Программно-аппаратные средства обеспечения информационной безопасности вычислительных сетей

illegal value insertion - вставка недопустимых значений

infrastructure interference - помехи инфраструктуре

infrastructure observation - наблюдение инфраструктуры

input overflow - переполнение буфера при вводе

login spoofing - обман регистрации

network services attacks - атаки и сетевые службы

packet insertion - вставка пакета

packet watching - угадывание пароля

password guessing - угадывание пароля

process bypassing - обман процесса

protection limit poking - нарушение пределов защиты

shoulder surfing - подсматривание через плечо

time bombs - временные бомбы

Trojan horses - троянские кони

Необходимо отметить, что данный подход не является, так как отдельные термины перекрываются, а отдельные атаки не включены в список.

Списки категорий.

Списки категорий являются списка терминов, но содержат определения категорий. Примером может послужить список категорий, данный Чедвиком, они подразделяют атаки на следующие семь категорий:

1) Кража паролей (stealing passwords)- методы получения паролей пользователей;

2) Социальная инженерия (social engineering)- использование некоторых психологических приемов по отношению к использовать для получения желаемой информации ограниченного использования;

3) Ошибки и потайные ходы(bugs and backdoors) - поиск состояния системы, не соответствует спецификации, или перезаписать компонент ПО скомпрометированными компонентами;

4) Отказы аутентификации(authentification failures)- удаление механизмов, использующихся для аутентификации;

5) Отказы протоколов(protocol failures) - протоколы сами по себе либо плохо спроектированы, либо плохо реализованы;

6) Утечка информации(information leakage) - использование таких систем, как finger или DNS, для получения информации, необходимой администраторам для надлежащего функционирования сети, но используемой атакующем;

7) Отказ в обслуживании(denial - of - service) - усилия для прекращения возможности пользователей пользоваться службами.

В данном подходе также существует перекрытие понятий, что потребовало применения списков внутри категорий.

Матричные схемы.

Матричные схемы базируются на нескольких измерениях. Для двух измерений рассматриваются уязвимостями и потенциальные нарушители. Матричный подход был реализован Ландвейром (Landwehr). Он представил таксономию уязвимостей(условий которые могут привести к отказу в обслуживании ил неавторизованному доступу), базируются на трех измерениях: происхождение - как уязвимости находят свою дорогу к программам; время внедрения - в жизненном цикле ПО или аппаратуры и местоположение расположение в ПО или аппаратуре. Этот подход иллюстрируется в табл 2.1.

Данная таксомания нашла свое применение при разработке систем обнаружения вторжений.

Процессы.

Столингс (Stallings)разработал простейшую модель, представляющую классификацию угроз безопасности. Модель опирается на передачу информации между обьектами. Столингс определил четыре категории атак (рис 2.3.).

Матричная классификация Лайнера рис.



1) Прерывание потока - объект системы разрушен или стал не допущен.

2) Перехват потока - неавторизованный субъект (объект) получил доступ к объекту.

3) Модификация потока - неавторизованный субъект (объект) не только получил доступ к объекту, но и изменил его.

4) Поддержка потока - неавторизованный субъект (объект) вставил поддельный объект в систему.

Эту наглядную классификацию можно дополнить категорией атаки отказа в обслуживании (например, заполнения потока).

Классификация Ховарда.

Таксономия атак разработана Ховардом (Howard) на основе анализа статистики инцидентов CERT с 1989 по 1995 год. Таксономическая схема Ховарда представлена на рис 2.4.

Согласно таксономии Ховарда угрозой являются:

1) Хакеры - лица, вторгшиеся в компьютерные системы для получения доступа с целью вызова и утверждения своего статуса;

2) Шпионы - лица, вторгшиеся в компьютерные системы для получения информации.

3) Террористы - лица, вторгшиеся в компьютерные системы для того, чтобы вызвать страх, который поможет им достигнуть политических целей;

4) Конкуренты - лица(пользователи одной кампании), вторгшиеся в чужие компьютерные системы для получения финансовой выгоды для организации;

5) Криминал - профессиональные преступники, вторгшиеся в компьютерные системы для получения личной финансовой выгоды;

6) Вандалы - лица, вторгшиеся в компьютерные системы для причинения ущерба;

Средства проведения атак:

Пользовательские команды -атакующий вводит команды в командной строке или задает их с помощью графического интерфейса пользователя;

Скрипт или программа - атакующий разрабатывает скрипты и программы, инициирующие с помощью интерфейса пользователя для использования уязвимости;

Схема классификации Ховарда рис 2.5



Автономные агенты - атакующей инициирует программу или фрагмент программы, которая функционирует независимо от пользователя, используя уязвимости;

Набор средств - атакующий использует пакеты программ, который содержит скрипты, программы или автономные пакеты для использования уязвимости;

Распределенный набор средств - атакующий распределяет средства по множеству хостов, которые после некоторой задержки скоординировано атакуют целевой хост одновременно;

Перехват данных - в этом случае атакующий либо перехватывает технические данные

каналов утечки либо трафик.

Получение доступа реализуется за счет использования:

1) Уязвимостей проекта или реализации при применении;

2) Неавторизованного доступа или неавторизованного использования;

3) Процессов, работающих с файлами, данными при передаче, объектами или вызовами при передаче.

Результатами атаки являются:

1) Модификация информации - любое неавторизованное изменение файлов сохраняемых в компьютере, или изменение данных, передаваемых по сети.

2) Раскрытие информации - рассылка информации кому - либо, кто не авторизован для доступа к ней;

3) Кража службы - неавторизованное использование компьютера или сетевой службы без деградации для других пользователей;

4) Отказ в обслуживании - умышленная деградация или блокировка компьютера или сетевого ресурса.

Целями проведения атаки являются : вызов; политическая выгода; финансовая выгода; ущерб.

К достоинствам данной классификации можно отнести достаточно хорошую проработку категорий. Недостатки таксономия определяют ее целью - построения классификации для ее осуществляющих атак. Позднее Ховарда совместно с Лонгстафом (Longstaff) разработал утонченную таксономию, представленную на рис 2.5.

Данная таксономия была разработана в 1998 г. для языка описания компьютерных инцидентов и являются расширением предыдущей Таксономии.



