Защита информации в компьютерных сетях Презентации к курсу лекций

Компьютерные атаки

Компьютерная атака это целенаправленное воздействие на АИС, осуществляемое программными средствами с целью нарушения конфиденциальности, целостности или доступности информации Осуществление компьютерных атак становится возможным благодаря наличию в компьютерной системе уязвимостей

Примеры уязвимости КС ошибки, допущенные в ходе разработки ПО или протоколов обмена например, отсутствие механизмов защиты информации от несанкционированного доступа ошибки в программном коде, позволяющие тем или иным образом обойти систему защиты (например, ошибки программирования, создающие возможность выполнить атаку на переполнение буфера) ошибки конфигурирования и администрирования (неправильная настройка системы защиты, слишком короткий пароль и т. д.).

Классификация компьютерных атак По типу используемой уязвимости, то есть с позиции атакуемого По конечной цели злоумышленника, то есть с позиции атакующего вывод компьютерной системы из строя или ее блокирование ( отказ в обслуживании, Denial-of-Service, DoS), копирование или подмена интересующей информации, получение полномочий суперпользователя По признакам, позволяющим обнаружить атаку, то есть с позиции наблюдателя наличие в журнале регистрации событий или сетевом трафике определенной информации, подключение к определенной сетевой службе и пр.

Рост обнаруживаемых вредоносных программ

Распределение по ОС Win Linux123 SunOS18 Unix4 DOS24 SymbianOS19 Win9x1

Современные ВП Лидирует ОС Windows, что говорит главным образом о популярности самой ОС у конечных пользователей Технологии распространения с помощью вложений в почтовые сообщения с помощью уязвимостей ОС Windows и ее приложений

Современные ВП узлы со старыми системами без обновления уязвимых компонентов, уязвимости «живут» 1-2 года; рост числа атак, конечной целью которых является рассылка спама; наличие «фонового шума» (15% трафика), вызванного большим количеством bot-сетей, ориентированных на устаревшие уязвимости; распространение вредоносных программ через веб-страницы; увеличение количества атак, основанных на подборе паролей (bruteforce), направленных на MSSQL, SSH, FTP

Сетевые атаки сбор информации изучение сетевой топологии, определение типа и версии ОС атакуемого узла, доступных сетевых сервисов выявление уязвимых мест атакуемой системы анализ наличия уязвимостей в ПО и его настройках реализация выбранной атаки отправка сетевых пакетов на определенные сетевые службы SYN Flood, Teardrop, UDP Bomb, подбор паролей

Исследование сетевой топологии ICMP-сканирование команда ECHO_REQUEST протокола ICMP ответное сообщение ECHO_REPLY TCP-сканирование последовательная установка сетевого соединения по определенному порту с перебором IP-адресов

ICMP-сканирование

ICMP-запрос

ICMP-ответ

Результат ICMP- сканирования

TCP-сканирование SYN-флаг

Искомый узел присутствует Флаги RST и ACK

Сканирование портов Определение функционирующих сетевых служб TCP-21-ftp TCP- 23-telnet TCP- 25-smtp TCP- 80-http TCP- 110-pop3 TCP- 135-RPC TCP- 139-NetBIOS TCP- 445-RPC, DFS

Сonnect()-сканирование, порт 21

Ответ - «закрытый порт»

С onnect()-сканирование, порт 135

Ответ - «открытый порт»

Иные способы сканирования SYN-сканирование, FIN-сканирование, ACK-сканирование, XMAS-сканирование, NULL-сканирование, UDP-сканирование

Выявление уязвимых мест сканером LanGuard

Реализации атак

Анонимное подключение в ОС Windows net use \\*.*.*.*\IPC$ "" /user:""

Общие принципы защиты Обнаружение и запрет: входящих ICMP-запросов исходящих ICMP-ответов установки TCP-соединений извне опасных TCP- и UDP-портов

Усложненные атаки последовательность опроса узлов 07:11: > : icmp: echo request 07:11: > : icmp: echo request 07:11: > : icmp: echo request 07:12: > : icmp: echo request 07:12: > : icmp: echo request 07:12: > : icmp: echo request 07:12: > : icmp: echo request.... увеличение интервала времени 12:01: > : icmp: echo request 12:03: > : icmp: echo request 12:05: > : icmp: echo request 12:07: > : icmp: echo request 12:09: > : icmp: echo request 12:11: > : icmp: echo request 12:13: > : icmp: echo request

Усложненные атаки

Обнаружение атак Системы обнаружения атак, СОА (intrusion detection systems, IDS)

Система обнаружения атак программный или программно- аппаратный комплекс, предназначенный для выявления и, по возможности, предупреждения, действий, угрожающих безопасности информационной системы СОА, СОКА, СОПКА Система обнаружения вторжений IDS, NIDS

Классификация СОА по методу обнаружения: системы сигнатурного анализа системы обнаружения аномалий; по способу обработки данных: системы реального времени системы отложенной обработки; по типу анализируемых данных: узловые (host-based) сетевые (network-based); по конфигурации: компактные распределенные системы

СОА Snort по методу обнаружения: система сигнатурного анализа по способу обработки данных: система реального времени по типу анализируемых данных: сетевая (network-based); по конфигурации: компактная

СОА Snort Сигнатуры атак описываются при помощи правил (rules) Набор правил требует обновления Доступно зарегистрированным пользователям

