1.7.4. Методы и механизмы защиты сетей Решаемые протоколами задачи аналогичны задачам, решаемым при защите локальных систем: обеспечение конфиденциальности обрабатываемой и передаваемой в сети информации, целостности и доступности ресурсов (компонентов) сети. Реализация этих функций осуществляется с помощью специальных механизмов. К их числу следует отнести: Механизмы шифрования, которы обеспечивают конфиденциальность передаваемых данных и/или информации о потоках данных. Используемый в данном механизме алгоритм шифрования может использовать секретный или открытый ключ (см. п 1.5.3). В первом случае предполагается наличие механизмов управления и распределения ключей. Различают два способа шифрования: канальнов (link encryption), реализуемое с помощью протокола канального уровня, и оконечное (абонентское, end-to-end encryption), реализуемое с помощью протокола прикладного или, в некоторых случаях, представительного уровня. В случае канального шифрования защищается вся передаваемая по каналу связи информация, включая служебную. Этот способ имеет следующие особенности: - вскрытие ключа шифрования для одного канала не приводит к компрометации информации в других каналах; - вся передаваемая информация, включая служебные сообщения, служебные поля сообщений с данными, надежно защищена; - вся информация оказывается открытой на промежуточных узлах - ретрансляторах, шлюзах и т.д.; - пользователь не принимает участия в выполняемых операциях; - для каждой пары узлов требуется свой ключ; - алгоритм шифрования должен быть достаточно стоек и обеспечивать скорость шифрования на уровне пропускной способности канала (иначе возникнет задержка сообщений, которая может привести к блокировке системы или существенному снижению ее производительности); - предыдущая особенность приводит к необходимости реализации алгоритма шифрования аппаратными средствами, что увеличивает расходы на создание и обслуживание системы. Оконечное (абонентское) шифрование позволяет обеспечивать конфиденциальность данных, передаваемых между двумя прикладными обьектами. Другими словами, отправитель зашифровывает данные,получатель - расшифровывает. Такой способ имеет следующие особенности (сравните с канальным шифрованием): - защищенным оказывается только содержание сообщения: вся служебная информация остается открытой; - никто кроме отправителя и получателя восстановить информацию не может (если используемый алгоритм шифрования достаточно стоек); - маршрут передачи несущественен - в любом канале информация останется защищенной; - для каждой пары пользователей требуется уникальный ключ; - пользователь должен знать процедуры шифрования и распределения ключей. Выбор того или иного способа шифрования или их комбинации зависит от результатов анализа риска. Вопрос стоит следующим образом: что более уязвимо - непосредственно отдельный канал связи или содержание сообщения, передаваемое по различным каналам. Канальное шифрование быстрее (применяются другие, более быстрые, алгоритмы), прозрачно для пользователя, требует меньше ключей. Оконечное шифрование более гибко, может использоваться выборочно, однако требует участия пользователя. В каждом конкретном случае вопрос должен решаться индивидуально. Механизмы цифровой подписи, которые включают процедуры закрытия блоков данных и проверки закрытого блока данных. Первый процесс использует секретную ключевую информацию, второй - открытую, не позволяющую восстановить секретные данные. С помощью секретной информации отправитель формирует служебный блок данных (например, на основе односторонней функции), получатель на основе общедоступной информации проверяет принятый блок и определяет подлинность отправителя. Сформировать подлинный блок может только пользователь, имеющий соответствующий ключ. Механизмы контроля доступа. Осуществляют проверку полномочий сетевого объекта на доступ к ресурсам. Проверка полномочий производится в соответствии с правилами разработанной политики безопасности (избирательной, полномочной или любой другой) и реалиэующих ее механизмов (см, 1.4.). Механизмы обеспечения целостности передаваемых данных. Эти механизмы обеспечивают как целостность отдельного блока или поля данных, так и потока данных. Целостность блока данных обеспечивается передающим и принимающим объектами. Передающий объект добавляет к блоку данных признак, значение которого является функцией