Представленные таксономии атак предназначены для описания произошедших атак и могут быть полезны при разработке систем обнаружения вторжений. В этой таксономии атакующего составляют события, которое может быть обнаружено в атакуемой системе. Атака, согласно данной таксономии, помимо события включает в себя использованное средство, используемую уязвимость и полученный результат. Все элементы таксономии представляют собой инцидент.

Дальнейшим шагом в построении таксономией атак явились попытки построения онтологий атак.

Построение онтологии сетевых атак.

Онтологии (от древнегреческого относ - сущее, лотос - учение, понятие) - философский термин, определяющий учение о бытие. Это учение восходит к проведениями Аристотеля, Фома Аквинский, Х.Вольфа, а в ХХ в. его развивал М.Хайдеггер. Он считал, что онтология возможна не иначе как герменевтика, т.е. как наука об интерпретации, осуществляемой в спецификациях Международной федерации по разработке интеллектуальных физических агентов, где под онтологией понимается явное описание структуры некоторой проблемной области. Подробнее описание всегда описание всегда опирается на определенную концепцию этой области, которая обычно задается в виде системы исходных объектов отношений между ними и положений. Само определение базовых понятий предметной области вместе с основными отношениями между ними называется концептуализацией. Поэтому онтологию часто понимают как «спецификацию концептуализации» даже считают синонимом «концептуальной модели предметной области». Онтология представляют собой договоренности - соглашения о совместно используемых концептуализация.

С одной стороны, в онтологических исследованиях изучаются вопросы происхождения знаний в конкретной переметной области и их конструировании из некоторых единиц. С другой стороны, эти исследования направлены на поддержку процессов коммуникации, предполагающих разделение знаний между агентами и их повторное использование.

В простейшем случае онтология определяется как некоторый общий словарь понятий, используемых в качестве строительных кирпичиков в системах обработки информации. Обычно отология описывает иерархию понятий, связанных между собой отношениями категоризации. В частности, при взаимодействии агентов в сети Интернет онтология понимается как иерархия понятий, и связей между ними вместе с сиcтемой ссылок на www- документы, привязанных к этим понятиям.

Модель онтологии должна обеспечить представление множества понятий в виде сетевой структуры, отображение достаточно богатого множества отношений. Включающегося в себя не только таксоматические отношения, но и отношения, отражающие специфику предметной области, использование декларативных и процедурных интерпретаций и отношений.

Под обобщенной формальной моделью онтологии понимается тройка

ONT = {U, Im®, F}

Где U - множество понятий предметной области, (U) ??;

Im ® - множество нечетких отношений между понятиями предметной области, Im® = { W / w: U? -- [0,1];

F- конечное множество функций интерпретации (аксиоматизаций), заданных на понятиях или отношениях онтологии, F={?}, ?

Dn>[0,1]

D - область интерпретации.

Рассмотрим применение онтологии для построения классификации атак с точки зрения цели и атаки. Высокоуровневые представление атак включает в себя следующие свойства: цель атаки, средство атаки, результат атаки и расположение источника атаки.



Согласно данному высоком уровнем представлению вторжение представляет собой некоторых ввод данных, который получен из некоторого местоположения, направлен на определенный системный компонент, использует некоторым метод и вызывает некоторое системное поведение.

Полная онтология атак в графической форме представлена на рис 2.7.

Рассмотрим характеристики и свойства данной онтологии:

Системный компонент, который является целью атаки:

1) Сетевой протокол;

2) Пространство ядра;

3) Приложение;

4) Другие.

Метод используемый атакующим:

1) Ошибка проверки ввода, которая включает в себя: переполнение буфера, нарушение границ. Неправильно сформированной ввод;

2) Логический эксплойт, использующий уязвимости и ведущий к снижению производительности и компрометации системы: исключительные условия, условие синхронизации, ошибки сериализации в результате неправильной работы сериализации атомные ошибки.

3) Последствия конечный результат атаки:

1) Отказ в обслуживании пользователей системы;

2) Пользовательский доступ( атакующий получает доступ к некоторым службам целевой системы);

3) Доступ с правами root( атакующий получает полное управление системой);

4) Потеря конфиденциальности(в результате атаки пользователь системы теряет конфиденциальность данных);

5) Другие )результат заключается в компрометации целостности или других нежелательных характеристик);

Местоположение источника атаки - атакующий соединяется или находится на хосте:

1) Удаленное (атакующему нет необходимости, «виртуально» находится на цели);

2) Локальное(атакующему необходимо «виртуально» присутствовать на цели);

3) Удаленно локальное (атакующий на разных стадиях атаки может быть так удалено, так и локально).

2.5 Оценивание степени серьезности атак

Для оценки серьезности атак обычно понимаются простые показатели. Главной сложностью при определении показателя является присвоение значений каждой атаке. Как правило, такое назначение осуществляется экспертами, которые имеют достаточный опыт работы с соответствующими показателями. В качестве примера такого показателя рассмотрим параметр важности аатки, который используется в CERT и его обучающем центре.

Данный показатель состоит из 3 параметров:

1) Простота (от 1 до 10; 10 - самый простой);

2) Сложность (1 до 10; 1 самый сложный);

3) Доступность (от 1 до 10; 10 самый доступный);

Всемирный центр анализа происшествий уже упоминавшегося института SANS для оценки показателя использует показатель серьезности атаки. Общее представление об уровне серьезности атаки иллюстрируется следующий цепочкой: направленный неэффективный сценарий метод нападения - разведывательное зондирование - направленный метод нападения - поражение основной системы.

Оценка показателя серьезности атаки P определяется следующими параметрами:

1) Важность цели;

2) Катастрофические атаки;

3) Контрмеры.

Значение показателя серьезности атаки вычисляются по формуле

P=(V+H)-(C1+C2)

Значение каждого показателя выбирается по 5 - бальной шкале, где 1 - минимальное значение, а 5 - максимальное. Максимальное значение степени тяжести последствий равно 8, а минимальное -8. Отрицательное значение свидетельствует о высокой надежности мер обеспечения безопасности.



Рассмотрим два примера вычисления параметра серьезности атаки.

