Механизм трансляции TCP-портов с целью защиты виртуального канала корпоративной сети
Задачи трансляции TCP-портов в корпоративной сети
Принципы реализации механизма трансляции TCP-портов
Функции межсетевого экрана корпорации
В статье предлагается механизм обеспечения безопасности виртуального канала корпоративной сети посредством трансляции номеров TCP-портов в межсетевом средстве защиты информации. Описывается техническое средство защиты — межсетевой экран корпорации, реализующее предлагаемый подход.
Задачи трансляции TCP-портов в корпоративной сети
В общем случае могут быть выделены следующие альтернативные подходы к засекречиванию виртуального канала:
- Трансляция либо преобразование характеристик виртуального канала.
- Шифрование характеристик виртуального канала.
Реализация данных подходов в корпоративной сети преследует принципиально различные цели:
- методы шифрования используются для сокрытия данных и служебной информации, передаваемой по каналам связи, в предположении, что данная информация попадет к злоумышленнику. Поэтому основным параметром шифрования является криптостойкость используемого алгоритма шифрования — параметр, показывающий, насколько сложно будет восстановить истинную информацию злоумышленнику, исходя из предположения, что она им похищена;
- трансляция или преобразование служебной информации предполагает подмену истинной служебной информации некоторой вспомогательной, что не позволяет злоумышленнику воспользоваться истинной служебной информацией. Как правило, на практике задачи транслирования решаются с целью защиты от несанкционированного доступа к информационным ресурсам корпоративной сети.
Отметим, что при видимой близости подходов (действительно, в обоих случаях производится замена истинного значения какого-либо параметра на вспомогательный), они принципиально различны. Так, если первый подход предполагает только замену передаваемой информации, то второй реализуется посредством изменения функциональной организации системы. Примером тому может служить использование межсетевых экранов (МЭ), устанавливаемых на границе межсетевого взаимодействия. Практически каждый межсетевой экран решает задачу трансляции (статической — при передаче пакета, динамической — при его возвращении) IP-адресов. Суть данного метода заключается в том, что МЭ осуществляет физическое разделение сетевого пространства корпорации на подсети, являясь шлюзом между двумя подсетями. При этом клиент, обращаясь к серверу по IP-адресу, обращается только к МЭ, логическое же имя сервера передается в заголовке более высокого уровня (статическая трансляция). Соответственно, при запросе информации у сервера пакет, возвращаемый сервером, поступает в МЭ, который подставляет в него вместо IP-адреса сервера свой IP-адрес. Поэтому при анализе заголовка межсетевого пакета, получаемого злоумышленником из виртуального канала (канала сети передачи данных общего пользования — СПД ОП), у последнего создается иллюзия, что клиент общается с устройством, IP-адрес которого ему предлагается, то есть МЭ. Однако IP-адpеса информационных серверов корпорации для него скрыты. Если же злоумышленник попытается обратиться к МЭ, думая, что это информационный сервер, то его попытка будет зарегистрирована МЭ, что позволит в дальнейшем выявить злоумышленника.
Таким образом, трансляция служебной информации представляет собой комплекс организационно-технических мероприятий, направленных на защиту информационных ресурсов корпоративной сети от несанкционированного доступа. Процесс шифрования представляет собою только изменение передаваемой служебной информации.
Возникает вопрос о возможности и целесообразности использования средств шифрования для защиты информационных ресурсов от несанкционированного доступа. Очевидно, что если и в данном случае будут реализованы соответствующие технические и организационные мероприятия, связанные с трансляцией адресов, то данный подход возможен. Однако в любом случае это уже будет трансляция адресов, отличающаяся лишь способом их сокрытия. В данном случае в заголовке должны передаваться не истинные адреса другого устройства, например МЭ, а некоторый их шифр. Данный подход возможен только при реализации выделенных каналов (не каналов СПД ОП), где уж совсем нет необходимости подобного шифрования заголовков.
Делаем вывод, что в общем случае мы имеем два совершенно различных подхода, преследующих решение альтернативных задач.