от самих данных. Принимающий объект также вычисляет эту функцию и сравнивает ее с полученной. В случае несовпадения выносится решение о нарушении целостности. Обнаружение изменений может повлечь за собой действия по восстановлению данных. В случае умышленного нарушения целостности может быть соответствующим образом изменено и значение контрольного признака (если алгоритм его формирования известен), в этом случае получатель не сможет установить нарушение целостности. Тогда необходимо использовать алгоритм формирования контрольного признака как функцию данных и секретного ключа. В зтом случае правильное изменение контрольного признака без знания ключа будет невозможно и получатель сможетустановить, подвергались ли данные модификации. Защита целостности потоков данных (от переупорядочивания, добавления, повторов или удаления сообщений) осуществляется с использованием дополнительных формы нумерации (контроль номеров сообщений в потоке), меток времени и т.д. Механизмы аутентификации объектов сети. Для обеспечения аутентификации используются пароли, проверка характеристик объекта, криптографические методы (аналогичные цифровой подписи). Эти механизмы обычно применяются для аутентификации одноуровневых сетевых объектов. Используемые методы могут совмещаться с процедурой "троекратного рукопожатия" (троекратный обмен сообщениями между отправителем и получателем с параметрами аутентификации и подтверждениями). Механизмы заполнения текста. Используются для обеспечения защиты от анализа трафика. В качестве такого механизма может использоваться, например, генерация фиктивных сообщений (богусов);в этом случае трафик имеет постоянную интенсивность во времени. Механизмы управления маршрутом. Маршруты могут выбираться динамически или быть заранее заданы с тем, чтобы использовать физически безопасные подсети, ретрансляторы, каналы. Оконечные системы при установлении попыток навязывания могут потребовать установления соединения по другому маршруту. Кроме того, может использоваться выборочная маршрутизация (то есть часть маршрута задается отправителем явно - в обход опасных участков). Механизмы освидетельствования. Характеристики данных, передаваемые между двумя и более объектами (целостность, источник, время, получатель) могут подтверждаться с помощью механизма освидетельствования. Подтверждение обеспечивается третьей стороной (арбитром), которой доверяют все заинтересованные стороны и которая обладавт необходимой информацией. Помимо перечисленных выше механизмов защиты, реализуемых протоколами различных уровней, существувт еще два, не относящихся к определенному уровню. Они по своему назначению аналогичны механизмам контроля в локальных системах: Обнаружение и обработка событий (аналог средств контроля опасных событий). Предназначены для обнаружения событий, которые приводят или могут привести к нарушению политики безопасности сети. Список этих событий соответствует списку для отдельных систем. Кроме того, в него могут быть включены события, свидетельствующие о нарушениях в работе перечисленных выше механизмов эащиты. Предпринимаемые в этой ситуации действия могут включать различные процедуры восстановления, регистрацию событий, одностороннее разъединение, местный или периферийный отчет о событии (запись в журнал) и т.д. Отчет о проверке безопасности (аналог проверки с использованием системного журнала). Проверка безопасности представляет собой независимую проверку системных записей и деятельности на соответствие заданной политике безопасности. Функции защиты протоколов каждого уровня определяются их назначением: 1. Физический уровень - контроль электромагнитных излучений линий связи и устройств, поддержка коммуникационного оборудования в рабочем состоянии. Защита на данном уровне обеспечивается с помощью экранирующих устройств, генераторов помех, средств физической защиты передающей среды. 2. Канальный уровень - увеличение надежности защиты (при необходимости) с помощью шифрования передаваемых по каналу данных. В этом случае шифруются все передаваемые данные, включая служебную информации. 