1. Взлом Boink - приводит к отказу в обслуживании уязвимых хостов за счет использования фрагментации для исчерпания системных ресурсов.

07:26:40. 754197 25.25.25.25.20 > protect -5:20: udp 28

&(frag 1109:36@0+)

07:26:40.754281 25.25.25.25 > protect -5:

&(frag 1109:4@32)

Смещение фрагмента во втором пакете (32) меньше, через размер полезных данных в первом пакете (36) не соответствует правилу фрагментации, согласно которому размер полезных данных всех фрагментов должен быть кратен 8.

Значение параметров:

1) Важность цели -3 (нападению подвергается сервер системы);

2) Катастрофичность атаки -4 (полная блокировка сервера);

3) Контрмеры системы -1 (используется старя ОС);

4) Контрмеры сети -1 (нет межсетевого экрана);

Степень тяжести последствий нарушения равно 5.

2. Взлом Teardrop - также приводит к отказу в обслуживании уязвимых хостов.

10:13:32. 104203 25.25.25.25.53 >192.168.1.3.53:

& udp 28 (frag 242:36@0+) (ttl 64)

10:13:32.104272 25.25.25.25 > 192:168.1.3:

&(frag 242:4@24) (ttl 64)

Механизм нарушения. На целевой хост направляются фрагментированные IP -дейтаграммы, причем второй фрагмент полностью помещается в первом.

Значения параметров:

1) Важность цели -2; (нападению подвергалась рабочая станция Linux);

2) Катастрофичность атаки -4 ( система защищена от взломов Teardrop);

3) Контрмеры системы -1 (JC защищена от этого взлома);

4) Контрмеры сети -1 (нет межсетевого экрана);

Степень тяжести последствий нарушения равно -3.

Контрольные вопросы

1) Перечислите основные угрозы при сетевом взаимодействии.

2) Что понимается под удаленной сетевой атакой?

3) Перечислите основные типы сетевых атак и их особенности.

4) Что может выступать в качестве атакуемого программного средства.

5) Что понимается под уязвимостью и эксплойтов?

6) Какая взаимосвязь между атакой и сценарием атаки?

7) Какое главное отличие атаки от вторжения?

8) Перечислите основные шаги обобщенного сценария атаки.

9) Перечислите обстоятельства, обусловившие высокую скорость распространения червя Slammer.

10) Что может быть установлено на атакуемой системе в результате успешной атаки?

11) Каковы основные назначения и виды root kits?

12) На чем основаны атаки, использующие фрагментирование пакетов?

13) Перечислите типы отдельных атак, используемых в атаке Митника.

14) Используя в главе приведенные примеры атак, дополните категории атак, введенные Столингсом.

15) Перечислите основные средства атак по классификации Ховарда.

16) Перечислите основные различия онтологии и таксономии.

17) Каковы возможные границы, диапазона значений уровня серьезности атак по схеме оценки GIAC?

Глава 3. Технология межсетевых экранов

Сперва необходимо заняться моделированием угроз, выработать политику безопасности и только после этого выбирать подходящие технологии.

Угрозы определяют политику безопасности, а она, в свою очередь, - процесс разработки.

Б. Шнайдер. Секреты и ложь

Одним из основных элементов эшелонированной обороны корпоративной сети являются межсетевые экраны. Кроме того, межсетевые экраны являются первым защитным устройством, разделяющий внешний и внутренний параметры.

Межсетевой экран представляет собой локальное или функционально распределенное средство, реализующее контроль за информацией, поступающей в автоматизированную систему (АС) и (или) выходящей из нее, и обеспечивает защиту АС посредством фильтрации информации, т.е. ее нализа по совокупности критериев и принятия решении о ее распространении. МЭ просматривает пакеты, проходящие через него в обоих направлениях, и принимает решение о допуске или уничтожении пакетов. Таким образом, МЭ реализует одну точку защиты между двумя сетями - он защищает одну сеть от другой.

3.1 Развитие технологий межсетевых экранов

Технология МЭ сравнительно методы, но быстро развиваются. Приблизительно временны рамки, развития этих технологий приведены ниже на рис.3.1.

Первое появление МЭ как технологии связывается с маршрутизаторами, которые появились в 1983 -1985 г. эти МЭ назывались фильтрами пакетов. Первая статья, описывающая процесс фильтрации пакетов для целей защиты, опубликованы в Digital Equipment Corporation в 1988 г.

Рисунок 3.1. Развитие технологии межсетевых экранов

В 1989 -1990 г. AT &T Bell Lab появилась второе поколение архитектур (МЭ), связанное и исследованием задержек в цепях. При этом исследователи предложили первую рабочую модель третьего поколения - МЭ прикладного уровня, но данные идеи не были детально проработаны и реализованы.

Поэтому межсетевые экраны третьего поколения одновременно предложены несколькими исследователя в 1990 г. В первых публикациях Спаффорд (Gene Spafford) из университета Pudue, Чезвик(Bill Cheswick) из . AT &T Bell Lab и Ранум (Marcus Ranum) описали МЭ прикладного уровня в 1990 - 1991 г.

В 1991 г. Ранум предложил форму хоста - бастиона, выполняющего службу proxy/ она была реализована фирмой DEC.

В 1991 г. Чезвик и Белловин (Stave Bellovin) начали исследовать динамические фильтры пакетов и разрабатывать в Bell Lab соответствующею архитектуру, но она не была до конца реализована. В 1992 г. Брайден (Bob Braden) и Дешан (Anette Deschan) из USB Informatics Sciense Institute разработали систему динамической фильтрации «Visas » Check Point Software, реализованную в 1994 г. данная технология запатентована компанией под названием «инспекция состояний».

В 1996 г. начались работы по разработке 5 - го поколения: Kernel Proxy. В 1997 г. был реализован Cisco Centry FW - первый коммерческий МЭ 5 - го поколения.

В 1999 г. была предложена идея построения распределенных межсетевых экранов. Необходимо отметить, что как исследовательские (академические), так и коммерческие МЭ представляли и представляют собой громадные сложные программные продукты. Стоимость их практики недоступна для рядовых пользователей. Поэтому начиная с 2000 г. широкое направление исследований было нацелено на разработку персональных МЭ. Такие МЭ разрабатывались для использования на отдельной компьютере, обеспечивая персональную защиту пользователя. К этому же времени относятся исследовательские разработки по созданию распределенных систем МЭ.

