Обеспечение безопасности в корпоративных компьютерных сетях

Кирилл Грошенков

Корпоративные сети и связанные с ними угрозы

Образ врага

Стратегия обороны

Начальник всегда прав

Железный занавес

Дипкурьеры

Контрразведка

Корпоративные сети и связанные с ними угрозы

Сегодня уже невозможно представить себе серьезную компанию, не использующую в своей работе современные информационные технологии для ведения бизнеса. Одной из непременных составляющих данных технологий является объединение вычислительных ресурсов компании в единую распределенную корпоративную сеть. Распределенность корпоративной сети означает, что сеть не ограничивается рамками одного офисного здания, а объединяет множество сетей такого типа, называемых локальными вычислительными сетями и расположенных в нескольких зданиях, а возможно, и в разных городах и странах. Объединение производится на основе как выделенных, так и общедоступных каналов связи, причем к числу последних, как правило, относится Интернет. И даже если корпоративная сеть компании не использует Интернет в качестве транспорта, тем не менее наличие доступа сотрудников к Интернету является существенной частью бизнеса компании.

Если проследить динамику публикаций об использовании корпоративных сетей и Интернета в бизнесе, окажется, что авторы большинства из них не обходятся без обсуждения проблем, связанных с безопасностью. Понятия «атака на Интернет», «взлом сайта», «вирусная атака» и т.п. постоянно появляются и в популярных статьях, и в специализированных исследованиях, относящихся к корпоративным сетям и Интернету. Как ни печально, это вполне адекватно отражает реальность. Немыслимый всего лишь десять лет назад уровень возможностей и предоставляемых услуг не мог не привести к появлению столь же немыслимых ранее угроз. И хотя зачастую в коллективном сознании складывается ужасающая картина, весьма далекая (пока!) от реальной жизни — вроде атаки компьютерных вирусов на бытовую технику, не следует недооценивать угрозы и риски, связанные с совместным использованием корпоративных сетей и Интернета. Если у вас есть что-то ценное, что вы храните и передаете с помощью корпоративной сети, имеющей выход в Интернет, то вы автоматически становитесь мишенью, потенциальной жертвой для тех, кому либо нужна ваша информация, либо неудобна ваша деятельность, либо просто не нравится, что у вас все хорошо и что ваш бизнес динамично развивается.

В начало В начало

Образ врага

Так каким же, в общем и целом, может быть злодей, поставивший перед собой задачу тем или иным способом навредить вам? С точки зрения преследуемых целей нарушителей можно разделить на две категории: враг и террорист.

Враг каким-либо образом заинтересован в чем-то, связанным лично с вами или с вашим бизнесом. Многое в образе врага зависит от того, что, собственно, вы собой представляете. Компьютерный мир в данном случае (как и во многих других) является лишь отражением реальной жизни. Выражение «скажи мне, кто твой враг, и я скажу, кто ты» верно и в этой ситуации. Ваше существенное преимущество в защите от врагов состоит в том, что вы их чаще всего знаете и знаете, что именно им от вас нужно. Скорее всего, это либо какая-то конфиденциальная информация, размещенная на компьютерах вашей корпоративной сети, либо определенные услуги, предоставляемые вами и по тем или иным причинам не устраивающие ваших врагов.

Но, как и в обычной жизни, есть совершенно другой тип потенциальных нарушителей, никак не связанных с вами и не заинтересованных ни в чем, что принадлежит конкретно вам. Подобного рода террористам важен сам факт нанесения ущерба. Вам или кому-то другому — не имеет значения. Главное для них — размер ущерба, количество жертв и, конечно же, всеобщее внимание. Соответственно, чем успешнее ваш бизнес и чем известнее ваша компания, тем более желанной целью являетесь вы для компьютерных террористов.

Кроме того, можно выделить два типа потенциальных нарушителей, исходя из их расположения относительно ваших компьютерных ресурсов. Это может быть человек извне или человек изнутри.

