Защита информации, виртуальные частные сети (VPN). Технология ViPNet.

Новости компании.

• В соответствии с планом основных мероприятий Гостехкомиссии России на 2001 год с 4 по 6 июня с. г. проводится совещание-семинар руководителей и специалистов органов по сертификации и испытательных лабораторий

Появление и бурное развитие сети Интернет позволяет создавать корпоративные сети на новой основе. Вместо строительства закрытых (частных) сетей в качестве связующего звена между взаимодействующими сторонами может быть использована "Всемирная паутина" Подобное альтернативное решение формирования корпоративной сети связи с использованием сети Интернет получило название технологии виртуальных частных сетей (VPN).

Преимущества такого решения очевидны. Прежде всего, это - экономичность и гибкость. Однако, использование Интернета в качестве среды для корпоративных систем связано с решением важных и сложных проблем

Одна из основных связана с публичностью сети сопровождающейся ее враждебностью. В данном случае под "враждебностью" понимается негативное воздействие поступающей информации из глобальной сети. Другая важная проблема - незащищенность передаваемых данных не позволяющая вести обмен служебной и личной информацией. Поэтому при решении задачи подключения к сети Интернет нельзя не учитывать необходимость использования средств обеспечения информационной безопасности.

В мире современных информационных технологий безопасность обеспечивается использованием криптографических методов давно уже перешедших из разряда закрытых военных технологий в область открытых. Следует заметить, что во всем мире криптография еще не стала полностью публичной технологией. В России также пока имеются определенные ограничения на использование криптографии.

Функции безопасности виртуальных частных сетей.

Виртуальная частная сеть должна функционировать аналогично обычной закрытой сети. При этом должна быть обеспечена закрытость передаваемой информации и исключена возможность несанкционированного доступа в сеть. Первая задача решается использованием криптографических механизмов закрытия данных вместо физического отделения сети при использовании физических частных сетей. Решение второй задачи строится на основе установления соединений с помощью современных криптографических механизмов, исключающих несанкционированный доступ. В случае частной сети это также обеспечивается путем физического отделения сети.

Таким образом, при корректной установке виртуальная сеть предоставляет более высокую безопасность передаваемых данных, чем аналогичная закрытая сеть. Это связано с тем, что в частной сети безопасность основана на физическом отделении от других сетей. Однако, при нарушении этого барьера влияние на сеть возможно. Виртуальная частная сеть проектируется уже с учетом возможного умышленного влияния на ее работу. Она к этому готовится и эффективно противостоит.

Можно выделить основные механизмы обеспечения информационной безопасности виртуальной частной сети корпоративных пользователей.

Подтверждение подлинности взаимодействующих сторон - аутентификация.
Она необходима для обеспечения гарантии того, что соединение устанавливается между подлинными сторонами. Этим исключается возможность выдачи третьей стороной себя за кого-либо еще и получения санкционированного доступа в защищенную сеть. Существуют и другие способы и цели атаки, при которой используется подмен взаимодействующей стороны.

Криптографическая защита передаваемой информации.
При ее отсутствии сеть не будет защищена, так как вся информация, а также и сама сеть в случае открытой передачи идентификаторов и паролей для доступа к службам сети станут доступными.

Обеспечение механизмов подтверждения подлинности и целостности передаваемой информации.
Подтверждение подлинности необходимо для установления источника информации и тем самым исключения "подделок". Критерий целостности исключает возможность модификации передаваемой информации, точнее позволяет обнаружить любые модификации. Важно заметить, что для оценки целостности информации в средствах безопасности "обычных" кодов с обнаружением ошибки не хватает, так как у каждого кода имеется достаточно большая вероятность необнаруживаемой ошибки. Однако, для обнаружения умышленной модификации этого порога недостаточно. Для решения этой задачи и вводятся высокоэффективные методы криптографического контроля изменений информации

Защита от повторов, удаления передаваемой информации.
Эти свойства необходимы для обнаружения изменения в последовательности передаваемых пакетов. Кроме того, исключение повтора не позволяет использовать правильно сформированные с точки зрения целостности и подлинности пакеты, например, содержащие идентификационную информацию

Обеспечение механизмов защиты от отрицания фактов передачи и приема информации.
Эта защита служит для обеспечения действительного аудита соединений, что важно при расследовании каких-либо происшествии расчетах за коммерческое использование сети или ее служб.

