Реферати

Реферат: Захист інформації в глобальній мережі

Умножитель частоти. Зміст Уведення 2 1 Теоретична частина 4 2 Обґрунтування вибору схеми 9 2.1 Обґрунтування вибору структурної схеми 9 2.2 Обґрунтування вибору принципової схеми 10

Росія в неясний час 1598-1613. КОНТРОЛЬНА РОБОТА З дисципліни "Вітчизняна історія (IX-XX вв.)" ТЕМА: РОСІЯ В НЕЯСНИЙ ЧАС (1598-1613) ПЛАН РОБОТИ ВВЕДЕННЯ СОЦІАЛЬНІ І ПОЛІТИЧНІ ДЖЕРЕЛА

Устаткування для телекомунікаційних мереж. пециальная частина 1.1 Огляд літератури 1.1.1 Устаткування для телекомунікаційних мереж Для того, щоб зрозуміти для чого призначений комутатор, які задачі і функції повинна виконувати необхідно ознайомитися з основами технології організації кабельних систем мережі й архітектурою локальних обчислювальних мереж.

Людина як суб'єкт, індивідуальність, особистість. Санкт-Петербургский інститут зовнішньоекономічних зв'язків, економіки і права Юридичний факультет Дисципліна: Психологія і педагогіка КОНТРОЛЬНА РОБОТА

Пам'ять. Функціонально-структурна організація. Філіпченкові рівні біологічної пам'яті. Тимчасова організація пам'яті. Концепція активної пам'яті. Декларативна і процедурна пам'ять. Робоча пам'ять.

ПЛАН.

Вступ.

Захист інформації в глобальній мережі.

1. Проблема захисту інформації.

2. Інформаційна безпека і інформаційні технології.

3. Кошти захисту інформації.

3.1. Solstice Firewall-1.

3.1.1. Призначення екрануючих систем і вимоги до них.

3.1.2. Структура системи Solstice Firewall-1.

3.1.3. Приклад реалізації політики безпеки.

3.1.4. Управління системою Firewall-1.

3.1.5. Ще один приклад реалізації політики безпеки.

3.1.6. Аутентификація користувачів при роботі з FTP.

3.1.7. Гнучкі алгоритми фільтрації UDP-пакетів, динамічне екранування.

3.1.8. Мова програмування. Прозорість і ефективність.

3.2. Обмеження доступу в WWW серверах.

3.2.1. Обмеження за IP-адресами.

3.2.2. Обмеження по ідентифікатору одержувача.

3.3. Інформаційна безпека в Intranet.

3.3.1. Розробка мережевих аспектів політики безпеки.

3.3.2. Процедурні заходи.

3.3.3. Управління доступом шляхом фільтрації інформації.

3.3.4. Безпека програмної середи.

3.3.5. Захист Web-серверів.

3.3.6. Аутентификація у відкритих мережах.

3.3.7. Простота і однорідність архітектури.

3.4. PGP.

3.5. Blowfish.

3.6. Kerberos.

4. Віртуальні приватні мережі (VPN).

4.1. Сумісність.

4.2. Безпека.

4.3. Доступність.

4.4. Керованість.

4.5. Архітектура VPN.

Висновок.

ВСТУП.

Internet - глобальна комп'ютерна мережа, що охоплює весь світ. Сьогодні Internet має біля 15 мільйонів абонентів в більш ніж 150 країнах світу. Щомісяця розмір мережі збільшується на 7-10%. Internet утворить як би ядро, що забезпечує зв'язок різних інформаційних мереж, належних різним установам у всьому світі, одна з іншою.

Якщо раніше мережа використовувалася виключно як середа передачі файлів і повідомлення електронної пошти, то сьогодні вирішуються більш складні задачі распределеного доступу до ресурсів. Біля двох років тому були створені оболонки, підтримуючі функції мережевого пошуку і доступу до розподілених інформаційних ресурсів, електронних архівів.

Internet, що служила колись виключно дослідницьким і учбовим групам, чиї інтереси тягнулися аж до доступу до суперкомп'ютерів, стає все більш популярною в діловому світі.

Компанії знаджують швидкість, дешевий глобальний зв'язок, зручність для проведення спільних робіт, доступні програми, унікальна база даних мережі Internet. Вони розглядають глобальну мережу як доповнення до своїм власним локальної мережам.

Фактично Internet складається з безлічі локальних і глобальних мереж, належних різним компаніям і підприємствам, пов'язаних між собою різними лініями зв'язку. Internet можна уявити собі у вигляді мозаїки складеної з невеликих мереж різної величини, які активно взаємодіють одна з іншою, пересилаючи файли, повідомлення і т. п.

При низькій вартості послуг (часто це тільки фіксована щомісячна плата за лінії, що використовуються або телефон) користувачі можуть отримати доступ до комерційних і некомерційних інформаційних служб США, Канади, Австралії і багатьох європейських країн. У архівах вільного доступу мережі Internet можна знайти інформацію практично по всіх сферах людської діяльності, починаючи з нових наукових відкриттів до прогнозу погоди на завтра.

Крім того Internet надає унікальні можливості дешевого, надійного і конфіденційного глобального зв'язку по всьому світу. Це виявляється дуже зручним для фірм що мають свої філіали по всьому світу, транснаціональних корпорацій і структур управління. Звичайно, використання інфраструктури Internet для міжнародного зв'язку обходиться значно дешевше прямому комп'ютерному зв'язку через супутниковий канал або через телефон.

Електронна пошта - сама поширена послуга мережі Internet. У цей час свою адресу по електронній пошті мають приблизно 20 мільйонів чоловік. Посилка листа по електронній пошті обходиться значно дешевше за посилку звичайного листа. Крім того повідомлення, послане по електронній пошті дійде до адресата за декілька годин, в той час як звичайний лист може добиратися до адресата декілька днів, а те і тижнів.

У цей час Internet випробовує період підйому, багато в чому завдяки активній підтримці з боку урядів європейських країн і США. Щорічно в США виділяється біля 1-2 мільйонів доларів на створення нової мережевої інфраструктури. Дослідження в області мережевих комунікацій фінансуються також урядами Великобританії, Швеції, Фінляндії, Німеччини.

Однак, державне фінансування - лише невелика частина поступаючих коштів, т. до. все більш помітної стає "коммерцизация" мережі (80-90% коштів поступає з приватного сектора).

Нові межі киберпространства відкривають широкі можливості для новин, ділової активності і видобування прибутку. Але є у інтерактивного миру і інша сторона - зниження міри безпеки корпорацій. Мережа Internet породила нелегальний ринок, де збувається інформація, що становить комерційну таємницю корпорацій. За оцінками правоохоронних органів, інтерактивні злочинці щорічно крадуть інформацію більш ніж на 10 млрд. долл. Однак закон досі програє в битві з ними. Кибервори користуються перевагами, які дає їм система захисту Internet, включаючи вільно поширювані алгоритми шифрування з відкритим ключем і анонімні вузли ретрансляції електронної пошти. Ці кошти служать укриттям для торговців викраденою інформацією у всьому світі. Міра ризику для корпорацій підвищується незалежно від того, працюють вони по Internet чи ні. Загрозу представляє не тільки можливість проникнення в корпоративну мережу через брандмауер, але і саме становлення інтерактивного ринку корпоративних даних, які можуть бути украдені і власними співробітниками компанії.

Нелегальна діяльність по мережі змінила обличчя корпоративної служби безпеки. Раніше міг зникнути один ящик секретних відомостей. Тепер же неважко скопіювати і відправити по електронній пошті еквівалент сотень таких ящиків. Все, що для цього потрібно, - один хакер. Того ж вечора все співтовариство хакерів буде в курсі справи. У число нелегально і купованої інформації, що продається входять номери талонів на телефонні переговори, що видаються компаніями міжміського зв'язку, коди підключення до служб стільникового зв'язку, номера кредитних карток, алгоритми злому захисту, що "винюхують" і піратські копії програмного забезпечення. У деяких випадках покупцями цієї інформації є кримінальні структури, такі як продавці піратського ПО, які купують украдені номери талонів, щоб безкоштовно дзвонити по міжнародному телефону. Що ще небезпечніше, на цьому ринку розповсюджуються комерційні секрети організацій, зокрема плани досліджень і розробок компаній, що займаються високими технологіями. Хоч найбільшим атакам зазнають сьогодні телефонні служби і компанії, що видають кредитні картки, підвищення інтенсивності інтерактивної комерції між великими корпораціями може істотно збільшити ризик електронних крадіжок для всієї промисловості. По мірі виходу комерції на інформаційну магістраль ми всі стаємо мішенями. Ризику зазнають програмні агенти і інші об'єкти.

Поширення електронної комерції приводить до створення все нових інтерактивних каналів зв'язку, і немає гарантії, що будь-який з проміжних каналів не виявиться вразливим місцем з точки зору захисту. Звісно, в крадіжці комерційних секретів немає нічого нового. Але Internet і інші інтерактивні служби відкривають торговцям інформацією нові можливості для пошуку і обміну даними..

Захист інформації в глобальній мережі Internet.

1. Проблеми захисту інформації.

Internet і інформаційна безпека несовместни за самою природою Internet. Вона народилася як чисто корпоративна мережа, однак, в цей час за допомогою єдиного стека протоколів TCP/IP і єдиного адресного простору об'єднує не тільки корпоративні і відомчі мережі (освітні, державні, комерційні, військові і т. д.), що є, по визначенню, мережами з обмеженим доступом, але і пересічних користувачів, які мають можливість отримати прямий доступ в Internet зі своїх домашніх комп'ютерів за допомогою модемів і телефонної мережі загального користування.

Як відомо, чим простіше доступ в Мережу, тим гірше її інформаційна безпека, тому з повною основою можна сказати, що початкова простота доступу в Internet - гірше крадіжки, оскільки користувач може навіть і не взнати, що у нього були скопійовані - файли і програми, не говорячи вже про можливість їх псування і коректування.

Що ж визначає бурхливе зростання Internet, що характеризується щорічним подвоєнням числа користувачів? Відповідь проста -"халява", тобто дешевизна програмного забезпечення (TCP/IP), яке в цей час включене в Windows 95, легкість і дешевизна доступу в Internet (або за допомогою IP-адреси, або за допомогою провайдер) і до всіх світових інформаційних ресурсів.

Платою за користування Internet є загальне зниження інформаційної безпеки, тому для запобігання несанкціонованому доступу до своїх комп'ютерів всі корпоративні і відомчі мережі, а також підприємства, що використовують технологію intranet, ставлять фільтри (fire-wall) між внутрішньою мережею і Internet, що фактично означає вихід з єдиного адресного простору. Ще більшу безпеку дасть відхід від протоколу TCP/IP і доступ в Internet через шлюзи.

Цей перехід можна здійснювати одночасно з процесом побудови всесвітньої інформаційної мережі загального користування, на базі використання мережевих комп'ютерів, які за допомогою мережевої карти 10Base-T і кабельного модему забезпечують високошвидкісний доступ (10 Мбіт/з) до локального Web-сервера через мережу кабельного телебачення.

Для розв'язання цих і інших питань при переході до нової архітектури Internet треба передбачити наступне:

По-перше, ліквідувати фізичний зв'язок між майбутньої Internet (яка перетвориться у Всесвітню інформаційну мережу загального користування) і корпоративними і відомчими мережами, зберігши між ними лише інформаційний зв'язок через систему World Wide Web.

По-друге, замінити маршрутизатори на комутатори, виключивши обробку у вузлах IP-протоколу і замінивши його на режим трансляції кадрів Ethernet, при якому процес комутації зводиться до простої операції порівняння MAC-адрес.

По-третє, перейти в новий єдиний адресний простір на базі фізичних адрес доступу до середи передачі (MAC-рівень), прив'язаний до географічного розташування мережі, і що дозволяє в рамках 48-біт створити адреси для більш ніж 64 трильйонів незалежних вузлів.

Безпека даних є однією з головних проблем в Internet. З'являються всі нові і нові страшні історії про те, як комп'ютерні зломщики, що використовують все більш витончені прийоми, проникають в чужі бази даних. Зрозуміло, все це не сприяє популярності Internet в ділових колах. Одна тільки думка про те, що які-небудь хулігани або, що ще гірше, конкуренти, зможуть отримати доступ до архівів комерційних даних, примушує керівництво корпорацій відмовлятися від використання відкритих інформаційних систем. Фахівці затверджують, що подібні побоювання безпідставні, оскільки у компаній, що мають доступ і до відкритих, і приватним мережам, практично рівні шанси стати жертвами комп'ютерного терору.

Дилема безпеки така: доводиться робити вибір між захищеністю вашого майна і його доступністю для вас, а значить, і можливістю корисного використання.

Це справедливо і відносно інформації. Наприклад, база даних, вмісна конфіденційні відомості, лише тоді повністю захищена від посягання, коли вона знаходиться на дисках, знятих з комп'ютера і прибраних в місце, що охороняється. Як тільки ви встановили ці диски в комп'ютер і почали використати, з'являється відразу декілька каналів, по яких зловмисник, в принципі, має можливість отримати до ваших таємниць доступ без вашого ведена. Інакшими словами, ваша інформація або недоступна для всіх, включаючи і вас, або не захищена на сто відсотків.

У області інформації дилема безпеки формулюється таким чином: потрібно вибирати між захищеністю системи і її відвертістю. Правильніше, проте, говорити не про вибір, а про баланс, оскільки система, що не володіє властивістю відвертості, не може бути використана.

У банківській сфері проблема безпеки інформації ускладняється двома чинниками: по-перше, майже всі цінності, з якими має справа банк (крім готівки і ще дечого), існують лише у вигляді тієї або інакшої інформації. По-друге, банк не може існувати без зв'язків із зовнішнім світом: без клієнтів, кореспондентів і т. п. При цьому по зовнішніх зв'язках обов'язково передається та сама інформація, що виражає собою цінності, з якими працює банк (або зведення про ці цінності і їх рух, які іноді стоять дорожче за самі цінності). Ззовні приходять документи, по яких банк переводить гроші з одного рахунку на інший. Зовні банк передає розпорядження про рух коштів по кореспондентських рахунках, так що відвертість банку задана а priori.

2. Інформаційна безпека і інформаційні технології

На ранньому етапі автоматизації впровадження банківських систем (і взагалі коштів автоматизації банківської діяльності) не підвищувало відвертість банку. Спілкування із зовнішнім світом, як і раніше, йшло через операціоністів і кур'єрів, тому додаткова загроза безпеки інформації виникала лише від можливих зловживань з боку фахівців, що працювали в самому банку з інформаційних технологій.

