Разработка системы защиты баз данных

- oscanner - утилита, написанная исследователем по имени Патрик Карл ссон (Patrick Karlsson). Позволяет проводить комплексный анализ защи щенности Oracle, в том числе имеет возможность перебора SID по словарю;

- ora-getsid и ora-brutesid - утилиты из пакета OAK (Oracle Assesment Kit), автор - Дэвид Литчфиелд (David Litchfield), известный эксперт в области безопасности Oracle;

- sidguesser - утилита, написанная исследователем по имени Патрик Карл ссон (Patrick Karlsson). Позволяет подбирать SID базы данных по словарю;

- CsidGuess.py - утилита из пакета inguma, набора инструментов для аудито ров безопасности, автор - Джоэн Корэт (Joxean Koret).

В случае если SID не является одним из стандартных, то следующим этапом будет проверка того, является ли SID словарным. На практике данная проверка осуществляется также уже перечисленными выше утилитами, только на вход вместо списка стандартных SID будет подаваться словарь распространенных слов.

В случае если подбор по словарю не дал желаемого результата, то можно запустить подбор SID методом полного перебора. Разумеется, делать это рекомендуется в самом конце, когда все другие варианты не дали результата, так как грубый перебор может занять много времени, также он заметен для систем обнаружения вторжений и не всегда дает результат. В случае если SID содержит не более 5 сим волов, то его можно перебрать за разумное время (порядка 3 суток). Для подбора SID методом полного перебора рекомендуется воспользоваться программой ora brutesid, так как она стабильно работает и имеет самую высокую скорость перебора. Утилита осуществляет перебор всех возможных вариантов SID методом полного перебора и выводит информацию каждые 1000 попыток. Команду запуска утилиты и параметры можно наблюдать на рис. 3.1.31. Там также видно, как утилита запустилась и начала подбирать SID.

Дальнейшим этапом проникновения в систему является получение аутентификационных данных учетных записей пользователей (логинов и паролей) для подключения к СУБД.

Все существующие способы получения учетных записей можно разбить на три группы:

- наличие в системе активных стандартных учетных записей, оставленных производителем по умолчанию;

- подбор паролей;

- поиск паролей в файлах, сетевом трафике и сторонних приложениях.

Использование стандартных учетных записей и настроек в конфигурации по умолчанию можно считать самой распространенной уязвимостью, встречающейся не только в СУБД, но и во множестве других систем, приложений и программно- аппаратных устройств. Чего только стоит стандартная комбинация ADMIN/ ADMIN на бессчетное множество вебприложений и Cisco/Cisco на небезызвестные устройства активного сетевого оборудования. Разумеется, первое, что делает злоумышленник при попытке проникновения в систему, это проверка стандартных имен пользователей и паролей, устанавливаемых производителем. В Интернете существует большое количество сайтов, предоставляющих исчерпывающую информацию о стандартных учетных записях для производителей программного и программно- аппаратного обеспечения.

Что касается СУБД Oracle, то проблема стандартных паролей усугубляется еще и тем, что в отличие от большинства систем, где стандартные пароли устанавливаются для одного пользователя - администратора, и зачастую ему предлагается сменить их при установке, в СУБД Oracle изначально создается множество учетных записей со стандартными паролями, о существовании которых администраторы зачастую и не догадываются. В результате чего СУБД, даже с последними установленными обновлениями, может быть скомпрометирована любым желающим, способным найти в Интернете список стандартных логинов и паролей.

При установке Oracle инсталлятор по умолчанию устанавливает большое ко личество программных пакетов, многие из которых, в свою очередь, создают свою схему с данными в табличном пространстве, а соответственно и учетную запись для работы в СУБД. После успешной настройки СУБД с использованием утилиты Database Confi guration Assistant, которая включает в себя создание баз данных и пользовательских аккаунтов, большинство учетных записей автоматически блокируются, а административным пользователям SYS и SYSTEM устанавливаются пароли, указанные администратором при установке СУБД. В случае если используется установка вручную (или по той или иной причине автоматическая установка завершается некорректно), учетные записи остаются не заблокированными. Обычно администраторы забывают их удалять, отключать или хотя бы менять им пароли. Даже если установка СУБД осуществляется с использованием утилиты Database Configuration Assistant и проходит корректно, в СУБД все равно остаются некоторые незаблокированные учетные записи со стандартными паролями.

Помимо стандартных учетных записей, множество компонентов и приложений для Oracle и сторонних систем типа SAP, которые интегрируются с СУБД, имеют свои стандартные учетные записи в СУБД. Наиболее полный список стандартных пользовательских аккаунтов насчитывает порядка 600 записей и доступен для скачивания в Интернете. Чтобы не перебирать все эти аккаунты вручную, можно воспользоваться утилитой oscanner, кото рая может осуществлять проверку по заданному списку учетных записей.

По статистике, примерно в четырех из пяти проверяемых СУБД присутствуют аккаунты с паролями, установленными по умолчанию. В случае если проверка по стандартным учетным записям не дала ожидаемых результатов, следующим способом получения доступа является подбор паролей к существующим аккаунтам по словарю или методом полного перебора.