3. Сетевой уровень - наиболее уязвимый уровень с точки зрения защиты. На нем формируется вся маршрутизирующая информация, отправитель и получатель фигурируют явно, осуществляется управление потоком. Кроме того, протоколами сетевого уровня пакеты обрабатываются на всех маршрутизаторах, шлюзах и др. промежуточных узлах. Почти все специфические сетевые нарушения осуществляются с использованием протоколов данного уровня (чтение, модификация, уничтожение, дублирование, переориентация отдельных сообщений или потока в целом, маскировка под другой узел и др.). Защита от всех подобных угроз осуществляется протоколами сетевого и транспортного уровней (см. ниже) и с помощью средств криптозащиты. На данном уровне может быть реализована, например, выборочная маршрутизация. 4. Транспортный уровень - осуществляет контроль за функциями сетевого уровня на приемном и передающем узлах (на промежуточных узлах протокол транспортного уровня не функционирует). Механизмы транспортного уровня проверяют целостность отдельных пакетов данных, последовательности пакетов, пройденный маршрут, время отправления и доставки, идентификацию и аутентификацию отправителя и получателя и др. функции. Все активные угрозы становятся видимыми на данном уровне. Гарантом целостности передаваемых данных является криптозащита данных и служебной информации. Никто кроме имеющих секретный ключ получателя и/или отправителя не может прочитать или изменить информацию таким образом, чтобы изменение осталось незамеченным. Анализ трафика предотвращается передачей сообщений, не содержащих информацию, которые, однако, выглядят как настоящие. Регулируя интенсивность этих сообщений в зависимости от объема передаваемой информации можно постоянно добиваться равномерного трафика. Однако все эти меры не могут предотвратить угрозу уничтожения,переориентации или задержки сообщения. Единственной защитой от таких нарушений может быть параллельная доставка дубликатов сообщения по другим путям. 5. Протокопы верхних уровней обеспечивают контроль взаимодействия принятой или переданной информации с локальной системой. Протоколы сеансового и представительного уровня функций защиты не выполняют. В функции защиты протокола прикладного уровня входит управление доступом к определенным наборам данных, идентификация и аутентификация определенных пользователей, а также другие функции, определяемые конкретным протоколом. Более сложными эти функции являются в случае реализации полномочной политики безопасности в сети. Соответствие механизмов защиты уровням эталонной модели ISO/OSI на которых они реализованы, представлено в табл. 6. дддддддддддддддддддддддддддддддддбдддддддддддддддддддддддддддддддд Ё уровень Ё Механизмы защиты цддддбдддбдддбдддбдддбдддбддддддд Ё 1 Ё 2 Ё 3 Ё 4 Ё 5 Ё 6 Ё 7 Ё дддддддддддддддддддддддддддддддддеддддедддедддедддедддедддеддддддд Аутентификация одноуровневых Ё Ё Ё + Ё+ Ё Ё Ё + Ё объектов Ё Ё Ё Ё Ё Ё Ё Ё дддддддддддддддддддддддддддддддддеддддедддедддедддедддедддеддддддд Аутентификация источника данных Ё Ё Ё + Ё + Ё Ё Ё + Ё дддддддддддддддддддддддддддддддддеддддедддедддедддедддедддеддддддд Цифровая подпись Ё Ё Ё Ё Ё Ё Ё + Ё дддддддддддддддддддддддддддддддддеддддедддедддедддедддедддеддддддд Контроль доступа Ё Ё Ё + Ё + Ё Ё Ё + Ё дддддддддддддддддддддддддддддддддеддддедддедддедддедддедддеддддддд Конфиденциальность сообщений Ё Ё Ё + Ё + Ё Ё Ё + Ё дддддддддддддддддддддддддддддддддеддддедддедддедддедддедддеддддддд Конфиденциальность потока Ё + Ё + Ё + Ё Ё Ё Ё Ё данных Ё Ё Ё Ё Ё Ё Ё Ё дддддддддддддддддддддддддддддддддеддддедддедддедддедддедддеддддддд Конфиденциальность отдельных Ё Ё Ё Ё Ё Ё Ё + Ё полей Ё Ё Ё Ё Ё Ё Ё Ё дддддддддддддддддддддддддддддддддеддддедддедддедддедддедддеддддддд Целостность с восстановлением Ё Ё Ё Ё + Ё Ё Ё + Ё дддддддддддддддддддддддддддддддддеддддедддедддедддедддедддеддддддд Целостность без восстановления Ё Ё Ё Ё + Ё Ё Ё + Ё дддддддддддддддддддддддддддддддддеддддедддедддедддедддедддеддддддд Целостность отдельных полей Ё Ё Ё Ё Ё Ё Ё + Ё дддддддддддддддддддддддддддддддддеддддедддедддедддедддедддеддддддд Защита от отказов Ё Ё Ё Ё Ё Ё Ё + Ё Ё Ё Ё Ё Ё Ё Ё Ё дддддддддддддддддддддддддддддддддаддддадддадддадддадддадддаддддддды "+" означает, что данный механизм может быть реализован в протоколе данного уровня. 1.7.5. Особенности защиты различных классов сетей Выше мы рассмотрели общие методы и механизмы защиты сетей. Однако каждая сеть, как и каждая система, должна иметь индивидуально разработанную защиту, учитывающую ее особенности. Прежде всего необходимо учитывать класс сети (локальная или территориальная, централизованная или распределенная и т.