Положення змінилося після того, як на ринку фінансових послуг стали з'являтися продукти, саме виникнення яких було немислиме без інформаційних технологій. Насамперед ці-пластикові картки. Поки обслуговування по картках йшло в режимі голосової авторизації, відвертість інформаційної системи банку підвищувалася трохи, але потім з'явилися банкомати, POS-термінали, інші пристрої самообслуговування-то є кошти, належні до інформаційної системи банку, але розташовані поза нею і доступні стороннім для банку особам.

Відвертість системи, що Підвищилася зажадала спеціальних заходів для контролю і регулювання обміну інформацією: додаткових коштів ідентифікації і аутентификація осіб, які запитують доступ до системи (PIN-код, інформація про клієнта на магнітній смузі або в пам'яті мікросхеми картки, шифрування даних, контрольні числа і інші кошти захисту карток), коштів криптозащити інформації в каналах зв'язку і т. д.

Ще більший зсув балансу "захищеність-відвертість" у бік останньої пов'язаний з телекомунікаціями. Системи електронних розрахунків між банками захистити відносно нескладно, оскільки суб'єктами електронного обміну інформацією виступають самі банки. Проте, там, де захисту не приділялася необхідна увага, результати були цілком передбачувані. Найбільш кричущий приклад-на жаль, наша країна. Використання надто примітивних коштів захисту телекомунікацій в 1992 р. привело до величезних втрат на фальшивому авізо.

Загальна тенденція розвитку телекомунікацій і масового поширення обчислювальної техніки привела зрештою до того, що на ринку банківських послуг у всьому світі з'явилися нові, чисто телекомунікаційні продукти, і насамперед системи Home Banking (вітчизняний аналог-"клиент-банк"). Це зажадало забезпечити клієнтам цілодобовий доступ до автоматизованої банківської системи для проведення операцій, причому повноваження на здійснення банківських транзакцій отримав безпосередньо клієнт. Міра відвертості інформаційної системи банку зросла майже до межі. Відповідно, потрібно особливі, спеціальні заходи для того, щоб так же значно не впала її захищеність.

Нарешті, пролунала епоха "інформаційної супермагистрали": взривообразное розвиток мережі Internet і пов'язаних з нею послуг. Разом з новими можливостями ця мережа принесла і нові небезпеки. Здавалося б, яка різниця, яким чином клієнт зв'язується з банком: по комутованій лінії, що приходить на модемний пул банківського вузла зв'язку, або по IP-протоколу через Internet? Однак в першому випадку максимально можлива кількість підключення обмежується технічними характеристиками модемного пулу, у другому же-можливостями Internet, які можуть бути істотно вище. Крім того, мережева адреса банку, в принципі, загальнодоступна, тоді як телефонні номери модемного пулу можуть повідомлятися лише зацікавленим особам. Відповідно, відвертість банку, чия інформаційна система пов'язана з Internet, значно вище, ніж в першому випадку. Так тільки за п'ять місяців 1995 р. комп'ютерну мережу Citicorp зламували 40 разів! (Це свідчить, проте, не стільки про якусь "небезпеку" Internet взагалі, скільки про недостатньо кваліфіковану роботу адміністраторів безпеки Citicorp.)

Все це викликає необхідність перегляду підходів до забезпечення інформаційної безпеки банку. Підключаючись до Internet, потрібно наново провести аналіз ризику і скласти план захисту інформаційної системи, а також конкретний план ліквідації наслідків, виникаючих у разі тих або інакших порушень конфіденційності, збереження і доступності інформації.

На перший погляд, для нашої країни проблема інформаційної безпеки банку не так гостра: до чи Internet нам, якщо в більшості банків стоять системи другого покоління, працюючі в технології "файл-сервер". На жаль, і у нас вже зареєстровані "комп'ютерні крадіжки". Положення ускладняється двома проблемами. Передусім, як показує досвід спілкування з представниками банківських служб безпеки, і в керівництві, і серед персоналу цих служб переважають колишні оперативні співробітники органів внутрішніх справ або держбезпеки. Вони володіють високою кваліфікацією в своїй області, але в більшості своїй слабо знайомі з інформаційними технологіями. Фахівців з інформаційної безпеки в нашій країні взагалі надто мало, тому що масової ця професія стає тільки зараз.

Друга проблема пов'язана з тим, що в дуже багатьох банках безпека автоматизованої банківської системи не аналізується і не забезпечується всерйоз. Дуже мало де є той необхідний набір організаційних документів (аналіз ризику, план захисту і план ліквідації наслідків), про який говорилося вище. Більш того безпека інформації суцільно і поряд просто не може бути забезпечена в рамках автоматизованої системи, що є в банці і прийнятих правил роботи з нею.

Що стосується автоматизованих банківських систем, то найбільш поширені системи другого-третього поколінь складаються з набору автономних програмних модулів, що запускаються з командного рядка DOS на робочих станціях. Оператор має можливість в будь-який момент вийти в DOS з такого програмного модуля. Передбачається, що це необхідне для переходу в інший програмний модуль, але фактично в такій системі не існує ніяких способів не тільки виключити запуск оператором будь-яких інших програм (від нешкідливої гри до програми, що модифікує дані банківських рахунків), але і проконтролювати дії оператора. Варто помітити, що в ряді систем цих поколінь, в тому числі розроблених вельми шановними вітчизняними фірмами і що продаються сотнями, файли рахунків не шифруються, т. е. з даними в них можна ознайомитися найпростішими загальнодоступними коштами. Багато які розробники обмежують кошти адміністрування безпеки штатними коштами мережевої операційної системи: увійшов в мережу - роби, що хочеш.

Проте, наші банки приділяють інформаційним технологіям багато уваги, і досить швидко засвоюють нове. Мережа Internet і фінансові продукти, пов'язана з нею, увійдуть в життя банків швидше, ніж це передбачають скептики, тому вже зараз необхідно турбуватися питаннями інформаційної безпеки на іншому, більш професійному рівні, ніж це робилося досі.

Деякі рекомендації:

1. Необхідний комплексний підхід до інформаційної безпеки.

Інформаційна безпека повинна розглядатися як складова частина загальної безпеки банка-причому як важлива і невід'ємна її частина. Розробка концепції інформаційної безпеки повинна обов'язково пройти за участю управління безпеки банку. У цій концепції потрібно передбачати не тільки заходи, пов'язані з інформаційними технологіями (криптозащиту, програмні засоби адміністрування прав користувачів, їх ідентифікації і аутентификація, "брандмауери" для захисту входів-виходів мережі і т. п.), але і заходи адміністративного і технічного характеру, включаючи жорсткі процедури контролю фізичного доступу до автоматизованої банківської системи.

2. Необхідна участь співробітників управління безпеки на етапі вибору-придбання-розробки автоматизованої банківської системи. Ця участь не повинна зводитися до перевірки фірми-постачальника. Управління безпеки повинно контролювати наявність належних коштів розмежування доступу до інформації в системі, що придбавається.

3. Кошти захисту інформації.

Зараз навряд чи комусь треба доводити, що при підключенні до Internet Ви піддаєте ризику безпеку Вашої локальної мережі і конфіденційність інформації, що міститься в ній. По даним CERT Coordination Center в 1995 році було зареєстровано 2421 інцидентів - зломів локальних мереж і серверів. За результатами опиту, проведеного Computer Security Institute (CSI) серед 500 найбільш великих організацій, компаній і університетів з 1991 число незаконних вторжений зросло на 48.9 %, а втрати, викликані цими атаками, оцінюються в 66 млн. доларів США.

Одним з найбільш поширених механізмів захисту від интернетовских бандитів - "хакерів" є застосування міжмережевих екранів - брендмауеров (firewalls).

Варто відмітити, що внаслідок непрофесіоналізму адміністраторів і нестач деяких типів брендмауеров порядку 30% зломів здійснюється після установки захисних систем.

3.1 Технологія роботи в глобальних мережах Solstice FireWall-1.

У цей час питанням безпеки даних в розподілених комп'ютерних системах приділяється дуже велика увага. Розроблена безліч коштів для забезпечення інформаційної безпеки, призначених для використання на різних комп'ютерах з різними ОС. Як один з напрямів можна виділити міжмережеві екрани (firewalls), покликані контролювати доступ до інформації з боку користувачів зовнішніх мереж.

У цьому документі розглядаються основні поняття екрануючих систем, а також вимоги, що пред'являються до них. На прикладі пакету Solstice FireWall-1 розглядається декілька типових випадків використання таких систем, особливо застосовно до питань забезпечення безпеки Internet-підключення. Розглянуто також декілька унікальних особливостей Solstice FireWall-1, що дозволяють говорити про його лідерство в даному класі додатків.

3.1.1. ПРИЗНАЧЕННЯ ЕКРАНУЮЧИХ СИСТЕМ І ВИМОГИ ДО НИХ.

Проблема міжмережевого екранування формулюється таким чином. Нехай є дві інформаційні системи або дві безлічі інформаційних систем. Екран (firewall) - це засіб розмежування доступу клієнтів з однієї безлічі систем до інформації, що зберігається на серверах в іншій безлічі.

Малюнок 3.1.1.1

Екран FireWall.

Екран виконує свої функції, контролюючи всі інформаційні потоки між цими двома множинами інформаційних систем, працюючи як деяка "інформаційна мембрана". У цьому значенні екран можна уявляти собі як набір фільтрів, що аналізують минаючу через них інформацію і, на основі закладених в них алгоритмів, що приймають рішення: пропустити чи цю інформацію або відмовити в її пересилці. Крім того, така система може виконувати реєстрацію подій, пов'язаних з процесами розмежування доступу. зокрема, фіксувати всі "незаконні" спроби доступу до інформації і, додатково, сигналізувати про ситуації, що вимагають негайної реакції, тобто підіймати тривогу.

Звичайно екрануючі системи роблять несиметричними. Для екранів визначаються поняття "всередині" і "зовні", і задача екрана складається в захисті внутрішньої мережі від "потенційно ворожого" оточення. Найважливішим прикладом потенційно ворожої зовнішньої мережі є Internet.

Розглянемо більш детально, які проблеми виникають при побудові екрануючих систем. При цьому ми будемо розглядати не тільки проблему безпечного підключення до Internet, але і розмежування доступу всередині корпоративної мережі організації.

Перша, очевидна вимога до таких систем, це забезпечення безпеки внутрішньої (що захищається) мережі і повний контроль над зовнішнім підключенням і сеансами зв'язку.

По-друге, екрануюча система повинна володіти могутніми і гнучкими коштами управління для простого і повного втілення в життя політики безпеки організації і, крім того, для забезпечення простої реконфигурації системи при зміні структури мережі.

По-третє, екрануюча система повинна працювати непомітно для користувачів локальної мережі і не утрудняти виконання ними легальних дій.

В-четвертих, екрануюча система повинна працювати досить ефективно і устигати обробляти весь вхідний і вихідний трафік в "пікових" режимах. Це необхідне для того, щоб firewall не можна було, образно говорячи, "закинути" великою кількістю викликів, які привели б до порушення її роботи.

П'яте. Система забезпечення безпеки повинна бути сама надійно захищена від будь-яких несанкціонованих впливів, оскільки вона є ключем до конфіденційної інформації в організації.

Шосте. У ідеалі, якщо у організації є декілька зовнішнього підключення, в тому числі і у видалених філіали, система управління екранами повинна мати можливість централизованно забезпечувати для них проведення єдиної політики безпеки.

Сьоме. Система Firewall повинна мати кошти авторизації доступу користувачів через зовнішнє підключення. Типовою є ситуація, коли частина персоналу організації повинна виїжджати, наприклад, у відрядження, і в процесі роботи ним, тим німіння, потрібно доступ, принаймні, до деяких ресурсів внутрішньої комп'ютерної мережі організації. Система повинна уміти надійно розпізнавати таких користувачів і надавати їм необхідний доступ до інформації.

3.1.2. СТРУКТУРА СИСТЕМИ SOLSTICE FIREWALL-1.

Класичним прикладом, на якому хотілося б проілюструвати всі вищевикладені принципи, є програмний комплекс Solstice FireWall-1 компанії Sun Microsystems. Даний пакет неодноразово відмічався нагородами на виставках і конкурсах. Він володіє багатьма корисними особливостями, що виділяють його серед продуктів аналогічного призначення.

Розглянемо основні компоненти Solstice FireWall-1 і функції, які вони реалізовують.

Центральним для системи FireWall-1 є модуль управління всім комплексом. З цим модулем працює адміністратор безпеки мережі. Потрібно відмітити, що продуманість і зручність графічного інтерфейса модуля управління відмічалося в багатьох незалежних оглядах, присвячених продуктам даного класу.

Малюнок 3.1.2.1

Основні компоненти Solstice FireWall-1.

Адміністратору безпеки мережі для конфігурування комплексу FireWall-1 необхідно виконати наступний ряд дій:

- Визначити об'єкти, що беруть участь в процесі обробки інформації. Тут є у вигляду користувачі і групи користувачів, комп'ютери і їх групи, маршрутизатори і різні подсети локальної мережі організації.

- Описати мережеві протоколи і сервіси, з якими будуть працювати додатки. Проте, звичайно достатнім виявляється набір з більш ніж 40 описів, що поставляються з системою FireWall-1.

- Далі, за допомогою введених понять описується політика розмежування доступу в наступних термінах: "Групі користувачів А дозволений доступ до ресурсу Би за допомогою сервісу або протоколу З, але про це необхідно зробити помітку в реєстраційному журналі". Сукупність таких записів компілюється в здійсниму форму блоком управління і далі передається на виконання в модулі фільтрації.

Модулі фільтрації можуть розташовуватися на комп'ютерах - шлюзах або виділених серверах - або в маршрутизаторах як частина конфігураційної інформації. У цей час підтримуються наступні два типи маршрутизаторів: Cisco IOS 9.x, 10.x, а також BayNetworks (Wellfleet) OS v.8.

Модулі фільтрації переглядають всі пакети, що поступають на мережеві інтерфейси, і, в залежності від заданих правил, пропускають або відкидають ці пакети, з відповідним записом в реєстраційному журналі. Потрібно відмітити, що ці модулі, працюючи безпосередньо з драйверами мережевих інтерфейсів, обробляють весь потік даних, маючи в своєму розпорядженні повну інформацію про пакети, що передаються.