Теперь рассмотрим полноту решаемых задач трансляции служебной информации в виртуальном канале корпоративной сети с помощью современных технических средств защиты. Напомним, что виртуальный канал представляет собой реализацию четырех нижних уровней иерархии протоколов, включая транспортные, в терминологии семиуровневой модели взаимодействия открытых систем). Широко же применяемые МЭ обеспечивают трансляцию IP-адресов — межсетевой протокол на третьем уровне иерархии. Заметим, что ниже опускаться, во-первых, невозможно — иначе все узлы коммутации СПД ОП должны будут выполнять функции трансляции адресов, во-вторых, не имеет смысла — так как злоумышленнику не очень важна информация о том, насколько оптимальным образом доставлена информация адресату, например в рамках внутрисетевых протоколов: SNA, DNA и др., доступа к подсетям — X.25.
В рамках виртуального канала остается возможность трансляции служебной информации на транспортном уровне, в частности на уровне номеров TCP-, UDP-портов. Рассмотрим, какая цель может быть поставлена перед техническим средством защиты информации в рамках данной задачи. Номер TCP-порта однозначно соответствует запрашиваемому сервису Интернет, то есть команде, так как именно при обращении к данному порту будет запущена программа обработки соответствующей команды. Таким образом, чтобы запрос клиента был обработан на уровне виртуального канала, тот должен обратиться к соответствующему порту. Рассмотрим, с какой целью можно преобразовать ТСР-порт, например, передавая в канал не истинное его значение, а некоторое измененное:
- За счет подобного преобразования может маскироваться запрашиваемый (статическая трансляция) либо предоставляемый (динамическая трансляция) Internet-сервис.
- С учетом того, что число TCP-портов (включая резервные) весьма внушительно, номер ТСP-порта можно использовать в качестве ключа (в том числе и сеансового) для взаимодействия в технологии «клиент-сервер». В этом случае должно открываться несколько портов, и клиентам должно предоставляться право обращаться только к этим портам (в частности, номера портов могут меняться при каждом сеансе обмена с соответствующим уведомлением клиентов). При адресации к остальным портам запрос клиента на обслуживание будет игнорироваться.
- Можно реализовать задачу разграничения прав доступа (в том числе и на каждый сеанс) клиентов к TCP-порту. При этом для каждого TCP-порта должна быть подготовлена матрица доступа (мандаты — при реализации мандатного принципа управления доступом), то есть база данных по безопасности, в которой указывается, какой клиент, с какой целью, в какое время (могут быть учтены различные параметры доступа) может обратиться к определенному TCP-порту. Если параметры доступа, запрашиваемые клиентом и хранящиеся в базе данных безопасности, не совпадут, клиент не получает право доступа к порту; в противном случае запускается программа обработки запроса клиента.
- Может быть реализован механизм регистрации попыток несанкционированного доступа к TCP-порту. Для этого любое обращение к любому TCP-порту (в том числе и закрытому для доступа) должно обрабатываться с целью фиксирования параметров запроса на обслуживание (адрес клиента, цель запроса, время и т.д.).
Рассмотренные задачи решаются с помощью разработанного с участием авторов межсетевого экрана корпорации (МЭК), основное назначение которого — разграничение прав и контроль доступа к ресурсам корпоративной сети, в том числе — к виртуальному каналу.
Принципы реализации механизма трансляции TCP-портов
Рассмотрим предлагаемые принципы реализации рассматриваемого способа защиты информации в виртуальном канале корпоративной сети на примере созданного МЭК [1-7]. Разберем более подробно порядок защищенного взаимодействия клиент-сервер при передаче файлов (например, команда FTP) с использованием МЭК, проиллюстрированный на рисунке.
При передаче файла (FTP) сначала (фаза 1) клиент по закрытому протоколу в поле данных кадра TCP(UDP) передает запрос на информационное взаимодействие с сервером. При этом клиент обращается к МЭК по IP-адресу МЭК. Запрос включает идентификатор и пароль клиента, требования по доступу клиента к серверу: имя сервера (если реализована виртуальная файловая система, то достаточно имени файла без указания того, на каком сервере он находится), метка конфиденциальности информации (мандат), команда — «передача файла», требуемая продолжительность взаимодействия с сервером, длина файла и т.д. (список параметров разграничения прав доступа может быть расширен либо усечен). Одновременно передается и сам файл. МЭК анализирует параметры запроса на основе своей базы данных безопасности. Если запрос не удовлетворяет данным требованиям, МЭК выдает клиенту запрет на запрашиваемое взаимодействие. В противном случае на основе параметров взаимодействия, запрашиваемых клиентом, формируется пакет FTP (у МЭК есть все данные для формирования заголовков IP,TCP,FTP), причем в качестве IP-адреса подставляется адрес МЭК -- таким образом, клиент не может нарушить согласованные с МЭК права доступа. Пакет передается серверу (3).
