Кликни, чтобы не потерять нашу страничку... Может пригодиться. На этом сайте вы найдёте целую кучу утилит и бесплатно скачать нужную, а также заказать отсутствующую.
Бесплатные утилиты из Cети               Лучшие утилиты

Чистилище ... или минное поле для хакеров

Вадим Островский

Карфаген был разрушен ...

Как сообщают различные средства массовой информации, в последнее время мощная волна хакерских атак захлестнула крупнейшие web-сайты, в числе которых оказались Yahoo, CNN, Amazon, eBay и др. Рассылка "Обзор высоких технологий в области защиты и взлома" (ведущий Андрей Барановский) по материалам из различных источников информировала и о том, что неизвестные вывели из строя новостной сервер ZDNet.com, а также сайты онлайновых брокеров E*Trade и Datek Online Holdings. По словам представителя ZDNet, 70% ресурсов сервера были недоступны в течение двух с половиной часов. Сайт Datek был недоступен для посетителей в течение 35 минут. Успех этих нападений может обойтись американскому коммерческому Интернету в сумму, превышающую $1,2 млрд. Эту цифру назвала компания Yankee Group, которая занимается рыночными исследованиями. В эту сумму входят убытки от прекращения торговли, падение акций и затраты на меры по предотвращению атак и обновлению системы безопасности. Однако компания не исключает и той возможности, что эта цифра может увеличиться.

Но не менее важным фактором становятся и вопросы пользователей электронных магазинов, которых начинают невольно волновать вопросы типа: "Если этот сайт не может противостоять атаке хакеров, то где гарантия, что информация, хранящаяся в моем досье на их сервере, в которой содержится номер кредитной карты, а также другая конфиденциальная информация, не станет достоянием электронных взломщиков?". Хотя практически никто не выразил сомнения в дальнейшем использовании ресурсов Сети в целом, чуть ли не 80% респондентов были озабочены проблемой перехвата конфиденциальной информации о пластиковых картах при ее передаче на сайтах Интернет-торговцев. 37% опрошенных заявили, что их доверие к сетевой безопасности теперь сильно подорвано. Скорее всего, в ближайшее время можно ожидать некоторого снижения объема сетевых продаж. Святая вера в неприступность таких столпов Интернет, как Amazon и Yahoo, была разрушена, при этом никто так и не смог толком объяснить, какая организация занимается отловом преступников.

Хакерскому взлому с последующей заменой главной страницы подвергся сайт одного из лидеров в области компьютерной безопасности компании RSA Security Inc. Как сообщает Newsbytes, хотя главный сайт компании www.rsasecurity.com не пострадал, на другом сайте компании, с более удобным названием www.rsa.com, была подменена главная страница. На ней вокруг логотипа RSA Security содержались слова "Взломано. Доверяйте нам свои данные! Молитесь Аллаху! Имя, которому больше других доверяют в компьютерной безопасности, куплено нами. Грядут большие дела. Вещи не всегда такие, какими кажутся" и т.д.

Замечу, что стоимость некоторых сайтов (порталов) сравнима с бюджетом крупных держав, в число которых попадает и Россия. Эти события заставляют обратиться к теме защиты столь важных сайтов и поставить вопрос ребром: если гиганты Интернет-индустрии не могут обеспечить свою безопасность, достижима ли безопасность в Интернете вообще в принципе? Есть ли шансы защититься от подобных и вновь изобретаемых хакерских атак? Этот вопрос повис в настоящее время в воздухе отнюдь не виртуально.

Взгляды вполне резонно обращаются в сторону военных, ибо, как всеми понимается, именно их всегда безопасность заботила более всего. Определяющим здесь является и тот фактор, что современные военные информационные системы используют для передачи важной, в том числе и секретной информации, общедоступные сети, к каковым относится Интернет, а практически все военные структуры представлены в этой сети на своих Web-сайтах.

Давайте попробуем ответить на этот вопрос, рассмотрев архитектуру системы безопасности виртуальной внутренней сети ВМС Naval Virtual Intranet (NVI), которая имеет сопряжение с глобальными сетями и использует для передачи информации Internet.

Для объединения различных локальных вычислительных сетей ЛВС (Local Area Network- LAN), находящихся на ограниченной площади (максимум несколько километров), например, на каком-либо военной базе, необходимо наличие физической связи между ними. Связанные в масштабах одной организации (военной базы, части) сети интегрируются в Base Area Network (BAN), а в масштабах города вычислительные сети образуют городскую вычислительную сеть Metropolitan Area Network (MAN). Роль же связующего звена между вычислительными сетями среднего уровня играет сервисный центр телепортации (преобразования) информации (Information Teleports Sevice Centrers - ITSC). Именно здесь происходит преобразование информации для её передачи в сети с другой архитектурой, протоколами обмена, способами передачи и т.д., а также в каналы радиосвязи. Таким образом, интеграция вычислительных сетей ВМС США различного уровня в глобальном масштабе образует глобальную виртуальную сеть ВМС, обладающую всеми преимуществами VPN.