3.1.3. ПРИКЛАД РЕАЛІЗАЦІЇ ПОЛІТИКИ БЕЗПЕКИ.

Розглянемо процес практичної реалізації політики безпеки організації за допомогою програмного пакету FireWall-1.

Рісунок.3.1.3..1

Реалізація політики безпеки FireWall.

1. Передусім, як вже відмічалося, розробляються і затверджуються на рівні керівництва організації правила політики безпеки.

2. Після твердження ці правила треба втілити в життя. Для цього їх треба перевести в структуру типу "звідки, куди і яким способом доступ дозволений або, навпаки, заборонений. Такі структури, як ми вже знаємо, легко переносяться в бази правил системи FireWall-1.

3. Далі, на основі цієї бази правил формуються списки доступу для маршрутизаторів і сценарії роботи фільтрів на мережевих шлюзах. Списки і сценарії далі переносяться на фізичні компоненти мережі, після чого правила політики безпека "набирає чинності".

4. У процесі роботи фільтри пакетів на шлюзах і серверах генерують записи про всі події, які їм наказали відстежувати, а, також, запускають механізми "тривоги", що вимагають від адміністратора негайної реакції.

5. На основі аналізу записів, зроблених системою, відділ комп'ютерної безпеки організації може розробляти пропозиції по зміні і подальшому розвитку політики безпеки.

Розглянемо простий приклад реалізації наступних правил:

1. З локальних мереж підрозділів, можливо видалених, дозволяється зв'язок з будь-якою локальною мережею організації після аутентификація, наприклад, по UNIX-паролю.

2. Всім забороняється доступ до мережі фінансового департаменту, за винятком генерального директора і директора цього департаменту.

3. З Internet дозволяється тільки відправляти і отримувати пошту. Про всі інші спроби зв'язку необхідно робити докладний запис.

Всі ці правила природним образом представляються коштами графічного інтерфейса Редактора Правил FireWall-1.

Малюнок 3.1.3.. 2

Графічний інтерфейс Редактора Правив FireWall-1.

Після завантаження правил, FireWall-1 для кожного пакету, що передається по мережі, послідовно переглядає список правил до знаходження елемента, відповідного поточному випадку.

Важливим моментом є захист системи, на якому розміщений адміністративно-конфігураційний модуль FireWall-1. Рекомендується заборонити коштами FireWall-1 всі види доступу до даної машини, або принаймні суворо обмежити список користувачів, яким це дозволене, а також вжити заходів по фізичному обмеженню доступу і по захисту звичайними коштами ОС UNIX.

3.1.4. УПРАВЛІННЯ СИСТЕМОЮ FIREWALL-1.

На мал. 5 показані основні елементи управління системою FireWall-1.

Малюнок. 3.1.4.1

Основні елементи управління системою FireWall-1.

Зліва розташовані редактори баз даних про об'єкти, існуючі в мережі і про протоколи або сервіси, за допомогою яких відбувається обмін інформацією. Праворуч вгорі показаний редактор правил доступу.

Праворуч внизу розташовується інтерфейс контролю поточного стану системи, в якому для всіх об'єктів, які заніс туди адміністратор, відображаються дані про кількість дозволених комунікацій (галочки), про кількість знехтуваних зв'язків (знак "цегла") і про кількість комунікацій з реєстрацією (іконка олівець). Цегляна стіна за символом об'єкта (комп'ютера) означає, що на ньому встановлений модуль фільтрації системи FireWall-1.

3.1.5. ЩЕ ОДИН ПРИКЛАД РЕАЛІЗАЦІЇ ПОЛІТИКИ БЕЗПЕКИ.

Розглянемо тепер випадок, коли первинна конфігурація мережі міняється, а разом з нею міняється і політика безпеки.

Нехай ми вирішили встановити у себе в організації декілька загальнодоступних серверів для надання інформаційних послуг. Це можливо, наприклад, сервери World Wide Web, FTP або інші інформаційні сервери. Оскільки такі системи відособлені від роботи всієї іншої мережі організації, для них часто виділяють свою власну подсеть, що має вихід в Internet через шлюз.

Малюнок 3.1.5.1

Схема шлюзу Internet.

Оскільки в попередньому прикладі локальна мережа була вже захищена, то все, що нам треба зробити, це просто дозволити відповідний доступ у виділену подсеть. Це робиться за допомогою одного додаткового рядка в редакторі правил, яка тут показана. Така ситуація є типовою при зміні конфігурації FireWall-1. Звичайно для цього потрібно зміна однієї або невеликого числа рядків в наборі правил доступу, що, безсумнівно, ілюструє потужність коштів конфігурування і загальну продуманість архітектури FireWall-1.

3.1.6. АУТЕНФИКАЦИЯ КОРИСТУВАЧІВ ПРИ РОБОТІ З FTP.

Solstice FireWall-1 дозволяє адміністратору встановити різні режими роботи з інтерактивними сервісами FTP і telnet для різних користувачів і груп користувачів. При встановленому режимі аутентификація, FireWall-1 замінює стандартні FTP і telnet демони UNIX на свої власні, розташовуючи їх на шлюзі, закритому за допомогою модулів фільтрації пакетів. Користувач, бажаючий почати інтерактивну сесію по FTP або telnet (це повинен бути дозволений користувач і в дозволений для нього час), може зробити це тільки через вхід на такий шлюз, де і виконується вся процедура аутентификація. Вона задається при описі користувачів або груп користувачів і може провестися наступними способами:

- Unix-пароль;

- програма S/Key генерації одноразових паролів;

- картки SecurID з апаратною генерацією одноразових паролів.

3.1.7. ГНУЧКІ АЛГОРИТМИ ФІЛЬТРАЦІЇ UDP-ПАКЕТІВ, ДИНАМІЧНЕ ЕКРАНУВАННЯ.

UDP-протоколи, вхідні до складу набору TCP/IP, являють собою особливу проблему для забезпечення безпеки. З одного боку на їх основі створена безліч додатків. З іншого боку, всі вони є протоколами "без стану", що приводить до відсутності відмінностей між запитом і відповіддю, що приходить мережі, що ззовні захищається.

Пакет FireWall-1 вирішує цю проблему створенням контексту з'єднань понад UDP сесій, запам'ятовуючи параметри запитів. Пропускаються назад тільки відповіді зовнішніх серверів на вислані запити, які однозначно відрізняються від будь-яких інших UDP-пакетів (читай: незаконних запитів), оскільки їх параметри зберігаються в пам'яті FireWall-1.

Потрібно відмітити, що дана можливість присутня у вельми трохи програмах екранування, поширюваних в даний момент.

Помітимо також, що подібні механізми задіються для додатків, що використовують RPC, і для FTP сеансів. Тут виникають аналогічні проблеми, пов'язані з динамічним виділенням портів для сеансів зв'язку, які FireWall-1 відстежує аналогічним образом, запам'ятовуючи необхідну інформацію при запитах на такі сеанси і забезпечуючи тільки "законний" обмін даними.

Дані можливості пакету Solstice FireWall-1 різко виділяють його серед всіх інших міжмережевих екранів. Уперше проблема забезпечення безпеки вирішена для всіх без виключення сервісів і протоколів, існуючих в Internet.

3.1.8. МОВА ПРОГРАМУВАННЯ. ПРОЗОРІСТЬ І ЕФЕКТИВНІСТЬ.

Система Solstice FireWall-1 має власну вбудовану обьектно-орієнтовану мову програмування, вживану для опису поведінки модулів - Фільтрів системи. Власне говорячи, результатом роботи графічного інтерфейса адміністратора системи є сгенерированний сценарій роботи саме на цій внутрішній мові. Він не складений для розуміння, що допускає безпосереднє програмування на ньому. Однак на практиці дана можливість майже не використовується, оскільки графічний інтерфейс системи і так дозволяє зробити практично все, що треба.

FireWall-1 повністю прозорий для кінцевих користувачів. Ще однією чудовою властивістю системи Solstice FireWall-1 є дуже висока швидкість роботи. Фактично модулі системи працюють на мережевих швидкостях передачі інформації, що зумовлено компіляцією сгенерированних сценаріїв роботи перед підключенням їх безпосередньо в процес фільтрації.

Компанія Sun Microsystems приводить такі дані про ефективність роботи Solstice FireWall-1. Модулі фільтрації на Internet-шлюзі, сконфигурированние типовим для багатьох організацій образом, працюючи на швидкостях звичайного Ethernet в 10 Мб/січеному, забирають на себе не більше за 10% обчислювальних потужності процесора SPARCstation 5,85 МГц або комп'ютера 486DX2-50 з операційною системою Solaris/x86.

Solstice FireWall-1 - ефективний засіб захисту корпоративних мереж і їх сегментів від зовнішніх загроз, а також від несанкціонованих взаємодій локальних користувачів із зовнішніми системами.

Solstice FireWall-1 забезпечує високоуровневую підтримку політики безпеки організації по відношенню до всіх протоколів сімейства TCP/IP.

Solstice FireWall-1 характеризується прозорістю для легальних користувачів і високою ефективністю.

По сукупності технічних і вартісних характеристик Solstice FireWall-1 займає лідируючу позицію серед міжмережевих екранів.

3.2. Обмеження доступу в WWW серверах.

Розглянемо два з них:

- Обмежити доступ за IP адресами клієнтських машин;

- ввести ідентифікатор одержувача з паролем для даного вигляду документів.

Такого роду введення обмежень став використовуватися досить часто, т. до. багато які прагнуть в Internet, щоб використати його комунікації для доставки своєї інформації споживачу. За допомогою такого роду механізмів по розмежуванню прав доступу зручно проводити саморассилку інформації на отримання якої існує договір.

3.2.1. Обмеження за IP адресами.

Доступ до приватним документів можна дозволити, або навпаки заборонити використовуючи IP адреси конкретних машин або сіток, наприклад:

123.456.78.9

123.456.79.

У цьому випадку доступ буде дозволений (або заборонений в залежності від контексту) для машини з IP адресою 123.456.78.9 і для всіх машин подсетки 123.456.79.

3.2.2. Обмеження по ідентифікатору одержувача.

Доступ до приватним документів можна дозволити, або навпаки заборонити використовуючи привласнене ім'я і пароль конкретному користувачу, причому пароль в явному вигляді ніде не зберігається.

Розглянемо такий приклад: Агенство друку надає свою продукцію, тільки своїм підписчикам, які уклали договір і сплатили підписку. WWW Сервер знаходиться в мережі Internet і загальнодоступний.

Малюнок 3.2.2.1

Приклад списку вісників видавництва.

Виберемо Вісник що надається конкретному підписчику. На клієнтському місці підписчик отримує повідомлення:

Рісунок.3.2.2.2

Вікно введення пароля.

Якщо він правильно написав своє ім'я і пароль, то він допускається до документа, в іншому випадку - отримує повідомлення:

Рісунок.3.2.2.3

Вікно неправильного введення пароля.

3.3 Інформаційна безпека в Intranet.

Архітектура Intranet має на увазі підключення до зовнішніх відкритих мереж, використання зовнішніх сервісів і надання власних сервісів зовні, що пред'являє підвищені вимоги до захисту інформації.

У Intranet-системах використовується підхід клієнт-сервер, а головна роль на сьогоднішній день відводиться Web-сервісу. Web-сервери повинні підтримувати традиційні захисні кошти, такі як аутентификація і розмежування доступу; крім того, необхідно забезпечення нових властивостей, особливо безпеки програмної середи і на серверний, і на клієнтській сторонах.

Такі, якщо говорити зовсім стисло, задачі в області інформаційної безпеки, виникаючі в зв'язку з переходом на технологію Intranet. Далі ми розглянемо можливі підходи до їх рішення.

Формування режиму інформаційної безпеки - проблема комплексна.

Заходи за її рішенням можна розділити на чотири рівні:

- законодавчий (закони, нормативні акти, стандарти і т. п.);

- адміністративний (дії загального характеру, організації, що робляться керівництвом );

- процедурний (конкретні заходи безпеки, що мають справу з людьми);

- програмно-технічний (конкретні технічні заходи).

3.3.1. РОЗРОБКА МЕРЕЖЕВИХ АСПЕКТІВ ПОЛІТИКИ БЕЗПЕКИ.

Політика безпеки визначається як сукупність документованих

управлінських рішень, направлених на захист інформації і асоційованих з нею ресурсів.

При розробці і проведенні її в життя доцільно керуватися наступними принципами:

- неможливість минути захисні кошти;

- посилення самого слабої ланки;

- неможливість переходу в небезпечний стан;

- мінімізація привілеїв;

- розділення обов'язків;

- ешелонированность оборони;

- різноманітність захисних коштів;

- простота і керованість інформаційної системи;

- забезпечення загальної підтримки заходів безпеки.

Пояснимо значення перерахованих принципів.

Якщо у зловмисника або незадоволеного користувача з'явиться можливість минути захисні кошти, він, зрозуміло, так і зробить. Застосовно до міжмережевих екранів даний принцип означає, що всі інформаційні потоки в мережу, що захищається і з неї повинні пройти через екран. Не повинно бути "таємних" модемних входів або тестових ліній, що йдуть в обхід екрана.

Надійність будь-якої оборони визначається самим слабою ланкою. Зловмисник не буде боротися проти сили, він віддасть перевагу легкій перемозі над слабістю. Часто самим слабою ланкою виявляється не комп'ютер або програма, а людина, і тоді проблема забезпечення інформаційної безпеки набуває нетехнічного характеру.

Принцип невозможностиперехода в небезпечний стан означає, що при будь-яких обставинах, в тому числі нештатних, захисний засіб або повністю виконує свої функції, або повністю блокує доступ. Образно говорячи, якщо в міцності механізм підіймального моста ламається, міст повинен залишатися в піднятому стані, перешкоджаючи проходу ворога.

Принцип минимизациипривилегий наказує виділяти користувачам і адміністраторам тільки ті права доступу, які необхідні ним для виконання службових обов'язків.

Принцип разделенияобязанностей передбачає такий розподіл ролей і відповідальності, при якому одна людина не може порушити критично важливий для організації процес. Це особливо важливе, щоб запобігти зловмисним або некваліфікованим діям системного адміністратора.

