Инструменты безопасности в сети

 

 

 

 

Содержание:

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Введение

 

Когда в лесу падает дерево и никого нет поблизости, в любом случае раздается громкий  треск. Однако если компьютерная сеть содержит изъян в системе защиты и никому об этом неизвестно, то на первый взгляд кажется, что такую сеть можно считать надежной. Лишь самый большой идеалист может поспорить с этим утверждением, однако очень скоро вы увидите, что все далеко не так очевидно.

 Сеть с изъяном в  подсистеме зашиты оказывается  незащищенной для тех, кому  известно об этой бреши. Если  о ней не знает никто, т.е. изъян до настоящего момента еще не был обнаружен, то можно считать, что сеть в безопасности. Если хотя бы один человек узнает об этом слабом месте, то сеть станет для него уязвимой, однако она по-прежнему будет защищенной от всех остальных. Если же о недостатке станет известно производителю оборудования... Если специалисты какой-либо исследовательской группы узнают об этом... Если эта информация попадет в руки сообщества хакеров... В любой из этих ситуаций незащищенность сети возрастет во много раз и эта новость мгновенно станет всеобщим достоянием.

 Так ли это на  самом деле? Изъян существует  независимо от того, известно  о нем кому-либо или нет.  Опубликование материалов на  этот счет напрямую не приводит  к незащищенности сети. Подобное утверждение может сбить с толку. Публикация материалов повышает вероятность того, что взломщик воспользуется этим слабым местом, однако это никак не характеризует сам изъян. В то же время информационные сообщения увеличивают и вероятность того, что будут предприняты соответствующие контрмеры. Точно так же, как злоумышленник не сможет воспользоваться неизвестным изъяном, так и защитить сеть нельзя будет до тех пор, пока о ее слабом месте не станет известно.

 Так что сохранение  информации об обнаруженном изъяне в секрете является далеко не лучшим способом борьбы с ним. Такой подход оказывается полезным лишь до того момента, пока этот секрет таковым и будет оставаться. Однако все, что связано с информацией, приводит к ее распространению. Одни разглашают секреты случайно. Другие — с определенными целями. Иногда секреты попадают в руки третьих лиц. Однако как только эта информация перестала быть секретной, ее уже никогда не удастся спрятать.

 Процесс обеспечения  безопасности, при котором полученные  данные без ограничения предоставляются широкой общественности, оказывается наиболее робастным. Конечно, взломщики тоже узнают об этом, однако они смогут получить требуемую информацию и в любом другом случае. Что более существенно, важные данные станут доступны и специалистам, разрабатывающим системы защиты, производителям программного и аппаратного обеспечения, которые смогут устранить обнаруженные изъяны и выпустить соответствующие модули обновления, и системным администраторам, которые смогут принять требуемые контрмеры. Чем больше людей знают об изъяне, тем больше повышается вероятность его устранения. Настроив себя на предоставление информации, а не на ее сокрытие, вы способствуете повышению уровня защищенности, а не его понижению.

 

Глава I Администрирование сети

1.1 Общие понятия администрирования сети.

 

Информационная  система — взаимосвязанная совокупность технических и программных средств, методов и персонала, используемых для сбора, обработки, хранения, и выдачи информации для управления организацией в интересах достижения поставленной цели.

Управление (администрирование) информационной системы – это  функция обеспечивающая целостность и работоспособность системы при условии сохранения требуемой функциональности и структуры.

Различают два  вида управления информационной системы:

  • управление деловыми процессами функционирования  ИС (деловое администрирование);
  • управление техническими аспектами функционирования ИС (техническое администрирование).

Техническое администрирование  ИС — это планирование, проектирование, развертывание (установка или инсталляция) и обслуживание информационной системы c целью обеспечения целостности и надежность функционирования.