Аспекты создания защищённой сети

Эка невидаль - защищённая сеть! Ведь существуют же и прекрасно функционируют многие военные сети, не подверженные взлому. Правда, по тривиальной причине - они попросту не имеют сопряжения с общедоступными сетями. Вот и вся защита от нападений извне...Просто, радикально и со вкусом. Но "бьются несчастные "люди-технари", страшно "безопасные" и умные внутри, что б они не делали, не идут дела, а ведь не всех их в понедельник мама родила". Так и тянет напеть и "решение всех проблем": им бы "провод" Интернетовский взять и отключить...

Но "люди - технари" и не собираются обрывать провода. В соответствии с программой "Качество жизни" (Quality of Life) они просто обязаны предоставить американским военным и свободную электронную (E-mail) переписку с домом, и возможность Web-серфинга, и доступ к научным, военным и другим базам данных и прочие услуги Интернет в не зависимости от того, берег какой страны будет виден из иллюминатора военного корабля. К слову, программа "Quality of Life" отнюдь и не в первую очередь предусматривает обеспечение таких вот удобств. Она охватывает гораздо более широкий спектр составляющих жизни американских государственных служащих, объединяемых понятием "качество жизни", куда входят и другие технологические усовершенствования, включающие теле-медицину, теле-обучение, теле-образование и пр., пр., пр.. В этом году для многих, в том числе и военных, все эти сервисы станут столь же простыми, как телефон. Отцы программы определили понятие "качество жизни" не только в технологических изысках, но и в квартирном, пенсионном, финансовом и других видах обеспечения американцев. Я почему-то уверен в том, что программа "не испустит дух" даже после ухода американских "немцовых", "чубайсов", унесших с собой "жизненную энергию" из программы жилищных сертификатов для российских военнослужащих.

"Вот тут собака и порылась...", как говорил наш незабвенный Михаил Сергеевич. Ну, правильно. Я не удивлюсь, если в американских истребителях пилот скоро начнёт требовать в полёте "принять ва-а-нну, выпить чашечку ко-о-фе". А компьютерная элита поставлена перед необходимостью обеспечить основные требования к военной сети, в данном случае к NVI:

  1. NVI должна обеспечивать надежный и современный доступ к сервисным услугам и информации, например, сетевые соединения, виртуальные частные сети, Web-серфинг, электронную почту, доступ к публичным базам данных, электронным библиотекам и другим общедоступным компьютерным услугам с различных пользовательских терминалов.
  2. NVI должна защищать от утечки несекретной, служебной, секретной информации и её модификации (изменения информации), а также от несанкционированного доступа в систему, случайных и преднамеренных атак на неё с целью вывода её из строя. При этом, должны быть защищены рабочие станции постоянных абонентов, размещённая и обрабатываемая на них информация, локальные сети, а также все виды сервиса как внутри сети, так и во внешних сетях, например, глобальных сетях WAN.

Начинали американцы, естественно, не с нуля, значительный опыт уже имелся. На его основании и в ходе экспериментов установлены объективно существующие реалии в защите военных сетей, с которыми на данный момент придётся считаться. Система безопасности NVI должна:

В целом же, "безопасниками " признаётся, что:

Подступы к NVI будут закрыты глубокоэшелонированной защитой, называемой буквально "Defense in Depth" (защита в глубину). Название защиты, вполне вероятно, навеяно разработчикам аналогиями защиты ядерного реактора, которая при проектировании созвучно называлась "defense in depth design concept" (концепция "защита в глубину"). Возможно, разработчики мысленно сопоставляют защиту NVI и последствия её разрушения с несрабатыванием защиты ядерного реактора (оружия). Действительно, пока трудно переоценить последствия разрушения защиты этой и ей подобных сетей.

Механизмы безопасности такой системы будут интегрированы в различные элементы различного уровня, во все слои архитектуры системы и будут задействоваться во всех режимах её работы и во всех видах сервиса. Помимо основных механизмов, в любой момент будут готовы к включению дополнительный и резервный.

На настоящий момент структура NVI определена не полностью, по крайней мере, насколько это известно из доступных источников. Существует общая функциональная схема и понятия работы, множество графических схем структур NVI, значительная часть которых уже реализована в реалиях, а следующая продолжает постепенно развертываться.. Что безусловно ясно, так это то, что решения о безопасности системы и составляющих её подсистем, сделанные одной группой системных разработчиков, постоянно воздействуют на другие решения как сообщающиеся сосуды.

