1. Введение
«Кто владеет информацией - владеет миром»
(Уинстон Черчилль).
В 21 веке главной ценностью на планете считается информация, все больше и больше информации переводиться в электронный формат, такие как электронные платежи, хранение документов, личные данные человека и т.д.. Понятие информации неразрывно связано с компьютерными технологиями, системами и сетями связи, то становится очевидной важность вопроса защиты информации в них. Особенно актуально стоит этот вопрос в области секретной информации государства и частной коммерческой информации.
В бизнесе добросовестная конкуренция предполагает соперничество, основанное на соблюдении законодательства и общепризнанных норм морали. Однако нередко предприниматели, конкурируя между собой, стремятся с помощью противоправных действий получить информацию в ущерб интересам другой стороны и использовать ее для достижения преимущества на рынке. Криминализация общества и недостаточная эффективность государственной системы охраны правопорядка заставляет представителей бизнеса самим принимать меры для адекватного противостояния имеющим место негативным процессам, наносящим ущерб конфиденциальной информации фирмы.
Причин активизации компьютерных преступлений и связанных с ними финансовых потерь достаточно много, существенными из них являются:
§ переход от традиционной "бумажной" технологии хранения и передачи сведений на электронную и недостаточное при этом развитие технологии защиты информации в таких технологиях;
§ объединение вычислительных систем, создание глобальных сетей и расширение доступа к информационным ресурсам;
§ увеличение сложности программных средств.
В последнее время в современных обзорах по информационной безопасности прослеживается тенденция к увеличению количества нарушений в области компьютерных преступлений. Учитывая разнообразие угроз и сложность современных сетей, реализация решения для защиты требует глубоких знаний и опыта в целом ряде узкоспециализированных дисциплин. В число распространенных угроз входит умышленное использование опасного программного кода (вирусов, червей, троянских программ), а также атаки типа DoS (отказ в обслуживании).
Существует несколько ключевых элементов обеспечения безопасности, которые должны найти свое отражение в создаваемой инфраструктуре защиты: управление доступом; управление угрозами; управление конфиденциальностью; ведение контрольных журналов и мониторинг.
Данный дипломный проект посвящен решению задач безопасности предприятия.
2. Постановка задачи
Обеспечение информационной безопасности IP сетей предприятия.
Для достижения этой цели необходимо:
1) Провести анализ возможных информационных угроз предприятия, с выявлением наиболее опасных.
2) Рассмотреть средства защиты.
) Организовать защищенные каналы связи.
) Организовать защиту информационной системы предприятия
2.1 Анализ угроз предприятия
.1.1 Анализ сетевого трафика
Анализ трафика является одним из способов получения паролей и идентификаторов пользователей в сети Internet. Анализ осуществляется с помощью специальной пpогpаммы - анализатора пакетов (sniffer), перехватывающей все пакеты, передаваемые по сегменту сети, и выделяющей среди них те, в которых передаются идентификатор пользователя и его пароль.
Во многих протоколах данные передаются в открытом, незашифрованном виде. Анализ сетевого трафика позволяет перехватывать данные, передаваемые по протоколам FTP и TELNET (пароли и идентификаторы пользователей), HTTP (Hypertext Transfer Protocol - протокол передачи гипертекстовых файлов - передача гипертекста между WEB-сервером и браузером, в том числе и вводимые пользователем в формы на web-страницах данные), SMTP , POP3 , IMAP, NNTP (электронная почта и конференции) и IRC -Internet Relay Chat (online-разговоры, chat). Так могут быть перехвачены пароли для доступа к почтовым системам с web-интерфейсом, номера кредитных карт при работе с системами электронной коммерции и различная информация личного характера, разглашение которой нежелательно.
В настоящее время разработаны различные протоколы обмена, позволяющие защитить сетевое соединение и зашифровать трафик . К сожалению, они ещё не сменили старые протоколы и не стали стандартом для каждого пользователя. В определённой степени их распространению помешали существующие в ряде стран ограничения на экспорт средств сильной криптографии. Из-за этого реализации данных протоколов либо не встраивались в программное обеспечение, либо значительно ослаблялись (ограничивалась максимальная длина ключа), что приводило к практической бесполезности их, так как шифры могли быть вскрыты за приемлемое время.
Анализ сетевого трафика позволяет:
. Во-первых, изучить логику работы распределенной ВС, то есть получить взаимно однозначное соответствие событий, происходящих в системе, и команд, пересылаемых друг другу ее объектами, в момент появления этих событий (если проводить дальнейшую аналогию с инструментарием хакера, то анализ трафика в этом случае заменяет и трассировщик). Это достигается путем перехвата и анализа пакетов обмена на канальном уровне. Знание логики работы распределенной ВС позволяет на практике моделировать и осуществлять типовые удаленные атаки, рассмотренные в следующих пунктах на примере конкретных распределенных ВС.