Администратор ИС (Administrator) - должностное  лицо,  ответственное  за работоспособность  и надлежащее функционирование всех частей ИВС. У администратора большой ИВС в подчинении могут находиться администраторы частей и подсистем ИВС- например администратор локально-вычислительной  сети, администратор сетевой ОС, администратор БД, а также другой технический  персонал.  Администратор подсистемы ИВС отвечает за работоспособность и надлежащее  функционирование  вверенных  ему компонентов этой подсистемы ИВС.

Пользователь  ИС (User) - физическое лицо, имеющее доступ к определенным ресурсам ИВС. идентифицируемое бюджетом пользователя (учетной записью).  Администратор ИВС также является пользователем ИВС,  обладая, в общем случае, неограниченным доступом ко всем ресурсам ИВС.

Современные информационные системы по своей природе всегда являются распределенными системами. Рабочие станции пользователей, серверы приложений, серверы баз данных и прочие сетевые узлы распределены по большой территории. В крупной компании офисы и площадки соединены различными видами коммуникаций, использующих различные технологии и сетевые устройства.

Цели администрирования  ИС

  • поддержание информационной системы в работоспособном состоянии, обеспечивающем выполнение организацией своей целевой функции;
  • обеспечение соблюдения правил безопасного использования ресурсов ИС  пользователями системы.

 

2.2 Успешное администрирование

 

Ниже  приводятся основные функции, выполнение которых поможет администратору успешно достигнуть названных выше целей администрирования:

1. Обнаружение неисправности интерфейсной карты хоста или маршрутизатора. С помощью соответствующих инструментов сетевого управления сетевой объект (например, маршрутизатор А) может сообщить сетевому администратору о том, что один из его интерфейсов вышел из строя. (Разумеется, это предпочтительнее телефонного звонка в сетевой операционный центр от разгневанного пользователя, сообщающего о том, что сетевое соединение не работает!) Сетевой администратор, активно отслеживающий и анализирующий сетевой трафик, может обнаружить неисправность интерфейсной карты и заменить ее еще до того, как она окончательно выйдет из строя. Так, например, сетевой администратор может заметить увеличение ошибок контрольной суммы в кадрах, посылаемых «помирающим» интерфейсом.

2. Мониторинг хостов. Сетевой администратор может периодически проверять состояние подключенных к сети хостов. И в этом случае он может обнаружить проблему прежде, чем она станет заметна пользователю.

3. Мониторинг трафика с целью контроля за распределением ресурсов. Сетевой администратор может отслеживать рисунок сетевого трафика и заметить, например, что трафик, пересекающий множество локальных сетей, может быть существенно снижен, если соединить определенные серверы напрямую. Представьте, как обрадуются пользователи сетей (особенно руководители высшего звена), если увеличения производительности удастся добиться без дополнительных капиталовложений. Аналогично, отслеживая коэффициент использования линий, сетевой администратор может определить наличие перегрузки в сегменте локальной сети или канале связи с внешним миром, в связи с чем потребуется установить линию с большей пропускной способностью (увы, дополнительные расходы). Сетевой администратор также может настроить программу мониторинга, чтобы та автоматически уведомляла его о превышении определенного уровня загрузки линий — это даст возможность заранее подготовиться к высоким уровням загрузки и предотвратить серьезную перегрузку.

4. Обнаружение быстрых изменений в таблицах маршрутизации. Частые изменения в таблицах маршрутизации указывают на нестабильность маршрутов или на неверно настроенный маршрутизатор. Разумеется, сетевой администратор предпочтет сам обнаружить ошибку, прежде чем сеть окажется неработоспособной.

5. Мониторинг уровней обслуживания. За последние несколько лет, с появлением соглашений об уровне обслуживания (Service Level Agreement, SLA), определяющих специфические параметры производительности и соответствующие им приемлемые показатели работы сети, заинтересованность в отслеживании трафика существенно возросла . UUNet и AT&T — это всего лишь два из множества провайдеров, предоставляющих гарантии соблюдения соглашений SLA своим клиентам . Эти соглашения включают параметры доступности службы, задержки, пропускной способности и требования к уведомлению о простоях. Очевидно, что если критерии производительности должны входить в соглашение об обслуживании между сетевым провайдером и его клиентами, тогда измерение и контроль производительности являются важной задачей сетевого администратора.

