Файл: Основыинформационнойбезопасности.pdf

116 таблицу трансляции адресов будет добавлена запись, аналогичная приведенной в табл. 3.1.
Получив представление о механизме работы NAT, разберемся, какие сложности могут возникнуть в случае использования IPSec.
Рис. 3.11. Пример использования механизма NAT
Т а б л и ц а 3 . 1

117
Таким образом, механизм NAT и протокол AH несовместимы. В то же время протокол ESP, который не контролирует целостность ip- заголовка, может использоваться совместно с трансляцией адресов.
Кроме того, RFC 2709 определяет расширение NAT — IPC-NAT
(англ. «IPSec policy Controlled NAT» — NAT, управляемый правилами
IPSec). Оно позволяет решить указанную проблему путем создания
IP-IP туннеля, одной из конечных точек которого является узел NAT.
В этом случае вместо модификации IP-адреса отправителя в заголовке исходного пакета NAT-устройство помещает без изменений весь ис- ходный пакет (который аутентифицирован AH) в новый IP-пакет, в заголовке которого в качестве адреса отправителя ставится адрес
NAT-устройства. На стороне получателя из полученного пакета изы- мают исходный пакет и далее обрабатывают его как обычно.
Отдельно необходимо решать вопрос с распределением ключей.
Если для этой цели используется протокол IKE (а он использует транспортный протокол UDP, порт 500), потребуется специально ор- ганизовать пересылку соответствующих данных во внутреннюю сеть.
В случае если задействовать UDP-порт 500 не представляется воз- можным, можно использовать описываемый в документах RFC 3947,
3948 механизм NAT-T (от англ. «NAT traversal»), определяющий ин- капсуляцию IKE и IPSec трафика в пакеты UDP. При этом задейству- ется порт 4500.
3.4. МЕЖСЕТЕВЫЕ ЭКРАНЫ
Межсетевой экран (МЭ) — это средство защиты информации, осуществляющее анализ и фильтрацию проходящих через него сете- вых пакетов. В зависимости от установленных правил МЭ пропускает или уничтожает пакеты, разрешая или запрещая таким образом сете- вые соединения. МЭ является классическим средством защиты пери- метра компьютерной сети: он устанавливается на границе между внутренней (защищаемой) и внешней (потенциально опасной) сетями и контролирует соединения между узлами этих сетей. Но бывают и другие схемы подключения, которые будут рассмотрены ниже.

118
Английский термин, используемый для обозначения МЭ —
«firewall». Поэтому в литературе межсетевые экраны иногда также называют файервол или брандмауэр (немецкий термин, аналог fire- wall).
Как уже было отмечено, фильтрация производится на основании правил. Наиболее безопасным при формировании правил для МЭ считается подход «запрещено все, что явно не разрешено». В этом случае сетевой пакет проверяется на соответствие разрешающим пра- вилам, а если таковых не найдется — отбрасывается. Но в некоторых случаях применяется и обратный принцип: «разрешено все, что явно не запрещено». Тогда проверка производится на соответствие запре- щающим правилам, и если таких не будет найдено, пакет будет про- пущен.
Фильтрацию можно производить на разных уровнях эталонной модели сетевого взаимодействия OSI. По этому признаку МЭ делятся на следующие классы [13]:
- экранирующий маршрутизатор;
- экранирующий транспорт (шлюз сеансового уровня);
- экранирующий шлюз (шлюз прикладного уровня).
Экранирующий маршрутизатор (или пакетный фильтр) функ- ционирует на сетевом уровне модели OSI, но для выполнения прове- рок может использовать информацию и из заголовков протоколов транспортного уровня. Соответственно, фильтрация может произво- диться по ip-адресам отправителя и получателя, а также по ТСР и
UDP портам. Такие МЭ отличает высокая производительность и от- носительная простота — функциональностью пакетных фильтров об- ладают сейчас даже наиболее простые и недорогие аппаратные марш- рутизаторы. В то же время, они не защищают от многих атак, напри- мер, связанных с подменой участников соединений.
Шлюз сеансового уровня работает на сеансовом уровне модели
OSI и также может контролировать информацию сетевого и транс- портного уровней. Соответственно, в дополнение к перечисленным

119 выше возможностям подобный МЭ может контролировать процесс установки соединения и проводить проверку проходящих пакетов на принадлежность разрешенным соединениям.
Шлюз прикладного уровня может анализировать пакеты на всех уровнях модели OSI от сетевого до прикладного, что обеспечивает наиболее высокий уровень защиты. В дополнение к ранее перечис- ленным появляются такие возможности, как аутентификация пользо- вателей, анализ команд протоколов прикладного уровня, проверка пе- редаваемых данных (на наличие компьютерных вирусов, соответ- ствие политике безопасности) и т. д.
Рассмотрим теперь вопросы, связанные с установкой МЭ. На рис. 3.12 представлены типовые схемы подключения МЭ. В первом случае (рис. 3.12, а) МЭ устанавливается после маршрутизатора и за- щищает всю внутреннюю сеть. Такая схема применяется, если требо- вания в области защиты от несанкционированного межсетевого до- ступа примерно одинаковы для всех узлов внутренней сети. Напри- мер, «разрешать соединения, устанавливаемые из внутренней сети во внешнюю, и пресекать попытки подключения из внешней сети во внутреннюю».
В случае если требования для разных узлов различны (напри- мер, нужно разместить почтовый сервер, к которому могут подклю- чаться «извне»), подобная схема установки межсетевого экрана не яв- ляется достаточно безопасной. Если в нашем примере нарушитель в результате реализации сетевой атаки получит контроль над указан- ным почтовым сервером, через него он может получить доступ и к другим узлам внутренней сети.
В подобных случаях иногда перед МЭ создается открытый сег- мент сети предприятия (рис. 3.12, б), а МЭ защищает остальную внутреннюю сеть. Недостаток данной схемы заключается в том, что подключения к узлам открытого сегмента МЭ не контролирует.
Более предпочтительным в данном случае является использова- ние МЭ с тремя сетевыми интерфейсами (рис. 3.12, в).