Принцип ешелонированности оборонипредписивает не покладатися на один захисний рубіж, яким би надійним він ні здавався. За коштами фізичного захисту повинні слідувати програмно-технічні засоби, за ідентифікацією і аутентификація - управління доступом і, як останній рубіж, - протоколювання і аудит. Ешелонована оборона здатна принаймні заримувати зловмисника, а наявність такого рубежу, як протоколювання і аудит, істотно утрудняє непомітне виконання зловмисних дій.

Принцип різноманітності захисних средстврекомендует організовувати різні по своєму характеру оборонні рубежі, щоб від потенційного зловмисника було потрібен оволодіння різноманітними і, по можливості, несумісними між собою навиками (наприклад умінням долати високу огорожу і знанням слабостей декількох операційних систем).

Дуже важливий принцип простотії керованості інформаційної системи загалом і захисних коштів особливо. Тільки для простого захисного засобу можна формально або неформально довести його коректність. Тільки в простій і керованій системі можна перевірити узгодженість конфігурації різних компонентів і здійснити централізоване адміністрування. У зв'язку з цим важливо відмітити інтегруючу роль Web-сервісу, що приховує різноманітність об'єктів, що обслуговуються і що надає єдиний, наочний інтерфейс. Відповідно, якщо об'єкти деякого вигляду (скажемо таблиці бази даних) доступні через Web, необхідно заблокувати прямий доступ до них, оскільки в іншому випадку система буде складною і трудноуправляемой.

Останній принцип- загальна підтримка заходів безпеки - носить нетехнічний характер. Якщо користувачі і/або системні адміністратори вважають інформаційну безпеку чимсь зайвим або навіть ворожим, режим безпеки сформувати явно не вдасться. Слідує з самого почала передбачити комплекс заходів, направлений на забезпечення лояльності персоналу, на постійне навчання, теоретичне і, головне, практичне.

Аналіз ризиків - найважливіший етап виробітку політики безпеки. При оцінці ризиків, яким схильні Intranet-системи, треба враховувати наступні обставини:

- нові загрози по відношенню до старих сервісів, витікаючі з можливості пасивного або активного прослуховування мережі. Пасивне прослуховування означає читання мережевого трафіка, а активне - його зміна (крадіжку, дублювання або модифікацію даних, що передаються ). Наприклад, аутентификація видаленого клієнта за допомогою пароля багаторазового використання не може вважатися надійною в мережевому середовищі, незалежно від довжини пароля;

- нові (мережеві) сервіси і асоційовані з ними загрози.

Як правило, в Intranet-системах потрібно дотримуватися принципу "все, що не дозволено, заборонене", оскільки "зайвий" мережевий сервіс може надати канал проникнення в корпоративну систему. У принципі, ту ж думку виражає положення "все незрозуміле небезпечно".

3.3.1. ПРОЦЕДУРНІ ЗАХОДИ.

Загалом і в цілому Intranet-технологія не пред'являє яких-небудь специфічних вимог до заходів процедурного рівня. На наш погляд, окремого розгляду заслуговують лише дві обставини:

- опис посад, пов'язаних з визначенням, наповненням і підтримкою корпоративної гіпертекстової структури офіційних документів;

- підтримка життєвого циклу інформації, що наповнює Intranet.

При описі посад доцільно вийти з аналогії між Intranet і видавництвом. У видавництві існує директор, що визначає загальну спрямованість діяльності. У Intranet йому відповідає Web-адміністратор, вирішальний, яка корпоративна інформація повинна бути присутній на Web-сервері і як слід структурувати дерево (точніше, граф) HTML-документів.

У многопрофильних видавництвах існують редакції, що займаються конкретними напрямами (математичні книги, книги для дітей і т. п.). Аналогічно, в Intranet доцільно виділити посаду публикатора, що відає появою документів окремих підрозділів і що визначає перелік і характер публікацій.

У кожної книги є титульний редактор, що відповідає перед видавництвом за свою роботу. У Intranet редактори займаються вставкою документів в корпоративне дерево, їх корекцією і видаленням. У великих організаціях "шар" публикатор/редактор може складатися з декількох рівнів.

Нарешті, і у видавництві, і в Intranet повинні бути автори, що створюють документи. Підкреслимо, що вони не повинні мати прав на модифікацію корпоративного дерева і окремих документів. Їх справа - передати свій труд редактору.

Крім офіційних, корпоративних, в Intranet можуть бути присутній групові і особисті документи, порядок роботи з якими (ролі, права доступу) визначається, відповідно, груповими і особистими інтересами.

Переходячи до питань підтримку життєвого циклу Intranet-інформації, нагадаємо про необхідність використання коштів конфігураційного управління. Важливе достоїнство Intranet-технології складається в тому, що основні операції конфігураційного управління - внесення змін (створення нової версії) і видобування старої версії документа - природним образом вписуються в рамки Web-інтерфейса. Ті, для кого це необхідне, можуть працювати з деревом всіх версій всіх документів, підмножиною якого є дерево самих свіжих версій.

3.3.3. УПРАВЛІННЯ ДОСТУПОМ ШЛЯХОМ ФІЛЬТРАЦІЇ ІНФОРМАЦІЇ.

Ми переходимо до розгляду заходів програмно-технічного рівня, направлених на забезпечення інформаційної безпеки систем, побудованих в технології Intranet. На перше місце серед таких заходів ми поставимо міжмережеві екрани - засіб розмежування доступу, службовець для захисту від зовнішніх загроз і від загроз з боку користувачів інших сегментів корпоративних мереж.

Відмітимо, що боротися із загрозами, властивими мережевій середі, коштами універсальних операційних систем не представляється можливим. Універсальна ОС - це величезна програма, напевно вмісна, крім явних помилок, деякі особливості, які можуть бути використані для отримання нелегальних привілеїв. Сучасна технологія програмування не дозволяє зробити так великі програми безпечною. Крім того, адміністратор, що має справу зі складною системою, далеко не завжди спроможний врахувати всі наслідки вироблюваних змін (як і лікар, що не відає всіх побічних впливів рекомендованих ліків). Нарешті, в універсальній многопользовательской системі бреші в безпеці постійно створюються самими користувачами (слабі і/або рідко змінні паролі, невдало встановлені права доступу, залишений без нагляду термінал і т. п.).

Як вказувалося вище, єдиний перспективний шлях пов'язаний з розробкою спеціалізованих захисних коштів, які внаслідок своєї простоти допускають формальну або неформальну верифікацію. Міжмережевий екран якраз і є таким засобом, що допускає подальшу декомпозицию, пов'язану з обслуговуванням різних мережевих протоколів.

Міжмережевий екран - це полупроницаемая мембрана, яка розташовується між мережею, що захищається (внутрішньої) і зовнішньою середою (зовнішніми мережами або іншими сегментами корпоративної мережі) і контролює всі інформаційні потоки у внутрішню мережу і з неї. Контроль інформаційних потоків складається в їх фільтрації, тобто у вибірковому пропусканні через екран, можливо, з виконанням деяких перетворень і сповіщенням відправника про те, що його даним в пропуску відмовлено. Фільтрація здійснюється на основі набору правил, заздалегідь завантажених в екран і мережевих аспектів політики, що є вираженням безпеки організації.

Малюнок 3.3.3.1

Міжмережевий екран як засіб контролю інформаційних потоків.

Доцільно розділити випадки, коли екран встановлюється на межі із зовнішньою (звичайно загальнодоступної) мережею або на межі між сегментами однієї корпоративної мережі. Відповідно, ми буде говорити про зовнішній і внутрішній міжмережеві екрани.

Як правило, при спілкуванні із зовнішніми мережами використовується виключно сімейство протоколів TCP/IP. Тому зовнішній міжмережевий екран повинен враховувати специфіку цих протоколів. Для внутрішніх екранів ситуація складніше, тут потрібно брати до уваги крім TCP/IP принаймні протоколи SPX/IPX, вживані в мережах Novell NetWare. Інакшими словами, від внутрішніх екранів нерідко потрібно многопротокольность.

Ситуації, коли корпоративна мережа містить лише один зовнішній канал, є, швидше, виключенням, ніж правилом. Навпаки, типова ситуація, при якій корпоративна мережа складається з декількох територіально рознесених сегментів, кожний з яких підключений до мережі загального користування. У цьому випадку кожне підключення повинно захищатися своїм екраном. Точніше говорячи, можна вважати, що корпоративний зовнішній міжмережевий екран є складовим, і потрібно вирішувати задачу узгодженого адміністрування (управління і аудиту) всіх компонентів.

Малюнок 3.3.3.2

Екранування корпоративної мережі, що складається з декількох територіально рознесених сегментів, кожний з яких підключений до мережі загального користування.

При розгляді будь-якого питання, що стосується мережевих технологій, основою служить семиуровневая еталонна модель ISO/OSI. Міжмережеві екрани також доцільно класифікувати по тому, на якому рівні проводиться фільтрація - канальному, мережевому, транспортному або прикладному. Відповідно, можна говорити про екрануючу концентраторах (рівень 2), маршрутизатори (рівень 3), про транспортне екранування (рівень 4) і про прикладні екрани (рівень 7). Існують також комплексні екрани, що аналізують інформацію на декількох рівнях.

При прийнятті рішення "пропустити/не пропустити", міжмережеві екрани можуть використати не тільки інформацію, що міститься в потоках, що фільтруються, але і дані, отримані з оточення, наприклад поточний час.

Таким чином, можливості міжмережевого екрана безпосередньо визначаються тим, яка інформація може використовуватися в правилах фільтрації і яка може бути потужність наборів правил. Взагалі говорячи, чим вище рівень в моделі ISO/OSI, на якому функціонує екран, тим більше змістовна інформація йому доступна і, отже, тим тонше і надійніше екран може бути сконфигурирован. У той же час фільтрація на кожному з перерахованих вище рівнів володіє своїми достоїнствами, такими як дешевизна, висока ефективність або прозорість для користувачів. Внаслідок цієї, а також деяких інших причин, в більшості випадків використовуються змішані конфігурації, в яких об'єднані різнотипні екрани. Найбільш типовим є поєднання екрануючих маршрутизаторів і прикладного екрана.

Приведена конфігурація називається екрануючої подсетью. Як правило, сервіси, які організація надає для зовнішнього застосування (наприклад "представницький" Web-сервер), доцільно винести якраз в екрануючу подсеть.

Крім виразних можливостей і допустимої кількості правил якість міжмережевого екрана визначається ще двома дуже важливими характеристиками - простотою застосування і власною захищеністю. У плані простоти використання першорядне значення мають наочний інтерфейс при завданні правив фільтрації і можливість централізованого адміністрування складових конфігурацій. У свою чергу, в останньому аспекті хотілося б виділити кошти централізованого завантаження правил фільтрації і перевірки набору правил на несуперечність. Важливий і централізований збір і аналіз реєстраційної інформації, а також отримання сигналів про спроби виконання дій, заборонені політикою безпеки.

Власна захищеність міжмережевого екрана забезпечується тими ж коштами, що і захищеність універсальних систем. При виконанні централізованого адміністрування потрібно ще потурбуватися про захист інформації від пасивного і активного прослуховування мережі, тобто забезпечити її (інформації) цілісність і конфіденційність.

Малюнок 3.3.3.3

Поєднання екрануючих маршрутизаторів і прикладного екрана.

Хотілося б підкреслити, що природа екранування (фільтрації), як механізму безпеки, дуже глибока. Крім блокування потоків даних, що порушують політику безпеки, міжмережевий екран може приховувати інформацію про мережу, що захищається, тим самим утрудняючи дії потенційних зловмисників. Так, прикладний екран може здійснювати дії від імені суб'єктів внутрішньої мережі, внаслідок чого із зовнішньої мережі здається, що має місце взаємодію виключно з міжмережевим екраном. При такому підході топологія внутрішньої мережі прихована від зовнішніх користувачів, тому задача зловмисника істотно ускладнюється.

Малюнок 3.3.3.4

Істинні і уявні інформаційні потоки.

Більш загальним методом приховання інформації про топологію мережі, що захищається є трансляція "внутрішніх" мережевих адрес, яка попутно вирішує проблему розширення адресного простору, виділеного організації.

Обмежуючий інтерфейс також можна розглядати як різновид екранування. На невидимий об'єкт важко нападати, особливо за допомогою фіксованого набору коштів. У цьому значенні Web-інтерфейс володіє природним захистом, особливо в тому випадку, коли гіпертекстові документи формуються динамічно. Кожний бачить лише те, що йому встановлено.

Екрануюча роль Web-сервісу наочно виявляється і тоді, коли цей сервіс здійснює посередницькі (точніше, інтегруючі) функції при доступі до інших ресурсів, зокрема таблиць бази даних. Тут не тільки контролюються потоки запитів, але і переховується реальна організація баз даних.

3.3.4. БЕЗПЕКА ПРОГРАМНОЇ СЕРЕДИ.

Ідея мереж з так званими активними агентами, коли між комп'ютерами передаються не тільки пасивні, але і активні дані (тобто програми), що виконуються, зрозуміло, не нова. Спочатку мета полягала в тому, щоб зменшити мережевий трафік, виконуючи основну частину обробки там, де розташовуються дані (наближення програм до даних). На практиці це означало переміщення програм на сервери. Класичний приклад реалізації подібного підходу - це процедури, що зберігаються в реляційній СУБД.

Для Web-серверів аналогом процедур, що зберігаються є програми, обслуговуючі загальний шлюзовий інтерфейс (Common Gateway Interface - CGI).

CGI-процедури розташовуються на серверах і звичайно використовуються для динамічного породження HTML-документів. Політика безпеки організації і процедурні заходи повинні визначати, хто має право вміщувати на сервер CGI-процедури. Жорсткий контроль тут необхідний, оскільки виконання сервером некоректної програми може привести до як бажано важким наслідкам. Розумна міра технічного характеру складається в мінімізації привілеїв користувача, від імені якого виконується Web-сервер.

У технології Intranet, якщо піклуватися про якість і виразну силу призначеного для користувача інтерфейса, виникає потреба в переміщенні програм з Web-серверів на клієнтські комп'ютери - для створення анимації, виконання семантичного контролю при введенні даних і т. д. Взагалі, активні агенти - невід'ємна частина технології Intranet.

У якому б напрямі ні переміщалися програми по мережі, ці дії представляють підвищену небезпеку, т. до. програма, отримана з ненадійного джерела, може містити ненавмисно внесені помилки або цілеспрямовано створений шкідливий код. Така програма потенційно загрожує всім основним аспектам інформаційної безпеки:

- доступність (програма може поглинути всі готівку ресурси);

- цілісність (програма може видалити або пошкодити дані);

- конфіденційність (програма може прочитати дані і передати їх по мережі).