Главной парадигмой защиты американцы выбрали изречение Карла фон Клаузевица ("On War", 1832), которое в свободном переводе может быть озвучено так: "Вся наша энергия должна быть сфокусирована против центра вражеской силы и его устремлений".

Объективные реалии

Разработки NVI поддерживают различные политики безопасности (Security Policies) для поддержки общности интересов (for different communities). Однако, считается, что этого достичь полностью невозможно, поскольку при ведении войны силами союзников набегает целый ряд ошибок. Технологические ошибки, проявившиеся в неточности, несвоевременности и утрате конфиденциальной информации, в конце концов, приведут к потерям в союзных войсках. В боевых подразделениях, кончено же, занимаются обеспечением безопасности, но там нет возможности уделять этим вопросам столько внимания. Кроме того, потенциал подразделений безопасности будет ограничен предоставленными им полномочиями в области изменения политики безопасности. Подразделения безопасности всех уровней должны быть готовы противодействовать нападающим, которые, предполагается, будут не просто и среднестатистическими инженерами, а настоящими кибервоинами, умудренными опытом и подготовленными для ведения информационной войны.

Уязвимыми местами инфраструктуры признаются:

Примеры использования уязвимых мест NVI при её применении

Новый Вавилон

Если вы читаете этот материал, значит, Вы видели компьютер. Если Вы его видели, значит, Вы когда-нибудь играли на нём в игрушки. Если нет, то Вы - бабушка, дедушка, просто старый, но видели, как играют другие. Если нет, то, видимо, это был не компьютер...

Разработчики системы безопасности, судя по всему, компьютер видели. Наблюдение за тем, как они выстраивают свои оборонительные редуты, позволяет предположить, что им нравятся стратегические игры типа "WarCraft". И орков-кракеров они встречают глубокоэшелонированной защитой инфраструктуры NVI, компонентами которой являются:

Сегодняшняя архитектура системы безопасности уже состоялась в вопросах:

Защита NVI выстроена из четырёх зон:

Этап строительства продолжается, строго по плану, гм... чуть не сказал "с точностью до секунды". Система безопасности наращивается, стоятся новые "сторожевые и боевые башни", "крепостные стены", "ловушки", происходит их распределение по регионам. Сегодняшнее внедрение защиты направлено на построение уровневой архитектуры, постепенное усиление инфраструктуры системы защиты, разделение уровней безопасности физически или криптографическими методами. А я им сочувствую, по крайней мере - сегодня. Почему, спросите Вы? Неблагодарное это занятие, строить то, против чего постоянно обновляется атакующий потенциал и так много желающих "разрушить Карфаген" или попросту "бросить пустой пивной бутылкой". Внедряемое сегодня может быть уже сегодня и "обойдено", и, например, вечером уже придётся перестраивать заново, иногда выдирая с корнями, то, что ещё утром казалось таким надёжным. Но, помните, как говориться в "Откровении" Библии: "Знаю твои дела, и любовь, и служение, и веру, и терпение твоё, и то, что последние дела твои больше первых". Возможно, завтра я буду завидовать, ибо будет создан, нет, видимо, не "Новый Карфаген", но "Новый Вавилон", и повторить этот труд (создание таких сетей с такой защитой) в ближайшем будущем будет далеко ни каждому государству по силам. Задача будет похлеще, а её решение подороже, чем создание новой "windows"...

Но ближе к делу, пора посмотреть поближе на "крепостные сооружения". Они стоят того. Итак, посмотрите направо...

Инфраструктура системы защиты NVI и инфраструктура служб безопасности
Криптография как составляющая неприступности

Задача: NVI должна обеспечивать секретные службы с помощью несекретных сетей BANs и MANs.

Решение: Обеспечение и инсталляция одобренных АНБ (NSA) сетевых систем линейного шифрования FASTLANE и TACLANE.

ATM-шифратор FASTLANE - это высокоскоростной шифратор для локальных и глобальных сетей, предназначенный закрытия трафика при выполнении различных видов сервиса. FASTLANE поддерживает работу постоянных и коммутируемых виртуальных каналов, протоколов point-to-point (PPP) и point-to-multi-point, симплексных и дуплексных каналов. Он обеспечивает аутентификацию и защиту совершенно секретной и конфиденциальной информации на всём пути её передачи. Для каждого сеанса связи уровни секретности могут выбираться пользователем. Шифраторы FASTLANE могут встраиваться в аппаратуру, что позволяет создавать криптографически изолированные сети для работы на различных уровнях секретности. Шифраторы FASTLANE задействуются при обмене секретной информацией между индивидуальными пользователями, в многопользовательских группах или локальных сетях. Смена ключей может производиться как электронно, так и при помощи традиционных средств. Скорость шифрования достигает 622 Мбит/с для OC-12 (Optical Carrier-12), проведены испытания и готов к производству шифратор со скоростью шифрования данных до 1 Гбит/с. В целом, исследования подтверждают возможность повышения скорости шифрования до 2.5 Гбит/с (например, в транковом шифраторе KG-189).

