порядковый номер в алфавите "A" => 0, "B" => 1 и т.д.
H E L L O исходный текст
7 (H) 4 (E) 11 (L) 11 (L) 14 (O) исходный текст
+ 23 (X) 12 (M) 2 (C) 10 (K) 11 (L) ключ
= 30 16 13 21 25 исходный текст + ключ
= 4 (E) 16 (Q) 13 (N) 21 (V) 25 (Z) исходный текст + ключ (mod 26)
E Q N V Z ? зашифрованный текст
Если число больше 25, то начинают снова с начала алфавита, записывается остаток после вычитания 26 (30-26=4).
Расшифровка:
E Q N V Z зашифрованный текст
4 (E) 16 (Q) 13 (N) 21 (V) 25 (Z) зашифрованный текст
- 23 (X) 12 (M) 2 (C) 10 (K) 11 (L) ключ
= -19 4 11 11 14 зашифрованный текст — ключ
= 7 (H) 4 (E) 11 (L) 11 (L) 14 (O) зашифрованный текст — ключ (mod 26)
H E L L O ? исходный текст
Если число отрицательное то прибавляется 26 (-19+26=7)
Шифры перестановки
исходный текст: простой шифр перестановки
|
п |
т |
и |
е |
т |
в |
|
р |
о |
ф |
р |
а |
к |
|
о |
й |
р |
е |
н |
и |
|
с |
ш |
п |
с |
о |
|
шифрованный текст: птиетв рофрак ойрени сшпсо
Алгоритм: запись по столбцам, считывается по строкам.
Секретный ключ - размер таблицы.
Поточные шифры
Генератор гаммы выдает ключевой поток бит (гамму), который, например, складывается (XOR-ИСКЛЮЧАЮЩЕЕ ИЛИ) с потоком открытого текста.
Принцип работы поточного шифра
Шифр Вернама (одноразовые блокноты) тоже является поточным шифром.
Алгоритм XOR
Работает с двоичным кодом.
правило:
0+0=0
0+1=1
1+0=1
1+1=0
исходный текст: Wiki
Wiki переведем в двоичный код - 01010111 01101001 01101011 01101001
Секретный ключ: 11110011 11110011 11110011 11110011
Шифрование:
01010111 01101001 01101011 01101001 -
открытый текст
11110011 11110011 11110011 11110011 - секретный ключ
10100100 10011010 10011000 10011010 - шифрованный текст
Расшифрование:
10100100 10011010 10011000 10011010 -
шифрованный текст
11110011 11110011 11110011 11110011 - секретный ключ
01010111 01101001 01101011 01101001 - открытый текст
Блочные шифры
Данные шифруются блоками.
DES (Data Encryption Standard)
Данные шифруются блоками с размером 64 бит
Ключ: 56-бит.
4. Реализация технологий брандмауэра
Списки контроля доступа ACL (Access List Control)
Списки управления доступом являются частью комплексной системы безопасности сети. Они позволяют запретить/разрешить определенным хостам доступ к ресурсам сети. Например, в корпоративной сети администраторы могут запретить доступ в интернет определенным пользователям, а остальным наоборот - разрешить.
Запретить/разрешить мы можем на основе IP адресов, портов и задействованных протоколов. На этом принципе и работают списки управления доступом ACL (Access Control List).
Другим примером использования списков доступа является запрет поступающих на маршрутизатор пакетов протокола ICMP. Как мы знаем с помощью ICMP работают утилиты Ping, Traceroute/Tracert. С помощью данных утилит можно просканировать сеть, а это нежелательно с точки зрения политики безопасности каждой сети.
Списки доступа позволяют фильтровать трафик на входе и выходе интерфейса маршрутизатора.
И в чем же разница?
Разница в том, что на входе весь поступающий трафик подвергается фильтрации. Нежелательные пакеты отбрасываются и уже только потом остальные пакеты маршрутизируются:
Когда ACL настроены на выходе интерфейса, то трафик фильтруется сразу же после процесса маршрутизации:
Виды ACL
Cisco IOS поддерживает 3 типа ACL:
· стандартные списки
· расширенные списки
· именованные списки
Стандартные списки позволяют проверять только IP адрес отправителя. Например, в нашем 1-ом примере доступ в интернет Алисе и Кате можно закрыть с помощью стандартного списка. В данном случае блокируется абсолютно весь трафик, проходящий через маршрутизатор. Стандартные списки доступа рекомендуется устанавливать как можно ближе к отправителю.
Расширенные списки позволяют фильтровать пакеты на основе адресов, портов и протоколов получателя и отправителя.
Например, Алисе разрешается использовать электронную почту, но все еще запрещается использовать остальной доступ в интернет. Кате же разрешены звонки по интернет и запрещены все остальные службы интернет.
Электронная почта работает по протоколам POP/SMTP (порты 110/ 25). Следовательно можно внести исключение в списки доступа исходя из выше описанных условий.
То же самое касается и IP телефонии - выбираем задействованный протокол и порт и вносим в список доступа.
Расширенные списки рекомендуется устанавливать ближе к получателю.
Именованные списки являются теми же стандартными и расширенными ACL, однако предоставляют более гибкие возможности для редактирования
Пример использования списков доступа
Рассмотрим сеть:
Сеть состоит из 3 частей:
· Внутренняя сеть - основная инфраструктура локальной сети любого предприятия.
· Демилитаризованная зона DMZ - в ней располагаются сервера, которые доступны из интернета. Доступ во внутреннюю сеть из этой зоны закрыт из соображений безопасности.
· Внешняя сеть - связывается напрямую с провайдером. Обычно состоит из маршрутизаторов и сетевых экранов (firewalls).
Именно по этому принципу и строятся сети предприятий.
Задача следующая:
· Всем серверам из DMZ запретить доступ во внутреннюю сеть
· Всем серверам из DMZ разрешить двустороннюю связь в интернет
· Пользователям из интернета разрешить доступ на серверы в DMZ, учитывая протокол взаимодействия и порты TCP/UDP
· Разрешить доступ внутренним пользователям на серверы DMZ
· Запретить Алине и Саше доступ в интернет и DMZ, то есть они могут работать только во внутренней сети.
Контроль доступа на основе контекста - Context-based access control
Контроль доступа на основе контекста ( CBAC ) - это функция программного обеспечения брандмауэра , которая интеллектуально фильтрует пакеты TCP и UDP на основе информации о сеансе протокола прикладного уровня . Его можно использовать для интрасетей , экстранетов и интернета . CBAC можно настроить так, чтобы разрешить указанный трафик TCP и UDP через брандмауэр, только если соединение инициируется изнутри сети, нуждающейся в защите. (Другими словами, CBAC может проверять трафик для сеансов, исходящих из внешней сети.) Однако, хотя в этом примере обсуждается проверка трафика для сеансов, исходящих из внешней сети, CBAC может проверять трафик для сеансов, исходящих с любой стороны межсетевого экрана. Это основная функция межсетевого экрана с отслеживанием состояния . Без CBAC фильтрация трафика ограничена реализациями списков доступа, которые проверяют пакеты на сетевом уровне или, самое большее, на транспортном уровне . Однако CBAC проверяет не только информацию сетевого и транспортного уровней, но и информацию протокола прикладного уровня (например, информацию о FTP- соединении), чтобы узнать о состоянии сеанса TCP или UDP. Это позволяет поддерживать протоколы, которые включают несколько каналов, созданных в результате согласования в канале управления FTP. Большинство мультимедийных протоколов, а также некоторые другие протоколы (например, FTP, RPC и SQL * Net) включают несколько каналов управления. CBAC проверяет трафик, проходящий через межсетевой экран, чтобы обнаруживать и управлять информацией о состоянии для сеансов TCP и UDP. Эта информация о состоянии используется для создания временных отверстий в списках доступа брандмауэра, чтобы разрешить обратный трафик и дополнительные подключения к данным для допустимых сеансов (сеансов, исходящих из защищенной внутренней сети). CBAC работает через глубокую проверку пакетов, и поэтому Cisco называет это «межсетевым экраном IOS» в своей межсетевой операционной системе (IOS). CBAC также предоставляет следующие преимущества: Предотвращение и обнаружение отказов в обслуживании Оповещения в реальном времени и контрольные журналы Контроль доступа на основе контекста - https://ru.xcv.wiki/wiki/Context-based_access_control
CBAC может также использоваться с преобразованием сетевых адресов (NAT), но конфигурация в настоящем документе прежде всего касается анализа в чистом виде. При реализации NAT списки контроля доступа должны отражать глобальные адреса, а не реальные адреса.
Перед настройкой необходимо ответить на следующие вопросы.
· Какой трафик требуется выпускать?
· Какой трафик требуется впускать?
· Какой трафик требуется анализировать?
· Какие виды трафика требуется выпускать из сети?
Виды трафика, которые требуется выпускать из сети, зависят от политики безопасности на объекте, но в этом обобщенном примере разрешается весь исходящий трафик. Если список контроля доступа запрещает все виды трафика, то исходящий трафик запрещается полностью. Укажите исходящий трафик при помощи этого расширенного списка контроля доступа:
· access-list 101 permit ip [source-network] [source-mask] any
· access-list 101 deny ip any any
Какие виды трафика требуется впускать в сеть?
Виды впускаемого трафика определяются политикой безопасности на объекте. Однако логичный ответ – любые виды трафика, не несущие вреда для сети.
В этом примере имеется список видов трафика, которые разумно пропускать в сеть. Обычно допустим трафик протокола управляющих сообщений Интернет (ICMP), но он может быть уязвимым для DOS-атак. Ниже приведен пример списка контроля доступа для входящего трафика.
Расширенный список контроля доступа IP 101
permit tcp 10.10.10.0 0.0.0.255 any (84 matches)
permit udp 10.10.10.0 0.0.0.255 any
permit icmp 10.10.10.0 0.0.0.255 any (3 matches)
deny ip any any
Расширенный список контроля доступа IP 102
permit eigrp any any (486 matches)
permit icmp any 10.10.10.0 0.0.0.255 echo-reply (1 match)
permit icmp any 10.10.10.0 0.0.0.255 unreachable
permit icmp any 10.10.10.0 0.0.0.255 administratively-prohibited
permit icmp any 10.10.10.0 0.0.0.255 packet-too-big
permit icmp any 10.10.10.0 0.0.0.255 echo (1 match)
permit icmp any 10.10.10.0 0.0.0.255 time-exceeded
deny ip any any (62 matches)
access-list 101 permit tcp 10.10.10.0 0.0.0.255 any
access-list 101 permit udp 10.10.10.0 0.0.0.255 any
access-list 101 permit icmp 10.10.10.0 0.0.0.255 any
access-list 101 deny ip any any
access-list 102 permit eigrp any any
access-list 102 permit icmp any 10.10.10.0 0.0.0.255 echo-reply
access-list 102 permit icmp any 10.10.10.0 0.0.0.255 unreachable
access-list 102 permit icmp any 10.10.10.0 0.0.0.255 administratively-prohibited
access-list 102 permit icmp any 10.10.10.0 0.0.0.255 packet-too-big
access-list 102 permit icmp any 10.10.10.0 0.0.0.255 echo
access-list 102 permit icmp any 10.10.10.0 0.0.0.255 time-exceeded
access-list 102 deny ip any any
Список контроля доступа 101 используется для исходящего трафика. Список контроля доступа 102 используется для входящего трафика. Списки контроля доступа разрешают только маршрутный протокол, усовершенствованный внутренний протокол маршрутизации сетевых интерфейсов (EIGRP) и указанные типы входящего трафика ICMP.
В этом примере сервер на стороне Ethernet маршрутизатора недоступен из Интернета. Список контроля доступа запрещает установление сеанса. Для получения доступа необходимо изменить список контроля доступа, разрешив диалог. Для изменения списка контроля доступа удалите список контроля доступа, отредактируйте его и повторно примените обновленный список контроля доступа.
Необходимость удаления списка контроля доступа 102 перед его редактированием и повторным применением вызвана наличием оператора «deny ip any any» в конце списка контроля доступа. В этом случае добавление новой записи перед удалением списка контроля доступа привело бы к появлению новой записи после оператора deny. Таким образом, обращения к этой записи никогда бы не происходило.
В этом примере добавляется упрощенный протокол электронной почты (SMTP) только для 10.10.10.1.
Расширенный список контроля доступа IP 102
permit eigrp any any (385 matches)
permit icmp any 10.10.10.0 0.0.0.255 echo-reply
permit icmp any 10.10.10.0 0.0.0.255 unreachable
permit icmp any 10.10.10.0 0.0.0.255 administratively-prohibited
permit icmp any 10.10.10.0 0.0.0.255 packet-too-big
permit icmp any 10.10.10.0 0.0.0.255 echo
permit icmp any 10.10.10.0 0.0.0.255 time-exceeded
permit tcp any host 10.10.10.1 eq smtp (142 matches)
Какие виды трафика требуется анализировать?
CBAC в операционной системе Cisco IOS поддерживает следующие виды трафика:
|
Ключевое слово |
Протокол |
|
cuseeme |
Протокол CUSeeMe |
|
ftp |
Протокол передачи файлов (FTP) |
|
h323 |
Протокол H.323 (например, Microsoft NetMeeting или Intel Video Phone) |
|
http |
Протокол HTTP |
|
rcmd |
R-команды (r-exec, r-login, r-sh) |
|
realaudio |
Протокол Real Audio |
|
rpc |
Протокол удаленного вызова процедур (RPC) |
|
smtp |
Упрощенный протокол передачи электронной почты (SMTP) |
|
sqlnet |
Сетевой протокол SQL |
|
streamworks |
Протокол StreamWorks |
|
tcp |
Протокол TCP |
|
tftp |
Протокол TFTP |
|
udp |
Протокол дейтаграмм пользователя |
|
vdolive |
Протокол VDOLive |
Брандмауэр зональной политики (англ. Zone-Based Policy firewall или ZFW) — межсетевой экран, являющийся одним из компонентов программного обеспечения Cisco IOS. ZFW используется для настройки правил доступа между сетями. Предшественником ZFW был классический брандмауэр с контролем состояния (контроль доступа на основе содержимого или CBAC). Впервые zone-based firewall был представлен в Cisco IOS
CBAC следует применять, когда взаимодействуют два интерфейса. ZFW же следует использовать, когда есть несколько интерфейсов. При использовании CBAC генерируемый роутером трафик не проверяется по умолчанию. Основное неудобство CBAC в том, что нужно иметь политики проверки трафика на каждом интерфейсе, то есть CBAC настраивается для каждого интерфейса вручную. В ZFW достаточно настроить зоны и при необходимости добавлять туда интерфейсы. При наличии большого количества интерфейсов настроить зоны оказывается быстрее, чем настраивать каждый интерфейс
Основные этапы настройки политики брандмауэра
Эта процедура может использоваться для настройки ZFW. Последовательность действий не важна, но все же некоторые действия должны быть выполнены по порядку. Например, прежде чем присваивать интерфейсы зонам, зоны нужно определить и настроить. Так же не получится применить к паре зон ненастроенную карту политик.
· Определить зоны (zone).
· Определить пары зон (zone-pair).
· Определить карты классов (class-map), описывающие трафик, к которому будет применена политика при пересечении пары зон.
· Определить карты политик (policy-map), где указано, какое действие нужно применять в отношении трафика карт классов.
· Применить карты политик к парам зон.
· Присвоить интерфейсы зонам.
Карты классов определяют трафик для применения политики. Сортировка трафика происходит с помощью команды match в карте классов (class-map)
Access-group — список контроля доступа может фильтровать трафик на основе IP-адреса источника и получателя, а также порта источника и получателя.
Protocol — протоколы транспортного уровня (TCP, UDP и ICMP) и службы приложения (например, DNS, HTTP и др.).
Class-map — подчиненная карта классов, представляющая дополнительные критерии соответствия, которые вложены в другую карту классов.
Not — критерий not указывает на то, что будет использоваться любой трафик, группа, протокол или карта классов.
Для определения порядка применения критериев соответствия в картах классов применяются операторы match-any или match-all. Если выбрано match-any, то трафик должен удовлетворять только одному из критериев соответствия. Если выбрано match-all, то трафик должен удовлетворять всем критериям карты классов. Сначала должны применяться более конкретные критерии соответствия, затем — более общие.
Действия брандмауэра:
Отбросить — это действие, применяемое ко всему трафику по умолчанию. Трафик отбрасывается ZFW'ом «бесшумно», то есть узел, от которого поступил трафик, не получает уведомления об отбрасывании. Такое поведение отличается от поведения, при использовании ACL, когда брандмауэр отправляет узлу, отправившему трафик, ICMP сообщение, что «узел недоступен». Однако, если требуется уведомление, при настройке можно указать параметр журнала, который позволит уведомить системный журнал о том, что трафик был отброшен брандмауэром.
Пропустить — трафик, переходящий из одной зоны в другую, пропускается. Если, например, трафик пропускается из первой зоны во вторую, то из второй зоны трафик не будет пропущен в первую, то есть действие «пропустить» работает только в одном направлении. Для разрешения перехода трафика из второй зоны в первую нужно провести соответствующую настройку. «Пропускание» будет полезно при использовании протоколов IPSec разных стандартов из-за предсказуемости их поведения.
Проверка — трафик проверяется на основании состояния. Например, если трафик идет из первой зоны во вторую, то брандмауэр сохраняет данные о подключении и о сеансе для трафика, использующего протоколы TCP или UDP. Значит брандмауэр автоматически разрешает и обратный трафик из второй зоны в первую, в ответ, например, на какие-нибудь запросы из первой зоны. Кроме того, можно настроить проверку приложения и управление протоколами службы передачи данных приложения, если передается что-то важное или уязвимое. Так же есть возможность сохранять время начала подключения, сеанса, окончания сеанса, продолжительность подключения, объем переданных данных, адреса отправителя и получателя.