3.3.5. ЗАХИСТ WEB-СЕРВЕРІВ.

Нарівні із забезпеченням безпеки програмної середи найважливішим буде питання про розмежування доступу до об'єктів Web-сервісу. Для розв'язання цього питання необхідно уясняти, що є об'єктом, як ідентифікуються суб'єкти і яка модель управління доступом - примусова або довільна - застосовується.

У Web-серверах об'єктами доступу виступають універсальні локатори ресурсів (URL - Uniform (Universal) Resource Locator). За цими локаторами можуть стояти різні сутності - HTML-файли, CGI-процедури і т. п.

Як правило, суб'єкти доступу ідентифікуються за IP-адресами і/або іменами комп'ютерів і областей управління. Крім того, може використовуватися парольная аутентификація користувачів або більш складні схеми, засновані на криптографічних технологіях.

У більшості Web-серверів права розмежовуються з точністю до каталогів (директорий) із застосуванням довільного управління доступом. Можуть надаватися права на читання HTML-файлів, виконання CGI-процедур і т. д.

Для раннього виявлення спроб нелегального проникнення в Web-сервер важливий регулярний аналіз реєстраційної інформації.

Зрозуміло, захист системи, на якому функціонує Web-сервер, повинен слідувати універсальним рекомендаціям, головної з яких є максимальне спрощення. Всі непотрібні сервіси, файли, пристрої повинні бути видалені. Число користувачів, що мають прямий доступ до сервера, повинне бути зведене до мінімуму, а їх привілеї - впорядковані у відповідності зі службовими обов'язками.

Ще один загальний принцип складається в тому, щоб мінімізувати обсяг інформації про сервер, яку можуть отримати користувачі. Багато які сервери у разі звертання на ім'я каталога і відсутність файла index.HTML в ньому, видають HTML-варіант змісту каталога. У цьому змісті можуть зустрітися імена файлів з початковими текстами CGI-процедур або з інакшою конфіденційною інформацією. Такого роду "додаткові можливості" доцільно відключати, оскільки зайве знання (зловмисника) множить смутки (власника сервера).

3.3.6. АУТЕНТИФИКАЦІЯ В ВІДКРИТИХ МЕРЕЖАХ.

Методи, вживані у відкритих мережах для підтвердження і перевірки автентичності суб'єктів, повинні бути стійкі до пасивного і активного прослуховування мережі. Суть їх зводиться до наступного.

- Суб'єкт демонструє знання секретного ключа, при цьому ключ або взагалі не передається по мережі, або передається в зашифрованому вигляді.

- Суб'єкт демонструє володіння програмним або апаратним засобом генерації одноразових паролів або засобом, працюючим в режимі "запит-відповідь". Неважко помітити, що перехоплення і подальше відтворення одноразового пароля або відповіді на запит нічого не дає зловмиснику.

- Суб'єкт демонструє автентичність свого місцеположення, при цьому використовується система навігаційних супутників.

3.3.7. ПРОСТОТА І ОДНОРІДНІСТЬ АРХІТЕКТУРИ.

Найважливішим аспектом інформаційної безпеки є керованість системи. Керованість - це і підтримка високої доступності системи за рахунок раннього виявлення і ліквідації проблем, і можливість зміни апаратної і програмної конфігурації відповідно до умов, що змінилися або потреб, і сповіщення про спроби порушення інформаційної безпеки практично в реальному часі, і зниження числа помилок адміністрування, і, багато що інше.

Найбільш гостро проблема керованості встає на клієнтських робочих місцях і на стику клієнтської і серверний частин інформаційної системи. Причина проста - клієнтських місць набагато більше, ніж серверний, вони, як правило, розкидані по значно більшій площі, їх використовують люди з різною кваліфікацією і звичками. Обслуговування і адміністрування клієнтських робочих місць - заняття надзвичайно складне, дороге і здатне викликати помилки. Технологія Intranet за рахунок простоти і однорідності архітектури дозволяє зробити вартість адміністрування клієнтського робочого місця практично нульовою. Важливо і те, що заміна і повторне введення в експлуатацію клієнтського комп'ютера можуть бути здійснені дуже швидко, оскільки це "клієнти без стану", у них немає нічого, що вимагало б тривалого відновлення або конфігурування.

На стику клієнтської і серверний частин Intranet-системи знаходиться Web-сервер. Це дозволяє мати єдиний механізм реєстрації користувачів і наділення їх правами доступу з подальшим централізованим адмініструванням. Взаємодія з численними різнорідними сервісами виявляється прихованою не тільки від користувачів, але і значною мірою від системного адміністратора.

Задача забезпечення інформаційної безпеки в Intranet виявляється більш простій, ніж у разі довільних розподілених систем, побудованих в архітектурі клієнт/сервер. Причина тому - однорідність і простота архітектури Intranet. Якщо розробники прикладних систем зуміють в повній мірі скористатися цією перевагою, то на програмно-технічному рівні ним буде досить декількох недорогих і простих в освоєнні продуктів. Правда, до цього необхідно додати продуману політику безпеки і цілісний набір заходів процедурного рівня.

3.4. PGP.

Алгоритми шифрування реалізовуються програмними або апаратними засобами. Є велика безліч чисто програмних реалізацій різних алгоритмів. Через свою дешевизну (деякі і зовсім безкоштовні), а також все більшу швидкодію процесорів ПЕВМ, простоти роботи і безвідмовності вони вельми конкурентоздатні.

Не можна не згадати пакет PGP (Pretty Good Privacy, автор Philip Zimmermann), в якому комплексно вирішені практично всі проблеми захисту інформації, що передається. Застосовані стиснення даних перед шифруванням, могутнє управління ключами, обчислення контрольної функції для цифрового підпису, надійна генерація ключів.

У Internet фактичним стандартом шифрування є програма PGP (Pretty Good Privacy), розроблена в 1991 році Пилипом Циммерманом. PGP дозволяє зашифровувати повідомлення так, щоб тільки одержувачі могли їх прочитати, або ставити на них цифрові підписи так, щоб можна було пересвідчитися в автентичності автора. У даний момент програма доступна на платформах UNIX, DOS, Macintosh і VAX. PGP вільно розповсюджується по Internet для некомерційних користувачів разом з 75-сторінковим довідковим керівництвом. Крім того, остання версія PGP 2.6.6 можна придбати в MIT.

PGP працює таким чином. У кожного користувача є два ключі: секретний ключ і відкритий ключ. Секретний ключ він залишає в таємниці, а відкритий повідомляє всім своїм приятелям. За допомогою кожного з ключів можна прочитати повідомлення, зашифроване за допомогою іншого. Якщо ваші колеги хочуть послати вам конфіденційне повідомлення, вони можуть скористатися вашим відкритим PGP-ключем; за допомогою секретного ключа воно може бути розшифроване. Якщо ж ви хочете поставити цифровий підпис, в цьому вам допоможе секретний ключ; при цьому у одержувача обов'язково повинен бути примірник відкритого ключа.

PGP призначена, насамперед, для захисту електронної пошти, хоч її цілком можна використати і для захисту файлів на жорсткому диску. Особливо привабливими рисами PGP є численні plug-ins для популярних поштових програм, таких як Eudora, Netscape і Outlook. Plug-ins настроюють PGP для цих програм і доповнюють їх деякими приємними дрібницями, такими, як додаткова кнопка панелі інструментів. Іконка в правому нижньому кутку (tray), спливаюча панель інструментів (floating toolbox) і меню правої клавіші мишки (right-click menu) в PGP надзвичайно логічно і зручно продумані. Тому вона дуже проста в управлінні.

Як тільки ви створили свої ключі для шифрування, можете сполучитися з одним з PGP-серверів і розмістити в ньому свій відкритий ключ. З цього моменту кожний, хто хоче, може послати вам електронну пошту в зашифрованому вигляді. Якщо ви використовуєте переважно одну і ту ж поштову програму, шифрування і дешифрування буде не складніше простого натиснення кнопки. Якщо ж ви використовуєте різні програми, досить буде забрати лист в буфер і дати команду шифрувати в буфері. Після цього можна повернути лист в поштову програму і відіслати.

PGP особливо бистродейственна при пересилці зашифрованої інформації користувачам Mac. Опція Smart Binary нових версій полегшує пересилку зашифрованих листів з Mac на Windows (і в зворотному напрямі).

Можна зіткнутися з системою захисту PGP в програмі, яка називається Nuts & Bolts, виробництво Helix Software. Це та ж програма, тільки PGP - більш нова версія. Network Associates поглинула Helix і заволоділа правами на продукт. Нова версія PGP for Personal Privacy - сумісна з попередніми версіями, в тому числі Nuts & Bolts. У цілому Pretty Good Privacy - це приємна і зручна в роботі програма.

Основні команди PGP

pgp два ключі і ваша зв'язка відритих ключів.

Pgp -kx [a]имя_пользователяИзвлечь ключ (наприклад, ваш відкритий ключ)

із зв'язки ключів, щоб передати його кому-небудь ще.

Pgp чий-небудь ключ в зв'язку.

Pgp одержувач/получателиЗашифровать файл так, щоб тільки певні

користувачі могли його прочитати (ля цього необхідно мати копію

відповідних відритих ключів).

Pgp одержувач/получателиЗашифровать файл і поставити цифровий підпис.

Pgp цифровий підпис.

(Створюється двійковий файл, який не так просто переслати поштою;

одержувачам необхідно скористатися PGP).

Pgp цифровий підпис і зберегти

результат як ASCII-текст. (Просто пересилається по мережі, але також вимагає PGP для прочитання).

Pgpзашифрованний_файлПроверить підпис на зашифрованому файлі.

Pgpзашифрованний_файл расшифрованний_файлРасшифровать присланий файл.

3.5. Blowfish.

Blowfish 97 використовує ряд схем систем захисту в два етапи. Первинний механізм шифрування базується на Blowfish, яку розробив в 1993 році Bruce Schneier. Blowfish - це симетричний шифр, який використовує ключі змінної довжини - від 32 біт до 448 біт. Система захисту Blowfish не запатентована, і, отже, дозволена для використання в будь-якому продукті, в який входить. Існують чотири різних варіанти Blowfish, ви часто можете зустрітися з нею серед опцій багатьох програм захисту.

< !"DOCTYPE HTML PUBLIC -//W3C//DTD HTML 3.2//EN" >

Blowfish - блоковий шифр з ключем змінної довжини. Це підходить для додатків, де ключ змінюється не часто, подібних лінії зв'язку або автоматичний шифрователю файла. Він значно швидше, ніж DES при виконанні на 32-битних процесорах з великим КЕШем даних, таких як Pentium і PowerPC.

ОПИС АЛГОРИТМУ

Blowfish - 64-битний блоковий шифр з ключем змінної довжини. Алгоритм включає в себе 2 частини: частина розширення ключів і частина шифрування даних. Розширення ключа перетворює ключ, в більшості 448-битний, в декілька підсумовуваних масивів подключей в 4168 байт.

Шифрування даних відбувається через 16-ітераційну мережу Feistel. Кожна ітерація складається з ключа-залежної перестановки, і що залежить від ключа і даних заміни. Всі операції - XOR і складання на 32-битних словах. Єдині додаткові операції - 4 пошуки в індексованих масивах на ітерацію.

Підключи: Blowfish використовує велику кількість подключей. Ці ключі повинні бути заздалегідь обчислені перед будь-яким шифруванням даних або розшифровкою.

1. Р-масив включає 18 32-битних подключей:

P1, P2,..., P18.

2. Є чотири 32-битних S-блоки з 256 входами кожний:

S1,0, S1,1,..., S1,255;

S2,0, S2,1,..,, S2,255;

S3,0, S3,1,..., S3,255;

S4,0, S4,1,..,, S4,255.

Шифрування: Blowfish - мережа Feistel, яка включає 16 ітерацій.

Реалізації Blowfish, які вимагають найбільших швидкостей, не повинні організовуватися в цикле, що гарантує присутність всіх подключей в КЕШе.

Усього, 521 ітерація потрібно, для генерації всіх необхідних подключей. Прикладні програми можуть зберегти підключи, щоб скоротити час.

MINI-BLOWFISH

Наступні малі версії Blowfish визначені виключно для криптоаналіз. Вони не пропонуються для реалізації. Blowfish-32 має розмір блоку в 32 біти, і масиви подключей з 16 битними входами (кожний S-блок має 16 входів). Blowfish-16 має розмір блоку в 16-біт, і масиви подключей з 8-битними входами (кожний S-блок має 4 входи).

РЕАЛІЗАЦІЯ ПРОЕКТУ

Імовірність помилок в реалізації алгоритму мала, т. до. самі S блоки і Р-блок дуже прості. 64-битний блок насправді розбивається на 32-битние слова, що сумісне з існуючими алгоритмами. У Blowfish можна легко підвищувати розмір блоку до 128-біт, і знижувати розмір блоку. Криптоаналіз варіантів мини може бути значно простіше, ніж криптоаналіз повної версії.

Мережа Feistel, що становить тіло Blowfish, розроблена так, щоб при найбільшій простоті вона зберігала свої криптографічні властивості.

У проекті алгоритму існує два способи гарантувати, що ключ є досить довгим, щоб досягнути потрібного рівня захисту. Перший в тому, щоб ретельно розробити алгоритм так, щоб ентропія випадково введеного ключа зберігалася, оскільки тоді не існує іншого методу криптоаналіз, крім атаки в "лоб". Інший спосіб - в збільшенні довжини ключа настільки, що зменшення ефективності ключа на декілька бітів не дає великих переваг. Оскільки Blowfish розроблений для великих процесорів з великим розміром пам'яті я вибрав останній спосіб.

Віднімаючий багато часу процес породження подключей додає складність для нападу "в лоб". Всього 522 ітерацій алгоритму шифрування потрібно, щоб перевірити один ключ, що додає 29 кроків при будь-якому напад в лоб.

МОЖЛИВІ СПРОЩЕННЯ

Менша кількість ітерацій. Ймовірно, можливе зменшення кількості ітерацій з 16 до 8 без сильного ослаблення захисту. Число ітерацій необхідних для захисту може залежати від довжини ключа. Зверніть увагу, що з процедурою породження, що є подключа, алгоритм з 8 ітераціями не може обробляти ключ довжиною більше 192 біт.