Если в СУБД не было обнаружено стандартных учетных записей (что обычно случается довольно редко), можно воспользоваться более грубым способом - уда ленным перебором паролей. В общем случае, при проведении атаки на какую-либо систему «грубый» подбор аутентификационных данных обычно выполняется в самом конце, когда другие способы не дали результата. Перебор аутенфикационных данных редко используется серьезными злоумышленниками, так как считается, что этот способ не достоин профессионалов и оставляет большое количество следов, таких как записи в журналах событий и аномальная сетевая активность. Однако не стоит пренебрегать этим способом, тем более что в отличие от других систем у Oracle существует несколько особенностей, благодаря которым уда ленный перебор аутентификационных данных, и в первую очередь паролей, в большинстве случаев приносит успех:

- имена многих стандартных учетных записей известны, что позволяет подбирать только пароли;

- по умолчанию не установлено ограничений на длину и сложность пароля;

- перебор паролей к учетным записям по умолчанию не блокируется;

- базы данных обычно содержат большое количество учетных записей, и учитывая, что нам достаточно хотя бы одной, вероятность удачного подбора возрастает в разы.

Учитывая все вышеперечисленные особенности, удаленный подбор паролей к СУБД Oracle имеет большие шансы на успех. Теперь рассмотрим, каким образом можно осуществлять перебор паролей.

Прежде чем начать подбирать пароли, необходимо получить имя хотя бы од ной учетной записи, к которой злоумышленник будет подбирать пароль. Как было отмечено ранее, СУБД создает множество стандартных аккаунтов при установке, и, если они не заблокированы, можно подбирать пароли к ним.

В аутентификационном механизме Oracle существует особенность, благодаря которой возможно узнать, существует ли в базе тот или иной аккаунт. В упрощенном варианте аутентификация происходит следующим образом. Клиентская программа посылает на сервер запрос, в котором указывается имя пользователя. Серверная часть извлекает из запроса имя пользователя и проверяет, существует ли такой пользователь в базе данных. В случае если запрашиваемый пользователь отсутствует, сервер отсылает клиенту ответный пакет с сообщением «login denied». Если пользователь существует, то происходит дальнейший процесс аутентификации. Таким образом, посылая запросы на аутентификацию с использованием различных имен пользователей и получая (или не получая) ответы «login denied», мы можем узнать, существует ли та или иная учетная запись в системе.

Имея учетные записи в СУБД, самое время попытаться подобрать к ним пароли. Для этого можно воспользоваться разными утилитами, включая упомянутую выше программу oscanner, но наилучший выбор - orapwdbrute Данная утилита имеет одну очень важную особенность. Она осуществляет подбор паролей в контексте одного соединения с СУБД в отличие от других, которые для каждой попытки входа осуществляют от дельный процесс аутентификации. В результате чего в журналах подключений службы Листенера будет создаваться множество записей о неудачном подключении, что упростит обнаружение факта атаки. В случае использования orapwdbrute в журнале подключений будет присутствовать одна строка о неудачной попытке соединений, что вряд ли вызовет подозрения. Для запуска утилиты необходимо указать следующие параметры: IPадрес сервера, порт службы Листенера, SID базы данных, имя пользователя, к которому подбирается пароль и собственно путь к файлу со словарем.

Злоумышленник может столкнуться с проблемой автоматической блокировки учетных записей после определенного количества неудачных попыток ввода пароля. Это существенно ограничивает возможности подбора паролей. Однако в Oracle есть пользователь SYS, у которого есть возможность подключаться к базе данных с использованием системной привилегии SYSDBA. Привилегия SYSDBA по умолчанию назначается пользователю SYS. Она позволяет ему выполнять высокоуровневые административные задачи, такие как запуск и остановка базы данных.

Одна из особенностей заключается в том, что на подключение пользователем SYS с привилегией SYSDBA не распространяются политики блокировки учетных записей, то есть подбирать пароль к учетной записи SYS с привилегией SYSDBA можно бесконечно, не боясь, что учетная запись будет заблокирована. Это было создано, вероятнее всего, для того, чтобы в случае блокировки всех аккаунтов всегда оставалась возможность подключиться к СУБД. Также следует отметить, что даже в случае, если учетная запись SYS заблокирована, все равно возможно подключение к СУБД пользователем SYS с привилегией SYSDBA (рис. 4.2.31). Таким образом, у злоумышленника всегда есть возможность подобрать пароль к наиболее привилегированному аккаунту.

Существует еще много способов получения паролей, таких как:

- получение паролей с помощью общедоступных данных об ИС;

- подключение к СУБД с использованием локального доступа к серверу;

- получение паролей через доступ к файловой системе сервера;

- перехват аутентификационных данных.

Вслед за подключением к БД у злоумышленника, в зависимости от поставленной задачи, возникает трудность в получение прав.

Насколько мы знаем, для подключения к БД злоумышленнику требуется логин и пароль от учетной записи, и, если ему не удается получить пароль к пользователю SYS с привилегией SYSDBA, пароль к которому обычно криптостойки, проще получить логин и пароль обычного пользователя, логин которого, скорее всего комбинация его инициалов, а пароль, так как он устанавливает его сам, можно легко найти в радужных таблицах.

И насколько на оказывает опыт, для увеличения прав пользователя у злоумышленника есть множество инструментов.