6. Обнаружение вторжения. Возможно, сетевой администратор хотел бы знать о случаях поступления сетевого трафика от подозрительного источника (например, хоста или номера порта) или к подозрительному получателю. Кроме того, сетевой администратор, возможно, хотел бы иметь возможность обнаруживать (и во многих случаях фильтровать) определенные типы трафика (например, пакеты с маршрутизацией от источника или большое количество SYN-пакетов, направляющихся к определенному хосту), которые могут быть признаками атак на систему безопасности .

7. Контроль производительности. Цель контроля производительности заключается в том, чтобы измерить производительность, сообщить о ней, проанализировать полученные данные и предпринять необходимые действия по поддержанию определенного уровня производительности (например, коэффициента использования или пропускной способности) в различных сетевых компонентах. Этими компонентами могут быть конкретные устройства (например, линии связи, маршрутизаторы, хосты) или абстракции (например, сетевые маршруты). Вскоре мы увидим, что центральную роль в управлении производительностью в Интернете играют стандарты протоколов (см. RFC 2570), таких как SNMP (Simple Network Management Protocol — простой протокол сетевого администрирования).

8. Контроль неисправностей. Цель контроля неисправностей заключается в обнаружении неисправностей, их регистрации и принятия соответствующих ответных мер. Связь между контролем неисправностей и контролем производительности довольно расплывчата. Мы можем думать о контроле неисправностей как о немедленном исправлении неустойчивых сетевых поломок (например, аппаратных или программных сбоев линии связи, хоста или маршрутизатора), тогда как задача контроля производительности состоит в долгосрочном обеспечении приемлемых уровней производительности, несмотря на изменяющиеся требования трафика и выход из строя сетевых устройств. Как и в контроле производительности, в контроле неисправностей центральную роль играет протокол SNMP.

9. Управление конфигурацией. Управление конфигурацией позволяет сетевому администратору определить, какие устройства входят в администрируемую сеть, а также аппаратную и программную конфигурацию этих устройств. Обсуждение управления конфигурацией и требования к IP-сетям можно найти в RFC 3139.

10. Управление учетными записями. Управление учетными записями позволяет сетевому администратору указать правила доступа пользователя или устройства к сетевым ресурсам, регистрировать запросы доступа, а также контролировать доступ. К управлению учетными записями также относятся квоты пользователей, взимание с пользователей платы, объем которой определяется используемыми ими ресурсами, а также предоставление пользователям привилегий на доступ к ресурсам.

11. Управление безопасностью. Цель управления безопасностью заключается в контроле доступа к сетевым ресурсам в соответствии с некоторой политикой. Компонентами управления безопасностью являются центры распределения ключей и сертификационные центры, рассматривавшиеся в разделе «Передача ключей и сертификация». Для мониторинга и контроля доступа к сетевым ресурсам извне используются брандмауэры, обсуждавшиеся в разделе «Управление доступом с помощью брандмауэров»..

                           Организации процесса администрирования.

Во-первых, все  аспекты деятельности всех администраторов  должны быть обеспечены нормативными и методическими документами. Кроме  того, как показывает опыт, наличие типовых инструкций позволяет четче и слаженней действовать в нестандартных ситуациях. Состав пакета нормативных документов может быть примерно следующим:

  1. Положение о локальной сети компании.
  2. Инструкция администратору серверов.
  3. Инструкция администратору баз данных.
  4. Инструкция пользователю.
  5. Инструкция администратору информационной безопасности.
  6. Инструкция аудитору.
  7. Процедура оформления доступа к ресурсам.
      1. Инструкция по резервному копированию и восстановлению информации.
  1. Инструкция по антивирусной безопасности.
  2. Инструкция о парольной защите.