Безусловно, различные технологии построения виртуальных частных сетей, а также их реализации могут предусматривать различные комбинации предложенных ранее функций. Однако, для обеспечения эффективной безопасности виртуальной частной сети все функции должны полностью поддерживаться. Поскольку безопасность всей системы лимитируется безопасностью самого слабого звена, при устранении какой-либо функции, либо понижении ее эффективности, нарушается безопасность всей системы виртуальной частной сети, сводя на нет эффективность других функции. Таким образом, рекомендуется поддерживать все базовые функции безопасности при организации виртуальной частной сети. Базовой технологией создания виртуальных частных сетей на сети Интернет является набор протоколов IPsec.

Система IPsec.

Система IPsec предназначена для высококачественной криптографической защиты протоколов сетевого уровня IPv4 и IPv6. При этом предоставляется целый ряд услуг по различным аспектам защиты информации.

Контроль доступа - обеспечивается защита от неавторизованного доступа к различным ресурсам. Применительно к протоколу IPsec, это контроль доступа к хосту, сетевому шлюзу и сети, запредельной шлюзу.

Контроль целостности данных реализуется в двух вариантах. В первом рассматривается непосредственно один пакет и выполняется защита от модификаций. Контроль осуществляется независимо от остальных пакетов и называется "целостность без соединения". По второму варианту - "целостность с соединением" - осуществляется слежение за всем трафиком и обнаруживаются потерянные или повторно посланные пакеты. Для правильной авторизации эти методы используются одновременно, благодаря чему достигается целостность, как отдельного пакета, так и всей последовательности.

Конфиденциальность - обеспечивается шифрование данных с возможностью шифрования пакета целиком (режим туннелирования).

Для предоставления функций защиты трафика в IPsec используются два протокола -Authentication Header (АН) и Encapsulating Security Payload (ESP). Направление работы протокола АН - целостность и подлинность трафика. Задачи ESP - защита данных и обеспечение конфиденциальности самого трафика. Однако, этот протокол может также предоставлять функции по контролю целостности и подлинности данных.

Для предоставления требуемого набора криптографических услуг эти протоколы можно использовать как самостоятельно, так и в сочетании. Каждый из них поддерживает два режима работы - транспортный и туннельный, различие между которыми заключается в целях защиты. Если транспортный режим направлен на защиту данных, то туннельный - на защиту оригинального пакета полностью.
IPsec позволяет администратору (пользователю) контролировать спектр услуг по защите трафика степень этой защиты а также набор используемых в системе алгоритмов.

Верхний уровень этой структуры представляет собой сторону, обеспечивающую непосредственное сетевое взаимодействие.

Протокол согласования параметров и управления ключами ISAKMP (Internet Security Association Key Management Protocol) определяет процедуры, форматы пакетов для установления, модификации и удаления ассоциаций безопасности. ISAKMP определяет форматы пакетов при генерировании ключа и данные аутентификации, делая их независимыми от технологий генерирования ключей, алгоритмов шифрования и механизмов аутентификации.

Протокол аутентифицирующего заголовка АН (Authentication Header) предназначен для аутентификации данных, контроля целостности, защиты от повторов.

Протокол инкапсулирующей защиты содержимого ESP (Encapsulating Security Payload) предназначен для обеспечения конфиденциальности информации, аутентификации источника информации, обеспечения целостности данных, защиты от повторов.

Второй уровень представлен алгоритмами согласования параметров и управления ключами, а также алгоритмами аутентификации и шифрования.

Алгоритмы согласования параметров и управления ключами дополняют механизм ISAKMP. Он определяет только форму для установления виртуального соединения, поэтому необходимы некоторые стандартные протоколы и алгоритмы, заполняющие эту форму. В частности, для обмена ключами определен протокол IKE (Internet Key Exchange) на основе Oakley и SKEME.

Ассоциация безопасности может использовать различные алгоритмы аутентификации и шифрования.

Для аутентификации обязательными алгоритмами являются HMAC1-MD52 и HMAC-SHA-13. Для шифрования информации определен алгоритм DES-CBC. Однако, поддерживается и ряд других более высококачественных алгоритмов. При работе протокола ESP должны быть определены так называемые "NULL"-алгоритмы аутентификации и шифрования.