Самым известным инструментом является SQL Injection. PL/SQL инъекция - это изменение хода выполнения PL/SQL процедуры (функции, триггера и любого другого объекта из последовательности SQL команд) путем внедрения произвольных команд в доступные входные параметры. Инъекция возможна в том случае, если входные параметры процедуры не проверяются перед внедрением их непосредственно в запрос. Учитывая огромное количество пакетов и процедур, существующих в стандартной поставке СУБД Oracle, шанс обнаружить уязвимую процедуру очень высок. Для статистики, в Oracle 9i порядка 10700 процедур в 760 пакетах, а в Oracle 10g - 16500 процедур в 1300 паке тах, из них более половины доступны обычному пользователю. В случае успеха атакующий может изменить логику выполнения SQL-запроса так, как это ему нужно. Чаще всего он выполняет простой fingerprinting СУБД, а также извлекает таблицы с наиболее «интересными» именами (например, «users»). После этого, в зависимости от привилегий, с которыми запущено уязвимое приложение, он может обратиться к защищенным частям бэк-энда веб-приложения (например, прочитать файлы на стороне хоста или выполнить произвольные команды).

PL/SQL - это язык для написания внутренних процедур в СУБД Oracle. На нем написано огромное множество процедур, функций, пакетов и триггеров, являющихся частью СУБД. С его помощью можно писать и свои процедуры. Аббревиатура PL расшифровывается как Procedural Language. Язык был создан для расширения возможностей стандартного языка запросов - SQL. В случае если языка PL/SQL недостаточно, функционал можно расширить при помощи внешних процедур из динамических библиотек или вызова javaпроцедур. Процедуры в СУБД Oracle могут выполняться от имени владельца процедуры (владельцем процедуры является тот пользователь, в схеме которого она хранится) либо от имени пользователя, который запустил процедуру. В случае создания процедур, выполняемых от имени владельца (DEFINER), ситуация будет выглядеть следующим образом. Допустим, если пользователь SCOTT создаст процедуру, которая читает данные из доступной только ему таблицы и даст привилегии EXECUTE на выполнение этой процедуры для роли PUBLIC (то есть все пользователи смогут ее выполнять), то каждый, кто запустит эту процедуру, по лучит для ее выполнения права пользователя SCOTT.

В случае выполнения процедуры от имени пользователя, запустившего процедуру (CURRENT USER), у атакующего нет возможности повысить привилегии путем эксплуатации уязвимости в такой процедуре. Для того чтобы процедура выполнялась с правами запустившего ее пользователя, в ее определении должна присутствовать строка AUTHID CURRENT_USER:

CREATE OR REPLACE PROCEDURE HELLO_WORLD2 AUTHID CURRENT_USER AS BEGIN

DBMS_OUTPUT.PUT_LINE('Hello, World!'); END;

Для того чтобы определить, от чьего имени будет запускаться процедура HELLO_WORLD2, можно выполнить команду:

SELECT AUTHID FROM DBA_PROCEDURES WHERE OBJECT_NAME = 'HELLO_WORLD2';

Поскольку большое количество этих процедур выполняется от имени их владельца, которым зачастую является пользователь SYS, внедрив в них свой код, злоумышленник сможет выполнять произвольные действия от имени системного пользователя.

Следующий тип уязвимостей, о котором нельзя не упомянуть, - это переполнение буфера (Buffer Overflow). Данный тип уязвимостей - один из самых рас пространенных и самый опасный из уязвимостей, встречающихся в программном обеспечении. Что касается СУБД Oracle, то уязвимость переполнения буфера менее распространена, чем та же PL/SQL Injection, но в то же время более опасна. В отличие от уязвимостей класса PL/SQL Injection, в результате которых злоумышленник получает права администратора в СУБД, при ошибке переполнения буфера он может получить права администратора на сервере, что несомненно более критично. В то же время реализовать уязвимость класса переполнения буфера сложнее, чем уязвимость класса PL/SQL Injection. В данной главе мы будем говорить про ошибки переполнения буфера во внутренних процедурах СУБД, то есть для их реализации также требуются минимальные права в СУБД.

Переполнение буфера во внутренних процедурах по технике не отличается от других переполнений. Как и в любом другом переполнении, смысл заключается в передаче параметров нестандартной длины той функции, которая не проверяет размер входных параметров перед помещением их в буфер определенного размера. Рассмотрим, как пример процедуру, в которой была обнаружена уязвимость переполнения буфера. Первая новость об этой уязвимости появилась в ноябре 2007 года. Уязвимость присутствовала в процедуре XDB.XDB_PITRIG_ PKG.PITRIG_DROPMETADATA, доступной на выполнение любому пользователю СУБД. Процедура имеет два входных параметра строкового типа; в случае если общая длина двух строк превысит некое значение (около 1800 байт, в зависимости от версии СУБД), то буфер, отведенный под эти переменные, переполнится, и главный процесс СУБД аварийно завершит работу.



3. Рекомендации по защите базы данных

3.1 Описание законов, регулирующих систему защиты БД

Нормативно-правовую базу составляют следующие основные группы документов, которые должны учитываться при обеспечении информационной безопасности:

– международное правовое обеспечение, которое составляют международные нормативные акты (Конвенции, Соглашения, Декларации) к которым присоединилась (подписала, ратифицировала) Российская Федерация, а также заключенные от лица Российской Федерации международные Договоры (Пакты);

– международное нормативно-техническое обеспечение, которое составляют международные Стандарты, Рекомендации, Регламенты в информационной сфере и сфере информационной безопасности;

– национальное правовое обеспечение, которое составляют нормативные акты Российской Федерации (Конституция РФ, Федеральные законы, Указы Президента РФ), подзаконные акты (Постановления и Распоряжения Правительства РФ, нормативные акты уполномоченных федеральных органов государственной власти), а также нормативные и подзаконные акты субъектов Российской Федерации;

– национальное нормативно-техническое обеспечение, которое составляют действующие в Российской Федерации технические регламенты, стандарты (государственные, отраслевые), руководящие документы, а также подзаконные акты уполномоченных федеральных органов государственной власти в основном нормативно-технического характера.

