Защита информации, виртуальные частные сети (VPN). Технология ViPNet.

Большинство исследователей Рунета сходится в том, что со своих рабочих мест выходит в Интернет значительно больше пользователей, чем с домашних компьютеров. Другими словами, довольно значительная часть компьютеров различных организаций не только имеет беспрепятственный доступ к публичным ресурсам Интернета, но и может обмениваться деловой информацией через совершенно открытую сеть.

К сожалению, такая работа не всегда является безопасной. Думаю, не ошибусь, если скажу, что на сегодняшний день большинство компаний начинают задумываться о системе безопасности только после того, как с их информационными ресурсами что-нибудь происходит. В данном случае старая поговорка "гром не грянет - мужик не перекрестится" актуальна как никогда.

Типичным примером может служить случай на одном из предприятий, в котором компьютерная сеть достаточно разветвлена, а из средств безопасности имелось только несколько бесплатных сетевых экранов. Результат не замедлил сказаться: к окончанию финансового года их бухгалтерский сервер был сломан.

Причиной подобных ситуаций, на мой взгляд, зачастую является халатное отношение к электронной безопасности в корпоративной среде. В отличие от информации, хранимой на домашнем компьютере, информация на служебном компьютере представляет собой значительно большую ценность, и ее потеря может принести огромный, а иногда и непоправимый вред для бизнеса.

Но несмотря на это, вопросами безопасности в компании обычно занимается ИТ-сотрудник по совместительству, как правило, не являющийся специалистом в этой области. Да и сама защита в основном сводится к покупке, а то и просто к установке бесплатного межсетевого экрана, к тому же еще и неправильно настроенного по причине того же отсутствия соответствующих специалистов.

Можно себе представить, какие последствия влечет уничтожение клиентской базы или бухгалтерской информации в период составления отчетности, а чтение конкурентами деловой электронной переписки или отслеживание содержимого любой станции с удаленного компьютера также не способствует процветанию бизнеса, причем статистика говорит, что только 7-10% атак вообще бывают обнаружены. Другими словами, существует потенциальная угроза того, что корпоративный информационный обмен будут незаметно контролировать хакеры.

Особенно эти проблемы важны для Интернет-порталов, главным образом для В2В-порталов, так как через них проходят информационные потоки, потеря которых стоит дорого.

Что же делать в данной ситуации? На российском рынке деятельность в области информационной безопасности регулируется Гостехкомиссией РФ и ФАПСИ. Заниматься ею вправе исключительно организации, имеющие лицензии от указанных структур. К слову сказать, практически во всех странах мира с развитыми информационными технологиями подобная деятельность также регулируется соответствующими местными учреждениями.

Межсетевые экраны

Все продукты, предназначенные для защиты, классифицируются в системе сертификации. В частности, Гостехкомиссия сертифицирует межсетевые экраны, прокси-серверы и.т.п. как продукты для защиты от несанкционированного доступа (НСД). Использование подобных систем при правильной их конфигурации позволяет значительно снизить опасность проникновения посторонних в информационную сеть организации.

Cетевые экраны могут быть выполнены как в виде аппаратного устройства, так и в виде устанавливаемой на компьютер программы, причем бытующее мнение о том, что первые значительно надежнее вторых, не всегда верно; что же касается стоимости, то аппаратные средства почти всегда значительно дороже своих программных аналогов.

Задача сетевого экрана сводится, как правило, к фильтрации IP - трафика - иначе говоря, они анализируют входящие и исходящие IP - пакеты, пропуская только те из них, которые удовлетворяют заранее установленным требованиям. Большинство сетевых экранов устанавливаются на "горле" информационной сети, т.е. в месте ее соединения с другой сетью (например, ЛВС с Интернетом) и отфильтровывают трафик, проходящий между ними.

К сожалению, при таком построении системы защиты внутренние атаки, совершаемые нелояльными сотрудниками организации, остаются незамеченными, хотя статистика говорит о том, что доля подобных нападений в общем количестве информационных атак на сегодняшний день превышает 70%.

Именно по этой причине в последнее время начали появляться персональные сетевые экраны, устанавливаемые непосредственно на рабочую станцию и превращающие ее в защищенный объект. С помощью такого экрана можно не только оградить машину от постороннего доступа, но и задать политику работы конкретного пользователя с внешними ресурсами. Например, администратор может завести так называемый " белый лист" Интернет-ресурсов, с которыми данному пользователю разрешено работать, и запретить доступ к остальным открытым ресурсам Сети.