ЗАЩИТА СЕТЕЙ С ИСПОЛЬЗОВАНИЕМ МЕЖСЕТЕВЫХ ЭКРАНОВ

Стандартные требования К Web-серверам организации должен быть разрешен доступ из Интернет В организацию должна приходить почта Из внутренней сети должен быть разрешен доступ к внешним Web- и FTP-серверам Необходимо разрешить отправлять исходящую почту

Стандартная задача Между Интернетом и внутренней сетью не должно быть прямого трафика

Межсетевой экран (МЭ) Система межсетевой защиты, позволяющая разделить общую сеть на две части и более и реализовать набор правил, определяющих условия прохождения пакетов с данными через границу из одной части общей сети в другую Firewall, брандмауэр

Межсетевой экран (МЭ) Локальное или функционально- распределенное аппаратно-программное (программное) средство, реализующее контроль за информацией, поступающей в АС и/или выходящей из АС

Политика сетевой безопасности Политика доступа к сетевым ресурсам Политика реализации МЭ

Политика сетевой безопасности Политика доступа к сетевым ресурсам запретить доступ из Интернет во внутреннюю сеть, но разрешить доступ из внутренней сети в Интернет разрешить ограниченный доступ во внутреннюю сеть из Интернет

Политика сетевой безопасности Политика реализации МЭ запрещать все, что не разрешено разрешать все, что не запрещено

Основные компоненты МЭ Фильтрующие маршрутизаторы Шлюзы сетевого уровня Шлюзы прикладного уровня

Фильтрующий маршрутизатор Фильтрация входящих и исходящих пакетов на основе информации, содержащейся в TCP- и IP- заголовках пакетов

Схема инкапсуляции данных в стеке протоколов TCP/IP Прикладной уровень (SMTP, Telnet, FTP) Транспортный уровень (TCP, UDP, ICMP) Уровень Интернет (IP) Уровень сетевого доступа (Ethernet, FDDI,ATM) Данные TCP- заголовок TCP- заголовок IP- заголовок TCP- заголовок IP- заголовок Ethernet- заголовок ОтправлениеПолучение

Схема информационного обмена Клиент Сервер 1024 порт 110POP3 80http 25smtp 21ftp

Критерии фильтрации пакетов IP-адрес отправителя IP-адрес получателя тип протокола (TCP, UDP, ICMP) порт отправителя (TCP, UDP) порт получателя (TCP, UDP) тип сообщения (ICMP)

Задача 1 Обеспечить обмен электронной почтой между внутренним и внешним SMTP серверами протоколTCP, порт:25

Правила внутреннего и внешнего соединения узлов Правило Направ ление ТипИсточн ик Получат ель Порт получателя Действие А входTCPвнешнвнутр25разреш. B выходTCPвнутрвнешний>=1024разреш. C выходTCPвнутрвнешний25разреш. D входTCPвнешнвнутр>=1024разреш. E любоелюбой отказ Правила A, B - чтобы на наш сервер приходили письма Правила C, D - чтобы наш сервер мог отправлять письма Правило E - запрещает иные пакеты

Правила A,B,C,D,E Наш сервер Внешн ий сервер 1024 порт 110POP3 80http 25smtp 21ftp A B C D Троянцы!!!

Улучшенные правила Правило Направ ление ТипИсточн ик А входTCPвнешн B выходTCPвнутр C выходTCPвнутр D входTCPвнешн E любоелюбой Получат ель внутр внешний внутр любой Порт получа теля 25 >= >=1024 любой Действ ие разреш. отказ Порт источн ика >= >= любой

Улучшенные правила A,B,C,D,E Наш сервер Внешн ий сервер 1024 порт 110POP3 80http 25smtp 21ftp A B C D Троянцы!!!

Задача 2 Защищаемая организация имеет сеть /16 Запретить из Интернет доступ в сеть /16 Но разрешить доступ в подсеть /24 данной сети из сети /16 При этом специально запретить в защищаемую сеть доступ из подсети /24, за исключением доступа к подсети /24

Пояснение - маска подсети Адрес в сети: / /

Правила фильтрации пакетов, поступающих извне Правило Адрес источникаАдрес назначенияДействие А / /24разрешение B / /16отказ С /0 отказ

Примеры пакетов Пакет Адрес источника Адрес назначения Требуемое действие Действие ABC Действие BAC отказОтказ (B) разрешениеразр.(A)Отказ (B) разрешениеразр.(A) отказОтказ (С)

Пример при удалении правила B Пакет Адрес источника Адрес назначения Требуемое действие Действие AC отказОтказ (С) разрешениеРазрешение (A) разрешениеРазрешение (A) отказОтказ (С)

Задача 3 Защищаемая организация имеет сеть /16 Входящие соединения TELNET разрешаются только с хостом Входящие соединения SMTP разрешаются только с хостами и Входящий обмен по NNTP разрешается только от сервера новостей и только с хостом Входящий протокол NTP (сетевого времени) - разрешается для всех

Правила фильтрации Правило Направ ление ТипАдрес источн ика Адрес получате ля Порт получа теля Действ ие Порт источни ка А входTCPлюбой разреш.>=1024 B входTCPлюбой разреш.>=1024 C входTCPлюбой разреш.>=1024 D входTCP разреш.>=1024 F входлюбой отказлюбой E входUDPлюбой /16 123разреш.>=1024

Установка TCP соединения (3-way handshake) клиентклиент серверсервер C-SYN 1 S-SYN, C-ACK 2 S-ACK 3 Установлено