Документы I группы (международное правовое обеспечение) имеют преимущественное право при обеспечении информационной безопасности в сетях связи третьего поколения, если иного не предусмотрено законодательством Российской Федерации. В эту группу входят:

– Всеобщая декларация прав человека, утвержденная и провозглашенная Генеральной Ассамблеей ООН (1948 г.);

– Европейская Конвенция о защите прав человека и основных свобод (1996 г.);

– Пакт о гражданских и политических правах (1976 г.);

– Европейская Конвенция от 28.01.1981 г. об охране личности в отношении автоматизированной обработки персональных данных;

– Директива Европейского Парламента и Совета Европейского Союза 95/46/ЕС об обработке персональных данных;

– Директива Европейского Парламента и Совета Европейского Союза 97/66/ЕС об обработке персональных данных;

и ряд других международных договоренностей, признаваемых Российской Федерацией.

В этих документах затрагивается ряд важных и характерных, также, для российского национального законодательства вопросов, таких, как общие цели безопасности, требования к системе безопасности, требования, связанные с управлением доступом, требования управления безопасностью и многие другие [12].

Национальное правовое обеспечение составляют конституционные и федеральные законы Российской Федерации, указы Президента Российской Федерации, Постановления и Распоряжения Правительства РФ, распоряжения и приказы федеральных министерств (Мининформсвязи России, Минпромэнерго России), служб (ФСТЭК России, ФСБ России, Россвязьнадзор) и агентств (Росинформтехнологии, Россвязь) по вопросам обеспечения безопасности информации, региональные нормативные акты субъектов Российской федерации в области формирования, использования и защиты информационных ресурсов. Документы этой группы носят обязательный характер для всех участников правоотношений на территории Российской Федерации, независимо от их национальной принадлежности и имеют наивысший приоритет при определении требований по обеспечению безопасности в них. Исключение составляют нормативные акты субъектов РФ, которые носят локальный характер и действуют в пределах границ субъекта Российской Федерации. Это наиболее многочисленная группа документов, в которую входят:

– Конституция Российской Федерации [3];

– Гражданский Кодекс Российской Федерации [4];

– Уголовный Кодекс Российской Федерации [5];

– Закон РФ «О государственной тайне», № 5485-1, 1993 г.;

– Федеральный закон «Об информации, информатизации и защите информации», № 24-ФЗ, 1995 г. [6];

– Федеральный закон «Об участии в международном информационном обмене», № 85-ФЗ, 1995 г. [7];

– Федеральный закон «О коммерческой тайне», № 98-ФЗ, 2004 г. [8];

– Указ Президента РФ «Об основах государственной политики в сфере информатизации», № 170, 1994 г.;

– Указ Президента РФ «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации», № 334, 1995 г.;

– Указ Президента РФ «Об утверждении перечня сведений конфиденциального характера», № 188, 1997 г.;

– Указ Президента РФ «Об утверждении концепции национальной безопасности РФ», № 1300, 1997 г.;

– Доктрина информационной безопасности Российской Федерации, утверждена Президентом РФ № Пр-1835, 2000 г.

а также законы субъектов Российской Федерации и постановления (распоряжения) их руководителей (глав) по тем или иным вопросам в области обеспечения безопасности информации. В настоящее время нет единой структуры региональных актов, законодательные собрания субъектов Российской федерации находятся на разных уровнях понимания проблемы, поэтому такие акты разнородны и с трудом поддаются обобщению и анализу.

Национальное нормативно-техническое обеспечение составляют Технические регламенты, разработанные в соответствии с Федеральным законом «О техническом регулировании», действующие государственные (Ростехрегулирование), в том числе и разработанных на основе международных стандартов, ведомственные стандарты, руководящие документы и технические нормы уполномоченных федеральных органов государственной власти (ФСТЭК России, ФСБ России, Россвязьнадзор, Ростехрегулирование), направленные на техническую поддержку решения проблемы безопасности информации[13]. К этой группе можно отнести:

– ГОСТ.34.201-89. ИТ. Комплекс стандартов на АС. Виды, комплектность и обозначение документов при создании АС;

– ГОСТ 34.ХХХ. ИТ. Комплекс стандартов на АС;

– ГОСТ 29339-92. ИТ. Защита информации от утечки за счет ПЭМИН при ее обработке СВТ. Общие технические требования;

– ГОСТ Р 50752-95. ИТ. Защита информации от утечки за счет ПЭМИН при ее обработке СВТ. Методы испытаний;

– ГОСТ Р 50739-95. СВТ. Защита от несанкционированного доступа к информации;

– ГОСТ Р 50922-96. ЗИ. Основные термины и определения;

– ГОСТ Р 51188-98. ЗИ. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство;

– ГОСТ Р 51275-99. ЗИ. Объект информатизации. Факторы, воздействующие на информацию. Общие положения;

– ГОСТ Р ИСО/МЭК 15408-2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий.



3.2 Описание защиты сайта с личным кабинетом абонента. Защита сайта компании

Для защиты проникновения через демилитаризованную зону в корпоративную сеть используются межсетевые экраны. Существуют программные и аппаратные экраны. Для программных требуется машина, работающая под UNIX или Windows NT/2000. Для установки аппаратного брандмауэра нужно лишь подключить его в сеть и выполнить минимальное конфигурирование. Обычно программные экраны используются для защиты небольших сетей, где нет необходимости производить много настроек, связанных с гибким распределением полосы пропускания и ограничения трафика по протоколам для пользователей. Если сеть большая и требуется высокая производительность -- выгоднее становится использовать аппаратные межсетевые экраны. Во многих случаях используют не один, а два межсетевых экрана - один защищает демилитаризованную зону от внешнего воздействия, второй отделяет ее от внутренней части корпоративной сети.

