Автор: Пользователь скрыл имя, 31 Августа 2012 в 19:08, реферат
Архітектура Intranet має на увазі підключення до зовнішніх відкритих мереж, використання зовнішніх сервісів і надання власних сервісів зовні, що висуває підвищені вимоги до захисту інформації.
Малюнок 2.3.2
Малюнок 2.3.2 Екранування корпоративної мережі, що складає з декількох територіально рознесених сегментів, кожний з який підключений до мережі загального користування.
При розгляді будь-якого питання, що стосується мережних технологій, основою служить еталонна модель ISO/OSI. Міжмережеві екрани також доцільно класифікувати по тому, на якому рівні виробляється фільтрація - канальному, мережному, транспортному чи прикладному. Відповідно, можна говорити про концентратори, що екранують, (рівень 2), маршрутизаторах (рівень 3), про транспортне екранування (рівень 4) і про прикладні екрани (рівень 7). Існують також комплексні екрани, що аналізують інформацію на декількох рівнях.
У даній роботі ми не будемо розглядати концентратори, що екранують, оскільки концептуально вони мало відрізняються від маршрутизаторів, що екранують.
При ухваленні рішення “пропустити/не пропустити”, міжмережеві екрани можуть використовувати не тільки інформацію, що міститься у фільтруючих потоках, але і дані, отримані з оточення, наприклад поточний час.
Таким чином, можливості міжмережевого екрана безпосередньо визначаються тим, яка інформація може використовуватися в правилах фільтрації і яка може бути потужність наборів правил. Узагалі говорячи, чим вище рівень у моделі ISO/OSI, на якому функціонує екран, тим більше змістовна інформація йому доступна і, отже, тим тонше і надійніше екран може бути сконфігурований. У той же час фільтрація на кожнім з перерахованих вище рівнів має свої достоїнства, такими як дешевина, висока чи ефективність прозорість для користувачів. У силу цієї, а також деяких інших причин, у більшості випадків використовуються змішані конфігурації, у яких об'єднані різнотипні екрани. Найбільш типовим є сполучення маршрутизаторів, що екранують, і прикладного екрана (Рис. 2.3.3).
Приведена конфігурація називається що екранує під сіткою. Як правило, сервіси, що організація надає для зовнішнього застосування (наприклад “представницький” Web-сервер), доцільно виносити саме в що екранує під сіть.
Крім виразних можливостей і припустимої кількості правил якість міжмережевого екрана визначається ще двома дуже важливими характеристиками - простотою застосування і власною захищеністю. У плані простоти використання першорядне значення мають наочний інтерфейс при завданні правил фільтрації і можливість централізованого адміністрування складених конфігурацій. У свою чергу, в останньому аспекті хотілося б виділити кошти централізованого завантаження правил фільтрації і перевірки набору правил на несуперечність. Важливий і централізований збір і аналіз реєстраційної інформації, а також одержання сигналів про спроби виконання дій, заборонених політикою безпеки.
Власна захищеність міжмережевого екрана забезпечується тими ж засобами, що і захищеність універсальних систем. При виконанні централізованого адміністрування варто ще подбати про захист інформації від пасивного й активного прослуховування мережі, тобто забезпечити її (інформації) цілісність і конфіденційність.
Малюнок 2.3.3
Малюнок 2.3.3 Сполучення маршрутизаторів, що екранують, і прикладного екрана.
Хотілося б підкреслити, що природа екранування (фільтрації), як механізму безпеки, дуже глибока. Крім блокування потоків даних, що порушують політику безпеки, міжмережевий екран може ховати інформацію про мережу, що захищається, тим самим утрудняючи дії потенційних зловмисників. Так, прикладний екран може здійснювати дії від імені суб'єктів внутрішньої мережі, у результаті чого з зовнішньої мережі здається, що має місце взаємодія виняткова з міжмережевим екраном (Мал. 2.3.4). При такому підході топологія внутрішньої мережі схована від зовнішніх користувачів, тому задача зловмисника істотно ускладнюється.
Малюнок 2.3.4
Малюнок 2.3.4 Правдиві й удавані інформаційні потоки.
Більш загальним методом приховання інформації про топологію мережі, що захищається, є трансляція “внутрішніх” мережних адрес, що попутно вирішує проблему розширення адресного простору, виділеного організації.