Некоторые другие возможности брандмауэра:
Регулировка скорости. Начиная с версии 12.1(5)T, в Cisco IOS добавлена возможность ограничения скорости трафика путем ограничения номинальной скорости и размера пакета. А с версии 12.4(9)T в ZFW добавлена функция регулировки трафика, совпадающая с тем, что определено в конкретной карте классов. Здесь предлагается описывать трафик, применять политику ZWF и регулировать полосу пропускания из одной точки конфигурации, вместо конфигурирования каждого интерфейса по отдельности.
При помощи ZFW можно указать полосу пропускания в байтах в секунду или в битах в секунду, однако установить процент пропускания не удастся. Применять регулирование скорости можно как совместно с настройкой каждого интерфейса, так и по отдельности.
Защита против DoS-атак: ZFW, заметив значительные изменения сетевой активности, оповещает инженеров и снижает нежелательную сетевую активность, чтобы снизить ее воздействие на маршрутизатор. Для этого в ZFW встроены счетчики для каждого класса.
Существует возможность ограничить трафик сеанса, можно также ограничить количество сеансов для заданной карты классов, которая, например, пересекает пару зон. Это дополнение к существующей возможности применять защиту от DoS-атак.
Проверка приложений
Приложения прикладного уровня модели OSI могут отправлять и принимать сообщения, связанные как с нежелательными уязвимостями, так и с полезными возможностями, а значит, следует ограничить действия служб приложений, то есть фильтровать сообщения.
ZFW позволяет управлять службами следующих приложений:
· HTTP
· SMTP
· POP3
· IMAP
· и другими.
Фильтрация по URL-адресам
ZFW может фильтровать URL-адреса, создавая «белые» и «черные» списки.
Настройка происходит в карте параметров с параметром urlfilter:
parameter-map type urlfilter [websense-parmap_name]
exclusive-domain deny [domain_name_1]
exclusive-domain permit [domain_name_2]
В строке deny определены запрещенные url-адреса, а в строке permit — разрешенные.
5. Реализация технологий предотвращения вторжения
IPS (Intrusion Prevention System) — система предотвращения вторжений.
IPS является частным случаем IDS (Intrusion Detection System — Система обнаружения вторжений или СОВ, как ее кратко называют в России).
Идея о создании IDS появилась после выхода статьи “Computer Security Threat Monitoring and Surveillance” Джеймса Андерсона, аж в 1980 году! Довольно занятная статья и самое главное актуальная по сей день.
Спустя 6 лет, в 1986 году Дороти Деннинг и Питер Нейман опубликовали первую теоретическаю модель IDS, которая наверно до сих пор является основой для современных систем. Далее было довольно много различных разработок, но все они в основном сводились к использованию трех методов обнаружения вторжений:
· Сигнатурный анализ;
· Эвристический анализ;
· Обнаружение аномалий.
Одним из ключевых моментов в развитии IDS стало появление библиотеки libpcap в 1998 году. Разработали ее ребята из Национальной лаборатории им. Лоуренса в Беркли. В этом же году был разработан снифер пакетов APE использующий пакет libpcap. Через месяц APE был переименован во всем известный Snort. Автором Snort-а является Мартин Рёш.
Позже была основана компания Sourcefire (в 2001 году) и проект Snort продолжил свое стремительное развитие уже в рамках компании Sourcefire и стал фактически стандартом среди IDS решений. Snort имеет открытый исходный код, чем и пользуется большинство современных производителей ИБ решений (особенно отечественные компании).
В 2003 г. компания Gartner констатировала неэффективность IDS и необходимость перехода на IPS системы (т.е. сменить детект на превент). После этого разработчики IDS стали оснащать свои решения режимом IPS. Snort естественно может работать как в IDS, так и в IPS режиме (т.е. на предотвращение).
IPS в корпоративных сетях
Первый бета релиз был в 2009 году. За разработку отвечает компания Open Information Security Foundation (OISF).
В 2013 году Sourcefire была поглощена компанией Cisco. При этом Snort продолжает оставаться проектом с открытым исходным кодом, а его коммерческая версия продается под брендом Cisco FirePower.
В грубом приближении все IPS-решения можно разделить на два класса:
NIPS работает на уровне сети, т.е. сканирует проходящий/транзитный трафик.
HIPS работает на уровне компьютера пользователя, т.е. с тем трафиком, который предназначен непосредственно этому компьютеру, ну либо генерирует сам хост.
Inline mode. - “в разрыв”. Т.е. реальный сетевой трафик проходит через IPS. IPS в данном случае работает как обычный бридж (т.е. на втором уровне модели OSI). Данный режим самый оптимальный с точки зрения защиты. В случае обнаружения атаки, IPS может сразу заблокировать сессию и компьютер атакующего. Есть конечно и негативные моменты в виде false positive срабатываний, ну т.е. ложных срабатываний, когда IPS блочит нормальный трафик. Но это отдельная тема, мы чуть позже ее обсудим.
Promiscuous mode — режим мониторинга. Как правило в таком режиме IPS “вешается” на SPAN-порт, который “зеркалирует” на устройство КОПИЮ! трафика. В этом варианте, IPS автоматически превращается в IDS, т.к. он работает уже не с реальном трафиком и у него нет возможности оперативно блокировать атаки. Т.е. это плохой вариант, когда требуется максимальная защищенность.
С точки зрения обработки трафика, пакеты сначала проверяются firewall-ом и если они разрешены соответствующими аксес листами, то только тогда включается IPS и начинает проверять проходящий трафик. Собственно этот алгоритм обработки трафика раскрывает концептуальное различие между Межсетевым экраном и Системой предотвращения вторжений.
“Межсетевой экран стремится предотвратить прохождение того или иного трафика. IPS же работает с уже прошедшим трафиком.”
Это логично не только с точки зрения безопасности, но и с точки зрения производительности. Зачем исследовать трафик, который может быть быстро отброшен фаерволом с минимальными ресурсными затратами. Это к вопросу, стоит ли ставить IPS перед firewall-ом. Однозначно нет! Только представьте сколько “левого” трафика будет на него сыпаться от разных ботов, которые сканируют в Интернете все подряд.
Типичные заблуждения на счет IPS
1. IPS защищает только от атак сетевого уровня
IPS может проверять и скачиваемые файлы! И если файл содержит exploit, то IPS заблокирует его скачивание быстрее чем Anti-Virus, т.к. IPS работает в потоке трафика, а Anti-Virus вынужден ждать пока в буфер скачается весь файл. Т.е. IPS проверяет такие файлы как pdf, doc, xls и многое другое.
2. IPS не надо часто обновлять
IPS с актуальными базами это очень важно. Если сигнатуры старые, то IPS просто в пустую молотит трафик и бесцельно расходует системные ресурсы.
3. IPS существенно снижает производительность устройства
Включение IPS увеличивает нагрузку и на процессор и на оперативную память.
4. IPS трудно настраивать
Многие IPS решения до сих пор сложны.
Сигнатуры
Для правильной идентификации вторжения IDP использует профиль признаков или образцов (шаблонов), связанных с различными типами атак. Определенные образцы вирусов и атак, известные как сигнатуры, хранятся в базе данных локальной системы NetDefendOS и используются IDP-модулем при анализе трафика. Каждая IDP-сигнатура имеет свой уникальный номер.
Приведем пример простой атаки с использованием FTP-сервера. Злоумышленник может восстановить файл пароля "passwd" от FTP-сервера, используя FTP-команду RETR passwd. Сигнатура, ищущая ASCII-текст RETR и passwd, найдет соответствие и укажет на возможное вторжение. В рассмотренном примере образец найден в открытом тексте, также соответствие с образцом определяется и при использовании двоичных данных.
Обнаружение неизвестных угроз
При создании вторжений за основу часто берется использовавшийся ранее код, что с большой скоростью порождает новые атаки. Для предотвращения атак такого типа D-Link использует метод, в котором модуль сканирует многократно используемые компоненты и сопоставляет их с образцом на соответствие.
Типы IDP сигнатур
IDP предлагает три типа сигнатур, различающиеся уровнем защиты от угроз:
· Сигнатуры предотвращения вторжений (IPS – Intrusion Protection Signatures) – сигнатуры с очень высокой точностью. Рекомендуется использование действия Protect. Эти сигнатуры могут обнаружить попытки перехвата управления и сканеры сети (типа Nmap).
· Сигнатуры обнаружения вторжения (IDS – Intrusion Detection Signatures) – способны обнаруживать события, которые могут оказаться вторжениями. Эти сигнатур менее точны, чем IPS, поэтому перед действием Protect рекомендуется использовать действие Audit .
· Политики сигнатур (Policy Signatures) – обнаруживают различные типы приложений трафика и могут использоваться для блокировки определенных приложений (например, совместный доступ к файлам или мгновенная передача сообщений).
Дальнейшее развитие IDS
IPS и IDPS
IPS, или система предотвращения вторжения, — следующий шаг в развитии систем сетевой защиты. IPS сообщает об угрозе, а также предпринимает самостоятельные действия. Сегодня практически не осталось чистых IPS, рынок предлагает большой выбор IDPS (Intrusion Detection and Prevention Systems). IDPS выявляют атаки и принимают запрограммированные действия: Pass, Alert, Drop, Reject.
Правила IDPS
IDPS-системы допускают некоторый процент ложных отрицательных (false negative) и ложных положительных (false positive) реакций. Чтобы минимизировать ложные срабатывания, IDPS позволяют задать пороговые значения для реакций — например, установить значение допустимого увеличения трафика в будние дни. Администратор, ответственный за IDS, задает его в консоли управления.
К примеру, если текущий сетевой трафик ниже заданного порога, то он будет пропускаться (pass). Если трафик превышает порог, то на консоль поступит уведомление или тревога (alert). Пакеты, соответствующие заданным условиям (содержат вредоносный скрипт), будут отброшены (drop). Также консоль позволяет задать уровень угрозы— указать, насколько опасна та или иная угроза. Пакет может быть не только отброшен, но и отклонен (reject) с уведомлением адресата и отправителя. Кроме того, IDPS умеют отправлять письма ответственному лицу в случае угрозы.
Вместе с каждым правилом прописывается и дальнейшее действие. Например, не только прекратить дальнейший анализ пакета или отбросить его, но также сделать об этом запись в лог.
UTM — Unified Threat Management
UTM — это универсальный пакет утилит, сочетающий в себе множество мелких модулей защиты, своеобразный полицейский участок внутри сети. UTM бывают программными или аппаратными и, как правило, включают в себя сразу IDS, IPS, файервол, а зачастую и антивирус, прокси-сервер, почтовые фильтры, VPN и т.д. Объединенный контроль угроз — это единая система, поэтому не нужно платить за каждый модуль в отдельности. Вы экономите не только деньги, но и время на установку и настройку ПО — ключевое преимущество UTM.
В этом же заключается недостаток: UTM — единственная точка защиты, хоть и хорошо защищенная. Злоумышленники столкнутся не с несколькими системами, а только с одной, победив которую они получат доступ к сети.
DPI и NGFW
Файервол нового поколения — это следующий виток развития систем сетевой защиты. Если UTM набирали популярность с 2009, то файервол нового поколения — наши дни. Несмотря на то, что появление NGFW датируется тем же 2009 годом, распространялись они медленно. Главные отличия NGFW в том, что они открывают возможность DPI (Deep Packet Inspection) и позволяют выбирать только те функции защиты, которые нужны сейчас.
DPI — это глубокий анализ пакетов. Файервол нового поколения, который читает содержимое пакетов, перехватывает только те, что имеют запрещенное содержимое.
PIDS не имеет смысла ставить перед файерволом, внутри сети, а NGFW включает сразу все элементы, поэтому ее можно ставить куда угодно.
Система обнаружения вторжений может быть установлена перед файерволом c внутренней стороны сети. В таком случае IDS будет анализировать не весь трафик, а только тот, что не был заблокирован файерволом. Это логично: зачем анализировать данные, которые блокируются. К тому же это снижает нагрузку на систему.
DS ставят также и на внешней границе сети, после файервола. В таком случае она фильтрует лишний шум глобальной сети, а также защищает от возможности картирования сети извне. При таком расположении система контролирует уровни сети с 4 по 7 и относится к сигнатурному типу. Такое развертывание сокращает число ложноположительных срабатываний.
Другая частая практика — установка нескольких копий системы обнаружения вторжений в критичных местах для защиты сети по приоритету важности. Также допускается установка IDS внутри сети для обнаружения подозрительной активности.
Место установки необходимо выбирать в соответствии с вашими требованиями к IDS, располагаемыми средствами и размерами сети.
6. Безопасность локальной сети
Начиная с 1988 г., с началом широкого применения международных сетей передачи данных общего пользования (Интернет), темпы роста сетевой преступности увеличиваются год от года в геометрической прогрессии. По оценкам экспертов Международного центра безопасности Интернет — CERT Coordination Center, — число инцидентов, связанных с нарушениями сетевой безопасности, выросло с 1988 г. в 10 тыс. раз
Удаленные атаки на информационные ресурсы через сети передачи данных несут в себе угрозу национальной безопасности. Эта угроза настолько серьезна, что вынуждает правительство РФ идти на дополнительные административные меры по защите информации, вплоть до отключения государственных учреждений от международных сетей передачи данных общего пользования: “...Субъектам международного информационного обмена в Российской Федерации запрещено осуществлять включение информационных систем, сетей связи и автономных персональных компьютеров, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну, и служебная информация ограниченного распространения, а также для которых установлены особые правила доступа к информационным ресурсам, в состав средств международного информационного обмена, в том числе в международную ассоциацию сетей “Интернет”” (Указ Президента РФ от 12.05.2004 № 611 “О мерах по обеспечению информационной безопасности Российской Федерации в сфере международного информационного обмена”).
Одними из основных причин, провоцирующих рост сетевой преступности, являются несовершенство существующих средств и методов сетевой защиты и неэффективность противодействия этих средств ряду информационных угроз. По отчетам того же Международного центра безопасности Интернет CERT, число уязвимостей, обнаруживаемых ежегодно в программном обеспечении систем сетевой защиты, с 1995 г. возросло более чем в 20 раз, причем наблюдается устойчивая тенденция их роста
Согласно данным специализированного сайта по безопасности Zone-H, 31,4% успешных информационных атак через сеть общего пользования происходит через незакрытые известные уязвимости, 24,2% — из-за ошибок в настройках, 21,1% — через ранее неизвестные уязвимости, 16,3% атак осуществляются с применением “грубой силы” и, наконец, 4,7% приходится на остальные атаки.
Как видно из приведенных данных, 52,5% преступлений в сетях совершаются в результате ошибок в проектировании и специфицировании ПО и 24,2% — из-за ошибок администрирования (например, согласно исследованиям, проведенным ассоциацией ICSA, до 70% всех межсетевых экранов имеют различные ошибки в конфигурации). Для “закрытия” такого рода уязвимостей системы сетевой защиты, построенные по принципу разграничения и контроля доступа, малоэффективны. Если некий информационный сервис открыт и доступен через сеть (по ошибке администратора или согласно установленной политике безопасности), то, при наличии уязвимостей в реализующем этот сервис ПО, сетевая атака с их использованием может быть успешно проведена.
Таким образом, можно сделать следующий вывод: большинство нарушений в области информационной безопасности в сетях нельзя полностью контролировать только традиционными средствами защиты на основе разграничения и контроля доступа (межсетевые экраны и т. п.), независимо от того, происходят нарушения из-за наличия ошибок в сетевом ПО или в настройках системы защиты. Поэтому необходимо принимать превентивные меры по обеспечению сетевой защиты и разрабатывать политику сетевой безопасности на базе технологий, позволяющих реализовать упреждающие стратегии защиты, таких, например, как MPLS VPN (виртуальные частные сети на основе протоколов MPLS).
Можно выделить четыре основные группы таких угроз:
· первая группа — это вирусные атаки, с которыми, согласно статистике, так или иначе связаны до 70% всех сетевых инцидентов;
· вторая — это рассылка спама, которая больше относится к такой области информационной безопасности, как защита от информации;
· третья — это атаки типа “отказ в обслуживании” и наиболее опасная их разновидность — распределенная атака “отказ в обслуживании”;
· четвертая — это атаки с использованием уязвимостей ПО открытых информационных сервисов, ошибок программирования и настройки.
Традиционные средства и методы борьбы с этими угрозами основаны на принципе установки разнообразных “информационных барьеров” — межсетевых экранов и сетевых фильтров, систем обнаружения вторжения, активного аудита, сканеров безопасности (сюда же можно отнести различные обманные системы, mail sweeper, mime sweeper). Средства и методы построения виртуальных частных сетей (VPN) отличаются от тТрадиционного подхода к защите сетей на основе “информационных барьеров”. Они позволяют строить выделенные, или частные, сети на базе разделяемой сетевой инфраструктуры и таким образом реализовать упреждающую, превентивную стратегию защиты сети.
Условно сети VPN можно разделить на три основные группы по способу реализации:
• традиционные сети VPN на основе криптографических сервисов шифрования и аутентификации данных, реализованных в таких протоколах, как IPSec;
• традиционные сети VPN на основе разделения каналов второго уровня (Frame Relay, ATM, Ethernet VLAN);
• сети VPN на основе разделения таблиц коммутации и маршрутизации (MPLS VPN).
Традиционные сети VPN
Средства реализации VPN первой группы часто имеют серьезные недостатки. Потенциально слабая криптография и ошибки в ее реализации, а также частные (т. е. нестандартные, а значит, поддерживаемые не всеми производителями и разработчиками) схемы распределения ключей приводят к нарушению целостности, доступности или конфиденциальности передаваемых данных. Также к минусам подобных средств следует отнести сложность в управлении сетью и схемой распределения ключей при больших масштабах и географической распределенности VPN; потенциальные проблемы при работе VPN через межсетевые экраны (например, в случае использования алгоритмов трансляции сетевых адресов (NAT) с протоколом IPSec); частую несовместимость различных реализаций VPN.