Человек извне не является легальным пользователем ваших компьютерных ресурсов. Когда он решит нанести вам ущерб или получить конфиденциальную информацию, то ему придется сначала проникать через ваши оборонительные заграждения, если таковые имеются. Адекватные меры защиты можно организовать на основе предполагаемых возможностей нарушителей такого рода.

Человек изнутри является полностью легальным пользователем ваших ресурсов. Возможно, он даже имеет доступ к конфиденциальной информации. И ничто не помешает ему сделать с этой информацией то, что он посчитает нужным. Такого рода нарушители являются наиболее опасными, поскольку любая защита от них противоречит самой сути функционирования корпоративной компьютерной сети как средства предоставления некоторых услуг легальным пользователям. Следует признать, что с помощью средств программного или аппаратного обеспечения невозможно осуществить эффективную защиту от подобных злоумышленников. И здесь возможны только административные меры.

Любой нарушитель преследует цель нанести тем или иным образом ущерб вашим информационным ресурсам. Сделать это можно многими способами. Приведем основные.

Наиболее распространенными у нарушителей являются так называемые атаки отказа в обслуживании1. Реализация этих атак имеет смысл в том случае, если наличествует некоторый публично доступный сервис (например, Web-сайт) или услуга, предоставляемая средствами вашей компьютерной сети. Суть подобных атак состоит в том, что с помощью различных действий сервис блокируется и становится невозможным воспользоваться услугой или сервисом. Простейшим действием для такого блокирования являются массированные фиктивные запросы к сервису или к услуге, вследствие чего основное время сервис тратит на обработку фиктивных запросов и не в состоянии обработать запросы легальных пользователей.

Целью нарушителя может быть хищение конфиденциальной информации. Для реализации хищения нарушитель может использовать слабые места в системе защиты конфиденциальной информации для получения прав легального пользователя. Делаться это может, в частности, посредством подбора паролей пользователей.

Очень часто нарушители пытаются установить контроль над некоторыми компьютерами с целью их дальнейшего использования для атаки на другие компьютеры и сети. В этом случае страдает, как минимум, ваша репутация, так как фактически для третьей стороны источником неприятностей будете именно вы. Если, конечно, не удастся доказать, что и ваши компьютеры подверглись атаке.

В начало В начало

Стратегия обороны

Что же нужно делать, чтобы защититься от враждебных действий разного рода недоброжелателей? Одно можно сказать точно: как и в подавляющем большинстве других областей человеческой деятельности, никаких универсальных рецептов, никакой панацеи не существует. В каждом конкретном случае, четко определив, что именно нужно защищать и от кого, можно выработать некоторый набор мер, уменьшающих риски, связанные с угрозами враждебных действий. Гарантированно защититься от чего-либо нельзя. Понять это — значит очень существенно увеличить свои шансы на успешную оборону. Излишняя уверенность в собственных силах на войне всегда приводит к поражению.

Способы защиты и применяемые при этом средства в значительной степени зависят от объекта защиты и от возможной угрозы. Соответственно первым шагом в построении системы защиты информации является определение перечня защищаемых ресурсов. Это могут быть отдельные рабочие станции, серверы, определенные файлы на серверах или рабочих станциях, сервисы, предоставляемые отдельными серверами, а также целые сегменты сети. Оптимально, если проект самой корпоративной сети строится параллельно проектированию систем обеспечения безопасности. В этом случае удается избежать ситуации, когда реализация необходимых требований безопасности становится невозможной.

Для того чтобы сформулировать, от чего следует защищать выделенные ресурсы, необходимо установить, что является нарушением безопасности для выделенных ресурсов, а что — их легальным использованием, то есть определить так называемые политики безопасности. Этот шаг представляется очень важным в выработке программы действий по реализации системы защиты информации. Нечетко или неполно сформулированные политики безопасности могут привести к грубым ошибкам в проектировании различных компонентов обеспечения безопасности. Далее нужно определить образ действий возможного злоумышленника. В частности, на основании вышеизложенной классификации типов потенциальных нарушителей предугадать их возможные цели и применяемые ими средства. Только после всего этого можно непосредственно приступать к проектированию и внедрению системы обеспечения безопасности корпоративной сети.