Как правило, непосредственно  процесс администрирования должен осуществляться со специальных административных станций, выделенных в логический (или  физический) сегмент. Такой подход решит  многие проблемы с безопасностью: перехват парольной и другой важной управляющей информации при передаче ее по сети или вводе с клавиатуры, заражение вирусами. Вполне естественным желанием администратора является желание избавить себя от лишних забот, проведя максимальную автоматизацию рутинных процедур. Многие разрабатывают с этой целью небольшие утилиты и скрипты. Однако на рынке представлено достаточно большое количество специализированных средств, позволяющих перевести труд администраторов на качественно новый уровень и унифицировать управление разнородными системами. Это такие средства как ManageWise, ZenWorks, HP OpenView и др.

 

 

 

1.3 Администратор защиты

 

Администратор защиты (Security administrator) — это субъект  доступа, ответственный за защиту автоматизированной системы от несанкционированного доступа к информации.

Администратор защиты —  сотрудник, должностные обязанности  которого подразумевают обеспечение  штатной работы парка компьютерной техники, сети и программного обеспечения  в организации.

Администраторы защиты — это основные люди, которые противостоят атакам взломщиков и позволяют безопасно общаться внутри инфраструктуры компании, а также за ее пределами. По сути, администратор защиты — тоже в какой-то мере компьютерный взломщик, так как он должен знать все те приемы взлома и обхода защиты (например, брандмауэра), которые применяют взломщики. Однако в большинстве организаций, в обязанности администратора защиты входит не только слежение за сетевой безопасностью организации, а также и другие сопутствующие проблемы: борьба с вирусами, настройка пользовательского программного обеспечения и прочее. Занимается администратор безопасности, соответственно, проблемами информационной безопасности. Работает, как правило, в аутсорсинговой компании либо крупной компании, корпорации. Особенно хорошо разбирается протоколах шифрования и аутентификации и их практическом применении (VPN, RADIUS, SSL, IPsec, RAS), планировании PKI, системах контроля доступа (брандмауэры, прокси-сервера, смарт-карты, CheckPoint, SecurID), инцидентном анализе, резервном копировании. Занимается документированием политик безопасности, регламентов и положений об информационных ресурсах.

В круг типовых задач администратора защиты обычно входит:

  • поддержание системы в рамках выбранной политики безопасности;
  • обеспечение должного уровня конфиденциальности и целостности данных;
  • подготовка и сохранение резервных копий данных, их периодическая проверка и уничтожение;
  • создание и поддержание в актуальном состоянии пользовательских учётных записей;
  • ответственность за информационную безопасность в компании;
  • отслеживание информации об уязвимостях системы и своевременное принятие мер;
  • периодическое практическое тестирование защищенности системы;
  • документирование своей работы;
  • устранение неполадок в системе.

 

Специфика работы администратора по безопасности

Чем занимается администратор по безопасности? Настраивает  механизмы защиты ОС и СУБД, конфигурирует  межсетевые экраны, средства обнаружения  атак, предоставляет пользователям  права на доступ к ресурсам сети и к базам данных, анализирует журналы регистрации ОС и средств защиты информации.

В крупной информационной системе функционирует большое  число компьютеров: рабочие станции, файловые серверы, серверы баз данных и приложений. Часто корпоративная  сеть является гетерогенной, а стало быть, в разных операционных системах и СУБД механизмы защиты настраиваются по-разному. Поэтому назначение прав доступа сотрудников к корпоративным ресурсам и контроль за их соблюдением в гетерогенных системах — задача трудоемкая и нетривиальная.

Для того чтобы  выявить попытки несанкционированных  действий, необходимо просмотреть все  журналы регистрации ОС, СУБД и  брандмауэров. В то же время в  силу различного именования пользователей  и различной степени подробности  регистрируемых событий в разных системах получить представление о реальных действиях сотрудника затруднительно.

