Защита информации, виртуальные частные сети (VPN). Технология ViPNet.

Здравствуйте, уважаемые подписчики!

В обзорах известных средств поиска уязвимостей (Internet Scanner, NetSonar и т.д.) обычно рассматривается только один аспект применения систем анализа защищенности - поиск слабых мест в системе защиты корпоративной сети. За рамками этих обзоров оставались другие варианты применения указанных средств. А ведь это очень важно, особенно в российских условиях нехватки финансовых средств. Применение систем анализа защищенности для различных целей позволяет расширить их функциональность и убедить руководство компании в необходимости приобретения этих средств.

В предлагаемой статье "Сканеры не только ищут дыры в Вашей сети" Алексей Викторович Лукацкий рассказывает именно об этом. Существует ряд типичных сценариев, которые охватывают до 90% всех случаев использования систем анализа защищенности...

Как обычно в рассылке, свежие новости из области защиты информации и IT-технологий, информационные сообщения по новым атакам и способам взлома, статистика по инцидентам, а также новости компании Инфотекс.

• Компании Инфотекс объявляет о получении сертификата ФАПСИ на средство защиты информации "Персональный сетевой экран ViPNet" (ViPNet Personal Firewall).
• Компания Infotecs Internet Trust (IIT) и Domina Security 03 декабря 2002 г. в Москве проводят информационный семинар: "Практическое применение международного стандарта безопасности информационных систем ISO 17799"

Инвентаризация и построение карты сети
Точная и надежная фиксация информации о компонентах корпоративной сети и данных с момента их создания или появления до момента их уничтожения является залогом успешного обнаружения практически любых нарушений безопасности. Такие данные позволят сравнивать эталонную информацию о состоянии информационной системы при ее создании (или в момент последнего санкционированного изменения) с текущим состоянием и своевременно обнаруживать все несанкционированные изменения. Подходы к обнаружению таких изменений обычно основаны на определении различий между текущим состоянием контролируемого объекта и предварительно зафиксированным, ожидаемым состоянием. Персоналу защиты необходимо всегда знать, где и какой ресурс находится, а также состояние этого ресурса. Без этой информации нельзя адекватно определить, было ли что-нибудь добавлено, изменено, нарушено и т.д. Особенно это важно во многих российских компаниях, в которых всегда присутствуют "продвинутые" сотрудники, которые, считая себя компетентными во всем, самостоятельно реконфигурируют свои рабочие станции и сервера, не ставя в известность IT-персонал. Хорошо еще, если это рядовой сотрудник, который не может сделать ничего за пределами своего компьютера. А если это администратор, который на свой страх и риск изменяет конфигурацию своего сегмента сети?

Однако стоит отметить, что данным этапом, который называется построение карты сети, обычно пренебрегают во многих организациях. Это связано с тем, что процесс фиксации необходимого объема информации о компонентах информационной системы - достаточно долгий и рутинный процесс, который требует не только материальной поддержки. Зачастую специалисты отделов защиты информации не имеют соответствующей подготовки для получения такой информации. Мало того... они не имеют доступа к оборудованию, функционирующему в сети. Поэтому приходиться идти на компромисс со специалистами управлений телекоммуникаций, информатизации и т.д. Только совместная работа позволяет собрать всю необходимую информацию. Как показывает российская практика, карта сети создается (если вообще создается) только на этапе проектирования информационной системы. Затем эта карта уже не поддерживается в актуальном состоянии и не может служить основой для контроля и обнаружения несанкционированных изменений. Кроме того, зачастую данная карта и информация находится только в управлениях информатизации и является недоступной для отделов защиты, что существенно снижает эффективность их работы.

Карта сети (network map) - это не просто один документ, содержащий всю необходимую информацию. Скорее это атлас, известный всем по школе. Такой атлас содержал различные карты, описывающие одну и ту же территорию с разных позиций (политическая, физическая, экономическая и т.д.). Также и карта сети, описывающая различные аспекты функционирования корпоративной сети. Без такой карты можно оказаться в ситуации, прекрасно описанной в русских сказках: "Пойди туда, не знаю куда, и принеси то, не знаю что".

