Безопасность и Internet - статьи

         

Свободно распространяемые средства защиты: шанс или казус?


Джордж Лоутон

20.03.2003
Открытые системы, #03/2003



Свободно распространяемые средства защиты: за и против


Сравним свободно распространяемые и коммерческие инструментальные средства по затратам, качеству и технической поддержке.

Затраты. Одно из основных преимуществ свободно распространяемых инструментальных средств — их меньшая по сравнению с коммерческими продуктами стоимость. Такие системы распространяются бесплатно или по очень низким ценам, а, кроме того, они либо вообще не предусматривают лицензионных выплат, либо выплаты эти значительно меньше, чем для коммерческих продуктов. Однако некоторые пользователи на собственном опыте убедились, что утверждение «вы получаете то, за что заплатили» в полной мере применимо к свободно распространяемому инструментарию.

Однако Бадди Бакстер, технический менеджер EDS по инфраструктурным решениям для кредитных союзов, полагает, что если продукт стоит дороже, это вовсе не означает, что он будет в большей степени защищен. По его словам, EDS может установить систему защиты на основе программного инструментария Astaro, которая будет стоить вчетверо дешевле коммерческого продукта компании Check Point Software Technologies.

Качество. Директор по технологиям компании Guardent Джерри Бреди подтвердил, что некоторые свободно распространяемые инструментальные средства защиты не хуже (а то и лучше) их коммерческих аналогов. Например, по его словам, сканер уязвимых мест защиты Nessus обеспечивает лучшие возможности распределенной обработки, удаленного запуска и планирования, чем многие коммерческие продукты. «Благодаря использованию свободно распространяемой методологии вы можете в большей степени сосредотачиваться на тех вещах, которые действительно важны. Для Nessus вопросы распространения намного менее приоритетны, чем вопросы качества кода», — подчеркнул он.

Однако ему возражает Маркус Ранум, эксперт по вопросам защиты и глава компании NFR Security: «Не думаю, что программы имеют высокое качество уже потому, что распространяются свободно. На самом деле, качественным продукт делает именно его целенаправленная разработка. А открытость этого никак не гарантирует».


С ним согласен и Спаффорд: «Надежность продукта определяется в первую очередь его качеством и поддержкой. Был ли он хорошо спроектирован? Придерживались ли его разработчики четкой дисциплины и не добавили ли к нему чересчур много функций? Многое свободно распространяемое программное обеспечение создается людьми, не имеющими надлежащего опыта, инструментальных средств, времени или ресурсов для того, чтобы сделать это настолько тщательно, как того требует действительно высоко надежная среда».

Сторонники свободно распространяемых решений утверждают, что открытый код изучает очень много специалистов, поэтому они способны обнаружить проблемы намного быстрее, чем ограниченный круг разработчиков, создающих коммерческий продукт той или иной компании. «Поисками и исправлением ошибок в общедоступном программном обеспечении могут заниматься намного больше людей», — сказал Майк Куртис, директор по исследованиям компании Redsiren Technologies, предоставляющей услуги обеспечения информационной безопасности.

Кроме того, как заметил Куртис, разработчики свободно распространяемых программ могут быстрее реагировать на обнаруженные изъяны в защите, чем коммерческие компании просто в силу меньшей загруженности и отсутствия бюрократических препон. «Разработчики свободно распространяемых решений в большей степени заинтересованы в том, чтобы исправить обнаруженные ошибки, чем добавить новые возможности для следующей версии», — считает он.

Однако с ним не согласен Ранум: «Исходя из собственного опыта, могу подтвердить, что очень немногие специалисты действительно тщательно изучают код. Они, как правило, просто просматривают файлы с описанием. Созданный мною первый открытый пакет инструментальных средств для межсетевого экрана в той или иной степени использовали около 2 тыс. сайтов, но лишь десять человек сообщили о нем свое мнение или прислали заплаты, исправляющие ошибки. Так что я бы не стал уповать на открытость программного обеспечения», — сказал он.

Многие сторонники закрытых исходных текстов считают, что для поиска ошибок в программе важнее качество, а не число изучающих ее людей. Они утверждают, что эксперты по программному обеспечению компании-производителя, работающие над своими продуктами, выполняют работу более качественно, чем те, кто изучает свободно распространяемые пакеты.



К его мнению присоединяется и Спаффорд. « Во многих компонентах свободно распространяемого программного обеспечения были найдены ошибки после того, как их долгие годы использовали и изучали сотни тысяч раз. Ошибки не были обнаружены просто потому, что те, кто просматривал этот код, не имели необходимых навыков, позволяющих это сделать. Во многих случаях пользователи изучают код, чтобы адаптировать его к своим нуждам, а не для того, чтобы детально его проанализировать», — заметил он.

Поддержка. Сторонники коммерческого программного обеспечения утверждают, что их производители, в отличие от организаций, занимающихся свободно распространяемыми решениями, предлагают клиентам услуги поддержки и другие ресурсы, которыми можно воспользоваться в случае каких-либо проблем. Однако такой подход позволяет усилить позиции и тем, кто предлагает услуги поддержки пользователям свободно распространяемого программного обеспечения защиты.

«Служба поддержки дает более надежные гарантии клиенту и позволяет оказать ему помощь. Вы можете определить соглашение об уровне обслуживания и предоставить производителю возможность самому выбирать нужный инструментарий и помогать клиентам адаптироваться к изменениям в технологии», — заметил Бреди.

Другие вопросы. Некоторые сторонники закрытых исходных текстов считают, что из-за доступности свободно распространяемого кода хакерам намного проще разобраться, каким образом можно преодолеть такую защиту. Однако апологеты свободно распространяемых решений утверждают, что это не так, поскольку хакерам по силам взломать защиту, организованную с помощью коммерческих продуктов. В то же время, они отмечают, что свободно распространяемые инструментальные средства защиты проще настроить, поскольку имеются их исходные тексты.


T.Rex


T.Rex (www.opensourcefirewall.org) — это свободно распространяемый программный межсетевой экран, который компания Freemont Avenue Software выпустила в 2000 году. Он работает на платформах AIX, Linux и Solaris, и сейчас его применяют около 31 тыс. пользователей.



Типичный пример реализации системы защиты при доступе к Internet


Структура сети и ее вклад в политику защиты

При построении системы защиты очень важен выбор структуры сети. Правильный выбор структуры сети обычно облегчает разработку политики безопасности и управлении firewall и повышает устойчивость защиты. Во многих случаях неудачное размещение какого-либо сетевого объекта может создать трудности при контроле некоторых видов трафика и детектировании попыток взлома сети. Примерная схема сети компании, реализующей полнофункциональное подключение к Internet, приведена на рисунке. В некоторых случаях (где часть сервисов предоставляет провайдер) отдельные элементы схемы могут отсутствовать. Практически, реализация данной схемы не зависит от величины компании, важно только наличие или отсутствие соответствующих сетевых сервисов.

Распределенная DMZ и минимизация внутренних угроз

Одним из примеров решения по выбору структуры сети является размещение общедоступных серверов - Web, FTP, SMTP, DNS в распределенной демилитаризованной зоне. С одной стороны, эти серверы должны быть доступны для всего внешнего мира, с другой - необходимо строго контролировать попытки доступа к ним. В достаточно крупной компании администратор не может контролировать все подключения к этим серверам, так как это заняло бы как минимум весь рабочий день. С другой стороны, именно эта часть системы подвержена наибольшему риску оказаться объектом атаки как по причине своей очевидной доступности, так и из-за массы известных и регулярно обнаруживаемых новых ошибок в реализации программ, обеспечивающих эти типы сервиса. Даже при безупречном программном обеспечении существуют некоторые возможности прервать работу публичных серверов, используя особенности реализации стека TCP/IP. Так или иначе, даже если администраторы сети постоянно следят за всеми публикациями об обнаруженных ошибках и устанавливают все выпускаемые "заплатки", нет никакой гарантии, что некто не сможет получить доступ к открытым серверам. Пока единственной гарантией может служить только полная изоляция сервера.

Поэтому все доступные извнесерверы обычно размещают в специально отведенной только для них зоне так, чтобы в худшем случае под угрозой оказался только один участок сети. Еще более предпочтительным вариантом является подключение каждого из открытых серверов на отдельный сетевой интерфейс firewall. Это дает возможность со стопроцентной уверенностью контролировать весь трафик такого сервера и гарантирует защиту одного открытого сервера от другого в случае нарушения безопасности одного из них. В случае размещения всех серверов в одной сети такой возможности не существует, и, получив доступ к одной из машин, нарушить работу остальных достаточно просто.


Proxy - помощник или конкурент?

Все системы firewall обычно делятся на два основных класса - packet-filtering и application proxy. Системы первого типа свои функции выполняют на уровне протокола TCP/IP. Вторые обычно являются набором прокси-программ для каждого из поддерживаемых типов сервисов. Firewall-1 имеет свойства каждого из этих классов, и, казалось бы, наличие дополнительного прокси-сервера для HTTP и FTP является избыточным. Однако такой прокси-сервер позволяет в некоторых случаях сильно упростить политику безопасности, а также исключить ряд неприятных возможностей доступа извне к машинам внутренних сетей.

Firewall-1 имеет ряд полезных функций по контролю соединений HTTP и FTP: запрещение доступа к спискам URL, вырезание тегов Java и ActiveX из загружаемых страничек, антивирусная проверка файлов, ограничение доступа по паролю и т. п. Однако такая проверка обычно выполняется для стандартного протокола HTTP, который использует порт 80. Безусловно, существует возможность описания и других портов, но это становится не очень удобным, а иногда такой вариант и просто неприемлем, так как очень многие русскоязычные сайты используют для разных кодировок произвольные порты. В таком случае приходится либо открывать для доступа в глобальную сеть все старшие порты TCP/IP, либо постоянно добавлять тот или иной порт для новых сайтов. Кроме того, ряд сайтов использует тот же номер порта, что и доступные http-прокси вне локальной сети предприятия. В случае необходимости применения ограничений на HTTP вариант с внешними прокси сводит на нет все усилия администратора.

Также достаточно неприятным моментом является возможность доступа к машинам локальной сети предприятия с использованием стандартных средств протокола FTP - обратного соединения. В случае если firewall позволяет пользователям работать напрямую по протоколу FTP, для передачи данных обычно используется соединение, открываемое машиной, находящейся вне внутренней сети, к машине, запросившей файл. Причем в зависимости от реализации firewall, такое обратное соединение может быть открыто либо только к машине, инициировавшей ftp-сессию (такая проверка есть в Firewall-1), либо вообще к любой машине.

Установка прокси-сервера на отдельном сетевом сегменте системы firewall позволяет решить эти проблемы. Так как все пользователи обращаются к прокси-серверу по единственному порту TCP, есть возможность применения всех средств контроля протоколов FTP и HTTP в одном месте - между пользователями и прокси-сервером. В случае с протоколом FTP, установка прокси исключает возможность использования обратного соединения, так как всю работу по FTP прокси-сервер выполняет сам. Заметим, что использование только прокси-сервера в качестве центрального элемента защиты во многих случаях просто невозможно.



Служба DNS — двуликий Янус

При построении системы защиты предприятия, имеющего доступ к открытым сетям, важным принципом является сокрытие информации о внутреннем устройстве сети от внешних лиц. Один из источников такой информации — служба имен DNS. Классическим решением этой задачи может служить установка двух отдельных серверов DNS — одного для обслуживания запросов внутренних пользователей, другого для запросов имен извне (некоторые системы защиты предоставляют средства, объединяющие эти два DNS-сервера на одном компьютере, но функциональность этих средств, как правило, ограничена). Внутренний сервер должен содержать всю информацию о внутренней сети предприятия, а для разрешения запросов об именах внешних машин обращаться к внешнему серверу организации, который содержит записи, необходимые только для поддержания функционирования сервера имен, и имена публичных серверов (SMTP, Web, FTP). Такая структура позволяет создать полноценную службу DNS внутри организации, а на все внешние запросы DNS сообщать информацию только о доступных всем серверах.

Адресная трансляция

При подключении к Internet организация обычно получает в свое распоряжение одну сеть класса С, что позволяет использовать 254 уникальных адреса для компьютеров в сети предприятия (наличие внутри сети маршрутизаторов сокращает это число). Кроме очевидной проблемы с количеством, использование выделенных Internet-адресов достаточно сильно снижает гибкость при распределении адресов, создает массу трудностей при смене провайдера услуг Internet, обеспечивает потенциальную возможность доступа извне к любой машине, имеющей такой адрес. Не случайно в пространстве IP-адресов существуют области, специально зарезервированные для внутреннего использования. При применении этих адресов администратор сети имеет возможность назначать внутренним машинам адреса из сетей любого класса по своему усмотрению. Это снимает все ограничения на количество IP-адресов во внутренней сети и вместе с тем затрудняет задачу доступа к таким адресам из внешнего мира. В простейшем случае с помощью NAT (Network Address Translation) возможно организовать работу всей компании с использованием единственного зарегистрированного IP-адреса.

Для организации работы таких сетей с Internet используется механизм трансляции адресов (NAT). Обычно эти функции (NAT) выполняет либо маршрутизатор, либо система firewall - эти устройства подменяют адреса в заголовках проходящих через них IP-пакетов. Check Point Firewall-1 имеет достаточно гибкие возможности по организации NAT. В простейшем случае администратору достаточно поставить галочку, разрешая трансляцию адресов, и указать, в какой реальный адрес (или начиная с какого) и как (Static/Hide) транслировать адрес данной машины, сети или набора адресов.

Если же требуется более сложная конфигурация, Firewall-1 позволяет в ручном режиме задать правила трансляции в зависимости от адресов источника или назначения и типа протокола, которому принадлежит пакет.



Удаленный доступ в схеме "корпорация и провайдер"

Во многих организациях необходимо обеспечить возможность работы удаленных или мобильных пользователей с каким-либо ресурсом внутренней сети компании по телефонной линии через модем или через ближайшего к ним провайдера. Оба случая требуют особого внимания к аутентификации пользователей и защите передаваемых данных.

