· навязывания конечного результата проверок;

· влияния на процесс считывания информации;

· изменения хеш-значений, хранящихся в общедоступных файлах.

2. Контроль цепочек прерываний и фильтрация вызовов критических для безопасности системы прерываний. Данные методы действенны лишь тогда, когда контрольные элементы не подвержены воздействию закладок и разрушающее воздействие входит в контролируемый класс.

3. Создание безопасной и изолированной операционной среды.

4. Предотвращение результирующего воздействия вируса или закладки.

Например, запись на диск должна вестись только в зашифрованном виде на уровне контроллера, либо должен быть реализован запрет записи на диск на аппаратном уровне.

Специализированные методы борьбы с РПВ

К ним можно отнести:

· Поиск фрагментов кода по характерным последовательностям (сигнатурам), свойственным РПВ, либо наоборот, разрешение на выполнение или внедрение в цепочку прерываний только программ с известными сигнатурами.

· Поиск критических участков кода методом семантического анализа фрагментов кода на выполняемые ими функции, часто сопряженный с дизассемблированием или эмуляцией выполнения [22].

В качестве одной из возможных эвристических методик выявления РПВ в BIOS, ассоциированных с существенно важными прерываниями, следует рассмотреть эвристическую методику выявления РПВ в BIOS [23].

Эвристическая методика выявления РПВ в BIOS

1. Выделяется группа прерываний, существенных с точки зрения обработки информации программой, относительно которой проводится защита. Обычно это прерывания int 13h (запись информации на внешние магнитные накопители прямого доступа), int 14h (обмен с RS232 портом), int 10h (обслуживание видеотерминала), а также в обязательном порядке прерывания таймера int 8h, int 1Ch и прерывания клавиатуры int 9h и int 16h.

2. Для выделенной группы прерываний определяются точки входа в ПЗУ, используя справочную информацию, либо выполняя прерывание в режиме трассировки.

3. Для выделенных адресов создаются цепочки исполняемых команд от точки входа до команды IRET - возврату управления из BIOS.

В цепочках исполняемых команд выделяются:

- команды работы с портами;

- команды передачи управления;

- команды пересылки данных.

4. В цепочках исполняемых команд анализируются команды выделенных групп. Определяется присутствие в прерываниях команд:

· работы с недокументированными портами. Наличие таких команд, как правило, указывает на передачу информации некоторому устройству, подключенному к параллельному интерфейсу (общей шине), например, встроенной радиопередающей закладке.

· работы с портами, участвующими в работе другого класса прерываний;

· перемещения данных из BIOS в оперативную память;

· передачи управления в оперативную память или в сегменты расширенного BIOS.

В случае, если опасных действий, относящихся к выше представленным четырем группам, не обнаружено, аппаратно-программная среда ПЭВМ считается чистой (безопасной).

Защита от РПВ путем создания изолированной программной среды

Предположим, что в ПЗУ и ОС отсутствуют закладки (проверка этого была проведена по некоторой методике). Пусть также пользователь работает только с программами, процесс написания и отладки которых полностью контролируется, т.е. в них также исключено наличие закладок. Такие программы называются проверенными.

Потенциально злоумышленными действиями в этом случае могут быть следующие:

· проверенные программы будут использованы на другой ПЭВМ с другим BIOS и в этих условиях могут использоваться некорректно;

· проверенные программы будут использованы в аналогичной, но не проверенной операционной среде, в которой они также могут использоваться некорректно;

· проверенные программы используются на проверенной ПЭВМ и в проверенной операционной среде, но запускаются еще и непроверенные программы, потенциально несущие в себе возможности НСД.

Деструктивные действия закладок гарантированно невозможны, если выполняются следующие условия:

· На ПЭВМ c проверенным BIOS установлена проверенная ОС.

· Достоверно установлена неизменность ОС и BIOS для данного сеансаработы.

· Кроме проверенных программ в данной программно-аппаратной среде не запускалось и не запускается никаких иных программ, проверенные программы перед запуском контролируются на целостность.

· Исключен запуск проверенных программ в какой-либо иной ситуации, т.е. вне проверенной среды.