Далее рассмотрим основные элементы технологий построения межсетевых экранов.

3.1.1 Фильтрация пакетов

Сначала данная технология применялась на сетевом уровне, поэтому фильтрация подвергалась только IP - адреса источника и назначения. В настоящее время анализ сетевого трафика при фильтрации пакетов проводится и на транспортном уровне.

Каждый IP - пакет исследуется на соответствие множеству правил. Эти правила устанавливают разрешение связи по содержанию заголовков сетевого и транспортного уровня уровней модели TCP/IP, анализируется и направление придвижения пакета.

Фильтры пактов контролируют:

1) Физический интерфейс, откуда пришел пакет;

2) IP и (IP - адреса источника);

3) IP и (IP - адреса назначения);

4) Тип транспортного уровня (TCP, UDP,ICMP);

5) Транспортные порты источника и назначения.

Схема архитектуры фильтров пакетов рисунок

Трансляция сетевых адресов. МЭ, фильтрующий пакеты, часто переадресуют сетевые пакеты так, что выходной трафик осуществляется с другими адресами. Такая схема называется схемой трансляции адресов(Nat, Network Address Translation) и описана в RFC 1631. Применение схемы Nat позволяет, во первых, спрятать топологию и схему адресации доверенной сети, а во вторых, использовать внутри организации пул IP - адресов меньшего размера. Схема функционирования трансляции адресов рисунок.



Различают статическую и динамическую трансляцию адресов. При статической трансляции используется блок внешних адресов, которые назначаются запросом хостов локальной сети. При динамической трансляции все запросы хостов локальной сети имеют один и тот же адрес. Для динамической трансляции используется форма (NAT Ovarloading), которая ставит в соответствие множеству адресов локальной сети единственный IP - адрес, используется различными номерами портов(Port Address Translation, PAT).

Трансляция адресов, кроме вскрытия внутренних адресов хостов локальной сети, выполняет важную функцию защиты. Если атакующий направит пакет на хост внутренней сети, то он будет отброшен, так как для него соответствующей строки в табл. NAT.

Процесс фильтрации пакетов. При фильтрации пакетов, если пакет удовлетворяет правилам, то он перемещается по сетевому стеку для дальнейшей обработки или передачи.

Все входные пакеты проверяются на соответствие заданным правилам фильтрации. Пакет уничтожается или разрешается для перемещения в сетевой стек для доставки. В такой архитектуре применяются ограниченное множество команд для анализа одного или нескольких сетевых протоколов, но она осуществляет анализ в пространстве ядра. Фильтр пакетов не разбирает, какой прикладной протокол будет использоваться. Правила содержат два списка: список запрещения, и список разрешения.

Сетевой пакет проходит проверку на оба списка:

1) Если правило разрешает, то пакет допускается;

2) Если правило запрещает, то пакет удаляется ;

3) Если не одно правило не применено, то пакет удаляется.

Схема обработки пакетов при фильтрации приведена ниже.

Технология фильтрации пакетов послужила основой создания различных средств защиты и реализована практически во всех типах маршрутизаторов. Основные достоинства и недостатки данной технологии приведены выше.

Списки контроля доступа. Для реализации процесса фильтрации применяются правила, называемые списками контроля доступа.

В качестве примера рассмотрим реализацию фильтров в маршрутизаторах. компании Cisco. Маршрутизатор Cisco выполняет маршрутизацию пакетов посредством списка управления доступом, которые включены в Cisco рис.2.7.

Список контроля доступа содержит перечень элементов в заголовках пакетов, которые будут проверятся. Маршрутизаторы данного типа определяют списки доступа как последовательный набор запрещающих и разрешающих условий. Каждый пакет проверяется на соответствие правилам списка. Если пакет соответствует правилу,

то он отбрасывается или передается далее . если пакет соответствует правилу, то он уже не будет проверятся на соответствие остальным правилам. Поэтому порядок правил в списке доступа играет важную роль.



Существует несколько типов списков контроля доступа. Простейший фильтрации пакетов соответствует стандартный список управления доступом. При описании синтаксиса списков управления доступом. При описании синтаксиса списков управления доступом Cisco значения, указанные в фигурных скобках, являются обязательными, а значения в квадратных скобках - необязательны.

Достоинства и недостатки технологии фильтрации приведены на рис.

Синтаксис стандартного списка контроля управления доступом:

Access -list list -number (permit/deny) source {mask} [log]

Здесь list -number - номер нового данного списка доступа. Ключевое слово permit - запрещает прохождение. При удалении пакета посылается сообщение ICMP о недостижимости назначения. Слово source определяет источник из которого послан пакет. Источник может быть определен IP - адресом или ключевым словом any. Слово mask определяет биты маски для заданного адреса источника. По умолчанию маска равна 0.0.0.0, она определяет единственный IP - адрес. Чтобы не указывать маску, можно использовать слово host, за которым следует его IP - адрес, например

Access - list 15 permit host 192.168.123.45

Или же с указанием маски:

Access - list 15 permit host 192.168.123.45 0.0.0.0

Поскольку маска состоит из одних нулей, необходимо проверять каждый бит адреса. Для приведенных правил будет разрешатся только адрес 192.168.123.45 и разрешается все друге адреса.

Бит маски, установленный в единицу, означает, что данный бит не должен соответствовать биту адреса. Таким образом, маска из всех единиц (255.255.255.255) означает, что не проверяются никакие биты адреса, т.е. разрешается весь график. Для облегчения использования случая, когда маска состоит из одних нулей или единиц, используется слово any. В качестве примера рассмотрим случай, когда необходимо запретить доступ к хостам, адреса которых находятся в диапозоне от 192.168.10.32 до 192.168.10.63. маска подсети для этого диапазона будет 255.255.255.224, а маска для фильтрации - 0.0.0.31.

Ключевое слово log вызывает регистрацию события, вызывающего совпадение с утверждением правила.