Безперервне обчислення подключа. Поточний метод обчислення подключей вимагає, щоб все підключи обчислювалися перед будь-яким шифруванням. Фактично неможливо обчислити останній подключ останнього S-блоку без обчислення перед цим попереднього ключа. Був би переважніше альтернативний метод обчислення подключа: коли кожний подключ може бути обчислений незалежно від іншого подключа. Високоякісні реалізації могли б заздалегідь обчислювати підключи для більш високої швидкості, але реалізації з низькими вимогами можуть обчислювати підключи, коли це необхідне.

Найбільш ефективний спосіб зламати Blowfish - через повний перебір ключів Початковий текст на Сі і тестові вектори може отримати будь-який, бажаючий реалізувати алгоритм, у відповідність із законами США про експорт.

Blowfish незапатентован, і буде таким залишатися у всіх країнах. Алгоритм тим самим вміщений в загальну область і може бути використаний будь-яким.

Blowfish - це проста і легка в розумінні програма. Панель інструментів містить тільки картинки і жодного слова. Чітка система підказок. Вибравши файл, і натиснувши на зображення «замка», ви отримаєте повідомлення, що зараз можливе використання шифрування тільки з ключем з п'яти позицій, але після реєстрації доступними будуть і 32000-символьні ключі шифрування. Після введення ключа процес шифрування триває декілька секунд. Файл отримує нове розширення (. BFA), яке служить командою для операційної системи при зустрічі з ним запустити в дію Blowfish Advanced.

У мережі існує також захисна програма під Windows 95/NT, яка використовує механізм Blowfish. EncLib 5/5 Використовує для шифрування варіанти Blowfish CDC і ECB.

3.6.KERBEROS.

Розвиток криптології з відкритим ключем дозволив криптологическим системам досить швидко знайти широке комерційне застосування. Але інтенсивне використання криптографії не обходиться без "накладок". Час від часу з'являється інформація про прикрощі в тій або інакшій системі захисту. Останнім гучним в світі випадком став злом системи Kerberos. Система ця, розроблена в середині 80-х років, досить популярна в світі, і її злом викликав чималий неспокій користувачів.

Проблема захисту комп'ютерних мереж від несанкціонованого доступу придбала особливу гостроту. Розвиток комунікаційних технологій дозволяє будувати мережі розподіленої архітектури, об'єднуючі велику кількість сегментів, розташованих на значному видаленні один від одного. Все це спричиняє збільшення числа вузлів мереж, розкиданих по всьому світу, і кількості різних ліній зв'язку між ними, що, в свою чергу, підвищує ризик несанкціонованого підключення до мережі для доступу до важливої інформації. Особливо неприємної така перспектива може виявитися для банківських або державних структур, що володіють секретною інформацією комерційного або будь-якого іншого характеру. У цьому випадку необхідні спеціальні кошти ідентифікації користувачів в мережі, що забезпечують доступ до інформації лише у разі повної упевненості в наявності у користувача прав доступу до неї. Існує ряд розробок, що дозволяють з високою мірою надійності ідентифікувати користувача при вході в систему. Серед них, наприклад, є технології, що ідентифікують користувача по сітчатці ока або відбиткам пальців. Крім того, ряд систем використовує технології, засновані на застосуванні спеціального ідентифікаційного коду, що постійно передається по мережі. Так, при використанні пристрою (фірми Security Dinamics) забезпечується додаткова інформація про користувача у вигляді шестизначного коду. У цьому випадку робота в мережі неможлива без наявності спеціальної карти SecureID (схожої на кредитну), яка забезпечує синхронізацію коду користувача, що змінюється з тими, що зберігаються на UNIX-хосте. При цьому доступ в мережу і робота в ній може здійснюватися лише при знанні поточного значення коду, який відображається на дисплеї пристрою SecureID. Однак основним недоліком цієї і їй подібних систем є необхідність в спеціальному обладнанні, що викликає незручності в роботі і додаткові витрати. Система Kerberos (по-російському - Цербер), розроблена учасниками проекту Athena, забезпечує захист мережі від несанкціонованого доступу, базуючись виключно на програмних рішеннях, і передбачає багаторазове шифрування керуючої інформації, що передається по мережі. Kerberos забезпечує ідентифікацію користувачів мережі і серверів, не засновуючись на мережевих адресах і особливостях операційних систем робочих станцій користувачів, не вимагаючи фізичного захисту інформації на всіх машинах мережі і виходячи з припущення, що пакети в мережі можуть бути легко прочитані і при бажанні змінені.

Клієнт/Kerberos/Сервер.

Kerberos має структуру типу клієнт/сервер і складається з клієнтських частин, встановлених на всі машини мережі (робочі станції користувачів і сервери), і Kerberos-сервера (або серверів), розташованого на якому-небудь (не обов'язково виділеному) комп'ютері.Kerberos-сервер, в свою чергу, ділиться на дві рівноправні частини: сервер ідентифікації (authentication server) і сервер видачі дозволів (ticket granting server). Потрібно відмітити, що існує і третій сервер Kerberos, який, однак, не бере участь в ідентифікації користувачів, а призначений для адміністративних цілей. Область дії Kerberos (realm) розповсюджується на ту дільницю мережі, всі користувачі якого зареєстровані під своїми іменами і паролями в базі Kerberos-сервера і де всі сервери володіють загальним кодовим ключем з ідентифікаційною частиною Kerberos. Ця область не обов'язково повинна бути дільницею локальної мережі, оскільки Kerberos не накладає обмеження на тип комунікацій, що використовуються. Спрощено модель роботи Kerberos можна описати таким чином. Користувач (Kerberos-клієнт), бажаючи отримати доступ до ресурсу мережі, направляє запит ідентифікаційному серверу Kerberos. Останній ідентифікує користувача за допомогою його імені і пароля і видає дозвіл на доступ до сервера видачі дозволів, який, в свою чергу, дає "добро" на використання необхідних ресурсів мережі. Однак дана модель не відповідає на питання про надійність захисту інформації, оскільки, з одного боку, користувач не може посилати ідентифікаційному серверу свій пароль по мережі, а з іншою - дозвіл на доступ до обслуговування в мережі не може бути посланий користувачу у вигляді звичайного повідомлення. У обох випадках інформація може бути перехоплена і використана для несанкціонованого доступу в мережу. Для того, щоб уникнути подібних прикрощів Kerberos застосовує складну систему багаторазового шифрування при передачі будь-якої керуючої інформації в мережі. Доступ користувачів до мережевих серверів, файлів, додатків, принтерів і т. д. здійснюється по наступній схемі. Клієнт (під яким надалі буде розумітися клієнтська частина Kerberos, встановлена на робочій станції користувача) направляє запит ідентифікаційному серверу на видачу "дозволу на отримання дозволу" (ticket-granting ticket), яке дасть можливість звернутися до сервера видачі дозволів. Ідентифікаційний сервер адресується до бази даних, що зберігає інформацію про всіх користувачів, і на основі імені користувача, що міститься в запиті визначає його пароль. Потім клієнту відсилається "дозвіл на отримання дозволу" і спеціальний код сеансу (session key), які шифруються за допомогою пароля користувача як ключа. При отриманні цієї інформації користувач на його робочій станції повинен ввести свій пароль, і якщо він співпадає з тими, що зберігаються в базі Kerberos-сервера, "дозвіл на отримання дозволу" і код сеансу будуть успішно розшифровані. Таким чином вирішується проблема із захистом пароля - в цьому випадку він не передається по мережі. Після того як клієнт зареєструвався за допомогою ідентифікаційного сервера Kerberos, він відправляє запит серверу видачі дозволів на отримання доступу до необхідних ресурсів мережі. Цей запит (або "дозвіл на отримання дозволу") містить ім'я користувача, його мережеву адресу, відмітку часу, термін життя цього дозволу і код сеансу. "Дозвіл на отримання дозволу" зашифровується два рази: спочатку за допомогою спеціального коду, який відомий тільки ідентифікаційному серверу і серверу видачі дозволів, а потім, як вже було сказано, за допомогою пароля користувача. Це запобігає не тільки можливості використання цього дозволу при його перехопленні, але і робить його недоступним самому користувачу. Для того щоб сервер видачі дозволів дав клієнту доступ до необхідних ресурсів, недостатньо тільки "дозволу на отримання дозволу". Разом з ним клієнт посилає так званий аутентикатор (authenticator), що зашифровується за допомогою коду сеансу і вмісний ім'я користувача, його мережеву адресу і ще одну відмітку часу. Сервер видачі дозволів розшифровує отриманий від клієнта "дозвіл на отримання дозволу", перевіряє, чи не закінчився термін його "придатності", а потім порівнює ім'я користувача і його мережеву адресу, що знаходиться в дозволі, з даними, які вказані в заголовку пакету повідомлення, що прийшло. Однак на цьому перевірки не закінчуються. Сервер видачі дозволів розшифровує аутентикатор за допомогою коду сеансу і ще раз порівнює ім'я користувача і його мережеву адресу з попередніми двома значеннями, і тільки у разі позитивного результату може бути упевнений нарешті, що клієнт саме той, за кого себе видає. Оскільки аутентикатор використовується для ідентифікації клієнта всього один раз і тільки протягом певного періоду часу, стає практично неможливим одночасне перехоплення "дозволу на отримання дозволу" і аутентикатора для подальших спроб несанкціонованого доступу до ресурсів мережі. Кожний раз, при необхідності доступу до сервера мережі, клієнт посилає "дозвіл на отримання дозволу" многоразового використання і нового аутентикатор. Після успішної ідентифікації клієнта як джерело запиту сервер видачі дозволів посилає користувачу дозвіл на доступ до ресурсів мережі (яке може використовуватися багато разів протягом деякого періоду часу) і новий код сеансу. Цей дозвіл зашифрований за допомогою коду, відомого тільки серверу видачі дозволів і серверу, до якого вимагає доступу клієнт, і містить всередині себе копію нового коду сеансу. Все повідомлення (дозвіл і новий код сеансу) зашифроване за допомогою старого коду сеансу, тому розшифрувати його може тільки клієнт. Після розшифровки клієнт посилає цільовому серверу, ресурси якого потрібні користувачу, дозвіл на доступ і аутентикатор, зашифрований за допомогою нового коду сеансу. Для забезпечення ще більш високого рівня захисту, клієнт, в свою чергу, може зажадати ідентифікації цільового сервера, щоб забезпечитися від можливого перехоплення інформації, що дає право на доступ до ресурсів мережі. У цьому випадку він вимагає від сервера висилки значення відмітки часу, збільшеного на одиницю і зашифрованого за допомогою коду сеансу. Сервер витягує копію коду сеансу, що зберігається всередині дозволу на доступ до сервера, використовує його для розшифровки аутентикатора, додає до відмітки часу одиницю, зашифровує отриману інформацію за допомогою коду сеансу і посилає її клієнту. Розшифровка цього повідомлення дозволяє клієнту ідентифікувати сервер. Використання як код відмітки часу забезпечує упевненість в тому, що відповідь, що прийшла клієнту від сервера не є повтором відповіді на який-небудь попередній запит. Тепер клієнт і сервер готові до передачі необхідної інформації з належною мірою захисту. Клієнт звертається із запитами до цільового сервера, використовуючи отриманий дозвіл. Подальші повідомлення зашифровуються за допомогою коду сеансу. Більш складною є ситуація, коли клієнту необхідно дати серверу право користуватися якими-небудь ресурсами від його імені. Як приклад можна привести ситуацію, коли клієнт посилає запит серверу друку, якому потім необхідно отримати доступ до файлів користувача, розташованих на файлі-сервері. Крім того, при вході у видалену систему користувачу необхідно, щоб всі ідентифікаційні процедури виконувалися так само, як і з локальної машини. Ця проблема вирішується установкою спеціальних прапорів в "дозволі на отримання дозволу" (що дають одноразовий дозвіл на доступ до сервера від імені клієнта для першого прикладу і що забезпечують постійну роботу в цьому режимі для другого). Оскільки, як було сказано вище, дозволи суворо прив'язані до мережевої адреси володіючої ними станції, то при наявності подібних прапорів сервер видачі дозволів повинен указати в дозволі мережеву адресу того сервера, якій передаються повноваження на дії від імені клієнта. Потрібно відмітити також, що для всіх описаних вище процедур ідентифікації необхідно забезпечити доступ до бази даних Kerberos тільки для читання. Але іноді потрібно змінювати базу, наприклад, у разі зміни ключів або додавання нових користувачів. Тоді використовується третій сервер Kerberos - адміністративний (Kerberos Administration Server). Не вдаючись в подробиці його роботи, потрібно відмітити, що його реалізації можуть сильно відрізнятися (так, можливо ведіння декількох копій бази одночасне).

Зв'язок між Kerberos-областями.

Як вже було сказано вище, при використанні Kerberos-серверів мережа ділиться на області дії Kerberos. Схема доступу клієнта, що знаходиться в області дії одного Kerberos-сервера, до ресурсів мережі, розташованих в області дії іншого Kerberos, здійснюється таким чином. Обидва Kerberos-сервери повинні бути обопільно зареєстровані, тобто знати загальні секретні ключі і, отже, мати доступ до баз користувачів один одного. Обмін цими ключами між Kerberos-серверами (для роботи в кожному напрямі використовується свій ключ) дозволяє зареєструвати сервер видачі дозволів кожної області як клієнта в іншій області. Після цього клієнт, що вимагає доступу до ресурсів, що знаходяться в області дії іншого Kerberos-сервера, може отримати дозвіл від сервера видачі дозволів свого Kerberos по описаному вище алгоритму. Цей дозвіл, в свою чергу, дає право доступу до сервера видачі дозволів іншого Kerberos-сервера і містить в собі відмітку про те, в якій Kerberos-області зареєстрований користувач. Видалений сервер видачі дозволів використовує один із загальних секретних ключів для розшифровки цього дозволу (який, природно, відрізняється від ключа, що використовується в межах цієї області) і при успішній розшифровці може бути упевнений, що дозвіл виданий клієнту відповідної Kerberos-області. Отриманий дозвіл на доступ до ресурсів мережі пред'являється цільовому серверу для отримання відповідних послуг. Слідує, однак, враховувати, що велике число Kerberos-серверів в мережі веде до збільшення кількості ідентифікаційної інформації, що передається при зв'язку між різними Kerberos-областями. При цьому збільшується навантаження на мережу і на самі Kerberos-сервери. Тому більш ефективним потрібно вважати наявність у великій мережі усього декількох Kerberos-серверів з великими областями дії, ніж використання безлічі Kerberos-серверів. Так, Kerberos-система, встановлена компанією Digital Equipment для великої банківської мережі, об'єднуючої відділення в Нью-Йорку, Парижі і Римі, має всього один Kerberos-сервер. При цьому, незважаючи на наявність в мережі глобальних комунікацій, робота Kerberos-системи практично не відбилася на продуктивності мережі.

