Программные продукты и системы. Защита информации в каналах связи и создание защищённых телекоммуникационных систем

В условиях нарастающих интеграционных процессов и создания единого информационного пространства во многих организациях ЛАНИТ предлагает провести работы по созданию защищенной телекоммуникационной инфраструктуры, связывающей удаленные офисы фирм в единое целое, а также обеспечение высокого уровня безопасности информационных потоков между ними.

Применяемая технология виртуальных частных сетей позволяет объединять территориально распределенные сети как с помощью защищенных выделенных каналов, так и виртуальных каналов, проходящих через глобальные общедоступные сети. Последовательный и системный подход к построению защищенных сетей предполагает не только защиту внешних каналов связи, но и эффективную защиту внутренних сетей путем выделения замкнутых внутренних контуров VPN. Таким образом, применение технологии VPN позволяет организовать безопасный доступ пользователей в Интернет, защитить серверные платформы и решить задачу сегментирования сети в соответствии с организационной структурой.

Защита информации при передаче между виртуальными подсетями реализуется на алгоритмах асимметричных ключей и электронной подписи, защищающей информацию от подделки. Фактически данные, подлежащие межсегментной передаче, кодируются на выходе из одной сети, и декодируются на входе другой сети, при этом алгоритм управления ключами обеспечивает их защищенное распределение между оконечными устройствами. Все манипуляции с данными прозрачны для работающих в сети приложений.

Удаленный доступ к информационным ресурсам. Защита информации, передаваемой по каналам связи

При межсетевом взаимодействии между территориально удаленными объектами компании возникает задача обеспечения безопасности информационного обмена между клиентами и серверами различных сетевых служб. Сходные проблемы имеют место и в беспроводных локальных сетях (Wireless Local Area Network, WLAN), а также при доступе удаленных абонентов к ресурсам корпоративной информационной системы. В качестве основной угрозы здесь рассматривается несанкционированное подключение к каналам связи и осуществление перехвата (прослушивания) информации и модификация (подмена) передаваемых по каналам данных (почтовые сообщения, файлы и т.п.).

Для защиты данных, передаваемых по указанным каналам связи, необходимо использовать соответствующие средства криптографической защиты. Криптопреобразования могут осуществляться как на прикладном уровне (или на уровнях между протоколами приложений и протоколом TCP/IP), так и на сетевом (преобразование IP-пакетов).

В первом варианте шифрование информации, предназначенной для транспортировки по каналу связи через неконтролируемую территорию, должно осуществляться на узле-отправителе (рабочей станции - клиенте или сервере), а расшифровка - на узле-получателе. Этот вариант предполагает внесение существенных изменений в конфигурацию каждой взаимодействующей стороны (подключение средств криптографической защиты к прикладным программам или коммуникационной части операционной системы), что, как правило, требует больших затрат и установки соответствующих средств защиты на каждый узел локальной сети. К решениям данного варианта относятся протоколы SSL, S-HTTP, S/MIME, PGP/MIME, которые обеспечивают шифрование и цифровую подпись почтовых сообщений и сообщений, передаваемых с использованием протокола http.

Второй вариант предполагает установку специальных средств, осуществляющих криптопреобразования в точках подключения локальных сетей и удаленных абонентов к каналам связи (сетям общего пользования), проходящим по неконтролируемой территории. При решении этой задачи необходимо обеспечить требуемый уровень криптографической защиты данных и минимально возможные дополнительные задержки при их передаче, так как эти средства туннелируют передаваемый трафик (добавляют новый IP-заголовок к туннелируемому пакету) и используют различные по стойкости алгоритмы шифрования. В связи с тем, что средства, обеспечивающие криптопреобразования на сетевом уровне полностью совместимы с любыми прикладными подсистемами, работающими в корпоративной информационной системе (являются «прозрачными» для приложений), то они наиболее часто и применяются. Поэтому, остановимся в дальнейшем на данных средствах защиты информации, передаваемой по каналам связи (в том числе и по сетям общего доступа, например, Internet). Необходимо учитывать, что если средства криптографической защиты информации планируются к применению в государственных структурах, то вопрос их выбора должен решаться в пользу сертифицированных в России продуктов.