Хорошим решением в таких случаях могут стать средства Firewall-1 SecuRemote. Этот пакет может быть установлен на компьютерах удаленных пользователей для защиты от прослушивания и изменения конфиденциальной информации и обеспечения безопасности процедур входа и регистрации при загрузке или аутентификации. SecuRemote использует средства с открытым ключом, причем использование их возможностей может быть ограничено лишь отдельными видами трафика, тогда как остальной обмен (например, выход в глобальную сеть) может передаваться в открытом виде. Аутентификация firewall поддерживает целый ряд программных и аппаратных средств других производителей - ActiveCard, Axent/ AssureNet, Funk Software, Security Dynamics/RSA, VASCO Data Security. При реализации удаленного доступа мы рекомендуем устанавливать устройства удаленного доступа на отдельный интерфейс системы firewall. Как отмечалось выше, это позволяет полностью контролировать как доступ к серверам удаленного доступа, так и все процессы авторизации пользователей (обычно в крупных системах используются внешние серверы авторизации).

Схема с полностью скрытым шлюзом (и VPN)

Как бы ни была построена сеть компании и система защиты, главным является сам firewall.

Как правило, большинство ограничений и проверок выполняются именно этой машиной, и firewall имеет интерфейсы во все основные сети предприятия. Защита самого firewall по этой причине является одной из важных задач в обеспечении безопасности сети. Для решения этой задачи используются два основных элемента. Во-первых, выключение на компьютере всех, не относящихся к firewall служб и запрещение любого трафика, адресатом или инициатором которого мог бы быть firewall. Модули Firewall-1 устанавливаются сразу за драйверами сетевых адаптеров до операционной системы, что позволяет оградить firewallот различных атак, направленных на стек TCP/IP. Во-вторых, для затруднения неавторизованного доступа к firewall используют адреса из пространства, зарезервированного самим firewall. Для попытки подключения к такой машине необходимо узнать ее IP-адрес, что практически невозможно при отсутствии доступа к расположенным поблизости от firewall маршрутизаторам. Если такой адрес все же стал известен, для доставки пакета с таким "нелегальным" адресом назначения через открытую сеть потребуются определенные усилия.

Организация такой схемы защиты предполагает наличие маршрутизатора между firewall и внешней сетью для использования зарезервированных адресов на всех интерфейсах firewall, а также для фильтрации нежелательных пакетов с его внешнего интерфейса.

Конечно, необходимо обеспечить защиту внешнего маршрутизатора, но эта задача несоизмеримо проще. Как правило, предоставляемые маршрутизаторами средства фильтрации прекрасно приспособлены для защиты самого устройства и в меньшей степени пригодны для реализации полнофункциональной защиты предприятия. Для облегчения задачи создания правил фильтрации можно использовать Firewall-1 Router Extension, который поддерживает генерацию и установку списков фильтрации на маршрутизаторы Bay Networks, Cisco, 3Com. Этот механизм полностью интегрирован в политику безопасности Firewall-1, его средства управления и мониторинга.



Протоколы администрирования сетевых устройств

Большинство сетевых устройств управляется и конфигурируется по протоколам telnet или SNMP v1, причем многие не имеют возможности задавать список адресов станций управления.

Авторизация построена на передаче секретной строки текста, причем эта передача идет в незакодированном виде. Таким образом, любой пользователь, находящийся в одном сегменте с администратором, может узнать полную конфигурацию или даже получить доступ к управлению устройствами. При построении системы защиты имеет смысл постараться привести структуру сети к такому виду, чтобы возможность этих действий была сведена к минимуму. Одним из решений, не требующих замены или модернизации сетевых устройств для поддержки какого-либо из протоколов с защитой информации, является вынесение всех администраторов и интерфейсов сетевых устройств, через которые ведется управление, в одну сеть или в одну виртуальную локальную сеть. Связь выделенной для управления части сети с остальными частями внутренней сети и внешним миром должна быть защищена firewall с блокировкой всего SNMP, telnet и др. трафика в направлении этой сети.

Вирусы в сети и способы борьбы с ними

Кроме стандартных способов борьбы с вирусами, таких как сканирование дисковых разделов, где хранятся файлы, и почтовых ящиков, в Firewall-1 имеется возможность проводить проверку всего входящего и выходящего SMTP, FTP и HTTP-трафика на наличие в нем вирусов и архивов с зараженными файлами.

Специально для этих целей создан протокол CVP (Content Vectoring Protocol), который поддерживают продукты многих компаний-изготовителей антивирусных средств (Symantec, EliaShim, McAfee, Integralis, Cheynne). Антивирусный сервер представляет собой отдельный компьютер с работающим на нем антивирусным программным обеспечением. Firewall передает ему все проходящие через него файлы, а проверенные или вылеченные направляет затем пользователю.


Транслирующие сервера - набор поддерживаемых сервисов


Proxy TCP

Основной функцией этого proxy является поддержка коммуникаций между

интерфейсами межсетевого экрана. Для выполнения этой функции proxy может

консультироваться с Oracle. Поскольку этот сервер является базовым, он не

поддерживает аутентификации пользователей, преимущественно предназначен для

работы в прозрачном режиме. Администратор имеет возможность контролировать

использование этого proxy по следующим параметрам:

устанавливать максимальное время неактивности, после которого разрывается

соединение.

устанавливать время действия аутентификации для прозрачного режима работы

Proxy TCP запускается через Guardian после проверки последним

правомочности запрошенного соединения.

Proxy FTP.

Этот сервер поддерживает протокол FTP и позволяет:

производить аутентификацию пользователя

интерпретировать команды протокола FTP

включать прозрачный режим

Proxy Telnet

Служит для поддержки протокола удаленного интерактивного доступа Telnet.

Позволяет:

производить аутентификацию пользователя

включать прозрачный режим

менять пароль пользователя

Proxy HTTP

Этот сервер служит для поддержки на межсетевом экране протокола HTTP и имеет следующие

возможности:

аутентификация пользователя на использование протокола и запроса

включение прозрачного режима

изменять пароль пользователя

интерпретировать команды HTTP протокола

Proxy Gopher

Служит для поддержки протокола Gopher на межсетевом экране и позволяет:

осуществлять аутентификацию пользователя для использование gopher-запроса

включать прозрачный режим

UDP relay

Очень сходен с TCP proxy, за исключением того, что вместо TCP соединения

оперирует виртуальными UDP соединениями. Служит для поддержки некоторых

протоколов, таких как DNS, Archie. При запуске консультируется с Oracle для

определения правомочности пришедшего запроса.

Netacl

Служит для разрешения удаленного администрирования межсетевого экрана. Поддерживает все виды

аутентификации пользователей (по адресам, условно-постоянным и одноразовым


паролям, смарт-картам).

Система электронной почты.

Система состоит их двух частей - получателя почты и отправителя. Получатель

стартует через guardian при попытке удаленной машины. Не требует аутентификации

пользователя. Для дополнительного режима безопасности работает в ограниченном

участке файловой системы (UNIX chroot). Производит анализ управляющих

заголовков сообщений на предмет несанкционированных адресов.

Отправитель почты запускается при первоначальной загрузке системы как сервер

и через определенные промежутки времени проверяет пришедшую через приемник

почты, которую оправляет по назначению. В отличие от стандартных почтовых

программ в состав отправителя не включены:



Include mailer

File mailer

Program mailer

local mailer

Такая схема обеспечивает прием и передачу только корректных сообщений,

содержащих все необходимые заголовки в правильном формате.

Системный журнал.

Сервер системного журнала стартует при начальной загрузке системы и служит для

обработки сообщений, записываемых в системных журнал. Распределение сообщений в

соответствии с приоритетами осуществляется по правилам, описанных в

конфигурационном файле. Для предотвращения записи ложных сообщений, порт, по

которому работает этот сервер недоступен со стороны сети.

Уведомление администратора о событиях

Данная подсистема позволяет в реальном времени отслеживать события, связанные с

попытками нарушения политики безопасности. Имеется возможность пользоваться

различными механизмами уведомления, например по электронной почте, пэджеру или

путем вывода сообщения в специальное окно на консоли межсетевого экрана.

Система анализа статистики

Данная система позволяет осуществлять гибкий анализ статистики межсетевого экрана. Конкретные

возможности:



Суммарный анализ трафика

Анализ трафика по протоколам

Анализ переданного/принятого количества пакетов по функциям

Анализ трафика по рабочим станциям

приходящий трафик

Исходящий трафик

10 наиболее популярных удаленных машин.

Система администрирования межсетевого экрана

Содержит в своем составе развитый графический интерфейс, который позволяет:



работать с базой данных по пользователям

работать с базой данных по сервисам

управлять базой правил сетевого доступа


Трансляция адресов


Поскольку МЭ является фильтром на уровне приложений, все соединения

проходящие через него имеют обратный адрес самого МЭ, что полностью

скрывает внутреннюю структуру защищенной сети.



Tripwire


Спаффорд из университета Пурди и тогдашний студент Джин Ким разработали систему обнаружения вторжений Tripwire Academic Source, которую с момента ее выпуска в 1992 году загрузили более миллиона пользователей. Компания Tripwire (www.tripwire.com), которую основал Ким, позже полностью переделала эту программу, превратив ее в коммерческий продукт с закрытыми исходными текстами. Tripwire предлагает бесплатную версию для Linux, но продает коммерческие версии для платформ Unix и Windows NT.



Удобство использования и управления


Производители свободно распространяемого программного обеспечения, как правило, первостепенное внимание уделяют функциональности, а не удобству использования и управления. Как следствие, такие приложения иногда сложно развертывать и ими нелегко управлять. Например, как отметил Реуш, «установка Snort и управление этой системой может оказаться довольно трудным, особенно, если у вас нет достаточного опыта в написании инструментальных средств для Unix».

Пескаторе так объяснил сложившуюся ситуацию: «В случае со свободно распространяемыми инструментальными средствами большая часть знаний накапливается в головах людей, их использующих, в то время как производители коммерческих решений вынуждены помещать эти знания в продукт. Я не думаю, что когда-либо свободно распространяемые инструментальные средства защиты станут массовыми. Большинство людей предпочитают более простой подход».

Все это формирует небольшой, но быстро растущий рынок для интеграторов систем защиты и поставщиков услуг, таких как Guardent, Redsiren и Silico Defense. Эти компании могут предлагать инструментарий управления и, тем самым, скрыть от пользователей сложность свободно распространяемых продуктов, а также предоставлять гарантированный уровень обслуживания и поддержки.

Astaro стремится создать полную инфраструктуру защиты, которая объединяет многочисленные свободно распространяемые технологии в единый, простой в использовании интерфейс. Эрнст Келтинг, президент американского отделения Astaro, подчеркнул: «Пользователи не хотят работать с программным обеспечением, для которого не предлагаются услуги поддержки. Мы берем на себя эту нагрузку и освобождаем клиентов от возможных трудностей».



Угрозы и их последствия


Остановимся подробнее на тех опасностях и проблемах, которые подстерегают организацию при работе с подобными сетями, например Internet.

Существует достаточно много различных аналитических разработок по оценке рисков, которые в основном сводятся к трем категориям:

несанкционированный доступ к ресурсам сети; нелегальное ознакомление с информацией; отказ в предоставлении ресурса сети.

Как это ни парадоксально, но для компаний, активно использующих Internet в повседневной деятельности, влияние третьего фактора риска может быть очень существенным.

Наиболее опасными и, к сожалению, самыми распространенными являются непреднамеренные ошибки операторов информационных систем. Результатом такой ошибки может стать брешь в системе защиты, потеря данных, останов или выход из строя системы. Один из путей минимизации рисков, связанных с этим типом угроз, — максимальная автоматизация рабочего процесса, контроль за точным соблюдением инструкций и повышение квалификации персонала.

Заметим, что ущерб от краж и подлогов, совершенных с использованием компьютеров, находится всего лишь на втором месте. Мы хотим особо подчеркнуть, что основная опасность исходит непосредственно от персонала предприятия, причем угрозу создают как преднамеренные, так и непреднамеренные действия.

Основное отличие внешних угроз — это их непредсказуемость. К внешним угрозам мы относим не только попытки проникновения в сети предприятия с использованием слабостей в реализации той или иной стратегии защиты и администрирования, но и такие «мирные» угрозы, как сбой электропитания, обрыв информационного кабеля и т. д. По статистике, ущерб, нанесенный хакерами, намного меньше ущерба, связанного с выходом из строя отдельных элементов инфраструктуры.

Далее мы попытаемся дать несколько практических советов по реализации сетевой инфраструктуры, обратим ваше внимание на некоторые аспекты администрирования системы защиты, которые направлены на минимизацию упомянутых выше рисков.



Уровни детализации отчетов


Подсистема генерации отчетов позволяет создавать документы нескольких уровней детализации:

Executive - для высшего руководства компании; Line Management - для руководителей или менеджеров среднего звена; Technician - для технических специалистов.

Отчеты уровня Executive содержат краткую информацию об обнаруженных в корпоративной сети проблемах. В случае необходимости от кратких отчетов можно перейти к подробному описанию каждой обнаруженной уязвимости. Отличительной особенность данного уровня отчетов является возможность проведения сравнительного анализа уровня защищенности сети, в разные промежутки времени, а также анализа тенденций изменения состояния безопасности Вашей корпоративной сети.

Отчеты уровня Line Management содержат более подробную, чем в отчетах уровня Executive, информацию о найденных уязвимостях с указанием степени их риска.

Отчеты уровня Technician содержат не только подробную информацию о найденных уязвимостях, но и подробные поэтапные инструкции по устранению обнаруженных проблем. В некоторых случаях указываются ссылки на сервера производителей программного обеспечения, содержащие patch'и и т.п. (например, ссылки на статьи Microsoft Knowledge Base). Кроме указанных трех типов отчетов администратор может создавать свои собственные формы отчетов при помощи программного обеспечения Seagate Crystal Report 6.0.



Усеченное окружение


Из состава системы исключены все программы, являющиеся серверной частью

сетевых сервисов

Изменены режимы доступа к ключевым файлам и командам

Ликвидированы все ссылки на использование сетевых информационных сервисов

типа NIS

Уничтожены все бюджеты пользователей, кроме системных и администратора.

Исключены все виды компиляторов и загрузчиков

Все серверные программы работают в усеченном отрезке файловой системы

(UNIX chroot)



В каком направлении будут развиваться


Карри: Я думаю, что решение с одиночным датчиком (модулем слежения), установленным на одном компьютере, являлось лучшим на момент его принятия. Следующий большой шаг - обнаружение распределенных атак путем приема данных от множества датчиков, разнесенных по сети предприятия, и группирование этих данных в единое изображение, отражающее общую картину нападений на сеть (первые такие решения уже стали появляться, например, системы RealSecure или NetRanger - примечание переводчика). Единственный способ делать это сегодня - вручную (с момента публикации появилась первая система, обобщающая данные от систем обнаружения атак и других средств защиты в единую картину, демонстрирующую общий уровень безопасности сети, уже предлагается на рынке. Это система SAFEsuite Decisions компании ISS - примечание переводчика), и я предполагаю, что необходимость в человеческом контроле будет еще нужна в течение некоторого времени. Я думаю, что в течение ближайших 18-24 месяцев произойдет постепенное слияние рынка межсетевых экранов и систем обнаружения атак. Вы будете видеть несколько продуктов, все более или менее взаимозаменяемых в их ядре.