Традиционные технологии построения сетей VPN на основе разделения каналов второго уровня (L2 VPN) тоже обладают рядом существенных недостатков. Для того чтобы обеспечить полноценный, качественный сервис с помощью традиционных технологий построения L2 VPN (например, таких, как ATM и Frame Relay), сервис-провайдер должен обладать собственной L2-сетью. Это влечет за собой существенные расходы прежде всего на построение и затем на поддержание такой сети. Такие капиталовложения по силам, как правило, только очень крупным операторам (провайдерам первого уровня, Tier 1, таким, как AT&T, WorldCom и др.). Если же сервис-провайдер не имеет собственной выделенной L2-сети, то обеспечить полноценный сервис L2 VPN он может, только арендуя каналы доступа у других компаний, что тоже требует существенных затрат.
MPLS VPN
Сервисы L2 VPN, организованные на основе технологии MPLS, лишены вышеперечисленных недостатков. Сервис-провайдер не обязан содержать выделенную L2-сеть для того, чтобы поддерживать такой сервис. Технологии MPLS L2 VPN позволяют “прокладывать” каналы второго уровня через разделяемую опорную сеть, по которой, помимо MPLS VPN, работают традиционные IP-сервисы. С точки зрения клиента, его точки подключения к MPLS L2 VPN выглядят как подключения к одному большому L2-коммутатору. Фактически, по своей функциональности, сервис MPLS L2 VPN является полноценной альтернативой традиционным выделенным каналам связи (Frame Relay, ATM). При этом уровень защищенности данных, который обеспечивает этот сервис, не ниже уровня защищенности выделенных каналов связи.
Основное отличие L2 VPN от сетей VPN, функционирующих на третьем уровне (L3 VPN), — их прозрачность на сетевом уровне. Значит, у пользователя появляется определенная гибкость в управлении своим VPN на этом уровне: он может сам управлять политикой маршрутизации и в случае необходимости устанавливать дополнительные сервисы сетевой защиты, шифрование, аутентификацию, например IPSec-туннель.
Существует два основных драфта стандартов MPLS L2 VPN — Martini и Kompella. Принципиально они отличаются в алгоритмах инкапсуляции и сигнализации. С точки зрения сетевой безопасности оба этих драфта в общем случае эквивалентны. Ни тот, ни другой не предлагают дополнительных сервисов безопасности на уровне инкапсуляции MPLS-фреймов. Если говорить о сигнализации, то эти драфты описывают разные сигнальные протоколы — LDP (Мартини) и iBGP (Компелла). Но здесь скорее нужно говорить о безопасности протоколов маршрутизации, а не сервисов MPLS L2 VPN.
Сети MPLS L3 VPN строятся на основе разделения таблиц маршрутизации. Сетевые префиксы, принадлежащие определенной сети VPN, выносятся в отдельную таблицу маршрутизации, и продвижение трафика в рамках данной VPN происходит по маркированному пути LSP (Label Switched Path), построенному специально для префиксов в этой таблице. Продвижение трафика в рамках одной сети MPLS L3 VPN осуществляется следующим образом: на точке входа в MPLS-домен к пакету добавляются две метки — внутренняя и внешняя; внешняя метка используется для продвижения трафика по MPLS-домену от точки входа к точке выхода, а внутренняя — для направления трафика в точке выхода на устройство пользователя CE — Customer Edge (см. рисунок). Внутренняя метка необходима, поскольку через устройства PE1 и PE2 (Provider Edge) могут проходить несколько VPN-сетей.
Технологии MPLS L3 VPN допускают весьма гибкие схемы организации виртуальных соединений пользователей, когда один пользователь может участвовать в нескольких виртуальных сетях сразу. В этом случае продвижение трафика также управляется на основе внешних и внутренних меток.
Существует несколько видов атак на сети Layer2. Перечислим их:
1. Переполнение CAM (Content Address Memory) таблицы
Злоумышленник флудит таблицу MAC адресов коммутатора ,к которому он подключен, с целью переполнения соответсвующей таблицы. После переполнения CAM таблицы, коммутатор начинает работать в режиме простого хаба. Т.е. при получении кадра на порт коммутатора, коммутатор рассылает кадр на все порты, кроме того, от которого пришел данный кадр.
2. Hopping. Смысл атаки заключается в том, что злоумышленник может получить доступ к другому устройству в сети не из своего VLAN
Атака на STP. Смысл атаки заключается в том, что злоумышленник, с помощью программных средств может отправить коммутатору пакет BPDU, в котором указать высокий приоритет и меньший MAC адрес и тем самым стать «корневым коммутатором» с целью перехвата сетевого трафика.
3. MAC спуфинг. Злоумышленник может подменить MAC адрес, с целью захватить трафик необходимого ему устройства.
Атака на PVLAN. Private Vlan, это виланы, которые составляют одну подсеть (как правило) и между хостами этого вилана связи быть не должно. Но злоумышленник может получить доступ к соседнему устройству PVLAN посредством устройства L3 (роутера).
4. Атака на DHCP. Злоумышленник может заполнить весь пул DHCP с помощью генерации большого количества запросов с несуществующими MAC адресами. Что приведет к DOS атаке, т.е. отказу в обслуживании, т.к.. так как после заполнения пула сервер не сможет выделять адреса реальным хостам. После чего атакующий может поднять собственный, DHCP сервер и хосты сети будут получать от недоверительного сервера все настройки, которые укажет злоумышленник. Например, он может направить весь трафик через свой хост и таким образом перехватить и просканировать его на предмет служебной информации.
5. Атака на STP Смысл атаки заключается в том, что злоумышленник, с помощью программных средств может отправить коммутатору пакет BPDU, в котором указать высокий приоритет и меньший MAC адрес и тем самым стать «корневым коммутатором» с целью перехвата сетевого трафика.
Переполнение CAM таблицы.
Коммутатор имеет CAM таблицу, где содержится "привязка", какие MAC адреса на каком порту принимаются.
Разумеется CAM таблица не бесконечна и имеет свои размеры. Например коммутатор Catalyst 2960 может содержать 8192 MAC адресов, Catalyst 6000 серии 128000 MAC адресов.
Стоит подумать, а что же произойдет, когда вся таблица будет занята? Новые записи не смогут добавляться, весь трафик будет проходить на все порты.
Что это даст атакующему вполне очевидно. Он может "прослушать" весь сетевой трафик и получить конфеденциальную информацию.
Всё это действенно для VLAN'а, в котором находится злоумышленник. т.е. после переполнения данной таблицы атакующий не сможет прослушивать весь сетевой трафик, который "ходит" через коммутатор, а лишь своего VLAN, но и это не очень радостно.
Какие же существуют способы борьбы с данным видом атаки?
Логика подсказывает, что для подавления такой атаки, нам необходимо указать, что на порте коммутатора, к которому подключен пользователь может быть скажем не больше одного MAC адреса, а в случае если появляется более одного, перевести порт в отключенное состояние и отправить сообщение администратору о нарушении безопасности (например на syslog сервер)
Vlan Hopping
Рассмотрим более подробно данный вид атаки, способ реализации и как ее предотвратить.
Цель данной атаки в том, что пользователь может попытаться передать данные в другой vlan.
Давайте рассмотрим, как это сделать. Как подсказывает логика, это возможно когда атакующий может инициировать trunk режим.
В коммутаторах Cisco Catalyst, по умолчанию порт работает не в режиму mode access и не в режиме mode trunk, таким образом на порту работает протокол DTP (Dynamic Trunk Protocol).
В такой ситуации стоит атакующему "претвориться" коммутатором, как между ними будет установленно транковое соединения, и соответсвенно будут доступны vlan'ы сконфигурированные на коммутаторе и после чего передать данные в другой Vlan не составит труда.
Бороться с этим не легко, а очень легко.
Для начала нужно все используемые интерфейсы коммутатора перевести принудительно в режимы access и trunk, где это положено.
Неиспользуемые порты необходимо перевести в shutdown, и перенести их в несуществующий VLAN, который будет известен только данному коммутатору, т.е. не передавался по trunk портам другим коммутаторам.
Атака на STP.
Как известно, STP (Spanning Tree Protocol) это протокол, предназначенный для предотвращения зацикливания пакетов в сети, при наличии дублирующих маршрутов. В кратце как это работает.
Сначала происходит обнаружения коммутаторов которые связаны между собой, Здесь точка. Затем... Выбирается так называемый Root Bridge, т.е. главный «корневой коммутатор» . Далее по специальному алгоритму будут заблокированы порты коммутатора, которые создают петли в получившейся топологии.
Что может сделать атакующий?
Атакующий может так же "претвориться" коммутатором, направить в сторону коммутатора BPDU пакет, в котором может подделать приоритет, mac адрес, для того чтобы стать «корневым коммутатором», и с его помощью перехватить сетевой трафик.
Корневой коммутатор становится тот, у которого самый высокий приоритет. Если приоритет у нескольких коммутаторов одинаковый, то для выбора корневого коммутатора используется MAC адрес, у кого он меньше тот и становится корневым.
Избавиться от этой уязвимости: запретить хождение BPDU пакетов с портов, в которых точно не должно быть никаких коммутаторов. И в случае если такой пакет всё же пришёл, переводить этот порт в shutdown.
Обезопасить наш корневой коммутатор, чтоб не при каких условиях не могу быть выбран другой корневой коммутатор, в том числе и наш атакующий (атакующему не составит труда поставить приортитет лучше чем у настояшего главного коммутатора, и MAC адрес поменьше, что будет гарантировано, что атакующий будет root.)
Для реализации данной идеи на коммутаторе необходимо:
1. на всех портах доступа поставим специальный режим STP, который называется
2. Клиент, подключенный к такому порту, не будет принимать участие в разрешении маршрутов по алгоритму STP и данные будут передаваться ему сразу.
По умолчанию portfast на Cisco Catalyst отключен и это нужно будет сконфигурировать вручную.
MAC Spoofing.
MAC Spoofing, это атака, реализуемая путем подделывания MAC адреса, например атакующий может подделать MAC адрес, который использовал другой хост сети. Что это может дать атакующему зависит от политики безопасности сети. Для того чтобы предотвратить данный тип атаки необходимо выполнить следующие меры:
1. Необходимо, указать максимальное количество mac адресов на порту, указать действие, которое будет выполнено в случае нарушения нашей политики (shutdown, restrict, protect).
2. Указать MAC адреса статически, динамически, либо в режиме обучении.
Для указания mac адреса статическим, в режими конфигурирования интерфейса необходимо выполнить:
1. Switch(config-if)# switchport port-security mac-address 3234.2343.fa12
Где, 3234.2343.fa12 mac адрес клиента.
2. Для указания динамического mac адреса, ничего дополнительного не делается, необходимо только включить фурнкцию port-security, как было описано выше.
Чтобы указать режим обучения mac-адресов необходимо выполнить в режиме конфигурирования интерфейса:
switch(config-if-range)#switchport port-security mac-address sticky
Указать время жизни записей arp-таблице
Атака на PVLAN (Private VLAN).
В технологии PVLAN в отличии от VLAN порты могут находиться в трёх режимах:
1. Promiscuous
2. Community
3. Isolated
Порты которые отмечены как Isolated, не могут передавать данные в своем VLAN между клиентами. Данные передаваться могут только между Isolated и Promiscuous портами.
Promiscuous порты это порты в PVLAN, в которые можно передавать данные со всех Isalated и Community портов. как и в обычном VLAN.
Community это группы портов, между членами которых можно передавать данные, можно назвать vlan в vlan'е.
Если атакующему доступно устройство Layer 3 (например маршрутизатор, либо коммутатор третьего уровня), он может установить связь между клиентами, которые находятся в одном PVLAN, между Isolated портами.
Как это можно реализовать?
Пользователь может подделать пакет, в котором IP назначения он укажет необходимое ему устройство (которое находится на другом порту Isolated), источник останется без изменения, т.к. ip атакающего, как и MAC адрес, а вот в качестве MAC адрес назначения он укажет MAC устройства L3. L3 устройство получится данный пакет и может переправить его по указанному адресу. Принимающая сторона может сделать тоже самое, тем самым обеспечив передачу данных между Isolated портами.
Предотвращение такой атаки сводится к тому, что на устройстве L3 создается специальный Access List в котором запрещается прямая передача данных между сегментом сети.
Атака на DHCP
Существуеет несколько способов атаковать DHCP сервер.
1.Злоумышленник может сформировать и послать DHCP серверу огромное количество DHCP запросов, с разными MAC адресами. Сервер будет выделять IP адреса из пула и рано или поздно весь DHCP pool закончится, после чего сервер не сможет обслуживать новых клиентов. Данный вид атаки можно классифицировать как DOS (Denial of service - Откзал в обслуживании). Нарушается работоспособность сети.
Метод борьбы с такими атаками называется DHCP Snooping.
Когда коммутатор получает пакет сравнивает MAC-адрес указанный в DHCP-запросе и MAC-адрес, который был прописан на порту коммутатора. Если адреса совпадают, то коммутатор отправляет пакет дальше. Если адреса не совпадают, то коммутатор отбрасывает пакет.
2. Злоумышленник может поставить свой DHCP сервер и выдавать свои настройки пользователям сети. (может указать любой DNS,Gateway и т.д.) и воспользоваться уже по своему усмотрению, начиная от прослушивания трафика, до подделки DNS ответов, и т.д.
Если в сети существует несколько DHCP серверов, то на запрос будут отвечать все серверы, но клиентом будет обработан только первый ответ. Какой из DHCP серверов ответит быстрее и чей ответ быстрее дойдет до клиента зависит от многих факторов, таких как: загрузка DHCP сервера, загрузка сети и т.д.
Для того чтоб злоумышленник был уверен, что именно от его DHCP сервера клиент получит ответ, атакующим может быть предварительно произведена DOS атака на легальные DHCP сервера способом.
В технологии DHCP Snooping существует понятие доверительных и не доверительных портов. (trusted и untrusted соответсвенно)
Доверительные порты, это порты с которых может приходить ответ DHCP (DHCPOFFER и так далее), а не доверительные порты, это порты с которых не могут приходить ответы DHCPOFFER. Доверительные порты указываются вручну. Все порты, которые не указаны доверительными, автоматически становятся недоверительными.
Порт, который непосредственно подключен к DHCP серверу должен быть объявлен как доверительный (trust порт).
DHCP Snooping настраивается для каждого VLAN.
Для настройки DHCP snooping необходимо сделать сначала включить snooping в режиме глобальной конфигурации, затем включить на нужном vlan, затем указать trust порты.
Обеспечение безопасности беспроводных сетей
Система защиты беспроводных сетей WLAN, основанная на протоколе WEP (Wired Equivalent Privacy), первоначального стандарта 802.11 страдает существенными недостатками. К счастью, появились более эффективные технологии обеспечения информационной безопасности WLAN, которые описаны в стандарте WPA (WiFi Protected Access) организации Wi-Fi Alliance и стандарте 802.11i института IEEE и призваны устранить недостатки стандарта 802.11. Поскольку процесс разработки стандарта 802.11i слишком затянулся, организация Wi-Fi Alliance была вынуждена предложить в 2002 году собственную технологию обеспечения информационной безопасности WLAN – стандарт WPA.
В стандарте WPA предусмотрено использование защитных протоколов 802.1x, EAP, TKIP и RADIUS.
Механизм аутентификации пользователей основан на протоколе контроля доступа 802.1x (разработан для проводных сетей) и протоколе расширенной аутентификации EAP (Extensible Authentication Protocol). Последний позволяет сетевому администратору задействовать алгоритмы аутентификации пользователей посредством сервера RADIUS.
Функции обеспечения конфиденциальности и целостности данных базируются на протоколе TKIP, который, в отличие от протокола WEP, использует более эффективный механизм управления ключами, но тот же самый алгоритм RC4 для шифрования данных.
В протоколе TKIP предусмотрены генерация нового ключа для каждого передаваемого пакета и улучшенный контроль целостности сообщений с помощью криптографической контрольной суммы MIC (Message Integrity Code), препятствующей хакеру изменять содержимое передаваемых пакетов.
Система сетевой безопасности стандарта WPA работает в двух режимах:
1. PSK (Pre-Shared Key)
2. Enterprise (корпоративный).
Если сервер RADIUS, применяемый для контроля доступа пользователей проводной сети, поддерживает нужные методы аутентификации EAP, то его можно задействовать и для аутентификации пользователей WLAN. В противном случае следует установить сервер WLAN RADIUS. Этот сервер работает следующим образом: сначала он проверяет аутентифицирующую информацию пользователя (на соответствие содержимому своей базы данных об их идентификаторах и паролях) или его цифровой сертификат, а затем активирует динамическую генерацию ключей шифрования точкой доступа и клиентской системой для каждого сеанса связи.
Самым простым, с точки зрения развертывания, вариантом системы сетевой безопасности стандарта WPA является система, работающая в режиме PSK. Она предназначена для небольших и домашних офисов и не нуждается в сервере RADIUS, а для шифрования пакетов и расчета криптографической контрольной суммы MIC в ней используется пароль PSK. Обеспечиваемый ею уровень информационной безопасности сети вполне достаточен для большинства вышеуказанных офисов. С целью повышения эффективности защиты данных следует применять пароли, содержащие не менее 20 символов.
Предприятиям целесообразно внедрять у себя системы сетевой безопасности стандарта WPA с серверами RADIUS. Большинство компаний предпочитают именно такие системы, поскольку работающие в режиме PSK решения сложнее администрировать, и они более уязвимы для хакерских атак.
До тех пор, пока средства стандарта 802.11i не станут доступными на рынке, WPA будет оставаться самым подходящим стандартом для защиты WLAN.
Физическая защита. При развертывании Wi-Fi-сети необходимо физически ограничить доступ к беспроводным точкам.
Традиционные меры. Эффективная работа компьютера в сети немыслима без классических мер защиты. Имеется в виду своевременная установка обновлений, использование защитных механизмов, встроенных в операционную систему и приложения, а также антивирусов. Однако этих мер на сегодня недостаточно, так как они ориентированы на защиту от уже известных угроз.