Пример настройки правил фильтрации входящих пакетов

Пример настройки правил фильтрации исходящих пакетов

Фильтрующие маршрутизаторы невысокая стоимость гибкость в определении правил фильтрации небольшая задержка при прохождении пакетов внутренняя сеть видна (маршрутизируется) правила фильтрации трудны в описании и требуют хороших знаний технологии TCP и UDP невозможность полного тестирования правил фильтрации, нет защиты от непротестированных атак при выключении МЭ все компьютеры становятся незащищенными либо недоступными возможна подмена IP-адреса атакующего отсутствует аутентификация на пользовательском уровне

Дополнительные возможности фильтрующих маршрутизаторов NAT - для подключения локальной сети c частными адресами к Интернет при использовании одного IP-адреса Port Mapping - возможность переадресации сетевых служб на внутренние адреса несмотря на использование NAT

NAT замена IP-адресов внутренней сети на адрес внешнего интерфейса МЭ

Port Mapping Переадресация запросов некоторых портов на внутренние серверы SMTP -25 POP FTP - 21 МЭ FTP, Web, SMTP, POP3,Telnet - клиенты WWW Telnet порт порт порт порт порт

Шлюз прикладного уровня

Реализация шлюза прикладного уровня

Укрепленный компьютер установка защищенной версии ОС удаление ненужных сетевых служб удаление ненужных приложений защита ресурсов и контроль доступа настройка регистрации и аудита

Основные схемы сетевой защиты на базе МЭ МЭ - фильтрующий маршрутизатор МЭ на основе двупортового шлюза МЭ на основе экранированного шлюза МЭ - экранированная подсеть

МЭ -фильтрующий маршрутизатор

Двупортовый шлюз Двудомный хост - компьютер с двумя сетевыми интерфейсами

Экранированный шлюз

Экранированная подсеть

Политика сетевой безопасности Доступ из Интернет в корпоративную сеть: во внутреннюю приватную сеть доступ извне запрещен к МЭ извне доступ запрещен В ДМЗ доступ разрешен ТОЛЬКО к следующим портам на объектах (в остальных случаях доступ запрещен): Web-сервер. анонимный доступ всем разрешен только к 80 порту. разрешен авторизованный FTP-доступ на 21 порт и 20 порт (возможно с предварительной идентификацией / аутентификацией на МЭ) администратору Web-сервера только из сегмента административного управления (с приватного IP-адреса администратора). из приватной сети, только из сегмента административного управления (с IP-адреса администратора) возможен удаленный терминальный доступ по протоколу rsh на Web-сервер Mail-сервер (SMTP и POP3) разрешен доступ только из приватной корпоративной сети к сервису POP порт разрешен доступ к SMTP сервису - 25 порт только из приватной сети Доступ из корпоративной сети в Интернет разрешен без ограничений

Виртуальные частные сети Virtual Private Network (VPN) – это технология, объединяющая доверенные сети, узлы и пользователей через открытые сети, к которым нет доверия

Схема VPN

Задачи, решаемые VPN Защита (конфиденциальность, целостность, подлинность) передаваемой по сетям информации Защита внутренних сегментов сети от НСД извне Идентификация и аутентификация пользователей

Требования к VPN Масштабируемость Интегрируемость Легальность используемых алгоритмов Пропускная способность сети Стойкость криптоалгоритмов Унифицируемость Общая совокупная стоимость

Туннелирование в VPN ДанныеIP-заголовок Шифруются на пакетном ключе и подписываются ЭЦП ДанныеIP-заголовокПакетный ключЭЦП пакета Пакетный ключ шифруется на ключе связи, формируется новый IP-пакет (IP-адреса устройств защиты) ДанныеIP-заголовокПакетный ключЭЦП пакетаIP-заголовок Аутентифицирующий заголовок

Уровни защищенных каналов ПрикладнойS/MIME /PGP /SHTTP Транспортный (TCP/UDP) SSL /TLS / SOCKS Сетевой (IP)IPSec / SKIP КанальныйPPTP / L2F /L2TP

Защита данных на канальном уровне

Прозрачность для приложений и служб прикладного уровня Независимость от транспортного и сетевого уровня (IP, IPX, NetBEUI) Протоколы PPTP (Point-to-Point Tunneling Protocol)-MS L2F (Layer-2 Forwarding) – Cisco Systems L2TP (Layer-2 Tunneling Protocol) – объединенный

PPTP Сначала производится инкапсуляция данных с помощью протокола PPP, затем протокол PPTP выполняет шифрование данных и собственную инкапсуляцию IP заголовок GRE заголовок PPP заголовок IP заголовок TCP, UDP Данны е Р

Установка соединения

TCP-соединение, порт 110 Source IP Dest IP Source Port 1134 Dest Port 110

Протокол POP3

DNS-запрос, порт 53

HTTP-ответ, порт 80

Отсутствие шифрования данных

Аутентификация пользователей PPTP Extensible Authentication Protocol (EAP), Microsoft Challenge Handshake Authentication Protocol (MSCHAP) версии 1 и 2, Challenge Handshake Authentication Protocol (CHAP), Shiva Password Authentication Protocol (SPAP) Password Authentication Protocol (PAP) Наилучший - MSCHAP версии 2 - взаимная аутентификация клиента и сервера

Варианты аутентификации Microsoft PPTP Текстовый пароль: Клиент передает серверу пароль в открытом виде Хэшированный пароль: Клиент передает серверу хэш пароля Вызов/Отклик: Аутентификация сервера и клиента с использованием протокола MS- CHAP (вызов/отклик)

Аутентификация MSCHAP Клиент запрашивает вызов сетевого имени. Сервер возвращает восьмибитовый случайный вызов. Клиент вычисляет хэш-функцию Lan Manager, добавляет пять нулей для создания 21-байтовой строки и делит строку на три семибайтовых ключа. Каждый ключ используется для шифрации вызова, что приводит к появлению 24-разрядного шифрованного значения. Оно возвращается серверу как отклик. Клиент выполняет то же самое с хэш-функцией Windows NT. Сервер ищет значение хэш-функции в своей базе данных, шифрует запрос с помощью хэш-функции и сравнивает его с полученными шифрованными значениями. Если они совпадают, аутентификация заканчивается.