В июле 1997 г. вышел руководящий документ "Средства вы-числительной техники. Межсетевые экраны. Защита от несанк-ционированного доступа к информации. Показатели защищенно-сти от несанкционированного доступа" Гостехкомиссии при Пре-зиденте РФ (полный текст можно найти в информационном бюл-летене "Jet Info" № 17-18 1997 г. и на узле http://www.infotecs.ru/gtc/RD_ekran.htm ). В этом документе дана классификация МЭ в зависимости от степени обеспечиваемой ими защиты от НСД. Определение самого МЭ таково: МЭ - это ло-кальное (однокомпонентное) или функционально-распределенное средство (комплекс), реализующее контроль за информацией, по-ступающей в автоматизированную систему (АС) и/или выходящей из АС, и обеспечивает защиту АС посредством фильтрации ин-формации, т.е. ее анализа по совокупности критериев и принятия решения о ее распространении в (из) АС.

Устанавливается пять классов защищенности МЭ: 5 (самый низкий) -- применяется для безопасного взаимодействия АС клас-са 1 Д с внешней средой, 4 -- для 1 Г, 3 -- 1 В, 2 -- 1 Б, 1 (самый вы-сокий) -- для 1А. (Напомним, что Гостехкомиссией РФ установ-лено девять классов защищенности АС от НСД, каждый из кото-рых характеризуется определенной совокупностью требований к средствам защиты. Классы подразделяются на три группы, отли-чающиеся спецификой обработки информации. Класс с цифрой "1" включает многопользовательские АС, в которых одновременно обрабатывается и/или хранится информация разных уровней кон-фиденциальности, и не все пользователи имеют равные права дос-тупа.)

В приведена некоторая справочная информация, где даны описания не-скольких систем МЭ. Список сертифицированных Гостехкомиссией РФ МЭ на июнь 1999 г. состоял из десяти наименований:

1) автоматизированная система разграничения доступа Black Hole (Milkyway Networks) версии BSDI-OS;

2) средство защиты от НСД в сетях передачи данных по про-токолу TCP/IP "ПАНДОРА" на базе Gauntlet 3.1.Н (Trusted Information Systems) и компьютера 02 (Silicon Graphics) под управлением IRIX 6.3;

3) аппаратно-программный комплекс "Застава-Джет" компа-нии Jet Infosystems и ЦНИИ-27 Министерства обороны РФ;

4) МЭ "Застава" FortE+ фирмы ЭЛВИС+;

5) партия средств программного обеспечения межсетевого эк-рана FireWall-1 фирмы Checkpoint Software Technologies;

6) комплекс защиты информации от НСД "Data Guard/24S";

7) программный продукт SKIP для регулирования доступа на интерфейсе локальная/глобальная сеть под управлением ОС Windows 3.11 и Solaris 2.4;

8) единичные образцы программного обеспечения МЭ AltaVista Firewall 97 фирмы AltaVista Internet Software;

9) партия из 20 экземпляров МЭ "Cyber Guard" версия 4.0, по-зволяющего создавать защищенные корпоративные сети на базе протокола Х.25 и Frame Relay;

10) Firewall/Plus фирмы Network-1 Software and Technologies.

Список МЭ, сертифицированных Международной ассоциацией компьютерной безопасности, можно найти по адресу http://www.icsa.net. Ниже более подробно описаны функции одного из них.

Межсетевой экран защиты интрасети ПАНДОРА на базе Gauntlet 3.1.1i фирмы Trusted Information Systems и компьютера 02 фирмы Silicon Graphics под управлением IRIX 6.3 надежно ре-шает проблему безопасности сети и позволяет:

* скрыть от пользователей глобальной сети структуру интра-сети (IP-адреса, доменные имена и т.д.);

* определить, каким пользователям, с каких хостов, в на-правлении каких хостов, в какое время, какими сервисами можно пользоваться;

* описать для каждого пользователя, каким образом он дол-жен аутентифицироваться при доступе к сервису;

* получить полную статистику по использованию сервисов, попыткам НСД, графику через ПАНДОРУ и т.д.

ПАНДОРА устанавливается на компьютер с двумя Ethernet-интерфейсами на выходе между интраеетью и сетью общего поль-зования.

ПАНДОРА построена на серверах протоколов прикладного уровня (proxy) и поддерживает следующие сервисы: TELNET, Riogin (терминалы); FTP (передача данных); SMTP, POP3 (почта);

HTTP (WWW); Gopher; XI 1 (X Window System); LP (сетевая пе-чать); Rsh (удаленное выполнение задач); Finger; NNTP (новости Usenet); Whois; RealAudio. Кроме того, в состав ПАНДОРЫ входит сервер общего назначения TCP-уровня, который позволяет безо-пасно транслировать через ПАНДОРУ запросы от базирующихся на TCP протоколов, для которых нет proxy-серверов, а также сер-вер сетевого доступа, который позволяет запускать различные программы в зависимости от того, откуда пришел запрос.