Действие технологии можно продемонстрировать на примере персонального сетевого экрана производства компании "Инфотекс", сертифицированного Гостехкомиссией РФ по третьему классу защищенности. Такие экраны устанавливаются как на серверы, так и на рабочие станции.

Использующий их владелец компьютера может выйти на любой открытый ресурс Интернета в соответствии с заданной политикой безопасности, но любую попытку доступа к нему из внешнего мира система заблокирует, оповестив о ней владельца и зафиксировав IP-адрес того, кто эту попытку предпринял.

Криптографические средства защиты

В другую категорию входят продукты, предназначенные для организации защищенного обмена и безусловно наиболее надежные с точки зрения безопасности. Как правило, они строятся на основе криптографии - науки, изучающей способы преобразования открытой информации в закрытую.

Регулирование в этой области осуществляет ФАПСИ. Шифрованием защищаются не только данные, хранящиеся на жестком диске, но и информация, передаваемая по сетям, в том числе через Интернет. Можно защитить как почтовые сообщения, так и информационный обмен между абонентами в онлайновом режиме. Системы, позволяющие передавать любые данные через Интернет в защищенном виде, называют виртуальными частными сетями (VPN).

VPN обеспечивают полностью закрытый от постороннего доступа информационный обмен через открытую Сеть. Именно поэтому их и называют частными. Информация в таких системах закрывается, как правило, путем шифрования, осуществляемого при помощи специальных программных ключей. C точки зрения безопасности, здесь основным является вопрос ключевой структуры: как и где формируется ключ, где он хранится, как передается, кому доступен.

На сегодняшний день распространены лишь два типа алгоритмов шифрования - симметричные (классические) и асимметричные (алгоритмы шифрования с открытым ключом). Каждый из них имеет свои плюсы и минусы.

В симметричных алгоритмах используется один и тот же ключ для шифрования и дешифрации, причем вскрыть его можно только методом перебора, что при достаточной длине ключа практически невозможно. Однако у такого метода есть один недостаток: перед тем как пересылать друг другу конфиденциальную информацию, двум пользователям необходимо обменяться общим ключом, что, естественно создает большие неудобства. Кроме того, такие ключи обычно выдаются неким центром формирования, а следовательно, заведомо известны этому центру. Для преодоления данного недостатка были созданы алгоритмы с асимметричными ключами.

Основная идея криптографии с асимметричными ключами заключается в использовании пары ключей. Первый - открытый асимметричный ключ (public key) - доступен всем, кто собирается посылать сообщения владельцу ключа.

Второй - секретный асимметричный ключ (private key) - известен только владельцу, и с его помощью декодируются сообщения, зашифрованные на парном ему открытом ключе. Таким образом, секретная часть ключа формируется и хранится непосредственно у абонента и никому другому не доступна.

В некоторых современных системах используется комбинированная ключевая система, которая высокую стойкость симметричного ключа сочетает с недоступностью для центра и гибкостью асимметричного. Подобными качествами обладает, например, система, выпускаемая компанией "Инфотекс" под торговой маркой ViPNet. Она позволяет передавать любые данные, включая почту, файлы, речь ,видео и. т.д. через Интернет в защищенном виде и при этом защищает от постороннего доступа ресурсы сети организации - серверы, рабочие станции и даже мобильные компьютеры, выходящие в Интернет из любой точки мира.

Cервис в области безопасности

Следующим шагом в вопросах обеспечения безопасности в Интернете может служить комплексное оказание услуг. Подобный проект компании "Инфотекс" известен под названием "Infotecs Internet Trust" (IIT).

Постоянное совершенствование технологий защиты, с одной стороны, и нападения, с другой, заставляют компании содержать специалистов в области безопасности, покупать все новые продукты, а зачастую и получать лицензии от соответсвующих органов на право пользования некоторыми продуктами, обеспечивающими безопасность.

Всех этих проблем можно избежать, если эту работу выполняет команда профессионалов, обладающая знаниями, опытом, новейшими технологиями защиты и необходимыми лицензиями. Именно для этого и был открыт проект IIТ.