· Выше перечисленные условия выполняются в любой момент времени для всех пользователей, аутентифицированных защитным механизмом.

При выполнении перечисленных выше условий программная среда называется изолированной (ИПС - изолированная программная среда).

Основными элементами поддержания ИПС являются контроль целостности и активности процессов.

ИПС контролирует активизацию процессов через операционную среду, контролирует целостность исполняемых модулей перед их запуском и разрешает инициирование процесса только при одновременном выполнении двух условий - принадлежности к разрешенным программам и неизменности программ. В таком случае, для предотвращения угроз, связанных с внедрением в операционную среду скрытых не декларированных возможностей, от базового ПО требуется только:

· невозможность запуска программ помимо контролируемых ИПС событий;

· отсутствие в базовом ПО возможностей влиять на среду функционирования уже запущенных программ (фактически это требование невозможности редактирования и использования оперативной памяти другого процесса).

Создание и поддержка ИПС возможна только с помощью специализированных аппаратных средств, целостность которых обеспечивается технологией производства и периодическими проверками. Одним из программно-аппаратных устройств поддержки изолированной программной среды является программно-аппаратный комплекс «АККОРД» производства ОКБ «САПР».



8. Защита информации в компьютерных сетях

8.1 Основные угрозы и причины уязвимости сети INTERNET

Интенсивное развитие INTERNET и INTRANET технологий, привлечение их для создания новых технологий хранения, поиска и обработки информации влечет за собой необходимость построения эффективных систем защиты информации в корпоративных сетях.

В настоящее время глобальные сети часто используются для передачи информации, содержащей сведения различного уровня конфиденциальности, например, для связи между головным и удаленными офисами организации, для доступа к WEB сайтам организации и т.д. Многие организации принимают решение об интеграции своих локальных и корпоративных сетей в глобальную сеть INTERNET, предоставляют различные услуги через данную сеть (организация электронных магазинов, системы дистанционного образования и т.д.).

Такой подход дает множество преимуществ, связанных с большими потенциальными возможностями коллективной работы в INTRANET и INTERNET, более эффективному интегрированию различных информационных технологий, связанных с хранением, поиском и обработкой информации.

Однако развитие глобальных сетей привело к многократному увеличению количества пользователей и атак на ПК, подключенных к сети INTERNET и внутренним сетям INTRANET организаций. Ежегодные потери, обусловленные недостаточным уровнем защищенности таких ПК, оцениваются десятками миллионов долларов. При подключении к Internet локальной или корпоративной сети необходимо позаботиться об обеспечении ИБ данной сети и, подключенных к ней ПК.

Изначальная разработка сети INTERNET, как открытой сети, создает большие возможности для злоумышленника по воздействию на локальные и корпоративные сети организаций, имеющих выход в INTERNET. Через INTERNET злоумышленник может вторгнуться во внутреннюю сеть предприятия и получить НСД к конфиденциальной информации, получить пароли доступа к серверам, а подчас и их содержимое.

Наиболее распространенные угрозы ИБ в INTERNET и INTRANET представлены ниже [24]:

1. Несанкционированный (неавторизованный) доступ внешних пользователей к какому-либо виду сервисного обслуживания, предоставляемого легальным пользователям.

2. Несанкционированный доступ к информации и базам данных организаций без идентификации и аутентификации внешнего пользователя в сети.

3. Внедрение в системы и сети организаций разрушающих программных воздействий - вирусов, программных закладок, троянских коней и т.д., используя различные уязвимости удаленных систем (например, внедрение вирусов через электронную почту, используя уязвимости IIS (Internet Information Servis - набора серверов для нескольких служб ).

4. Нарушение целостности ПО систем и сетей организаций с целью модификации выполняемых ими функций.

5. Нарушение конфиденциальности информационного обмена, осуществляемого по каналам связи абонентов систем и сетей организаций, с помощью их «прослушивания»; данный вид угроз для компьютерных сетей получил более конкретное название - сниффинг (sniffing), а программы, реализующие эту угрозу, называют снифферами.