Для аутентификации пользователей ПАНДОРА позволяет при-менять следующие схемы аутентификации:

· обычный Unix-пароль;

· S/Key, MDauth (одноразовые пароли).

· РОРЗ-ргоху дает возможность использовать АРОР-авторизацию и тем самым избежать передачи по сети открытого пароля.

· FTP-proxy позволяет ограничить применение пользователями отдельных команд (например RETR, STOR и т.д.)

· HTTP-proxy позволяет контролировать передачу через ПАНДОРУ фреймов; описаний на языке Java; описаний на языке JavaScript; html-конструкций, не попадающих под стандарт HTML версии 2 и т.д.

Система сбора статистики и генерации отчетов позволяет со-брать и обработать информацию обо всех соединениях, включая время, количество байт, адрес источника, адрес назначения, ID пользователя (если есть), а также аномалии в самой системе.

ПАНДОРА не требует ни внесения изменений в клиентское ПО, ни использования специального ПО.

Прозрачный режим работы proxy-серверов позволяет внутрен-ним пользователям соединяться с нужным хостом за один шаг (т.е. без промежуточного соединения с ПАНДОРОЙ).

Система контроля целостности позволяет контролировать безопасность модулей самой системы.

Графический интерфейс управления служит для настройки, администрирования и просмотра статистики ПАНДОРЫ.

ПАНДОРА поставляется вместе с исходными текстами основ-ных программ, для того чтобы можно было убедиться в отсутствии закладок и разобраться, как он работает.

ПАНДОРА сертифицирована Государственной Технической Комиссией при Президенте России. Сертификат N 73 выдан 16 ян-варя 1997 г. и действителен до 16 января 2000 г: " ...система защи-ты информации от НСД в сетях передачи данных по протоколу TCP/IP - межсетевой экран "ПАНДОРА" (ТУ N 1-97) на базе меж-сетевого экрана "Gauntlet" версии 3.1.Н..., функционирующая на платформе операционной системы IRIX v.6.3 фирмы Silicon Graphics, является средством зашиты информации и обеспечивает защиту участка интрасети от доступа извне, не снижая уровня за-щищенности участка интрасети, соответствует техническим усло-виям № 1-97 и требованиям Руководящего документа Гостехко-миссии России "Автоматизированные системы. Защита от несанк-ционированного доступа к информации. Классификация автомати-зированных систем и требования по защите информации" в части администрирования для класса ЗБ".

Задача выбора МЭ для каждого конкретного применения - это, главным образом, вопрос верного соотношения требований пользователей к доступу и вероятности несанкционированного доступа. В идеале система должна предотвращать всякое несанк-ционированное вторжение. Однако, учитывая широкий спектр не-обходимых пользователям сервисов (Web, ftp, telnet, SNMP, NFS, телефония и видео в Internet, электронная почта и др.), наряду с изначальной открытостью комплекта протоколов TCP/IP, - этого идеала достигнуть очень тяжело. В действительности, мерой эф-фективности МЭ служит вовсе не его способность к отказу в пре-доставлении сервисов, но его способность предоставлять сервисы пользователям в эффективной, структурированной и надежной среде. МЭ должны уметь анализировать приходящий и исходящий сетевой трафик и правильно определять, какие действия санкцио-нированы без ненужного замедления работы системы.

И в заключение данного раздела приведем некоторые рекомен-дации по выбору МЭ, которые выработала Ассоциация "Конфидент".

1). Цена. Она колеблется существенно -- от 1000 до 15000 долл. при покупке непосредственно у фирм-производителей, большинство которых находится в США; у российских дилеров эти цифры значительно выше из-за таможенных и налоговых сборов. Интересна и такая цифра - цена МЭ для Windows NT в сред-нем составляет 6000 долл. К этой цене надо добавить расходы на аппаратную платформу и ОС, которые могут быть весьма значи-тельными и соизмеримыми со стоимостью самого МЭ -- напри-мер, как в случае использования компьютеров Sun под управлени-ем ОС Solaris. Поэтому с точки зрения экономии разумно приме-нять МЭ, ориентированные на Intel-платформу и ОС DOS, Windows NT, Novel 1 NetWare.