Для построения сетевой составляющей этой карты можно (и нужно) использовать различные системы сетевого управления (HP OpenView, SPECTRUM, MS Visio и т.п.). Такого рода инструменты включают в себя функцию AutoDiscovery, которая позволяет автоматически поддерживать актуальность сетевой карты и отслеживать все несанкционированные изменения в сетевой конфигурации. Однако такие средства стоят немалых денег и не всегда к ним дается доступ сотрудникам отделов защиты информации. В этом случае можно использовать системы анализа защищенности, позволяющие идентифицировать на узлах сети, следующие параметры:

• имя (DNS и NetBIOS) и роль узла;
• сетевые сервисы;
• заголовки активных сервисов;
• типы и версии используемых ОС и прикладного программного обеспечения;
• разделяемые ресурсы NetBIOS (NetBIOS Share);
• учетные записи;
• общие параметры политики безопасности (политика аудита, использования паролей и учетных записей и т.д.).

Обнаружение конфигураций "по умолчанию"
Как показывает практика, многие системные администраторы устанавливают операционные системы, прикладное программное и сетевое программно-аппаратное обеспечение в конфигурации, заданной "по умолчанию". С одной стороны это существенно облегчает и ускоряет им работу, а с другой приводит к тому, что злоумышленники, используя известные слабости таких конфигураций, проникают на узлы корпоративной сети. Системы анализа защищенности могут быть настроены на поиск узлов с программным обеспечением, установленным в конфигурации "по умолчанию", и рекомендовать шаги по устранению найденных проблем. Например, в нижеследующей таблице показано число уязвимостей в различных заданных по умолчанию конфигурациях ОС семейства Windows, обнаруженных системой Internet Scanner(tm) 6.1.

Обнаружение модемов
Очень часто сотрудники компаний, в которых доступ в Internet регламентируется и разграничивается с помощью различных защитных средств (например, межсетевых экранов или систем контроля содержания), подключают к своим компьютерам модемы и используют их для выхода в Internet в обход защитных механизмов. Также модемы очень часто используются для получения обновлений различных юридических и бухгалтерских программ (например, Консультант-Плюс или 1С:Бухгалтерия). И, наконец, модемы могут быть использованы для доступа к рабочему месту из дома. Это представляет большую угрозу для многих компаний, т.к. компьютеры, к которым подключены модемы, никак не защищены и любой злоумышленник, обнаруживший такой "черный ход", может воспользоваться им для несанкционированного доступа к ресурсам, требующим обязательной защиты. В своей практике мне, к сожалению, не приходилось сталкиваться с компаниями, в которых не находилось хотя бы одного модема, имеющего выход во внешний мир в обход требования политики безопасности.

Некоторые системы анализа защищенности позволяют своевременно обнаруживать в корпоративной сети модемы и указать на их наличие администратору безопасности.

Обнаружение неизвестных устройств
Нередки случаи, когда злоумышленники подключают свои компьютеры или notebook'и к критичным сегментам сети с целью получения доступа к передаваемой конфиденциальной информации (например, паролям или платежным поручениям). Установленные на таких компьютерах анализаторы протоколов (снифферы) позволяют перехватывать весь сетевой трафик, циркулирующий между узлами критичного сегмента. Опасность таких несанкционированно подключенных устройств в том, что они без труда получают доступ к паролям пользователей (в т.ч. и администратора), передаваемых в незащищенном виде по большинству протоколов, построенных на базе стека TCP/IP. В частности беззащитными к чужому любопытству являются протоколы: HTTP, FTP, Telnet, POP3, IMAP и т.д. В т.ч. открытой остается и информация, передаваемая между SQL-сервером и клиентским программным обеспечением.

Системы анализа защищенности позволяют своевременно обнаруживать в корпоративной сети несанкционированно подключенные устройства и оповещать об этом администратора безопасности.

Контроль эффективности работы IT-подразделений
Очень часто некоторые IT-подразделения организации или их сотрудники получают неограниченную и неконтролируемую власть над информационной системой и ее компонентами, что приводит к появлению уязвимых мест в программно-аппаратном обеспечении, неустраняемых в течении долгого времени. Обычно это происходит из-за нехватки времени, врожденной лени или просто нежелания заниматься рутинной работой.