Каждый маршрутизатор имеет, как минимум, два интерфейса. Интерфейс, связанный с внутренней сетью, обозначается Ethernet 0, а внешний интерфейс - Serial 0. При наличии большего числа интерфейсов они получают последовательно увеличивающиеся адреса, например Ethernet 0, Ethernet 1.

Приведем правила стандартного списка управления доступом для случая, когда только трафику хостов сети разрешено проходить через маршрутизатор, за исключением хоста 192.168.20.13, хотя он и является хостом данной сети. Строка правила списка доступа, начинающаяся с восклицательного знака, означает комментарий:

Access - list 25 deny host 192.168.20.13

! запрет доступа в защищаемую сеть данному хосту

Access - list 25 deny host 192.168.20.0.0.0.0.255

!разрешение доступа подсети класса С

Маршрутизаторы Cisco используют идеологию: «то что не разрешено запрещено», поэтому в каждом списке доступа строкой подразумевается deny. В пиведенном примере будет разрешен весь неуказанный трафик. Правила списка важна последовательность написания правил. В нашем примере изменение порядка строк привело к тому, что хост 192.168.20.13 всегда бы имел доступ к внутренней сети, так как второе правило некогда бы не проверялось. Поэтому в списках контроля доступа всегда сначала пишутся утверждения с ключевым словом deny.

Стандартные списки доступа Cisco выполняют функции простой фильтрации т.е. являются межсетевыми экранами фильтрации пакетов.

3.1.2 Межсетевые экраны уровня соединения

Данные МЭ проверяют факт, что пакет является либо запросом на TCP соединение, либо представляет данные, относящиеся к уже установленному соединению, либо относится к виртуальному соединению между двумя транспортными уровнями.

Для проверки соединения МЭ исследует каждое установленное соединение(проверяя законное «распожатие» для используемого транспортного уровня - обычно TCP) . Никакие пакеты не передаются до завершения рукопожатия. Для этого МЭ формирует таблицу действительных (установленных) соединений, которые включают в себя полную информацию о состоянии соединения и выполнения необходимой последоваетльности. Разрешается прохождение пакетов, информация в которых соответствует входу в таблицу виртуальных соединений. По окончании соответствующей вход в таблицу удаляется. Схема функционирования МЭ приведена ниже.

После установления соединения в соответствующей таблице обычно хранится следующая информация:

1) Идентификатор сеанса;

2) Состояние соединения;

3) Последовательная информация;

4) IP - адрес источника IP - адрес назначения;

5) Физический интерфейс, куда прибыл пакет;

6) Физический интерфейс, куда передается пакет;

7) Временные метки начала открытия сеанса и т.д.

При функционировании такого МЭ должно обеспечиватся минимальное количество проверок, что реализуется посредством построения ограниченной формы состояний соединений. Для обеспечения информации.

В данном случае также может использоваться NAT. Основные достоинства и недостатки данной технологии приведены в табл.3.2.

Расширенные списки доступа Cisco позволяют фильтровать IP - адреса источника и назначения, дают возможность использования вложенного в IP - протокола (TCP, UDP, ICMP, BGP,IGRP) и порта назначения. В случае использования ICMP фильтруется од и тип сообщения, а в случае установления соединении TCP - установка флагов ACK и RST.

Синтаксис расширенного списка управления доступом:

Access - list list-number {permit/deny} protocol source s - mask [operator s-port] destination d-mask [operator d-port] [precedents значения [tos значение] [established] [log/log - input]

Расширенный список доступа должен иметь номер из диапазона 100…199 или имя.

Если списку присваивается имя, то это задается специальной командой (IP Access - list extended). В качестве протокола можно указывать как сокращение протокола , так и номер протокола, в соответствие с номером указываемым в заголовке IP - пакета . ключевое слово IP в поле протокола означает все протоколы. Слово s - mask означает маску адреса источника, а d-mask - назначения. Слово operator применимо только для порта назначения (d-port). Допустимыми значениями поля operator являются:

1) It (less than) - меньше чем;

2) Gt (great than) - больше чем;

3) Aq (equal to) - равно;

4) Neq (not equal to) - не равно;

5) Ranqe - диапозон

Списки контроля доступа разрешают вместо номеров портов использовать сокращения наименований служб, использующих эти порты. После precedence b

Используется для фильтрации по уровням приоритетов (от 0 до 7) , поле tos - для фильтрации типа обслуживания (от 0 до 15). Поле est применяется только к протоколу TCP/ поле log указывает на регистрацию события, когда пакет удовлетворяет условиям списка доступа. Указание log - input добавляет к заданиям имя интерфейса, где получен соответствующий пакет.

Приведем примеры правил расширенного списка доступа и комментарии к ним:

Access - list 141 permit icmp host 192.168.10.68 10.10.10.0.0.255.255.255

!разрешение хосту 192.168.10.68 посылать сообщения ICMP

!любому хосту сети 10.10.10.0.0

Access - list 141 permit icmp host 192.168.10.69.eq 734 10.10.10.0.0.255.255.255 range 10000 10010

! разрешение хосту 192.168.10.69 инициировать сеансы TCP

! с порта 734 на любой порт в диапозоне с 10000 до 10010

!с любым хостом сети 10.10.10.0

Access - list 141 permit icmp host 192.168.10.90 10.10.10.0 255.255.255.255 eq ftp

!разрешние хосту 192.168.10.90 посылать файлы через TETR

! (UDP порт 69) любому хосту сети 10.10.10.0

Расширенные списки управления доступом анализирует каждый пакет индивидуально и не имеют возможности определения того, что пакет является частью сеанса более высоких уровней.

Для соединения TCP используется ключевое слово est. При этом контролируется заголовок TCP на наличие флагов ASK и RST, но не проверяется то, что пакет действительно является частью установленного соединения. Поэтому расширенные списки доступа не защищает от поддельных пакетов TCP и не дают возможности фильтровать сеансы UDP.

3.1.3 Межсетевые экраны прикладного уровня

Данные МЭ оценивают сетевые пакеты на соответствие определенному прикладному уровню перед установкой соединения. Они исследуют данные всех сетевых пакетов на прикладном уровне и устанавливают состояние полного соединения и последовательной информации. Кроме того, МЭ могут проверять другие параметры безопасности, которые содержатся внутри данных прикладного уровня.