Мониторинг сети. Слабое звено в корпоративной сети – самовольно установленные точки доступа. Актуальной является задача локализации несанкционированных точек доступа. Специальные средства локализации точек доступа позволяют графически отображать место расположения «чужого» терминала на карте этажа или здания. Если классические методы не спасают от вторжения, на помощь приходят системы обнаружения атак.
VPN-агенты. Многие точки доступа работают в открытом режиме, поэтому необходимо использовать методы сокрытия передаваемых данных. На защищаемом компьютере должен быть установлен VPN-клиент, который возьмет на себя решение этой задачи. Практически все современные ОС содержат в своем составе такие программные компоненты.
В отличие от традиционной телефонии, для работы которой требуется отдельная специальным образом построенная сеть, VoIP работает на базе IP сети, которая создавалась для передачи данных не требовательных к задержкам в сети, и не предполагалось, что IP сеть будет использоваться для передачи голосовых данных. Но желание использовать имеющуюся IP сеть для передачи всех видов данных, а так же очевидное удешевление телефонной связи через IP сеть, привело к появлению технологии передачи голосовых данных через IP сети названную VoIP или Voice over IP.
Следует разделять передачу голосового трафика через открытую сеть Интернет и передачу голосового трафика через приватную IP сеть (например, корпоративную сеть LAN или изолированную сеть оператора связи) так как две эти модели существенно различаются с точки зрения уровня безопасности.
Для VoIP худшим вариантом является подключение к сети Интернет. В такой модели подключения VoIP устройство (например IP АТС, шлюзы, ATA и пр. ) для передачи голосовых данных задействует общедоступную сеть IP и может быть атаковано злоумышленником из сети Интернет. Данные по сети IP в незащищенном виде и могут стать привлекательной целью для хакеров.
Если используется подключение через приватную IP сеть(например выделенный VLAN) то такая сеть полностью защищена от атак из сети Интернет, что существенно повышает её безопасность, кроме того, владелец этого канала может обеспечить надлежащие качество для трафика IP телефонии проходящего через этот канал.
Прямые вызовы через взломанную IP АТС клиента
Злоумышленник используя автоматизированное программное обеспечение(например SIP сканер), сканирует сеть в поисках VoIP оборудования клиента, например IP АТС .
После того, как злоумышленник обнаружил VoIP устройство, начинается подбор логина и пароля по словарю, используются различные комбинации: admin-admin, voip-voip, asterisk-asterisk и т.д. После успешного подбора пароля, злоумышленник пробует осуществить вызовы с различными префиксами или без них. Если IP АТС пропускает через себя звонки, то на неё направляется VoIP трафик на дорогие, обычно международные направления, такие как Коста-Рика, Кот-д’Ивуар (Берег слоновой кости), Сомали, Лихтенштейн мобильные, Куба. При этом злоумышленник пытается максимально загрузить все имеющиеся каналы станции, так что за короткое время может быть потрачено огромное число исходящих минут. Суммы счетов обычно исчисляются десятками или сотнями тысяч рублей, даже с учетом оплаты такого трафика по операторским тарифам для взломанного клиента. Бывает, что владельцы станции узнают о взломе только через несколько дней или недели, когда сумма счет уже становится огромной.
Помимо взлома с использованием подбора пароля, злоумышленник может использовать уязвимость в программном обеспечении IP АТС(например известен случай взлома Trixbox из за уязвимости в дистрибутиве), использовать инсайдерскую информацию или получить физический доступ к оборудованию.
Несанкционированные вызовы через DISA(Direct Inward System Access)
DISA – это функция прямого доступа к конкретному абоненту внутренней телефонной сети. Переведя свой телефон в тональный режим , звонящий по городской линии(VoIP-транку), находясь в голосовом меню IVR, может набрать внутренний номер сервиса DISA, затем ввести PIN код для авторизации на станции и как внутренний абонент и совершать исходящие вызовы за счет компании.
Злоумышленник может вычислить, что на станции работает DISA и подобрать PIN для авторизации, а затем направить телефонный трафик на дорогие направления, как и в предыдущем случае. Такой метод взлома используется довольно часто.
Хищение информации об учетных записях с целью последующего использования в личных целях.
Этот вид мошенничества довольно часто используется для учетных записей SIP(или SIP эккаунтов), которые использовать из любой точки Интернет. Все что необходимо злоумышленнику- получить информацию об имени пользователя (userID), имени для аутентификации (authID) и пароле для учетной записи, затем зарегистрировать её на любом SIP устройстве и использовать в своих целях, например звонить на дорогие направления или совершать вызовы от имени владельца номера.
Инъекция аудиоданных
Вид атаки, когда злоумышленник добавляет в вызов свои аудиоданные что бы скомпрометировать стороны. Это возможно, например, после получения доступа и перенастройке IP АТС.
Кража или незаконное прослушивание аудиозаписей разговоров пользователей
Если на IP АТС хранятся записи разговоров, они могут быть похищены, а информация, которая в них содержится, может быть незаконно использована.
Незаконный сбор информации о вызовах
Если злоумышленник получил доступ к IP АТС, он может собирать информацию о вызовах и использовать её в своих целях.
Атака типа «отказ в обслуживании» (DoS) оборудования клиента.
Распространённый и очень опасный вид атак, и который может вывести из строя VoIP оборудование компании на длительное время и тем самым полностью парализовать телефонию. Если IP АТС подключена к оператору связи через Интернет(например через VoIP-транк) и никак не защищена, то она уязвима к атакам такого типа. DoS атаки могут осуществляться на различных уровнях сетевой модели OSI: например на втором уровне(в LAN сегменте) на 3 уровне (протокол IP ), на четвертом уровне (TCP или UDP) или седьмом уровне (SIP или H.323). В сети Интернет это обычно 3, 4 или 7 уровни модели. Например, с различных IP адресов на адрес IP VoIP оборудования(например) начинает приходить огромное число бессмысленных сообщений, которые тем не менее должны обрабатываться VoIP оборудованием и формироваться ответные сообщения об ошибках. Если сообщений становится слишком много, оборудование не справляется, производительность всей системы резко снижается, оборудование перестает отвечать на любые сообщения или отвечает очень медленно.
Голосовой спам SPIT (spam over IP telephony)
Например, IP АТС настроена таким образом, что вызовы с любого IP адреса с любым Caller ID отправляются на IVR в дневное время и на Voicemail в ночное время. Этим могут воспользоваться злоумышленники, что бы рассылать голосовой спам. Днем спам-вызовы могут приходить на случайного сотрудника или на секретаря, а ночью на голосовую почту.
Перехват информации и перехват сеанса
Вид атаки, когда трафик между VoIP оборудованием клиента и VoIP оборудованием оператора перехватывается злоумышленником, это позволяет ему собирать информацию о вызовах или модифицировать их.
Источники угроз могут быть внешними и внутренними:
Внешние источники это злоумышленники пытающиеся получить доступ оборудованию физически или чаще из внешней сети, например из Интернета.
Внутренние угрозы связанны с информацией, которую могут получить сотрудники, а затем использовать её для незаконного доступа к учетным записям пользователей, информации о вызовах, оборудованию компании и прочее.
Если возможно, использовать для подключения VoIP-транка к оборудованию оператора VoIP выделенный голосовой VLAN предоставляемый оператором, вместо подключения через сеть Интернет.
Правильно построенная сеть для VoIP существенно повышает безопасность. Проектировать и внедрять решения VoIP телефонии должны профессионалы, которые знают, как построить надежную и безопасную сеть.
Используйте VLAN для разделения голосового трафика и трафика передачи данных.
Использование двух сетевых интерфейсов.
Следует обеспечивать безопасность оборудования VoIP на физическом уровне.
Доступ к оборудованию должны иметь только ответственные за него лица.
Необходимо выключать любые неиспользуемые сервисы на оборудовании VoIP.
Например, на IP АТС: snmp, ftp, http или web-сервер. Особенно уязвимы программные IP АТС работающие под управлением различных Linux или Windows дистрибутивов, операционная система может запускать различные сервисы о наличии которых администратор даже не догадывается, но они легко могут быть использованы для взлома злоумышленниками.
Ограничение доступа к открытым портам.
Оставив только необходимые службы рекомендуется так же ограничить доступ к ним используя сетевой экран(в Linux ip tables, в Cisco IOS ip acl). Например, разрешить доступ к ftp или tftp серверу только для IP адресов, которым этот доступ может понадобиться и запретить для всех остальных. Доступ к web-интерфейсу IP АТС только с IP адреса компьютера администратора.
Ограничение доступа к удаленному управлению.
1) Командная строка
Не рекомендуется использовать протоколы для удаленного доступа без шифрования(например telnet) рекомендуется использовать SSH (Secure SHell)
Повышение безопасности доступа по SSH
Изменение порта по умолчанию. Порт 22 используется службой SSH по умолчанию, если есть возможность следует изменить номер порта на нестандартный, например 23465. Многие атаки на устройства в сети начинаются со сканирования стандартных портов с целью определить прослушивают ли их сетевые сервисы, если такие порты существуют- пробовать их взломать.
Явное перечисление пользователей, имеющих доступ к системе, в директиве AllowUsers. В том случае, если все же необходимо предоставить доступ к системе ряду доверенных лиц, перечислите их.
Используйте только SSH протокол версии 2
Запретите прямой доступ к учетной записи пользователя root. Это существенно затруднит и скорее сделает невозможной атаку на перебор пароля, так как пользователю рут будет запрещён доступ в систему, даже если будет введен его корректный пароль.
Используйте временное ограничение по вводу пароля или сертификаты. Установка минимально возможного времени для ввода пароля, например, 1 секунды, может хорошо сбить с толку злоумышленника
Использование нестандартных портов для сигнальных протоколов.
Назначить в качестве слушающего порта для SIP 5089 вместо стандартного 5060, обычно первым этапом при сканировании диапазона IP адресов в Интернете с целью выявить устройства VoIP для последующего взлома является поиск открытых сигнальных портов SIP, H.323 и т.д.
Используйте сложные пароли из случайных чисел.
Использование простых паролей, например ; «0000», «12345» или его отсутствие, является наиболее частой причиной взлома учетных записей пользователей. Простые пароли легко угадать. Используйте программы для генерирования паролей, например Pwgen. Рекомендуется использовать пароли, содержащие не менее 12 символов включающие цифры, буквы в нижнем и верхнем регистре.
Разрешать зоновые, междугородние и международные вызовы только тем пользователям, которым необходимо звонить по этим направлениям.
В случае взлома или хищения информации об учетных записях пользователей вероятность совершения дорогих вызовов снижается. Имеет смысл заблокировать направления, по которым ваши сотрудники наверняка звонить не будут.
Использование уведомлений о лимитах.
Если Ваша IP АТС или оператор позволяет включить сервис, уведомляющий о превышении установленного лимита для пользователя или канала междугородних или международных вызовов за определенное время, это может стать сигналом к проверки источника этих вызовов.
Логирование всех событий в системе.
Используйте журналы всех событий в системе, желательно, что бы логи(журналы) о событиях в системе записывались удаленно. Это связано с тем, что злоумышленник, получив доступ к устройству, в частности к IP АТС, пытается скрыть свое присутствие и свои действия путем удаления всех событий из файлов журналов. Если логи будут отправлять на удаленный сервер, это затруднит или сделает невозможным скрыть свое присутствие.
Ведение журналов CDR(Call Detail Record).
В журналах детализированной информации о вызовах может содержаться информация, которая укажет, что оборудование незаконно используется.
Периодический просмотр и анализ журналов и статистики о вызовах.
Регулярное обновление прошивок или пакетов операционной системы. Рекомендуется следить за найденными уязвимостями и ошибками для оборудования, которое Вы используете и своевременно обновлять программное обеспечение.
Хранить информацию о настройках учетных записей SIP и VoIP-транках в надежном месте. Помните, что чем больше людей имеют доступ к этой информации, тем выше вероятность, что информация об учетной записи будет похищена и незаконно использована.
Использовать антивирусы на компьютерах, где установлены программные телефоны.
7. Криптографические системы
Электронные подписи (ЭП или ранее – ЭЦП) позволяют существенно упростить обмен документами. С помощью них можно получать различные госуслуги или обмениваться документами с партнерами без использования бумажных оригиналов. Но для корректной работы ЭП требуется установить программу – криптопровайдер. Однако далеко не каждый пользователь имеет представление о данном программном обеспечении.
Слово «криптопровайдер» значит специализированный модуль для операционной системы, который служит для выполнения различных криптографических операций. Управление криптопровайдером происходит через специальный интерфейс.
Замечание. Криптопровайдер часто обозначается сокращенно буквами CSP от английского Cryptography Service Provider.
Простыми словами криптопровайдер – это программное обеспечение, то есть посредник, который позволяет операционной системе выполнять шифровальные функции. Еще проще можно сказать, что это специальная программа для работы с ЭП, обеспечивающая соблюдение стандартов (ГОСТ).
Для работы CPS в Windows компания Microsoft разработала специальный интерфейс – CryptoAPI 2.0.
Для работы на некоторых сайтах не требуется CSP, т. к. его функции выполняются на стороне сервера. Простая ЭП может также работать без CSP, но ее возможности существенно ограничены.
Объекты криптопровайдера
Фактически основным объектом выступает ключевой контейнер. Он имеет собственное имя. Для создания или запроса используется специальная функция CryptAcquireContext(…), реализованная в интерфейсе CryptoAPI 2.0.
Каждый ключевой контейнер может содержать:
1. максимум 1 пару ключей ЭП;
2. максимум 1 пару ключей обмена;
3. максимум 1 симметричный ключ.
Вне контейнера может находиться исключительно открытый ключ. Для вычисления хеш-функций используются специальные объекты хеширования. Для их создания наличие контейнера не требуется.
Криптосервисы для устройств под управлением Windows
Начиная с версии Windows 2000, Microsoft встроила в операционную систему Microsoft Base Cryptographic Provider. Он имел существенное ограничение – длина ключа не больше 40 бит. После отмены ограничений на экспорт из США ПО с ключами шифрования большей длины на смену этому провайдеру пришел Microsoft Strong Cryptographic Provider.
Стандартные средства MS Windows CSP использовать в РФ практически невозможно. С помощью них нельзя вести обмен с госорганами и т. д. Эти ограничения вызваны отсутствием сертификации у продуктов Майкрософт.
Наиболее распространены в России следующие сторонние криптосервисы:
КриптоПро. Наиболее популярный в РФ криптопровайдер. Он работает под всеми популярными системами – Windows, Linux, Mac OS. Существует также несертифицированная версия для Android. Но графический интерфейс предлагается исключительно в программе для Windows.
ViPNet CSP – бесплатный российский криптопровайдер от компании ИнфоТеКС, имеющий все необходимые сертификаты ФСБ. Он выпускается в вариантах для Windows и Linux.
Signal-COM CSP – российский сертифицированный криптопровайдер, работающий исключительно под Windows. Разработан компанией Сигнал-КОМ.
Криптопровайдер – необходимая для корректной и полноценной работы с ЭП программа. Без нее воспользоваться основными преимуществами электронного документооборота не получится. Хорошо, что выбор криптопровайдеров довольно широк.
Виды электронной подписи
Использование электронной подписи (ЭП) позволяет существенно упростить документооборот. Она применяется для подписания документов в электронном виде, подтверждения отсутствия изменений в них и т. д. Благодаря ЭП (ЭЦП) можно обмениваться с партнерами и госорганами электронными документами. Но далеко не все знают о том, что существуют различные виды электронных подписей, которые имеют свои отличия.
Простая электронная подпись, или ПЭП
Простая ЭП – это максимально упрощенный вариант электронной подписи. Для ее создания не используются криптографические модули. Наиболее ярким примером, попадающим под определение ПЭП, являются SMS-пароли, а также данные для доступа к различным информационным сервисам.
Часто используется вариант простой электронной подписи в банковских системах для подтверждения платежей и других операций. Она может также применяться в следующих случаях:
· при получении госуслуг через официальный портал (доступны не все операции);
· во внутренних системах документооборота (обмен между сотрудниками компании);
· во внешних системах при наличии дополнительного соглашения;
· при входе на различные сайты.
Данный вариант цифровой подписи недопустимо применять в системах, где приходится сталкиваться с гостайной. Это ограничение установлено на законодательном уровне.
Простая ЭП будет приравнена к обычной собственноручной только при наличии отдельного соглашения об использовании ПЭП между участниками взаимоотношений. В некоторых случаях правила и необходимость применения ПЭП могут быть утверждены отдельными (локальными) нормативно-правовыми актами.
Обязательным условием придания ПЭП юр. силы является наличие в НПА соглашения на правила определения подписанта, а также установления обязанности для владельца ЭП сохранять закрытую часть ключа в тайне.
Большинство операторов требует прохождения идентификации для дальнейшего использования ПЭП. Например, на портале Госуслуги осуществляется подтверждение личности владельца ПЭП через сеть центров обслуживания.
Неквалифицированная электронная подпись, или НЭП
Усиленная неквалифицированная ЭП создается уже с помощью криптографического ПО. При этом используется закрытый ключ ЭП. Она позволяет проверить личность владельца, а также отсутствие изменений в подписанном файле. При получении подписи владельцу передаются открытый и закрытый ключи ЭП. Открытый ключ ЭП нужен для проверки подлинности подписи, а закрытый используется в момент подписания файла (документа). Фактически открытый ключ доступен всем. Выдавать НЭП могут различные УЦ. Аккредитация для этого не требуется.
Где используется
Довольно часто НЭП используется для участия в различных торгах. В некоторых случаях (например, при торгах по ФЗ-44) происходит постепенный переход на КЭП. Активно НЭП используется также во внутренних и внешних системах ЭДО.
Юридическая сила
Юр. силу НЭП будет иметь только при наличии между сторонами соглашения о ее признании. А также участники обмена документами должны договориться и закрепить документально правила применения НЭП. При выполнении этих условий НЭП будет полностью аналогична собственноручной подписи на бумажном документе.