6. Нарушение работоспособности программных компонентов удаленных систем с целью дезорганизации их работы - атаки вида отказа в обслуживании (DoS - Denied of Service); защита от данного вида атак очень актуальна в настоящее время для компаний, предоставляющих различные услуги посредством INTERNET.

7. Получение прав доступа к удаленной системе, использующей нестойкие алгоритмы аутентификации пользователя.

8. Доступ к информации о топологии сетей и используемых в них механизмах защиты, что облегчает злоумышленникам проникновение в сети.

Достаточно часто информацию такого рода злоумышленник может получить путем удаленного сканирования системы.

Результаты воздействия угроз могут выражаться в появлении сбоев в работе информационных систем организаций, искажении либо разрушении циркулирующей или хранящейся в них информации, нарушении защитных механизмов систем, что позволяет осуществить злоумышленнику НСД к информации, контролировать работу информационных систем.

Основными причинами уязвимости сети INTERNET являются следующие [24]:

1	Проектирование сети INTERNET как открытой, децентрализованной сети с изначальным отсутствием политики безопасности.
2	Уязвимости служб протокола TCP/IP.
3	Большая протяженность каналов связи.
4	Множество уязвимостей программного и аппаратного обеспечения ПК, подключенных к INTERNET (уязвимости ОС, WEB-серверов, почтовых клиентов и пр.); каталоги известных уязвимостей пополняются буквально каждую неделю (наиболее полный каталог известных уязвимостей доступен на сервере http://icat.nist.gov).
5	Кажущаяся анонимность при работе в INTERNET, возможность скрытия о себе информации злоумышленником, использования анонимных proxy - серверов, ремэйлеров для электронной почты и пр.
6	Доступность информации о средствах и протоколах защиты, используемых в INTERNET.
7	Работа в INTERNET обслуживается большим числом сервисов, информационных служб и сетевых протоколов, знание тонкостей и правильности конфигурирования которых одному человеку в лице администратора не всегда под силу.
8	Сложность конфигурирования средств защиты.
9	Человеческий фактор.

Все эти факторы требуют разработки, внедрения и использования средств защиты локальных сетей организации, отдельных компьютеров локальных сетей, имеющих выход в INTERNET, либо непосредственно подключенных к нему.

8.2 Классификация типовых удаленных атак на интрасети

Принципиальным отличием атак, осуществляемых злоумышленниками в компьютерных сетях, является фактор расстояния злоумышленника от персонального компьютера (ПК), выбранного в качестве жертвы. В связи с этим, такие атаки принято называть удаленными атаками [24].

В настоящее время выделяют следующие классы типовых удаленных атак, осуществляемых на компьютерные сети.

Анализ сетевого трафика

Анализ сетевого трафика путем его перехвата (сниффинга) является внутрисегментной атакой и направлен на перехват и анализ информации, предназначенной для любого ПК, расположенного в том же сегменте сети, что и злоумышленник. Злоумышленник может захватить все проходящие через себя пакеты путем перевода своей сетевой платы в смешанный режим (promiscuous mode).

Реализация данной атаки позволяет злоумышленнику изучить логику работы сети (для получения информации, помогающей ему осуществить последующий взлом) либо перехватить конфиденциальную информацию, которой обмениваются узлы компьютерной сети. Многие протоколы (например, POP3, FTP и пр.) передают информацию об используемых паролях доступа по каналу связи в открытом виде. Анализ трафика позволяет злоумышленнику перехватить эти пароли доступа (например, к электронной почте, к FTP серверу) и использовать их в дальнейшем для выполнения несанкционированных действий.

Для защиты от анализа сетевого трафика с использованием снифферов известны следующие подходы:

1. Диагностика перевода сетевой платы удаленного ПК в смешанный режим путем установки различных средств мониторинга. Данный подход к защите достаточно трудоемок и не является универсальным, поэтому используется недостаточно часто;

2. Сегментация сетей - чем больше сегментов, тем меньше вероятность и последствия реализации внутрисегментной атаки.

3. Шифрование сетевого трафика и использование безопасных протоколов удаленной аутентификации пользователей (S/KEY, CHAP и др.).