 

Глава II Безопасное администрирование и средства защиты информации

2.1 Администрирование  средств безопасности

 

Администрирование средств безопасности включает в  себя распространение информации, необходимой для работы сервисов и механизмов безопасности, а также сбор и анализ информации об их функционировании. Примерами могут служить распространение криптографических ключей, установка значений параметров защиты, ведение регистрационного журнала и т.п.

 Концептуальной  основой администрирования является  информационная база управления  безопасностью. База может не  существовать как единое (распределенное) хранилище, но каждая из оконечных  систем должна располагать информацией, необходимой для реализации избранной политики безопасности.

 Согласно  рекомендациям X.800, усилия администратора  средств безопасности должны  распределяться по трем направлениям: администрирование информационной  системы в целом; администрирование  сервисов безопасности; администрирование механизмов безопасности.

 Среди действий, отметим обеспечение актуальности  политики безопасности, взаимодействие  с другими административными  службами, реагирование на происходящие  события, аудит и безопасное  восстановление.

 Администрирование  сервисов безопасности включает  в себя определение защищаемых  объектов, выработку правил подбора  механизмов безопасности (при наличии  альтернатив), комбинирование механизмов  для реализации сервисов, взаимодействие  с другими администраторами для обеспечения согласованной работы.

 Обязанности  администратора механизмов безопасности  определяются перечнем задействованных  механизмов. Типичный список таков: 

    • управление ключами (генерация и распределение);
    • управление шифрованием (установка и синхронизация криптопараметров);
    • администрирование управления доступом (распределение информации, необходимой для управления – паролей, списков доступа и т.п.);
    • управление аутентификацией (распределение информации, необходимой для аутентификации – паролей, ключей и т.п.);
    • управление дополнением трафика (выработка и поддержание правил, задающих характеристики дополняющих сообщений – частоту отправки, размер и т.п.);
    • управление маршрутизацией (выделение доверенных путей);
    • управление нотаризацией (распространение информации о нотариальных службах, администрирование этих служб).

Т.о. администрирование  средств безопасности в распределенной ИС имеет много особенностей по сравнению  с централизованными системами.

Различают 4 уровня защиты информации:

  • предотвращение — доступ к информации и технологии только для персонала, который имеет допуск от собственника информации;
  • обнаружение — обеспечивается раннее обнаружение преступлений и злоупотреблений, даже если механизмы защиты были обойдены;
  • ограничение — уменьшается размер потерь, если преступление все-таки произошло, несмотря на меры по его предотвращению и обнаружению;
  • восстановление — обеспечивается эффективное восстановление информации при наличии документированных и проверенных планов по восстановлению.

Вчера контроль защиты информации был заботой технических администраторов. Сегодня контроль информации стал обязанностью каждого пользователя. Это требует от пользователя новых знаний и навыков. Так, например, хороший контроль над информацией требует понимания возможностей совершения компьютерных преступлений и злоупотреблений, чтобы можно было в дальнейшем предпринять контрмеры против них.

Люди совершают компьютерные преступления по разным причинам: из-за лично или финансовой выгоды, развлечений, мести, случайности, вандализма.

Но значительно больший  ущерб (около 60% всех потерь) наносят  не умышленные преступления, а ошибки людей. Предотвращение компьютерных потерь, как умышленных преступлений, так  и из-за неумышленных ошибок требует  знаний в области безопасности.

 

 

 

 

2.2 Признаки  компьютерных преступлений и  меры защиты от них

 

Для уменьшения ущерба от компьютерного преступления очень важно своевременно

его обнаружить. Для того, чтобы обнаружить компьютерное преступление или уязвимые места  в системе информационной безопасности следует обращать внимание на:

  • несанкционированные попытки доступа к файлам данных;
  • кражи частей компьютером;
  • кражи программ;
  • физическое разрушение оборудование;
  • уничтожение данных или программ.

В то время как  признаки могут помочь выявить преступление или злоупотребление, меры защиты могут помочь предотвратить его.