Ниже мы рассмотрим три аспекта реализации политик безопасности в корпоративной компьютерной сети, имеющей выход в Интернет. Во-первых, действия административного порядка, во-вторых, средства обеспечения защиты шлюза между корпоративной сетью и Интернетом — так называемые межсетевые экраны — и, в-третьих, средства для защищенного обмена данными между сегментами корпоративной сети с помощью общедоступных каналов связи (Интернета) — виртуальные частные сети.

В начало В начало

Начальник всегда прав

К сожалению, элементарные административные действия по реализации политики безопасности порой недооцениваются, хотя, являясь самыми дешевыми и легко реализуемыми, такие меры могут полностью решить задачу защиты информации либо существенно сузить круг задач, для решения которых необходимо закупать дорогостоящее оборудование и нанимать высококвалифицированный персонал.

Например, для предотвращения хищения конфиденциальной информации в компании, активно использующей в своем бизнесе Интернет, можно потратить массу средств на проектирование и развертывание вычислительной сети с надежно защищенным шлюзом в Интернете, так что практически исключается возможность передачи конфиденциальной информации через шлюз. Но уповать только на это — несерьезно, поскольку ничто не помешает сотруднику, имеющему доступ к конфиденциальной информации, унести дискету с такого рода информацией домой и передать ее непосредственно вашим недоброжелателям. Также никакое самое совершенное техническое решение не спасет вашу сеть, если пользователи и даже системные администраторы выбирают для своих учетных записей пароли вроде «111111» или «1234567». Будьте уверены, когда очередной потенциальный нарушитель начнет пытаться угадывать пароль администратора вашего сервера баз данных, подобные пароли он опробует в первую очередь.

Приведенные примеры достаточно точно описывают общую картину. Административные действия, которые необходимо предпринять для реализации принятых политик безопасности, по сути можно свести к решению двух задач: во-первых, следует свести к минимуму возможность нарушения политик безопасности с помощью любых средств, не связанных непосредственно с использованием компьютеров (например, физический вынос конфиденциальной информации на некоторых носителях или опять же физическое уничтожение сервера баз данных); во-вторых, нужно, чтобы персонал выполнял все без исключения требования, предъявляемые используемым программным и аппаратным обеспечением.

Первая задача решается в основном посредством обеспечения физической безопасности офисных помещений и вычислительной техники, а также различными методами работы с персоналом, причем установление адекватной оплаты труда является здесь едва ли не самым эффективным средством.

Решение второй задачи зависит от наличия грамотного персонала, способного прежде всего сформулировать требования, которых должны придерживаться все сотрудники для реализации принятых политик безопасности, а затем постоянно контролировать выполнение сотрудниками сформулированных требований. Практика показывает, что именно контроль следует поставить на первое место при реализации административных мер по предотвращению нарушений политик безопасности.

В начало В начало

Железный занавес

Для защиты страны от неприятеля можно действовать по-разному. Можно распределить армии равномерно по всей стране, дабы ни один из участков не остался незащищенным. А можно сконцентрироваться на защите (возможно, эшелонированной) внешних границ. Именно вторую альтернативу реализуют устройства, называемые межсетевыми экранами, или брандмауэрами.

Межсетевой экран располагается на границе внутренней корпоративной сети и Интернета и в полном соответствии со своим наименованием осуществляет экранирование данных из сегмента внутренней корпоративной сети и Интернета. К основным функциям межсетевого экрана по реализациям политики безопасности можно отнести избирательное пропускание или непропускание данных из Интернета в корпоративную сеть и обратно в соответствии с принятыми политиками безопасности.