120
a)
б)
в)
г)
Рис. 3.12. Типовые схемы подключения межсетевых экранов:
а) подключение МЭ с двумя сетевыми интерфейсами; б) подклю- чение МЭ с двумя сетевыми интерфейсами при выделении от- крытого сегмента внутренней сети; в) подключение МЭ с тремя сетевыми интерфейсами; г) подключение двух МЭ
МЭ с тремя сетевыми интерфейсами конфигурируется таким образом, чтобы правила доступа во внутреннюю сеть были более

121 строгими, чем в открытый сегмент. В то же время, и те, и другие со- единения могут контролироваться МЭ. Открытый сегмент в этом слу- чае иногда называется «демилитаризованной зоной» — DMZ.
Еще более надежной считается схема, в которой для защиты се- ти с DMZ задействуются два независимо конфигурируемых МЭ
(рис. 3.12, г). В этом случае MЭ 2 реализует более жесткий набор пра- вил фильтрации по сравнению с МЭ1. И даже успешная атака на пер- вый МЭ не сделает внутреннюю сеть беззащитной.
В последнее время стал широко использоваться вариант уста- новки программного МЭ непосредственно на защищаемый компью- тер. Иногда такой МЭ называют «персональным». Подобная схема позволяет защититься от угроз исходящих не только из внешней сети, но из внутренней. Особенно актуально применение персональных МЭ при непосредственном подключении компьютера к потенциально опасной сети. Например, при подключении домашнего компьютера к
Интернет.
Завершая этот раздел, хочется отметить, что тема защиты ин- формации в компьютерных сетях очень обширна и многие ее аспекты в данном разделе даже не затрагивались. Дополнительные сведения по данной тематике можно получить из специальной литературы, в частности, из изданий, перечисленных в библиографическом списке.
4. АНАЛИЗ И УПРАВЛЕНИЕ РИСКАМИ
В СФЕРЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
4.1. ВВЕДЕНИЕ В ПРОБЛЕМУ
Целью данного раздела является изучение современных методик анализа и управления рисками, связанными с информационной без- опасностью (ИБ).
Риском в сфере ИБ будем называть потенциальную возмож- ность понести убытки из-за нарушения безопасности информацион- ной системы (ИС). Зачастую понятие риска смешивают с понятием угрозы, которое рассматривалось ранее, в разделе 1.1. Необходимо

122 отметить, что от угрозы риск отличает наличие количественной оцен- ки возможных потерь и (возможно) оценки вероятности наступления нежелательного события.
Разберемся, зачем нужно исследовать риски в сфере ИБ, и что это может дать при разработке системы обеспечения ИБ для ИС. Для любого проекта, требующего финансовых затрат на его реализацию, весьма желательно уже на начальной стадии определить, что мы бу- дем считать признаком завершения работы и как будем оценивать ре- зультаты проекта. Для задач, связанных с обеспечением ИБ, это также весьма актуально.
На практике наибольшее распространение получили два подхо- да к обоснованию проекта подсистемы обеспечения безопасности.
Первый из них основан на проверке соответствия уровня защи- щенности ИС требованиям одного из стандартов в области информа- ционной безопасности. Это может быть класс защищенности в соот- ветствии с требованиями руководящих документов Гостехкомиссии
РФ (сейчас это ФСТЭК России), профиль защиты, разработанный в соответствии со стандартом ISO-15408 (см. раздел 1.5), или какой- либо другой набор требований. Тогда критерий достижения цели в области безопасности — это выполнение заданного набора требова- ний. Критерий эффективности — минимальные суммарные затраты на выполнение поставленных функциональных требований:


min
i
c
, где c
i
— затраты на i-е средство защиты.
Основной недостаток данного подхода заключается в том, что в случае, когда требуемый уровень защищенности жестко не задан
(например, через законодательные требования), определить «наиболее эффективный» уровень защищенности ИС достаточно сложно.
Второй подход к построению системы обеспечения ИБ связан с оценкой и управлением рисками. Изначально он произошел из прин- ципа «разумной достаточности», примененного к сфере обеспечения
ИБ. Этот принцип быть описан следующим набором утверждений:

123
- абсолютно непреодолимую систему защиты создать невозмож- но;
- необходимо соблюдать баланс между затратами на защиту и по- лучаемым эффектом, в т. ч. и экономическим, заключающимся в снижении потерь от нарушений безопасности;
- стоимость средств защиты не должна превышать стоимости за- щищаемой информации (или других ресурсов — аппаратных, программных);
- затраты нарушителя на несанкционированный доступ к инфор- мации должны превышать тот эффект, который он получит, осуществив подобный доступ.
Но вернемся к рискам. В данном случае, рассматривая ИС в ее исходном состоянии, мы оцениваем размер ожидаемых потерь от ин- цидентов, связанных с информационной безопасностью (как правило, берется определенный период времени, например, год). После этого делается оценка того, как предлагаемые средства и меры обеспечения безопасности влияют на снижение рисков, и сколько они стоят. Если представить некоторую идеальную ситуацию, то идею подхода отоб- ражает приведенный на рис. 4.1 график [15].
Рис. 4.1. Идеализированный график соотношения
«затраты на защиту — ожидаемые потери»