Обиженные или недовольные администраторы IT-подразделений также могут несанкционированно и бесконтрольно изменять конфигурацию сетевого оборудования, важных серверов и других устройств с целью нанесения ущерба своей организации или шантажа своего руководства с целью повышения по служебной лестнице или улучшения материального положения. Такие случаи нередки; особенно в российской практике, когда зарплата персонала, обслуживающего вычислительную технику, достаточно низка.

Системы анализа защищенности являются эффективным, а зачастую единственным средством контроля сотрудников и подразделений, имеющих большую власть над информационной системой организации.

Анализ защищенности удаленных офисов
В последние годы широкое распространение получило объединение филиалов одной организации, распределенных по разным территориям и взаимодействующих по открытым каналам связи на базе Internet, в единую корпоративную сеть. Обычно считается, что основное внимание злоумышленников направлено на центральный офис, содержащий важную конфиденциальную информацию. Защите именно центрального офиса уделяется максимум сил и средств. Понимая это, злоумышленники направляют свой интерес к тем точкам корпоративной сети, которые являются не столь защищенными, то есть именно к удаленным филиалам, с которым у центрального офиса установлены доверенные отношения. И даже в случае создания VPN-соединений между сетью, защищаемой при помощи межсетевого экрана, и доверенной сетью, злоумышленник сможет с той же эффективностью реализовывать свои атаки. Мало того, эффективность его атак будет еще выше, поскольку зачастую требования по безопасности к доверенным узлам и сетям намного ниже всех остальных узлов. И если в центральном офисе всегда присутствуют квалифицированные специалисты, которые могут провести оценку защищенности или анализ конфигурации сетевого оборудования, то удаленные офисы и филиалы не могут похвастаться такой возможностью. Зачастую в них попросту отсутствуют сотрудники, отвечающие за защиту информацию, что приводит к печальным последствиям.

Возможность дистанционного сканирования, реализованная в системах анализа защищенности, позволяют проводить с помощью них поиск уязвимостей в удаленных филиалах и офисах (в т.ч. и находящихся в других городах и странах) также эффективно, как и в случае анализа локальной сети.

Иногда, помимо дистанционного сканирования удаленных офисов, применяется выезд эксперта или группы экспертов-аудиторов в удаленный филиал и проведение анализа защищенности "на месте". Системы анализа защищенности помогают и в этом случае. Достаточно установить такую систему на notebook, являющийся мобильным рабочим местом аудитора, и, по приезде в удаленный филиал, подключить его к локальной сети.

Проведение обследований заказчика
В заключении хотелось бы привести еще один пример использования средств анализа защищенности - для аутсорсинга. Анализ условий построения систем обеспечения информационной безопасности в российских компаниях показывает, что, во-первых, на приобретение средств защиты информации, а если говорить откровенно, то и на построение комплексной системы информационной безопасности в целом, не выделяются необходимые финансовые ресурсы. В результате приобретается не "то, что надо", а то "на что хватает денег", что приводит к появлению слабых мест в линии обороны предприятия. Во-вторых, внедрение системы защиты - это достаточно длительный и кропотливый процесс, который может длиться месяцами.

Следующая проблема при построении системы защиты на предприятии заключается в необходимости привлечения высококвалифицированных специалистов, которые не только знают, на какие кнопки надо нажимать, но и понимают, когда нажимать и к чему может привести то или иное нажатие. Мало того, свои знания и умения необходимо постоянно повышать, чтобы быть всегда в курсе последних достижений хакерских технологий и своевременно предотвращать новые способы атак и использования уязвимостей.

Еще одна проблема состоит в том, что существующие на рынке средства защиты включают в себя большое число функций, многие из которых никогда не используются, и вряд ли будут задействованы заказчиками. Например, если у вас нет в сети Unix-узлов, то вы никогда не будете проверять их на наличие уязвимостей при помощи возможностей Unix-сканирования, встроенных в систему анализа защищенности. Но в стоимость этой системы уже включены данные проверки. Кроме того, некоторые решения вам нужны не постоянно, а только время от времени. Это как квартальный отчет, который готовится всего четыре раза в год. Также и с безопасностью. Например, некоторые компании проводят анализ защищенности своих узлов не постоянно, а раз в месяц, т.е. 12 раз в год. Все остальное время эти средства простаивают. И, наконец, последней проблемой, которая встает при построении корпоративной системы защиты информации, является ее поддержка и своевременное обновление (наращивание мощностей, масштабирование и т.д.). Все эти проблемы остро встают перед российскими потребителями, особенно перед теми, которые планируют заниматься электронной коммерцией, что сразу же поставит их в первую шеренгу целей для злоумышленников. Решить эти проблемы качественно, быстро и за приемлемые деньги - очень непростая, а зачастую невозможная, задача.