Квалифицированная электронная подпись, или КЭП
Квалифицированная ЭП довольно сильно похожа на НЭП. Она создается также с использованием криптографического ПО. Но выдавать такие типы подписей могут только специальные организации (УЦ), прошедшие аккредитацию Минкомсвязи. Программное обеспечение, используемое в процессе создания КЭП, должно иметь сертификат ФСБ.
Где используется
Применение КЭП значительно шире. Она применяется при участии в различных торгах в качестве поставщика и заказчика, с использованием нее может проводиться документооборот внутри компании и с партнерами. А также с помощью нее сдаются отчеты в различные госорганы.
Юридическая сила
КЭП автоматически придает документам юр. силу на основании законодательства. Для этого нет необходимости в заключении дополнительного соглашения. Это существенно упрощает использование КЭП в ЭДО.
Какие из электронных подписей являются наиболее востребованными
Наибольшей возможностью обладают КЭП. Они позволяют обмениваться документами, имеющими юр. силу в практически любых информационных системах. При этом подтверждением личности владельца ЭП занимается аккредитованный УЦ. Он же и выдает данный тип подписей. Но в некоторых ситуациях могут применяться и другие виды подписей, например, для снижения затрат.
Сравнительная таблица назначения и возможностей
Понятие электронной подписи довольно широкое. Существующие виды ЭП довольно сильно отличаются по назначению и возможностям.
|
Вид ЭП |
Юр. сила |
Возможности |
Кто занимается выдачей? |
|
ПЭП |
Только при наличии соглашения между сторонами, нельзя использовать в системах и документах, связанных с гостайной |
Авторизация пользователей, подтверждение операций в банковских и других системах, передача различных заявлений в госорганы |
Оператор системы, может потребоваться подтверждение личности владельца при личной встрече |
|
НЭП |
Участие в торгах, внутренний документооборот и иногда обмен документами с партнерами |
УЦ оператора системы в соответствии с действующими правилами |
|
|
КЭП |
Полная юр. сила в соответствии с законом, без доп. условий |
Участие в торгах, ЭДО, передача отчетов в госорганы и т. д. |
УЦ, прошедший аккредитацию Минкомсвязи |
Модели информационной безопасности.
Понятие информационной безопасности может быть пояснено с помощью так называемых моделей безопасности. Суть этих моделей заключается в следующем: множество всех видов нарушений безопасности делится на несколько базовых групп таким образом, чтобы любое возможное нарушение обязательно можно было отнести по крайней мере к одной из этих групп. Затем система объявляется безопасной, если она способна противостоять каждой из этих групп нарушений.
Триада «конфиденциальность, доступность, целостность»
Одной из первых и наиболее популярных по сей день моделей безопасности является модель, предложенная Зальцером (Saltzer) и Шредером (Schroeder). Авторы постулировали, что все возможные нарушения информационной безопасности всегда могут быть отнесены по меньшей мере к одной из трех групп: нарушения конфиденциальности, нарушения целостности или нарушения доступности рис.
Соответственно информационная система находится в состоянии безопасности, если она защищена от нарушений конфиденциальности, целостности и доступности, где:
1. конфиденциальность (confidentiality) — это состояние ИС, при котором информационные ресурсы доступны только тем пользователям, которым этот доступ разрешен;
2. целостность (integrity) — это состояние системы, при котором информация, хранящаяся и обрабатываемая этой И С, а также процедуры обработки информации не могут быть изменены, удалены или дополнены неавторизованным образом;
3. доступность (availability) — это состояние системы, при котором услуги, оказываемые системой, могут гарантированно и с приемлемой задержкой быть предоставлены пользователям, имеющим на это право.
Для ссылки на триаду иногда используют аббревиатуру КЦД (конфиденциальность, целостность, доступность) или в англоязычной форме — CIA.
Рассмотрим, например, ситуацию, когда легальный клиент банка посылает по электронной почте запрос на снятие со счета крупной суммы, а затем заявляет, что этот запрос, который хотя и был послан от его имени, он не отправлял. Является ли это нарушением безопасности? Да. Были ли при этом нарушены конфиденциальность, доступность или целостность? Нет. Следовательно, список свойств безопасной системы следует расширить, добавив к КЦД еще одно свойство — «неотказуемость».
Неотказуемость (non-repudiation) — это такое состояние системы, при котором обеспечивается невозможность отрицания пользователем, выполнившим какие-либо действия, факта их выполнения, в частности отрицания отправителем информации факта ее отправления и/или отрицания получателем информации факта ее получения.
Гексада Паркера и модель STRIDE
Дискуссии о том, какой набор свойств ИС исчерпывающе характеризует ее безопасность, продолжаются, в результате предлагаются все новые и новые модели безопасности.
Одной из наиболее популярных альтернатив триаде КЦД является так называемая гексада Паркера (Parkerian Hexad), в которой определено шесть базовых видов нарушений, в число которых, помимо нарушений конфиденциальности, доступности и целостности, входят еще три вида нарушений: аутентичности, владения и полезности
Аутентичность (authenticity) — это состояние системы, при котором пользователь не может выдать себя за другого, а документ всегда имеет достоверную информацию о его источнике (авторе). Из этого определения видно, что аутентичность является аналогом неотказуемости.
Владение (possession) — это состояние системы, при котором физический контроль над устройством или другой средой хранения информации предоставляется только тем, кто имеет на это право.
Полезность (utility) — это такое состояние Информационной Системы, при котором обеспечивается удобство практического использования как собственно информации, так и связанных с ее обработкой и поддержкой процедур. В безопасной системе меры, предпринимаемые для защиты системы, не должны неприемлемо усложнять работу сотрудников, иначе они будут воспринимать их как помеху и пытаться при всякой возможности их обойти.
Еще одним вариантом определения безопасности ИС является модель STRIDE (аббревиатура от англоязычных названий типов нарушений безопасности, перечисленных ниже). В соответствии с этой моделью ИС находится в безопасности, если она защищена от следующих типов нарушений: подмены данных, изменения, отказа от ответственности, разглашения сведений, отказа в обслуживании, захвата привилегий.
· Spoofing — Подмена;
· Tampering — Изменение данных;
· Repudiation — Отказ от ответственности;
· Information disclosure — разглашения сведений;
· Denial of service -отказ в обслуживании;
· Elevation of privilege — захват привилегий.
Подмена данных (spoofing) — это такое нарушение, при котором пользователь или другой субъект ИС путем подмены данных, например IP-адреса отправителя, успешно выдает себя за другого, получая таким образом возможность нанесения вреда системе.
Изменение (tampering) означает нарушение целостности.
Отказ от ответственности (repudiation) представляет собой негативную форму уже рассмотренного нами свойства неотказуемости (non-repudiation).
Разглашение сведений (information disclosure) — это нарушение конфиденциальности.
Отказ в обслуживании (denial of service) касается нарушения доступности.
Захват привилегий (elevation of privilege) заключается в том, что пользователь или другой субъект Информационной Системы несанкционированным образом повышает свои полномочия в системе, в частности незаконное присвоение злоумышленником прав сетевого администратора снимает практически все защитные барьеры на его пути.
Так же как и в гексаде Паркера, в модели STRIDE все возможное разнообразие нарушений безопасности сводится к шести типам нарушений, три из которых повторяют КЦД (с учетом того, что здесь эти три характеристики безопасности даны в негативном по отношению к КЦД варианте), однако оставшиеся три — подмена данных, отказ от ответственности и захват привилегий — отличают модель STRIDE от гексады Паркера.
Российский государственный стандарт ГОСТ 13335-1:2006 дает определение информационной безопасности на основе гексады Паркера:
Информационная безопасность (ИБ) это все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации или средств ее обработки.
Уязвимость (vulnerability) — это слабое звено информационной системы, которое, став известным злоумышленнику, может позволить ему нарушить ее безопасность.
Уязвимостями являются, например, ошибка в программе, примитивный пароль, неправильное назначение прав доступа к файлу с важными данными и множество других дефектов в разработке, эксплуатации или настройке системы.
Уязвимости системы могут быть скрытыми, то есть еще не обнаруженными, известными, но только теоретически, или же общеизвестными и активно используемыми злоумышленниками. Для общеизвестных уязвимостей в программных продуктах производители регулярно выпускают исправления, называемые патчами (patch — заплатка).
С момента начала использования компьютерных технологий во всех сферах деятельности человека, появилось много проблем, связанных с защитой конфиденциальности. Главным образом это связано с обработкой документов с применением компьютерных технологий.
Конфиденциальность в законодательстве РФ
В законодательстве РФ есть отдельный закон, определяющий конфиденциальность, а также действует Указ Президента 1997 года (с изменениями 2005 года) об утверждении перечня сведений конфиденциального характера.
Кроме того, в ГОСТ 17799-2005 конфиденциальность определена, как "обеспечение доступа к информации только авторизованным пользователям."
27 июля 2006 года появился Федеральный закон Российской Федерации N 152-ФЗ «О персональных данных». Данный закон регулирует отношения, связанные с обработкой персональных данных. Также в рамках данного закона появилось следующее определение:
«Конфиденциальность персональных данных — обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания»
Новшеством в данном законе стало принуждение лиц, обрабатывающих персональные данные, использовать технические (криптографические) средства защиты информации при работе с персональными данными.
Федеральным законом от 27.12.2009 N 363-ФЗ обязанность оператора по обработке персональных данных использовать для защиты персональных данных шифровальные (криптографические) средства отменена.
Лица, виновные в нарушении требований Федерального закона о персональных данных, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.
Криптография с Открытым Ключом
Криптография с открытым ключом (PKC), также известная как асимметричная криптография, является структурой, которая использует как закрытый, так и открытый ключ, в отличие от единственного ключа, используемого в симметричной криптографии. Использование пар ключей дает PKC уникальный набор характеристик и возможностей, которые можно использовать для решения проблем, присущих другим криптографическим методам. Эта форма криптографии стала важным элементом современной компьютерной безопасности, а также важнейшим компонентом возрастающей криптовалютной экосистемы.
В схеме PKC открытый ключ используется отправителем для шифрования информации, в то время как закрытый ключ используется получателем для расшифровки. Поскольку два ключа отличаются друг от друга, открытый ключ может безопасно использоваться совместно, не ставя под угрозу приватную безопасность. Каждая пара асимметричных ключей уникальна, гарантируя, что сообщение зашифрованное с использованием открытого ключа, может быть прочитано только тем человеком, который обладает соответствующим закрытым ключом.
Поскольку алгоритмы асимметричного шифрования генерируют пары ключей, которые математически связаны, длина этих ключей намного больше, чем те, которые используются в симметричной криптографии. Эти более длинные - обычно от 1024 до 2048 битов - чрезвычайно затрудняют вычисление закрытого ключа из его открытого аналога. Один из наиболее распространенных алгоритмов асимметричного шифрования, используемый сегодня, известен как RSA. В схеме RSA ключи генерируются с использованием модуля, который получается с помощью умножения двух чисел (часто двух больших простых чисел). В основном, модуль генерирует два ключа (один открытый, который может быть общим, и другой закрытый, который должен храниться в секрете). Алгоритм RSA был впервые описан в 1977 году Ривестом, Шамиром и Адлеманом (следовательно, RSA) и остается основной составляющей криптографических систем с открытым ключом.
PKC как Инструмент Шифрования
Криптография с открытым ключом решает одну из давних проблем симметричных алгоритмов, которая заключается в передаче ключа, который используется как для шифрования, так и для дешифрования. Отправка этого ключа по небезопасному соединению является рискованной и может быть раскрыта третьей стороне, которая может затем прочитать любые сообщения, зашифрованные с помощью данного ключа. Хотя и существуют криптографические методы (такие как протокол обмена ключами Диффи-Хеллмана-Меркля) для решения этой проблемы, они по-прежнему уязвимы для атак. В криптографии с открытым ключом, напротив. Ключ, используемый для шифрования, может безопасно передаваться по любому соединению. В результате чего, асимметричные алгоритмы обеспечивают более высокий уровень защиты по сравнению с симметричными.
Использование Цифровых Подписей
Другое применение алгоритмов асимметричной криптографии - это аутентификация данных с использованием цифровых подписей. В сущности, цифровая подпись - это хеш, созданный с использованием данных в сообщении. Когда это сообщение отправлено, получатель может проверить подпись, используя открытый ключ отправителя, чтобы проверить подлинность источника сообщения и убедиться, что оно не было подделано. В некоторых случаях цифровые подписи и шифрование применяются вместе, так как сам хэш может быть зашифрован как часть сообщения. Следует отметить, что не все схемы цифровой подписи используют метод шифрования.
Ограничения
Хотя он может использоваться для повышения компьютерной безопасности и проверки целостности сообщений, PKC имеет некоторые ограничения. Из-за сложных математических операций, связанных с шифрованием и дешифрованием, асимметричные алгоритмы могут быть довольно медленными, когда им приходится работать с большими объемами данных. Этот тип криптографии также сильно зависит от предположения, что закрытый ключ останется секретным. Если секретный ключ был случайно передан или раскрыт, безопасность всех сообщений, которые были зашифрованы с помощью соответствующего открытого ключа, будет поставлена под угрозу. Пользователи также могут случайно потерять свои закрытые ключи, и в этом случае они не смогут получить доступ к зашифрованным данным.
Применение Криптографии с Открытым Ключом
Этот тип криптографии используется многими современными компьютерными системами для обеспечения безопасности конфиденциальной информации. Например, электронные письма могут быть зашифрованы с использованием методов криптографии с открытым ключом для обеспечения конфиденциальности их содержимого. Протокол уровня защищенных сокетов (SSL), который делает возможным безопасное подключение к веб-сайтам, также использует асимметричную криптографию. Системы PKC даже использовались в качестве средства обеспечения безопасной среды электронного голосования, которая потенциально позволяла бы избирателям участвовать в выборах со своих домашних компьютеров.
PKC также занимает видное место в технологиях блокчейн и криптовалют. При создании нового криптовалютного кошелька, генерируется пара ключей (открытый и закрытый ключ). Публичный адрес генерируется с использованием открытого ключа и может безопасно передаваться другим. C другой стороны используется закрытый ключ для создания цифровых подписей и проверки транзакций, и следовательно должен храниться в секрете. Как только транзакция была подтверждена путем валидации хэша, содержащегося в цифровой подписи, эта транзакция может быть добавлена в блокчейн регистр. Данная система проверки цифровой подписи гарантирует, что только лицо, у которого есть закрытый ключ, связанный с соответствующим криптовалютным кошельком, может выводить из него средства. Следует отметить, что асимметричные шифры, используемые в приложениях криптовалюты, отличаются от тех, которые используются в целях компьютерной безопасности. К примеру Bitcoin и Ethereum, используют специальный шифр, известный как Elliptic Curve Digital Signature Algorithm (Алгоритм Цифровой Подписи Эллиптической Кривой, ECDSA) для проверки транзакций.
От компьютерной безопасности до проверки криптовалютных транзакций, криптография с открытым ключом играет важную роль в защите современных цифровых систем. Используя парные открытые и закрытые ключи, алгоритмы асимметричной криптографии решают фундаментальные проблемы безопасности, представленные симметричными шифрами. Хотя PKC используется уже много лет, для него регулярно разрабатываются новые приложения и применения, особенно в блокчейн и криптовалютах.
8. Реализация технологий VPN
IPSec VPN и туннель GRE
Виртуальные частные сети IPSec и туннели общей маршрутизации (GRE) — это методы передачи данных через общедоступные, промежуточные сети, такие как Интернет. Однако между этими двумя технологиями существуют значительные различия. Начнем с краткого обзора.
VPN позволяет компании безопасно обмениваться данными и услугами между разрозненными местоположениями с минимальными затратами. Пользователи, не имеющие постоянной рабочей станции в организации, могут подключаться к VPN для удаленного доступа к данным компании с домашнего компьютера, ноутбука или другого мобильного устройства.
Внедряя решение VPN, компания может извлечь выгоду из всего:
Экономия затрат — Нет необходимости снимать линии у поставщика телекоммуникационных услуг, чтобы построить глобальную сеть (WAN), если вы реализуете VPN через существующее интернет-соединение. Таким образом, стоимость внедрения VPN меньше, чем стоимость реализации традиционной выделенной глобальной сети. Однако для решения VPN требуется доступ в Интернет для каждого отдельного сайта или мобильного пользователя, который должен подключиться к VPN.
Зашифрованный трафик — VPN могут использовать различные методы шифрования в рамках протокола IPSec для защиты трафика между организацией и ее удаленными местоположениями или пользователями. В качестве альтернативы, некоторые VPN-установки шифруют данные с использованием SSL (Secure Sockets Layer), который является стандартом шифрования, используемым многими интернет-магазинами, веб-сайтами банков и другими интернет-компаниями.
Простое расширение сети — Для доступа к VPN обычно требуется только подключение к Интернету, устройство шлюза VPN и в некоторых установках — программное приложение. Поэтому расширение VPN для включения новых местоположений и удаленных пользователей обычно менее дорогое и требует меньше конфигурации, чем подключение нового сайта к выделенной линии WAN.
Как и IPSec VPN, туннели GRE используются для создания соединений «точка-точка» между двумя сетями. Некоторые из преимуществ и характеристик туннелей GRE включают следующее:
Инкапсуляция данных — туннели GRE инкапсулируют пакеты, которые используют протоколы, несовместимые с промежуточной сетью (пассажирские протоколы) в протоколах, совместимых (транспортные протоколы). Это позволяет передавать данные по сетям, которые иначе не могли быть пройдены. Например, вы можете реализовать туннель GRE для подключения двух сетей AppleTalk через сеть только для IP-адресов или для маршрутизации пакетов IPv4 по сети, в которой используется только IPv6.