Kerberos-5.

До теперішнього часу Kerberos витримав вже чотири модифікації, з яких четверта набула найбільшого поширення. Недавно група, що продовжує роботу над Kerberos, опублікувала специфікацію п'ятої версії системи, основні особливості якої відображені в стандарті RFC 1510. Ця модифікація Kerberos має ряд нових властивостей, з яких можна виділити наступні. Вже розглянутий раніше механізм передачі повноважень серверу на дії від імені клієнта, що значно полегшує ідентифікацію в мережі в ряді складних випадків, є нововведенням п'ятої версії. П'ята версія забезпечує більш спрощену ідентифікацію користувачів у видалених Kerberos-областях, з скороченим числом передач секретних ключів між цими областями. Дана властивість, в свою чергу, базується на механізмі передачі повноважень. Якщо в попередніх версіях Kerberos для шифрування використовувався виключно алгоритм DES (Data Encryption Standard - Стандарт Шифрування Даних), надійність якого викликала деякі сумніви, то вданной версії можливе використання різних алгоритмів шифрування, відмінних від DES.

Висновок.

Багато які виробники мережевого і телекомунікаційного обладнання забезпечують підтримку роботи з Kerberos в своїх пристроях. Так, фірма TELEBIT, будучи найбільшим постачальником маршрутизаторів для зв'язку по комутованих і виділених лініях, недавно анонсувала підтримку Kerberos-клієнта сімейством маршрутизаторів NetBlazer. Забезпечені UNIX-подібною операційною системою, пристрої NetBlazer забезпечують їх видалене конфігурування по мережі за допомогою функцій telnet і rlogin. Тому працездатність мережі, особливо якщо це мережа досить великих розмірів, сильно залежить від захищеності комунікаційних вузлів, якими є маршрутизатори NetBlazer, від непередбачених або зловмисних змін конфігурації. Використання Kerberos в таких мережах дозволить забезпечити доступ до внутрішніх установок маршрутизатора тільки адміністраторам мережі. Слідує, однак, відмітити, що використання Kerberos не є розв'язанням всіх проблем, пов'язаних з спробами несанкціонованого доступу в мережу (наприклад, він безсилий, якщо будь-хто взнав пароль користувача), тому його наявність не виключає інших стандартних коштів підтримки відповідного рівня секретності в мережі. Незважаючи на це, Kerberos в цей час є одним з найбільш відомих способів захисту мережі від несанкціонованого доступу. Засновуючись виключно на програмних засобах і не вимагаючи додаткових "залізних" пристроїв, він забезпечує захист мережі з мінімальним впливом на трафік. Kerberos забезпечує такий рівень захисту мережі, при якому підключення до неї не дає можливості доступу до важливої інформації без реєстрації користувача в секретній базі Kerberos (що може бути пророблено тільки з участю адміністратора мережі). При цьому для користувача мережі такий захист практично прозорий, оскільки вимагає від нього лише додаткового введення пароля.

У випадку з Kerberos прикрість полягала не в алгоритмі шифрування, а в способі отримання випадкових чисел, т. е. в методі реалізації алгоритму. Коли в жовтні минулого року прийшла звістка про прорахунки в системі генерації випадкових чисел в програмних продуктах Netscape, виявлених студентами університету Берклі, Стівен Лодін виявив подібну прикрість з Kerberos. Спільно з Брайаном Доулом він зумів знайти бреш і в системі Kerberos. Дійові особи цієї історії - не дилетанти. Випускники університету Purdue (штат Іллінойс) співробітничали з лабораторією COAST (Computer Operations, Audit and Security Technology), професіонально зайнятою питаннями комп'ютерної безпеки і керованою проф. Спаффордом, який є також фундатором PCERT (Purdue Computer Emergency Response Team) - університетського загону "швидкого реагування" на комп'ютерні ЧП. PCERT, в свою чергу, член аналогічної міжнародної організації FIRST (Forum of Incident Response Team).

Характерно зміст першого звернення до преси (від 16 лютого 1996 р.), який від імені першовідкривачів зробив проф. Спаффорд. У ньому, нарівні з інформацією про ненадійність системи паролів і можливості її злому протягом п'яти хвилин, говориться про затримку подальшого поширення технічної інформації доти, поки розробниками не будуть внесені коректива перешкоджаючі несанкціонованому доступу.

4. Віртуальні приватні мережі.

Одним з найважливіших задач є захист потоків корпоративних даних, що передаються по відкритих мережах. Відкриті канали можуть бути надійно захищені лише одним методом - криптографічним.

Так звані виділені лінії не володіють особливими перевагами перед лініями загального користування в плані інформаційної безпеки. Виділені лінії хоч би частково будуть розташовуватися в неконтрольованій зоні, де їх можуть пошкодити або здійснити до них несанкціоноване підключення. Єдине реальне достоїнство - це гарантована пропускна спроможність виділених ліній, а зовсім не якась підвищена захищеність. Проте, сучасні оптоволоконні канали здатні задовольнити потреби багатьох абонентів, тому і вказане достоїнство не завжди убране в реальну форму.

Цікаво згадати, що в мирний час 95 % трафіка Міністерства оборони США передається через мережі загального користування (зокрема через). У військовий час ця частка повинна становити «лише» 70 %. Можна передбачити, що Пентагон - не сама бідна організація. Американські військові покладаються на мережі загального користування тому, що розвивати власну інфраструктуру в умовах швидких технологічних змін - заняття дуже дороге і безперспективне, виправдане навіть для критично важливих національних організацій тільки у виняткових випадках.

Представляється природним покласти на міжмережевий екран задачу шифрування і дешифрування корпоративного трафіка на шляху у зовнішню мережу і з неї. Щоб таке шифрування/дешифруючий стало можливим, повинно статися початковий розподіл ключів. Сучасні криптографічні технології пропонують для цього цілий ряд методів.

Після того, як міжмережеві екрани здійснили криптографічне закриття корпоративних потоків даних, територіальна разнесенность сегментів мережі виявляється лише в різній швидкості обміну з різними сегментами. У іншому вся мережа виглядає як єдине ціле, а від абонентів не потрібно залучення яких-небудь додаткових захисних коштів.

Мабуть, ніде слово віртуальний не отримало так широкого поширення, як в сфері інформаційних технологій: віртуальна пам'ять, віртуальна машина, віртуальна реальність, віртуальний канал, віртуальний офіс. Це сталося завдяки можливості так запрограмувати логіку функціонування об'єкта, що для користувача його (логічні) поведінка і властивості ніяк не будуть відрізнятися від реального прототипу. Втеча у «віртуальний мир» може бути викликана, скажемо, принциповою неможливістю оперувати з реальним об'єктом, економічними міркуваннями або тимчасовим чинником.

Віртуальні приватні мережі (Virtual Private Networks - VPN) є не тільки «гарячою» темою для індустріальних аналітиків, але привертають також пильну увагу як провайдер мережевих послуг (Network Service Provider - NSP) і Internet-провайдер (ISP), так і корпоративних користувачів. Компанія Infonetics Research прогнозує, що ринок VPN буде зростати більш ніж на 100 % щорічно аж до 2001 р., і його об'єм досягне 12 млрд. долл. Вона також повідомляє, що 92 % великих Internet-провайдер і 60 % від загального числа ISP планують надавати послуги VPN до кінця 1998 р.

Перш ніж перейти до аналізу причин, що викликали так бурхливе зростання популярності VPN, нагадаємо, що просто приватні (корпоративні) мережі передачі даних будуються, як правило, з використанням орендованих (виділених) каналів зв'язку комутованих телефонних мереж загального користування (Public Switched Telephone Network - PSTN). Протягом багатьох років такі приватні мережі проектувалися з урахуванням конкретних корпоративних вимог, що в результаті транслювалося в фірмові протоколи, підтримуючі фірмові ж додатки (правда, останнім часом набули популярності протоколи Frame Relay і ATM). Виділені канали дозволяють забезпечити надійний захист конфіденційної інформації, однак оборотна сторона медалі - це висока вартість експлуатації і трудності при розширенні мережі, не говорячи вже про можливість підключення до неї мобільного користувача в непередбаченій точці. У той же час для сучасного бізнесу характерні значне розосередження і мобільність робочої сили. Все більше користувачів потребує доступу до корпоративної інформації за допомогою комутованих каналів, збільшується також кількість співробітників, працюючих на будинку. Західні аналітики передбачають, що до кінця 1999 р. 80 % корпоративних користувачів будуть мати, принаймні, по одному портативному комп'ютеру (безумовно, проекція цього прогнозу на Україну може викликати тільки усмішку, але рано або пізно українська економіка, згвалтована прогресом, вимушена буде прийняти правила гри, що диктуються промислово розвиненими країнами).

Далі, приватні мережі не спроможний забезпечити такі ж можливості для комерційної діяльності, які надає Internet і IP-базовані додатки, наприклад, просування продукції, підтримка замовників або постійний зв'язок з постачальниками. Така взаємодія в режимі on-line вимагає об'єднання приватних мереж, які, як правило, використовують різні протоколи і додатки, різні системи управління мережею і різних постачальників послуг зв'язку.

Таким чином, висока вартість, статичность і труднощі, виникаючі при необхідності об'єднати приватні мережі, що базуються на різних технологіях, вступають в суперечність з бізнесом, що динамічно розвивається, його прагненням до децентралізації і тенденцією, що виявляється останнім часом до злиття компаній.

У той же час паралельно існують позбавлені цих нестач мережі передачі даних загального користування і Internet, що буквально закутала своєю «павутиною» всю земну кулю. Правда, вони позбавлені і найбільш важливого достоїнства приватних мереж - надійного захисту корпоративної інформації. Технологія віртуальних приватних мереж і дозволяє об'єднати гнучкість, масштабованість, низьку вартість і доступність буквально в режимі «anytime anywhere» Internet і мереж загального користування з безпекою, характерною для приватних мереж. По своїй суті VPN є приватними мережами, які для передачі трафіка використовують глобальні мережі загального доступу (Internet, Frame Relay, ATM). Виртуальность же виявляється в тому, що для корпоративного користувача вони представляються виділеними приватними мережами. Розглянемо основні вимоги, які пред'являються до віртуальних приватних мереж.

4.1. СУМІСНІСТЬ.

Проблеми сумісності не виникають, якщо VPN прямо використовують служби Frame Relay і ATM, оскільки вони досить добре пристосовані для роботи в мультипротокольной середовищі і придатні як для IP-, так і для не IP-додатків. Все, що потрібно в цьому випадку, так ця наявність відповідної мережевої інфраструктури, що покриває необхідний географічний район. Як пристрої доступу частіше за все використовуються Frame Relay Access Device (FRAD) або маршрутизатори з інтерфейсами Frame Relay і ATM. Численні постійні або комутовані віртуальні канали можуть працювати (віртуально) з будь-якою сумішшю протоколів і топологій. Справа ускладняється, якщо VPN базується на Internet. У цьому випадку потрібно, щоб додатки були сумісні з IP-протоколом. При умові виконання цієї вимоги для побудови VPN можна використати Internet «як вона є», заздалегідь забезпечивши необхідний рівень безпеки. Але оскільки більшість приватних мереж є мультипротокольними або використовують неофіційні, внутрішні IP-адреси, то вони не можуть прямо, без відповідної адаптації підключитися до Internet. Існує безліч рішень, що забезпечують сумісність. Найбільш популярними є наступні:

- перетворення існуючих протоколів (IPX, NetBEUI, AppleTalk або інших) в IP-протокол з офіційною адресою;

- перетворення внутрішніх IP-адрес в офіційні IP-адреси;

- установка спеціальних IP-шлюзів на сервери;

- використання віртуальної IP-маршрутизації;

- використання універсальної техніки туннелирования.

Перший спосіб, принаймні концептуально, зрозумілий, тому зупинимося коротко на інших.

Перетворення внутрішніх IP-адрес в офіційні необхідне в тому випадку, коли приватна мережа базується на IP-протоколі. Для внутрішньої адресації звичайно використовуються адреси класу В, які лежать в діапазоні 192.168.0.0 - 192.168.255.255, що дозволяє ідентифікувати 65536 вузлів. Перетворення адрес для всієї корпоративної мережі не є необхідним, оскільки офіційні IP-адреси можуть співіснувати з внутрішніми в комутаторах і маршрутизаторах мережі підприємства. Іншими словами, сервер з офіційною IP-адресою як і раніше доступний клієнту приватної мережі через локальну інфраструктуру. Найчастіше використовують техніку розділення невеликого блоку офіційних адрес багатьма користувачами. Вона подібна розділенню пулу модемів, оскільки також спирається на припущення, що не всі користувачі одночасно потребують доступу до Internet. Тут існують два індустріальних стандарти: протокол динамічної конфігурації хостов (Dynamic Host Configuration Protocol - DHCP) і трансляція мережевих адрес (Network Adress Translation - NAT), підходи яких злегка розрізнюються. DHCP «здає» вузлу адресу в оренду на час, визначуваний адміністратором мережі, тоді як NAT транслює внутрішню IP-адресу в офіційний динамічно, на час сеансу зв'язку з Internet.

Іншим способом зробити приватну мережу сумісною з Internet є установка IP-шлюзу. Шлюз транслює не IP-протоколи в IP-протоколи і навпаки. Більшість мережевих операційних систем, що використовують нативние протоколи, мають програмне забезпечення для IP-шлюзу.

Суть віртуальної IP-маршрутизації полягає в розширенні приватних маршрутних таблиць і адресного простору на інфраструктуру (маршрутизатори і комутатори) Internet-провайдер. Віртуальний IP-маршрутизатор є логічною частиною фізичного IP-маршрутизатора, належного і функціонуючого у сервісу-провайдер. Кожний віртуальний маршрутизатор обслуговує певну групу користувачів.

Однак, мабуть, самим кращим способом забезпечити сумісність можна за допомогою методів туннелирования. Ці методи нарівні з різною технікою інкапсуляції вже давно використовуються для передачі по загальній магістралі мультипротокольного потоку пакетів. У цей час ця перевірена технологія оптимізована для Internet-базованих VPN.