Меры защиты - это меры, вводимые для обеспечения  безопасности информации; административные руководящие документы (приказы, положения, инструкции), аппаратные устройства или  дополнительные программы, основной целью которых является предотвращение преступления и злоупотреблений, не позволяющее им произойти. Меры защиты могут также выполнять функцию ограничения, уменьшая размер ущерба от преступления.

Некоторые технологии по защите информации могут быть встроены в сам компьютер, другие могут быть встроены в программы, некоторые же выполняются людьми и являются реализацией указаний руководства, содержащихся в соответствующих руководящих документах.

Принятие решения  о выборе уровня сложности технологий для защиты системы требует установления критичности информации и последующего определения адекватного уровня безопасности. Под критическими данными понимаются данные, которые требуют защиты из-за вероятности нанесения (риска) ущерба и его величины в том случае, если произойдет случайное или умышленное раскрытие, изменение или разрушение данных. Этот термин включает в себя данные, чье неправильное использование или раскрытие может отрицательно отразиться на способности организации решать свои задачи, на персональных данных и других данных, защита которых требуется указами Президента РФ, законами РФ и другими подзаконными документами.

Технологии  компьютерных преступлений и злоупотреблений

Чтобы предупреждать  и своевременно раскрывать компьютерные преступления, необходимо представлять способы и средства их совершения. Анализ зарубежных и отечественных отчетов о выявленных компьютерных преступлениях позволяет описать технологии их совершения. Лишь немногие включают разрушение компьютеров данных. Только в 3% мошенничеств и 8% злоупотреблений происходило специальное разрушение оборудования, уничтожение программ или данных. В большей часта случаев мошенничеств и злоупотреблений использовалась информация — ею манипулировали, ее создавали, ее использовали.

Освоение технологии, использовавшиеся при совершении компьютерных преступлений:

Мошенничества

  1. Ввод неавторизованной информации (Авторизация – предоставление определенных полномочий лицу (группе лиц) на выполнение некоторых действий в системе обработки данных).
  2. Манипуляция разрешенной для ввода информацией.
  3. Манипуляции или неправильное использование файлов с информацией.
  4. Создание неавторизованных файлов с информацией.
  5. Обход внутренних мер защиты.

Злоупотребления

  1. Кража компьютерного времени, программ, информации и оборудования.
  2. Ввод неавторизованной информации.
  3. Создание неавторизованных файлов с информацией.
  4. Разработка компьютерных программ для неслужебного использования.
  5. Манипулирование или неправильное использование возможностей по проведению работ на компьютерах.

 

Основными методами совершения преступления являются:

1. Надувательство  с данными является самым распространенным  методом при совершении компьютерных  преступлений, так как он не  требует технических знаний и  относительно безопасен. Информация  меняется в процессе ее ввода в компьютер или во время вывода. Например, при вводе документы могут быть заменены фальшивыми, вместо рабочих дискет подсунуты чужие, и данные могут быть сфальсифицированы.

2. Сканирование  является распространенным методом  получения информации, который может привести к преступлению. Служащие, читающие файлы других, могут обнаружить там персональную информацию о своих коллегах. Информация, позволяющая получить доступ к компьютерным файлам или изменить их, может быть найдена после просмотра мусорных корзин. Дискеты, оставленные на столе, могут быть прочитаны, скопированы или украдены. Существуют сканирующие программы, которые могут, просматривая лишь остаточную информацию, оставшуюся на компьютере или на носителе информации после выполнения сотрудником задания и удаления файлов, получать эту информацию в более полном виде.

3. Метод "троянский  конь" предполагает, что пользователь  не заметил изменения компьютерной  программы таким образом, что  та включает в себя дополнительные  функции. Программа, выполняющая полезные функции, пишется таким образом, что содержит дополнительные скрытые функции, которые будут использовать особенности механизмов защиты системы (возможности пользователя, запустившего программу, по доступу к файлам).

Инструменты безопасности в сети