Элемент третьего уровня - домен интерпретации DOI (Domain of Interpretation) предназначен для интеграции всех сведений о системе безопасности и является базой данных используемых протоколов, алгоритмов, их параметров и идентификаторов.

Д.Л. Павлов В.К. Котов, к. т. н. Петербургский Государственный Университет путей Сообщения (опубликовано в журнале ВКСС "Connect" 1/2001)

Заключительная часть статьи, посвященная механизмам поддержки протокола безопасности IPsec и рекомендациям по применению системы IPsec, в следующем выпуске...

Опубликованы данные исследования динамики развития компьютерных вирусов в Интернет, подготовленные сотрудниками центра CERT, занимающегося изучением проблем компьютерной безопасности.

Согласно данным отчета, лидером минувшего квартала стал вирус sadmind/IIS, принадлежащий к классу червей, который сумел проникнуть более чем в 500 серверов под управлением ОС Solaris и стереть данные свыше 6000 IIS-серверов. В целом же тенденции говорят о постоянном росте числа вирусов, направленных на использование системных ошибок Solaris, BIND и Microsoft IIS.

Факт количественного и качественного роста вирусов для UNIX-систем свидетельствует о том, что эта платформа завоевывает заслуженную популярность среди создателей деструктивных программ. С другой стороны, по словам старшего технического консультанта компании Sophos Грэхама Клули (Graham Cluley), его компания получила очень мало сообщений о заражении sadmind, что свидетельствует о более высоком уровне компьютерной грамотности и осторожности среди UNIX-пользователей, чем среди владельцев ОС от Microsoft.
(источник - http://news.battery.ru, опубликовано 04.06.2001)

Судья окружного суда в США отказался удовлетворить просьбу защитников двух россиян Алексея Иванова и Василия Горшкова об отведении улик, добытых ФБР незаконным путем. Судья счел действия ФБР по добыванию личных паролей двух хакеров вполне законными. Он также заявил, что действия ФБР были честны, оправданы и законны, так как "преступность не имеет границ". Об этом в четверг сообщило новостное агентство News Factor.

То, что американские органы правопорядка и законности казнят и милуют кого угодно по собственному усмотрению - не новость. Но чтобы судья официально заявлял о том, что "преступность не имеет границ" в то время, как международные соглашения как раз говорят об обратном, то есть, например, о том, что спецслужбы одного государства не имеют право проводить спецоперации на территории другого без согласия соответствующих органов, - вот такого, пожалуй, еще не было.

Судья, как ранее и сами сотрудники ФБР, заявил, что "ни компьютеры, ни хранимые на них данные, ни сами хакеры не защищены американским законодательством, а равно и действия сотрудников ФБР не подпадают под российские законы". Все очень просто.

Напомним кратко ход событий. В течение довольно долгого времени двое молодых россиян - Алексей Иванов, двадцати лет, и Василий Горшков, двадцати пяти лет, зарабатывали себе на жизнь тем, что сканировали Сеть на предмет известных "дыр" в серверах под Windows и взламывали уязвимые системы. Затем, представившись "консультантами по компьютерной безопасности", предприимчивые молодые люди связывались с сисадминами и предлагали им за определенную плату устранить последствия взлома и залатать имеющиеся "дыры".

Работодатели охотно нанимали к себе на работу хакеров, полностью сознавая, что нанимают людей, только что взломавших их системы.

После того, как у следователей ФБР возникли подозрения в отношении Иванова, ФБР создало подставную фирму Inventa и предложило россиянину взломать систему. Иванов с успехом провел взлом, после чего ему было предложено трудоустройство. Хакеры были приглашены в Америку "на условиях, от которых они не смогли отказаться".

При "собеседовании" молодым людям снова предложили взломать некую систему, при этом на компьютере была установлена программа, отслеживающая все нажатия клавиш. Хакеры успешно справились с задачей.

В цели ФБР не входило еще раз убедиться в способностях россиян. Собственно, этот конкретный взлом даже не ставится им в настоящее время в вину. Представители ФБР хотели только завладеть кодами доступа к персональным компьютерам хакеров, что и было проделано.