Именно поэтому в последнее время появляются компании, предлагающие заказчикам услуги по регулярному сканированию их сетей. Компании, предоставляющие такого рода услуги, называются провайдерами услуг по безопасности (Security Service Provider, SSP). Использование систем анализа защищенности является непременным атрибутом их деятельности и позволяет проводить поиск уязвимостей корпоративных ресурсов и средств защиты заказчика на регулярной основе. По результатам данного сканирования выявляются все уязвимые места, вырабатываются рекомендации по их устранению и предоставляются patch'и, hotfix'ы и другие необходимые обновления.

Заключение
В целом хочу отметить, что описанные в данной статье сценарии применения систем анализа защищенности наряду с "классическими" сценариями:

• сканирование рабочих станций и серверов
• сканирование сетевого оборудования, в т.ч. и для организации беспроводных сетей
• сканирование межсетевых экранов, систем обнаружения атак и других средств защиты
• анализ редко используемых сетевых сервисов

позволяет существенно расширить их область применения.

Алексей Викторович Лукацкий. С автором можно связаться по адресу: luka@infosec.ru (опубликовано в журнале PCWeek/RE, N33, 2002 ).

Такие результаты были получены на основе анализа данных базы Security Intelligence Products and Systems (SIPS), которая ведется с 1995 года. В нее занесена информация о более чем 100 тысячах случаев взломов и атак и о деятельности 6 тысяч хакерских группировках.

Согласно mi2g, за первые 10 месяцев 2002-го года пользователями и разработчиками были выявлены 1162 уязвимости в различных операционных системах и программном обеспечении. Из них на долю Mac OS приходятся лишь 31 (0,05%). Лидерство здесь занимает Microsoft Windows - более 500 различных дыр (44%). Затем следуют Linux (19%), BSD (9%) и Sun Solaris (7%). По числу атак также впереди Windows - 31 тыс. случаев (54%). Linux занимает второе место с 17 тыс. (30%).

Опередить Mac OS по стойкости перед атаками смогли лишь две операционные системы, относящиеся, однако, уже к серверному классу - Tru64 от Compaq и SCO Unix от SCO Group (в прошлом году состав тройки лучших был таким же).

Причиной столь хороших результатов Mac OS стали не только ее технические особенности. "Макинтоши" составляют 2-3% от общего числа компьютеров в мире и их используют, в основном, в личных целях или в качестве рабочих станций, а не серверов для хранения важной информации или ведения интернет-бизнеса. Все это делает их малопривлекательными для злоумышленников. Играет несомненно важную роль и тот фактор, что на Mac OS не рассчитаны и общедоступные программы-конструкторы вирусов.

Подробный отчет об исследовании будет опубликован в ближайшее время на сайте компании mi2g.
(источник - http://www.compulenta.ru/, опубликовано 01.11.2002)

Стандарт, названный Wi-Fi Protected Access (WPA), должен прийти на смену Wired Equivalent Privacy (WEP), который, несмотря на то, что поддерживает все сертифицированное Wi-Fi оборудование, имеет весьма серьезные уязвимости. На них не раз обращали внимание независимые группы экспертов и компании, занимающиеся сетевой безопасностью. На современных компьютерах расшифровка перехваченного пароля занимает порядка 10-20 минут, и при этом увеличение длины ключа (обычно используются 64 и 128-битные) не дает существенного результата. Учитывая это, а также то, что информация по взлому WEP широко представлена в интернете, многие компании, эксплуатирующие WLAN-сети, попросту отказываются от его использования, предпочитая полагаться на другие технологии защиты.

Новый стандарт будет также совместим с находящимся в разработке стандартом безопасности IEEE 802.11i, чьей составной частью он станет после его принятия. Для использования в небольших или домашних WLAN-сетях в WPA предусмотрен специальный режим с упрощенным использованием паролей. Сохранится возможность одновременной работы в сети клиентов WPA и WEP, а также использующих другие, проприетарные протоколы защиты. Часть старого оборудования можно будет модернизировать под WPA с помощью программных средств.