Большинство МЭ прикладного уровня включают в себя специализированное прикладное ПО и службы proxy. Схема функционирования служб proxy предоставлена ниже.

Каждая proxy - служба является специфичной для каждого протокола и может осуществлять усиленный контроль доступа, проверку данных, а также генерировать записи аудита. Службы proxy не позволяет прямого соединения пользователей с серверами, они прозрачны для пользователя и работают в прикладной области ОС.

Использование proxy позволяет проводить анализ множества команд одного протокола и, что очень важно, проводить анализ содержания данных. Схема функционирования МЭ прикладного уровня представлена на рис далее.

3.1.4 Межсетевые экраны с динамической фильтрацией пакетов

Данные МЭ позволяет осуществлять модификацию базы правил «на лету» (on fly). Это реализуется для протокола UDP пакетов, которые пересекают периметр безопасности через виртуальные соединение. Если генерируется пакет ответа и передается источнику запроса, то устанавливается виртуальное соединение и пакету разрешается пересечь сервер МЭ. Информация, ассоциированная с виртуальным состоянием, запоминается на краткий промежуток времени, поэтому если пакет ответа не получен, то соединение считывается закрытым.

Главной особенностью данной схемы является наличие двух групп правил. Одна - статическая, другая - динамическая, изменяемая в ходе работы МЭ.

Технология динамической фильтрации пакетов используется не только для протокола UDP и опирающихся на него прикладных протоколов, поэтому ее можно назвать технологией установления виртуального соединения или виртуального сеанса.

Динамические списки контроля доступа Cisco позволяют автоматически открывать вход в существующий на маршрутизатора список доступа, который будет фильтровать входящий трафик от аутерифцированного пользователя. Сначала пользователь открывает сеанс telnet с маршрутизатором для проведения аутерификации. Маршрутизотор в сеансе запрашивает имя и пароль пользователя. При успешном прохождении аутерификации сеанс telnet закрывается и создается временный вход разрешает трафик между хостом пользователя и определенным хостом защищаемой сети. Динамический список доступа удаляется по истечении заданного промежутка времени или по команде администратора.

Синтаксис динамического списка контроля доступа:

Access - list list - number [dynamic имя _списка [timeout минуты] [deny/permit] protocol source s-mask destination в-mask [precedence значение] [tos занчение established] [log/log - input]

Номер списка доступа должен быть в диапазоне от 100 до 199. Слово dynamic обозначает данный вход как часть динамического списка с именем имя)списка. Если необходимо иметь несколько входов, переключающихся в одно и то же время, то они должны иметь в одно имя. Слово timeout задает промежуток времени существования динамических входов.

Любой вход в списке доступа, не помеченный как динамический, будет фильтроваться как основной расширенный список доступа. Для каждого существующего на маршрутизаторе списка доступа может быть установлен только один динамический список. Чтобы открыть временный вход, определенный в списке доступа, пользователь должен ввести команду:

Access-enable [host] [timeout минуты]

Где Access-enable- сообщение маршрутизатора об активации временного входа в динамическом списке; host- адрес хоста, трафику которого после аутерификация разрешено проходить через динамический список, timeout- значение. Если трафик будет отсутствовать в течении указанного промежутка времени, то временный вход удаляется.

Пусть внешнему пользователю (10.10.10.10) необходимо провести сеанс FTR длительностью до 60 минут с хостом 192.168.100.1 сети, защищаемой маршрутизаторами. Внешний интерфейс маршрутизатора имеет 172.16.20.2. тогда соответствующий список доступа может иметь следующий вид:

Access - list 123 dynamic remote user timeout 60 permit tcp

Any host 192.168.100.1 eq ftp

Access - list 123 permit tcp any host 172.16.20.2 eq telnet

В этом случае разрешен только telnet доступ к маршрутизатору. Любой, кто пройдет аутерификацию, получит доступ к хосту внутренней сети. Если пользователь, прошедший аутерификацию, наберет команду Access - enable 10.10.10.10, то это добавит в его адрес в список доступа. В этом случае реальный список 123 в маршрутизаторе будет содержать следующие правила:

dynamic remote timeout 60 permit tcp Any host 192.168.100.1 eq ftp

permit host 10.10.10.10 host 192.168.100.1 eq ftp

permit tcp Any host 172.16.20.2 eq telnet

эти hgfdbkf показывают, что пользователь прошел аутерификацию к конкретному адресу разрешен доступ FTP к хосту внутренней сети.

Временный вход не удаляется, когда пользователь закончит сеанс. Он удаляется, если истек промежуток времени, указанный параметром timeout в списке доступа, или при наличии времени простоя, или по команде администратора.

Использование списков Lock - and Key не защищает, если злоумышленник использует поддельные адреса. Достоинством использования этого списка управления доступа является открытие доступа на заданный промежуток времени.

3.1.5 Межсетевые экраны инспекции состояний

Технология инспекции состояний (shameful inspection) осуществляет анализ пакетов на 3 уровнях. Этот подход используется многими разработчиками, но, поскольку наименование запатентованного компанией Check Point, они вынуждены присваивать ему различные наименования запатентовано компанией Check Point, они вынуждены присваивать ему различные наименования (кроме shameful inspection используется expert inspection inspection и др.).

Устройство инспекции состояний осуществляет анализ пакетов и формирование данных о «состоянии виртуального соединения». Соединение может находится в состоянии установки, пердачи или отключения. В каждом из этих состояний имеется возможность интерпретировать коммуникативные данные определенным способом. Вся информация, связанная с состоянием данного виртуального соединения, хранится в таблице динамических состояний, с помощью которой оценивается дальнейший обмен в рамках этого виртуального соединения, т.е. осуществляет контроль последовательности пакетов на различных уровнях. Схема фильтрации при инспекции состояний приведена на рис 3.9.

Отслеживание информации прикладного уровня позволяет учитывать проведение нестандартных протоколов(например FTP или H.323). Каждый работник межсетевого экрана использует свою реализацию для построения таблицы состояний.

Межсетевой экран IP - tables является свободно распространенным продуктом для Linux. При отслеживании состояния соединение регистрируется в основном на основании информации о протоколе.