2). Фильтрация. Большинство МЭ работает только с семейст-вом протоколов TCP/IP, что связано с ориентацией разработчиков на потребности западного рынка. Этого достаточно, если МЭ при-меняется в классическом варианте -- для контроля графика между интрасетью и Internet. Но в России, согласно имеющейся статисти-ке, 90 % рынка сетевых ОС составляет Novell Netware и поэтому важна фильтрация IPX-трафика. Кроме того, совершенно необхо-димой для внутреннего МЭ является способность фильтрации на уровне соединения -- например, фильтрации Ethernet-фреймов. К сожалению, эта возможность реализована в очень немногих про-дуктах (например. Firewall Plus и Eiron Firewall).

3). Построение интрасети -- при объединении сети организа-ции с Internet в качестве транспортной магистрали нужно исходить из имеющейся инфраструктуры. С этой точки зрения много воз-можностей, имеется в Netware: службы каталогов, управления, пе-чати, защиты и работы с файлами; GroupWise и ManageWise управляют электронным документооборотом и сетью; входящий в состав IntranetWare шлюз IPX/IP организует прозрачный доступ с IPX-станций к сервисам TCP/IP с помощью Winsock-совместимого клиентского ПО. Тогда IPX-сервер и IPX-станция не имеют IP-адресов и из Internet в принципе не видны. Поэтому организация атаки на их информационные ресурсы практически невозможна и защита IP-хостов гетерогенной сети IP-IPX решается проще, так как шлюз выполняет по отношению к ним функции МЭ. Примеры таких МЭ: BorderManager фирмы Novell и NetRoad FireWALL фирмы UkiahSoft.

4). Простота эксплуатации. Чтобы снизить текущие эксплуа-тационные расходы, лучше отдать предпочтение простым в экс-плуатации продуктам с интуитивно понятным графическим ин-терфейсом, иначе богатые возможности по настройке МЭ могут оказаться невостребованными. Этому критерию хорошо соответ-ствуют два продукта -- Firewall Plus фирмы Network-1 и NetRoad FireWALL фирмы UkiahSoft.

Отечественные защищенные системы

Российский стандарт шифрования данных ГОСТ 28147-89

Единственный в настоящее время коммерческий российский алгоритм ГОСТ 28147-89 является универсальным алгоритмом криптографической защиты данных как для крупных информационных систем, так и для локаль-ных вычислительных сетей и автономных компьютеров.

Многолетний опыт использования данного алгоритма показал его высокую надежность и удачную конструкцию. Этот алгоритм может реализовываться как аппаратным, так и программным способом, удовлетворяет всем крипто-графическим требованиям, сложившимся в мировой практике. Он также по-зволяет осуществлять криптозащиту любой информации, независимо от сте-пени ее секретности.

В алгоритме ГОСТ 28147-89 используется 256-разрядный ключ, представляемый в виде восьми 32-разрядных чисел, причем, расшифровываются данные с помощью того же ключа, посредством которого они были зашифрованы.

Необходимо отметить, что алгоритм ГОСТ 28147-89 полностью удовле-творяет всем требованиям криптографии и обладает всеми достоинствами алгоритма DES, но лишен его недостатков. В частности, за счет использова-ния специально разработанных имитовставок он позволяет обнаруживать как случайные, так и умышленные модификации зашифрованной информации. В качестве недостатка российского алгоритма надо отметить большую слож-ность его программной реализации и недостаточно высокую скорость работы.

СУБД “Линтер-ВТ” , разработанной ВНИИ автоматизации управления в непромышленной сфере воронежской фирмой “Рэлекс”, производство которых сертифицировано. Специалисты Лос-Аламосской лаборатории в США считают, что СУБД “Линтер-ВТ” не уступает СУБД фирмы Oracle (“родная” Oracle, чтобы быть сертифицированной, требует доработки, а, кроме того, любой западный продукт может получить сертификат только на определенные партии продуктов, поскольку их производство находится за рубежом).

Криптографические средства семейства “Верба-О” производства МОПНИЭИ(сертифицированы ФАПСИ) . Универсальность установок по умолчанию. Внутренние изменения интерфейса при смене средств незначительны. Спектр применения интерфейса системы защиты информации, приведенного в качестве примера,продукта, приведённого в качестве примера, в весьма широк. Это системы контроля доступа к ресурсам банковской системы (как локальное использование в офисе банка для операторов и клиентов, так и контроль удаленного доступа), системы “банк-клиент”, платежи через Интернет, защищенная почта и многие другие.

