Защита информации, виртуальные частные сети (VPN). Технология ViPNet.

Высокая степень мобильности и масштабируемости программных решений в области защиты относительно различных системно-технических платформ, интероперабельность используемых решений с программами и оборудованием третьих фирм, простота установки, конфигурирования и эксплуатации, возможность управления в соответствии с централизованной политикой безопасности являются важными требованиями для крупных корпораций.

Решения по защите сетевых информационных ресурсов предприятий и защите информации, передаваемой по открытым сетям, сегодня могут быть реализованы на основе сертифицированных отечественных VPN-продуктов и совместимых с ними зарубежных продуктов, реализующих технологии FireWall для безопасного взаимодействия с внешней средой, и токенов для аутентификации пользователей сети.

Для небольших предприятий, использующих до десятка узлов, подойдут VPN-продукты, имеющие удобный графический интерфейс и допускающие локальное конфигурирование без применения централизованного управления.

Для крупных предприятий предпочтительнее системы с центром управления, обеспечивающим оперативное управление узлами, а также PKI третьих производителей, поддерживающие создание многослойной инфраструктуры сертификатов пользователей.

По мере роста компании технология VPN позволяет легко наращивать возможности и переходить к централизованному управлению.

В статье представлены типовые решения, применимые для множества задач и зависящие прежде всего от:

• топологии бизнес-процессов (а не только от топологии сетей);
• специфики бизнес-процессов с гибко настаиваемой политикой безопасности.
  

• защиты информации независимо от средств и среды передачи (спутниковые, оптические, телефонные, радиорелейные линии);
• защиты любых приложений, не требуя их изменений;
• совершенной "прозрачности" для конечных пользователей;
• реализации масштабируемых систем защиты и их наращивания;
• защиты информационной системы от атак из внешней среды;
• гарантирования информации от перехвата и изменения не только на внешних соединениях, но и на внутренних сетях корпорации;
• использования алгоритмов криптования посредством подключения плагинов;
• аутентифицирования отдельных пользователей VPN, используя любые средства - смарт-карты, USB-устройства и т. д.

Объединение офисов в защищенную сеть

Распределенный бизнес, управляемый из нескольких офисов, нуждается не только в защите каждого из этих подразделений, но и в интеграции всех их в систему с единым информационным пространством.

Суть предлагаемого решения (схема 1) в построении периметра защищенной корпоративной сети на основе технологии VPN. Решение базируется на применении ПО VPN-Офис для сетевой защиты компьютеров сети каждого офиса и защиты от несанкционированного доступа из внешних сетей. Для защиты трафика между центральным офисом и филиалами на шлюз каждой локальной сети устанавливается VPN-Офис, скрывающий внутреннюю топологию сетей офисов.

Преимущество этого решения заключается в его масштабируемости - доступ удаленным и мобильным пользователям можно предоставлять по мере необходимости. В случае объединения с небольшим филиалом, где компьютеров немного, можно установить на каждое рабочее место ПО VPN-Клиент или на сервер, содержащий критичную информацию, - VPN-Сервер. В конкретном случае решение принимается исходя из экономической целесообразности того или иного набора продуктов.

Защищенный доступ удаленных и мобильных пользователей

Условия, складывающиеся на рынке, часто требуют присутствия представителей компании в самых отдаленных уголках. И тут для эффективного решения возникающих задач необходим не только транспорт, но и средства коммуникаций.

В этом случае необходимо дополнить корпоративную сеть защищенными мобильными рабочими местами для перемещающихся сотрудников и обеспечить их доступ к сети компании по защищенному каналу. Другими словами, защищенный периметр корпоративной сети должен иметь возможность, "растягиваясь", проходить сквозь любые IP-сети общего доступа, оставаясь при этом таким же надежным, как если бы никто из сотрудников не покидал офисов, т. е. обеспечивая установленный уровень конфиденциальности и целостности.