Администратор имеет возможность создать правила, определяющие, какие протоколы или определенные виды трафика необходимо отслеживать. Когда соединение начинается с использованием отслеживаемого протокола, IP - tables добавляет записи в таблицу состояний всего соединения. Запись в таблице состояний включает в себя следующую информацию:

1) Протокол, используемый для соединения;

2) IP - адреса источника и назначения;

3) Номера портов источника и назанчения;

4) Листинг с обращенными адресами и номерами портов;

5) Время, по истечению которого соединение будет удалено;

6) Сотояние TCP - соединения;

7) Состояние отслеживаемого соединения.

Tcp 6 92 SYN _SENT src=192.168.1.1.dst =192.168.200.200

Sport=1054 dport=21 [unreplied]

src=192.168.200.200 dst =192.168.1.1 Sport=21 dport=1054 use=1

В первой строчке указан протокол и его числовое обозначение, следующее значение (93) отражает время, по истечению которого запись будет автоматически удалена из таблицы состояний. Далее указано состояние соединения TCP (послан SYN). Указаны номера адресов и портов. Межсетевой экран видит это соединение как [UNREPLIED]так как это начало установления соединения. В третьей строке указана резервная строка разрешения обратного трафика.

После установления соединения запись в таблице состояний изменится на следующую:

Tcp 6 41294 ESTABLISHED src = 192.168.1.1 dst =192.168.200.200

Sport=1054 dport=21 src=192.168.200.200 dst =192.168.1.1 [ASSURED] use=1

Маркер [UNREPLIED] удален после получения первого обратного пакета, а по установлению соединения помещения маркер [ASSURED] и величина тайм - аута (41294).

Межсетевой экран Check Point FireWall -1 представляет собой один из наиболее популярных экранов инспекций состояния. Он является программным продуктом и может быть установлен на различные платформы,. Этот межсетевой экран использует таблицу на уровне протокола и модуль INSPECT для отслеживания более углубленных правил, включая трафик на прикладном уровне и проведение нестандартного протокола.

При принятии решения о разрешении прохождения пакета межсетевой экран проверит его последовательно по следующим структурам данных:

1) Таблица состояний - зарегестрированно ли соединения для данного прохождения пакета(ели да, то пакет передается без дальнейшей проверки).

2) 2) политика безопасности - если правило разрешает прохождение пакета, то пакет будет передан, а для его сеанса соединение будет добавлена запись в таблицу состояний.

Для задания правил администратору предоставляется графический интерфейс, в котором содержится следующие опции: Sourse, Destination, Service, Action, Track, InstallOn и Time/ в качестве примера приведем фрагмент листинга таблицы состояний, декодированный сценарием Perl -fwtable.pl, находящийся на странице Ланса Шпицнера. Для удобства чтения расположим строки таблицы двумя частями:

Настраиваемые proxy (adaptive proxy) - один из вариантов данной технологии. В этом случае начальное исследование состояния приводится на прикладном уровне. После формирования состояния в таблицу правил добавляется стандартизированная группа правил, соответствующая данному соединению и установленному режиму безопасности. Если пакет удовлетворяет требованиям правил данного виртуального соединения, то он передается через сетевой уровень, не затрагивая прикладной уровень. Это позволяет повысить быстродействие МЭ.

Примером подхода, в котором используется элементы технологии инспекций состояний, являются рефлективные списки контроля доступа и списки контроля по содержимому Cisco.

Рефлективные списки контроля доступа Cisco позволяет автоматически создавать временные входы при наличии сеанса обмена. Эти списки включают в существующий расширенный список, когда внутренний список инициализируется из внутренней сети. При включении рефлективный список доступа автоматически генерирует новый временной вход, который будет разрешать трафику является частью сеанса. Рефлективный список не содержит подразумеваемого ключевого слова deny all в конце, так как после обработки рефлексивного списка маршрутизатор продолжит работу с остальной частью расширенного доступа.

Предположим, что пользователь внутренней сети, которому это разрешено расширенным списком, послал TCP пакет начала соединения. В этом случае создается временный вход рефлексивного списка доступа, который будет применятся к входящему во внутрунн.. сеть трафику. Такой временный вход имеет следующие характеристики:

1) Всегда является входом с ключевым словом permit;

2) Определяет тот же протокол что и пакет - инициатор сеанса;

3) Определяет адреса и порты источника назначения, соответствующие пакету - инициатору;

4) Входящий трафик проверяется этим временным входом, пока вход существует;

5) Вход удаляется после прохождения последнего пакета сеанса, прошедшего через интерфейс маршрутизатора;

6) Если заданный промежуток времени нет пакетов, относящихся к сеансу, то вход удаляется.

Для сеансов TCP вход удаляется через 5 с после обнаружения двух пакетов с установленным флагом FIN или немедленно, если пакет содержит установленный флаг RST.

Для UDP и других протоколов, не ориентированных на соединение, завершение сеанса осуществляется по критерию времени простоя.

Для определения рефлексивного списка контроля доступа используется следующие команды:

Permit protocol source s -mask destination в -mask reflest reflest-name [timeout секунды]

Для вставки рефлексивного списка используются следующая команда:

Ip access -list extended [list-name] evaluate [reflect -name]

Рассмотрим пример, в котором будем давать пояснение в строке, следующей за строкой списка доступа. Маршрутизатору задаются команды применения списков к различным интерфейсам:

Interface serial 0

!интерфейс маршрутизатора со стороны внешнего мира-

!Serial 0

Description access to the Internet via this interface

!ключевое слово Descriptionозначает комментарий

Ip access -group infielders in

Ip access -group out filters out

! infielders и out filters - имена списков доступа

!ключевое слово access -groupпозволяет задать списки

!на интерфейсы

Ip reflexive-list timeout 120

!задание времени для всех рефлексивных списков

!по умолчанию -300 секунд

Ip access -list exterded outfilters permit tcp any any reflect tcptraffic

!указан рефлексивный список и именем tcptraffic для

!протокола TCP в расширенном списке outfilters

Ip access -list exterded infielders permit

Permit bqp any any

Deny icmp any any

Evaluate tcptraffic

!разрешение использования протокола BGP и запрет

ICMP для

!входящего в маршрутизатор трафика

Аналогичным образом выглядит списки доступа для внутренноего интерфейса маршрутизатора:

Interface internet 0

Description access from the Internet to our network

Via this interface

Ip -access -group infilters in

Ip access -group outfilters out

Ip reflexive-list timeout 120

Ip access - list extended outfilters

Permit bgp any any

Deny icmp any any

Evaluate tcptraffic

Ip access -list exteded infilters permit tcp any any

Reflect tcptraffic

Рефлексивные списки спсобны контролировать только единственный канал приложения использующего единственный статический порт во время сеанса. Для устранения этого недостатка используются списки контроля доступа по содержимому.