Простота — В туннелях GRE отсутствуют механизмы, связанные с управлением потоком и безопасностью по умолчанию. Это отсутствие функций может облегчить процесс настройки. Однако вы, вероятно, не хотите передавать данные в незашифрованном виде через общедоступную сеть; Поэтому туннели GRE могут быть дополнены набором протоколов IPSec для целей безопасности. Кроме того, туннели GRE могут перенаправлять данные из несмежных сетей через один туннель, чего не может сделать VPN.
Туннелирование — процесс, в ходе которого создается защищенное логическое соединение между двумя конечными точками посредством инкапсуляции различных протоколов. При туннелировании данные упаковываются вместе со служебными заголовками в новый «конверт» для обеспечения конфиденциальности и целостности всей передаваемой информации. Важно отметить, что протокол GRE не обеспечивает шифрование данных и таким образом не дает никаких гарантий безопасности при передаче данных. Для шифрования существуют другие протоколы, которые работают совместно с GRE.
Переадресация многоадресного трафика — туннели GRE могут использоваться для пересылки многоадресного трафика, тогда как VPN не может. Из-за этого многоадресный трафик, такой как реклама, отправленная протоколами маршрутизации, может быть легко перенесена между удаленными сайтами при использовании туннеля GRE.
Таким образом, как VPN, так и GRE-туннели могут использоваться для передачи данных между удаленными точками. Однако их сходство заканчивается. Если вы хотите обеспечить безопасный способ подключения удаленных пользователей к ресурсам, хранящимся в центральном расположении, вы, вероятно, должны реализовать VPN. Однако, если вам необходимо передать трафик через несовместимую сеть, должен быть реализован туннель GRE.
GRE – Сетевой протокол от компании CISCO Systems для туннелирования соединений, путем инкапсуляции пакетов сетевого уровня в IP пакеты. С помощью протокола GRE создается непрерывное соединение между двумя узлами ( маршрутизаторами ), через общедоступную сеть. Протокол GRE может быть использован для создания простой частной сети (VPN), между пользователями, подключенными через сеть провайдера, или между пограничными маршрутизаторами с среде провайдера, для обмена обновлениями таблиц маршрутизации.
GRE (Generic Routing Encapsulation) - проприетарный протокол Cisco для организации VPN соединений. Работает он по такому же принципу, что и IPSec, то есть к исходному пакету данных добавляет свой заголовок, за которым следует новый IP заголовок с новыми IP адресами. Выглядит этот так:
Однако есть существенное отличие между IPSec и GRE. IPSec изначально разрабатывался для осуществления шифрованной связи, GRE не использует никакого алгоритма шифрования и аутентификации.
GRE прост в настройке и используется там, где нужно организовать простую туннельную связь, не обременяя при этом процессор сложным алгоритмом шифрования.
GRE также идеален для передачи IPv6 поверх IPv4 и наоборот.
При настройке GRE туннеля следует учитывать тот факт, что при добавлении GRE заголовка увеличивается MTU всего пакета. Это может привести к тому, что некоторые маршрутизаторы уничтожат пакеты, если не настроены на передачу с увеличенным MTU. Фрагментация GRE пакетов также запрещена, поэтому в идеале лучше уменьшить MTU в самом начале туннеля.
GRE не поддерживает шифрование, однако, если необходимо организовать защищенный канал связи, то можно построить туннель GRE поверх IPSec. Организация защищенного канала IPSec состоит из 2-х фаз. В первой фазе мы определяем политику безопасности (ISAKAMP IKE) для создания служебного туннеля, а во второй - параметры туннеля (IPSec) для передачи данных.
IPsec — не 1 протокол, это набор протоколов (Framework), работа IPsec — согласованная работа этих протоколов. Набор протоколов в IPsec неоднозначный, нужно выбрать, какие именно протоколы будут использоваться.
С использованием IPsec достигается концепция безопасности CIA Triad: Confidentiality, Integrity, Availability
Конфиденциальность данных — никто посторонний не сможет их просмотреть;
Целостность данных — данные не были изменены при передаче;
Доступность данных — постороннее лицо не может уничтожить пересылаемые данные или причинить им ущерб.
Шифрование
Применяется симметричное шифрование, то есть такое, где ключ для шифрования и расшифровки один и тот же. Оно менее устойчиво ко взлому чем ассиметричное, но только симметричное шифрование технически доступно для большим объёмов передаваемых пользовательских данных, так как использует относительно низкую утилизацию CPU устройства. Рекомендуется AES.
Целостность
Для каждого сообщения вычисляется хеш, который прикладывается к сообщению. Хеш очень короткий, всегда одинаковой длины (определяется алгоритмом), он однозначно определяет исходное сообщение. При получении высчитывается хеш полученного сообщения, он сравнивается с приложенным хешем. Если значения 2 хешей совпадают, значит сообщение не было изменено. Такой метод уязвим к атаке "человек посередине" (Man-In-The-Middle): сообщение перехватывается по пути следования, изменяется, прикладывается новый хеш. Для принимающей стороны всё ok. Чтобы этого не могло произойти, применяется технология HMAC (Hash-Based Message Authentication Code): перед созданием хеша к сообщению прикладывается ключ, который есть только у отправляющей и принимающей стороны. В результате, атакующий после изменения сообщения не сможет вычислить нужный хеш, так как у него нет ключа. А вычислить ключ по исходному сообщению и хешу для сообщение+ключ он тоже не сможет. Точнее, на это нужно время, чем устойчивее алгоритм хеширования, тем больше времени нужно на взлом. Рекомендуется SHA256 и выше.
Обмен ключами
Для создания туннеля обе стороны должны совместно вычислить общий секретный ключ для симметричного шифрования данных в туннеле (не путать с PSK, который нужен для аутентификации). Всё это надо сделать через публичную сеть Интернета. Как это выполнить? На пустом месте через небезопасную сеть договорится о ключе для шифрования? Для этого используется специальный ассиметричный алгоритм Диффи-Хеллмана (DH). Степень защиты при расчёте общего ключа для шифрования определяется группой DH. Рекомендуется: Если в алгоритмах шифрования или аутентификации используется 128-битовый ключ, группа 14, 19, 20 или 24, а для 256-битового ключа группа 21 или 24.
Аутентификация
Каждый роутер должен подтвердить другому роутеру (и наоборот, то есть для 2 роутеров процедура выполняется 2 раза, сначала в одну, потом в обратную сторону) свою подлинность для участия в IPsec туннеле. Возможности: Общий, вводимый вручную, секретный ключ PSK (Pre Shared Key), Сертификаты RSA. Рекомендуется: Сертификаты RSA.
Аутентификация на основе общего ключа PSK происходит так: к ключу прикладывается определённая несекретная информация, известная и общая для обоих роутеров, высчитывается хеш, отправляется второму роутеру. Второй роутер повторяет процедуру для своего ключа и сравнивает хеши. Совпадение хешей означает совпадение общих ключей и как результат — подлинность, приславшего сообщение роутера. Потом второй роутер повторяет процедуру. В результате оба роутера подтвердили свою подлинность друг-другу.
Аутентификация RSA в рамках данной заметки рассматриваться не будет, поэтому разговора про неё нет. По факту повсеместно используется PSK, он не то чтобы проще, а глобально проще.
Фазы IPsec
Процесс установки IPsec VPN туннеля состоит из 2ух последовательных стадий-фаз (Phases):
· IKE Phase 1 — Создаётся 1 двунаправленный туннель, необходимый для согласования Phase 2. По этому туннелю передаётся только управляющая информация, пользовательские данные не передаются. Называется ISAKMP туннель;
· IKE Phase 2 — С помощью туннеля фазы 1 создаются дополнительно ещё 2 однонаправленных туннеля, от первого роутера ко второму и от второго к первому, по которым передаётся пользовательская информация. Туннели второй фазы и есть то, что называется IPsec туннель.
Важно отметить, что туннель не поднимается сразу после выполнения настроек. Согласования фазы 1, затем 2 начинается после того, как на роутер попадают данные, предназначенные для туннеля ("интересный" трафик). Данные эти отбираются с помощью ACL (называется Crypto ACL, хотя по факту это самый обычный ACL).
Также важно то, что туннель не существует сколь угодно долго после создания, у него есть время жизни (Lifetime). После истечения Lifetime туннель гасится и пересоздаётся снова (с помощью фаз 1 и 2, при наличии интересного трафика). Если интересного трафика нет, туннель лежит, но постоянно готов к созданию сразу при появлении такого трафика.
Lifetime выбирается достаточно большим, чтобы туннель слишком часто не пересоздавался. И достаточно маленьким, чтобы туннель не был взломан. При использовании стойких ко взлому алгоритмов актуальность малого Lifetime туннеля снижается.
Настройка IPsec
Порядок следующий:
· Настраиваем фазу 1;
· Задаём PSK;
· Создаём Crypto ACL для отбора интересного трафика;
· Настраиваем фазу 2: Transform Set;
· Создаём Crypto Map, в Crypto Map используем созданные Crypto ACL, Transform Set;
· Затем вешаем Crypto Map на нужный интерфейс;
· Разрешаем входящий трафик ISAKMP, ESP.
Фаза 1
Начинаем настраивать SA первой фазы. Создаётся политика ISAKMP. HAGLE — удобная мнемоника для запоминания этой SA:
· Hash — хеширование SHA256;
· Autentification — аутентификация PSK;
· Group — группа DH 21;
· Lifetime — время жизни туннеля 3600 (по умолчанию 1 день = 86400);
· Encryption — шифрование AES 256 (по умолчанию для AES значение 128).
Как уже говорилось параметры SA для обоих роутеров должны совпадать. Исключение составляет параметр Lifetime: если он не совпадает, то взят будет наименьший.
Фаза 2
SA второй фазы несколько отличается от первой. IPsec может использовать протокол AH или протокол ESP:
AH — Authentication Header, IP протокол 51, обеспечивает аутентификацию и целостность данных, но не применяет шифрование, поэтому в реальной жизни его ценность минимальна;
ESP — Encapsulation Security Protocol, IP протокол 50, обеспечивает аутентификацию, целостность данных и шифрование. Для туннеля через Интернет интересен только этот протокол.
IPsec работает или в туннельном режиме, или в транспортном режиме:
Туннельный режим — добавляется новый IP заголовок, исходный пакет полностью упаковывается, используется при создании туннеля между роутерами (site-to-site). Для нас подходит только этот режим;
Транспортный режим — используется IP заголовок исходного пакета, применяется или при подключении клиентов к серверу (VPN client), или когда уже есть сетевая доступность между устройствами (GRE over IPsec).
Extranet VPN
Extranet VPN предназначен для тех сетей, к которым подключаются так называемые пользователи "со стороны", уровень доверия к которым намного ниже, чем к своим сотрудникам. Extranet VPN позволяет разным компаниям связываться между собой и расширяет возможности компаний в электронной коммерции. Компании, желающие попасть на этот рынок, понимают, что недостаточно просто создать Web-сайт и предоставить доступ к нему всем желающим.
Доступ к определенным приложениям и главным компьютерам необходимо контролировать, шифровать данные для сохранения их конфиденциальности, когда они передаются через Internet, и устанавливать подлинность пользователей, чтобы быть уверенными, что они действительно имеют право доступа к сети.
Одной из наиболее важных причин, делающих виртуальные сети extranet настолько популярными, является возможность совершать с их помощью безопасные сделки через Internet. Эта технология обычно включает использование цифровых сертификатов, которые предоставляют более высокий уровень пользовательской аутентификации, а также ту или иную систему регулирования ключей шифрования.
Remote Access VPN — виртуальная частная сеть с удаленным доступом — позволяет мобильным пользователям получать доступ к КС своей компании через модем или канал ISDN. Он реализует защищенное взаимодействие между сегментом КС (центральным офисом или филиалом) и одиночным пользователем, который подключается к корпоративным ресурсам из дома (домашний пользователь) или через notebook (мобильный пользователь). Данный вариант отличается от первого тем, что удаленный пользователь, как правило, не имеет статического адреса, и он подключается к защищаемому ресурсу не через выделенное устройство VPN, а прямо со своего собственного компьютера, на котором и устанавливается ПО, реализующее функции VPN. Компонент VPN для удаленного пользователя может быть выполнен как в программном, так и в программно-аппаратном виде. В первом случае ПО может быть как встроенным в ОС, так и разработанным специально. Во втором случае для реализации VPN используются небольшие устройства класса SOHO (Small Office\Home Office), которые не требуют серьезной настройки и могут быть использованы даже неквалифицированным персоналом.
Remote Access VPN
Когда удаленному пользователю необходимо соединиться со своей КС, он сначала подключается к опорной сети (например, по коммутируемой линии). После установления этого соединения строится туннель до домашнего маршрутизатора КС клиента, который выдает удаленному пользователю адрес КС. Все пакеты, посылаемые на этот адрес из КС, поступают на домашний маршрутизатор. Он, в свою очередь, инкапсулирует их в пакеты с адресацией опорной сети и направляет по построенному туннелю через опор ну ю сеть. На другом конце туннеля пакеты декапсулируются и приобретают тот вид, который они имели в КС пользователя. По описанной технологии пользователь получает коммутируемый доступ к своей КС из любой точки опорной сети провайдера, организовав таким образом свою виртуальную частную сеть.
9. Управление безопасной сетью
Общие принципы сетевого дизайна
Грамотный сетевой проект основывается на многих принципах, базовыми из которых являются:
Изучение возможных точек отказа сети. Для того чтобы единичный отказ не мог изолировать какой-либо из сегментов сети, в ней должна быть предусмотрена избыточность. Под избыточностью понимается резервирование жизненно важных компонентов сети и распределение нагрузки. Так, в случае отказа в сети может существовать альтернативный или резервный путь к любому ее сегменту. Распределение нагрузки используется в том случае, если к пункту назначения имеется два или более путей, которые могут использоваться в зависимости от загруженности сети. Требуемый уровень избыточности сети меняется в зависимости от ее конкретной реализации.
Определение типа трафика сети. Например, если в сети используются клиент-серверные приложения, то поток вырабатываемого ими трафика является критичным для эффективного распределения ресурсов, таких как количество клиентов, использующих определенный сервер, или количество клиентских рабочих станций в сегменте.
Анализ доступной полосы пропускания. В сети не должно быть большого различия в доступной полосе пропускания между различными уровнями иерархической модели (описание иерархической модели сети находится в следующем разделе). Важно помнить, что иерархическая модель ссылается на концептуальные уровни, которые обеспечивают функциональность.
Создание сети на базе иерархической или модульной модели. Иерархия позволяет объединить через межсетевые устройства отдельные сегменты, которые будут функционировать как единая сеть. Фактическая граница между уровнями не обязательно должна проходить по физическому каналу связи – ею может быть и внутренняя магистраль определенного устройства.
Трехуровневая иерархическая модель сети
Иерархическая модель определяет подход к проектированию сетей и включает в себя три логических уровня:
1. уровень доступа (access layer);
2. уровень распределения/агрегации (distribution layer);
3. уровень ядра (core layer).
Для каждого уровня определены свои функции. Три уровня не обязательно предполагают наличие трех различных устройств. Если провести аналогию с иерархической моделью OSI, то в ней отдельный протокол не всегда соответствует одному из семи уровней. Иногда протокол соответствует более чем одному уровню модели OSI, а иногда несколько протоколов реализованы в рамках одного уровня. Так и при построении иерархических сетей, на одном уровне может быть как несколько устройств, так и одно устройство, выполняющее все функции, определенные на двух соседних уровнях.
Уровень ядра находится на самом верху иерархии и отвечает за надежную и быструю передачу больших объемов данных. Трафик, передаваемый через ядро, является общим для большинства пользователей. Сами пользовательские данные обрабатываются на уровне распределения, который, при необходимости, пересылает запросы к ядру.
Для уровня ядра большое значение имеет его отказоустойчивость, поскольку сбой на этом уровне может привести к потере связности между уровнями распределения сети.
Уровень распределения, который иногда называют уровнем рабочих групп, является связующим звеном между уровнями доступа и ядра. В зависимости от способа реализации уровень распределения может выполнять следующие функции:
· обеспечение маршрутизации, качества обслуживания и безопасности сети;
· агрегирование каналов;
· переход от одной технологии к другой (например, от 100Base-TX к 1000Base-T).
· Уровень доступа управляет доступом пользователей и рабочих групп к ресурсам объединенной сети. Основной задачей уровня доступа является создание точек входа/выхода пользователей в сеть.
Уровень выполняет следующие функции:
· управление доступом пользователей и политиками сети;
· создание отдельных доменов коллизий (сегментация);
· подключение рабочих групп к уровню распределения;
· использование технологии коммутируемых локальных сетей.
Нормативы, используемые для разработки информационной безопасности
Выбор нормативной базы, на которой строится разработка политики, зависит от того, в каком правовом поле и деловой среде преимущественно работает компания. Организации, привыкшие выстраивать свою деятельность на базе международных стандартов качества управления, ISO, будут готовы опираться в работе по подготовке политики информационной безопасности на такие нормативные акты, как ISO/IEC 27001-2005, ISO/IEC 17799-2005, ISO/IEC TR 13335. Российские предприятия, обеспечивающие обработку персональных данных или работающие со сведениями, содержащими государственную тайну, должны работать и с нормативами ГОСТ Р ИСО/МЭК 15408.
Разработанные на их базе системные программы охраны обрабатываемых массивов сведений помогут создать единую концепцию защиты от внешних и внутренних посягательств, в которой будут задействованы все уровни иерархии предприятия – от руководства и топ-менеджеров до линейных сотрудников. Включение каждого подразделения в работу на основе общей системы позволит полностью избежать пробелов в сфере обороны или конкуренции отдельных звеньев системы. Политика должна состоять из совокупности административных, организационных и технических мер, за каждую из которых должно отвечать отдельное подразделение. Некоторые процессы включают в себя последовательную работу нескольких служб, от согласованности которых зависит защита компании на сложном и конкурентном рынке. Прорыв в системе безопасности может причинить ущерб интересам и юридического лица, и его собственников, и сотрудников, чья профессиональная репутация может оказаться под угрозой, а персональные данные станут достоянием третьих лиц.