Шифрование в PPTP Версия шифрования DES компании RSA Data Security, получившей название "шифрование двухточечной связи Microsoft" (Microsoft Point-to-Point Encryption - MPPE). Существование секретного ключа, известного обоим участникам соединения Используется поточный шифр RC4 с 40- либо 128-разрядным ключом

Формирование ключа RC4 40-битовый Генерация определяющего 64-битового ключа из хэш-функции Lan Manager пароля пользователя (известного пользователю и серверу) с помощью SHA. Установка старших 24 бит ключа в значение 0xD1269E 128-битовый Объединение хэша Windows NT и 64-битового случайного значения, выданного сервером при работе по протоколу MS-CHAP. Данное число посылается клиенту по протоколу обмена, потому оно известно и клиенту, и серверу. Генерация определяющего 128-битового ключа из результатов предыдущего этапа с помощью SHA.

Уровни защищенных каналов ПрикладнойS/MIME /PGP /SHTTP Транспортный (TCP/UDP) SSL /TLS / SOCKS Сетевой (IP)IPSec / SKIP КанальныйPPTP / L2F /L2TP

Защита на сетевом уровне

Протокол SKIP (Simple Key management for Internet Protocol – простое управление ключами для IP-протокола) Разработчик – Sun Microsystems, 1994 Аппаратная независимость Прозрачность для приложений Независимость от системы шифрования

Система открытых ключей Диффи-Хеллмана

Каждый пользователь системы защиты информации имеет секретный ключ Кс, известный только ему, и открытый ключ Ко. Открытый ключ Ко вычисляется из секретного ключа следующим образом: Ko = g Kc mod n, где g и n - некоторые заранее выбранные достаточно длинные простые целые числа.

Протокол SKIP Узел I, адресующий свой трафик к узлу J, на основе логики открытых ключей вычисляет разделяемый секрет K ij. K ij = (K oj ) Kci mod n = (g Kcj ) Kci mod n = g Kci*Kcj mod n Ключ K ij является долговременным разделяемым секретом для любой пары абонентов I и J и не может быть вычислен третьей стороной. Отправитель и получатель пакета могут вычислить разделяемый секрет на основании собственного секретного ключа и открытого ключа партнера: K ij = (K oj ) Kci mod n = (K oi ) Kcj mod n = K ji

Схема создания SKIP пакета

Преимущества дополнительная защита разделяемого секрета, так как он используется для шифрования малой части трафика и не даёт вероятному противнику материал для статистического криптоанализа в виде большого количества информации, зашифрованного им; в случае компрометации пакетного ключа ущерб составит лишь небольшая группа пакетов, зашифрованных им.

Дополнительные меры защиты разделяемого секрета Включение параметра (n), используемого для вычисления ключа K ijn Для получения K p применяется результат хэш-функции (MD5) из K ij и n. n – время в часах, отсчитанное от 00 час 00 мин Если n различается более чем на 1 час, то пакет отбрасывается

SKIP counter

Конфиденциальность и аутентификация Если применяется режим только аутентификации или только шифрования, заголовки AH и ESP, могут изыматься из пакета. IPSKIPAHESPInner protocol IP - заголовок протокола IP SKIP - заголовок протокола SKIP AH - аутентификационный заголовок ESP - заголовок, включающий данные об инкапсулированном протоколе Inner protocol - пакет инкапсулируемого протокола.

Проблемы организации способа хранения секретных ключей Kc и кэширования разделяемых секретов Kij способа генерации и хранения (в течение относительно короткого времени жизни) пакетных ключей Kp сертификации открытых ключей.

Атака man-in-the-middle Атакующая сторона находится внутри сети, где обмениваются информацией пользователи i и j. Цель атаки - предложить от своего имени пользователю i "поддельный" открытый ключ Koj, а пользователю j -соответственно, ключ Koi. После этого третья сторона может принимать весь шифрованный трафик от одного абонента, расшифровывать, читать, шифровать под другим ключом и передавать другому.

Зашита от атаки Распределением открытых ключей должна заниматься заслуживающая доверия сторона и ключи должны сертифицироваться (сопровождаться электронной подписью этой доверительной стороны). Нотариус (Certificate Authority – СА) подписывает не только открытый ключ, но и целый ряд фактической информации, а также информацию о дате выдаче и дате окончания действия его подписи. Центр Сертификации (ЦС) Получившийся документ (файл) называется сертификатом открытого ключа

Сертификат Цифровой документ, подтверждающий соответствие между открытым ключом и информацией, идентифицирующей владельца ключа. Он содержит определенную, цифровым образом подписанную информацию о владельце ключа, сведения об открытом ключе, его назначении и области применения, название доверенного центра и т.д. Наиболее распространен формат сертификата, установленный Международным Телекоммуникационным Союзом (ITU Rec. X.509)

X.509 Стандарт X.509 ITU-T - определение формата электронного сертификата и списков отозванных сертификатов (СОС) имя Издателя сертификата; имя Владельца сертификата; открытый ключ Издателя; срок действия открытого (секретного) ключа Издателя и Владельца; дополнения, используемые при верификации цепочек (basicConstraints, nameConstraints); СОС для каждого Издателя (даже если он не содержит отзываемых сертификатов).