Замечание. Все задачи, связанные с контролем правильности передачи информации, решаются на уровне обработки TCP-кадра (мы рассматриваем более высокий уровень иерархии протоколов).
Аналогичным образом реализуется взаимодействие и при запросе клиентом файла у сервера. В этом случае после получения запроса, сформированного клиентом (1), запрос файла у сервера осуществляет МЭК (3), обращаясь к серверу по стандартному протоколу. Сервер, также обращаясь к МЭК (IP-адресу МЭК) по стандартному протоколу, передает ему файл (4), который от своего имени возвращает его клиенту.
Таким образом, отличительной особенностью функционирования МЭК является то, что, получив файл от клиента (соответственно — от сервера), МЭК сам формирует заголовок пакета (на соответствующих уровнях иерархии) для передачи данного файла. Это, кстати, и гарантирует невозможность осуществления каких-либо действий клиентом вне согласованных им прав доступа, а также обеспечивает возможность реализации функций контроля доступа. При этом полученные данные записываются в буфер в собственной памяти МЭК.
Таким образом, в основу реализации защищенного взаимодействия «клиент-сервер» положены следующие принципы:
- Взаимодействие «клиент-сервер» реализуется в два этапа: первый — фаза установления соединения с целью согласования параметров запрашиваемого обслуживания (во-первых, доступа к серверу: адресов, имен файлов, мандатов, команд и т.д.; во-вторых, параметров защищенности передачи информации по виртуальному каналу при удаленном взаимодействии «клиент-сервер»), второй — фаза информационного взаимодействия с непрерывным контролем соблюдения клиентом согласованных параметров обслуживания.
- В первой фазе реализуется закрытый протокол, расположенный над TCP(UDP); поле данных TCP(UDP) используется клиентской частью системы защиты для запроса клиентом параметров взаимодействия с сервером (при необходимости данная информация должна передаваться в зашифрованном виде). Результатом выполнения данной фазы будет либо разрешение либо запрет последующего информационного взаимодействия «клиент-сервер». Данный подход, на наш взгляд, является наилучшим компромиссом в вопросе совмещения принципов защищенности взаимодействия и целесообразности использования открытых команд Интернета в рамках реализации информационного взаимодействия.
- Во второй фазе реализуется открытый протокол информационного взаимодействия, но МЭК должен гарантировать, что права, согласованные с клиентом в первой фазе, не нарушаются во второй (в противном случае МЭК прерывает взаимодействие). Данные гарантии предоставляются собственно принципами функционирования МЭК — именно он формирует заголовок пакета, отправляемый серверу (клиенту), что не позволяет клиенту воспользоваться несанкционированными правами доступа после их согласования с МЭК.
Замечания.
- Описанное клиент-серверное взаимодействие может быть реализовано в рамках как локальной, так и глобальной сети. В первом случае в качестве клиента выступает рабочая станция, а в качестве сервера — файловый сервер корпорации. Они обмениваются информацией по виртуальному каналу локальной сети. Во втором случае и клиентом и сервером являются файловые серверы корпорации, обменивающиеся информацией по виртуальным каналам СПД ОП.
- При удаленном взаимодействии «клиент-сервер» в системе может использоваться два МЭК, функционирующих в паре, один — выходной, который разграничивает права доступа к виртуальному каналу СПД ОП (регулирует права выхода клиента во внешнюю сеть), второй — входной, разграничивающий права доступа из виртуального канала к информационному серверу.
Рассмотрим, как реализуется в разработанном МЭК описанный механизм защиты виртуального канала корпоративной сети.
МЭК содержит базу данных безопасности для каждого из TCP-портов, в которой записаны права доступа к порту клиента. В рамках текущего взаимодействия «клиент-сервер» МЭК формирует базу данных безопасности доступа клиента к TCP-порту в следующем сеансе: программно открывает один из портов для доступа клиента в следующем сеансе. В ответе клиенту МЭК выдает в поле данных TCP-кадра (в общем случае в зашифрованном виде) номер TCP-порта для следующего сеанса. Другими словами, номер TCP-порта здесь может рассматриваться как своеобразный сеансовый ключ, то есть как секретная информация, предназначенная для каждого сеанса обмена, известная клиенту и МЭК.