Саттерфилд: Технологии обнаружения атак развиваются быстрее молнии. Направление развития - удешевление инфраструктуры. Никто не хочет много тратить на защиту. Состязание в технологиях обнаружения атак будет выиграно теми, кто предложит заказчикам наиболее дешевое решение.

Клаус: Будет наблюдаться развитие трех (потенциально находящихся в противоречии) областей: развертывание, технологичность и качество обнаружения атак. В области развертывания мы будем видеть расширение числа мест обнаружения атак: на сетевом уровне (на межсетевых экранах, на коммутаторах, на маршрутизаторах), на уровне операционной системы (на серверах, на рабочих станциях) и на прикладном уровне (в СУБД или на сервере SAP, например). Для технологичности, , мы будем видеть, что системы станут более простыми в функционировании и более "приборо-подобными", чтобы встроить их в сетевую инфраструктуру без внесения в последнюю серьезных изменений. В области качества обнаружения атак мы увидим, что логика распознавания атак начнет включать модели построения поведенческих профилей и отклонений от этого профиля. Будет намного больше "интеллекта" в определении того, что является неправильным использованием ресурса или атакой. Общее число атак с ростом сетевых технологий неизбежно увеличится.

Ранум: Я думаю, мы увидим объединение сигнализирующих и экспертных систем обнаружения атак. Эти системы будут интегрированы в средства сетевого управления. Мы, специалисты в области защиты, должны прекратить решать отдельные проблемы сетевого управления. Поиск ошибок, обнаружения атак и т.п. - все это разные аспекты одной и той же проблемы - проблемы сетевого управления.

Спаффорд: Исследования в этой области все еще идут. Мы до сих пор не очень хорошо понимаем, за ЧЕМ надо наблюдать, КАК надо наблюдать и ЧТО делать после обнаружения? Я думаю, что следующая проблема, которая встанет перед коммерческими системами обнаружения атак - автоматизированное реагирование на некоторые виды нарушений. Мы видим, что появляются системы, заменяющие правила межсетевых экранов и маршрутизаторов (яркий пример такой системы - RealSecure - примечание переводчика). Системы станут больше отвечать термину "активная обороноспособность", потому что функции обнаружения и реагирования будут объединены в одном ядре системы. Такие системы станут распространенными в следующие 2-3 года (необходимо отметить, что такие системы уже получили широкое распространение. Сейчас очень трудно встретить систему, которая бы только обнаруживала атаки, но никак не реагировала на них - примечание переводчика).

Саттерфилд: Научно-исследовательские институты выполнили неплохую работу. Фактически, именно эти исследования дали первый опыт в области обнаружения атак нашей компании. Однако, институты слишком инерционны, чтобы направить новые исследования в нужную сторону. Они очень много усилий вкладывают в область обнаружения атак. Сейчас намечается постепенный возврат к "аномальному" подходу, значение которого было недооценено несколько лет назад. Я думаю, что в реализации обнаружения аномального поведения уже не будет допущено столько ошибок. Мы учтем уроки, полученные в результате исследований систем обнаружения злоупотреблений (misuse). Мы начинаем работать с некоторыми институтами и надеемся, что это будет взаимовыгодное сотрудничество. Время покажет.

Ранум: Практически все исследования систем обнаружения атак проводятся в области применения экспертных систем, поскольку они наиболее интересны с технической точки зрения и более вероятно, что работа в этой области действительно принесет нечто полезное. Большая проблема, которую я вижу, это игнорирование задач, связанных с сетевым управлением, а ведь "реальная защита равна сетевому управлению". Современные системы не имеют интуитивного интерфейса или настолько громоздки, что их очень трудно использовать. Я думаю, что хорошие идеи из области научных исследований переместятся в коммерческие системы.

Карри: Пару десятилетий изучение технологий обнаружения атак было прерогативой исследовательских лабораторий. До сих пор коммерческий сектор не обращал внимания на эти исследования и занимался повторным изобретением колеса. Но поскольку важность защиты продолжает расти, промежуток между исследовательскими проектами и коммерческими изделиями постоянно сокращается.

Спаффорд: Могу назвать несколько исследовательских лабораторий, которые за последние несколько лет провело успешную работу в области обнаружения атак. Это UC Davis, Haystack Labs и LANL. Эти работы привели к успешному созданию большого числа систем, среди которых можно назвать ASIM, Stalker, NADIR и др.

В лаборатории COAST рассмотрели ограничения и основные проблемы, связанные с областью обнаружения атак. Мы не начинаем с вопроса: "Хорошо, система дает нам X. Мы хотим Y. Что надо сделать, чтобы система, дающая X, давала нам Y?" Вместо этого, мы решаем задачи, связанные с обнаружением атак и злоупотреблений целиком, от начала до конца, и пробуем найти эффективные решения. Например, Юджин Ким (Gene Kim) и я начали разработку системы Tripwire с вопроса: "Что является характерным практически для каждой попытки злоупотребления или атаки?" Ответ: обращение (исследование) к локальным файлам или их изменение ("взлом"). Таким образом, мы разработали систему, которая хранит "слепок" файла и обнаруживает злоупотребление этим файлом. Другой пример, разработка Сандипом Кумаром (Sandeep Kumar) и мной системы обнаружения атак IDIOT (Intrusion Detection In Our Time). Мы проанализировали, что реально можно обнаружить в системе, а затем разработали инструмент, который смог бы обнаруживать это наиболее эффективно. Результат - система обнаружения атак на уровне хоста (host-based), которая практически не снижает производительности и имеет очень широкую область применения. Чему мы научились в процессе этой работы, так это тому, что большинство коммерческих систем не хранит информацию обо всех действиях также эффективно, как это сделано в системе IDIOT. Теоретически возможно обнаружить большое количество различных форм злоупотреблений, но операционные системы не обеспечивают нас поддержкой, позволяющей контролировать каждое действие. В результате большинство современных систем требуют оснащения защищаемых систем специальной аппаратурой для сбора необходимой информации. Как следствие, это приводит к снижению производительности и эффективности системы, а также к увеличению хранимых и обрабатываемых контрольных данных.

Сегодня лаборатория COAST сосредоточила свое внимание на четырех направлениях технологии обнаружения атак. Во-первых, определение информации, которая должна храниться в журналах регистрации, и способа их сбора для наиболее эффективного управления любой системой обнаружения атак. Во-вторых, определение наилучшей структуры и формата хранения регистрационных данных, чтобы они могли быть быстро обработаны, не требуя больших объемов памяти для хранения и обработки. В-третьих, перемещение обработки контрольных данных с центральной консоли ближе к фактическому источнику этих данных. Это реализуется в нашем проекте агента обнаружения атак AAFID (демо-версия данного агента может быть загружена с Web-сервера лаборатории - примечание переводчика). И, в-четвертых, определение того, как результаты исследований в первых трех направлениях могут быть реализованы в программном обеспечении.

Я думаю, что успех некоторых из рекламируемых сейчас систем обнаружения атак поощрит разработчиков операционных систем создать открытый интерфейс для интеграции с механизмами регистрации данных. Меня также волнует, что с системами обнаружения атак может произойти то, что произошло с межсетевыми экранами, когда на рынке появилось большое число "экспертов" в области безопасности и фирм с небольшими модификациями существующих технологий. В чем состоит проблема? В потере и непонимании основных принципов. Например, термин "firewall" ("межсетевой экран") появился приблизительно 7 лет назад. Фактически, насколько нам удалось обнаружить, термин "firewall" появился в 1991 году, в книге "Practical Unix Security" (признаю, что это моя оплошность, т.к. я ввел этот термин). Однако последний месяц ознаменовался первым появлением формальной модели межсетевого экрана, выполненной одним из моих студентов - Кристофом Шуба (Christoph Schuba). Люди были так заняты продажей межсетевых экранов, предоставлением обучающих программ для межсетевых экранов и их рекламой, что пренебрегли исследованиями того, что в действительности должен представлять собой межсетевой экран. Интересно то, что когда мы сравнили все коммерческие межсетевые экраны с моделью Кристофа, все они имели отсутствующие компоненты. Я вижу нечто подобное и в области обнаружения атак. Имеется потребность в таких системах. Давление на производителей систем обнаружения атак приведет к тому, что научные исследования и разработка соответствующей теории не будут выполнены. Уже сейчас акцент разработки в значительной степени смещается, и она ведется без понимания основополагающих принципов. Рынок средств защиты (а также средств управления) недостаточно поддерживает соответствующие исследования, проводимые в академических кругах, и в то же время многие университеты стимулируют перспективных студентов для выполнения этой работы.

Таким образом, я думаю, что и продавцы, и заказчики систем обнаружения атак должны поддерживать научно-исследовательские институты для проведения базисных исследований вместо постоянной модификации одних и тех же идей снова и снова (что и происходит сейчас). Мы нуждаемся в радикально новых идеях в этой (и других) областях.



Варианты установки системы RealSecure


Существует три основных участка, в которых может быть установлен модуль слежения системы RealSecure?:

После межсетевого экрана (в "демилитаризованной зоне" (DMZ)).


Основная цель такой установки - предотвращение атак на системы и устройства, установленные внутри DMZ. Это особенно важно для межсетевого экрана, как точки поступления внешних данных в вашу внутреннюю сеть. При добавлении RealSecure? в DMZ Вы дополнительно защищаете внешний периметр корпоративной сети от потенциальных атак.

До межсетевого экрана (в intranet).


Основная цель указанной установки - обнаружение изменений настроек межсетевого экрана и контроль трафика, проходящего через него. Модуль слежения, установленный до межсетевого экрана гарантирует:

что межсетевой экран функционирует должным образом; он не скомпрометирован и его настройки несанкционированно не изменялись; что не используются обходные пути через межсетевой экран, для атаки на внутреннюю сеть.

Также можно использовать эту конфигурацию совместно с предыдущей для проверки эффективности Вашего межсетевого экрана. Например, путем сравнения числа атак, обнаруженных до и после межсетевого экрана. На ключевых сегментах корпоративной сети.

Большинство атак на узлы сети реализуется изнутри и многие организации принимают меры по уменьшению ущерба от таких атак путем установки системы RealSecure? на критичных сегментах сети.

К другим вероятным местам размещения модулей слежения системы RealSecure? можно отнести:

размещение на главной сетевой магистрали (backbone) - для исследования межсегментного трафика; размещение сразу после модемной стойки - для защиты от НСД по коммутируемым каналам; и т.п.



Виртуальные сети


Ряд брандмауэров позволяет также организовывать виртуальные корпоративные сети ( Virtual

Private Network), т.е. объединить несколько локальных сетей, включенных в INTERNET в одну

виртуальную сеть. VPN позволяют организовать прозрачное для пользователей соединение

локальных сетей, сохраняя секретность и целостность передаваемой информации с помощью

шифрования. При этом при передаче по INTERNET шифруются не только данные

пользователя, но и сетевая информация - сетевые адреса, номера портов и т.д.



Вирусы и атаки


Практически ни один межсетевой экран не имеет встроенных механизмов защиты от вирусов и, в общем случае, от атак. Как правило, эта возможность реализуется путем присоединения к МСЭ дополнительных модулей или программ третьих разработчиков (например, система антивирусной защиты ViruSafe для МСЭ CyberGuard Firewall или система обнаружения атак RealSecure для МСЭ CheckPoint Firewall-1). Использование нестандартных архиваторов или форматов передаваемых данных, а также шифрование трафика, сводит всю антивирусную защиту "на нет". Как можно защититься от вирусов или атак, если они проходят через межсетевой экран в зашифрованном виде и расшифровываются только на оконечных устройствах клиентов?

В таком случае лучше перестраховаться и запретить прохождение через межсетевой экран данных в неизвестном формате. Для контроля содержимого зашифрованных данных в настоящий момент ничего предложить нельзя. В этом случае остается надеяться, что защита от вирусов и атак осуществляется на оконечных устройствах. Например, при помощи системных агентов системы RealSecure.



Внешний периметр: межсетевые экраны


Первую линию обороны от хакеров, интернет-червей, программ-шпионов и прочих врагов держит межсетевой экран.

Во многих компаниях, и даже в некоторых домашних сетях доступ к интернету осуществляется через общее широкополосное соединение. Для того чтобы выяснить уровень защиты, обеспечиваемый аппаратными межсетевыми экранами, мы протестировали две модели маршрутизаторов со встроенными точками доступа: Linksys Wireless-G Broadband Router WRT54G и Microsoft Wireless-G Base Station MN-700. В состав этих маршрутизаторов в качестве побочного продукта для обработки интернет-трафика входит простейший межсетевой экран.

Используя трансляцию сетевых адресов (Network Address Translation, NAT) и протокол динамической конфигурации хоста (Dynamic Host Configuration Protocol, DHCP), маршрутизатор распределяет среди компьютеров сети частные IP-адреса, скрывая их таким образом от внешних компьютеров, которые "видят" только IP-адрес самого маршрутизатора. Маршрутизатор открывает интернет-порты только в том случае, если его так настроить, или если компьютер сети запрашивает данные из интернета (например, обращается к веб-странице).

Маршрутизаторы препятствуют атакам, при которых хакеры используют средства сканирования портов для поиска уязвимых объектов. Если ни одна из систем сети не запрашивала пакеты данных, маршрутизатор просто отбрасывает входящие пакеты. Оба продукта позволяют открыть определенные порты и назначить им IP-адреса предназначенных для этого компьютеров. Этот процесс, известный как пересылка порта (port forwarding), позволяет выделить отдельные серверы для игр в онлайне и посещения веб-сайтов, не открывая доступ к остальным компьютерам сети. В модуле от Microsoft есть еще одна приятная функция: по умолчанию в нем включено WEP-шифрование; для защиты беспроводного трафика генерируется специальный ключ.



Внутренняя защита: антивирусы


Несмотря на то, что межсетевые экраны успешно блокируют ряд вирусов, зондирующих сетевые порты, и задерживают некоторые попытки их массового саморазмножения по электронной почте, в системе все равно необходим антивирусный сканер, который бы останавливал большинство инфекций, попадающих в компьютер через электронную почту и файлы, скачиваемые из интернета. Обезвредить эту инфекцию может только антивирусный сканер. Кроме сканеров, входящих в состав описанных выше пакетов по обеспечению безопасности, мы рассмотрели два самостоятельных продукта: Grisoft AVG Anti-Virus Professional и Eset NOD322.