Основними компонентами тунеля є:

- ініціатор тунеля;

- маршрутизируемая мережа;

- тунельний комутатор (опционально);

- один або більш тунельних терминаторов.

Туннелирование повинно виконуватися на обох кінцях крізного каналу. Тунель повинен починатися тунельним ініціатором і завершуватися тунельним терминатором. Ініціалізація і завершення тунельних операцій може виконуватися різними мережевими пристроями і програмним забезпеченням. Наприклад, тунель може бути ініційований комп'ютером видаленого користувача, на якому встановлені модем і необхідне для VPN програмне забезпечення, фронтальним маршрутизатором філії корпорації або концентратором доступу до мережі у сервісу-провайдер.

Для передачі по Internet пакетів, відмінних від IP мережевих протоколів, вони з боку джерела інкапсулюються в IP-пакети. Найчастіше вживаний метод створення VPN-тунелів полягає в інкапсуляції не IP-пакету в пакет PPP (Point-to-Point Protocol) з подальшою інкапсуляцією в IP-пакет. Нагадаємо, що РРР-протокол використовується для з'єднання типу точка-точка, наприклад, для зв'язку клієнта з сервером. Процес IP-інкапсуляції включає додавання стандартного IP-заголовка до оригінального пакету, який потім розглядається як корисна інформація. Відповідний процес на іншому кінці тунеля видаляє IP-заголовок, залишаючи незмінним оригінальний пакет. Протокол PPP забезпечує сервіс на рівні 2 еталонної моделі OSI, тому такий підхід називається туннелирование на рівні 2 (L2 Tunneling Protocol - L2TP). Сьогодні досить широке поширення отримав протокол Point-to-Point Tunneling Protocol, розроблений компаніями 3Com і Microsoft, який постачається разом з операційними системами Windows 95 і Windows NT.

Оскільки технологія туннелирования досить проста, вона є і найбільш прийнятної відносно вартості.

4.2. БЕЗПЕКА.

Забезпечення необхідного рівня безпеки часто є основним пунктом при розгляді корпорацією можливості використання Internet-базованих VPN. Багато які IT-менеджери звикли до спочатку властивої приватним мережам захисту конфіденційної інформації і розглядають Internet як дуже «загальнодоступну» для використання її як приватна мережа. Однак при умові вживання необхідних заходів Internet-базовані віртуальні приватні мережі можуть стати більш безпечними, ніж VPN, що базуються на PSTN. Якщо користуватися англійською термінологією, то існують три «Р», реалізація яких в сукупності забезпечує повний захист інформації. Це:

Protection - захист ресурсів за допомогою брандмауеров (firewall);

Proof - перевірка ідентичності (цілісність) пакету і аутентификація відправника (підтвердження права на доступ);

Privacy - захист конфіденційної інформації за допомогою шифрування.

Всі три «Р» в рівній мірі значущі для будь-якої корпоративної мережі, включаючи і VPN. У суто приватних мережах для захисту ресурсів і конфіденційності інформації досить використання досить простих паролів. Але як тільки приватна мережа підключається до загальнодоступної, жодне з трьох «Р» не може забезпечити необхідний захист. Тому для будь-який VPN у всіх точках її взаємодії з мережею загального користування повинні бути встановлені брандмауери, а пакети повинні шифруватися і виконуватися їх аутентификація.

Брандмауери є істотним компонентом в будь-який VPN. Вони пропускають тільки санкціонований трафік для довірених користувачів і блокують весь інший. Інакшими словами, перетинаються всі спроби доступу невідомих або недовірених користувачів. Ця форма захисту повинна бути забезпечена для кожного сайта і користувача, оскільки відсутність її в якому-небудь місці означає відсутність скрізь. Для забезпечення безпеки віртуальних приватних мереж застосовуються спеціальні протоколи. Ці протоколи дозволяють хостам «домовитися» про техніку шифрування, що використовується і цифровий підпис, що дозволяє зберегти конфіденційність і цілісність даних і виконати аутентификація користувача.

Протокол Microsoft Point-to-Point Encryption (MPPE) шифрує РРР-пакети на машині клієнта перед тим, як направити їх в тунель. Версія з 40-бітовим ключем постачається з Windows 95 і Windows NT (існує також версія з 128-бітовим ключем). Сесія шифрування ініціалізувалася під час встановлення зв'язку з тунельним терминатором по протоколу PPP.

Протоколи Secure IP (IPSec) є серією попередніх стандартів, що розробляються Групою інженерних проблем Internet (Internet Engineering Task Force - IETF). Група запропонувала два протоколи: Authentication Header (AH) і Encapsulating Security Payload (ESP). Протокол AH додає цифровий підпис до заголовка, за допомогою якої виконується аутентификація користувача, і забезпечує цілісність даних, відстежуючи будь-які зміни в процесі їх передачі. Цей протокол захищає тільки дані, залишаючи адресну частину IP-пакету незмінної. Протокол ESP, навпаки, може шифрувати або весь пакет (Tunnel Mode), або тільки дані (Transport Mode). Ці протоколи використовуються як роздільно, так і в комбінації.

Для управління безпекою застосовують індустріальний стандарт RADIUS (Remote Authentication Dial-In User Service), що являє собою базу даних призначених для користувача профілів, які містять паролі (аутентификація) і права доступу (авторизація).

Кошти забезпечення безпеки далеко не обмежуються приведеними прикладами. Багато які виробники маршрутизаторів і брандмауеров пропонують свої рішення. Серед них - Ascend, CheckPoint і Cisco.

4.3. ДОСТУПНІСТЬ.

Доступність включає три в рівній мірі важливі складові: час надання послуг, пропускну спроможність і час затримки. Час надання послуг є предметом договору з сервісом-провайдер, а інші дві що становлять відносяться до елементів якості послуг (Quality of Service - QoS). Сучасні технології транспорту дозволяють побудувати VPN, що задовольняють вимогам практично всіх існуючих додатків.

4.4. КЕРОВАНІСТЬ.

Адміністратори мереж завжди хочуть мати можливість здійснювати крізне, з кінця в кінець, управління корпоративною мережею, включаючи і ту частину, яка відноситься до телекомунікаційної компанії. Виявляється, що VPN надають в цьому плані більше можливостей, ніж звичайні приватні мережі. Типові приватні мережі адмініструються «від межі до межі», т. е. сервіс-провайдер управляє мережею до фронтальних маршрутизаторів корпоративної мережі, в той час як абонент управляє власне корпоративною мережею до пристроїв доступу до WAN. Технологія VPN дозволяє уникнути цього своєрідного розділення «сфер впливів», надаючи і провайдер, і абоненту єдину систему управління мережею загалом, як її корпоративною частиною, так і мережевою інфраструктурою загальнодоступної мережі. Адміністратор мережі підприємства має можливість виконувати моніторинг і реконфигурацию мережі, управляти фронтальними пристроями доступу, визначати стан мережі в режимі реального часу.

4.5. АРХІТЕКТУРА VPN.

Існують три моделі архітектури віртуальних приватних мереж: залежна, незалежна і гібридна як комбінація перших двох альтернатив. Приналежність до тієї або інакшої моделі визначається тим, де реалізовуються чотири основних вимоги, що пред'являються до VPN. Якщо провайдер мережевих глобальних послуг надає повне рішення для VPN, т. е. забезпечує туннелирование, безпека, продуктивність і управління, то це робить архітектуру залежною від нього. У цьому випадку всі процеси в VPN для користувача прозорі, і він бачить тільки свій нативний трафік - IP-, IPX- або NetBEUI-пакети. Перевага залежної архітектури для абонента полягає в тому, що він може використати існуючу мережеву інфраструктуру «як вона є», додаючи лише брандмауер між VPN і приватної WAN/LAN.

Незалежна архітектура реалізовується в тому випадку, коли організація забезпечує всі технологічні вимоги на своєму обладнанні, делегуючи сервісу-провайдер лише транспортні функції. Така архітектура обходиться дорожче, однак надає користувачу можливість повного контролю за всіма операціями.

Гібридна архітектура включає залежні і незалежних від організації (відповідно, від сервісу-провайдер) сайти.

Які ж пряники обіцяють VPN для корпоративних користувачів? Передусім, за оцінками індустріальних аналітиків, це зниження витрат на всі види телекомунікацій від 30 до 80 %. А також це практично повсюдний доступ до мереж корпорації або інших організацій; це реалізація безпечних комунікацій з постачальниками і замовниками; це поліпшений і розширений сервіс, недосяжний в мережах PSTN, і багато що інше. Фахівці розглядають віртуальні приватні мережі як нову генерацію мережевих комунікацій, а багато які аналітики вважають, що VPN невдовзі замінять більшість приватних мереж, що базуються на лініях, що орендуються.

ВИСНОВОК.

< !"DOCTYPE HTML PUBLIC -//IETF//DTD HTML//EN" >

Internet: еволюція філософії захисту.

Проблема захисту інформації в Internet ставиться і, з тією або інакшою мірою ефективності, вирішується з моменту появи мереж на основі протоколів сімейства TCP/IP.

У еволюціях технологій захисту можна виділити три основних напрями. Перше - розробка стандартів, имплиментирующих в мережу певні кошти захисту, передусім адміністративного. Прикладом є IP security option і варіанти протоколів сімейства TCP/IP, що використовуються в Міністерстві оборони США. Другий напрям - це культура міжмережевих екранів (firewalls), давно вживаних для регулювання доступу до подсетям. Третій, найбільш молоде і що активно розвивається, напрям - це так звані технології віртуальних захищених мереж (VPN, virtual private network, або intranet).

Вибухове зростання популярності, що Спостерігається в останні роки Internet і пов'язаних з нею комерційних проектів послужило поштовхом для розвитку нового покоління технологій захисту інформації в TCP/IP-мережа. Причому якщо раніше, аж до початку 90-х, основною задачею захисту в Internet було збереження ресурсів переважно від хакерских атак, то в цей час актуальною стає задача захисту комерційної інформації.

Якісно це абсолютно різні види захисту. Атакуючу комерційну інформацію сторона може дозволити собі великі витрати на злом захисту і, отже, істотно більш високий рівень: спостереження трафіка, перехоплення інформації, її криптоаналіз, а також різного роду имитоатаки, диверсії і шахрайств.

Наївні способи захисту, такі як запит пароля з подальшою передачею його у відкритому вигляді по комунікаційному каналу і списки доступу на серверах і маршрутизаторах, стають в цих умовах малоефективними. Що ж може бути протипоставити кваліфікованій і технічно озброєній атакуючій стороні? Звичайно ж, тільки повноцінна, криптографічний забезпечена система захисту.

Пропозицій подібних коштів на ринку Internet досить багато. Однак по ряду параметрів жодне з них не може бути визнане адекватним задачам захисту інформації саме для Internet. Наприклад, досить криптостойкой і чудової по своїй ідеї формування «павутини довір'я» є поширена система PGP (Pritty good privacy). Однак, оскільки PGP забезпечує шифрування файлів, вона застосовна тільки там, де можна обійтися файловим обміном. Захистити, допустимо, додатки on-line при допомозі PGP скрутно. Крім того, рівень захисту PGP дуже високий. Стиковка захисту PGP з іншими прикладними системами зажадає певних зусиль, якщо, звісно, взагалі виявиться здійсненною.

Вибір технології захисту інформації для великої відкритої системи - мережі масштабу Internet, великої корпоративної мережі, мережі комунікаційного провайдер, повинен задовольняти ряду специфічних вимог:

· наличиеоткритойспецификації, відсутність монополізму в частині технологічних рішень

· широка масштабируемостьрешений по технічних і цінових параметрах

· універсальність технології, переносимість, многоплатформенность

· совместимостьаппаратних, програмних, комунікаційних рішень

· забезпечення, при необхідності, комплекснойзащити інформації

· простота управління ключами і організації захищених комунікацій для знову підключених користувачів.

Повноцінне використання сервера вимагає його підключення через місцевий маршрутизатор, який стане одним з рубежів захисту. Маршрутизатор можна запрограмувати таким чином, що він буде блокувати небезпечні функції і дозволяти передачу поступаючих ззовні запитів тільки в спеціально призначені сервери.

Частковий захист забезпечує блокування портів, що реалізовується в більшості сучасних маршрутизаторів шляхом формування списків контролю доступу на основі мови команд маршрутизатора. Ще один спосіб захисту - сконфигурировать маршрутизатор так, щоб він дозволяв з'єднання з Internet тільки з тими комп'ютерами мережі, інформація на яких відкрита для загального користування. Інші частини мережі ізолюються від цих комп'ютерів брандмауерами або інакшими коштами. Такий спосіб захисту використовується багатьма великими корпораціями.

По своїх функціях до маршрутизаторів примикають автономні пакети фільтрації трафіка, що встановлюються на ПК або робочих станціях. Типовим продуктом цього класу є ПО FireWall-1 компанії CheckPoint Software Technologies, що інсталюється на робочі станції фірми Sun і що виконує фільтрацію вхідного і вихідного потоків. FireWall-1 на відміну від маршрутизаторів здатний динамічно відкривати шляхи передачі даних відповідно до протоколів Internet, наприклад з FTP. Крім того, даний пакет забезпечений зручним в роботі графічним інтерфейсом, коштами сповіщення про загрозу злому системи захисту і коштами реєстрації доступу до мережі, що генерує повідомлення про незвичайні дії. Подібні продукти, як правило, забезпечують кращий захист в порівнянні з маршрутизаторами, але відрізняються високою вартістю. Брандмауери Маршрутизатори і продукти типу щойно розглянутого ПО FireWall-1 не мають деяких функцій, що підвищують міру захищеності від небезпечних вторжений в мережу. Наприклад, при передачі потоку даних вони не аналізують його вміст і не в змозі здійснювати перевірку повноважень на доступ до ресурсів мережі. Такими можливостями володіють брандмауери - виділені комп'ютери з активними функціями фільтрації інформаційних потоків в точці зв'язку локальної мережі із зовнішнім світом. Основна задача систем цієї категорії - ізолювати мережу від посягання ззовні шляхом перегляду пакетів даних, блокування "підозрілих" видів трафіка і використання спеціальних коштів підтвердження повноважень на доступ. Таким чином, брандмауер виступає в ролі сторожа, не проникного будь-які вхідні або вихідні дані, які не відповідають явно сформульованим критеріям. Сьогодні на ринку є широкий вибір коштів захисту даних на основі брандмауеров.