Функции межсетевого экрана корпорации
МЭК — это многофункциональное устройство, которое может обеспечивать защиту информации на различных уровнях в технологии Intranet [6]: на уровне взаимодействия «клиент-сервер» (на уровне платформы разграничиваются права доступа к серверам и файлам), на уровне корпоративной сети (разграничиваются права доступа к подсети корпорации), на уровне виртуального канала (разграничиваются права доступа к виртуальному каналу, каналы могут иметь существенно различающиеся уровни защиты информации). В общем случае на каждом уровне защиты может использоваться комбинированный механизм защиты информации. Функции МЭК приведены здесь в общем виде, что позволяет унифицировать данное техническое средство защиты для использования на различных уровнях. В частных применениях системы некоторые из приведенных функций могут не использоваться.
- Идентификация и аутентификация.
Идентификация клиента осуществляется на основе его уникального имени. Имя клиента для работы в системе согласовывается с администратором безопасности.
Аутентификация клиента по паролю. Пароль может быть одноразовым, сеансовым, временным, постоянного действия. Тип пароля задается администратором безопасности.
Идентификация виртуального канала (ВК) и аутентификация ВК по паролю.
Идентификация корпоративной сети /подсети (КС) и аутентификация КС по паролю.
Реализованы три режима аутентификации (настраиваются в зависимости от способа использования системы):
- аутентификация клиента — реализуется для аутентификации клиента на выходном межсетевом экране корпорации;
- аутентификация виртуального канала (данный режим предполагает аутентификацию двух территориально разнесенных межсетевых экранов друг у друга);
- аутентификация подсети корпорации (режим предполагает наличие идентификатора у подсети корпорации) — реализуется для аутентификации корпоративной подсети при удаленном доступе к межсетевому экрану корпорации. Особенностью данного режима аутентификации является то, что пароль располагается не на рабочей станции корпорации, а на выходном межсетевом экране корпорации.
- Разграничение прав доступа клиентов к виртуальному каналу корпоративной
сети:
Разграничение прав доступа клиента к виртуальному каналу осуществляется по следующим критериям:
- предоставляемый сервис — по параметрам защищенности передачи информации
и по виртуальному каналу:
- засекречивание соединения;
- засекречивание выборочных полей и потока данных;
- целостность соединения и выборочных полей;
- защита от отказов с подтверждением источника и доставки;
- параметры доступа:
- имя клиента;
- мандат клиента;
- мандат виртуального канала;
- предоставляемый сервис (FTP, telnet и т.д.);
- разрешенные протоколы (TCP/IP, SPX/IPX, ICMP/IP, UDP/IP и т.д.)
- время (начало/конец работы, продолжительность);
- дата;
- длина пакета (и др.).
- предоставляемый сервис — по параметрам защищенности передачи информации
и по виртуальному каналу:
- Фильтрация пакетов (анализ заголовков пакетов).
Осуществляется разграничение прав доступа клиента по следующим критериям:
- предоставляемый сервис (FTP, telnet и т.д.);
- разрешенные протоколы (TCP/IP, SPX/IPX, ICMP/IP, UDP/IP и т.д.);
- разрешенные IP-адреса;
- сеансовый номер TCP-порта.
- Разграничение прав доступа к информации корпорации (анализ поля данных
ТСР-кадра в фазе установления соединения) по функциональным параметрам взаимодействия.
Осуществляется разграничение прав доступа клиента к серверу по следующим критериям:
- имя сервера;
- имя каталога;
- имя файла;
- мандат клиента;
- мандат сервера;
- мандат файла;
- имя клиента;
- запрашиваемая операция (чтение/запись);
- время (начало/конец работы, продолжительность);
- дата;
- длина пакета (и др.).
- Разграничение прав доступа к базам данных безопасности МЭК.
Реализуются те же функции, что и в п.3, но не с целью разграничения прав доступа к информационным серверам, а с целью разграничения прав доступа к защищаемой информации собственно МЭК, что необходимо для реализации защищенности режима удаленного администрирования МЭК, в частности при решении задачи управления виртуальным каналом.
- Разграничение прав доступа к виртуальному каналу и к серверу (а также к
защищаемым базам данных безопасности МЭК) по уровню конфиденциальности информации.
Осуществляется разграничение прав доступа клиента к виртуальному каналу и к серверу по мандатному принципу — по меткам конфиденциальности.