При установке на входном шлюзе сети программного средства VPN-Офис или на корпоративном сервере (почтовом, баз данных, www-сервере) ПО VPN-Сервер, а на мобильном рабочем месте - VPN-Клиент, пользователь получает доступ к необходимым ресурсам компании по защищенному каналу независимо от местонахождения и способа подключения к Интернету.

Представленное на схеме 2 решение дает возможность получить доступ из любой точки мира, в том числе и с помощью мобильного телефона. Отличительная особенность этого решения заключается в возможности устанавливать защищенную связь с пользователями, имеющими изменяющиеся IP-адреса, по сертификату пользователя.

Благодаря аутентификации по паролю или смарт-карте, допускающей в VPN определенного пользователя, в случае кражи или потери компьютера посторонний не получит доступа к информации. Вся информация о пользователе, включая его сертификат и присвоенную ему конфигурацию VPN, хранится не в компьютере, а на смарт-карте. После того как смарт-карта вынута, эта информация уничтожается, и остается "голое" ПО, не позволяющее войти в VPN.

Система централизованного управления средствами защиты

Современная парадигма стратегии бизнеса предполагает не только тенденцию к использованию электронной коммерции (e-commerce), но и переход к реализации концепции электронного бизнеса (e-business). При этом принципиальным моментом является интеграция существующих и традиционных информационных ресурсов Интернет.

Применяемые для решения этих задач средства безопасности предполагают использование ключей шифрования (симметричного или асимметричного). Чем изощреннее система защиты, чем больше пользователей у информационной системы, тем сложнее управлять всеми необходимыми ключами системы, распределять и обновлять их.

Даже когда число пользователей информационной системы, имеющей все основные компоненты подсистемы защиты, не превышает сотни, реализовать все необходимые операции по управлению ключами без помощи специальных программных средств практически невозможно. Более того, ряд современных технологий информационной защиты неприменимы без компьютерной поддержки всех необходимых операций по управлению ключами. Именно поэтому одна из проблем в области сетевой информационной безопасности заключается в управлении средствами защиты, в частности, с помощью генерации ключей, их распределения, обновления, а также конфигурирования средств защиты.

Комплексные продукты VPN позволяют получить наиболее эффективное решение и обеспечить:

централизованное управление и определение политики безопасности для всей системы;
единую защищенную инфраструктуру (безопасность на сетевом и прикладном уровнях, PKI, аутентификацию, систему протоколирования и аудита);
создание единых решений по безопасности для всех филиалов, дочерних и зависимых компаний;
возможность наращивания инфраструктуры безопасности.
В рамках корпоративной политики безопасности генерация ключей осуществляется, как правило, в центральном аппарате, а конфигурирование средств защиты - на региональном уровне.

Создание системы централизованного управления средствами защиты (схема 3) базируется на использовании средств управления центра сертификации.

Центр сертификации предназначен для генерации ключей (секретных и соответствующих открытых), включая главный ключ центра сертификации. ПО центра сертификации представляет собой базу данных, где хранятся ключи и сертификаты вместе с данными об их владельце и ведется регистрационный журнал, включающий все действия по администрированию продукта. Центр сертификации устанавливается на выделенный компьютер с ОС Windows NT. В процессе генерации открытый ключ оформляется в виде сертификатов Х.509 с информацией о его владельце, организации, отделе, идентификационном номере и т.п. Для гарантии подлинности производится подпись сертификатов главным ключом центра сертификации.

Главный секретный ключ хранится в локальной базе данных сертификационного центра и выдается на внешний носитель только в случае замены рабочего места сертификации или создания резервной копии базы данных.

Открытые сертификаты переносятся на корпоративный сервер сертификатов в виде файлов по сети или на магнитных носителях.

Сервер сертификатов предназначен для автоматического предоставления сертификатов открытых ключей удаленным узлам, на которых установлены программные продукты VPN-Офис, VPN-Сервер и VPN-Клиент. Сертификаты передаются по CDP-протоколу после запроса со стороны удаленного узла. VPN-Сервер сертификатов устанавливается на сервер с операционной системой Windows NT.

