Файл: лекции по ксзи.pdf

Экранирование  позволяет контролировать  как входящие,  так и 

исходящие  информационные  потоки,  что  повышает  режим  кон­
фиденциальности АС.  Кроме  функций  разграничения доступа эк­

ранирование обеспечивает регистрацию информационных обменов.

Фильтрация  информации  состоит  из  анализа  информации  по 

совокупности  критериев  и  принятия решения о ее  распростране­
нии  в/из АС.

МСЭ  классифицируют  обычно  следующим  образом:

•  программные  или  аппаратно-программные;

•  по уровню  фильтрации,  соответствующему  ЭМВОС.

По последнему критерию МСЭ разделяют на четыре типа: межсе­

тевые  экраны  с  фильтрацией  пакетов;  шлюзы  сеансового  уровня; 

шлюзы прикладного уровня; межсетевые экраны экспертного уровня.

Межсетевые экраны с фильтрацией пакетов

 (packet-filtering 

firewall) представляют собой маршрутизаторы или работающие на 
сервере  программы,  сконфигурированные  таким  образом,  чтобы 
фильтровать входящие  и  исходящие  пакеты,  поэтому  эти  экраны 
называют  иногда  пакетными  фильтрами.  Фильтрация  осуществ­

ляется  путем  анализа  IP-адреса  источника  и  приемника,  а также 

портов входящих TCP-  и  UDP-пакетов и  сравнением  их со скон­
фигурированной  таблицей  правил.

Данные  системы  просты  в  использовании,  дешевы,  оказывают 

минимальное  влияние  на  производительность  АС.  Их  основной 

недостаток  —  уязвимость  для  IP-спуфинга  (замены  адресов  IP). 
Кроме того,  они сложны  при  конфигурировании: для  их установки 

требуется знание сетевых, транспортных и прикладных протоколов.

Шлюзы  сеансового уровня

  (circuit-level gateway)  контролируют 

допустимость сеанса связи. Они следят за подтверждением (квитиро­

ванием) связи между авторизованным клиентом и внешним хостом 
(и  наоборот),  определяя,  является ли  запрашиваемый  сеанс  связи 

допустимым.  При  фильтрации  пакетов  шлюз  сеансового  уровня 

основывается на информации, содержащейся в заголовках пакетов 

сеансового уровня протокола TCP, т. е. функционирует на два уровня 
выше,  чем  межсетевой  экран  с  фильтрацией  пакетов.  Кроме того, 
указанные  системы  обычно  имеют  функции  трансляции  сетевых 
адресов,  которая  скрывает  внутренние  IP-адреса,  т.е.  исключают 

IP-спуфинг. Однако поскольку системы контролируют пакеты толь­

ко  на  сеансовом  уровне,  то  контроль  содержимого  пакетов,  гене­

рируемых различными службами, отсутствует. Для исключения ука­
занного недостатка применяются  шлюзы  прикладного уровня.

Шлюзы  прикладного  уровня

  (application-level  gateway)  прове­

ряют содержимое  каждого  проходящего  через  шлюз  пакета  и  мо­
гут фильтровать отдельные  виды  команд  или  информации  в  про­

токолах  прикладного  уровня,  которые  им  поручено  обслуживать. 

Это  более совершенный и  надежный тип  брандмауэра,  использу­

ющий  программы-посредники  (proxies)  прикладного  уровня,  или

агенты. Агенты составляются для конкретных служб Internet (HTTP, 

FTP,  telnet  и т.д.)  и  служат  для  проверки  сетевых  пакетов  на  на­

личие  достоверных  данных.  Однако  шлюзы  прикладного  уровня 

снижают  уровень  производительности  системы  из-за  повторной 
обработки  в  программе-посреднике.  Это  незаметно  при  работе  в 

Internet из-за узости каналов связи,  но существенно при работе во 
внутренней сети —  Intranet.  К недостаткам можно добавить необ­

ходимость  (а  значит  и  дополнительные  временные  и  экономиче­
ские затраты) в разработке новых программ-посредников при вне­

дрении  новой  службы  Internet.

