Корпоративные сети
устройств.
4.2. Усугубление проблем безопасности при удаленном доступе. Защитные
экраны - firewall'ы и proxy-серверы
Обеспечение безопасности данных при удаленном доступе - проблема если и не
номер один, то, по крайней мере, номер два, после проблемы обеспечения
приемлемой для пользователей пропускной способности. А при активном
использовании транспорта Internet она становится проблемой номер один.
Неотъемлемым свойством систем удаленного доступа является наличие
глобальных связей. По своей природе глобальные связи, простирающиеся на
много десятков и тысяч километров, не позволяют воспрепятствовать
злонамеренному доступу к передаваемым по этим линиям данным. Нельзя дать
никаких гарантий, что в некоторой, недоступной для контроля точке
пространства, некто, используя, например, анализатор протокола, не
подключится к передающей среде для захвата и последующего декодирования
пакетов данных. Такая опасность одинаково присуща всем видам
территориальных каналов связи и не связана с тем, используются ли
собственные, арендуемые каналы связи или услуги общедоступных
территориальных сетей, подобные Internet.
Однако использование общественных сетей (речь в основном идет об Internet)
еще более усугубляет ситуацию, хотя бы потому, что в такой сети для доступа
к корпоративным данным в распоряжении злоумышленника имеются более
разнообразные и удобные средства, чем выход в чистое поле с анализатором
протоколов. Кроме того, огромное число пользователей увеличивает
вероятность попыток несанкционированного доступа.
Безопасная система - это система, которая, во-первых, надежно хранит
информацию и всегда готова предоставить ее своим пользователям, а во-
вторых, система, которая защищает эти данные от несанкционированного
доступа.
Межсетевой экран (firewall, брандмауэр) - это устройство, как правило,
представляющее собой универсальный компьютер с установленным на нем
специальным программным обеспечением, который размещается между защищаемой
(внутренней) сетью и внешними сетями, потенциальными источниками опасности.
Межсетевой экран контролирует все информационные потоки между внутренней и
внешними сетями, пропуская данные, в соответствии с заранее установленными
правилами. Эти правила являются формализованным выражением политики
безопасности, принятой на данном предприятии.
Межсетевые экраны базируются на двух основных приемах защиты:
1. пакетной фильтрации;
2. сервисах-посредниках (proxyservices).
Эти две функции можно использовать как по отдельности, так и в комбинации.
Пакетная фильтрация. Использование маршрутизаторов в качестве firewall
Фильтрация осуществляется на транспортном уровне: все проходящие через
межсетевой экран пакеты или кадры данных анализируются, и те из них,
которые имеют в определенных полях заданные ("неразрешенные") значения,
отбрасываются.
Пропуск во внутреннюю сеть пакетов сетевого уровня или кадров канального
уровня по адресам (MAC-адреса, IP-адреса, IPX-адреса) или номерам портов
TCP, соответствующих приложениям. Например, для того, чтобы трафик telnet
не пересекал границу внутренней сети, межсетевой экран должен
отфильтровывать все пакеты, в заголовке TCP которых указан адрес порта
процесса-получателя, равный 23 (этот номер зарезервирован за сервисом
telnet). Сложнее отслеживать трафик FTP, который работает с большим
диапазоном возможных номеров портов, что требует задания более сложных
правил фильтрации.
Конечно, для фильтрации пакетов может быть использован и обычный
маршрутизатор, и действительно, в Internet 80% пакетных фильтров работают
на базе маршрутизаторов. Однако маршрутизаторы не могут обеспечить ту
степень защиты данных, которую гарантируют межсетевые экраны.
Главные преимущества фильтрации межсетевым экраном по сравнению с
фильтрацией маршрутизатором состоят в следующем:
. межсетевой экран обладает гораздо более развитыми логическими
способностями, поэтому он в отличие от маршрутизатора легко может,
например, обнаружить обман по IP-адресу;
. у межсетевого экрана большие возможности аудита всех событий,
связанных с безопасностью.
Сервисы - посредники (Proxy-services)
Сервисы-посредники не допускают возможности непосредственной передачи
трафика между внутренней и внешней сетями. Для того, чтобы обратиться к
удаленному сервису, клиент-пользователь внутренней сети устанавливает
логическое соединение с сервисом-посредником, работающим на межсетевом
экране. Сервис-посредник устанавливает отдельное соединение с "настоящим"
сервисом, работающим на сервере внешней сети, получает от него ответ и
передает по назначению клиенту - пользователю защищенной сети.
Для каждого сервиса необходима специальная программа: сервис-посредник.
Обычно, защитный экран включает сервисы-посредники для FTP, HTTP, telnet.