На сервере сертификатов ведется собственный регистрационный журнал, где отмечается время и характер совершаемых в процессе работы действий (например: вход в Сервер сертификатов и выход из него, регистрация, выдача и маркировка сертификата как скомпрометированного и т. д.). При просмотре журнала возможно определение отображаемых событий. VPN-Сервер сертификатов дополнительно может получать сертификаты от узлов, на которых установлены продукты VPN-Офис и VPN-Клиент, по протоколам CDP и LDAP.

Центр управления предназначен для подготовки администратором безопасности терминальных пакетов для продуктов VPN-Корпоративный клиент и конфигураций для продуктов VPN-Персональный клиент соответственно.

Терминальные пакеты могут быть защищены посредством электронно-цифровой подписи центра сертификации, которая переносится на центр управления при помощи дискеты или токена.Терминальный пакет содержит следующие компоненты и настройки для работы ПО VPN-Корпоративный клиент:

сертификаты центра сертификации, локальный сертификат пользователя с его секретным ключом, открытые сертификаты партнеров по взаимодействию;
защищенные и незащищенные соединения с заданными параметрами;
CDP-запросы для получения открытых сертификатов партнеров по взаимодействию. При этом обеспечивается автоматическое получение сертификата с сервера сертификатов во время загрузки корпоративного клиента;
определение токена в качестве носителя локального сертификата, что позволяет хранить секретный ключ пользователя на внешнем носителе (дискета, смарт-карта, токен, удовлетворяющий стандарту PKCS №11).

Защита почтовой системы

Одним из распространенных сервисов в корпоративных распределенных сетях является электронная почта. Как правило, именно с нее начинается развитие информационных систем. В условиях корпораций, имеющих разветвленную сеть филиалов и дочерних предприятий, целостность и безопасность электронного почтового обмена и его конфиденциальность - первейшая задача обеспечения информационной безопасности.

Существенно, что данная задача должна решаться в условиях территориальной распределенности подсетей, почтовых серверов и пользователей, в том числе находящихся вне периметра корпоративной сети и имеющих доступ к корпоративной почте из сетей общего доступа. Конфиденциальность передачи сообщений, а также идентификация и аутентификация пользователей - вот наиболее часто встречающиеся требования.

Для создания системы защищенного почтового обмена внутри распределенной корпоративной сети используется решение, которое заключается в установке VPN-продуктов как на почтовые серверы организации, так и на персональные компьютеры. Комплексные VPN-продукты экономически наиболее эффективны, имеют тонкие возможности индивидуальной настройки, просты в эксплуатации и масштабируемы до произвольного числа пользователей. При необходимости могут быть учтены любые требования по использованию тех или иных методов шифрования и защиты данных и информации.

Преимущество подобного решения перед специализированными защищенными почтовыми системами: - полная прозрачность для пользователей: им не надо при отправке письма заниматься выбором ключей для шифрования. Почтовые серверы компании, размещенные в различных местах распределенной интрасети, могут быть защищены программным средством VPN-Сервер, а рабочие места пользователей - продуктом VPN-Клиент.

На схеме 4 один из почтовых серверов (внешний) располагается в так называемой демилитаризованной зоне (ДМЗ), доступной внешним по отношению к корпоративной сети абонентам, что обеспечивает возможность безопасной работы абонентов с другими почтовыми серверами "вне корпоративной сети". Для защиты подсетей, расположенных за шлюзом, от неавторизованного доступа из открытых сетей устанавливается ПО VPN-Офис.

Управление политикой безопасности осуществляется с помощью программного средства VPN-Центр управления.

Каждый корпоративный почтовый пользователь - это объект почтовый клиент. Все они определяются списком идентификаторов - сертификатов открытых ключей.

Все закрытые корпоративные почтовые серверы образуют другую защищенную группу - защищенные почтовые серверы. Почтовый сервер, размещенный в ДМЗ, - это третий защищенный объект - внешний почтовый сервер.

Объект Интернет определен как полное адресное пространство сети Интернет за исключением IP-адресов, используемых в корпоративной сети.