Межсетевые  экраны  экспертного  уровня

  (stateful  inspection 

firewall)  сочетают  в  себе  элементы  всех трех описанных выше  ка­

тегорий.  Как  и  межсетевые  экраны  с  фильтрацией  пакетов,  они 

работают  на  сетевом  уровне  модели  OSI,  фильтруя  входящие  и 
исходящие пакеты на основе проверки  IP-адресов и номеров пор­
тов.  Межсетевые  экраны  экспертного  уровня  также  выполняют 
функции  шлюза  сеансового  уровня,  определяя,  относятся  ли  па­

кеты  к  соответствующему  сеансу.  И  наконец,  брандмауэры  экс­
пертного уровня берут на себя функции шлюза прикладного уров­
ня,  оценивая  содержимое  каждого  пакета  в соответствии  с  поли­

тикой  безопасности,  выработанной  в  конкретной  организации.

Специфика указанных межсетевых экранов состоит  в том,  что 

для  обеспечения  защиты  они  перехватывают и  анализируют  каж­
дый  пакет  на  прикладном  уровне  модели  OSI.  Вместо  примене­

ния связанных с приложениями программ-посредников брандма­

уэры  экспертного  уровня  используют  специальные  алгоритмы 
распознавания  и  обработки  данных  на  уровне  приложений. 

С  помощью  этих алгоритмов  пакеты  сравниваются  с  известными 

шаблонами  данных,  что  теоретически  должно  обеспечить  более 
эффективную  фильтрацию  пакетов.

Поскольку  брандмауэры  экспертного  уровня  допускают  пря­

мое  соединение между авторизованным  клиентом  и  внешним  хо­
стом,  они  оказывают  меньшее  влияние  на  производительность, 
чем  шлюзы прикладного уровня.  Спорным остается  вопрос: обес­
печивают они  меньшую  безопасность АС  по  сравнению  со  шлю­
зами  прикладного  уровня  или  нет.

8.4.  Методика  выявления  нарушителей,

тактики  их действий  и  состава  интересующей

их  информации

Одна из новейших технологий  в области защиты информации — 

создание ложных объектов атаки  —  направлена на выявление  на­
рушителей  и изучение их злоумышленных действий.  Эта техноло­

гия получила название «honeypot»,  или «honeynet», что в переводе 
с  английского означает «горшочек с  медом»  и  «медовая  сеть»  со­

ответственно.  Здесь  проводится  аналогия  нарушителей,  стремя­

щихся  атаковать привлекательный  компьютер  или сеть с  мухами, 

летящими на сладкое.  И подобно мухам нарушители «застревают» 

в  honeypot,  их  действия  становятся  предметом  тщательного  изу­

чения,  а иногда  по  ним  наносится ответный  удар.

Honeypot  —  это  информационная  система,  специально  пред­

назначенная  для  неправомерного  доступа  [28].  Фактически  это 
обманка,  привлекательный  объект  для  атаки,  находящийся  под 

полным  контролем  специалистов  по  безопасности.  Информаци­
онная система honeypot может представлять собой  как отдельный 

хост  в  сети,  так  и  сеть,  наполненную  разного  рода  объектами: 

маршрутизаторами,  серверами,  рабочими  станциями,  реальными 
или  виртуальными.

Выделяют два основных типа реализаций,  эмулирующие  и ре­

альные,  иногда  их  определяют  как  слабо-  и  высокоинтерактив­
ные. Первые способны эмулировать взаимодействие от лица опре­

деленного сервиса,  например  принять соединение  на tcp порт 22, 

принять  от  атакующего  имя  пользователя  и  пароль  (и  т.д.),  при 
этом  фиксируя  все  действия  атакующего.  Высокоинтерактивные 

honeypot,  основанные  на  применении  реальных  ОС  и  реальных 
сервисов, несколько сложнее в применении. Фактически они пред­
ставляют собой специально спроектированные сетевые сегменты, 
подключенные к сетям общего пользования. Сетевой трафик между 

honeypot  и  внешним  миром  контролируется  и  фиксируется,  что­

бы  полностью  сохранить  все  действия  атакующих.

Применение honeypot-систем в реальной жизни позволяет опре­

делять  факт  атаки,  предотвращать  атаки  на  реальные  сервисы  и 
обеспечивать  службу  безопасности  материалами  для  анализа  и 
ответной  деятельности.

Определение  факта  атаки  заложено  в  саму  идею  honeypot:  к 

honeypot не могут обращаться за сервисом реальные клиенты. Если 
к  нему  обратились,  это  свидетельствует  о  том  или  ином  наруше­
нии.  Определение  факта  атаки  является  важным  моментом  для 
администраторов,  так  как  позволяет  оперативно  принять  меры 
противодействия.