Какой ущерб может причинить отсутствие политики безопасности
Российское законодательство выделяет несколько видов массивов защищаемой информации, доступ к работе с которой имеют предприятия различной формы собственности и государственные органы.
Среди них:
· коммерческая тайна, собственная и доверенная контрагентами;
· банковская тайна, сведения о счетах и вкладах граждан и предприятий;
· государственная тайна, доступ к которой могут получить многие участники тендеров на государственные закупки;
· персональные данные сотрудников и иных лиц, обрабатываемые различными операторами, как входящими в реестр, так и не входящими.
Утечка этих сведений с использованием любых каналов незаконного перехвата информации приводит к следующим видам ущерба:
· ухудшение деловой репутации компании;
· негативное воздействие регулятора;
· отзыв лицензии или иного допуска к сведениям, которые охраняются особым образом;
· потеря клиентов, снижение интенсивности денежного потока;
· потеря собственных разработок, маркетинговых исследований, приоритета при выпуске нового продукта;
· утрата влияния на рынке, отдельных секторов рынка;
· прямые иски о возмещении вреда, вызванного утратой коммерческой тайны контрагентов, или морального вреда.
Все эти риски в финансовом плане оцениваются очень высоко. Предприниматели должны приложить все силы к разработке и внедрению работающей системы защиты конфиденциальной информации, что в дальнейшем позволит защитить свои активы от серьезного ущерба.
Расходы на внедрение систем относятся, по правилам налогового учета, на снижение налога на прибыль, поэтому уровень затрат окажется разумным.
Разработка политики безопасности связана с внедрением самых современных программных продуктов, стоимость которых может быть относительно высока. Каждое должностное лицо должно понимать необходимость внедряемых методов, программных продуктов, стандартов и соотносить расходы на их внедрение с фактическим увеличением стоимости компании. Наличие сертификации и аттестации по стандартам ISO/IEC 27001-2005 при оценке компании независимыми оценочными агентствами положительно повлияет на ее капитализацию.
Внедрение любой защитной меры всегда становится компромиссом между снижением уровня риска и удобством работы конкретного сотрудника, но дополнительные преимущества переведут целесообразность внедрения политики информационной безопасности на существенно более высокий уровень.
Взаимодействие с пользователями
На этапе разработки системы мер и ее внедрения лица, которым будет поручена эта задача, столкнутся с негативной реакцией большинства сотрудников IT-служб и других работников компании, которым придется отказаться от удобных стандартов работы. Та же бухгалтерия, которая не сможет больше сводить баланс вечером в домашних условиях, сочтет действия разработчиков опасными.
Рекомендации по разработке политики ИБ
При разработке политики следует помнить о двух моментах.
Целевая аудитория политики ИБ — конечные пользователи и топ-менеджмент компании, которые не понимают сложных технических выражений, однако должны быть ознакомлены с положениями политики.
Не нужно пытаться включить в этот документ все, что можно! Здесь должны быть только цели ИБ, методы их достижения и ответственность! Никаких технических подробностей, если они требуют специфических знаний. Это все — материалы для инструкций и регламентов.
Конечный документ должен удовлетворять следующим требованиям:
лаконичность — большой объем документа отпугнет любого пользователя, ваш документ никто никогда не прочитает (а вы не раз будете употреблять фразу: «это нарушение политики информационной безопасности, с которой вас ознакомили») доступность простому обывателю — конечный пользователь должен понимать, ЧТО написано в политике (он никогда не прочитает и не запомнит слова и словосочетания «журналирование», «модель нарушителя», «инцидент информационной безопасности», «информационная инфраструктура», «техногенный», «антропогенный», «риск-фактор» и т.п.)
Этапы разработки политики информационной безопасности
Не всегда компании готовы самостоятельно разработать политику информационной безопасности. Требуется привлечение экспертов, готовых предложить новейшие разработки. При этом эксперты должны ясно понимать, что их аудиторией являются Совет директоров и высший менеджмент компании, политика должна опираться на их интересы и полностью соответствовать им. Сопротивление может возникнуть на низовых уровнях, его нужно ожидать и подготовить достаточные меры, чтобы иметь возможность его сломить.
С учетом этих особенностей разработки сложного комплекса организационных и программно-технических мер процесс создания политики информационной безопасности будет состоять из следующих этапов:
· проведение аудита состояния информационной безопасности с использованием собственных ресурсов и привлеченных экспертов;
· анализ выявленных рисков, разработка, предложение и защита возможных сценариев построения систем обороны;
· разработка стандартов системы информационной безопасности, согласование их со всеми причастными службами;
· выбор оптимальных, экономически выгодных и внедряемых решений защиты информационной безопасности;
· разработка нормативно-правовой документации по обеспечению информационной безопасности, начиная от политик верхнего уровня и заканчивая стандартами работы с базами данных и компьютерной техникой;
· согласование и утверждение разработанных документов на уровнях советов директоров и исполнительного органа компании;
· внедрение документов, их апробация;
· сопровождение эффективной работы всех созданных секторов безопасности, доработка документов;
· проверка качества работы систем безопасности, их аудит и совершенствование.
Все эти этапы требуют внимательного отношения к любой процедуре, внедрение которой должно производиться с учетом мнения всех подразделений, согласования всех требуемых документов, в противном случае неизбежно возникновение конфликта интересов различных департаментов. Его наличие существенно затруднит работу компании.
Структура политики информационной безопасности
Процесс подготовки и согласования политики может занять до полугода, начиная от момента начала аудита, завершая этапом аттестации и сертификации системы. Разработанная и утвержденная документация должна включать в себя следующие разделы:
· перечисление объектов, в отношении которых устанавливается режим информационной безопасности, их ранжирование по значимости и требуемой степени защиты;
· описание функций каждого подразделения, ответственного за обработку данных и их защиту, описание самих функций системы информационной безопасности;
· описания технологий, применяемых для обеспечения сохранности информации;
· перечень действующих и потенциальных угроз информационной безопасности, описание степени их серьезности и реализуемости;
· модель вероятных проникновений сквозь контуры информационной безопасности;
· описание внешних и внутренних субъектов, которые могут стать источниками потенциальной угрозы;
· описание общих принципов и стандартов подходов к защите информационной безопасности, основанных на использовании разработок ISO/IEC 27001-2005 и действующего в этой сфере российского ГОСТа;
· описание применяемых административных мер, документов, стандартов;
· описание понятия инцидента информационной безопасности, процедур уведомления о его возникновении;
· описание применяемых организационных мер, действий сотрудников компании по обеспечению информационной безопасности;
· описание систем доступа ко всем информационным ресурсам организации, ранжирование систем доступа применительно к аппаратному обеспечению программных средств, базам данных. Доступ к информации должен быть ранжирован в зависимости от ранга сотрудника, его соответствия требованиям служб безопасности, важности охраняемых данных. Надо исключить несанкционированный доступ к базам данных неуполномоченных лиц;
· описание выбранной политики защиты от вирусных атак, программ-вредителей, возможных действий хакеров;
· описание системы резервного копирования важных данных, ее периодичности, моделей хранения – на дисках, на посторонних серверах;
· описание того, в каком порядке будут проводиться аварийные и восстановительные работы при повреждении аппаратной части в случае пожара, проблем с электросвязью или по иным причинам, повлекшим за собой гибель компьютеров, носителей информации или самих баз данных;
· описание порядка тестирования, согласования, аттестации (при наличии предусмотренной стандартами ISO/IEC 27001-2005 необходимости) и сертификации уполномоченными органами созданной системы на соответствие выбранным стандартам. Без соблюдения этих процедурных моментов не обойтись, так как аттестация созданных систем информационной безопасности по требованиям сохранности данных не только по ISO/IEC 27001-2005, но и ГОСТу, позволяет получить возможность работы с данными ограниченного доступа. От наличия сертификации часто зависит получение лицензии на обработку этих данных. Процесс сертификации дает возможность и работы в российском правовом поле, и взаимодействия с иностранными компаниями, заинтересованными в защищенности передаваемых ими российским партнерам сведений, являющихся коммерческой тайной;
· описание системы расследования инцидентов информационной безопасности, производимого собственными силами или с привлечением компетентных организаций или правоохранительных органов;
· план мероприятий по постоянному поддержанию готовности системы к работе, ее обновлению при изменении правил сертификации или степени значимости угроз.
Большинство из предложенных разделов должны иметь общий характер и отсылать к отдельным стандартам и регламентам. Документ должен быть понятен всем пользователям, работающим в компании, термины, понятные только узким специалистам, должны остаться в предназначенной для их внимания документации.
Следующие требования к документации:
лаконичность – документ на 150-200 страниц, составлять которые так любят корпоративные департаменты, прочитан не будет, а значит, не будет и выполняться;
предоставление рекомендаций максимально простым и понятным языком – все шаги должны быть расписаны на уровне понимания простого администратора.
Все регламенты, содержащие последовательность процессов, уровни ответственности, графические схемы нужно вынести в приложения.
Возможно, имеет смысл подготовить трехуровневую систему документа:
· Сама политика.
· Положение о подразделениях и положение об информации, составляющей коммерческую тайну.
· Регламенты и методики.
Примерная схема:
Анализ политик ИБ существующих компаний
|
Полезное количество страниц* |
Загруженность терминами |
Общая оценка |
|
|
ОАО „Газпромбанк“ |
11 |
Очень высокая |
Сложный документ для вдумчивого чтения, обыватель не прочитает, а если прочитает, то не поймет и не запомнит |
|
АО „Фонд развития предпринимательства “Даму» |
14 |
Высокая |
Сложный документ для вдумчивого чтения, обыватель не прочитает, а если прочитает, то не поймет и не запомнит |
|
АО НК «КазМунайГаз» |
3 |
Низкая |
Простой для понимания документ, не перегруженный техническими терминами |
|
ОАО «Радиотехнический институт имени академика А. Л. Минца» |
42 |
Очень высокая |
Сложный документ для вдумчивого чтения, обыватель не станет читать — слишком много страниц |
*страниц без оглавления, титульного листа и других страниц, не несущих конкретной информации
Политика ИБ должна умещаться в несколько страниц, быть легкой для понимания обывателя, описывать в общем виде цели ИБ, методы их достижения и ответственность сотрудников
Помимо документального нужно учитывать и производственный, и территориальный, и кадровый факторы, каждый из которых определит специфику защитных мер. Создание системы и политики безопасности требует от разработчиков максимального учета особенностей работы каждого юридического лица, графиков, территорий, ресурсов. Ее создание должно гарантировать максимально высокую степень защиты, при этом оно и последующее поддержание работоспособности системы не должны повлечь за собой высоких финансовых затрат. Общая производительность труда не должна страдать от излишнего количества регламентов. Кроме этого, сертификация, аттестация и внедрение новых программных продуктов требуют существенного пересмотра бюджета, поэтому, если принято решение о разработке и внедрении системы мер и документов, необходимы своевременная подготовка сметы и бюджета и их согласование на уровне высшего руководства.
Традиционно в крупных компаниях планирование бюджета производится на уровне квартала и года, и согласовывать бюджет на внедрение политики необходимо исходя из того, что на это потребуется не менее двух кварталов.
Разработка современных программных продуктов, например DLP-систем и SIEM-систем, закрывающих все информационные каналы от несанкционированного съема данных, их внедрение и адаптация к потребностям каждого конкретного предприятия требуют не только финансовых, но и временных ресурсов. Поэтому от подразделений, отвечающих за подготовку политики, зависит своевременное планирование средств и согласование их привлечения.
Системная работа в области информационной безопасности, таким образом, требует внимания не только специальных подразделений, но и финансовых, и бухгалтерских служб, и руководства компании. При этом о целях разработки этой системы уведомляются все сотрудники, которые должны быть лично заинтересованы в успешности ее реализации. Помочь в этом могут системы мотивации, при использовании которых ключевые показатели эффективности труда будут связаны с соблюдением требований политики, ее успешным внедрением. Таким образом, в процесс оказываются вовлеченными еще и кадровые службы предприятия.
Внедрение и использование политики ИБ
После утверждения политики ИБ необходимо:
· ознакомить с политикой всех уже работающих сотрудников;
· ознакамливать с политикой всех новых сотрудников (как это лучше делать — тема отдельного разговора, у нас для новичков есть вводный курс, на котором я выступаю с разъяснениями);
· проанализировать существующие бизнес-процессы с целью выявления и минимизации рисков;
· принимать участие в создании новых бизнес-процессов, чтобы впоследствии не бежать за поездом;
· разработать положения, процедуры, инструкции и прочие документы, дополняющие политику (инструкция по предоставлению доступа к сети интернет, инструкция по предоставлению доступа в помещения с ограниченным доступом, инструкции по работе с информационными системами компании и т.п.);
· не реже, чем раз в квартал пересматривать политику ИБ и прочие документы по ИБ с целью их актуализации.
10. Cisco ASA
CISCO ASA (ADAPTIVE SECURITY APPLIANCE)
Устройство защиты Cisco ASA (заменило PIX Firewall) занимает лидирующие позиции в свои областях, в связи с чем пользуются широким спросом у целевой аудитории, состоящей не из простых пользователей, а из крупных организаций.
Оборудование Cisco ASA 5505 поддерживает разнообразные сервисы, включая межсетевой экран, виртуальные сети (VPN), SSL. ASDM (Cisco Adaptive Security Device Manager) позволяет эксплуатировать оборудование. Cisco ASA 5505 поддерживает функции 8-ми портового коммутатора 10/100 с динамическим перераспределением портов, поддерживает организацию 3-х виртуальных сетей.
Есть возможность приобрести лицензию Security Plus, это увеличит общую пропускную способность системы, установит повышенный лимит до 25 пользователей при использовании IPsec VPN.
Функционал комплекса может быть расширен за счет функции удаленного доступа Cisco AnyConnect, что позволяет подключать к корпоративной сети удаленных сотрудников. Для расширения возможностей подключения AnyConnect VPN можно приобрести лицензию Premium либо Essential, что позволит увеличить число удаленных подключений до 25 на любом устройстве Cisco ASA 5505.
Функции:
· Защита внутренних сетей от проникновения.
· Работа с двумя сетями VPN. Количество подключений ограничивается 25.
· Возможность подключения к корпоративной сети до 250 пользователей. Бюджетный вариант ASA 5505 позволяет работать 5 пользователям.
· Поддерживаются различные виды подключений, включая высокоскоростные.
· Множество предустановленных профилей для облегчения настройки оборудования.
Преимущества:
· Защита пользовательских сетей от вредоносных программ различного рода, включая сетевые атаки и кражу конфиденциальных данных.
· Повышает конкурентоспособность предприятия, снижает затраты на защиту информации.
· Способность функционировать в связке с маршрутизаторами Cisco.
· Простота управления данными и обслуживания оборудования.
Характеристики:
Физические характеристики:
· Размеры (Ш x Г x В), см: 20.04 x 17.45 x 4.45
· Вес, кг: 1.8
· Установка:
· Форм-фактор: настольный
· Установка в стойку: есть, при помощи специального комплекта (полка на 2 устройства высотой 3 юнита, приобретается отдельно)
· Настенный монтаж: есть, при помощи специального комплекта
· Слот для замка безопасности (для физической безопасности): Есть
· Параметры питания:
· Входное напряжение: 100 - 240 В AC, 1.8 А, 50/60 Гц
· Выходная мощность:
· в устойчивом состоянии - 20 Вт,
· максимальная - 96 Вт
· Память
· Объём: 256 МБ
· Минимальный объем системной флеш-памяти: 64 МБ
· Порты
· Сетевые интерфейсы: 8 x RJ-45 10/100 Fast Ethernet с динамической группировкой портов (включая 2 PoE-порта)
· Слоты расширения: 1 x SSC
· Доступный пользователю слот для флеш-памяти: 0
· Порты USB 2.0: 3 (1 спереди, 2 сзади)
· Последовательные порты: 1 x RJ-45 консольный порт
· Сеть
· Тип лицензии: Лицензия Data Encryption Standard (DES)
· Шифрование: Data Encryption Standard (DES)
· Пользователи/узлы: 10
· Пропускная способность межсетевого экрана: До 150 Мбит/с
· Максимальная пропускная способность межсетевого экрана и IPS: До 150 Мбит/с при использовании AIP-SSC-5
· Пропускная способность 3DES/AES VPN: До 100 Мбит/с
· Пользователи IPsec VPN:
· Включено: 10
· Максимум: 25 (возможность обновления при помощи лицензии Cisco ASA 5505 Security Plus)
· Пользователи SSL VPN:
· Включено: 2
· Максимум: 25 (возможность обновления при помощи лицензии Cisco ASA 5505 Security Plus)
· Одновременные сессии:
· Включено: 10,000
· Максимум: 25,000 (возможность обновления при помощи лицензии Cisco ASA 5505 Security Plus)
· Количество новых подключений в секунду: 4000
· Виртуальные интерфейсы (VLANs):
· Включено: 3 (без магистральной поддержки)
· Максимум: 20 (с магистральной поддержкой) (возможность обновления при помощи лицензии Cisco ASA 5505 Security Plus)
· Контекстная безопасность: 0
· Высокая доступность:
· Не поддерживается
· Активность/режим ожидания и поддержка резервного ISP (возможность обновления при помощи лицензии Cisco ASA 5505 Security Plus)
· Поддержка DMZ: Не поддерживается
· Собственная операционная система
В своей работе Cisco ASA использует не общую операционную систему, а свою собственную, интегрированную в устройство. Эта ОС, похожая на Cisco IOS, с самого начала разрабатывалась с расчётом на высокую производительность и безопасность, что и было достигнуто: устройство способно анализировать до 500 000 соединений одновременно.
Алгоритм ASA (Adaptive Security Algorithm)
Cisco ASA – фаейрвол, использующий динамическую фильтрацию, которая осуществляется с использованием алгоритма ASA - Adaptive Security Algorithm. Он многократно безопаснее и надёжнее статической фильтрации и прикладных фаейрволов proxy. ASA контролирует трафик, изолируя сегменты сети, подключённые к фаейрволу.