Тестирование на совместимость различных решений c WPA и их сертификация начнутся в феврале 2003 г. Таким образом, часть производителей представят свои продукты с поддержкой нового стандарта безопасности уже у первом квартале следующего года.
(источник - http://www.compulenta.ru/, опубликовано 01.11.2002)

Сертификация Common Criteria является общепризнанным стандартом в области оценки безопасности и надежности программного обеспечения и других ИТ-продуктов. Требования, предъявляемые к сертифицируемым продуктам, и методы проведения сертификации описываются в международном стандарте ISO-IEC 15408. Проверка Windows 2000 на соответствие требованиям этого стандарта проводилась путем экспертной оценки ее архитектуры, документации, степени соответствия международным стандартам в области безопасности и т.д. Кроме этого, проводились испытания ОС в решении ряда практических задач.

По словам представителей Microsoft, обеспечение высокой степени безопасности Windows 2000 потребовало нескольких лет работы и многомиллионных финансовых затрат. Все они, однако, окупаются за счет повышения безопасности и стабильности работы операционной системы. Получение сертификата Common Criteria особенно важно в свете реализуемой в Microsoft программы за безопасный компьютинг. В ближайшее время Microsoft намерена начать процесс сертификации на соответствие требованиям ISO-IEC 15408 операционных систем Windows XP и Windows .Net Server.

По мнению экспертов, которых цитирует агентство Reuters, наличие сертификата Common Criteria позволит Microsoft привлечь новых клиентов из числа государственных ведомств, финансовых организаций и крупных компаний, предъявляющих наиболее высокие требования к безопасности. Но при этом сертификат совершенно не гарантирует отсутствия в программном обеспечении уязвимостей и ошибок. Сертификат подтверждает лишь то, что в операционную систему заложены эффективные функции по обеспечению безопасности и защиты информации, но не является гарантией от возникновения сбоев.
(источник - www.compulenta.ru, опубликовано 30.10.2002)

Фил Хаггинс (Phil Huggins), консультант фирмы @Stake, полагает, что лучшим решением может стать пересмотр структуры сети. По его мнению, атаки типа DDoS невозможно прекратить в рамках существующей сетевой инфраструктуры интернета. Эксперт Стив Беллоуин (Steve Bellovin) и его коллеги из AT&T Labs считают, что покончить с атаками удастся, если обратить трафик "вспять", к его источнику. Его группа разрабатывает методику перепрограммирования роутеров, позволяющую им опознавать DDoS-атаки и прекращать их. В нормальном состоянии устройства работают в качестве узловых точек сети, направляющих трафик из одного пункта в другой.

Исследователи разработали прототип программного средства, получившего название Pushback. Оно способно распознать необычно высокий трафик и блокировать его, передавая при этом информацию об атаке другим роутерам, которые смогут блокировать атаку как можно ближе к ее источнику.

Ученые из Калифорнийского университета в Лос-Анджелесе разработали альтернативную технологию, позволяющую остановить DDoS-атаки. Программа под названием D-Ward, которая устанавливается на шлюз сети, способна отслеживать не только входящий, но и исходящий трафик в поисках подозрительно высокой активности.
(источник - www.cnews.ru, опубликовано 28.10.2002)

Эксплойт, использующий уязвимости в браузере можно разместить на веб-странице в сети, с его помощью получить доступ к файлам на жестком диске пользователя и запускать программный код в удаленной системе. Представители Microsoft пока не имеют информации об обнаруженных дырах в защите браузера.

Все девять уязвимостей обнаружены в системе контроля за зонами безопасности в браузере Internet Explorer. Дыру в защите можно использовать для получения доступа к документам, хранящимся на компьютере.

Дополнительную информацию об уязвимостях, а также демонстрацию девяти способов получения доступа к удаленной системе можно найти на сайте компании GreyMagic. Компания рекомендует отключить в браузере возможность запуска скриптов в качестве временного решения проблемы либо обновить программу до версии 6 SP1.
(источник - www.compulenta.ru, опубликовано 24.10.2002)

Сертификат соответствия № СФ/525-0558 от 01 октября 2001 года, действителен до 30 июня 2005 года, удостоверяющий, что средство защиты информации "Персональный сетевой экран ViPNet" соответствует требованиям ФАПСИ к устройствам типа межсетевые экраны по 4 классу защищенности и может использоваться для защиты информации от несанкционированного доступа в информационно-телекоммуникационных системах органов государственной власти Российской Федерации.