Обмежуючий інтерфейс також можна розглядати як різновид екранування. На невидимий об'єкт важко нападати, особливо за допомогою фіксованого набору засобів. У цьому змісті Web-інтерфейс має природний захист, особливо в тому випадку, коли гіпертекстові документи формуються динамічно. Кожний бачить лише те, що йому покладене.
Роль Web-сервісу, що екранує, наочно виявляється і тоді, коли цей сервіс здійснює посередницькі (точніше, що інтегрують) функції при доступі до інших ресурсів, зокрема таблицям бази даних. Тут не тільки контролюються потоки запитів, але і ховається реальна організація баз даних.
БЕЗПЕКА ПРОГРАМНОГО СЕРЕДОВИЩА
Ідея мереж з так називаними активними агентами, коли між комп'ютерами передаються не тільки пасивні, але й активні виконував дані (тобто програми), зрозуміло, не нова. Спочатку ціль полягала в тому, щоб зменшити мережний трафік, виконуючи основну частину обробки там, де розташовуються дані (наближення програм до даних). На практиці це означало переміщення програм на сервери. Класичний приклад реалізації подібного підходу - це збережені процедури в СУБД.
Для Web-серверів аналогом збережених процедур є програми, що обслуговують загальний шлюзовий інтерфейс (Common Gateway Interface - CGI).
CGI-процедури розташовуються на серверах і звичайно використовуються для динамічного породження HTML-документів. Політика безпеки організації і процедурних мір повинні визначати, хто має право поміщати на сервер CGI-процедури. Твердий контроль тут необхідний, оскільки виконання сервером некоректної програми може привести до як завгодно важких наслідків. Розумна міра технічного характеру складається в мінімізації привілеїв користувача, від імені якого виконується Web-сервер.
У технології Intranet, якщо піклуватися про якість і виразну силу користувальницького інтерфейсу, виникає нестаток у переміщенні програм з Web-серверів на клієнтські комп'ютери - для створення анімації, виконання семантичного контролю при введенні даних і т.д. Узагалі, активні агенти - невід'ємна частина технології Intranet.
У якому би напрямку ні переміщалися програми по мережі, ці дії становлять підвищену небезпеку, тому що програма, отримана з ненадійного джерела, може містити ненавмисно внесені чи помилки цілеспрямовано створений злобливий код. Така програма потенційно загрожує всім основним аспектам інформаційної безпеки:
• приступності (програма може поглинути всі наявні ресурси);
• цілісності (програма може чи видалити зашкодити дані);
• конфіденційності (програма може прочитати дані і передати їх по мережі).
Проблему ненадійних програм усвідомлювали давно, але, мабуть, тільки в рамках системи програмування Java уперше запропонована цілісна концепція її рішення.
Java пропонує три оборонних рубежі:
• надійність мови;
• контроль при одержанні програм;
• контроль при виконанні програм.
Утім, існує ще одне, дуже важливий засіб забезпечення інформаційної безпеки - безпрецедентна відкритість Java-системи. Вихідні тексти Java-компілятора й інтерпретатора доступні для перевірки, тому велика імовірність, що помилки і недоліки першими будуть виявляти чесні фахівці, а не зловмисники.
У концептуальному плані найбільших труднощів представляє контрольоване виконання програм, завантажених по мережі. Насамперед, необхідно визначити, які дії вважаються для таких програм припустимими. Якщо виходити з того, що Java - це мова для написання клієнтських частин додатків, одним з основних вимог до яких є мобільність, завантажена програма може обслуговувати тільки користувальницький інтерфейс і здійснювати мережну взаємодію із сервером. Програма не може працювати з файлами хоча б тому, що на Java-терміналі їхній, можливо, не буде. Більш змістовні дії повинні вироблятися на серверній чи стороні здійснюватися програмами, локальними для клієнтської системи.
Цікавий підхід пропонують фахівці компанії Sun Microsystems для забезпечення безпечного виконання командних файлів. Мова йде про середовище Safe-Tcl (Tool Comman Language, інструментальна командна мова). Sun запропонувала так називану коміручну модель інтерпретації командних файлів. Існує головний інтерпретатор, якому доступні всі можливості мови.
Якщо в процесі роботи додатка необхідно виконати сумнівний командний файл, породжується підлеглий командний інтерпретатор, що володіє обмеженою функціональністю (наприклад, з нього можуть бути вилучені засоби роботи з файлами і мережні можливості). У результаті потенційно небезпечні програми виявляються ув'язненими в осередки, що захищають користувальницькі системи від ворожих дій. Для виконання дій, що вважаються привілейованими, підлеглий інтерпретатор може звертатися з запитами до головного. Тут, мабуть, проглядається аналогія з поділом адресних просторів операційної системи і користувальницьких процесів і використанням останніми системних викликів. Подібна модель уже близько 30 років є стандартної для ОС.