Все интерфейсы получают определённый уровень безопасности, который градируется от 0 до 100. Исходя из этих данных, ASA меняет своё поведение, запрещая и разрешая те или иные соединения. Списки доступа могут применяться для запрета прохождения трафика с высоким уровнем доверия на более низкий, и наоборот.
ASA сохраняет все данные о сессиях в сети, передавая её в таблицу состояния, используя затем эти данные для контроля всего проходящего через фаейрвол трафика. Возвращаемый трафик проходит анализ, и, если информация не отвечает ожидаемым требованиям, соединение сбрасывается. Иными словами, безопасность базируется на соединении, а не на пакете, как это бывает при статической пакетной фильтрации, что практически полностью исключает возможность взлома сети методом hijack.
Технология аутентификации - cut-through proxy
Механизм аутентификации Cut-through proxy, известный также как аутентификация по пользователю, отличается высоким уровнем прозрачности, гарантирует более высокую производительность, нежели proxy фаейрволы. Связано это с тем, что аутентификация пользователя в Cisco ASA происходит сначала на уровне приложений, а весь трафик данного подключения затем инспектируется лишь алгоритмом ASA – в обход уровня приложений, что снижает нагрузку на процессор в разы. Иными словами, cut-through proxy не подвергает новые пакеты аутентификации, если она уже была пройдена ранее.
Инспектирование протоколов и приложений
Фаейрволы получили широкое распространение во многих организациях, однако иногда – при неправильной конфигурации – они могут стать источником проблем. Так, некоторые фаейрволы могут блокировать внутренние протоколы и приложения, используемые в корпоративной сети.
Чтобы подобное не происходило, фаейрвол должен отвечать ряду требований, среди которых:
· использование NAT – сетевой трансляции адреса внутри IP-пакета;
· использование внутри пакета PAT – трансляции портов;
· проверка пакетов на наличие неправильного, в том числе, вредоносного использования приложений;
· безопасное открытие и закрытое динамических портов и IP адреса для разрешенных соединений между клиентом и сервером.
Cisco ASA полностью отвечают этим требованиям, разрешая некоторым протоколам и приложениям допуск к защищённым коммуникациям. Данный функционал носит название «Application-Aware Inspection».
Виртуальный фаейрвол (security context)
Начиная с седьмой версии ОС, Cisco ASA способно поддерживать технологию Security Context – виртуальных фаейрволов. С её помощью можно установить на одном устройстве несколько независимо функционирующих фаейрволов – с различными интерфейсами, конфигурацией, политикой безопасности и прочими параметрами. Единственное, это решение лицензируется и доступно не на всех моделях устройств защиты.
Поддержка отказоустойчивости (failover)
В случае отказа фаейрвола сеть может стать лёгкой добычей для злоумышленников. Именно по этой причине Cisco ASA имеет функцию failover – конфигурацию отказоустойчивости, значительно повышающей эффективность и надёжность решения. Её суть сводится к тому, что аппаратная и программная часть фаейрвола конфигурируются в паре, и пока одно из них является задействованным, второе остаётся резервным, ведущим лишь мониторинг и готовым в случае необходимости заменить активный фаейрол в случае отказа. Такая конфигурация называется «активный/пассивный».
А с седьмой версии ПО возможна конфигурация «активный/активный», при котором оба устройства обрабатывают трафик, используя виртуальные фаейрволы – на каждом устройстве размещается по два. В обычных условиях один из них является активным, а второй – дополнительным. В случае сбоя или выходе одного устройства из строя второе активизирует дополнительный фаейрвол, обрабатывая весь трафик.
В каждой из конфигураций осуществляется динамическая отказоустойчивость, благодаря которой даже при отказе устройства установленные соединения не теряются.
Прозрачный файервол (transparent firewall)
Седьмая и более поздние версии операционной системы позволяют Cisco ASA работать в качестве прозрачного фаейрвола или режиме моста, обеспечивая максимальную защиту сети.
Управление через web интерфейс
Для достижения максимально просто управления устройство был разработан Adaptive Security Device Manager (ASDM) – понятный и удобный веб-интерфейс, которым можно пользоваться без специальных знаний командной оболочки устройства.
Новое поколение CISCO ASA: 5500-X
Межсетевые экраны Cisco ASA серии 5500-X (5512-X, 5515-X и более старшие) – это современное оборудование, являющее собой комплексное решение с массой преимуществ: возможность отслеживания состояний, которые обеспечивали межсетевые экраны предыдущих поколений, плюс набор сетевой безопасности высочайшего уровня. Среди их отличительных особенностей выделяют также наличие одновременно нескольких сервисов безопасности, предустановленные блоки питания в качестве резервных источников.
Данные модели межсетевых экранов прекрасно справляются со своей задачей, гарантируя полную защиту сетевых соединений – это достигается за счет применения встроенных сервисов безопасности, основанных на архитектуре облачных технологий и современных ПО, среди которых:
прозрачность и контроль приложений (Application Visibility and Control);
облачная система обеспечения интернет-безопасности и контроля (Cisco Cloud Web Security);
cредства безопасности (Web Security Essentials);
система предотвращения вторжений с учетом контекста (Intrusion Prevention System).
Кроме того, необходимо обратить внимание, что для корректной работы данных устройств не нужна отдельная настройка аппаратных модулей.
Использование ASDM для управления Cisco ASA
Система Cisco Adaptive Security Device Manager (ASDM) предоставляет функции управления и мониторинга через наглядный и простой в использовании управляющий Web-интерфейс, который позволяет ускорить процесс развертывания устройств защиты с помощью интеллектуальных настройщиков, эффективных инструментальных средств администрирования и гибких функций мониторинга.
11. Социальная инженерия
Информация – является одним из важнейших активов компании. Информация может составлять коммерческую тайну компании, т.е. при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или принести иную коммерческую выгоду компании. Соответственно, такую информацию необходимо защищать.
Поскольку в любой компании работают люди, то неизбежно возникает влияние человеческого фактора на все процессы организации. В том числе и на процесс защиты конфиденциальной информации.
Человеческий фактор — устойчивое выражение, которым обозначают психические способности человека как потенциальный и актуальный источник (причину) информационных проблем при использовании этим человеком современных технологий.
Любые действия человека, связанные с нарушением режима безопасности можно разделить на две большие категории: умышленные и неумышленные действия.
К умышленным действиям относятся кражи информации сотрудниками, модификация информации, либо её уничтожение (диверсии). Это крайний случай и с ним приходиться бороться постфактум, привлекая сотрудников внутренних дел.
К неумышленным действиям относятся: утрата носителей информации, уничтожение или искажение информации по неосторожности. Человек не осознаёт, что его действия приводят к нарушению режима коммерческой тайны.
Так же к неумышленным действиям относиться «помощь» не тем лицам, или так называемая социальная инженерия. Когда сотрудник не осознаёт, что его действия направлены на нарушение режима коммерческой тайны, но при этом тот, кто его просит это сделать, чётко знает, что нарушает режим.
Социальная инженерия — это метод (атак) несанкционированного доступа к информации или системам хранения информации без использования технических средств. Метод основан на использовании слабостей человеческого фактора и является очень эффективным. Злоумышленник получает информацию, например, путем сбора информации о служащих объекта атаки, с помощью обычного телефонного звонка или путем проникновения в организацию под видом ее служащего. Злоумышленник может позвонить работнику компании (под видом технической службы) и выведать пароль, сославшись на необходимость решения небольшой проблемы в компьютерной системе. Очень часто этот трюк проходит. Самое сильное оружие в этом случае — приятный голос и актёрские способности злоумышленника. Имена служащих удается узнать после череды звонков и изучения имён руководителей на сайте компании и других источников открытой информации (отчётов, рекламы и т.п.). Используя реальные имена в разговоре со службой технической поддержки, злоумышленник рассказывает придуманную историю, что не может попасть на важное совещание на сайте со своей учетной записью удаленного доступа. Другим подспорьем в данном методе являются исследование мусорных контейнеров организаций, виртуальных мусорных корзин, кража портативного компьютера и других носителей информации. Данный метод используется, когда злоумышленник наметил в качестве жертвы конкретную компанию.
Техники социальной инженерии
Все техники социальной инженерии основаны на особенностях принятия решений людьми.
Претекстинг — это действие, отработанное по заранее составленному сценарию (претексту). В результате цель (жертва) должна выдать определённую информацию, или совершить определённое действие. Этот вид атак применяется обычно по телефону. Чаще эта техника включает в себя больше, чем просто ложь, и требует каких-либо предварительных исследований (например, персонализации: выяснение имени сотрудника, занимаемой им должности и названия проектов, над которыми он работает), с тем, чтобы обеспечить доверие цели.
Фишинг — техника, направленная на жульническое получение конфиденциальной информации. Обычно злоумышленник посылает цели e-mail, подделанный под официальное письмо — от банка или платёжной системы — требующее «проверки» определённой информации, или совершения определённых действий. Это письмо обычно содержит ссылку на фальшивую web-страницу, имитирующую официальную, с корпоративным логотипом и содержимым, и содержащую форму, требующую ввести конфиденциальную информацию — от домашнего адреса до пин-кода банковской карты.
Троянский конь: Эта техника эксплуатирует любопытство, либо алчность цели. Злоумышленник отправляет e-mail, содержащий во вложении важное обновление антивируса, или даже свежий компромат на сотрудника. Такая техника остаётся эффективной, пока пользователи будут слепо кликать по любым вложениям.
Дорожное яблоко: Этот метод атаки представляет собой адаптацию троянского коня, и состоит в использовании физических носителей. Злоумышленник может подбросить инфицированный CD, или карту памяти, в месте, где носитель может быть легко найден (коридор, лифт, парковка). Носитель подделывается под официальный, и сопровождается подписью, призванной вызвать любопытство.
Пример: Злоумышленник может подбросить CD, снабжённый корпоративным логотипом, и ссылкой на официальный сайт компании цели, и снабдить его надписью «Заработная плата руководящего состава Q1 2010». Диск может быть оставлен на полу лифта, или в вестибюле. Сотрудник по незнанию может подобрать диск, и вставить его в компьютер, чтобы удовлетворить своё любопытство.
Кви про кво: Злоумышленник может позвонить по случайному номеру в компанию, и представиться сотрудником техподдержки, опрашивающим, есть ли какие-либо технические проблемы. В случае, если они есть, в процессе их «решения» цель вводит команды, которые позволяют злоумышленнику запустить вредоносное программное обеспечение.
Обратная социальная инженерия.
Целью обратной социальной инженерии является заставить цель саму обратиться к злоумышленнику за «помощью». С этой целью злоумышленник может применить следующие техники:
· Диверсия: Создание обратимой неполадки на компьютере жертвы.
· Реклама: Злоумышленник подсовывает жертве объявление вида «Если возникли неполадки с компьютером, позвоните по такому-то номеру» (это в большей степени касается сотрудников, которые находятся в командировке или отпуске).
Меры противодействия
Самый основной способ защиты от социальной инженерии — это обучение. Т.к. тот, кто предупреждён – тот вооружён. И незнание в свою очередь не освобождает от ответственности. Все работники компании должны знать об опасности раскрытия информации и способах ее предотвращения.
Кроме того, сотрудники компании должны иметь четкие инструкции о том, как, на какие темы говорить с собеседником, какую информацию для точной аутентификации собеседника им необходимо у него получить.
Вот некоторые правила, которые будут полезны:
1. Все пользовательские пароли являются собственностью компании. Всем сотрудникам должно быть разъяснено в день приема на работу, что те пароли, которые им выдали, нельзя использовать в каких бы то ни было других целях, например, для авторизации на интернет-сайтах (известно, что человеку трудно держать в голове все пароли и коды доступа, поэтому он часто пользуется одним паролем для разных ситуаций).
Как такая уязвимость может быть использована в социальной инженерии? Допустим, сотрудник компании стал жертвой фишинга. В результате его пароль на некотором интернет-сайте стал известен третьим лицам. Если этот пароль совпадает с тем, который используется в компании, возникает потенциальная угроза безопасности самой компании.
В принципе, даже не обязательно, чтобы сотрудник компании становился жертвой фишинга. Нет никаких гарантий, что на сайтах, где он авторизуется, соблюдается необходимый уровень безопасности. Так что, потенциальная угроза всегда существует.
2. Все сотрудники должны быть проинструктированы, как вести себя с посетителями. Необходимы четкие правила для установления личности посетителя и его сопровождения. При посетителе всегда должен находиться кто-то из сотрудников компании. Если сотрудник компании встречает посетителя, бродящего по зданию в одиночку, то он должен иметь необходимые инструкции для корректного выяснения того, с какой целью посетитель оказался в этой части здания и где его сопровождение.
3. Должно существовать правило корректного раскрытия только действительно необходимой информации по телефону и при личном разговоре, а так же процедура проверки является ли тот, кто что-либо запрашивает действительным сотрудником компании. Не секрет, что большая часть информации добывается злоумышленником при непосредственном общении с сотрудниками компании. Надо учесть еще тот факт, что в крупных компаниях сотрудники могут не знать друг друга, поэтому злоумышленник может запросто прикинуться сотрудником, которому требуется помощь.
Литература:
1. Бернет С., Пэйн С. "Криптография. Официальное руководство RSA Security".
2. Шнайер Б. "Прикладная криптография. Протоколы, алгоритмы, исходные тексты на языке Си"
3. Таненбаум, Эндрю. Компьютерные сети.
4. Олифер В. Г. Компьютерные сети: принципы, технологии, протоколы (любое издание).
5. Немет Э., Снайдер Г., Хейн Т., Уэйли Б. - Unix и Linux. Руководство системного администратора.
6. Лимончелли Т., Хоган К., Чейлап С. - Системное и сетевое администрирование. Практическое руководство.
7. Скачано с www.znanio.ru
Конспект по профессиональному модулю
Содержание Часов, согласно тематического плана 1
Безопасность компьютерных сетей
За возможность осуществления угроз направленных на конфиденциальность и целостность данных, не связанные с аппаратной или инфраструктурной составляющей,
Нарушение работы (случайное или умышленное) систем связи, электропитания, водо- и/или теплоснабжения, кондиционирования; ·
Для применения наиболее оптимальных мер по защите, необходимо провести оценку не только угроз информационной безопасности но и возможного ущерба, для этого используют характеристику приемлемости, таким…
К вредоносным программам относятся вирусы, черви, троянские программы
К ресурсам относятся: память, процессорное время, дисковое пространство, сетевые ресурсы и т
Социальные инженеры применяют психологические методы воздействия на людей через электронную почту, социальные сети и службы мгновенного обмена сообщениями
Такое разграничение доступа является составляющей многих современных компьютерных систем
RMM и настраивать устройство; · наблюдать за устройствами и программным обеспечением, измерение производительности и диагностика; · выполнять оповещения и предоставлять отчёты и информационные панели
Первый уровень предназначен для сбора, первичной обработки (нормализации) и передачи на следующий уровень собранной информации по событиям
ИБ организации в целом и по отдельным системам безопасности в частности
Представьте организацию (например университет) с множеством систем (серверы,
SQL, Kerberos, LDAP, Active Directory)
NAS PAP ID (login) и пароль в запросе
Cлужба каталогов — это репозитарий, в котором хранится информация о людях, компьютерах, сетевых устройствах и приложениях
Имя запись пользователя напоминает записи
Аутентификация (Authentication) — проверка принадлежности субъекту доступа по предъявленному им идентификатору (пароль, ключ и т
Алгоритм PAP: · клиент посылает имя и пароль серверу · сервер сверяет присланный пароль с паролем в своем хранилище
Gjhs6129dgGF_9eK_sj2vc9d" - пароль очень сложный, его не запомнят, а запишут и приклеят к монитору, пароль должен быть только в голове (или в сейфе)
Пароли в системе не хранятся, при этом пользователь проходит аутентификацию по паролю
Основной недостаток - необходимо хранить пароль на сервере
Пример: HA1 = MD5( "Mufasa:testrealm@host
Одноразовые пароли клиент может получать: · на бумаге · в токене · пересылкой (по
Шифр Виженера Используется несколько алфавитов
Пример ключа: Алгоритм: Зашифруем исходный текст "HELLO" ключом "XMCKL"
Принцип работы поточного шифра
Реализация технологий брандмауэра
Когда ACL настроены на выходе интерфейса, то трафик фильтруется сразу же после процесса маршрутизации:
Виды ACL Cisco IOS поддерживает 3 типа
Например, Алисе разрешается использовать электронную почту, но все еще запрещается использовать остальной доступ в интернет
Внешняя сеть - связывается напрямую с провайдером
Контроль доступа на основе контекста - https://ru
Список контроля доступа 101 используется для исходящего трафика
R-команды (r-exec, r-login, r-sh) realaudio
Protocol — протоколы транспортного уровня (TCP,
Здесь предлагается описывать трафик, применять политику
IPS является частным случаем IDS (Intrusion
Первый бета релиз был в 2009 году
Т.е. это плохой вариант, когда требуется максимальная защищенность
Для правильной идентификации вторжения
IDPS позволяют задать пороговые значения для реакций — например, установить значение допустимого увеличения трафика в будние дни
PIDS не имеет смысла ставить перед файерволом, внутри сети, а
Другая частая практика — установка нескольких копий системы обнаружения вторжений в критичных местах для защиты сети по приоритету важности
Одними из основных причин, провоцирующих рост сетевой преступности, являются несовершенство существующих средств и методов сетевой защиты и неэффективность противодействия этих средств ряду информационных угроз
Традиционные средства и методы борьбы с этими угрозами основаны на принципе установки разнообразных “информационных барьеров” — межсетевых экранов и сетевых фильтров, систем обнаружения вторжения, активного…
MPLS VPN Сервисы L2 VPN, организованные на основе технологии
Существует несколько видов атак на сети
Всё это действенно для VLAN'а, в котором находится злоумышленник
© ООО «Знанио»
С вами с 2009 года.