Подмена доверенного субъекта

Подмена доверенного субъекта и передача сообщений по каналам связи от его имени позволяет получить злоумышленнику доступ к удаленной системе от имени этого доверенного субъекта. Подобные атаки эффективно реализуются в системах с нестойкими алгоритмами идентификации и аутентификации хостов и пользователей. Например, подобные атаки эффективны для систем, использующих аутентификацию источника по его IP адресу, для злоумышленника в этом случае нетрудно формировать пакеты с IP адресами, которым «доверяет» удаленный узел.

Для защиты от подобных атак необходимо применение стойких алгоритмов идентификации и аутентификации хостов и пользователей. Нельзя допускать в компьютерную сеть организации пакеты, посланные с внешних ПК, но имеющих внутренний сетевой адрес.

Введение ложного объекта компьютерной сети

Реализация данной атаки позволяет навязать ложный маршрут потока информации так, чтобы этот маршрут лежал через компьютер злоумышленника, позволяет «заманить» легального пользователя на ПК злоумышленника (например, подменив WEB-сайт) с целью получения конфиденциальной информации.

Для защиты от данных атак необходимо использовать более стойкие протоколы идентификации и аутентификации хостов и устройств.

Отказ в обслуживании (DoS)

Реализация данной атаки направлена на нарушение работоспособности некоторой службы удаленного хоста, либо всей системы. Как правило, реализация предполагает посылку направленного «шторма запросов», переполнение очереди запросов, в силу чего удаленный ПК либо перезагружается, либо неспособен заниматься ничем, кроме обработки запросов.

Для защиты от данных атак необходимо использовать стойкие протоколы аутентификации, ограничивать доступ в сеть с использованием межсетевых экранов, применять системы обнаружения вторжений, разрабатывать адекватные политики безопасности, использовать для поддержки сервисов программные продукты, в которых устранены уязвимости, позволяющие выполнить подобные атаки.

В настоящее время большую актуальность представляет защита от распределенных DoS атак (DDoS), реализуемых путем заражения («зомбирования») множества ничего не подозревающих ПК, которые в заданный момент времени начинают посылать «шторм запросов» на объект атаки.

Сканирование компьютерных сетей

Сетевое сканирование осуществляется злоумышленником на предварительной стадии атаки. Сканирование компьютерной сети позволяет получить злоумышленнику такую информацию, необходимую для дальнейшего взлома, как типы установленных ОС, открытые порты и связанные с ними сервисы, существующие уязвимости. Сам факт сетевого сканирования лишь говорит о реализации стадии, предваряющей атаку, и является важной информацией для сетевого администратора.

Для защиты от сетевого сканирования необходимо применять подходы, позволяющие скрыть внутреннюю структуру сети и идентифицировать факт сканирования, например, использовать межсетевые экраны, системы обнаружения вторжений.

Таким образом, для защиты от рассмотренных выше атак используют:

· межсетевые экраны,

· виртуальные частные сети,

· стойкие протоколы аутентификации,

· системы обнаружения вторжений,

· анализ журналов безопасности (аудита) компьютерных систем.

Далее рассмотрим данные средства более подробно.

8.3 Ограничение доступа в сеть. Межсетевые экраны

Одна из важнейших задач, решаемая при защите компьютерных сетей, - ограничение доступа внешних пользователей к ресурсам внутренней сети организации, а также обеспечение безопасного доступа внутренних пользователей сети к ресурсам внешней. Это ограничение должно выполняться в соответствие с правилами, определяющими политику безопасности в сети организации.

Межсетевой экран (МЭ, firewall) - это система межсетевой защиты, позволяющая разделить общую сеть на две части или более и реализовать набор правил, определяющих условия прохождения сетевых пакетов через границу из одной части сети в другую.

МЭ пропускает через себя весь трафик, принимая для каждого из проходящих пакетов решение - пропускать его дальше или отбросить. Для этого на межсетевом экране задают набор правил фильтрации трафика.