Сертификат выдан на основании результатов проведенных Испытательным центром ФГУП НТЦ "Атлас" сертификационных испытаний.

Безопасность информации обеспечивается при использовании средства в соответствии с требованиями руководства пользователя, а также требованиями к безопасности информации в конкретной информационно-телекоммуникационной системе.

Напомним, что программный комплекс ViPNet - универсальное средство, сертифицированное Гостехкомиссией России и ФАПСИ, которое может устанавливаться на любые компьютеры (рабочие станции, сервера, маршрутизаторы) в локальных и глобальных сетях и обеспечивающее безопасное подключение к Интернет для обмена конфиденциальной информацией.

Персональный сетевой экран ViPNet, как компонент программного комплекса ViPNet, предназначен для обеспечения защититы компьютера от попыток несанкционированного доступа как из глобальной, так и из локальной сети и позволяет пользователю:

• управлять доступом к данным компьютера из локальной или глобальной сети;
• определять адреса злоумышленников, пытающихся получить доступ к информации на Вашем компьютере;
• обеспечивать режим установления соединений с другими открытыми узлами локальной или глобальной сети только по инициативе пользователя, при этом компьютер пользователя остается "невидимым" для открытых узлов локальной и глобальной сетей (технология Stealth), что исключает возможность запуска по инициативе извне всевозможных программ-закладок ("троянских коней");
• формировать "черные" и "белые" списки узлов открытой сети, соединение с которыми соответственно "запрещено" или "разрешено";
• осуществлять фильтрацию трафика по типам сервисов для данного адреса открытой сети или диапазона адресов, что позволяет в случае необходимости ограничить использование "опасных" сервисов на "сомнительных" узлах открытой сети;
• осуществлять фильтрацию трафика по типам сервисов и протоколов;
• контролировать активность сетевых приложений на данном компьютере, где установлен Персональный сетевой экран ViPNet, что позволяет вовремя обнаружить и заблокировать активность несанкционированно установленных и запущенных программ-закладок, которые могут передавать злоумышленникам сведения об информации, обрабатываемой на данном компьютере (пароли доступа, данные о кредитных картах, идентификаторы для доступа в корпоративные базы данных и др.);
• обнаружить и пресечь попытки удаленных атак на Ваш компьютер с помощью встроенной системы обнаружения вторжений (IDS);

Кроме вышеперечисленных функций Персональный сетевой экран ViPNet может предоставлять СОМ интерфейс для вызова криптофункций и их совместного использования с Web приложениями.

Подробнее ознакомиться с функциональными возможностями программы можно здесь.

На семинаре подробно рассматриваются практические аспекты внедрения стандарта ISO 17799 в реальную информационную систему компании и возникающие в связи с этим проблемы и возможные пути их решения. Каждый участник семинара бесплатно получит CD "Практическое применение ISO 17799: основные положения стандарта; сборник типовых решений и документов; комментарии к стандарту".

Семинар направлен прежде всего на повышение квалификации в области информационной безопасности ИT- менеджеров высшего и среднего звена, руководителей проектов фирм работающих в сфере инфотехнологий, ведущих ИТ-специалистов и специалистов по информационной безопасности, а также современных руководящих работников.

По окончанию курса каждому участнику будет предоставлено свидетельство о его прохождении.
Стоимость семинара 145 у.е.

Получить более подробную информацию и зарегистрироваться на семинар можно здесь.

Познакомиться с нашими решениями и получить более подробную информацию можно на web-сервере - http://www.infotecs.ru или по телефону (095) 737-6192 

Также получить ответы на интересующие Вас вопросы, Вы можете на нашем форуме, находящемся по адресу: http://www.infotecs.ru/phpBB2/index.php

Полнофункциональные демо-версии продуктов ViPNet Desk, TermiNet, ViPNet Office, ViPNet Tunnel, ViPNet Office Firewall находятся по адресу: http://www.infotecs.ru/demo.htm

Если у вас есть какие-нибудь пожелания или вопросы по поводу дальнейших выпусков рассылки, мы с удовольствием рассмотрим их.