. Во-вторых, анализ сетевого трафика позволяет перехватить поток данных, которыми обмениваются объекты распределенной ВС. Таким образом, удаленная атака данного типа заключается в получении на удаленном объекте несанкционированного доступа к информации, которой обмениваются два сетевых абонента. Отметим, что при этом отсутствует возможность модификации трафика и сам анализ возможен только внутри одного сегмента сети. Примером перехваченной при помощи данной типовой удаленной атаки информации могут служить имя и пароль пользователя, пересылаемые в незашифрованном виде по сети.
По характеру воздействия анализ сетевого трафика является пассивным воздействием
Осуществление данной атаки без обратной связи ведет к нарушению
конфиденциальности информации внутри одного сегмента сети на канальном уровне
OSI При этом начало осуществления атаки безусловно по отношению к цели атаки.
.1.2 Подмена доверенного объекта или субъекта распределенной ВС
Одной из проблем безопасности распределенной ВС является недостаточная идентификация и аутентификация ее удаленных друг от друга объектов. Основная трудность заключается в осуществлении однозначной идентификации сообщений, передаваемых между субъектами и объектами взаимодействия. Обычно в распределенных ВС эта проблема решается следующим образом: в процессе создания виртуального канала объекты РВС обмениваются определенной информацией, уникально идентифицирующей данный канал. Такой обмен обычно называется "рукопожатием" (handshake). Однако, отметим, что не всегда для связи двух удаленных объектов в РВС создается виртуальный канал. Практика показывает, что зачастую, особенно для служебных сообщений (например, от маршрутизаторов) используется передача одиночных сообщений, не требующих подтверждения.
Как известно, для адресации сообщений в распределенных ВС используется сетевой адрес, который уникален для каждого объекта системы (на канальном уровне модели OSI - это аппаратный адрес сетевого адаптера, на сетевом уровне - адрес определяется в зависимости от используемого протокола сетевого уровня (например, IP-адрес). Сетевой адрес также может использоваться для идентификации объектов распределенной ВС. Однако сетевой адрес достаточно просто подделывается и поэтому использовать его в качестве единственного средства идентификации объектов недопустимо.
В том случае, когда распределенная ВС использует нестойкие алгоритмы идентификации удаленных объектов, то оказывается возможной типовая удаленная атака, заключающаяся в передаче по каналам связи сообщений от имени произвольного объекта или субъекта РВС. При этом существуют две разновидности данной типовой удаленной атаки:
· атака при установленном виртуальном канале,
· атака без установленного виртуального канала.
В случае установленного виртуального соединения атака будет заключаться в присвоении прав доверенного субъекта взаимодействия, легально подключившегося к объекту системы, что позволит атакующему вести сеанс работы с объектом распределенной системы от имени доверенного субъекта. Реализация удаленных атак данного типа обычно состоит в передаче пакетов обмена с атакующего объекта на цель атаки от имени доверенного субъекта взаимодействия (при этом переданные сообщения будут восприняты системой как корректные). Для осуществления атаки данного типа необходимо преодолеть систему идентификации и аутентификации сообщений, которая, в принципе, может использовать контрольную сумму, вычисляемую с помощью открытого ключа, динамически выработанного при установлении канала, случайные многобитные счетчики пакетов и сетевые адреса станций. Однако на практике, например, в ОС Novell NetWare 3.12-4.1 для идентификации пакетов обмена используются два 8-битных счетчика - номер канала и номер пакета; в протоколе TCP для идентификации используются два 32-битных счетчика.
Как было замечено выше, для служебных сообщений в распределенных ВС часто используется передача одиночных сообщений, не требующих подтверждения, то есть не требуется создание виртуального соединения. Атака без установленного виртуального соединения заключается в передаче служебных сообщений от имени сетевых управляющих устройств, например, от имени маршрутизаторов.
Очевидно, что в этом случае для идентификации пакетов возможно лишь использование статических ключей, определенных заранее, что довольно неудобно и требует сложной системы управления ключами. Однако, при отказе от такой системы идентификация пакетов без установленного виртуального канала будет возможна лишь по сетевому адресу отправителя, который легко подделать.
Посылка ложных управляющих сообщений может привести к серьезным нарушениям работы распределенной ВС (например, к изменению ее конфигурации). Рассмотренная типовая удаленная атака, использующая навязывание ложного маршрута, основана на описанной идее.
Подмена доверенного объекта РВС является активным воздействием,
совершаемым с целью нарушения конфиденциальности и целостности информации, по
наступлению на атакуемом объекте определенного события Данная удаленная атака может
являться как внутрисегментной, так и межсегментной, как с обратной связью так и
без обратной связи с атакуемым объектом и осуществляется на сетевом и
транспортном уровнях модели OSI.