ЗАХИСТ WEB-СЕРВЕРІВ
Поряд із забезпеченням безпеки програмного середовища (див. попередній розділ), найважливішим буде питання про розмежування доступу до об'єктів Web-сервісу. Для рішення цього питання необхідно усвідомити, що є об'єктом, як ідентифікуються суб'єкти і яка модель керування доступом - примусова чи довільна - застосовується.
У Web-серверах об'єктами доступу виступають універсальні локатори ресурсів (URL - Uniform (Universal) Resource Locator). За цими локаторами можуть стояти різні сутності - HTML-файли, CGI-процедури і т.п.
Як правило, суб'єкти доступу ідентифікуються по IP-адресах і/чи іменам комп'ютерів і областей керування. Крім того, може використовуватися парольна аутентифікації чи користувачів більш складні схеми, засновані на криптографічних технологіях.
У більшості Web-серверів права розмежовуються з точністю до каталогів (директорій) із застосуванням довільного керування доступом. Можуть надаватися права на читання HTML-файлів, виконання CGI-процедур і т.д.
Для раннього виявлення спроб нелегального проникнення в Web-сервер важливий регулярний аналіз реєстраційної інформації.
Зрозуміло, захист системи, на якій функціонує Web-сервер, повинна випливати універсальним рекомендаціям, головної з який є максимальне спрощення. Усі непотрібні сервіси, файли, пристрої повинні бути вилучені. Число користувачів, що мають прямий доступ до сервера, повинне бути зведене до мінімуму, а їхні привілеї - упорядковані у відповідності зі службовими обов'язками.
Ще один загальний принцип полягає в тому, щоб мінімізувати обсяг інформації про сервер, що можуть одержати користувачі. Багато серверів у випадку звертання по імені каталогу і відсутності файлу index.HTML у ньому, видають HTML-варіант змісту каталогу. У цьому змісті можуть зустрітися імена файлів з вихідними текстами чи CGI-процедур з іншою конфіденційною інформацією. Такого роду “додаткові можливості” доцільно відключати, оскільки зайве знання (зловмисника) множить суму (власника сервера).
АУТЕНТИФіКАЦіЯ У ВІДКРИТИХ МЕРЕЖАХ
Методи, застосовувані у відкритих мережах для підтвердження і перевірки дійсності суб'єктів, повинні бути стійкі до пасивного й активного прослуховування мережі. Суть їх зводиться до наступного.
• Суб'єкт демонструє знання секретного ключа, при цьому ключ або взагалі не передається по мережі, або передається в зашифрованому виді.
• Суб'єкт демонструє володіння програмним чи апаратним засобом генерації одноразових чи паролів засобом, що працює в режимі “запит-відповідь”. Неважко помітити, що перехоплення і наступне відтворення одноразового чи пароля відповіді на запит нічого не дає зловмиснику.
• Суб'єкт демонструє дійсність свого місця розташування, при цьому використовується система навігаційних супутників.
ВІРТУАЛЬНІ ПРИВАТНІ МЕРЕЖІ
Однієї з найважливіших задач є захист потоків корпоративних даних, переданих по відкритих мережах. Відкриті канали можуть бути надійно захищенні одним методом - криптографічним.
Відзначимо, що так називані виділені лінії не мають особливі переваги перед лініями загального користування в плані інформаційної безпеки. Виділені лінії хоча б частково будуть розташовуватися в неконтрольованій зоні, де їх можуть чи зашкодити здійснити до них несанкціоноване підключення. Єдине реальне достоїнство - це гарантована пропускна здатність виділених ліній, а зовсім не якась підвищена захищеність. Утім, сучасні оптоволоконні канали здатні задовольнити потреби багатьох абонентів, тому і зазначене достоїнство не завжди убране в реальну форму.
Цікаво згадати, що в мирний час 95% трафіка Міністерства оборони США передається через мережі загального користування (зокрема через Internet). У воєнний час ця частка повинна складати “лише” 70%. Можна припустити, що Пентагон - не сама бідна організація. Американські військові покладаються на мережі загального користування тому, що розвивати власну інфраструктуру в умовах швидких технологічних змін - заняття дуже дороге і безперспективне, виправдане навіть для критично важливих національних організацій тільки у виняткових випадках.