Электронный сертификат X.509 VersionВерсия сертификата1, 2, 3 Certificate Serial Number Серийный номер сертификата 40:00:00:00:00:00:00:ab:38:1e:8b:e9:00:31:0c:6 0 Signature Algorithm Identifier Идентификатор алгоритма ЭЦП ГОСТ Р Issuer X.500 NameИмя Издателя сертификата C=RU, ST=Moscow,O=PKI, CN=Certification Authority Validity PeriodСрок действия сертификата Действителен с : Ноя 2 06:59: GMT Действителен по : Ноя 6 06:59: GMT Subject X.500 Name Имя Владельца сертификатаC=RU, ST=Moscow, O=PKI, CN=Sidorov Subject Public Key Info Открытый ключ Владельца тип ключа: Открытый ключ ГОСТ длина ключа: 1024 значение: AF:ED:80: Issuer Unique ID version 2 Уникальный идентификатор Издателя Subject Unique ID version 2 Уникальный идентификатор Владельца CA Signature ЭЦП Центра Сертификации

X.509

PKI (public key infrastructure) Инфраструктура Открытых Ключей (ИОК) PKI – инфраструктура управления открытыми ключами, состоит из сети нотариусов Участники взаимодействия должны: Располагать неподдельной копией сертификата СА Автоматически проверять любой сертификат партнера, используя открытый сертификат СА

Двухслойная иерархия СА подписывают свои сертификаты у центрального СА подписывают сертификаты рядовых пользователей своими закрытыми ключами точно так же, как это делал центральный СА Иерархический слой СА

Проверка сертификата удаленного абонента Получив сертификат СА, он проверяет его сертификатом центрального СА В случае успешной проверки он начинает доверять этому СА и проверяет с помощью его сертификата сертификат удаленного пользователя Пользователь, получив сертификат партнера, выясняет, что его подписал незнакомый ему СА Он просит партнера предоставить ему сертификат этого СА

Защита от внешних и внутренних атак не могут обнаружить вирусы и атаки типа "отказ в обслуживании" не могут фильтровать данные по различным признакам защита лишь части трафика, например, направленного в удаленный филиал. Остальной трафик (например, к публичным Web-серверам) проходит через VPN-устройство без обработки нет защиты от действий пользователей, имеющих санкционированный доступ в корпоративную сеть

Защита на сетевом уровне Протокол IPSec Аутентификация (протокол IKE - Internet Key Exchange) Защита целостности (Заголовок аутентификации AH - Authentication Header) Шифрование (ESP - Encapsulating Security Payload)

Архитектура IPSec

Аутентифицирующий заголовок (AH) Защита от атак, связанных с несанкционированным изменением содержимого пакета Специальное применение алгоритма MD5: в процессе формирования AH последовательно вычисляется хэш-функция от объединения самого пакета и некоторого предварительно согласованного ключа затем от объединения полученного результата и преобразованного ключа.

Заголовок ESP Обеспечение конфиденциальности данных Формат ESP может претерпевать значительные изменения в зависимости от используемых криптографических алгоритмов Любой симметричный алгоритм шифрования

IKE IKE – протокол обмена ключами Первоначальный этап установки соединения Способ инициализации защищенного канала Процедуры обмена секретными ключами Методы шифрования

Способы аутентификации IKE «Запрос-ответ» с использованием хэш- функции с общим секретным ключом Сертификаты открытых ключей Керберос

Производительность Задержки при установлении защищенного соединения Смена ключа – редкое дело Задержки связанные с шифрованием Время зашифрования существенно меньше времени отправки пакетов Задержки, связанные с добавлением нового заголовка Добавляется до 60% трафика

Производительность

Варианты решений VPN на базе сетевых операционных систем (ОС); VPN на базе маршрутизаторов; VPN на базе межсетевых экранов (МЭ); VPN на базе специализированного программного обеспечения

VPN на базе сетевых ОС Штатные средства ОС Windows NT/2000/XP (протоколы РРTP и IPSec) Недостаток - ошибки и слабые места существующих версий ОС

VPN на базе маршрутизаторов Маршрутизаторы Cisco Systems Совокупность виртуальных защищенных туннелей типа точка-точка от одного мартшутизатора к другому Алгоритм DES Требует значительных вычислительных ресурсов на мартшутизаторе

VPN на базе МЭ Программные продукты компании CheckPoint Software Technologies – CheckPoint Firewall-1 /VPN-1 протокол IPSec, алгоритмы DES, CAST, IDEA, FWZ ФПСУ-IP компании Амикон, DataGuard компании Сигнал-Ком, комплекс МЭ ЗАСТАВА с модулем построения VPN SKIP

VPN на базе МЭ Объединение функций МЭ и VPN шлюза в одной точке под контролем единой системы управления и аудита Недостаток - высокая стоимость в пересчете на одно рабочее место корпоративной сети и достаточно высокие требования к производительности МЭ