Таблица - эффективность антивирусных сканеров

Все эти продукты удовлетворяют минимальным требованиям по "отлову" основных злонамеренных программ, встречающихся в интернете — тех, что хотя бы дважды упоминаются членами WildList Organization (www.wildlist.com), всемирным обществом разработчиков антивирусных программ. Ведь далеко не каждым вирусом действительно можно заразиться через Сеть: из примерно 100000 существующих вирусов в настоящее время всего около 250 встречаются в "диком" интернете; остальные существуют только в "лабораторных" условиях. Оказалось, что качество работы разных сканеров чувствительно зависит от типа вирусов. Например, все отобранные для обзора продукты хорошо справляются с вирусами и червями, действующими в 32-разрядной среде Windows — наиболее распространенным сегодня типом сетевой "инфекции". В этом случае качество распознавания очень высоко — от 90,4 до 100% (см. таблицу "Эффективность антивирусных сканеров").

Однако с троянскими программами, которые распространяются не сами по себе, а посредством других программ, в том числе вирусов и "червей", дело обстоит похуже: если сканеры McAfee и Norton задерживают соответственно 99% и 95% "троянцев", то AVG — всего 23,5%, что вряд ли можно считать достаточной защитой. Кроме того, троянские программы не включаются в список WildList, отчего за ними труднее следить. Наконец, очень желательно, чтобы антивирусный сканер не поднимал ложную тревогу, подозревая в наличии вируса обычные файлы. В этом смысле лучше всего обстоят дела у PC-cillin, где тест прошел без ложных срабатываний; на другом конце шкалы — Eset NOD32 2, с 32 из 20000 файлов. Конечно, это настолько мало, что даже не стоит пересчитывать в процентах, но и одного такого случая достаточно, если в результате вместо вируса будет удален нужный файл.



Восполняя пробелы: программы-антишпионы


Спору нет, межсетевые экраны и антивирусные сканеры играют значительную роль в защите компьютерной системы. Однако иногда они пропускают программы, порожденные специфическим спросом, а именно программы-шпионы. Впрочем, в эту категорию входят не только обычные сканеры мыши и клавиатуры, но и, например, "угонщики браузера" — род adware (программ для распространения рекламы), задачей которого является изменение записей системного реестра без ведома пользователя так, чтобы вместо обращения к домашней странице или стандартному поисковому серверу (например, при ошибочном вводе URL) браузер переходил на страницу с рекламной информацией.

Многие такие "угонщики", называемые также программами принудительной загрузки, используя недостаточную защиту системы, часто самоинсталлируются при посещении веб-страницы. Например, печально известная утилита Surfbar (она же Junkbar и Pornbar) использует тот факт, что Internet Explorer допускает загрузку исполняемых файлов на компьютер пользователя. Затем она заменяет начальную страницу браузера на www.surferbar.com, заваливает рабочий стол сотней-другой ссылок на порносайты и устанавливает панель с еще несколькими десятками ссылок того же рода. Другие программы-"угонщики" спрашивают разрешения на начало работы, но таким способом, чтобы обманом вынудить пользователя согласиться.

"Чистые" программы-шпионы прослеживают использование интернета — обычно для того, чтобы определить, какие что пользователь делает в онлайне, и предложить ему соответствующую рекламу. Как правило, программы-шпионы сопровождают условно-бесплатные и бесплатные программы. Часто настоящая стоимость таких "бесплатных" программ скрыта в их лицензионном соглашении: не читая его, пользователь соглашается на удаленный мониторинг своего компьютера службами, собирающими маркетинговые данные или рассылающими направленную рекламу. Разные страны сейчас разрабатывают законы против такой деятельности, однако пока что лучшей защитой являются сканеры-антишпионы.

Мы исследовали пять специальных "антишпионских" пакетов:


Auria Spyware Eliminator, InterMute SpySubtract Pro 2, Lavasoft Ad-aware 6 Plus, Network Associates McAfee AntiSpyware, Spybot Search & Destroy.

Также были рассмотрены возможности по "отлову" программ-шпионов с помощью антивирусных сканеров и других утилит, входящих в состав следующих пакетов:

Network Associates McAfee Internet Security Suite 6, Panda Platinum Internet Security 3, Symantec Norton Internet Security 2004, Trend Micro PC-cillin Internet Security 2004.

К сожалению, даже лучшие из них распознают едва больше половины из всех предложенных им образцов шпионских утилит. В настоящее время лучшей стратегией является использование сразу нескольких сканеров.

Сканер Norton идентифицировал лишь две из предложенных семи шпионских утилит, PC-cillin и Panda — по одной. При установке антивирусов на уже инфицированный компьютер был обнаружен исполняемый файл, порождавший инфекцию Surfbar, но удалить уже установленную панель ссылок и пиктограммы порносайтов, а также вернуть на место первоначальную домашнюю страницу не удалось. Утилита McAfee Privacy Service точно распознает попытки изменить реестр и настоятельно советует пользователю не поддаваться на провокации, но не обнаруживает в оперативной памяти процессы, порождающие эти действия. Таким образом, не успеет пользователь отразить одну атаку, как накатывает следующая, и его жизнь превращается в сплошную череду предупреждений и отказов, до тех пор пока он наконец не решит, что лучше один раз инфицировать компьютер, чем постоянно отрываться от дел.

Таблица - эффективность сканеров шпионских программ

В отличие от антивирусов, обнаруживающих инфицированные путем сравнения их с сигнатурами злонамеренных программ из базы данных, антишпионские сканеры опираются главным образом на ключи системного реестра. Самые надежные результаты в тестах показали Spybot Search & Destroy и Lavasoft Ad-aware 6 Plus, но Spybot лучше удалял поврежденные файлы и восстанавливал значения реестра.

Сканер McAfee AntiSpyware обнаружил три из семи инфекций — Gator, Huntbar и MyFast Access, — но полностью удалить смог только две последние. Слабее всех оказался InterMute SpySubtract Pro 2, обнаруживший только один образец программы-шпиона — широко известную панель Gator.

Хорошую защиту в реальном времени обеспечивает компонент Ad-watch из Lavasoft Ad-aware 6 Plus. Он преграждал путь всем "угонщикам браузеров", пытавшимся изменить параметры доступа к интернету. (Правда, Ad-watch не входит в распространяемую бесплатно упрощенную версию Ad-aware.)

К сожалению, как выяснилось, ни один из протестированных сканеров не обеспечивает 100-процентного распознавания и удаления инфекции. Лучше всего справляются с задачей Spybot Search & Destroy и Lavasoft Ad-aware 6 Plus. В Ad-aware лучше организован мониторинг шпионских утилит и удобнее интерфейс, зато Search & Destroy лучше находит и чистит инфицированные файлы.


Возможность работы по протоколу ODBC


Вся информация об обнаруженных атаках сохраняется в базе данных. Это позволяет эффективно организовать всю информацию и обеспечить быстрый доступ к данным при создании различных отчетов. При помощи подсистемы настройки возможно подключение любой базы данных, имеющей ODBC-драйвер. Эта возможность позволит использовать именно ту систему управления базами данных, которая применяется в Вашей организации (например, Microsoft SQL Server, Microsoft Access и т.п.). Кроме того, данная возможность позволяет Вам использовать всю информацию о сетевом трафике в Ваших собственных системах.



Возможности системы Internet Scanner


Система Internet Scanner&153; обеспечивает высокий уровень анализа защищенности за счет проведения всесторонних проверок и следующих ключевых возможностей:

большое число проводимых проверок; задание степени глубины сканирования; тестирование межсетевых экранов и Web-серверов; централизованное управление процессом сканирования; параллельное сканирование до 128 сетевых устройств и систем; запуск процесса сканирования по расписанию; возможность работы из командной строки; мощная система генерации отчетов; использование протокола ODBC; различные уровни детализации отчетов; различные форматы отчетов; функционирование под управлением многих операционных систем; мощная система подсказки; простота использования и интуитивно понятный графический интерфейс; невысокие системные требования к программному и аппаратному обеспечению.



Возможности системы RealSecure


Система RealSecure? является одним из лучших решений для защиты Вашей корпоративной сети и следующих ключевых возможностей:

большое число распознаваемых атак; задание шаблонов фильтрации трафика; централизованное управление модулями слежения; фильтрация и анализ большого числа сетевых протоколов, в т.ч. TCP, UDP и ICMP; фильтрация сетевого трафика по протоколу, портам и IP-адресам отправителя и получателя; различные варианты реагирования на атаки; аварийное завершение соединения с атакующим узлом; управление межсетевыми экранами и маршрутизаторами; задание сценариев по обработке атак; генерация управляющих SNMP-последовательностей для управления системами HP OpenView(r), IBM NetView(r) и Tivoli TME10(r); запись атаки для дальнейшего воспроизведения и анализа; поддержка сетевых интерфейсов Ethernet, Fast Ethernet и Token Ring; отсутствие требования использования специального аппаратного обеспечения; работа с различными Cryptographic Service Provider; установление защищенного соединения между компонентами системами, а также другими устройствами; наличие всеобъемлющей базы данных по всем обнаруживаемым атакам; отсутствие снижения производительности сети; работа с одним модулем слежения с нескольких консолей управления; мощная система генерация отчетов; использование протокола ODBC; различные форматы отчетов; мощная система подсказки; простота использования и интуитивно понятный графический интерфейс; невысокие системные требования к программному и аппаратному обеспечению.



Возможности системы SYSTEM SECURITY SCANNER


Система System Security Scanner? обеспечивает высокий уровень анализа защищенности за счет проведения всесторонних проверок и следующих ключевых возможностей:

большое число проводимых проверок; задание шаблонов для различных групп сканируемых узлов; централизованное управление процессом сканирования; параллельное сканирование нескольких узлов корпоративной сети; централизованное обновление компонентов системы на удаленных узлах; создание сценариев для устранения найденных проблем; запуск процесса сканирования по расписанию; возможность работы из командной строки; мощная система генерации отчетов; различные форматы отчетов; функционирование под управлением многих операционных систем; мощная система подсказки; простота использования и интуитивно понятный графический интерфейс; невысокие системные требования к программному и аппаратному обеспечению.



Задание пользовательских сценариев обработки атаки


Для задания специфичных реакций на атаки, в системе RealSecure? существует возможность определения своих собственных обработчиков (например, уведомление администратора об атаке по пейджеру). Обработчик атаки должен быть любым исполняемым файлом, который может запускаться из командной строки.



Задание шаблонов для сканирования


Администратор безопасности, проводящий анализ защищенности Вашей корпоративной сети, может задавать те проверки, которые должны проводиться для выбранных узлов. Для облегчения работы в большой и распределенной корпоративной сети существует возможность задания параметров сканирования как для отдельных хостов, так и для групп сканируемых хостов. Таким образом администратор может задать общие характеристики сканирования для группы хостов и произвести более точную настройку для индивидуального хоста. Все вновь созданные шаблоны могут быть сохранены для последующего использования.



Запись атаки для дальнейшего анализа


Данная возможность позволяет просматривать предварительно записанные действия, выполняемые злоумышленником при атаке. Это позволит не только понять и проанализировать действия нарушителя, но и наглядно продемонстрировать руководству организации потенциальные угрозы. Воспроизведение атаки для анализа может быть осуществлено как в реальном времени, так и с любой заданной скоростью.



Запуск процесса сканирования по расписанию


Для периодического (в заданное время) проведения анализа защищенности существует возможность запуска системы Internet Scanner&153; по расписанию. Для этого можно использовать службу AT (для ОС Windows NT) или утилиту CRON (для ОС UNIX).


Для периодического (в заданное время) проведения анализа защищенности существует возможность запуска системы System Security Scanner? по расписанию. Для этого можно использовать утилита CRON. При помощи данной утилиты администратор может не только запускать систему S3 для проведения локального или удаленного сканирования, но и создавать отчеты по результатам сканирования.

Для ОС Windows NT задание графика запуска осуществляется из графического интерфейса системы S3.



Защита локальной сети при подключении к Internet


Информация предоставлена "Р-Альфа"

Система Gauntlet является Межсетевым Экраном (далее по тексту МЭ),

разработанным фирмой TIS. Это продукт предоставляет возможность безопасного доступа и сетевых операций между закрытой, защищенной сетью и публичной сетью типа Internet.

Gauntlet представляет собой наиболее эффективный с точки

зрения защиты вариант МЭ - фильтр на уровне приложений, при этом

обеспечивает максимальную прозрачность при использовании, возможность

создания VPN и простое управление всем этим. Этот МЭ позволяет

пользоваться только теми протоколами, которые описал оператор и

только в случае их безопасного использования. Безопасность

обеспечивается при работе через МЭ в обоих направлениях в соответствии

с политикой безопасности, определенной для данной организации.

Продукт доступен в предустановленном виде на Pentium машинах,

а также как отдельный пакет для BSD/OS,SunOS4*,HP-UX,IRIX и других

UNIX-систем. Открытый продукт фирмы - FWTK - на сегодняшний день

является стандартом де-факто для построения МЭ на уровне приложений.

Система Gauntlet получила сертификат Национального Агентства

Компьютерной Безопасности США и была проверена Агентством Национальной

безопасности США.

Данный продукт предоставляет возможность безопасного и строго

аутентифицированного доступа по следующим протоколам:

telnet, rlogin

ftp

smtp, pop3

http, shttp, ssl

gopher

X11

printer

rsh

Sybase SQL

RealAudio

Кроме того, МЭ имеет средство для поддержания "сырого" TCP соединения,

которое можно использовать для протоколов, не нуждающихся в авторизации

пользователя, например NNTP. В наличии имеется также возможность организовывать

"сырые" соединения для пользователей с подтверждениями полномочий.

По набору поддерживаемых протоколов этот МЭ уверенно лидирует на рынке.