Вся политика безопасности корпоративной сети может быть представлена в виде таблицы. На основе таблицы определены файлы конфигурации для всех продуктов VPN, загружаемые администратором безопасности во все точки корпоративной сети по каналам связи.

Следует отметить, что одним из преимуществ такого решения является отсутствие необходимости каких-либо изменений в настройках системы при изменении любым из пользователей его физического месторасположения и соответствующего изменения точек входа в корпоративную систему, в том числе и при изменении IP-адреса. Это решение легко расширяется при увеличении числа пользователей простым добавлением продукта VPN-Клиент.

Защита прикладных распределенных систем

Корпорации, как правило, приобретают либо создают собственные прикладные распределенные информационно-аналитические системы для поддержки большого количества разнообразных задач. Это бухгалтерские и финансовые системы, системы документооборота. Пользователями таких систем являются соответствующие профессиональные подразделения, насчитывающие десятки, сотни и даже тысячи сотрудников, распределенных между офисами, филиалами и дочерними компаниями.

Такие системы часто содержат критичную для бизнеса корпораций информацию, потеря, искажение и даже несанкционированное раскрытие которой могут привести к колоссальным потерям и даже краху бизнеса. Кроме того, необходимость управлять работой большого количества сотрудников требует ведения управленческой отчетности, и особенную важность приобретает возможность идентификации, аутентификации и авторизации пользователей систем. Возникает целый ряд требований к корпоративной информационной системе с точки зрения информационной защиты.

В этих случаях для защиты информационных систем организации, распределенных по некоторому количеству предприятий и соединенных различными каналами связи (радиорелейными, оптоволоконными, через Интернет, Ethernet и т.п.), а также для организации доступа ограниченного круга пользователей к определенным ресурсам можно предложить решение.

Элементы систем, содержащие критичную информацию, а также рабочие места пользователей, работающих с этой информацией, выделяются в отдельные виртуальные защищенные от постороннего доступа подсети (например, подсети информационно-аналитической системы руководства и бухгалтерской системы, см. схему 5).

Для защиты передачи критичной информации в системах, работающих по принципу клиент - сервер, на соответствующие рабочие места устанавливаются программные средства VPN-Клиент, а на серверы - VPN-Сервер. Такое решение подойдет для защиты любой системы, реализованной по технологии клиент - сервер. Суть этого решения заключается в выделении внутренних периметров в корпоративной сети путем построения отдельных VPN, топология которых отвечает топологии бизнес-процессов, а не топологии сетей предприятия.

Применение для защиты сегментов сети продукта VPN-Офис позволяет дополнительно скрывать от внешнего мира структуру защищенного сегмента. Для внешнего наблюдателя данный сегмент виден в качестве одного IP-адреса, независимо от того, сколько компьютеров в сегменте. Этот вариант решения позволяет защитить "чувствительные" к угрозам информационные ресурсы не только от внешних угроз, но и от атак изнутри, со стороны "нелояльного персонала".

На серверы информационной системы, содержащие корпоративную информацию, устанавливаются программные средства VPN-Сервер, а на рабочие места пользователей, работающих с критичной информацией, - VPN-Клиент. Решение может быть усилено системой аутентификации пользователей, исключая доступ к критичной информации неавторизованных пользователей, это особенно актуально при работе с финансовой информацией. На АРМ, входящих в систему, не содержится информации о ключах, сертификатах, конфигурации VPN, что также усиливает систему безопасности.

Елена Турская (опубликовано в журнале "СЕТЕВОЙ monthly")

В окончании статьи на следующей неделе - решения по защите сетевых информационных ресурсов и защите информации, передаваемой по открытым сетям для электронной коммерции В2В, для торговой компании, для сервис-провайдеров информационных услуг и решение для защиты информационных ресурсов финансовых организаций.