VPN на базе СПО криптографический комплекс "Шифратор IP-пакетов" (ШИП) производства МО ПНИЭИ отдельное программно-аппаратное устройство (криптошлюз), которое осуществляет шифрование всего исходящего из локальной сети трафика на базе реализации протокола SKIP

VPN на базе СПО Линейка программных продуктов "Застава" версии 2.5 протокол SKIP1 отсутствие встроенных криптоалгоритмов

VPN на базе СПО Программный комплекс ViPNet компании «Инфотекс» Physical & Data Link Layers FTP IP (Internet Protocol ) TCPUDP Application Layer Transport Layer Network Layer SMTP IP Telephony Драйвер IP-LIR программного комплекса ViPNet резидентно размеща- ется между уровнем IP и физическим сете- вым уровнем, что обеспечивает максимум защиты сетевых ресурсов и передаваемой информации, а также активное сопротивление попыткам разрушить жизнедеятельность сети. ViPNet Isolation Layer S S L Secure Sockets Layer ( IP-LIR driver)

Уровни защищенных каналов ПрикладнойS/MIME /PGP /SHTTP Транспортный (TCP/UDP) SSL /TLS / SOCKS Сетевой (IP)IPSec / SKIP КанальныйPPTP / L2F /L2TP

Защита на транспортном уровне

Протокол SSL (Secure Socket Layer) Netscape Communications, версия 3.0 Протокол TLS (Transport Layer Secur) 1999г., версия 1.0 Независимость от прикладного уровня, чаще всего для HTTP (режим HTTPS)

Протокол SSL Аутентификация сервера (клиента редко) Путем обмена цифровыми сертификатами при установлении сессии Шифрование данных Симметричный сеансовый ключ Обмен симметричными сеансовыми ключами при установлении соединения Сеансовые ключи шифруются при передаче с помощью открытых ключей Целостность данных К сообщению добавляется хеш-код

Этапы установки SSL-соединения Установка стандартного TCP-соединения, порт 443

Этапы установки SSL-соединения Установка стандартного TCP-соединения, порт 443 Сообщение Client-Hello Версия SSL Challenge_Data – случайная последовательность

Этапы установки SSL-соединения Установка стандартного TCP-соединения, порт 443 Сообщение Client-Hello Сообщение Server-Hello Версия SSL Идентификатор соединения Connection_id Список базовых шифров (протоколов) Сертификат сервера (подписанный открытый ключ)

Этапы установки SSL-соединения Установка стандартного TCP-соединения, порт 443 Сообщение Client-Hello Сообщение Server-Hello Сообщение Client_Master_Key Передача симметричного ключа, зашифрованного открытым ключом сервера Только сервер может расшифровать симметричный ключ

Этапы установки SSL-соединения Установка стандартного TCP-соединения, порт 443 Сообщение Client-Hello Сообщение Server-Hello Сообщение Client_Master_Key Сообщение Server-Verify Challenge_Data, зашифрованная симметричным ключом

Этапы установки SSL-соединения Установка стандартного TCP-соединения, порт 443 Сообщение Client-Hello Сообщение Server-Hello Сообщение Client_Master_Key Сообщение Server-Verify Сообщение Client-Finished Идентификатор соединения Connection_id, зашифрованный клиентом

Этапы установки SSL-соединения Установка стандартного TCP-соединения, порт 443 Сообщение Client-Hello Сообщение Server-Hello Сообщение Client_Master_Key Сообщение Server-Verify Сообщение Client-Finished Соединение установлено, сервер проверен

Уровни защищенных каналов ПрикладнойS/MIME /PGP /SHTTP Транспортный (TCP/UDP) SSL /TLS / SOCKS Сетевой (IP)IPSec / SKIP КанальныйPPTP / L2F /L2TP

Защита на прикладном уровне

S-HTTP – Secure HTTP Не требует сертификата открытого ключа Режим операции – шифрование или подписывание Криптографические алгоритмы Сертификаты Аутентификация

Инкапсуляция HTTP Сообщение S-HTTP состоит из: Строки запроса (с указанием версии протокола) Запрос: Secure * Secure-HTTP/1.1 Ответ: Secure-HTTP/ ОК Заголовки RFC-822 Инкапсулированное содержание

ЗАЩИТА СЕТЕВОГО ТРАФИКА С ИСПОЛЬЗОВАНИЕМ ПРОТОКОЛА IPSec В WINDOWS 2000-XP

Возможности IPSec Аутентификация (протокол IKE - Internet Key Exchange) Защита целостности (Заголовок аутентификации AH - Authentication Header) Шифрование (ESP - Encapsulating Security Payload)

Режимы действия IPSec Транспортный режим Туннельный режим

Режимы действия IPSec Транспортный режим Защита соединения между клиентом и сервером Туннельный режим

Режимы действия IPSec Транспортный режим Туннельный режим Защищенное соединение между двумя защищенными шлюзами (МЭ). Пропускается IP-трафик в «IP- туннеле». Сами клиент и сервер могут не использовать IPSec Создание VPN - Виртуальной частной сети

Настройка IPSec

Шаблоны IPSec (политики) Безопасность сервера (требовать безопасность) - нешифрованный трафик не допускается Клиент (Только ответ) - возможен нешифрованный трафик, если сервер его не требует Сервер (запрос безопасности) - возможен нешифрованный трафик, если клиент не поддерживает шифрование

Политики и правила Только одна политика может быть назначена Политика состоит из нескольких правил Правило определяет, какое действие предпринять, если будет найдено соответствие списку фильтров