д.) и используемое программное и аппаратное обеспечение, а также набор протоколов (вообще говоря протоколы должны выбираться с учетом требований безопасности). К числу таких особенностей можно отнести также состав и количество пользователей, протяженность линий связи, особенности топологии, режим работы и т.д. Естественно предположить, что требования к защите будут определяться назначением и функциями сети. Поэтому защита локальной и территориальной,централизованной и распределенной сетей, сетей с различной топологией будет различаться. Ниже мы рассмотрим особенности организации защиты некоторых классов сетей. Важнейшей особенностью защиты сетей является единство характера сети и механизмов защиты. Другими словами, защита должна соответствовать принципам организации сети: если сеть централизованная, то и защита должна быть централизованной; если сеть распределенная, то и защита должна быть распределенной. Ниже (табл.7) приводятся некоторые различия между сетями централизованной и распределенной организации и вытекающие из этих различий способы защиты (некоторые аспекты защиты сетей различной организации мы уже рассматривали в разделе 1.7.2.). Таблица 7 дддддддддддддддддддддддддддддддддддддддддддддддддддддддддддддддддд Централизовання Распределенная Ё Ё ддддддддддддддддддддддддддддддддддддддддддддддддддддддддддддддддды Рабочая Обычно замкнутая для Потенциально открытая среда определнной группы поль- для взаимодействия с зователей, работающих другими системами и сес ограниченным кругом тями. Механизмы защиты задач. Механизмы защиты должны учитывать возобычно реализуют соот- можность работы с разветствие "пользователь личными группами поль-задача" или "пользо- зователей: локальными, ватель-набор данных". удаленными, "своими", "чужими" и др. Информационная Определена и контроли- Неопределена, контроль база руется. зависит от пользоватеМеханизмы защиты ориен- лей. Механизмы защиты тированы на защиту цент- распределены по узлам рального узла. сети в зависимости от выполняемых функций плюс отдельные механизмы защиты сетевой среды. Потоки Точка-точка. Неупорядочены. информации Защита выполняет мини- Механизмы защиты должны мальные функции. упорядочивать потоки информации в соответствии с политикой безопасности. Физический Критичен для централь- Минимален. контроль ного узла. доступа Механизмы защиты сосредоточены на центральном узле. Логический Защита наборов данных Защита наборов данных и контроль и среды выполнения, ау- целостности сети, аутендоступа тентификация периферий- тификация на каждом узле. ддддддддддддддддддддддддддддддддддддддддддддддддддддддддддддддддддддд Подобные различия характерны и для сетей различной топологии. Однако между моделью организации обработки и топологией существует некоторая связь. Так например, для централизованной обработки больше всего подходит топология "звезда", для распределенной - "общая шина", характеризующаяся высокой скоростью передачи данных и сравнительно быстрым доступом к узлу. Ниже приводятся некоторые особенности защиты для сетей различных топологий (см.табл.8) Таблица 8 дддддддддддддддддддддддддддддддддддддддддддддддддддддддддддддддддд Топология Достоинства Недостатки Комментарий Ё Ё дддддддддддддддддддддддддддддддддддддддддддддддддддддддддддддддддды "Звезда" Легкость подклю- В случае сбоя на Основная инфорчения новых уст- центральном узле мация содержится ройств без рекон- вся сеть выходит на центральном фигурации сети. из строя. узле, периферийЦентральный узел Центральный узел ные узлы играют может осуществ- требует жесткой роль терминалов. лять коммутацию физической и локаналов, сообще- гической защиты. ний и пакетов. Установленное соответствие "точка-точка", шировещательные передачи невозможны. "Кольцо" Нет центрального Разрыв кольца вы- Каждый узел дол(узлы сети узла, с которым водит систему из жен быть достаторавноправ- ассоциируются строя. чно производитены) проблемы безопас- При добавлении но- льным. Передача ности. Каждый вого узла требует- сообщения через узел имеет рав- ся реконфигурация промежуточный ноправные воз- сети. Передача узел позволяет можности для пе- сообщения через производить с редачи сообщения. другие узлы сни- ним любые манижает безопасность пуляции, криптосети. защита приведет к потере производительности. "Общая Нет центрального Пропускная спо- Наиболее удобная шина" узла. собность может и производительРазрыв шины,изо- снижаться при ная организация, ляция