В дополнение к фильтрации на уровне приложений, МЭ требует внесения

определенных изменений в базовую операционную систему. Эти изменения включают:

для использования в варианте виртуальных сетей добавлен пакетный фильтр


режим роутера выключен полностью. Информация между сетями передается

только посредством транслирующих серверных программ (proxy)

систему определения атак с подменой адресов

поддержка VPN

поддержка прозрачного режима для proxy

выключена обработка пакетов со специальными признаками

добавлена возможность заносить в журнал все попытки соединения с МЭ

по несконфигурированным видам сервиса

Дополнительные возможности системы включают в себя особые фильтры, позволяющие

организовать на самом МЭ определенные информационные сервисы, такие как

электронная почта

DNS

ftp

WWW

Этот МЭ - единственный из существующих, позволяющий защитить

пользователей сети от заражения их программ просмотра WWW программами на языке JAVA, написанные неизвестными авторами без контроля и представляющими из себя потенциальные

сетевые вирусы, причем независимо от платформы.

Gauntlet разработан по принципу "белого ящика", что на практике означает

его распространение вместе с исходными текстами. Кроме того, наиболее

простые и эффективные приемы написания программ значительно упрощают

анализ исходных текстов.

При изначальной разработке МЭ особое внимание уделялось следующим

принципам:

Минимализм. Простое лучше сложного. Разработка велась четко по принципу

"сверху вниз". В результате был получен минимальный по объему а наиболее

эффективный по производительности программный интерфейс, легко позволяющий

реализовать proxy для протокола, не входящего в базовый комплект.

Облегчает последующие тестирование. крайне важно - такой подход сильно уменьшает

вероятность скрытых ошибок.

Запрещено все, что не разрешено. Принцип, защищающий МЭ от ошибок

администратора. Неправильная директива интерпретируется как глобальное

запрещение данного сервиса. Кроме того, таким образом введено умолчание

- запрещено. Введение любого нового сервиса обязательно влечет за собой

его увязывание с политикой безопасности.

На МЭ не должно быть пользователей. Единственный пользователь,

имеющий возможность только локальной работы - администратор.

Записывать в журнал все, что возможно. Избыточность статистической

информации о работе МЭ крайне полезна, не только с точки зрения безопасности, а и

с точки зрения оценки производительности и т.д.

Работа МЭ легко контролируется. Наличие единой базы пользователей и

эффективного интерфейса для работы с ней легко позволяют осуществлять

контроль пользователей, их блокировку, изменение атрибутов и т. д.

Простая и логичная конфигурация. Основной конфигурационный файл МЭ

имеет текстовый формат, его логическая структура довольно очевидна

и не составляет препятствия для системного администратора.


Администрирование и мониторинг


Средства управления входом в систему во всех протестированных продуктах оказались явно не на высоте, однако в других областях управления дела обстоят лучше. Более чем у половины продуктов имеется возможность в случае каких-либо неполадок послать сообщение на пейджер или отправить его по электронной почте. Наилучшим образом управление и мониторинг организованы в продуктах компаний Altiga и Lucent.

В VPN Concentrator Series (Altiga) каждая "мелочь" в работе сервера туннелирования отражается на экране модуля управления. Можно даже проконтролировать число оборотов вентиляторов в сдвоенных источниках питания, если это кого-то заинтересует.

Возможности продукта Security Management Server (Lucent) еще шире. Например, в нем реализованы два уровня управления: он позволяет задать, кто должен получать данные мониторинга и кто может изменять установки. Кроме того, Lucent включила в свой продукт мини-анализатор протокола - очень симпатичная функция.

Нам понравились также системы с ограниченным числом функций управления, запускаемых из командной строки. Это продукты компаний TimeStep, Intel, RadGuard и VPNet. Конечно, вряд ли вы захотите строить виртуальную частную сеть для предприятия, вводя команды из командной строки, но подключиться к VPN-серверу, используя эмулятор терминала, чтобы изменить один параметр или проверить совместимость работы аппаратуры разных производителей, - весьма привлекательная возможность.

Администраторы сети, которые хотели бы управлять VPN, руководствуясь формулой "настрой и забудь", могут удовлетвориться ограниченными средствами управления продуктов компаний Red Creek и Intel. Хотя они и позволяют увидеть, что происходит в сети, но процесс воплощения этих возможностей весьма тягостный. В VTCP/Secure фирмы InfoExpress функции управления еще менее дружественны по отношению к пользователю: это единственный VPN-продукт, в котором конфигурирование производится с помощью меню в ASCII-кодах в сеансе MS-DOS. Если нужно посмотреть, кто зарегистрировался, необходимо запустить генерацию отчета, а единственный способ "вышвырнуть" пользователя, который "плохо себя ведет", - это перезапустить VPN-сервер целиком.

Довольно удивительно, но все протестированные нами продукты работали почти в полном соответствии с тем, что производители заявляли о них в рекламе, хотя некоторые несоответствия обнаружились в наших тестах на время задержки и пропускную способность. В основном наибольшая нестабильность наблюдалась в случае длительной работы клиентов, независимо от того, были они подключены к VPN или нет. Получить повторяемые отклонения от нормы для таких измерений достаточно сложно.

У некоторых продуктов отказ возникал, если время жизни туннеля было слишком большое (более 24 часов), хотя все, с кем мы обсуждали эту проблему, уверяли нас, что система будет работать нормально после внесения следующей серии исправлений или замены ОС, параметров защиты, времени работы ключей. Если вы действительно планируете работать с "долгоживущими" туннелями, прежде чем приобретать систему, протестируйте их работу в своей среде со своими параметрами безопасности.

Гораздо хуже обстоит дело со стабильностью работы консолей управления. Например, в RiverWorks графический интерфейс пользователя несколько раз "рушился". А в VPNWare время от времени не работали Java-средства и программу приходилось перезапускать. В некоторых случаях причина появления проблем коренилась в неудачном проектировании продукта. Так, архитектура VTCP/Secure не обеспечивала поддержку всех IP-протоколов, что может вызвать ошибки несовместимости при работе с определенными приложениями. Из-за объединения в Security Management Server (Lucent) функций VPN с брандмауэром возникали проблемы подключения к нашему FTP-серверу.

* * *

Продукты, которые мы протестировали, очень разные. Чтобы выбрать нужный, следует учесть размер вашей виртуальной частной сети, способ подключения к Internet и многие другие, более сложные, вопросы.

Продукты серии Ravlin (RedCreek) превосходят все прочие по простоте инсталляции и работы. Тем не менее Ravlin доставит вам массу хлопот, если число виртуальных пользователей будет измеряться тысячами.

Для cети со средним количеством пользователей отличным решением будет VPN Concentrator Series фирмы Altiga. У него и цена неплохая, и интерфейс управления понятный: настройка и работа с ним не вызвала затруднений. Продукты компаний Lucent и Check Point по этим позициям также получили хорошие баллы, однако интерфейсы управления у них на порядок сложнее, чем у VPN Concentrator Series, причем от этого их функциональность не возросла во столько же раз.

Если необходимо развернуть очень большую виртуальную сеть, внимательно присмотритесь к предложениям компаний Indus River и TimeStep - продуктам RiverWorks и Permit Enterprise соответственно. В этих компаниях хорошо представляют себе, как организовать виртуальную сеть для 10 тыс. и более клиентов. Хотя в обоих продуктах средства создания отчетов не лишены недостатков, высокие показатели по другим позициям дают им явное преимущество перед остальными. Можно также воспользоваться предложениями компаний Lucent, VPNet и Intel, сильной стороной которых является удачная архитектура.

Однако такое деление на продукты для малых, средних и больших систем не должно влиять на выбор, если какой-то "претендент" лучше других соответствует вашим требованиям.



Как мы тестировали


Тестовый стенд состоял из одной клиентской рабочей станции, подключенной к серверу туннелирования. На другой стороне туннеля находился сервер, который мы использовали для проверки возможностей подключения и производительности. В качестве тестового сервера применялся компьютер на базе процессора Alpha (500-МГц) с памятью объемом 256 Мбайт, работающий под ОС Digital UNIX. А клиентской рабочей станцией для эмуляции рабочих характеристик типичного ноутбука пользователя, связанного с сетью по телефонной линии, служила более медленная система (ПК с 200-МГц Pentium Windows 95 OSR 2.5). Для каждого тестируемого продукта оценивались процесс инсталляции и конфигурирование клиентской рабочей станции, а также измерялась ее производительность, чтобы понять, как установка программного средства VPN влияет на работу конечного пользователя. Совместимость не тестировалась, так как на практике организации редко используют клиентское ПО одного производителя, а брандмауэр - другого.

Было бы, конечно, хорошо проверить, поддерживают ли продукты в действительности то суммарное число туннелей, о котором заявляют производители, однако единственный надежный метод проведения данного теста - создание сотен тысяч рабочих станций, подключенных к корпоративной сети по коммутируемым каналам, что в лабораторных условиях невыполнимо. Поэтому мы лишь оценили воздействие VPN-шифрования на производительность работы в сети и время задержки для конечного пользователя. Для этого использовалось соединение по одному каналу сети ISDN (64 кбит/с), который давал примерно ту же задержку, что при модемной связи, но зато обеспечивал повторяемость тестовых условий.

Для измерения пропускной способности и задержки на рабочей станции и сервере устанавливалось тестовое ПО, использующее протокол TCP/IP, которое позволяет измерить время задержки прохождения больших и малых IP-пакетов компрессируемых данных от рабочей станции до тестового сервера. Пропускная способность измерялась при передаче данных по протоколу TCP в однонаправленном режиме. Это достаточно типичная ситуация при скачивании по протоколу HTTP слегка сжатого файла, например графического изображения или исполняемой программы.



Настройка основных параметров


Первое столкновение пользователя с VPN происходит при инсталляции соответствующего ПО. Как правило, мы не оцениваем процедуры установки клиентского ПО. Однако, поскольку в данном случае инсталляция обычно производится удаленно, нам захотелось посмотреть, как это происходит. Мы оценивали, как в каждом "нашем" продукте осуществляется настройка процедуры аутентификации VPN-клиента, конфигурирование клиентской программы и как устанавливаются правила защиты.

Одна из сложностей при настройке VPN-клиента связана с передачей ключей шифрования. Использовать для этого процедуру рассылки сертификатов общедоступного ключа, которые обеспечивают наилучшую защиту, - задача долгая и громоздкая. Кроме того, частная клиентская половина общедоступного ключа не передается по сети, она должна быть создана непосредственно на ПК клиента и заблокирована там специальным паролем.

Ни один из производителей не предложил волшебного способа передачи информации о ключе. Почти во всех протестированных продуктах используется довольно простой и не слишком защищенный метод аутентификации, а именно: каждому клиенту назначается имя пользователя и пароль. Однако во многих дополнительно поддерживается и цифровая сертификация общедоступных ключей, которая базируется либо на стандартных, либо на своих собственных наборах сертификатов для присвоения полномочий.

Компания TimeStep в своем продукте Permit Enterprise наиболее серьезно подошла к решению проблемы цифровой сертификации и построению схемы присвоения полномочий. В комплект ПО для управления предприятием она встроила средство выдачи сертификатов компании Entrust и справочник шифрования по стандарту X.500. Их комбинация позволяет масштабировать функции выдачи сертификатов для присвоения полномочий, используя специальный каталог базы данных.

Построение целостной системы для организации, управления, защиты и аннулирования цифровых сертификатов означает создание инфраструктуры общедоступного ключа (public-key infrastructure, PKI). Тут следует говорить именно об инфраструктуре, так как процедура инсталляции PKI может быть столь же сложна, как и построение любой другой части вашей сетевой структуры. Для корректной установки PKI необходимо, чтобы сетевой администратор и администратор безопасности совместно определили весь круг правил и процедур, необходимых для идентификации пользователей сети. Правильная организация PKI - дело весьма сложное. Пожалуй, изо всех рассматриваемых в этом обзоре компаний с ним удалось справиться только TimeStep: лишь в продукте Permit Enterprise поддержка PKI была заложена с самого начала его создания и не выглядела "заплаткой".

Процедура задания правил защиты и конфигурации сети. Попроще, чем настройка ключей защиты, поскольку одно и то же правило обычно распространяется на всю группу пользователей. В четырех продуктах - F-Secure VPN (Data Fellows), RiverWorks Enterprise VPN (Indus River), VPN Gateway Plus (Intel) и VPNWare (VPNet) информация о правилах защиты загружается в ПК клиента по сети. Во всех остальных эта задача решена более традиционно. Вы должны подготовить специальный комплект для инсталляции, состоящий из предназначенных для определенной сети файлов инициализации и изображений, поставляемых производителем. Как только эти комплекты розданы, конечные пользователи получают информацию о корпоративных правилах одновременно с установкой клиентского ПО.

А вот продукты VPN Gateway Plus и VPNWare автоматически загружают клиенту информацию о его правилах защиты в процессе инсталляции, что позволяет тут же определить правила защиты данных в сети.

В F-Secure VPN и RiverWorks эта функция получила дальнейшее развитие: после того как клиент заканчивает начальное конфигурирование, он автоматически получает от управляющего сервера информацию обо всех обновлениях в системе правил сети.

Если вы используете весь комплект ПО Data Fellows, включая антивирусную программу и инструментарий для шифрования файлов, модуль управления правилами координирует посылку разных обновлений, в том числе сигнатур вирусов и применяемых правил. Элегантное решение, хотя оно работает только в среде Windows.

В ПО RiverWorks компании Indus River передача правил клиенту организована еще более изощренно и сложно: на единой контрольной панели управления, размещенной на экране ПК конечного пользователя, отображаются параметры доступа в сеть по коммутируемой линии и информация, необходимая для VPN-аутентификации.

River Pilot - компонент ПО RiverWorks - вносит в данные VPN-клиента все телефонные номера корпоративного поставщика Internet-услуг, коды и правила доступа. Когда пользователь дает команду на соединение, ПО клиента, используя локальную информацию о телефонных номерах доступа, дозванивается до Internet-провайдера и обеспечивает пользователю любой тип связи, от тонального вызова до шифрованного VPN-соединения.

Сетевой администратор проверяет буквально все аспекты соединения: и разрешено ли использовать номер службы 800, и какой поставщик Internet-услуг является предпочтительным в каждом городе - вплоть до того, какие конечные пользователи подключены к корпоративной сети. Эта информация об установленных правилах вместе с перепроверенным списком номеров дозвона загружается на клиенты при подключении. В некоторых случаях, например при развертывании большой сети VPN, эти заложенные в Indus River возможности дают явные преимущества. Например, для организации, имеющей множество поставщиков Internet-услуг, которая редко связывается с филиалами и штаб-квартирой по коммутируемому каналу и нечасто использует номер аварийной службы 800 (т. е. соединения, управляемые с центральной консоли корпоративной сети), River Pilot явно сократит затраты на поддержку, одновременно улучшив управление.