Среди услуг IIT хочется отметить ряд совершенно новых на российском рынке: консалтинг в области безопасности информации; защищенный обмен между удаленными офисами, между корпоративной сетью и менеджерами, находящимися в любой точке мира с переносным компьютером; обнаружение и пресечение попыток постороннего доступа к информационным ресурсам клиента.

Замечу, что технология асимметричных ключей гарантирует недоступность передаваемой информации для всех, кому она не адресована, включая администратора сети безопасности IIТ.

Каждый корпоративный компьютер должен быть оснащен профессиональной системой защиты, да и весь трафик между компьютерами нуждается в защите, и сделать это нужно, не дожидаясь неприятных событий.

Только при таком комплексном подходе Интернет будет безопасным для работающего в нем бизнеса.

Евгений Забелин (опубликовано в "PC Week" RE #8, 2001 г.)

[Mar14 - 18] Security Info digest #27(по материалам Аналитического центра компьютерной безопасности (АЦ) www.sert.ru)

По данным http://www.attrition.org/mirror/attrition/ за период с 10 марта по 18 марта 2001 было взломано 269 Веб сайтов, в том числе в домене .ru - сайт www.scsc.ru (Spaceflight Control Centre, Windows NT, IIS/4.0) и сайт www.deloitte.ru (Deloitte & Touche CIS, Windows NT, IIS/4.0)

Поле timestamp TCP пакета, которое не является обязательным, но иногда задействуется для такихмеханизмов как RTTM (Round Trip Time Measurement) и PAWS (Protect Against Wrapped Sequences), позволяет получить время работы системы ( uptime). Как правило, в случае заполнения поля timestamp TCP пакета время работы системы равно значению этого поля.
Насколько знание времени работы системы злоумышленником может помочь последнему в каких-то дальнейших действиях ( имеется в виду злонамеренные действия, а не любопытство) - скорее всего, практически никак.
Подробнее:
http://www.securityfocus.com/

В snmpd прокси-агенте (/opt/SUNWssp/snmpd, ОС Solaris 5.8) обнаружена уязвимость. При копировании своего собственного названия из переменной массива argv[0] не производится проверка длины строки. Поскольку утилита запускается с полномочиями пользователя root (на ней установлен SUID флаг), уязвимость может позволить злоумышленнику получить соответствующие полномочия.
Подробнее:
http://www.securityfocus.com/

В демоне /usr/lib/dmi/snmpXdmid, поставляемом в составе ОС Solaris версий 2.6, 2.7 и 2.8 обнаружено переполнение буфера. Демон используется для трансляции SNMP запросов в DMI (Desktop Management Protocol) протокол. Поскольку snmpXdmid демон запускается с полномочиями пользователя root, злоумышленник может удаленно по сети или локально получить доступ к системе с полномочиями root.
Подробнее:
http://www.securityfocus.com/

Георги Гунински (Georgi Guninski) обнаружил очередной баг в IIS 5.0. Суть его заключается в том, что при посылке длинного SEARCH запроса в IIS 5.0 в некоторых случаях происходит перезагрузка практически всех сервисов, предоставляемых IIS. Со слов Гунински, этот баг может быть использован для запуска определенного кода после переполнения буфера.
Подробнее:
http://www.securityfocus.com/

Обнаружен баг в mysql 3.20 ( довольно старая версия, в новых этот баг исправлен), позволяющий любому пользователю, имеющему доступ к базе данных mysql, получить полномочия пользователя root. Каждая таблица состоит из трех файлов: tablename.ISD, tablename.ISM и tablename.frm. Поскольку mysql позволяет использовать в качестве путей к файлам строки типа '././blahblah' и при создании таблицы не проверяет, есть ли такая база ( он проверяет только tablename.frm), то тем самым возникает возможность перезаписывать любой файл на файловой системе, например, /etc/passwd и /etc/master.passwd. Тем самым, при наличии доступа к mysql базе можно получить уровень доступа пользователя root.
Подробнее:
http://www.securityfocus.com/

Полнофункциональные демо-версии продуктов ViPNet Desk, TermiNet, ViPNet Office, ViPNet Tunnel находятся по адресу 
http://www.infotecs.ru/demo.htm

Если у вас есть какие-нибудь пожелания или вопросы по поводу дальнейших выпусков рассылки, мы с удовольствием рассмотрим их.