Рис 3.1 - DMZ с двумя межсетевыми экранами



Но кроме того, что вынесение публичных серверов в демилитаризованную зону в определенной степени защищает корпоративную сеть, необходимо продумать и обеспечить защиту и самой DMZ. При этом необходимо решить такие вопросы, как:

– защита от атак на серверы и сетевое оборудование;

– защита отдельных серверов;

– контроль почтового и иного контента;

– аудит действий пользователей.

Каким образом могут решаться эти вопросы? Почтовый сервер, который используется как для внешней переписки, так и для внутрикорпоративной, желательно "разделить" на две составляющие -- публичную, которая фактически будет сервером-ретранслятором и будет размещаться в DMZ, и основную, размещенную внутри корпоративной сети. Основная составляющая обеспечивает обращение внутренней почты, принимает с ретранслятора и отправляет на него внешнюю корреспонденцию.

Одной из основных проблем является обеспечение безопасного доступа к публичным ресурсам и приложениям из корпоративной внутренней сети. Хотя между нею и демилитаризованной зоной устанавливают межсетевой экран, но он должен быть "прозрачен" для работы. Есть несколько вариантов предоставления такой возможности пользователям. Первый -- использование терминального доступа. При такой организации взаимодействия клиента и сервера через установленное соединение не передается какой-либо программный код, среди которого могли бы быть и вирусы и иные вредоносные включения. От терминального клиента к серверу следует поток кодов нажатых клавиш клавиатуры и состояний мыши пользователя, а обратно, от сервера клиенту, поступают бинарные образы экранов серверной сессии браузера или почтового клиента пользователя. Другой вариант -- использование VPN (Virtual Private Network). Благодаря контролю доступа и криптозащите информации VPN обладает защищенностью частной сети, и в то же время использует все преимущества сети общего пользования.

Для защиты от атак на серверы и сетевое оборудование используют специальные системы обнаружения вторжения (Intrusion Detection). Компьютер, на котором устанавливают такую систему, становится первым на пути информационного потока из Интернета в DMZ. Системы настраивают таким образом, чтобы при обнаружении атак они могли выполнить переконфигурирование межсетевого экрана вплоть до полного блокирования доступа. С целью дополнительного, но не постоянного контроля, используют специальное программное обеспечение -- сканеры безопасности, проверяющие защищенность сети, серверов и сервисов, баз данных. Для защиты от вирусов в демилитаризованной зоне устанавливается антивирусное ПО, а также средства контроля контента.

Межсетевой экран - это система межсетевой защиты, позволяющая разделить каждую сеть на две и более части и реализовать набор правил, определяющих условия прохождения пакетов с данными через границу из одной части общей сети в другую. Как правило, эта граница проводится между корпоративной (локальной) сетью предприятия и глобальной сетью Интернет, хотя ее можно провести и внутри корпоративной сети предприятия. Использование межсетевых экранов позволяет организовать внутреннюю политику безопасности сети предприятия, разделив всю сеть на сегменты.

В качестве межсетевых экранов будут рассматриваться последние разработки следующих компаний-производителей аппаратных средств защиты периметра:

– IBM;

– D-link;

– Cisco.

В результате выбора среди продуктов от каждой фирмы можно выделить продукты D-linkDFL-260, IBMProventiaNetworkIPS и Cisco 1801/K9.

Условные обозначения:

- недостатки;

Без выделения - преимущества.

Таблица 3.1 Результаты сравнительного анализа средств межсетевого экранирования

Характеристика	D-linkDFL-260	IBMProventiaNetworkIPS	Cisco 1801/K9
Класс отказоустойчивости	1 класс	нет	1 класс
Контроль на прикладном уровне с учетом состояния	Нет	Да	Да
Прозрачная аутентификация Windows	Да	Да	Да
Пропускная способность	80Mbps	10Mbps	100Mbps
Wi-Fi	Нет	Нет	Да
Интерфейсы	Ethernet 10/100BaseT (WAN) Ethernet	2 x Ethernet 10/100BaseT (WAN) Ethernet	ADSL (WAN)) 8 x Ethernet 10/100BaseT (LAN) ISDN BRI
Протоколирование всех имен пользователей и приложений	Да	Да	Нет
Поддержка Exchange	Да	Да	Да
Поддержка Exchange	Да	Да	Да
Демилитаризованная зона	Да	Да	Нет
Характеристика	D-linkDFL-260	IBMProventiaNetworkIPS	Cisco 1801/K9
Контроль шлюзового и клиентского трафика VPN на прикладном уровне	Нет	Да	Да
100-Мбит/с порты ЛВС	4	8	8
Число одновременных подключений	12000	10000	18000
Передача функций отказавшего МЭ исправному устройству	Нет	Нет	Да
Web-кэширование и proxy	Да	Нет	Да
Цена	28000 руб.	150000 руб.	36000 руб.
Общее количество недостатков систем	3	4	3

Как видно из таблицы 3.1, высокая цена продукта компании IBM обоснована высоким качеством, пропускной способностью, в данном случае рассматривается мало пропускаемая, т.е. самая дешёвая - 10Mbps, и функциональной полнотой их продуктов. Однако наилучшим продуктом в соотношении цена/качество является продукт компании D-link.