После этого ФБР оставалось только скачать интересующую их информацию с компьютеров злоумышленников, расположенных на территории Российской федерации. Найденная на компьютерах россиян информация позволила ФБР предъявить обвинение не только в уже описанных взломах, из-за которых и было начато расследование, но также и в громком прошлогоднем взломе Western Union, поскольку на компьютерах были найдена номера кредитных карточек этой системы.

Именно эти улики защита и предлагала суду отвести, как незаконные. Однако судья отклонил прошение защиты. И улики будут приобщены к делу.
(источник - http://www.netoscope.ru, опубликовано 04.06.2001)

Microsoft выпустила три бюллетеня безопасности за прошлую неделю. О первых двух мы писали, а вот третий должен насторожить тех, кто пользуется стандартным telnet-клиентом в Windows.

Клиент HyperTerminal Telnet, оказывается, имеет ошибку, в результате которой переполняется буфер. В свою очередь, это приводит к тому, что атакующий получает возможность запускать любой исполняемый код (грубо говоря - любую программу) на компьютере жертвы с ее правами.

В качестве отправной точки атаки может использоваться обычная html-страница с особым образом написанной ссылкой. Более того, подобная ссылка может распространяться по почте, если клиент жертвы поддерживает письма в html-формате (большинство клиентов такое как раз поддерживают). <

ЕЕще одна возможность использования этой ошибки - файлы сессии, в которые пользователи имеют возможность записать параметры отдельного соединения, такие как метод соединения и его адрес.

Если пользователь откроет файл сессии, созданный злоумышленником, то это опять же может привести к переполнению буфера.

Больше масла в огонь подливает тот факт, что на большинстве ОС от Microsoft telnet.exe является клиентом "по умолчанию", то есть если пользователь не изменял настройки, то по ссылке откроется именно эта программа.

Итак, подвержены данной неприятности Windows 98, Windows 98SE, Windows ME, Windows NT и Windows 2000. Правда, в Windows 2000 telnet.exe не является клиентом по умолчанию, но это не мешает ему содержать ошибку.

Так как Windows 95 более не поддерживается Microsoft, то неизвестно, происходит ли подобная ошибка там, но скорее всего ответ будет утвердительным.

Соответственно, вы можете скачать исправления для Windows 98/98 SE, Windows ME и Windows 2000.
(источник - http://www.submarine.ru, опубликовано 30.05.2001)

Как сообщило информационное агентство Reuters, в пятницу Экспертная комиссия по преступлениям в кибер-пространстве (Committee of Experts on Crime in Cyber-Space), организованная решением Совета Европы в 1996 году, опубликовала окончательную, двадцать седьмую, версию проекта международной конвенции по борьбе с кибер-преступностью. В обновленной версии учтены некоторые недочеты прежних версий. Например, критические замечания вызвала недостаточно продуманная система охраны частной информации о гражданах в процессе расследования кибер-преступлений.

Ожидается, что проект будет принят на 50-й пленарной сессии Совета Европы, которая пройдет с 18 по 22 июня этого года. Затем проект конвенции будет передан на рассмотрение в совет министров Совета Европы. Если он будет одобрен, в течение двух лет конвенцию подпишут все 43 страны, являющиеся членами Совета Европы. Указанную конвенцию намерены также подписать и некоторые неевропейские государства.

Законопроект направлен на усиление борьбы с кибер-преступностью, включая распространение в Сети детской порнографии, финансовые махинации в Интернете, хакерские атаки и нарушение авторских прав. Проект конвенции предполагает тесную кооперацию между правоохранительными структурами различных государств и наделяет весьма широкими полномочиями полицейские органы.

В конвенции, в частности, подробно оговорены проблемы взаимодействия правоохранительных органов отдельных государств в ситуации, когда преступник и жертва находятся на территории разных стран и подчиняются разным законодательствам.

В проекте оговариваются и международные, общие для всех интернет-провайдеров, правила хранения личной информации клиентов на случай, если подобная информация будет затребована в ходе расследования кибер-преступлений.

Основные изменения внесены по требованию различных международных организаций, которые считали, что в предыдущих версия проекта правоохранительным органам предоставлялись слишком широкие полномочия в области контроля за движением личной информации граждан.