Данная настройка Iptables рассчитана на схему с использованием 2 сетевых интерфейсов.

Рис 5

Программа позволяет задать правила, которым должны соответствовать проходящие через брандмауэр IP-пакеты. Эти правила, как и все настройки Linux, записываются в текстовый файл, находящийся в папке /etc. Последовательность правил называется цепочкой (CHAIN). Для одного и того же сетевого интерфейса используются несколько цепочек. Если проходящий пакет не соответствует ни одному из правил, то выполняется действие по умолчанию.

Для определений правил используются несколько таблиц:

Используется для изменения заголовка пакета. Допускается выполнять только нижеперечисленные действия:

• · TOS
• · TTL
• · MARK

Действие TOS выполняет установку битов поля Type of Service в пакете. Это поле используется для назначения сетевой политики обслуживания пакета, т.е. задает желаемый вариант маршрутизации. Однако, следует заметить, что данное свойство в действительности используется на незначительном количестве маршрутизаторов в Интернете. Другими словами, не следует изменять состояние этого поля для пакетов, уходящих в Интернет, потому что на роутерах, которые таки обслуживают это поле, может быть принято неправильное решение при выборе маршрута.

Действие TTL используется для установки значения поля TTL (Time To Live) пакета. Есть одно неплохое применение этому действию. Мы можем присваивать определенное значение этому полю, чтобы скрыть наш брандмауэр от чересчур любопытных провайдеров (Internet Service Providers). Дело в том, что отдельные провайдеры очень не любят когда одно подключение разделяется несколькими компьютерами. и тогда они начинают проверять значение TTL приходящих пакетов и используют его как один из критериев определения того, один компьютер "сидит" на подключении или несколько.

Действие MARK устанавливает специальную метку на пакет, которая затем может быть проверена другими правилами в iptables или другими программами, например iproute2 . С помощью "меток" можно управлять маршрутизацией пакетов, ограничивать траффик и т.п.

Используется для выполнения преобразований сетевых адресов NAT (Network Address Translation). Только первый пакет из потока проходит через цепочки этой таблицы, трансляция адресов или маскировка применяются ко всем последующим пакетам в потоке автоматически. Для этой таблицы характерны действия:

• · DNAT
• · SNAT
• · MASQUERADE

Действие DNAT (Destination Network Address Translation) производит преобразование адресов назначения в заголовках пакетов. Другими словами, этим действием производится перенаправление пакетов на другие адреса, отличные от указанных в заголовках пакетов.

SNAT (Source Network Address Translation) используется для изменения исходных адресов пакетов. С помощью этого действия можно скрыть структуру локальной сети, а заодно и разделить единственный внешний IP адрес между компьютерами локальной сети для выхода в Интернет. В этом случае брандмауэр, с помощью SNAT , автоматически производит прямое и обратное преобразование адресов, тем самым давая возможность выполнять подключение к серверам в Интернете с компьютеров в локальной сети.

Маскировка (MASQUERADE ) применяется в тех же целях, что и SNAT , но в отличие от последней, MASQUERADE дает более сильную нагрузку на систему. Происходит это потому, что каждый раз, когда требуется выполнение этого действия - производится запрос IP адреса для указанного в действии сетевого интерфейса, в то время как для SNAT IP адрес указывается непосредственно. Однако, благодаря такому отличию, MASQUERADE может работать в случаях с динамическим IP адресом, т.е. когда вы подключаетесь к Интернет, скажем через PPP, SLIP или DHCP.

В этой таблице должны содержаться наборы правил для выполнения фильтрации пакетов. Пакеты могут пропускаться далее, либо отвергаться (действия ACCEPT и DROP соответственно), в зависимости от их содержимого. Конечно же, мы можем отфильтровывать пакеты и в других таблицах, но эта таблица существует именно для нужд фильтрации. В этой таблице допускается использование большинства из существующих действий, однако ряд действий, которые мы рассмотрели выше в этой главе, должны выполняться только в присущих им таблицах.

Так же можно осуществлять фильтрацию по состоянию соединения. Допустимыми являются состояния NEW, ESTABLISHED, RELATED и INVALID. В таблице, приводимой ниже, рассматриваются каждое из возможных состояний.

Организация защищенного канала связи