Обычно межсетевые экраны защищают внутреннюю сеть организации от несанкционированного доступа из открытой сети INTERNET (рис. 8.1), однако, они могут использоваться и для ограничения доступа внутренних пользователей к различным подсетям внутри корпоративной сети предприятия. Таким образом, МЭ регламентирует использование ресурсов одних сетей пользователями других, для него, как правило, определены понятия «внутри» и «снаружи».

Решение о том, каким образом фильтровать пакеты, зависит от принятой в защищаемой сети политики безопасности, МЭ ее реализует. Как правило, с помощью МЭ ограничивается доступ к различным сетевым сервисам для различных сетевых адресов.

Например, МЭ может запретить доступ по протоколам POP3 (Post Office Protocol - протокол почтового отделения, версия 3), который используется почтовым клиентом для получения сообщений электронной почты с сервера) и SMTP (Simple Mail Transfer Protocol) для всех пользователей внутренней сети организации кроме почтового сервера, так чтобы пользователи были вынуждены забирать свою почту только с выделенного почтового сервера организации, на котором она проходит необходимые проверки.

Рис. 8.1. Защита внутренней сети организации от несанкционированного доступа из сети INTERNET

Правила доступа к сетевым ресурсам, в соответствие с которыми конфигурируется МЭ, могут базироваться на одном из следующих принципов:

1. Запрещать все, что не разрешено в явной форме.

2. Разрешать все, что не запрещено в явной форме.

Реализация МЭ на основе первого принципа позволяет обеспечить более хорошую защищенность, но требует больших затрат и доставляет больше неудобств пользователям.

Различают следующие виды МЭ:

1. Фильтрующие маршрутизаторы (пакетные фильтры).

2. Шлюзы сетевого уровня.

3. Шлюзы прикладного уровня.

Шлюзы есть коммуникационные устройства, играющие роль интерфейса.

Фильтрующие маршрутизаторы (пакетные фильтры)

Данные МЭ осуществляют фильтрацию входящих в сеть и исходящих из сети пакетов на основе информации, содержащихся в их TCP и IP заголовках. Как правило, фильтрация осуществляется на основе следующих основных полей:

- IP адреса отправителя;

- IP адреса получателя;

- порта отправителя;

- порта получателя.

Порты отправителя и получателя используются для идентификации сетевой службы, к которой производится обращение, например, FTP (21), TELNET (23) и т.д.

Пример набора правил фильтрации для такого МЭ представлен в таблице 8.1.

Табл. 8.1 Пример правил фильтрации

Тип	Адрес отправителя	Адрес получателя	Порт отправителя	Порт получателя	Действие
TCP	*	129.1.2.3	>1023	21	Разрешить
TCP	123.6.49.234	123.1.2.9	>1023	119	Разрешить

Основными достоинствами МЭ данного типа является невысокая их стоимость и скорость фильтрации.

Основные недостатки МЭ данного вида являются:

· несокрытие структуры внутренней сети,

· нестойкая процедура аутентификации по IP адресу, которую можно обмануть путем подмены IP адреса злоумышленником.

Шлюзы сетевого уровня

Использование подобных МЭ позволяет исключить прямое взаимодействие между хостами. Данные шлюзы принимают запросы доверенных клиентов, и после проверки допустимости сеанса связи устанавливают соединение с требуемым хостом. Такой МЭ выполняет роль посредника между соединяемыми хостами, не давая им взаимодействовать напрямую.

Данные МЭ выполняют также функцию трансляции адресов (NAT), скрывая внутреннюю структуру сети от внешних пользователей. Они выполняют преобразование внутренних IP-адресов сети в один «надежный» IP-адрес, ассоциируемый с МЭ. Внешние пользователи открытой сети «видят» только внешний IP-адрес шлюза.

Недостатком шлюзов сетевого уровня является невозможность фильтрации трафика «внутри службы».

Шлюз прикладного уровня

Данные МЭ позволяют не только пропускать либо не пропускать определенные службы, но и осуществлять фильтрацию трафика «внутри» таких служб, как TELNET, FTP, HTTP и т.д. Например, пользователю внутри FTP соединения может быть запрещено использовать команду put. Данные МЭ используют стойкие протоколы аутентификации пользователей, не позволяющие осуществить подмену доверенного источника, позволяют снизить вероятность взлома систем с использованием уязвимостей ПО.