Шифратор поддерживает 4096 активных соединения, причём каждый канал обеспечивается независимым и изолированным шифрованием, расширенная модификация позволяет увеличить количество соединений до 16 тысяч. Аппаратура сертифицирована для работы на всех уровнях секретности.

Объясняя, как говориться, на пальцах, можно сказать, что вся информация, которая попадёт в оптоволокно, лежащее глубоко под водой или проложенное под землёй, будет насмерть "закрыта", и станет невозможен не только перехват сообщений какого-либо корреспондента, но и его "селекция" в общем цифровом потоке. Естественно, кракер не сможет произвести и прямой подсчёт корреспондентов и выявить "круг общения" кого-либо. Говоря языком двоечника, "и здесь математика не понадобиться..."

Шифратор KG-175 (TACLANE), тактический вариант шифратора KG-75, разработан АНБ для обеспечения закрытой связи индивидуальных пользователей или групп пользователей, работа которых имеет одинаковый уровень секретности, в сетях, использующих стандартный межсетевой протокол Интернет (IP) и сетях, использующих асинхронный режим передачи (АТМ).

KG-175 удовлетворяет требованиям пользователей, которые работают в сетях Интернет, развёртываемым для создания тактических и стратегических сетей министерства обороны, таких как сети MSE, SIPRNET и сети ATM. KG-175 обеспечивает шифрование трафика и может использоваться для обеспечения безопасности сетей VPN.

Поскольку шифратор работает на множественных уровнях защит от U до TS/SCI TACLANE разрешает пользователям различных уровней использовать общедоступные сети (прежде всего, Internet), облегчая интеграцию мобильных и стационарных сетей передачи данных.

В сетях ATM TACLANE обеспечит FASTLANE-взаимодействующую защиту ячейки ATM на всех подключениях с использованием ATM. TACLANE будет автоматически использовать IP-защиту для подключения всякий раз, когда одни или оба корреспондента работают в IP-сетях.

Средство управления TACLANE требует небольшого участия оператора для работы в нескольких меню управления процедурами конфигурации. Управление ключами включает автоматическую поддержку шифрования с открытым ключом. TACLANE использует не только контроль за доступом, но и имеет функции по устранению последствий компрометации терминалов, что отвечает эксплуатационным условиям как тактических, так и фиксированных сетей. Для реализации этих возможностей используется технология Crypto-Ignition Key (CIK, в переводе - криптогафический ключ зажигания), при изъятии которого шифратор становиться непригодным и полностью несекретным.

TACLANE решает проблемы адресации и аутентификации, используя несколько основных служб безопасности. Он обеспечивает то, что:

Во взаимодействии со службами безопасности TACLANE обеспечит:

Важнейшей целью TACLANE является полное соответствие существующей инфраструктуре сети, что выразится в том, что пользователи смогут в обычном режиме продолжать выполнять свои неизменяемые миссии. Добавление непрерывной защиты сетевого уровня не будет препятствовать современным функциям обработки данных, которые включают:

Прозрачность TACLANE приведёт к тому, что компьютер пользователя и сеть будут функционировать обычным образом. Прозрачность поддерживается с помощью эмуляции самой сети. При включении TACLANE и инициализировавший его компьютер изучают существующие IP -адреса в пределах системы MSE (Mobile Subscriber Equipment) и регистра сервера доменных имен. Ниже приведён пример адресации в сети с поддержкой мобильных пользователей MSE:

При использовании защиты TACLANE, пользователи могут использовать обычные компьютеры (COTS), сохраняя их первоначальную конфигурацию, операционные системы, прикладное программное обеспечение, файлы данных, заказное программное обеспечение и программное обеспечение удалённого доступа.

TACLANE обеспечивает защиту VPN, создавая отделенные, криптографически защищённые, сообщества пользователей. VPN-соединение в общедоступной сети будет работать обычным образом, за исключением того, что в виртуальной частной сети (VPN) смогут работать только другие пользователи TACLANE с аналогичным уровнем доступа.

Если компьютер поддерживает единственный уровень безопасности, TACLANE будет работать только на этом уровне безопасности. Если пользователь имеет операционную систему, которая может работать на нескольких уровнях защиты, он может изменить уровень безопасности TACLANE, когда он изменяет уровень безопасности на ведущем компьютере.