Конструктивно межсетевые экраны редко выполняются в виде одного устройства, а чаще представляют собой небольшие самостоятельные сегменты сети, реализующие многоуровневую эшелонированную оборону. Эшелонированность достигается за счет того, что в реальности экран представляет собой своего рода сандвич, состоящий из двух простых межсетевых экранов (внешнего и внутреннего), между которыми размещен небольшой сегмент сети (прослойка), в котором потенциально расположены системы обнаружения атак и хорошо защищенные серверы, предоставляющие сервисы и услуги в Интернете. При такой архитектуре потенциальному нарушителю для проникновения внутрь корпоративной сети необходимо сначала преодолеть внешний межсетевой экран, остаться незамеченным системой обнаружения атак в сегменте-прослойке (а это нелегко, поскольку основные цели атаки также располагаются в этой прослойке) и после этого преодолеть внутренний межсетевой экран, если, конечно, в такой архитектуре этот экран настроен воспринимать как нарушителя любой источник данных, кроме серверов, находящихся в сегменте-прослойке. Все это уже весьма непросто.

Межсетевые экраны можно реализовать как на основе разнообразного оборудования, так и программным образом — на основе высокопроизводительного сервера.

В начало В начало

Дипкурьеры

Как уже было сказано, от перехвата информации в той или иной форме защититься крайне сложно, поэтому в большинстве случаев разумным будет предположение о том, что потенциальный нарушитель обязательно перехватит информацию там, где ее можно перехватить хотя бы в принципе. В частности, если вы при построении корпоративной вычислительной сети хоть в какой-то мере используете общедоступные каналы связи, например Интернет, то следует предположить, что при передаче данных (например, сообщений электронной почты) через этот общедоступный канал связи информация может быть перехвачена. Следовательно, простая передача данных между двумя сегментами корпоративной сети, соединенными посредством Интернета, совершенно недопустима.

Для реализации обмена данными, а также для частного случая, когда один конкретный пользователь посредством Интернета соединяется со своей корпоративной сетью, некоторое время назад был предложен механизм виртуальных частных сетей. Основная идея механизма проста и состоит в том, что перед тем, как данные из одного сегмента корпоративной сети будут выпущены межсетевым экраном в Интернет для доставки в другой сегмент, происходит шифрование данных. Соответственно на межсетевом экране принимающего сегмента происходит расшифровка данных, а конечный получатель принимает данные точно в таком же виде, в котором они были отправлены источником.

Данный механизм позволяет предотвратить основную массу атак по перехвату данных, передающихся по открытым каналам связи.

В начало В начало

Контрразведка

Немаловажную роль в общей системе защиты информационных ресурсов играет контрразведка, то есть системы обнаружения атак. Их функция — следить за всем и вся и своевременно предупреждать о возможных враждебных или просто подозрительных действиях. Последнее очень важно, так как зачастую факт обнаружения явно враждебного действия может означать, что поднимать тревогу и усиливать защиту уже поздно и что враг все равно преодолеет оборонительные редуты. Поскольку серьезным атакам обычно предшествует длительная и кропотливая разведка, в процессе которой вряд ли будут производиться явно враждебные действия, то именно на этой стадии можно наиболее эффективно организовать противодействие нарушителям.

Однако просто подозрительных действий может быть слишком много, чтобы каждый раз поднимать тревогу. Поэтому существенной составляющей в любой хорошей системе обнаружения атак является аналитик — специалист по сетевым атакам, который на основе информации, выдаваемой системой обнаружения атак, будет выносить окончательный вердикт.

Компоненты систем обнаружения атак (за исключением аналитика) могут размещаться на самых разных участках корпоративной сети. Например, возможна установка такого рода систем на каждой рабочей станции, на серверах, на устройствах межсетевых экранов и т.д. И если принято решение о развертывании системы обнаружения атак, следует позаботиться, чтобы во всех возможных точках проникновения нарушителей в вашу сеть находились компоненты этой системы. В противном случае можно быть уверенным, что именно та лазейка, где таких компонентов нет, и будет использована потенциальными нарушителями.

КомпьютерПресс 3'2003