Гл а в а  9

Определение  компонентов  КСЗИ

9.1.  Особенности  синтеза  СЗИ АС  от  НСД

Для  определения  компонентов  СЗИ  необходимо  решить  зада­

чу синтеза этой системы.  С одной стороны,  СЗИ является состав­

ной частью АС, с другой стороны, сама по себе представляет слож­

ную техническую систему.  Решение задач анализа и синтеза  СЗИ 
усложняется  рядом  их  особенностей;  основные  из  них  [6]:

•  сложная  опосредованная  взаимосвязь  показателей  качества 

СЗИ  с  показателями  качества  информационной  системы;

•  необходимость  учета  большого  числа  показателей  (требова­

ний)  СЗИ  при  оценке  и  выборе  их рационального  варианта;

•  преимущественно  качественный  характер  показателей  (тре­

бований),  учитываемых  при  анализе  и  синтезе  СЗИ;

• существенная  взаимосвязь и  взаимозависимость этих показа­

телей  (требований),  имеющих  противоречивый  характер;

• трудность получения исходных данных,  необходимых для ре­

шения  задач  анализа  и  синтеза  СЗИ,  в  особенности  на  ранних 
этапах  их  проектирования.

Указанные  особенности  делают  затруднительным  применение 

традиционных  математических  методов,  в том  числе  методов  ма­
тематической  статистики  и теории  вероятностей,  а также  класси­
ческих методов оптимизации для решения прикладных задач ана­
лиза  и  синтеза  СЗИ  [6].

Сложность процесса принятия решений, отсутствие  математи­

ческого  аппарата  приводят  к тому,  что при оценке  и  выборе  аль­
тернатив  возможно  (а  зачастую  просто  необходимо)  использова­
ние  и  обработка  качественной  экспертной  информации.

Поэтому в данной главе помимо описания применяемых мето­

дов оптимизации  определенное внимание уделяется  методам  экс­

пертной  оценки.

После  разработки  формальной  модели  (описана  в  гл.  И)  на 

этапе  синтеза  осуществляются:

•  синтез  альтернативных  структур  системы;
•  синтез  параметров  системы;

•  оценивание  вариантов  синтезированной  системы.
Исходными  положениями для  методики  синтеза является  уже

существующая или проектируемая АС;  известны ее архитектура и 
методы  взаимодействия  между  ее  компонентами.  Должна  быть 

задана политика безопасности обработки  информации  в рассмат­
риваемой  АС.  Также  считается  известным  возможный  набор 
средств  и  механизмов  обеспечения  информационной  безопасно­
сти  и  ограничения  по  основным  внешним  характеристикам,  на­
кладываемых на АС (стоимость,  производительность и т.п.).  Кро­
ме того,  важное  значение  имеет правильный  выбор  критерия  оп­

тимальности.

9 .2 .  Методика  синтеза  СЗИ

9.2.1. 

Общее  описание  архитектуры 

АС, 

системы

защиты  информации  и  политики  безопасности

Схематичное  изображение  методики  построения  системы  за­

щиты  АС  представлено  на  рис.  9.1.  Во  многом  оно  напоминает 

изображение  методики,  приведенной  в  работе  [43].

Под 

оптимальной  системой  защиты

  будем  понимать  такую 

совокупность методов зашиты,  которая обеспечивает экстремаль­
ное  значение  некоторой  характеристики  системы  при  ограниче­
ниях  на  ряд  других  характеристик.  Рассмотрим  более  подробно 
каждый  шаг  методики.

На этапе,  который рассмотрен в данном подразделе,  осуществ­

ляется  анализ  следующих  аспектов АС:

•  из  каких сегментов  и  элементов  состоит АС,  где  они  разме­

щены;

•  как  компоненты  АС  взаимодействуют  между  собой,  какие 

сетевые  протоколы  используются  и  т.п.;

•  какое  общее,  прикладное  и  специальное  программное  обес­

печение  используется;

•  грифы  секретности,  режим  обработки  информации  в АС.

Как  правило,  этот анализ должен  выполняться  на этапе  пред-

проектного  обследования  (в  рамках  проведения  НИР  или  аван- 
проекта  ОКР).  При  этом  необходимо  выполнить  следующий  пе­

речень  работ:

•  определение  целей  и  задач  СЗИ;
• категорирование,  оценка активов,  сбор исходных данных для 

проектирования;

• анализ возможных угроз, уязвимостей, разработка модели на­

рушителя;

•  неформальное  описание  системы  защиты  информации,  ее 

декомпозиция  по  отдельным  СВТ  и уровням  ЭМВОС;