Однако, по мнению некоторых экспертов, этот проект и в его окончательном виде наделяет компетентные органы слишком большими полномочиями. В результате этого могут возникнуть определенные сложности при прохождении проекта конвенции через парламенты государств, обладающих либеральными законодательствами.
(источник - http://www.netoscope.ru, опубликовано 30.05.2001)

Калифорнийский университет Сан-Диего (США) опубликовал результаты исследования, проведенного в Сети по вопросу о хакерских атаках на интернет-серверы типа DOS (Denial of Service, "отказ в обслуживании"), сообщает французский Le Journal Du Net. За три недели, которые проходило исследование, ученые зарегистрировали 12 805 DOS-атак, направленных против 5 тыс. серверов. В течение недели исследователи установили, что ежечасно 150 IP-адресов становятся жертвами DOS-атак.

Среди двух тысях пострадавших организаций - в основном компании, занимающиеся электронной торговлей, такие как Amazon, а также различные интернет-сервисы типа Hotmail. О большинстве этих нападений средства массовой информации не сообщают. Длительность этих атак различна. Более 50% из длятся не более 10 минут, 80% - не более 30 минут, и 90% - не более часа. Как показывает исследование, среди наиболее "соблазнительных" для хакеров - домены .com и .net (15% атак), сразу за ними следуют .ro (Румыния) и .br (Бразилия), соответственно 13 и 6% атак, затем .org, .edu, .ca (Канада), .de (Германия) и .uk (Великобритания).
(источник - http://www.cnews.ru, опубликовано 29.05.2001)

Как сообщает информационная служба антивирусной лаборатории Symantec, по глобальной сети Интернет "пополз" очередной червь, именуемый "сырным" (Cheese worm) или "протестным" (Noped) (от NOPE - нет, разг. амер. ). На сей раз, разработчик этой заразы преследовал, вроде бы, благие цели: его вирус поселяется на компьютере и разыскивает на жестком диске все графические jpg-файлы, сверяя их названия с неким списком файлов, содержащих детскую порнографию. Как по имени файла автор надеется понять, что за изображение он содержит – остается совершенно непонятным.

Червь прибывает в электронном послании с заголовком "FWD: Help us ALL to END ILLEGAL child porn NOW". Письмо содержит вложенный файл, озаглавленный как "END ILLEGAL child porn NOW.TXT. . . . . . . . . . . .vbs". По традиции, в случае запуска файла, вирус считывает все адреса в адресной книге Outlook Express и рассылает себя по всем адресатам. Кроме того, прошерстив компьютер "жертвы", червь создает текстовый документ со списком всех подозрительных jpg-файлов. Этот документ с призывом избавиться от "грязных" картинок выводится для просмотра пользователем.

Было бы забавно, если бы в следующей модификации "Cheese worm" цеплял бы к письмам, рассылаемым всем адресатам "жертвы", еще и файл с найденным "компроматом", плюс отправлял бы копии в ФБР, ФСБ, Интерпол и т. д. Но до этого пока не дошло.
(источник - News.Battery.Ru, опубликовано 28.05.2001)

В соответствии с планом основных мероприятий Гостехкомиссии России на 2001 год с 4 по 6 июня с. г. проводится совещание-семинар руководителей и специалистов органов по сертификации и испытательных лабораторий

В процессе работы совещания-семинара планируется рассмотреть состояние организации работ по сертификации средств защиты информации, обсудить основные мероприятия по совершенствованию системы сертификации, ряд проектов новых нормативных документов (руководящих документов Гостехкомиссии России, типовых программ и методик сертификации средств защиты информации), требования к специалистам испытательных лабораторий, обменяться опытом работы.

Совещание - семинар проводится с 4 по 6 июня с.г. по адресу:

4 июня - Москва, Дмитровское шоссе, д.2, ЦНИИАтоминформ.
5-6 июня - г. Обнинск Калужской обл., ул. Курчатова, д.21, Государственный центральный институт повышения квалификации руководящих работников и специалистов Минатома России (ГЦИПК).

Подробности на официальной странице Гостехкомиссии www.infotecs.ru/gtc

Полнофункциональные демо-версии продуктов ViPNet Desk, TermiNet, ViPNet Office, ViPNet Tunnel находятся по адресу 
http://www.infotecs.ru/demo.htm

Если у вас есть какие-нибудь пожелания или вопросы по поводу дальнейших выпусков рассылки, мы с удовольствием рассмотрим их.