- Разграничение прав доступа к множеству виртуальных каналов корпорации, в том числе выделенных.
- Маршрутизация и коммутация пакетов данных в соответствии с маршрутными матрицами безопасности.
- Приоритетное обслуживание.
Осуществляется формирование очередей заявок различных приоритетов на доступ к виртуальному каналу и к серверу, а также выбор заявок на обслуживание из приоритетных очередей. В общем случае возможно обслуживание по двум типам классов приоритетов:
- приоритет абонента (идентифицируется по IP-адресу либо по имени клиента);
- приоритет поступающей заявки на обслуживание (передается в поле данных TCP-кадра в фазе установления соединения).
В зависимости от области использования может быть реализован любой механизм обслуживания — реального времени (по расписанию), с относительными или абсолютными приоритетами. Причем если выходной МЭК учитывает приоритеты абонентов — рабочих станций корпораций, то входной МЭК учитывает приоритеты виртуальных каналов корпорации.
- Копирование (временное хранение) и выдача по требованию администратора в соответствии с указанным им адресом отдельных сообщений, определяемых следующими параметрами (их комбинацией): имя клиента, имя сервера, файл, мандат, имя внешнего адреса (например, имя DNS), время начала взаимодействия (например, после завершения работы в корпорации ) и т.д.
Система обеспечивает:
- сокрытие структуры локальной сети (серверов и рабочих станций), информационных ресурсов и IP-адресов как клиентов, так и серверов, сервисов, на уровне трансляции номеров TCP-портов, так как по виртуальному каналу обмениваются между собою информацией два межсетевых экрана, при этом в заголовках стандартных пакетов передается адресная информация, относящаяся только к межсетевым экранам;
- возможность прерывания взаимодействия «клиент-сервер» на любой стадии его протекания при обнаружении попытки несанкционированного доступа (возможность быстрого обнаружения осуществленного несанкционированного доступа открывается при использовании на выделенном сервере межсетевого экрана корпорации разработанного авторами программного средства контроля целостности). При этом взаимодействие может прерываться как выходным межсетевым экраном — запрещается доступ к виртуальному каналу, так и выходным — запрещается доступ к серверу;
- возможность настройки параметров обеспечения безопасности в рамках реализованных механизмов.
В заключение отметим, что более подробную информацию об описанных в работе подходах и технических средствах, доведенных сегодня до уровня макетного образца, можно получить у авторов по адресу: sheglov@cs.ifmo.ru
ЛИТЕРАТУРА
- Щеглов А.Ю. Технология комплексной защиты информации в корпоративных сетях связи. // Тезисы докладов IV научно-практического конгресса «Информатизация регионов России: опыт, проблемы, перспективы» — Санкт-Петербург, 1998. — с. 72-74.
- Щеглов А.Ю. Комплексные решения при построении и аттестации сетей связи и сетевых автоматизированных систем. //Годовая конференция «Электронные сообщения - неотъемлемая часть современного бизнеса» — Москва, АДЭ — 1998. - с. 187-191.
- Щеглов А.Ю. Принципы построения типовой системы комплексной защиты информационных ресурсов корпоративных сетей. //Межведомственный семинар: «Проблемы безопасности программного обеспечения зарубежного производства». - Спб. — 1997.- с. 49-50.
- Щеглов А.Ю., Клипач В.С. Принципы защиты информации от несанкционированного доступа АСУ банка//Научно-техническая конференция: «Информационная безопасность автоматизированных систем». - Воронеж, 1998. - С.426-435.
- Чистяков А.Б., Щеглов А.Ю., Клипач В.С. Технология защиты сетевого взаимодействия в корпоративной сети//Материал международной научно-практической конференции «Новые информационные технологии в практике работы правоохранительных органов». Часть 2. СПб, 1998. — с. 57-59.
- Щеглов А.Ю., Клипач В.С., Чистяков А.Б. Принципы защиты информации в корпоративных Intranet-сетях// Материал международной научно-практической конференции «Новые информационные технологии в практике работы правоохранительных органов». Часть 2. СПб, 1998. — с. 53-57.
- Клипач В.С., Щеглов А.Ю., Чистяков А.Б. Технология контроля целостности информации в корпоративной сети// Материал международной научно-практической конференции «Новые информационные технологии в практике работы правоохранительных органов». Часть 2. СПб, 1998. — с. 59-62.
КомпьютерПресс 8'1999