Правила безопасности

Список фильтров Действие Тип подключения Параметры туннеля Метод проверки подлинности

Список фильтров

Адрес источника Адрес назначения Тип протокола Порт источника Порт приемника

Действие Если найдено соответствие какому-либо фильтру из списка, принимается действие

Действие Разрешить Блокировать Выбрать метод безопасности

Метод безопасности

Тип подключения

Параметры туннеля

Методы проверки подлинности Использование разделяемых ключей Ограниченное число станций Подписывание открытыми/закрытыми ключами при помощи сертификатов Ключи генерируются сервером Протокол Kerberos V5 Домен Windows 2000, клиенты - Windows 2000

Политика IPSec Разрешенные типы сетевого взаимодействия Требуется ли IPSec для соединения тип аутентификации для установки сессии тип шифрования и/или целостности данных Пример: соединение с SQL-сервером должно аутентифицироваться при помощи сертификатов X.509 и должно быть зашифровано с помощью 3-DES

Проверка соединения IPSec - IP Security Monitor (ipsecmon.exe)

Пример Разработать политику для Web-сервера, на котором разрешен трафик на портах TCP/80 и TCP/443 из любой точки

1. Создать действия

2. Создать списки фильтров

3. Создать новую политику

4. Добавить правила и действия

5. Назначить политику

Применение технологии терминального доступа для организации защищенной компьютерной системы

Клиент терминала

Преимущества Вычислительная нагрузка переносится на сервер Рабочие станции – любые ПК, с любой версией Windows Уменьшение нагрузки на сеть Повышенная безопасность Упрощение администрирования

Повышенная безопасность Отсутствие возможности частичного или полного копирования информации на рабочие станции Нет необходимости защищать рабочие станции Отсутствует на сервере служба NetBIOS Единственный дисковод – на сервере Единственный принтер – на сервере Отсутствие вредоносных программ Встроенные средства шифрования трафика

Настройки, запрещающие копирование

Безопасность MSTS Безопасность ОС Windows Server 2003; Безопасность серверной части MSTS; Безопасность протокола терминального доступа RDP; Безопасность клиента терминального доступа.

ОС Windows Server 2003 Возможность сетевого доступа к информации, обрабатываемой на сервере Возможность расширения полномочий при осуществлении локального доступа

ОС Windows Server 2003 Запрет возможности сетевого доступа к информации, обрабатываемой на сервере Запрет сетевых служб, применение МЭ Только TCP 3389 Запрет ICMP «Брандмауэр Windows»

ОС Windows Server 2003 Запрет возможности расширения полномочий при осуществлении локального доступа Включение пользователей в группу «Remote Desktop Users» Запрет доступа для Administrators

Безопасность протокола терминального доступа RDP

Защита в сети

Безопасность клиента терминального доступа Загрузка клиента MSTS из ОС рабочей станции с HDD Загрузка клиента MSTS с бездисковых станций

Аудит безопасности компьютерных систем

Литература Петренко С.А., Петренко А.А. Аудит безопасности Intranet. - М.:ДМК Пресс, с. ГОСТ Р ИСО/МЭК Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий ГОСТ Р ИСО/МЭК Информационная технология. Практические правила управления информационной безопасностью

Аудит безопасности Системный процесс получения объективных качественных и количественных оценок о текущем состоянии информационной безопасности (ИБ) организации в соответствии с определенными критериями и показателями безопасности на всех основных уровнях обеспечения безопасности

Основные уровни обеспечения безопасности нормативно-методологический организационно-управленческий технологический технический

Цель аудита безопасности Объективная оценка уровня защищенности объекта Выработка практических рекомендаций по управлению и обеспечению информационной безопасности организации, адекватных поставленным целям и задачам развития бизнеса

Стандарты оценки и управления ИБ международные стандарты ISO , ISO национальные стандарты BS 7799, BSI иные стандарты COBIT, SAC, COSO и др. Государственный стандарт РФ ГОСТ Р ИСО/МЭК ГОСТ Р ИСО/МЭК

Практические подходы к аудиту ИБ анализ требований к системе ИБ: проверка соблюдения на практике некоторых общих требований обеспечения ИБ инструментальные проверки состояния ИБ организации анализ информационных рисков организации

Выбор показателей эффективности системы ИБ Два способа: определение минимального набора необходимых для защиты информации функций, соответствующих конкретному классу защищенности (РД ГТК РФ) определение профиля защиты, учитывающего особенности решения задач защиты информации на предприятии (ISO 15408, ISO 17799)

Интегрированный подход организационно-правовой аспект, учет технических каналов утечки, анализ систем управления доступом пользователей к СВТ, программно-аппаратная составляющая и т.д.