Отметим, что в организации часто возникает потребность в создании в составе корпоративной сети нескольких сегментов с различными уровнями защищенности, например, свободных сегментов, сегментов с ограниченным доступом, закрытых сегментов. В этом случае могут понадобиться различные варианты установки МЭ. Рассмотрим основные схемы расстановки МЭ и реализуемые при этом функции по защите.

В простейших случаях, при необходимости защитить внутреннюю сеть организации от несанкционированного доступа внешних пользователей INTERNET, используют схему, представленную на рис. 8.1, где МЭ используется как фильтрующий маршрутизатор.

Схема, представленная на рис. 8.2, позволяет организовать из видимых снаружи серверов отдельную сеть, с правилами доступа, отличающимися от правил доступа к ПК остальной части интрасети. Возможно ограничение доступа от пользователей INTERNET к серверам организации, пользователей интрасети к серверам организации.

Рис. 8.2. Защита бастиона серверов

На рис. 8.3 представлен еще один вариант подключения МЭ - с выделением демилитаризованной зоны (DMZ). Организация DMZ предназначена для защиты хостов данной зоны от атак из INTERNET, а также от внутренних пользователей организации. В DMZ могут выноситься WEB, FTP SMTP, DNS серверы и пр.



Рис. 8.3. Схема подключения двух МЭ с введением демилитаризованной зоны



Библиографический список

1. Аникин, И.В., Глова, В.И. Методы и средства защиты компьютерной информации. Учебное пособие. --Казань: Изд. КГТУ им. А.Н. Туполева, 2005.

2. Фатьянов, А.А. Правовое обеспечение безопасности информации в Российской федерации. --М.: Юрист, 2001.

3. Романец, Ю.В., Тимофеев, П.А. , Шаньгин, В.Ф. Защита информации в компьютерных системах и сетях. --М.: Радио и связь,1999.

4. Теоретические основы компьютерной безопасности / П.Н. Девянин, О.О. Михальский [и др.]. -- М.: Радио и связь, 2000.

5. Мельников, В. В. Защита информации в компьютерных системах. -- М.: Финансы и статистика, 1997.

6. Петренко, C.А. , Симонов, С.В. Управление информационными рисками. Экономически оправданная безопасность. --М.: АйТи, 2004.

7. Математические основы информационной безопасности / А.П. Баранов, Н.П. Борисенко [и др.]. Орел: ВИПС, 1997.

8. Основы криптографии. / А. П. Алферов, А. Ю. Зубов [и др.]. -- М: Гелиос АРВ, 2002. C. 93.

9. Основы верификационного анализа безопасности исполняемого кода программ / В.А. Матвеев, С.В. Молотков, Д.П. [и др.]; под общ. ред. П.Д. Зегжды. --СПб.: СПбГТУ, 1994.

10. Ященко, В.В. Введение в криптографию. -- М.: МЦНМО-ЧеРо, 2000.

11. Шнайер, Б. Криптоанализ. -- М.: Триумф, 2002. -- С. 19--22.

12. Смит, Р.Э. Аутентификация: от паролей до открытых ключей. М.: Вильямс, 2002.

13. ГОСТ 28147-89. Система обработки информации. Защита криптографическая. Алгоритм криптографического преобразования.

14. Щербаков, А. Разрушающие программные воздействия. -- М.: ЭДЕЛЬ, 1993.

15. Шнайер, Б. Прикладная криптография. --М.: Триумф, 2003.

16. ГОСТ 34.10-94. Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронно-цифровой подписи на базе асимметричного криптографического алгоритма.

17. Горбатов, В.С., Полянская, О.Ю. Основы технологии PKI. -- М.: Горячая линия - Телеком, 2004.

18. Программно-аппаратные средства обеспечения информационной безопасности. Защита программ и данных / П.Ю. Белкин, О.О.

19. Милославская, Н.Г., Толстой, А.И. Интрасети. Доступ в INTERNET, защита. --М.: Юнити, 2000.

Размещено на Allbest.ru

...