При соединении без включения средств безопасности TACLANE не производит шифрования трафика. Если это разрешено пользователям сети, они могут открыть обычные соединения, активизировав TACLANE, и связываться с автоматизированными рабочими местами, не применяющими TACLANE. В этом случае, автоматизированные рабочие места должны быть выполнены в соответствии требованиями MLS. Пользователи должны быть уверены в том, что они могут эффективно управлять всеми видами сервиса и по своему выбору распределять через сеть Интернет информацию различного уровня секретности в зашифрованном виде. Эта возможность является основным требованием Министерства Обороны и АНБ и называется MLS (Multilevel Security - многоуровневая безопасность). Инициатива NSA по обеспечению многоуровневой безопасности (MLS) информационных систем MISSI (Multilevel Information Systems Security Initiative) является краеугольным камнем усилий, предпринимаемых NSA в этой области, задумана как саморазвивающаяся и включает в себя требования непрерывного обновления своих возможностей.

При работе в ATM-сетях, TACLANE будет способен обеспечить дуплексную связь с производительностью в 25 Мбит/с.

Задача: NVI должен обеспечить инфраструктуру асимметричной криптографии с открытым ключом (Public Key Infrastructure, PKI) с целью поддержки "Общностей интересов".

Решение: Обеспечить и установить серверы-каталоги на все ITSC и регистрирующие рабочие станции на военных объектах (см. рис.). Обеспечить их постоянную синхронизацию с главным каталогом, контролируемым и поддерживаемым агентством информационных систем Министерства Обороны США (Defense Information System Agency, DISA).

Задача: Условием нормальной эксплуатации является устойчивость DNS к спуфингу, искажению, атакам DoS.

Например, одним из главных последствий таких атак является искажение системы доменных имён DNS. Ничего не подозревающий пользователь получает ошибочный адрес от коррумпированной DNS и отправляет информацию по ошибочному адресу.

Решение: Установка надёжных, укреплённых, резервных, псевдокоренных DNS на ITSC. Все запросы проходят через псевдокоренные серверы, причем, если запрос предназначен домена navy.mil, его прохождение разрешается, и он идет по адресу. Если запрос следует во внешние для NVI сети, псевдокоренной сервер переправляет его действительному серверу-первоисточнику (Root Server). Эти проекты внедряются во внутренней структуре DNS NVI против неумышленных или преднамеренных атак эталонной DNS. Такое решение имеет дополнительные плюсы, выражающиеся, например, в повышении качества и быстродействия выполнения запросов внутри NVI. Такое же решение используется и для засекреченных сетей.

Проблема: NVI должна обеспечивать безопасность управления инфраструктурой различных компонентов сети.

Решение: Установка системы контроля (Token-Based Access Control (TBAC) System) на региональных ITSC, уникальным образом идентифицирующих зарегистрированного пользователя по маркерам доступа, идентификаторам безопасности пользователя (SID), идентификаторам безопасности групп, к которым принадлежит пользователь, и устанавливающих полномочия, которыми владеет пользователь и т. п.

...Тесны врата и узок путь, ведущие в жизнь, и немногие находят их... (Матф.7:14)

Кратко рассказав об криптографически защищённых "бастионах", приступаем к непосредственному описанию зон безопасности военной сети NVI, информации о которых даже в первично систематизированном виде крайне мало у российских специалистов по безопасности. Не знаю (но догадываюсь), как там с этим у кракеров...

Зона безопасности 4 - граница с общедоступными сетями

Зона является границей между NVI и публичными сетями, как бы "последней чертой", за которой начинается открытые сети общего доступа, например Niprnet, Siprnet и Internet. Этот уровень обеспечивает разделение между ними. Защитная зона 4 обеспечивает обоих пользователей и всю инфраструктуру безопасности их взаимодействия. Основные механизмы - это защита Firewall и система обнаружения проникновения (IDS - Intrusion Detection System). При этом, осуществляется мощнейшая антивирусная проверка и поддерживается шифрование VPN.

Проблема: NVI должна обеспечить мощную защиту на границах между WAN и NVI.

Например, атаки через Internet или Siprnet могут победоносно закончиться выводом из строя системы NTCSS (Navy Tactical Сommand Support System), являющейся частью глобальной системы управления GCCS, посредством которой осуществляется управление тыловым обеспечением ВМС.

Решение: Разработка и инсталляция системы защитных межсетевых экранов ВМС Firewall (NFSS - Navy Firewall security systems) на региональных центрах телепортации информации (ITSC).

Система безопасности ВМС, построенная на межсетевых экранах Firewall NFSS (зона 4), состоит из:

Элементы защитной системы NFSS, выделенные фиолетовым цветом конфигурируются и централизованно управляются программным менеджером PMW-161.