Таким образом, наиболее приемлемым средством защиты периметра является межсетевой экран D-linkDFL-260.

3.3 Защита канала 1С (клиент - банк)

Как любой подход к безопасности, защита клиент банка должна быть комплексной.

Самое основное правило: компьютер с системой «клиент-банк» должен использоваться только для работы с этой системой. Ни чтение новостей или любой другой интернет-серфинг, ни получение электронной почты, ни подключение переносных дисков, ни пользование интернет-пейджерами, ни работа с любыми другими программами кроме «клиент-банка» не должны быть доступны пользователям.

Для защиты клиент банка пользовательские права на рабочей станции должны быть максимально ограничены. Заражение компьютера происходит в основном из-за невнимательности или неосторожности, а ограниченный пользователь не сможет запустить вирус.

На рабочем месте должны быть установлены самые свежие обновления операционной системы и антивируса. Большинство вирусов используют уязвимости системы, которые и закрываются обновлениями.

На компьютере необходимо установить и настроить сетевой экран так, чтобы был запрещен любой сетевой трафик кроме связи с банком, обновлений системы и антивируса. Это позволит предотвратить отсылку информации злоумышленникам даже в случае заражения. А для предотвращения заражения по локальной сети, рабочее место необходимо поместить в отдельную виртуальную сеть (VLAN).

Также стоит помнить, что безопасность необходимо поддерживать постоянно. Поэтому необходимо организовать регулярные регламентные операции по проверке компьютера на уязвимости и соответствия защиты выбранным критериям безопасности.

Для защиты от недобросовестных сотрудников, рекомендуется расположить рабочее место в отдельном помещении, которое контролируется системой видеонаблюдения и СКУД.

3.3 Описание системы защиты БД

Для защиты базы данных предлагается развертывание сети VPN, Составной частью решений для развертывания сетей VPN являются такие технологии, как IPSec VPN, Cisco Easy VPN, Cisco Dynamic Multipoint VPN, Cisco GRE VPN.

Основные требования:

– прозрачный обмен данными между приложениями сетей территориально удаленных офисов;

– защита данных от несанкционированного доступа и искажения злоумышленниками как из сети Интернет, так и из внутренней сети компании;

– способность автоматической реконфигурации сети при отказах основных каналов связи с переходом на резервные каналы;

– возможность предоставлять требуемые классы обслуживания для заданных типов трафика (данные, голос, видео);

– возможность гибкого централизованного управления сетью и политиками безопасности всех узлов;

– учет событий в системе безопасности, их накопление и выдача статистических данных.

IPSec VPN. Наиболее распространенная технология, основанная на открытых стандартах, поддерживаемая наибольшим числом производителей оборудования и программного обеспечения. Идеальна для построения гетерогенных сетей VPN.

Отработанная за годы развития технология IPSec VPN гарантирует стабильную работу и корректное взаимодействие оборудования различных производителей, различных платформ и программных сред в рамках одной сети VPN. Вместе с очевидными достоинствами имеет ряд существенных ограничений.

В основе решения лежит сеть VPN с предварительно настроенными в каждой точке входа в сеть туннелями для передачи защищаемого трафика. Таким образом все политики доступа и параметры взаимодействия конфигурируются отдельно для каждого устройства доступа и каждой удаленной подсети.

Преимущества

– Поддержка наибольшим числом производителей;

– Поддерживается во всех моделях маршрутизаторов Cisco;

– Открытый стандарт;

– Недостатки;

– Нет поддержки широковещательного трафика;

– Нет поддержки трафика отличного от IP;

– Нет поддержки политик качества обслуживания для каждого туннеля;

– Нет механизма переключения основной/резервный каналы - только переключение с отказавшего на следующий доступный канал из списка.

Функциональность IPSec VPN реализована в маршрутизаторах Cisco ISR, Cisco ASA и концентраторах Cisco VPN 3000 которые могут работать как в сетях VPN для объединения локальных сетей удаленных офисов, так и в качестве устройств для удаленного доступа сотрудников к корпоративным бизнес-приложениям.

Таблица 3.2 Ключевые характеристики IPSec VPN

Преимущества	Функции защиты передаваемого между двумя точками трафика Поддержка QoS
Показания к применению	При построении сети из оборудования разных производителей
Совместимость оборудования	Полное, в том числе разных производителей
Масштабируемость	Тысячи узлов в сети
Управление и контроль	Cisco Security Manager, Cisco Router and Security Device Manager
Топология	Звезда, небольшие полносвязные сети VPN
Динамическая маршрутизация	Поддерживается
Качество обслуживания	Поддерживается
Широковещательный трафик	Нет
Поддержка протоколов отличных от IP	Нет
Резервирование	Возможность активизации резервного канала

Технология Cisco Easy VPN в значительной степени упрощает процесс развертывания и сопровождения сети VPV для множества удаленных офисов. Технология централизует управление всеми параметрами и политиками безопасности на устройствах сети, сокращая сложность и повышая безопасность сети VPN.

Суть решения состоит в размещении всех параметров взаимодействия и политик безопасности на центральном сервере сети VPN (Easy VPN Server), к которому подключаются удаленные устройства VPN - аппаратные и программные клиенты (Easy VPN Remote). Перед тем как удаленный клиент сети Easy VPN сможет начать процедуру установления зашифрованного соединения с сетью VPN, он должен пройти процедуру проверки подлинности и загрузить все политики безопасности с сервера Easy VPN.