одного уст- повышении нагруз- однако требует ройства не влияют ки. Возможность более жестких на работу осталь- прослушивания мер защиты, осоных. Легкость сообщения, пред- бенно на уровне расширения. назначенных другим протоколов низузлам. Необходимы ких уровней. более жесткие средства аутентификации. ддддддддддддддддддддддддддддддддддддддддддддддддддддддддддддддддддддд Способы и методы защиты сети также зависят от назначения сети. Ниже приводятся некоторые особенности защиты локальных и территориальных сетей (см. табл.9) Существует однако один вид нарушений, который одинаково опасен и для локальных, и для территориальных сетей - доступ с помощью коммутируемых линий связи (например, телефонных). Их опасность заключается в том, что любой, знающий адрес сети и имеющий соответствующее оборудование (компьютер и модем), может получить доступ к сети. При этом идентифицировать этого пользователя очень сложно - можно зафиксировать только номер абонента, и то далеко не всегда. Доступ к сети с помощью коммутируемых линий связи считается потенциально наиболее опасным. Таблица 9 ддддддддддддддддддддддддддддддддддддддддддддддддддддддддддддддддддддд Локальные сети Территориальные сети Ё Ё ддддддддддддддддддддддддддддддддддддддддддддддддддддддддддддддддддддды Характерные Более или менее определен- Неопределенный круг пользоособенности ный круг пользователей. вателей. Малая протяженность линий Большая протяженность линий связи. связи. Высокая скорость передачи Неопределенный (иногда) марданных. шрут передачи сообщений. Широкие возможности про- Более низкая скорость перетоколов, в т.ч. для орга- дачи данных. низации распределенной Могут связывать отдельные обработки. терминалы, локальные сети, другие территориальные сети. Уязвимые Отдельный узел, злоумыш- Оконечные устройства, канаместа ленник - обычно пользова- лы связи, промежуточные устель. тройства (ретрансляторы, шлюзы, модемы и т.д.). Характерные Несанкционированный дос- Все нарушения, характерные нарушения туп на другой узел (для для локальных сетей, особендоступа к набору данных, но проникновение. Манипулииспользования ресурсов, рование сообщениями (поддезапуска программы)- лю- лка, удаление, переупорябой вид атаки с верхнего дочивание и т.д.) и потокауровня. ми - любой вид атаки с ниж"Маскарад". него уровня. Редко - манипулирование отдельными сообщениями. Меры защиты Контроль доступа в соот- Контроль доступа, аутентиветствии с принятой по- фикация, цифровая подпись, литикой безопасности. контроль целостности (в т.ч. Аутентификация. с помощью служебных сообщеКонтроль целостности ний), управление сообщениясети с помощью служеб- ми и потоками, заполнение ных сообщений. текста, шифрование (оконеРедко - оконечное шиф- чное и канальное) и др. рование и контроль целостности. Комментарий Криптозащита, заполнение Защита от нападений с верхтекста, контроль целост- него уровня зависит от возности требуют много ресур- можностей соответствующих сов и ведут к снижению протоколов. Наиболее опасскорости передачи данных. ным является проникновение. Контроль целостности с помощью служебных сообщений: уэлы сети периодически посылают идентификационные сообщения, содержащие информацию об идентификаторе и статусе узла. Узел, нв пославший вовремя такое сообщение, считается вышедшим из строя. Благодаря этим сообщениям, такие события как наличие узлов с одинаковыми идентификаторами, отсутствие узла, узел с некорректным идентификатором будут быстро локализованы. Естественно, протоколы сети должны быть составлены с учетом этих возможностей. дддддддддддддддддддддддддддддддддддддддддддддддддддддддддддддддддддддд Для поддержания безопасности сети на должном уровне любой вход через коммутируемые линии связи, будь то удаленный терминал или другая сеть, необходимо аутентифицировать, В качестве механизма аутентификации может использоваться парольная защита, проверка по списку разрешенных номеров и т.д. Можно также испольэовать устройства автоматического обратного вызова (automatic call-back), если вызывающий абонент имеет несколько номеров. При запросе доступа вызывавмый узел разрывавт связь, осуществляет аутентификацию, а затем в зависимости от результата проверки либо производит повторное соединение (возможно, с другим номером), либо прекращает сеанс. Однако при использовании таких устройств необходимо внимательно следить за списком доступных номеров.