Одной из современных тенденций в области защиты сетей интранет является изменение политики реагирования на вторжение, обусловленное пониманием того, что создание абсолютно безопасной сети в настоящее время попросту невозможно. Считается, что обеспечение абсолютной безопасности и целостности системы от всех без исключения угроз приведёт к полному истощению ресурсов. Следствием этого станет падение эффективности системы в целом, а значит и образование новых брешей в защите. Видимо, специалисты по безопасности военных информационных систем отказались от идеи превращения NVI в неприступную крепость, и, признавая эти реалии, ставят перед собой более достижимые цели. Внимание специалистов сконцентрировано на создании полиморфной защиты, призванной "сыграть роль" трясины, в которой увязнет кракер. Зона 4 может быть преодолена, но вторжение будет обнаружено, следствием чего станет принятие немедленных мер по локализации нападающего и минимизации последствий вторжения.

Построение защиты по зонам безопасности реализует следующий механизм: защита - обнаружение - реакция, выраженная в восстановлении и корректуре скомпрометированных элементов. Помните сказочного Змея Горыныча в картине "Василиса Прекрасная"? Трехглавый Змей был триединым символом стихий - каждая голова изрыгала свое: одна - огонь, другая - воду, третья - ветер. Иванушка здесь выступал как типичный представитель трудового класса, предок сталеваров, строителей плотин и авиаторов, подчинивших себе три стихии уже не сказочными, а промышленными методами. Чтобы эта скотина сдохла, богатырю необходимо было срубить все три головы. Но ещё более подходящей аналогией мог бы стать Кощей Бессмертный. Монстр был хоть куда, поганую голову рубить бесполезно, всё заново отрастала, потому, как бессмертие Кащея таилось вне самого объекта воздействия. Система безопасности NVI реализует тот же древний принцип. Сказок наших, видимо, начитались.

Основные принципы построения зоны защиты 4


Особенности зоны безопасности 4

Все прикладные системы (приложения) должны использовать надежные, безопасные протоколы обмена между сетью NVI и внешним миром:


Проблема: Система безопасности NVI должна обнаруживать возможные проникновения и организовывать отражение атак на службы, исходящие из сетей WAN.

Решение: Установка систем обнаружения проникновений IDS (Intrusion Detection System) с центральным мониторингом на региональных ITSC. Сразу же после (а, точнее в момент) обнаружения проникновения в NVI система безопасности в лице IDS производит немедленный доклад на флотский центр FIWC (Fleet Information Warfare Center). Первый такой центр открыт 1 октября 1995 года на базе амфибийных сил Атлантического флота ВМС США Литтл-Крик (район Норфолк, шт. Вирджиния). На тот момент штатная численность FIWC достигла 360 военнослужащих и гражданских специалистов. В соответствии с указаниями начальника штаба ВМС США (инструкция 5450) FIWC является основным координирующим органом по внедрению и обработке положений концепции "Информационной войны" в ВМС США. Функции FIWC включают разработку тактических приемов и способов ведения информационной войны, организацию подготовки кадров, выработку рекомендаций, закупки технических средств в интересах такой войны. Кроме того, FIWC формирует и выделяет в распоряжение различных командующих, а также командиров передовых группировок ВМС США, подразделения по планированию и ведению операций информационной войны, вооружённые соответствующими техническими средствами. При этом, информационная война будет вестись как в ходе решения задач оперативной и боевой подготовки, так и при реальных боевых действиях, осуществляя радиоэлектронное и "информационное" противодействие силам противника.

Зона безопасности 3 - Inter-COI и Intra-COI

Этот уровень обеспечивает защиту общности интересов COI (Community of Interest) как внутри самой NVI, так и во внешних сетях. Он может быть произвольным и сочетаться с уровнем 2, хотя в принципе предназначен для обеспечения системы защиты в более жёстком варианте и функционирует по нескольким протоколам. Внешние пользователи (вне зоны) не проходят зону защиты 3 для получения дальнейшего доступа. Основными механизмами зоны безопасности являются сетевой фильтр проникновений NIF (Network Intrusion Filter) и система обнаружения проникновений IDS, хотя в действительности обе системы, зачастую, функционально трудно различимы и использование одного из них или даже обоих вместе необязательно. В то же время, для обеспечения более высокой безопасности обе системы могут тесно взаимодействовать с механизмами зоны 4.

Проблема: NVI должна обнаруживать возможные проникновения и внешние атаки типа "отказ в обслуживании".

Сайты, упомянутые в начале статьи, были блокированы с помощью той же техники "Denial Of Service" (DoS), в ходе которой на сайт с нескольких мощных машин направляется большой поток ложных запросов, которые полностью лишают других посетителей возможности попасть на сайт.