[Mar14 - 18] Security Info digest #28(по материалам Аналитического центра компьютерной безопасности (АЦ) www.sert.ru)

По данным http://www.attrition.org/mirror/attrition/ за период с 18 марта по 2 апреля было взломано 395 Веб сайтов, в том числе в домене .ru - Deloitte & Touche CIS (www.deloitte.ru), State Committee of the Russian Federation on Statistics (GosKomStat) (www.gks.ru), Ruscable (www.ruscable.ru)

В реализациях файловых систем ufs и ext2fsВ для ОС FreeBSD обнаружилась серьезная уязвимость, позволяющая локальным пользователям в получить несанкционированный доступ к областям файловой системы, содержащей данные потертых файлов. Программное обеспечение должно гарантировать обнуление стертых блоков, перед тем как они становятся доступными для процессов других пользователей, но в данном случае обнуления не происходит и пользователи могут получить доступа к таким блокам (а это могут быть части файлов или директорий). Уязвимость присутствует в ОС FreeBSD версий 3.x и 4.x., она исправлена в версиях FreeBSD 3.5-STABLE и 4.2-STABLE от 2000-12-22 и старше.
Подробнее:
http://www.securityfocus.com/

В Windows NT 4.0 (все сервисные пакеты), Windows 2000 (Release и SP1), возможно в Windows NT 3.5x (не тестировалось) обнаружена уязвимость в программе Dr. Watson. Эта программа присутствует в системе по умолчанию и является системным средством отладки программ. В случае возникновения фатальной ошибки в пользовательском режиме Dr. Watson Выводит на экран информацию об ошибке, дампирует пространство процесса и сохраняет его в файле user.dump. Файл user.dmp можно открыть при помощи команды windbg для того чтобы посмотреть на содержимое памяти и параметры системы (регистры, стек и т.п.) на момент падения. Этот механизм очень похож на механизм создания core-файлов в *NIX системах. Уязвимость заключается в том, что место (по умолчанию) где храниться user.dmp является доступным на чтение для всех пользователей. На NT4 системах по умолчанию в %SystemRoot%\user.dmp (C:\WINNT\user.dmp), куда опять же по умолчанию доступ открыт для всех . Dump-файлы могут содержать пароли и другую информацию, которая находиться в памяти. Например, программа Outlook Express держит в памяти пароли на доступ пользователей к почте в текстовом виде. OE очень часто падает от неправильно форматированных сообщений.
Подробнее:
http://www.securityfocus.com/

В утилите tip ОС Solaris версий 2.5, 2.5.1, 2.6, 7, 8 обнаружено переполнение буфера при обработке программой tip переменных окружения. Если переменная превышает установленный размер, становиться возможным переполнение стека и получение злоумышленником UID пользователя uucp и через него уровень доступа пользователя root.
Подробнее:
http://www.securityfocus.com/

В Linux RH 7.0 и RH 6.2 с 2.2.14, 2.2.18, 2.2.18ow4, 2.0.x версиями ядра содержится ptrace/execve баг, позволяющий пользователю получить полномочия root-а. Для этого может использоваться любой файл с SUID флагом. Эксплоит, реализующий данную уязвимость, использует механизм переключение контекста. Следует отметить, что данный баг имеет место, но ничего не дает злоумышленнику в Linux версий 2.4.x, поскольку ядро не предоставляет пользователю SUID полномочия, пока тот делает ptrace. Быстро исправить баг можно модулем, который отключает ptrace syscall (http://www.securityfocus.com/templates/archive.pike?list=1&part=.1&mid=171950&)
Подробнее:
http://www.securityfocus.com/

Версия 1.51 The Bat - одной из самых популярных утилит для чтения почты под Microsoft Windows содержит уязвимость, позволяющую злоумышленнику, подделав заголовок письма ( пересчитав размер имени файла), подменить расширение приаттаченного файла. Разработчик ( www.ritlabs.com) обещал поправить это в следующей версии).
Подробнее:
http://www.securityfocus.com/

Полнофункциональные демо-версии продуктов ViPNet Desk, TermiNet, ViPNet Office, ViPNet Tunnel находятся по адресу 
http://www.infotecs.ru/demo.htm

Если у вас есть какие-нибудь пожелания или вопросы по поводу дальнейших выпусков рассылки, мы с удовольствием рассмотрим их.