.1.3 Внедрение в распределенную ВС ложного объекта путем использования недостатков алгоритмов удаленного поиска
В распределенной ВС часто оказывается, что ее удаленные объекты изначально не имеют достаточно информации, необходимой для адресации сообщений. Обычно такой информацией являются аппаратные (адрес сетевого адаптера) и логические (IP-адрес, например) адреса объектов РВС. Для получения подобной информации в распределенных ВС используются различные алгоритмы удаленного поиска, заключающиеся в передаче по сети специального вида поисковых запросов, и в ожидании ответов на запрос с искомой информацией. После получения ответа на запрос, запросивший субъект РВС обладает всеми необходимыми данными для адресации. Руководствуясь полученными из ответа сведениями об искомом объекте, запросивший субъект РВС начинает адресоваться к нему. Примером подобных запросов, на которых базируются алгоритмы удаленного поиска, могут служить SAP-запрос в ОС Novell NetWare, ARP- и DNS-запрос в сети Internet.
В случае использования распределенной ВС механизмов удаленного поиска существует возможность на атакующем объекте перехватить посланный запрос и послать на него ложный ответ, где указать данные, использование которых приведет к адресации на атакующий ложный объект. В дальнейшем весь поток информации между субъектом и объектом взаимодействия будет проходить через ложный объект РВС.
Другой вариант внедрения в РВС ложного объекта использует недостатки алгоритма удаленного поиска и состоит в периодической передаче на атакуемый объект заранее подготовленного ложного ответа без приема поискового запроса. В самом деле, атакующему для того, чтобы послать ложный ответ, не всегда обязательно дожидаться приема запроса (он может, в принципе, не иметь подобной возможности перехвата запроса). При этом атакующий может спровоцировать атакуемый объект на передачу поискового запроса, и тогда его ложный ответ будет немедленно иметь успех. Данная типовая удаленная атака чрезвычайно характерна для глобальных сетей, когда у атакующего из-за нахождения его в другом сегменте относительно цели атаки просто нет возможности перехватить поисковый запрос.
Ложный объект РВС - активное воздействие, совершаемое с целью нарушения конфиденциальности и целостности информации, которое может являться атакой по запросу от атакуемого объекта а также безусловной атакой. Данная удаленная атака является как внутрисегментной, так и межсегментной, имеет обратную связь с атакуемым объектом и осуществляется на канальном и прикладном уровнях модели OSI.
2.1.4 Использование ложного объекта для организации удаленной атаки на распределенную ВС
Получив контроль над проходящим потоком информации между объектами,
ложный объект РВС может применять различные методы воздействия на перехваченную
информацию. В связи с тем, что внедрение в распределенную ВС ложного объекта
является целью многих удаленных атак и представляет серьезную угрозу
безопасности РВС в целом, то в следующих пунктах будут подробно рассмотрены
методы воздействия на информацию, перехваченную ложным объектом.
.1.5 Селекция потока информации и сохранение ее на ложном объекте РВС
Одной из атак, которую может осуществлять ложный объект РВС, является перехват передаваемой между субъектом и объектом взаимодействия информации. Важно отметить, что факт перехвата информации (файлов, например) возможен из-за того, что при выполнении некоторых операций над файлами (чтение, копирование и т. д.) содержимое этих файлов передается по сети, а, значит, поступает на ложный объект. Простейший способ реализации перехвата - это сохранение в файле всех получаемых ложным объектом пакетов обмена.
Тем не менее, данный способ перехвата информации оказывается недостаточно
информативным. Это происходит вследствие того, что в пакетах обмена кроме полей
данных существуют служебные поля, не представляющие в данном случае для
атакующего непосредственного интереса. Следовательно, для того, чтобы получить
непосредственно передаваемый файл, необходимо проводить на ложном объекте
динамический семантический анализ потока информации для его селекции.
.1.6 Модификация информации
Одной из особенностей любой системы воздействия, построенной по принципу ложного объекта, является то, что она способна модифицировать перехваченную информацию. Следует особо отметить, что это один из способов, позволяющих программно модифицировать поток информации между объектами РВС с другого объекта. Ведь для реализации перехвата информации в сети необязательно атаковать распределенную ВС по схеме "ложный объект" . Эффективней будет атака, осуществляющая анализ сетевого трафика, позволяющая получать все пакеты, проходящие по каналу связи, но, в отличие от удаленной атаки по схеме "ложный объект" , она не способна к модификации информации.
Далее рассмотрим два вида модификации информации:
· модификация передаваемых данных;
· модификация передаваемого кода.
Одной из функций, которой может обладать система воздействия, построенная по принципу "ложный объект" , является модификация передаваемых данных. В результате селекции потока перехваченной информации и его анализа система может распознавать тип передаваемых файлов (исполняемый или текстовый). Соответственно, в случае обнаружения текстового файла или файла данных появляется возможность модифицировать проходящие через ложный объект данные. Особую угрозу эта функция представляет для сетей обработки конфиденциальной информации.