Атаки организуются, в том числе, и с чужих компьютеров, которые были заранее взломаны, после чего на них были загружены кракерские программы, посылающие поток запросов на атакуемые сайты. Это могли быть компьютеры университетов или того же ФБР, так что даже отслеживание этих машин может и не дать много информации о реальном "центре управления", откуда запущена атака.

Инструменты для подобных распределенных атак - TFN, Trinoo, Stacheldraht - известны не менее года. О "дыре", которую они эксплуатируют, специалисты знают уже не менее пяти лет. Отличительной чертой некоторых программ является то, что они используют шифрование при коммуникации между агентами, так что системным администраторам непросто проследить появление агентов таких программ в локальной сети.

Решение: Установление системы обнаружения проникновения IDS на Farm-серверы ITSC ("ферма" - способ организации многомашинной системы, при котором одна из машин действует как планировщик, а другие - как рабочие) с текущим центральным мониторингом. Обнаруженные IDS атаки после срочного оповещения флотского центра FIWC будут сразу же им остановлены или, точнее говоря, блокированы. Улавливаете, где кроется "бессмертие" системы безопасности и NVI в целом? Только в отличие от Кащея, бессмертие которого было спрятано хоть и в разноплановых "носителях", но на неохраняемом "объекте", а также не имело обратной связи с самим злодеем, FIWC будет очень хорошо защищён. Кстати, помните, сколько было помощников и в воде, и в воздухе, и на суше у богатыря?

Задачу должен, в первую очередь, решить сетевой фильтр проникновений зоны безопасности 3. Он обеспечивает дифференцированное разделение для получения усиленных характеристик защиты и может обеспечивать:

Сетевой фильтр проникновений NIF может быть реализован в виде:

Зона безопасности 2 - Intra-анклав и Inter-анклав

Как известно, анклав - это территория или часть территории одного государства, окружённая со всех сторон территорией другого государства. Зона 2 обеспечивает некоторые распределение между местными локальными сетями (Inter-анклав) и между локальными сетями и сетями WAN (Intra-анклав). В зоне действует ограничения на некоторые виды протоколов, которые могут быть здесь использованы. В качестве главного механизма зоны выступает сетевой контроллер доступа NAC (Network Access Controller). Он способен останавливать множество атак на ближайшие локальные сети, подвергшиеся атаке как из соседних LAN, так и из WAN, т.е. как извне, так и из самой NVI.

Контролер построен на инструментальных фильтрующих маршрутизаторах, взаимосвязанных между собой. В вопросах формирования подходящего конфигурационного перечня, регламентирующего контроль доступа к маршрутам, его работа полностью подотчётна менеджеру безопасности PMW - 161. Характеристики контролера будут изменяться в зависимости от состава пользователей, групп пользователей, команд и прочего.

Работа, выполняемая PMW - 161 в зоне 2, определяется следующими задачами:

Более слабый механизм безопасности реализуют виртуальные локальные сети (VLAN) и эмулированные LAN (ELAN), которые также могут обеспечивать некоторые разделение. Некоторое расширение локальных сетей LAN может обеспечивать VPN-шифрование между маршрутизаторами зоны 2.

Другим эффективным средством борьбы с проникновениями в настоящее время признаются системы мониторинга, отслеживающие пакеты специальных программ типа Sniffer. Этот механизм реализуется посредством маршрутизаторов и контрольных журналов коммутаторов, каждый из которых, в свою очередь, подвержен постоянному аудиту. Главное (но не единственное) назначение программ Sniffer - перехват паролей и имён пользователей. Мониторинг призван вынудить Sniffer-а жалостливо так затянуть песенку "Сами мы не местные..."

На важных объектах могут дополнительно устанавливаться недорогие системы обнаружения проникновения IDS, разработанных для платформы Windows NT, с автоматической ответной реакцией, включающей и возможность и прерывания связи (во время атакующих попыток)

Зона безопасности 1 - оконечная система

Зона представляет последний эшелон защиты, глубочайший уровень безопасности, где, как говориться, должны точно срастись концы с концами. Многие из систем защиты могут быть дополнительно усилены.

Защита включает в себя:

Какие же документы и факторы определяют понятие "безопасно сконфигурированные системы"?

Это:

При этом специалисты по безопасности чётко понимают тот фактор, что неуязвимой защиты не существует, но в их силах сделать всё, чтобы суперзащиту не смыло одной волной и "они все вместе уйдут вниз" (We all go down together).

Усовершенствование системы безопасности и поддержание её в высокой готовности будет находиться в неразрывной связи со следующими факторами:

Пример быстрого автоматического определения состояния системы пользователей центра телепортации информации ITSC приведённым рисунком. Все важные локальные сети также должны уметь определять состояние системы безопасности быстро и автоматически, что решается установкой автоматизированных сетевых систем проверки уязвимости в бортовых локальных сетях LAN.