Многие защитные экраны имеют средства для создания программ-посредников для
других сервисов. Некоторые реализации сервисов-посредников требуют наличия
на клиенте специального программного обеспечения. Пример: Sock - широко
применяемый набор инструментальных средств для создания программ-
посредников.
Сервисы-посредники не только пересылают запросы на услуги, например,
разработанный CERN сервис-посредник, работающий по протоколу HTTP, может
накапливать данные в кэше межсетевого экрана, так что пользователи
внутренней сети могут получать данные с гораздо меньшим временем доступа.
Журналы событий, поддерживаемые сервисами-посредниками, могут помочь
предупредить вторжение на основании записей о регулярных неудачных
попытках. Еще одним важным свойством сервисов-посредников, положительно
сказывающимся на безопасности системы, является то, что при отказе
межсетевого экрана защищаемый посредником сервис-оригинал остается
недоступным.
Трансляция сетевых адресов - новый вид сервиса-посредника. Трансляторы
адресов заменяют "внешние" IP-адреса серверов своих сетей на "внутренние".
При таком подходе топология внутренней сети скрыта от внешних
пользователей, вся сеть может быть представлена для них одним-единственным
IP-адресом. Такая непрозрачность сети усложняет задачу несанкционированного
доступа. Кроме этого, трансляция адресов дает еще одно преимущество -
позволяет иметь внутри сети собственную систему адресации, не согласованную
с Internet, что снимает проблему дефицита IP-адресов.
Сервисы-посредники намного надежнее фильтров, однако они снижают
производительность обмена данными между внутренней и внешней сетями, они
также не обладают той степенью прозрачности для приложений и конечных
пользователей, которая характерна для фильтров.
4.3. Использование сертификатов для аутентификации массовых пользователей
при ведении бизнеса через Internetи другие публичные сети
Обеспечение безопасности при работе в Internet стало особенно важной
проблемой в условиях массового интереса к построению частных виртуальных
сетей с использованием транспортных средств Internet, а также использования
методов Internet для хранения, представления и поиска информации в
локальных сетях предприятий. Все это можно назвать одним словом - intranet.
Специфика Internet сказывается и на используемых средствах обеспечения
безопасности. Остановимся на некоторых из них.
При организации доступа к некоторым ресурсам Internet все чаще возникает
необходимость во введении некоторых ограничений. Это означает, что среди
множества пользователей Internet, владелец ресурса должен определить
некоторые правила определения тех, кому доступ разрешен, и предоставить им
способ, с помощью которого они могли бы доказывать свою принадлежность к
легальным пользователям. Следовательно, необходима процедура
аутентификация, пригодная для использования в Internet.
Аутентификация с применением сертификатов является альтернативой
использованию паролей и представляется естественным решением в условиях,
когда число пользователей сети измеряется миллионами, что мы имеем в
Internet. В таких обстоятельствах процедура предварительной регистрации
пользователей, связанная с назначением и хранением их паролей становится
крайне обременительной, опасной, а иногда и просто нереализуемой. При
использовании сертификатов сеть, которая дает пользователю доступ к своим
ресурсам, не хранит никакой информации о своих пользователях - они ее
предоставляют сами в своих запросах в виде сертификатов, удостоверяющих
личность пользователей. Сертификаты выдаются специальными уполномоченными
организациями - центрами сертификации. Поэтому задача хранения секретной
информации (закрытых ключей) возлагается теперь на самих пользователей, что
делает это решение гораздо более масштабируемым, чем вариант с
использованием паролей.
Аутентификация личности на основе сертификатов происходит примерно так же,
как на проходной большого предприятия. Вахтер пропускает людей на
территорию на основании пропуска, который содержит фотографию и подпись
сотрудника, удостоверенных печатью предприятия и подписью лица, выдавшего
пропуск. Сертификат является аналогом пропуска и выдается по запросам
специальными сертифицирующими центрами при выполнении определенных условий.
Он представляет собой электронную форму, в которой имеются такие поля, как
имя владельца, наименование организации, выдавшей сертификат, открытый ключ
владельца. Кроме того, сертификат содержит электронную подпись выдавшей
организации - зашифрованные закрытым ключом этой организации все остальные
поля сертификата.
Использование сертификатов основано на предположении, что сертифицирующих
организаций немного, и их открытые ключи могут быть всем известны каким-
либо способом, например, с помощью тех же публикаций в журналах.
Когда пользователь хочет подтвердить свою личность, он предъявляет свой
сертификат в двух формах - открытой, то есть такой, в которой он получил
его в сертифицирующей организации, и в зашифрованной с применением своего
закрытого ключа. Сторона, проводящая аутентификацию, берет из открытого
сертификата открытый кл
| |  скачать работу |
Корпоративные сети |