Благодаря тому, что все параметры взаимодействия и политики безопасности хранятся на центральном сервере, объем настроек оборудования в удаленных офисах сводиться к минимуму и состоит в подготовке универсального шаблона конфигурации. В дальнейшем этот шаблон может быть легко тиражирован на все устройства сети VPN без ущерба для уровня безопасноcти. Таким образом технология Easy VPN радикально минимизирует затраты на сопровождение ИТ в удаленных офисах.

В настоящее время функциональность Easy VPN Server реализована в маршрутизаторах Cisco ISR, Cisco ASA и концентраторах Cisco VPN 3000 которые могут работать как в сетях VPN для объединения локальных сетей удаленных офисов, так и в качестве устройств для удаленного доступа сотрудников к корпоративным бизнес-приложениям.

В качестве клиента Easy VPN Remote могут выступать маршрутизаторы Cisco ISR, UBR900, Cisco PIX 501, 506E и аппаратный клиент сетей VPN - Cisco VPN 3002.

Таблица 3.3 Ключевые характеристики Easy VPN

Преимущества	Сокращение затрат на администрирование и повышение безопасности благодаря автоматической загрузке конфигураций и политик с центрального узла Поддержка QoS
Показания к применению	Для сокращения затрат ресуров на настройку и управление сетью, при некоторых ограничениях в функциональности сети VPN При необходимости единой унифицированной системы управления разнообразными продуктами Cisco для построения VPN
Совместимость оборудования	Cisco ASA 5500, Cisco VPN 3000 и маршрутизаторы Cisco
Масштабируемость	Тысячи узлов в сети
Управление и контроль	Конфигурация узлов и политики доступа загружаются с центрального узла под управлением Cisco Security Manager, Cisco Router and Security Device Manager
Топология	Звезда
Динамическая маршрутизация	Ограниченно
Качество обслуживания	Только статические политики QoS для каждого узла
Широковещательный трафик	Нет
Поддержка протоколов отличных от IP	Нет
Резервирование	Возможность активизации резервного канала

Технология Cisco Dynamic Multipoint VPN. Технология построения виртуальных частных сетей в основе которой лежит механизм динамического установления соединений между узлами сети

Cisco DMVPN может быть развернута как совместно с системами безопасности Cisco IOS Firewall и Cisco IOS IPS, так и вместе с такими необходимыми в современных сетях механизмами как QoS, IP Multicast, Split Tunneling и механизмами резервных маршрутов (routing-based failover). Используя возможности Cisco DMVPN можно создавать крупные VPN сети с десятками и сотнями узлов, с возможностью балансировки загрузки каналов и резервирования. При этом нет необходимости вручную конфигурировать каждое соединение между узлами сети - соединение будет установлено автоматически в соответствии c политиками доступа и безопасности.

Преимущества технологии Cisco DMVPN. Динамическая маршрутизация между узлами сети VPN Протоколы динамической маршрутизации могут пересылать информацию об IP-сетях по зашифрованным тоннелям между подразделениями компании. Поддерживаются протоколы маршрутизации: Enhanced Interior Gateway Routing Protocol (EIGRP), Open Shortest Path First (OSPF), и Border Gateway Protocol (BGP).

Небольшой объем конфигурационных данных. Нет необходимости настраивать каждое соединение в отдельности. Добавление нового узла в сеть VPN не требует изменений в конфигурации как соседних узлов сети VPN, так и центрального узла такой сети. Например, типовой конфигурационный файл для сети из 1000 узлов в случае традиционных сетей IPsec буде содержать 3900 строк на каждом устройстве VPN, в то время как для технологии DMVPN необходимо только 13 строк на одно устройство.

Динамические туннели без участия центрального узла. В соответствии с политиками безопасности компании отдельные узлы смогу устанавливать соединения VPN между собой без участия центрального узла [14]. Это снижает как нагрузку на оборудование и расходы на транзитный трафик для центрального узла, так и повышает скорость обработки таких данных как трафик систем IP-телефонии.

Поддержка NAT. Узлы сети VPN в удаленных подразделениях на оборудовании которых используется трансляция адресов NAT с успехом могут быть подключены к сети DMVPN.

Механизмы отказоустойчивости. Сеть VPN может быть построена как с использованием одного центрального узла, так и нескольких центральных узлов для обеспечения резервирования устройств и каналов связи. Удаленные узлы сети могут быть подключены к двум каналам связи от двух операторов связи одновременно для обеспечения отказоустойчивой схемы.

Поддержка качества обслуживания QoS. Как на центральном узле сети VPN, так и на удаленных узлах возможна реализация политик QoS с классификацией трафика, настройка шейпирования трафика, обслуживания трафика с различным приоритетом для разных узлов сети.

Масштабируемость сети. Сеть DMVPN может состоять как из нескольких узлов, так и вырасти до сети из тысяч узлов с использованием технологии server load balancing (SLB). Производительность центральных узлов может быть увеличена простым добавлением дополнительных устройств. При необходимости сеть VPN может иметь иерархическую структуру.

Минусы технологии Cisco DMVPN. Данная технология построения сетей VPN поддерживается только на маршрутизаторах Cisco Systems.