Инструментальные проверки (ИП) Проверка на соответствие заявленным целям и задачам политики безопасности нижнего технического уровня обеспечения ИБ

Три этапа проведения ИП: Анализ структуры АИС Внутренний аудит Внешний аудит

Этап 1. Анализ структуры АИС

Анализ структуры АИС Анализ и инвентаризация информационных ресурсов: перечень сведений, составляющих коммерческую или служебную тайну; информационные потоки, структура и состав АИС; категорирование ресурсов, подлежащих защите

Инвентаризация сетевых ресурсов IP-адреса сетевых узлов и подсетей; открытые TCP- и UDP-порты на обнаруженных узлах; версии ОС и сетевых сервисов, работающих на обнаруженных сетевых узлах

Сканер nmap

Утилита netstat -aon

НаименованиеВыводимые результаты Обследуемый сегмент сети Сканируемый диапазон IP-адресов Характер обнаруженных узлов в сегменте Рабочие станции, Web-серверы, контроллеры домена и т.п. Возможность идентификации сетевых узлов Результаты использования Ping – разведки Результаты, полученные с использованием других ICMP сообщений Результаты, полученные при использовании переноса зоны DNS Выявленные узлыIPНазначени е узла Тип и версия ОС Представленные сетевые сервисы и их версии, открытые порты Карта сетевого сегмента и его подключения к другим сетям Карта сети в графическом или табличном варианте

Карта сети (программа NetCrunch)

Этап 2. Внутренний аудит

Внутренний аудит АИС Средства защиты ПК возможность отключения программно- аппаратных систем защиты при физическом доступе к выключенным станциям; использование и надежность встроенных средств парольной защиты BIOS Состояние антивирусной защиты наличие в АИС вредоносных программ, возможность их внедрения через машинные носители, сеть Интернет

Внутренний аудит АИС Настройки операционных систем наличие требуемых настроек безопасности, специфичных для различных ОС Парольная защита в ОС получение файлов с зашифрованными паролями и их последующего дешифрования; подключение с пустыми паролями, подбор паролей, в том числе, по сети

Внутренний аудит АИС Система разграничения доступа пользователей АИС к её ресурсам формирование матрицы доступа; анализ дублирования и избыточности в предоставлении прав доступа; определение наиболее осведомленных пользователей и уровней защищенности конкретных ресурсов; оптимальность формирования рабочих групп

Внутренний аудит АИС Сетевая инфраструктура возможность подключения к сетевому оборудованию для получения конфиденциальной информации путем перехвата и анализа сетевого трафика; настройки сетевых протоколов и служб Аудит событий безопасности настройка и реализация политики аудита

Внутренний аудит АИС Прикладное программное обеспечение надежность элементов защиты используемых АРМ; возможные каналы утечки информации; анализ версий используемого программного обеспечения на наличие уязвимых мест

Внутренний аудит АИС Системы защиты информации надежность и функциональность используемых СЗИ; наличие уязвимых мест в защите; настройка СЗИ

Этап 3. Внешний аудит

Средства активного аудита Выявление уязвимостей в ПО сетевых узлов с применением сканеров безопасности Internet Scanner, System Security Scanner компания Internet Security Systems NetRecon компании Symantec Enterprise Security Manager компании Symantec Cisco Secrure Scanner (NetSonar) Nessus LanGuard Security Scanner XSpider

Средства активного аудита определение уязвимых мест в средствах защиты моделирование известных методов, используемых для несанкционированного проникновения в КС база данных, информация о вариантах взлома сети результат - отчет о найденных уязвимостях и перечень мер защиты

Средства активного аудита Недостатки: необходимы, но недостаточны для качественного исследования состояния ИБ только технический уровень, нет оценки общего уровня ИБ.

Использование сканера безопасности Nessus

Результаты сканирования

IP-адрес: Степень опасности: критическая Идентификация уязвимости: CVE: CVE , CVE , CVE BID: 8458, 8460 IAVA: 2003-A-0012 Краткий обзор: Существует возможность удаленного выполнения произвольного программного кода на данном сетевом узле Описание: На узле установлена операционная система Windows, имеющая уязвимость в реализации одного из программных модулей. При наличии доступа злоумышленника к данному узлу по сети существует возможность запуска на нем произвольного программного кода с максимальными полномочиями (полный контроль над узлом). Меры по устранению: Требуется перенастройка операционной системы и/или установка обновлений безопасности. Подробная информация может быть получена с официального Web-сайта Microsoft:

Внешний аудит АИС Получение данных о внутренней структуре АИС наличие на Web- узлах информации конфиденциального характера; выявление настроек DNS- сервера и почтового сервера, позволяющих получить информацию о внутренней структуре АИС

Внешний аудит АИС Выявление компьютеров, подключенных к сети и достижимых из Интернет сканирование портов по протоколам ICMP, TCP, UDP; определение доступности информации об используемом в АИС программном обеспечении и его версиях; выявление активных сетевых служб; определение типа и версии ОС, сетевых приложений и служб

Внешний аудит АИС Получение информации об учетных записях, зарегистрированных в АИС применение утилит, специфичных для конкретной ОС Подключение к доступным сетевым ресурсам определение наличия доступных сетевых ресурсов и возможности подключения к ним

Внешний аудит АИС Атаки на межсетевые экраны определение типа МЭ и ОС путем сканирования портов; использование известных уязвимостей в программном обеспечении МЭ; выявление неверной конфигурации МЭ

Внешний аудит АИС Атаки на сетевые приложения анализ защищенности Web- серверов, тестирование стойкости систем удаленного управления, анализ возможности проникновения через имеющиеся модемные соединения Атаки типа «Отказ в обслуживании» выявление версий ОС и сетевых приложений, подверженных таким атакам

Результат тестирования - экспертное заключение (Акт проверки защищенности АИС от НСД) реальное состояние защищенности АИС от внутренних и внешних угроз, перечень найденных изъянов в настройках систем безопасности рекомендации по повышению степени защищенности АИС

Анализ информационных рисков организации определение, что именно подлежит защите построение перечня угроз анализ способов защиты определение вероятности угроз оценка ущерба в случае реализации атак