Попытки использования PMW-161 в VPN- шифровании

Управление PMW - 161 попытается разработать и стандартизировать шифрование, аутентификацию и интегрированную защиту пакетов протокола TCP/IP, используя IETF как стандартную основу. В настоящее время готовятся к использованию безопасные протоколы IPsec. При этом используются спецификации RFCs 1825, 1826, 1827, 1828.

Ведутся работы по формированию инфрастуктуры обмена ключами для организации VPN-соединений, в первую очередь по радиоканалам.

И, наконец, вечные русские вопросы "что делать и кто виноват?"

Если же проникновение всё-таки произошло и своевременно обнаружено, реакция будет следующей:

  1. Восстановление программного обеспечения в строго регламентированные временные интервалы к хорошо известному состоянию.
  2. Разработка мер предотвращения повторных попыток проникновения.
  3. Укрепление системы безопасности.
  4. Принятие шагов по законному сдерживанию с помощью официальных силовых структур, в том числе и международных.

Американские специалисты допускают просачивания через систему безопасности, оставляя напоследок для себя такие вот отдушины:

Выводы:

  1. В настоящее время невозможно достичь стопроцентной неуязвимости системы безопасности сетей интранет. Но, как видится американцам, "дорогу осилит идущий"...
  2. Необходимо чётко понимать разницу в результативности атак на WWW-сайты. Чаще всего небольшая группа атакующих может лишь подменить некоторые страниц, например, с помощью перемаршрутизации, но не проникнуть через систему безопасности и получить доступ к секретным ресурсам защищённой сети или вывести всю или часть системы из строя.
  3. Система безопасности может быть эффективной лишь:
    • при постоянном и непрерывном поиске уязвимых мест, попыток и фактов проникновений (шпиономания или "мне его морда сразу не понравилась!");
    • при наличии возможностей быстрой локализации обнаруженного противника (сетевой СОБР);
    • при постоянном совершенствовании системы безопасности (...и вечный бой, покой им только снится...);
    • разработке и быстром "латании" обнаруженных брешей во всей системе безопасности (новый пенталгин).
  4. В настоящее время наибольшие проблемы вызывают массированные атаки, инициированные большим числом компьютеров, в том числе и не имеющих никакого отношения к кракерским структурам, но инфицированных специальными программными агентами (бунт роботов).
  5. Одиночное проникновение в глубину обороны, например, в зону 3, не означает высокой квалификации кракера, который не сможет развить успех. Это может быть лишь один из счастливчиков, участвовавший в массированной атаке и "втиснутый задними рядами" атакующих в появившуюся в защите брешь. Минимальные шансы агрессора на успех могут быть оценены по представленному здесь графику. Как из него видно, если в группе из 10 тысяч инсайдеров на каждую тысячу будет один подготовленный кракер, он имеет около 9% на развитие успеха, причём, заметьте, не на достижение цели, а на развитие успеха. Будут ли среди вторгшихся кракеров способные на дальнейшее продвижение вперёд (Вы не знаете, как пройти в библиотеку?) - этот вопрос остаётся за кадром.
  6. Подвергшаяся атаке система может быть выключена на 10-30 минут с восстановлением разрушенных элементов, как в ходе перезагрузки, так и в последующем, что заставит атакующих вновь организовывать нападение (вынуть сетевую вилку из розетки, а затем снова подключить). Однако, отключение сегментов, имеющих соприкосновение с общедоступными сетями, не означает полное блокирование системы в целом, а приведёт лишь к определённым внутрисистемным ограничениям, как по видам сервиса, так и по объёму передаваемой информации. Тем не менее, это будет означать значительные потери информации, следствием чего станет временная утрата всеобъемлющего контроля за обстановкой. Что это повлечёт за собой - этот вопрос остаётся за кадром.
  7. Современная система защиты не должна иметь строго очерченных границ и шаблонов. Её обеспечение и поддержание в готовности, развитие и устранение брешей - это вопросы как искусства, так и технологии, но в рамках хорошо практически проверенных теоретических постулатов (помните один из принципов соцреализма - "Мы пишем не по указке партии, но по зову сердца, а сердца наши принадлежат партии"). Знаменем такой системы становиться многоцветная мозаика, уложить которую предстоит специалистам по безопасности.

Домашнее задание

Найти вышеописанные принципы в построении системы безопасности двух сетей, одна из которых предназначена для передачи несекретной, а другая - секретной информации.

Best regards...



Чуваки не надо сать,
скидывайте на e-mail:
pcutils@aport.ru

Hosted by uCoz