Таблица 3.4 Сравнение технологий

	Cisco DMVPN	Cisco GRE VPN	Cisco Easy VPN	Традиционные IPSec VPN
Преимущества	Упрощенная настройка и управление туннелями GRE точка-точка Туннели точка-точка по требованию Поддержка QoS, маршрутизации, широковещательного трафика	Обеспечивает передачу широковещательного и маршрутизируемого трафика через туннеи IPSec VPN Поддержка протоколов отличных от IP Поддержка QoS	Сокращение затрат на администрирование и повышение безопасности благодаря автоматической загрузке конфигураций и политик с центрального узла Поддержка QoS	Функции защиты передаваемого между двумя точками трафика Поддержка QoS
Показания к применению	Сети VPN с выделенным центром и поддержкой QoS, маршрутизации, широковещательного трафика. Полносвязанные сети VPN малого и среднего размера	При необходимости маршрутизации в сети VPN Реализует функции аналогичные топологии звезда DMVPN, но требует более объемной и детальной конфигурации	Для сокращения затрат ресуров на настройку и управление сетью, при некоторых ограничениях в функциональности сети VPN При необходимости единой унифицированной системы управления разнообразными продуктами Cisco для построения VPN	При построении сети из оборудования разных производителей
Совместимость оборудования	Только маршрутизаторы Cisco	Только маршрутизаторы Cisco	Cisco ASA 5500, Cisco VPN 3000 и маршрутизаторы Cisco	Полное, в том числе разных производителей
Масштабируемость	Тысячи узлов для топологии с выделенным центром, сотни узлов для частично связанных сетей точка-точка	Тысячи узлов в сети	Тысячи узлов в сети	Тысячи узлов в сети
Управление и контроль	Cisco Security Manager, Cisco Router and Security Device Manager	Cisco Security Manager, Cisco Router and Security Device Manager	Конфигурация узлов и политики доступа загружаются с центрального узла под управлением Cisco Security Manager, Cisco Router and Security Device Manager	Cisco Security Manager, Cisco Router and Security Device Manager
Топология	Звезда, полносвязные сети VPN, динамические сети точка-точка с автоматическим удалением туннеля при отсутствии трафика	Звезда, небольшие полносвязные сети VPN	Звезда	Звезда, небольшие полносвязные сети VPN
Динамическая маршрутизация	Поддерживается	Поддерживается	Ограниченно	Поддерживается
Качество обслуживания	Поддерживается	Поддерживается	Только статические политики QoS для каждого узла	Поддерживается
Широковещательный трафик	Через туннель VPN	Через туннель VPN	Нет	Нет
Поддержка протоколов отличных от IP	Нет	Да	Нет	Нет
Резервирование	Средствами протоколов маршрутизации	Средствами протоколов маршрутизации	Возможность активизации резервного канала	Возможность активизации резервного канала

Один из возможных вариантов такого решения реализуем на базе маршрутизаторов с интегрированными сервисами Cisco 1800 ISR (для головного офиса) и Cisco 871 (для филиалов). В качестве транспортной среды используется сеть Интернет.



Рис 3.2 - Схема VPN

В данном решении использованы технологии IPSec VPN для связи головного офиса с филиалами и технология Cisco DMVPN для обеспечения, при такой необходимости, передачи данных непосредственно между филиалами.

Для реализации функций шифрования и обеспечения безопасности на маршрутизатор головного офиса загружено программное обеспечение Cisco IOS VPN, являющееся неотъемлемой частью операционной системы маршрутизаторов и позволяющее быстро и эффективно построить виртуальную частную сеть VPN для компании любого масштаба и сети любой топологии.

Причины выбора Cisco IOS VPN:

– Организация высокопроизводительной сети VPN с расширенными возможностями;

– Снижение стоимости внедрения в существующую инфраструктуру;

– VPN непосредственно для WAN-интерфейсов;

– Организация VPN без приобретения дополнительных средств защиты;

– Интеграция IPSec и MPLS VPN.

В данной главе были предложены рекомендации для комплексной защиты информации: сайта, системы Клиент-Банк, базы данных.

Для защиты сайта было предложено установить межсетевой экран.

Для защиты системы Клиент-Банк и базы данных рекомендуется построение частной защищенной VPN сети. Для этого было выбрано Cisco IOS VPN.

Для защиты базы данных необходимо настроить права пользователя БД.

Для создания и настройки прав пользователя ORAUSER были использованы следующие команды.

CREATE USER ORAUSER IDENTIFIED BY ORAUSER DEFAULT TABLESPACE USERS

QUOTA UNLIMITED ON USERS QUOTA 2M ON TEMP

Пользователь создан.

GRANT CREATE SESSION TO ORAUSER

GRANT CREATE TABLE TO ORAUSER

GRANT CREATE PROCEDURE TO ORAUSER

GRANT CREATE TRIGGER TO ORAUSER

GRANT CREATE VIEW TO ORAUSER

GRANT CREATE SEQUENCE TO ORAUSER

GRANT CREATE VIEW TO ORAUSER

GRANT DELETE ANY TABLE TO ORAUSER

GRANT DROP ANY TABLE TO ORAUSER

GRANT DROP ANY PROCEDURE TO ORAUSER

GRANT DROP ANY TRIGGER TO ORAUSER

GRANT DROP ANY VIEW TO ORAUSER

GRANT ALTER ANY TABLE TO ORAUSER

GRANT ALTER ANY TABLE TO ORAUSER

GRANT ALTER ANY PROCEDURE TO ORAUSER

GRANT ALTER ANY TRIGGER TO ORAUSER

COMMIT

защита сайт авторизация

На рисунке 3.3 представлена форма авторизации для подключения у созданной БД с помощью PL/SQL Developer.

Рис 3.3 - Подключение к БД

Размещено на Allbest.ru

...