У всех других протестированных продуктов ПО шифрования является дополнительной к Windows сетевой службой. Их производители считают, что пользователь уже настроил сетевое соединение либо через ЛВС, либо по коммутируемой линии связи.

Еще одно свойство, выделяющее некоторые из протестированных продуктов, - возможность блокировки правил. После загрузки информации о правилах и конфигурации некоторые продукты, например VPN Gateway Plus (Intel) и VPN-1 Gateway (Check Point Software), позволяют заблокировать эти данные таким образом, что клиент не может изменить их. RiverWorks (Indus River), VPN Concentrator Series (Altiga Networks) и Security Management Server (Lucent) работают только в этом режиме. А вот Ravlin 7100 (RedCreek) и F-Secure VPN+ 4.2 (Data Fellows) в любое время полностью контролируют работу пользователя.

Какой из подходов к обеспечению безопасности лучше - зависит от рабочей среды. К сожалению, пока нет такого продукта, который один удовлетворял бы всем потребностям рынка. Так что у вас всегда есть возможность выбирать между полной свободой и полным контролем за каждым из клиентов.



Призер в номинации Голубая лента


Продукт: Permit Enterprise 1.2

Производитель: TimeStep

Голубую ленту заслужил продукт Permit Enterprise 1.2 компании TimeStep, хотя соперники "дышали прямо в затылок". Он обеспечивает наилучшую поддержку инфраструктуры общедоступных ключей (PKI) и самые мощные функции управления для развертывания VPN-сети предприятия.



Результаты тестирования


Продукт Управление клиентом 20% Производи-
тельность клиента 20% Функции защиты 15% Контроль входа в систему 15% Администри-
рование 15% Инсталляция и документация 15% Итоговый балл

Permit Enterprise 1.2 8 7 8 8 6 7 7,35
RiverWorks Enterprise VPN 1.2 6 8 7 9 7 6 7,15
VPN Concentrator Series 1.2 6 7 7 7 8 8 7,10
VPN Gateway Plus 6.7 8 7 8 7 6 6 7,05
VPN-1 Gateway 1.2 7 7 9 7 6 6 7,00
Security Management Server 4.1 6 7 8 8 7 6 6,95
VPNWare 2.51 6 8 5 6 7 7 6,55
cIPro System 4.0 6 7 8 6 6 6 6,50
Ravlin 7100 3.3 5 7 7 6 5 7 6,15
F-Secure VPN+ 4.2 5 7 8 6 6 4 6,00
VTCP/Secure 4.2 5 8 5 7 4 4 5,60

Категории оценивались по 10-балльной шкале. Процент, указанный для каждой категории - это ее вес при определении итогового балла.



Управление тысячами пользователей


Все протестированные VPN-продукты обеспечивают аутентификацию пользователей. В большинстве из них эта возможность реализована на локальном уровне. Система просматривает информацию о пользователе, которая хранится в базе данных, на VPN-устройстве или на станции управления виртуальной частной сетью. Однако, чтобы не создавать новый пароль (если пользователь забыл его), следует иметь шлюз к внешней базе данных аутентификации.

Служба дистанционной аутентификации пользователей, подключающихся по телефонной линии (Remote Authentication Dial-In User Service, RADIUS), стала стандартом де-факто для организации аутентификации в сети. Созданы хорошие серверы стандарта RADIUS, которые работают с различными базами данных аутентификации, от NT Security Access Manager и до множества систем единого пароля, таких как SecurID и Cryptocard, использующих жетоны или смарт-карты.

Мы протестировали каждый сервер, поддерживающий RADIUS, сравнивая его с нашим. Все они продемонстрировали великолепную возможность взаимодействия. Работа практически с каждой из поддерживающих RADIUS VPN-сетей была проще. Единственным исключением оказался продукт VPN-1 Gateway: в конечном счете мы добились, чтобы он заработал, но это оказалось не так просто, как с другими. Только F-Secure VPN (Data Fellows) и Permit Enterprise (TimeStep) в настоящее время не поддерживают RADIUS.

Тем не менее приходится констатировать, что некоторые из продуктов не очень удачно спроектированы. Например, в VPN-1 Gateway данные о каждом пользователе нужно заносить и в свою базу данных, и в базу данных RADIUS - а это не самая лучшая идея.

В VPNWare и VPN Concentrator Series реализован другой подход. Они не только хранят информацию о пользователе и паролях в базе данных RADIUS, но и дополнительно позволяют загружать данные о конфигурации каждого пользователя с сервера RADIUS. Вероятно, вам понравится решение, предложенное компанией Indus River в RiverWorks. Это ПО требует от сервера RADIUS возврата специального флага, который и является разрешением на доступ пользователя к виртуальной сети.

А как обстоят дела с отслеживанием "маршрутов" пользователей? Мы изучили возможности этого рода у тестируемых продуктов и, надо сказать, были разочарованы.

Наилучшие возможности учета в серверах VPN-туннеля предоставляет сервис RADIUS; он обеспечивает доступ к учетным записям этих серверов, позволяя использовать любые средства для создания отчетов. Security Management Server компании Lucent и VPN Concentrator Series фирмы Altiga поддерживают имеющуюся в RADIUS функцию учета, а LANRover VPN Gateway от Intel предоставляет этот сервис RADIUS только пользователям сервера Shiva Smart Tunnel.

Во всех остальных продуктах функции учета и создания отчетов развиты очень слабо. Например, в RiverWorks вы можете посмотреть информацию только за прошлые дни, но не получите данные за утро сегодняшнего дня. Хуже того, продукт сам создает файл отчетов за день, так что получить информацию о подключениях пользователя за период, больший чем 24 часа, не очень-то просто. Компании InfoExpress и Check Point немножко лучше организовали работу своего ПО. Однако Check Point предлагает заплатить дополнительно 1500 долл. за средство объединения файлов регистрации, создающее плохонькие отчеты с неполными данными, хотя нам кажется, что эта функция должна быть включена в базовый комплект.

Но все-таки лучше что-то, чем ничего. А именно так обстоят дела с VPNWare, cIPro System и Ravlin. Эти три продукта или вообще не предоставляли никакой отчетности, или отбрасывали столько данных, что информация, которую нам удавалось получить, оказывалась бесполезной.



Все для конечного пользователя


Мы опасались недовольства конечного пользователя по поводу программных средств VPN, если они существенно замедляют работу в Internet. Поэтому было проведено тестирование на производительность, замеры времени задержки и пропускной способности. Все продукты, кроме двух, продемонстрировали примерно одинаковую производительность.

Исключения - это RiverWorks и VTCP/Secure, в которых реализована функция сжатия. При активизации этой функции они обеспечивали увеличение производительности от 5 до 15% в зависимости от вида данных и размеров используемых пакетов. Наилучшую производительность продемонстрировал пакет VTCP/Secure, хотя в нем используются фирменные (нестандартные) протоколы.

В клиентских VPN-продуктах, где сжатие не используется (т. е. во всех, кроме двух вышеназванных), сетевая производительность в среднем уменьшалась на 20%, трафик виртуальной частной сети замедлялся на 16-24%. Для распространенных Web-приложений, типа браузера и электронной почты, такое снижение производительности не слишком ощутимо. Но для интерактивных приложений, например виртуальных терминалов, ухудшение производительности (для них увеличение времени задержки достигало 60%) явно не обрадует пользователей.



За и против


Продукт Компания, Web-адрес Цена, долл. Достоинства Недостатки

Permit Enterprise 1.2 TimeStep www.timestep.com25 490 на 1000 клиентов *Прекрасная поддержка больших баз данных пользователя
*Мощные средства управления уровня предприятия
*Наилучшая поддержка PKI
*Простое суммирование различных функций при построении системы породили несогласованность в работе отдельных составляющих
VPN-1 Gateway 1.2 Check Point Software www.checkpoint.com От 56 000 до 96 000 на 1000 клиентов *Встроенный брандмауэр упрощает некоторые операции конфигурации
*"Прозрачный" брандмауэр клиента
*Среда Check Point усложняет работу простых VPN-приложений
RiverWorks Enterprise VPN 1.2 Indus River Network www.indusriver.com/pro/pro_main.htm150 000 на 1000 клиентов *Доступ пользователя в режиме коммутации обеспечивает подключение как к Internet, так и к VPN *Простота инсталляции *Развитые средства диагностики *Высокая цена
*Отсутствует опция брандмауэра для клиента
VPN Concentrator Series 1.2 Altiga Networks www.altiga.com/products/C50.cfm 5760 на 1000 клиентов *Отличная утилита управления, предоставляющая все подробности работы сервера
*Простота развертывания сети
*Слабые средства регистрации пользователей
*Не может эффективно использовать Internet в режиме туннелирования данных
LanRover VPN Gateway Intel www.shiva.com/remote/vpngate/17 375 на 1000 клиентов *Простота инсталляции клиентского ПО
*Клиентский инструмент для подключения к сети облегчает работу при многочисленных инсталляциях *Хорошие клиентские опции защиты
*Отсутствует функция учета зарегистрированных пользователей для сессий IPSec
*Отсутствуют средства анализа
Security Management Server 4.1 Lucent www.lucent.comОт 9995 до 13 490 *Очень полный комплект средств управления
*Хорошая функция конфигурирования и контроля для мультисистемы
*Объединение брандмауэра Lucent с VPN препятствует созданию некоторых VPN-конфигураций
VPNware 2.51 VPNet www.vpnet.com/products/products.htm34 050 на 1000 клиентов *Простота развертывания сети на клиентском ПК
*Поддерживает несколько VPN-топологий
*Служба RADIUS обеспечивает конфигурирование параметров клиента
*Написанные на языке Java средства управления (графический интерфейс пользователя) работают нестабильно
*Отсутствует информация о регистрации в сети
cIPro System 4.0 RadGuard www.radguard.com/cIProVPN.html45 000 *Средства управления интегрированы с сетевой платформой уровня предприятия HP OpenView
*Обеспечивает гибкость конфигурирования
*Недостатки в системе регистрации в сети
Ravlin 7100 3.30 RedCreek www.redcreek.com/products/7100.html19 000 на 1000 клиентов *Продукт прост в настройке
*Конфигурирование и инсталляция выполняются быстро
*Функции управления не рассчитаны на большое число пользователей или серверов
F-Secure VPN+ 4.2 Data Fellows www.datafellows.com48 990 на 1000 клиентов (+ 10 000 - сервер) *Хорошо интегрирован с сетевой средой Windows *Среда администрирования излишне сложная
*Требует организации сетевой среды Windows
VCTP/Secure 4.2 InfoExpress www.infoexpress.com/prodfr.htm70 000 на 1000 клиентов (+ 10 000 - сервер) *Поддержка мультиплатформного клиента и сервера Возможно резервирование клиента *Примитивный пользовательский интерфейс
*Продукт сложен в управлении

Назад



Защищая "последнюю милю"


Журнал "Сети", #02/2000

Джоул СНАЙДЕР

Таблица

Результаты тестирования

За и против

Перспектива защиты "последней мили" выглядит пугающей.

Защита данных в виртуальных частных сетях (VPN), объединяющих переносные или домашние ПК с локальной сетью корпорации, вступает в противоречие с двумя основными заповедями, на которых зиждется поддержка вычислительной сети предприятия: никогда не затрагивай настольную систему; никогда не предпринимай действий, заставляющих пользователей изменить привычный стиль работы за компьютером.

Желание защитить свою корпоративную ЛВС заставляет сетевых администраторов блокировать линии связи, соединяющие с ней удаленных пользователей. Как же создавать, расширять, поддерживать и управлять VPN, а также посылать сообщения сотням или тысячам пользователей - клиентов VPN?

Всем производителям VPN-продуктов, какие были нам известны, мы предложили участвовать в тестировании. Хотя большинство из них откликнулись и прислали свои изделия в тестовую лабораторию, некоторые крупные игроки данного рынка отказались. Так, компания Cisco не пожелала испытывать продукт до завершения бета-тестирования. У компании Xedia обнаружились финансовые причины. Отказы, правда без вразумительных объяснений, были получены от фирм Compatible Systems, Nortel Networks и Network Associates.

В результате мы протестировали 11 клиентских VPN-продуктов. Многие из них выпускаются теми же компаниями, которые производят средства для VPN, уже протестированные нами (см. "Сети", 1999, № 11, с. 92) на предмет совместимости, возможностей конфигурирования и производительности. В данном обзоре мы рассмотрим, как VPN-системы работают с клиентами корпоративной сети.

Большая часть протестированных продуктов продемонстрировала вполне приемлемую производительность и достаточный набор функций управления. Итоговые баллы восьми из одиннадцати изделий разнятся лишь на единицу. Голубой лентой Network World был награжден продукт Permit Enterprise 1.2 компании TimeStep за превосходный инструментарий управления, который позволяет развертывать виртуальные сети, охватывающие действительно гигантское число клиентов.



Защита клиента


После того как правила доступа клиента установлены, следует позаботиться о защите пересылаемых ему данных. Мы в основном рассматривали продукты, использующие в качестве IP-протоколов шифрования IP Security (IPSec) и Internet Key Exchange (IKE), так как они являются наиболее распространенными. IPSec определяет методы шифрования и аутентификации IP-пакетов данных. IKE описывает, как происходит настройка туннелей для передачи данных, а также как создается информация о ключах и происходит ее обмен через Internet.

В продуктах компаний RedCreek и Check Point поддерживается шифрование как по протоколам IPSec/ IKE, так и по своим фирменным.

Клиентская часть продукта VPNWare компании VPNet поддерживает систему шифрования только в соответствии с протоколом Simple Key Management Internet Protocol (SKIP). Однако это не очень нас беспокоило, поскольку SKIP - очень понятный стандарт. А вот в продукте VTCP/Secure компании InfoExpress имеется только система шифрования собственной разработки. Правда, на некоторых платформах поддерживается бета-версия кода IPSec, но не на тех, которые мы использовали для тестирования.

Некоторое беспокойство вызывают также продукты компаний Indus River и Intel. Первый не поддерживает IKE для обмена ключами, второй требует собственных протоколов для создания новых VPN-клиентов, если вы используете для этого входящие в LAN Rover средства. Но эти недостатки не смертельны.

Позиция стандарта Layer 2 Tunneling Protocol (L2TP) на рынке еще не очень крепка и, вероятно, не улучшится вплоть до повсеместного распространения ОС Windows 2000, куда встроен VPN-клиент туннелирования по протоколу L2TP. Поэтому в продуктах, с которыми мы имели дело, поддержка L2TP была представлена весьма слабо. Практически, туннелирование по этому протоколу обеспечивает лишь VPN Concentrator Series фирмы Altiga.