В идеологию построения списков контроля доступа по содержимому компанией Cisco введено свойство СВАС. Это устройство позволяет контролировать и управлять различными типами информации прикладного уровня. Контроля определенный трафик выходит из внутренней сети, создается специальный вход с существующей список контроля доступа, который будет разрешать возвращаемый трафик. При этом соответствующие данные заносятся в таблицу состояния. В число этих данных входят IP - адреса, номера портов. Эта таблица состояния используется СВАС для создания временных входов в списках доступа для возвращаемого трафика. Если в рефлексивных списках фильтруется информация сетевого и транспортного уровня, со СВАС контролирует сетевой и транспортный уровни совместно с информацией прикладного уровня. Инспекция информации прикладного уровня осуществляется для подтверждения того, что входящему трафику разрешено проходить маршрутизатор. СВАС функционирует для следующих протоколов: TCP, UDP,CU-See ME, FTP, H.323, Java-апплеты, Unix r-commands, RealAudio, RPC, SMTP,SQL*Net, StreamWorks, TFTP и VDOLiive.

При закрытии соединения вход в таблицу состояний указать необходимо уазать протокол, интерфейс маршрутизатора, направление трафика и список контроля доступа исходящего трафика.

Для определения СВАС используется следующий синтаксис:

Ip insert name inspection - name protocol [alert {on/off} {audit-trail {on/off}} {timeout seconds}

Ключевое слово alert позволяет послать сообщение на сервер регистрации, когда возникает нарушение в контролируемом приложении. Ключевое слово audit-trail разрешает запись соединений, используемых для защищаемого приложения(регистрируется следующие данные: порты, число переданных байт и т.д.).

Для применения СВАС необходимо определить трафик, которому разрешено выходить в Интернет. Далее необходимо создать список фильтрации входящего трафика, которая будет осуществляется независимо от СВАС.

Непосредственно для использования СВАС необходимо задать временные промежутки и знания порогов, которые будут использоватся для определения продолжительности неактивных сеансов связи перед их удалением. Для протокола TCP - это число полуоткрытых сеансов, а для UDP - промежуток времени до прихода возвращаемого трафика. Соответствующими командами СВАС являются:

Ip inspect tcp synwait-time seconds

!Время ожидания ответа на SYN по умолчанию-30 секунд

Ip inspect tcp finwait-time seconds

!время ожидания после получения FIN, по умолчанию 5 секунд

Ip inspect tcp idle-time seconds

!время простоя, по умолчанию -3600 секунд, т.е. 1 час

Ip inspect udp idle-time seconds

!время простоя по умолчанию -5 секунд

Ip inspect max-incomplete low number

!нижний порог количества полуоткрытых соединений, по умолчанию -400

Ip inspect max-incomplete high number

!верхний порог количества полуоткрытых соединений, по умолчанию -500

Ip inspect one-minute low number

!нижний порог количества полуоткрытых соединений за одну минуту, по умолчанию -400

Ip inspect one-minute high number

!верхний порог количества полуоткрытых соединений за одну минуту, по умолчанию -500

Ip inspect tcp max-incomplete host number block-time seconds

!максимально допустимое число полуоткрытых соединений с одним хостом

В качетстве примера рассмотрим случай, когда пользоваелям сети 192.168.130.0 разрешается работать с Интернетом, в том числе загружать файлы и использовать RealAudio:

Ip insert name company ftp timeout 3600

Ip insert name company realaudio timeout 3600

(i) insert name company ftp timeout 3600

(i) insert name company udp timeou 15

(i) insert name company tcp timeout 3600

! перечислены протоколы, которые разрешены пользователем

!локальной сети и которые будут конторолироватся

!списком контроля доступа по содержимому (СВАС)

Interface Ethernet 0

Ip address 192.168.130.0 255.255.255.0

Ip access -droup outbound in

Ip inspect company in

!применен список доступа outbound к входящему трафику

!на интерфейс Ethernet 0 (исходящий из локальной сети)

Interface serial 0

Ip address 192.168.130.0 255.255.255.0

Ip access -droup inbound in

!применен список доступа inbound к входящему

!трафику на интерфейс serial 0(входящий в локальную сеть)

Ip address - list extended outbound

Permit ip 10.150.130.0.0.0.0.255 any

Deny ip any log

!разрешены только пакеты, которые исходят из локальной сети

!и имеют адрес источника внутренней сети, что не даст

!инициировать некоторые атаки из локальной сети

Ip address - listм extended inbound

Permit icmp any 10.150.130.0.0.0.0.255 echo -reply

Permit icmp any 10.150.130.0.0.0.0.255 trace route

Permit icmp any 10.150.130.0.0.0.0.255 time-exceeded

Permit icmp any 10.150.130.0.0.0.0.255 unreachble

Deny ip any log

!разрешен вход в локальную сеть определенным ICMP сообщениям

!для обеспечения работы пользователей

Таким образом, рефлективные списки доступа Cisco представляет элемент использования технологии инспекции состояний.

3.1.6 Межсетевые экраны уровня ядра

При оценке практических реализаций МЭ в качестве одного из главных параметров выступает быстродействие. Сложность проверок, осуществляемых МЭ, обычно приводит к снижению его производительности. Для устранения этого существенного недостатка была разработана технология МЭ, функционирующего на уровне ядра. Рассмотрим подробнее особенности данной технологии на примере МЭ Cisco Centry Firewall, который впервые использовал данную технологию(основное внимание будем уделять использованию элементов уже рассмотренных технологий).

...