Протокол L2TP базируется на совершенно другой стратегии создания туннеля передачи данных (между прочим, не зашифрованных) от корпоративной сети до конечного пользователя. Его преимущество состоит в том, что пользователь может создать туннель до сервера не на базе IP-протокола (а, например, на основе IPX). Но если конечный пользователь аутентифицируется L2TP-механизмом (отличным от IPSec и дополняющим его), то он может получить IP-адрес, назначаемый с центральной консоли корпоративной сети стандартным образом.

В продукты RiverWorks и VPN Concentrator Series компании Indus Rivers включена поддержка протокола Point-to-Point Tunneling Protocol (PPTP), обычно используемого в ОС Windows 3.1 и Macintosh, для которых клиентская часть протокола IPSec пока отсутствует.

Помимо стандартов шифрования и туннелирования сетевому администратору необходимо обратить внимание на наличие в некоторых из протестированных продуктов брандмауэров, встроенных в клиентское ПО. Действительно, если клиентский ПК - окно в вашу сеть, почему бы не защитить его от риска вторжения? В таких продуктах, как F-Secure VPN, VTCP/Secure и VPN-1 Gateway, некоторые функции брандмауэров имеются и в серверной, и в клиентской части ПО. Компания Check Point в пакете Secure Client предлагает полнофункциональный брандмауэр, правда, с довольно ограниченным набором сценариев защиты.

По сути этот брандмауэр - один из видов брандмауэра с фильтрацией пакетов, работающий со статусными данными обо всех соединениях, что позволяет сопоставлять информацию, передаваемую в обоих направлениях. Без полного анализа трафика возможности брандмауэра с фильтрацией пакетов ограничены. При наличии этой функции защита гораздо более эффективна, так как пропускаются лишь те пакеты, которые относятся к санкционированному соединению. В продуктах VTCP/Secure и F-Secure VPN клиентское ПО выполняет только фильтрацию пакетов, что обеспечивает более низкий уровень защиты.

Брандмауэры с туннелированием, имеющиеся почти во всех протестированных продуктах, дополняют средствами защиты сервер туннелирования. Однако в Permit Enterprise, RiverWorks, VPNWare и Ravlin 7100 такие функции представлены весьма слабо. Если вы с помощью одного из этих продуктов собираетесь организовать для своей корпорации VPN-сети с серьезными ограничениями (например, всем пользователям запрещен доступ во все сети, которые находятся в ведении определенного департамента), то вам придется дополнительно установить еще один брандмауэр.

Функции брандмауэра на ПК-клиенте могут быть избыточными, так как VPN-клиенты обычно подключаются через Internet. Вполне достаточно функции отключения Internet-трафика на время соединения с VPN-сетью. Именно такой подход реализован в VPN Concentrator Series компании Altiga. Когда клиент соединен с VPN-сервером Altiga, путь для любого другого Internet-трафика закрыт: каждый пакет клиента, прежде чем попасть в Сеть, направляется на сервер туннелирования. В Permit Enterprise, RiverWorks, Ravlin 7100 и cIPro System конечному пользователю предоставляется возможность решить, блокировать ли Internet-трафик в случае активности виртуальной частной сети. А в продуктах VPN Gateway Plus (Intel) и VPN-1 Gateway (Check Point) это отдано на усмотрение сетевого администратора.



Цена свободы


Можно ознакомиться с Freedom, скопировав ПО на соответствующем Web-узле по адресу: www.freedom.net. Несложная процедура регистрации наделит вас одним или несколькими электронными псевдонимами, или "нимами" (nyms). Первые три из них предоставляются бесплатно в течение месяца, а вот для их обновления нужно приобрести за 50 долл. порядковый номер Freedom. Причем процесс оплаты организован так, что если используется режим on-line, то номер кредитной карты никак не связывается с "нимами".

Для повышения безопасности можно изменять псевдонимы

Сначала следует выполнить конфигурационную установку Freedom. И тогда можно будет отправляться путешествовать по Internet, просто запустив эту программу. С электронной почтой продукт работает следующим образом. Он перехватывает отправленные послания и вместо настоящего адреса "прописывает" в них обратный адрес "нима". Затем послание шифруется и передается через цепочку серверов Freedom Network, часть из которых контролируется фирмой Zero-Knowledge, а часть - другими. Эти рассредоточенные по всему миру серверы скрывают исходный пункт, откуда было отправлено письмо. Ответ на него Freedom Network получает, шифрует и направляет на настоящий адрес электронной почты, опять же скрывая путь его следования. По утверждению Zero-Knowledge, многослойная шифровка, нарастающая подобно луковой шелухе по мере прохождения посланий через Freedom Network, гарантирует, что ни на одном отдельно взятом сервере не имеется информации, достаточной для идентификации личности отправителя.

Когда я установил Freedom, то отправил с помощью программы Netscape Messenger другу простое послание типа "Угадай, кто я". Он получил его с обратным адресом: freedom.net, но не смог определить, кто послал. Его ответное послание появилось у меня в ящике входящей почты в Messenger.

Кроме того, Freedom позволяет скрывать следы путешествия по Internet. Программа пропускает трафик через Freedom Network таким образом, что Web-серверы видят запросы лишь с серверов Freedom, а не с ПК. Так называемые "плюшки" (cookies), или небольшие файлы, которые Web-серверы размещают на жестком диске компьютера, складываются в специальных областях (сookies jars), предусмотренных в Freedom. Когда я внимательно просмотрел Web-узлы, которые раньше благодаря "плюшкам" имели счастье узнать, кто я такой, то убедился, что больше такой возможности нет. Используя полученный от Freedom "ним", можно отправлять сообщения в Usenet, а также маршрутизировать Telnet, Secure Shell и IRC-соединения через Freedom Network (однако последнего я не проверял).

У программы есть и некоторые недостатки. Так, путешествие по Internet кажется слегка замедленным. Freedom не работает в случае соединения через AOL. К тому же это ПО функционирует лишь под управлением ОС Windows 9x. Не работает программа и с некоторыми защитными системами, так что с ее помощью не надерзишь боссу в офисе. И наконец, не стоит угрожать главе государства, думая, что никто не отследит, - Zero-Knowledge признает, что совместить с ним подлинную личность все-таки можно, по крайней мере теоретически.

Так стоит ли приобретать Freedom? Если кто-то озабочен тем, что различные узлы Сети отслеживают его приходы и уходы, то для него 50 долл. - это невысокая цена. По утверждению Эбнера Германова, специалиста по обеспечению Internet-безопасности из IDC, Freedom - один из немногих всеобъемлющих инструментов для защиты личности при работе в режиме on-line. Так что в итоге можно сказать следующее: приятно сознавать, что ты можешь обрести "Свободу", если пожелаешь.

Freedom

Цена: 50 долл. Zero-Knowledge Systems



Новый инструмент для защиты от любопытных глаз.


Хотя поставщики аппаратного и программного обеспечения, а также официальные лица в правительстве принимают позы защитников личной информации, в которую постороннее вторжение недопустимо, имеются серьезные основания опасаться, что наши путешествия по Internet не останутся анонимными. Хакеры могут легко читать послания по электронной почте, а Web-серверы протоколируют все и вся, включая даже перечень просматриваемых Web-страниц.

Freedom позволяет создать пять псевдонимов (или "нимов"), чтобы анонимно посылать электронную почту и путешествовать по Internet

Новый 50-долларовый продукт под названием Freedom ("Свобода") выпущен для того, чтобы изменить подобное положение: он помогает анонимно странствовать по Internet и отправлять электронную почту, используя трудно поддающиеся отслеживанию псевдонимы. Как утверждает поставщик, программа не позволяет идентифицировать пользователей даже ее создателям из монреальской фирмы Zero-Knowledge Systems. В наших неформальных тестах программа Freedom выполнила многое из обещанного.



Администратор - бог и царь


В каждой организации есть пользователи, обладающие практически неограниченными правами в сети. Это сетевые администраторы. Они никому неподконтрольны и могут делать в сети практически все, что угодно. Как правило, они используют свои неограниченные права для выполнения своих функциональных обязанностей. Но представьте на минуту, что администратор чем-то обижен. Будь-то низкой зарплатой, недооценкой его возможностей, местью и т.п. Известны случаи, когда такие обиженные администраторы "портили кровь" не одной компании и приводили к очень серьезному ущербу. Осенью 1985 года директор по компьютерной безопасности компании USPA & IRA Дональд Берлисон попытался через руководство компании добиться снижения суммы налога на прибыль, которую ему постоянно приходилось выплачивать, и чем он был недоволен. Однако он был уволен. Через три дня после увольнения он пришел на работу и, получив доступ в сеть компании, удалил 168000 записей базы данных о страховании и защите торговых сделок. Затем он запустил в сеть несколько программ-червей, которые должны были продолжать удалять аналогичные записи в будущем. И Россия не осталась в стороне. В 1991 г. при помощи компьютерной техники произошло хищение валютных средств из Внешэкономбанка на сумму 125,5 тыс. долларов и подготовка к хищению еще свыше 500 тыс. долларов. Механизм хищения был очень прост. Житель Москвы совместно с начальником отдела автоматизации неторговых операций ВЦ Внешэкономбанка открыл по шести поддельным паспортам счета и внес на них по 50 долларов. Затем, путем изменения банковского программного обеспечения на открытые счета были переведены 125 тысяч долларов, которые и были получены по поддельным паспортам.

Два этих примера демонстрируют, что даже самый эффективный межсетевой экран не смог бы защитить корпоративную сеть, если бы на нее совершил нападение ее администратор.



И вновь о подмене


Подмена адреса - это способ сокрытия реального адреса злоумышленника. Однако он может использоваться и для обхода защитных механизмов межсетевого экрана. Такой простейший способ, как замена адреса источника сетевых пакетов на адрес из защищаемой сети, уже не может ввести в заблуждение современные межсетевые экраны. Все они используют различные способы защиты от такой подмены. Однако сам принцип подмены адреса остается по-прежнему актуальным. Например, злоумышленник может подменить свой реальный адрес на адрес узла, у которого установлены доверенные отношения с атакуемой системой и реализовать атаку типа "отказ в обслуживании" на нее.



Людям свойственно ошибаться


Как известно, межсетевые экраны, как и другие средства защиты, настраиваются людьми. А людям свойственно ошибаться, даже специалистам по защите информации. Именно этот факт и используется многими злоумышленниками. Достаточно найти всего лишь одну слабину в настройках межсетевого экрана и все, можно считать, что "ваше дело табак". Это подтверждается и различными исследованиями. Например, собранная в 1999 году ассоциацией ICSA (http://www.icsa.net) статистика показывает, что до 70% всех межсетевых экранов уязвимы из-за неправильной конфигурации и настройки. Я не хочу говорить о некомпетентности или низкой квалификации администратора МСЭ (хотя эти причины отнюдь не редки), - опишу другой примера. Сразу после института я попал в отдел автоматизации одной крупной компании. Защита Internet обеспечивалась межсетевым экраном, которым "рулил" администратор отдела защиты информации. Мне не раз приходилось сталкиваться с ситуацией, когда к этому администратору подходили друзья из других отделов компании и просили на время разрешить им доступ к серверам с игрушками. Однажды я был свидетелем вопиющего случая. К администратору МСЭ подошел начальник отдела по работе с партнерами и потребовал дать ему доступ к одному из Internet-ресурсов. На ответ, что это невозможно, начальник пригрозил устроить администратору "веселую жизнь", после чего последнему пришлось выполнить распоряжение и изменить настройки межсетевого экрана. Самое удивительное, что со временем ситуация не улучшается. Недавно мы проводили обследование в одной из организаций и обнаружили там точно такую же ситуацию. На межсетевом экране был открыт доступ по протоколам ICQ, RealAudio и т.д. Стали выяснять - оказалось, это было сделано по просьбе сотрудника одного из отдела, с которым у администратора сложились дружеские отношения.



Межсетевой экран - как цель атаки


Межсетевые экраны часто сами являются объектами атаки. Атаковав МСЭ и выведя его из строя, злоумышленники могут спокойно, не боясь быть обнаруженными, реализовывать свои преступные замысли по отношению к ресурсам защищаемой сети. Например, с начала 2001 года было обнаружено немало уязвимостей в реализации различных известных межсетевых экранов. Например, неправильная обработка TCP-пакетов с флагом ECE в МСЭ ipfw или ip6fw позволяла удаленному злоумышленнику обойти созданные правила. Еще одна уязвимость была обнаружена в межсетевом экране BorderWare Firewall Server 6.1.2. Использование данной уязвимости, связанной с широковещательной посылкой запросов ICMP Echo Request, приводила к нарушению доступности МСЭ BorderWare. В стороне не остались и другие межсетевые экраны - Cisco Secure Pix Firewall, WatchGuard Firebox и т.д.



"Нормальные герои всегда идут в обход"


Фрагмент песни из детского фильма "Айболит-69" как нельзя лучше иллюстрирует следующую проблему, присущую межсетевым экранам. Зачем пытаться проникнуть к защищаемым ресурсам через защитные средства, когда можно попытаться обойти их? Это можно проиллюстрировать примером из смежной области. В среду, 21 февраля 1990 г. Мэри Пирхем, аналитик по бюджету одной американской компании, пришла на работу. Однако она не смогла пройти на свое рабочее место даже после набора четырехзначного кода и произнесения кодового слова в системе контроля доступа. Желая все-таки попасть на работу, Мэри обошла здание и открыла дверь черного хода при помощи пилки для ногтей и пластмассовой расчески. Новейшая защитная система, которую обошла Мэри Пирхем, рекламировалась как "безотказная и надежная" и стоила несколько десятков тысяч долларов. Аналогично и с межсетевыми экранами, только роль черного хода может выполнять модем. Знаете ли вы, сколько в вашей сети установлено модемов и для чего они используются? Не отвечайте сразу утвердительно, подумайте. При обследовании одной сети начальники отдела защиты информации и автоматизации рвали на себе рубаху, утверждая, что они знают все до единого модема, установленные в их сети. Запустив систему анализа защищенности Internet Scanner, мы действительно обнаружили указанные ими модемы, используемые для обновления баз данных бухгалтерской и юридической систем. Однако было обнаружено и два неизвестных модема. Один использовался сотрудником аналитического отдела с целью получения доступа к рабочим каталогам из дома. Второй модем использовался для доступа в Internet, в обход межсетевого экрана.

С возможностью обхода МСЭ связан и другой пример. Не всегда угрозы идут только с внешней стороны МСЭ, из сети Internet. Большое количество потерь связано как раз с инцидентами защиты со стороны внутренних пользователей (по статистике - до 80% инцидентов исходят изнутри). Необходимо уточнить, что межсетевой экран только просматривает трафик на границах между внутренней сетью и сетью Internet. Если трафик, использующий "бреши" в защите, никогда не проходит через межсетевой экран, то МСЭ и не находит никаких проблем. В 1985 году на одном из российских судостроительных заводов была разоблачена преступная группа из свыше 70 (!) человек, которая в течение 1981-1985 гг. путем введения в информационную систему расчета зарплаты фальшивых документов похитила более 200 тыс. рублей. Аналогичные случаи были зафиксированы на заводах г. Ленинграда и г. Горького. Ни один, даже самый эффективный межсетевой экран, не смог бы обнаружить такую деятельность.



Шифруй, не шифруй, все равно…


Очень часто из уст многих отечественных разработчиков средств VPN можно услышать, что разработанное им средство построения виртуальных частных сетей способно решить многие проблемы безопасности. Они упирают на то, что раз защищаемая сеть общается со своими оппонентами (удаленными офисами, партнерами, заказчиками и т.д.) только по VPN-соединению, то никакая "зараза" в нее не проникнет. Отчасти это так, но только при условии, что и оппоненты также ни с кем не общаются по незащищенным каналам. А это уже представить себе трудно. И поскольку большинство организаций используют шифрование для защиты внешних сетевых соединений, интерес злоумышленника будет направлен к тем местам в сети, где информация, представляющая для него интерес, вероятно, не является защищенной, то есть к узлам или сетям, с которым установлены доверенные отношения. И даже в случае создания VPN-соединений между сетью, защищаемой при помощи МСЭ с функциями VPN, и доверенной сетью, злоумышленник сможет с той же эффективностью реализовывать свои атаки. Мало того, эффективность его атак будет еще выше, поскольку зачастую требования по безопасности к доверенным узлам и сетям намного ниже всех остальных узлов. Злоумышленник сможет проникнуть в доверенную сеть, а уж затем из нее осуществлять свои несанкционированные действия по отношению к цели своей атаки. В марте 1995 г. администратор безопасности Космического Центра Джонсона (Johnson Space Center) получил сообщение о том, что два компьютера этого центра были атакованы злоумышленниками. Однако в результате расследования выяснилось, что данные компьютеры были скомпрометированы еще в декабре 1994 года и на них были установлены программы-перехватчики пользовательских идентификаторов и паролей. Журналы регистрации этих программ содержали около 1300 идентификаторов и паролей пользователей из более 130 систем, подключенных к скомпрометированным узлам.



Способы обхода межсетевых экранов


А. В. Лукацкий

Научно-инженерное предприятие "Информзащита"

В 1999 году я написал статью "Firewall - не панацея", которая рассказывала о различных недостатках, присущих технологии, используемой в межсетевых экранах (МСЭ). Я надеялся, что отечественные поставщики и, особенно разработчики, перестанут "дурить голову" заказчикам, утверждая, что именно их межсетевой экран - это панацея от всех бед, и он решит все проблемы заказчика, обеспечив надежную защиту всех ресурсов корпоративной сети. Однако этого не произошло, и я вновь хочу вернуться к этой теме. Тем более что, как показывает мой опыт чтения лекций по защите информации, этот вопрос живо интересует специалистов, которые уже используют межсетевые экраны (firewall) в своих организациях.

Существует ряд проблем, о которых я хотел бы рассказать и которые можно проиллюстрировать на примере. Межсетевой экран - это просто ограждение вокруг вашей сети. Оно может быть очень высоким или очень толстым, чтобы его можно было перелезть или проделать в нем дыру. Но… это ограждение не может обнаружить, когда кто-то роет под ним подкоп или пытается пройти по мостику, переброшенному через ограждение. МСЭ просто ограничивает доступ к некоторым точкам за вашим ограждением.



Стой, кто идет? Предъявите паспорт!


Абсолютное большинство межсетевых экранов построено на классических моделях разграничения доступа, разработанных в 70-х, 80-х годах прошлого столетия в военных ведомствах. Согласно этим моделям субъекту (пользователю, программе, процессу или сетевому пакету) разрешается или запрещается доступ к какому-либо объекту (например, файлу или узлу сети) при предъявлении некоторого уникального, присущего только этому субъекту, элемента. В 80% случаев этим элементом является пароль. В других случаях таким уникальным элементом является таблетка Touch Memory, Smart или Proximity Card, биометрические характеристики пользователя и т.д. Для сетевого пакета таким элементом являются адреса или флаги, находящиеся в заголовке пакета, а также некоторые другие параметры.

Можно заметить, что самым слабым звеном этой схемы является уникальный элемент. Если нарушитель каким-либо образом получил этот самый элемент и предъявил межсетевому экрану, то он воспринимает его, как "своего" и разрешает действовать в рамках прав того субъекта, секретным элементом которого несанкционированно воспользовались. При современных темпах развития технологий получить доступ к такому секретному элементу не составляет большого труда. Его можно "подслушать" при передаче по сети при помощи анализаторов протоколов, в том числе и встроенных в операционные системы (например, Network Monitor в Windows NT 4.0). Его можно подобрать при помощи специальных программ, доступных в Internet, например, при помощи L0phtCrack для Windows или Crack для Unix.

Т.о. даже самый мощный и надежный межсетевой экран не защитит от проникновения в корпоративную сеть нарушителя, если последний смог подобрать или украсть пароль авторизованного пользователя. Мало того, межсетевой экран даже не зафиксирует нарушения, так как для него нарушитель, укравший пароль, является авторизованным пользователем. Например, 22 марта 1995 г. неустановленный злоумышленник при помощи украденного пароля и программного обеспечения Пинского филиала БелАКБ "Магнатбанк" проник в компьютерную сеть Белорусского межбанковского расчетного центра и перевел на расчетный счет ООО "Арэса ЛТД" в Советское отделение БелАКБ "Промстройбанк" 1 млрд. 700 млн. рублей.



Туннели используются не только в метро


Но даже просмотр трафика на границе между внешней и внутренней сетями не гарантирует полной защиты. Межсетевой экран фильтрует трафик и принимает решения о пропуске или блокировании сетевых пакетов, опираясь на информацию об используемом протоколе. Как правило, правила предусматривают соответствующую проверку с целью определения того, разрешен или нет конкретный протокол. Например, если на МСЭ разрешен 25 и 80 порты, то тем самым разрешается пропуск во внутреннюю сеть почтового (SMTP) и Web (HTTP) трафика. Именно этот принцип обработки и используется квалифицированными злоумышленниками. Вся несанкционированная деятельность осуществляется в рамках разрешенного протокола, создавая тем самым в нем туннель, по которому злоумышленник и реализует атаку. Самый простой пример, демонстрирующий применение туннелей - Internet-черви и макровирусы, заносимые в корпоративную сеть в виде вложений (attachments) в сообщения электронной почты. Если межсетевой экран разрешает прохождение SMTP-трафика (а мне не приходилось видеть МСЭ, который бы этого не делал), то во внутреннюю сеть может попасть и "вирусная инфекция". Приведу более сложный пример. Например, Web-сервер, функционирующий под управлением программного обеспечения компании Microsoft (Internet Information Server), защищается межсетевым экраном, на котором разрешен только 80-ый порт. На первый взгляд обеспечивается полная защита. Но только на первый взгляд. Если используется IIS версии 3.0, то обращение по адресу: http://www.domain.ru/default.asp. (с точкой в конце) позволяет злоумышленнику получить доступ к содержимому ASP-файла, который может хранить конфиденциальные данные (например, пароль доступа к базе данных). В системе обнаружения атак RealSecure эта атака получила название "HTTP IIS 3.0 Asp Dot". И даже, если вы установили самую последнюю версию IIS 5.0, то и в этом случае вы не можете чувствовать себя в полной безопасности. Обращение к адресу:

http://SOMEHOST/scripts/georgi.bat/..%C1%9C..%C1%9C..%C1%9C winnt/system32/cmd.exe?/c%20dir%20C:\

приводит к выполнению команды "dir C:\". Аналогичным образом можно прочитать любой файл, в том числе и содержащий конфиденциальную информацию:

http://SOMEHOST/scripts/georgi.asp/..%C1%9C..%C1%9C..%C1%9Ctest.txt

Последним примером может служить атака Loki, которая позволяет туннелировать различные команды (например, запрос на передачу файла паролей /etc/passwd) в запросы ICMP Echo Request и реакцию на них в ответы ICMP Echo Reply.



Межсетевые экраны не обеспечивают достаточного


Межсетевые экраны не обеспечивают достаточного уровня защищенности корпоративных сетей. Хотя ни в коем случае от них нельзя отказываться. Они помогут обеспечить необходимый, но явно недостаточный, уровень защиты корпоративных ресурсов. Как уже не раз отмечалось, традиционные средства, к которым можно отнести и межсетевые экраны, были построены на основе моделей, разработанных в то время, когда сети не получили широкого распространения и способы атак на эти сети не были так развиты, как сейчас. Чтобы на должном уровне противодействовать этим атакам, необходимо применение новых технологий. Например, технология обнаружение атак (intrusion detection), которая стала активно развиваться за рубежом и четыре года назад попала в Россию. Эта технология, ярким представителем которой является семейство средств RealSecure компании Internet Security Systems, позволяет эффективно дополнять существующие межсетевые экраны, обеспечивая более высокий уровень защищенности.

Голографический подход


Еще один способ основан на принципах цифровой голографии. В изображение-контейнер встраиваются не непосредственно секретные данные, а их голограмма. Этот способ создает условную зависимость между видеоданными контейнера и встраиваемыми секретными данными и обладает наилучшей защищенностью к взлому. Применение голографического подхода, позволяет осуществлять встраивание срытых данных в обычные фотографии на бумажной или пластиковой основе. Для обнаружения и восстановления секретных данных требуется знание параметров создания голограммы. Основной недостаток этого способа связан с ограниченным объемом встраиваемых данных.

Рис. 7. Рис. 7a.
Рис. 8. Рис. 8a.

Наиболее целесообразно применять голографический подход для сокрытия небольших изображений, восстановление которых допускает некоторую потерю (подобно JPEG) качества: образцы подписей, образцы отпечатков пальцев и т.п. На рис. 7 представлен контейнер со встроенным факсимильным образцом подписи, а на рис. 7а показан результат восстановления. Аналогичный вариант для сокрытия дактилоскопического отпечатка иллюстрируется рис. 8 и рис. 8a. На рис. 7a и рис. 8a, восстановленные образцы имеют зеркальное отображение, что обусловлено появлением вещественного и мнимого изображения при восстановлении голограммы.

document.write('


Архивации почты Exchange 2000/2003/2007/2010 с контролем целостности.
Полнотекстовый поиск по архиву. Разграничение доступа для пользователей.
Интеграция с MS Outlook, быстрое восстановление и пересылка любых писем.
Веб-интерфейс управления с встроенным почтовым клиентом.
ДВА программных продукта БЕСПЛАТНО');

Новости мира IT:

02.08 - Компания HP открыла базовые приложения мобильной платформы webOS02.08 - Релиз KDE SC 4.902.08 - Fujitsu, NTT DoCoMo и NEC создали предприятие по разработке мобильных чипов02.08 - Seagate выпустит гибридные накопители корпоративного класса02.08 - ПК-рынок вырос почти на 12 процентов01.08 - Google представила релиз web-браузера Chrome 2101.08 - Представлена энергоэффективная WORM-память, производимая по рулонной технологии01.08 - Google откладывает начало поставок медиаплеера Nexus Q01.08 - Microsoft запустила новый почтовый сервис Outlook.com01.08 - Путин: РФ в будущем может перейти на электронную идентификацию граждан01.08 - Apple представит iPhone нового поколения 12 сентября01.08 - Смартфоны позаботятся о безопасности водителей01.08 - Квартальная прибыль Seagate выросла в девять раз01.08 - «Карта Интернета» расскажет о связях между сайтами01.08 - Яндекс объявляет финансовые результаты за II квартал 2012 года31.07 - Новую Mac OS X загрузили три миллиона раз за четыре дня31.07 - Мобильная Opera набрала 200 миллионов пользователей31.07 - Nokia свернула производство телефонов в Финляндии31.07 - В Twitter насчитали полмиллиарда пользователей31.07 - Debian 8.0 присвоено имя "Jessie". Релизу Debian 7.0 мешает большое число блокирующих ошибок


Архив новостей



Последние комментарии:

К 2017 году Android займёт половину мирового рынка смартфонов (66)

2 Август, 17:53

Глава Valve назвал Windows 8 "катастрофой" (19)

2 Август, 17:51

Nokia сдаёт позиции на рынке смартфонов (34)

2 Август, 15:40

Неудачные инвестиции обойдутся Microsoft в 6,2 миллиарда долларов (42)

2 Август, 15:35

Релиз KDE SC 4.9 (1)

2 Август, 14:54

Apple представит iPhone нового поколения 12 сентября (3)

2 Август, 14:34

Новую Mac OS X загрузили три миллиона раз за четыре дня (3)

2 Август, 14:15

Google представила релиз web-браузера Chrome 21 (2)

2 Август, 13:34

Samsung работает над смартфонами Odyssey и Marco п/у Windows Phone 8 (7)

2 Август, 13:04

Представлена энергоэффективная WORM-память, производимая по рулонной технологии (3)

2 Август, 12:28



BrainBoard.ru

Море работы для программистов, сисадминов, вебмастеров.

Иди и выбирай!


Loading

google.load('search', '1', {language : 'ru'}); google.setOnLoadCallback(function() { var customSearchControl = new google.search.CustomSearchControl('018117224161927867877:xbac02ystjy'); customSearchControl.setResultSetSize(google.search.Search.FILTERED_CSE_RESULTSET); customSearchControl.draw('cse'); }, true);

IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware
Информация для рекламодателей PR-акции, размещение рекламы — adv@citforum.ru,
тел. +7 495 6608306, ICQ 232284597

Пресс-релизы — pr@citforum.ru

Послать комментарий

Информация для авторов



This Web server launched on February 24, 1997

Copyright © 1997-2000 CIT, © 2001-2009 CIT Forum
Внимание! Любой из материалов, опубликованных на этом сервере, не может быть воспроизведен в какой бы то ни было форме и какими бы то ни было средствами без письменного разрешения владельцев авторских прав. Подробнее...
переезд компании в москве и подмосковье