Защита информации, виртуальные частные сети (VPN). Технология ViPNet.

Здравствуйте, уважаемые подписчики!

Cамый распространенный подход к проектированию сети заключается в построении сплошной защиты по ее периметру, при этом на линии огня остается лишь маршрутизатор. Обеспечение его собственной безопасности приобретает все большее значение по мере усложнения подключенных к Internet сетей. Атаки на маршрутизатор могут вызвать перегрузку центрального процессора, привести к неправильному управлению трафиком и даже к полной неработоспособности устройства.

Все больше хакеров стало охотиться за добычей покрупнее. Предлагаемая Кертисом Далтоном информация в статье "Маршрутизаторы под прицелом" поможет защитить ваши маршрутизаторы от их цепкой хватки.

Как обычно в рассылке, свежие новости из области защиты информации и IT-технологий, информационные сообщения по новым атакам и способам взлома, статистика по инцидентам, а также новости компании Инфотекс.

• Приглашаем посетить наш форум, посвященный защите информации, виртуальным сетям (VPN) и продуктовому ряду ViPNet.
• С 1 июля 2002 года вступил в силу новый КОДЕКС РОССИЙСКОЙ ФЕДЕРАЦИИ ОБ АДМИНИСТРАТИВНЫХ ПРАВОНАРУШЕНИЯХ.
• Компания Инфотекс расширяет продуктовую линейку ViPNet новыми продуктами ViPNet Custom Lite и ViPNet SDK (software development kit)

Введение
Cамый распространенный подход к проектированию сети заключается в построении сплошной защиты по ее периметру, при этом на линии огня остается лишь маршрутизатор. Обеспечение его собственной безопасности приобретает все большее значение по мере усложнения подключенных к Internet сетей. Атаки на маршрутизатор могут вызвать перегрузку центрального процессора, привести к неправильному управлению трафиком и даже к полной неработоспособности устройства.

Подобные атаки на маршрутизаторы провайдеров Internet приводят к снижению производительности и, как следствие, к снижению качества предоставляемых клиентам услуг. Это всего лишь несколько причин, по которым безопасность маршрутизатора следует считать не менее важной, чем безопасность приложений или любых других компонентов сети.

В данной статье рассматриваются средства и методы защиты маршрутизатора, анализируются встроенные возможности обеспечения безопасности современных маршрутизаторов, а также детально рассматриваются процедуры, осуществление которых позволит повысить уровень защищенности маршрутизаторов.

Встроенные барьеры
Пытаясь определить, что же такое безопасность маршрутизатора, необходимо четко осознавать его отличия от межсетевого экрана. Основное предназначение маршрутизатора — направлять поток информации от источника к получателю через Internet, в то время как межсетевой экран призван защитить находящиеся за ним устройства. В данной статье под термином «защита маршрутизатора» понимается именно обеспечение собственной безопасности устройства, а не расположенных за ним элементов сети.

Наличие достаточного количества встроенных механизмов защиты является ключевым моментом в обеспечении безопасности маршрутизатора. Один из важнейших среди них — встроенная возможность анализа трафика. Обычно маршрутизаторы осуществляют контроль трафика на уровнях со второго по четвертый (пакетном — Data Link, сетевом — Network, и транспортном — Transport) иерархической модели взаимодействия открытых систем (Open Systems Interconnection, OSI). Лет десять назад такой защиты было бы вполне достаточно, но сегодня она неадекватна возросшим угрозам.

Контекстная проверка пакетов (Stateful Packet Inspection, SPI) и ситуативное управление доступом (Context Based Access Control, CBAC) дополняют простой контроль содержимого пакетов. Включение контекстной проверки расширяет возможности контроля доступа: устройства с контекстной проверкой создают таблицы, где хранится полная информация об установленных между различными системами соединениях и используемых при этом протоколах. Сравнивая входящие и исходящие запросы с таблицей, маршрутизатор с контекстной проверкой принимает решение о пропуске или блокировании трафика. В действительности, контекстная проверка не что иное, как интеллектуальный анализ пакетов на третьем и четвертом уровнях модели OSI.

Ситуативное управление доступом дополняет контекстную проверку, т. е. по сути выполняется анализ трафика в контексте на прикладном уровне: система анализирует запросы и ответы поддерживаемых приложений на прикладном уровне. Например, серверы и клиенты SMTP взаимодействуют с помощью небольшого набора команд. Если устройство с включенным ситуативным управлением доступом пропускает запросы SMTP, то клиент сможет послать на сервер лишь корректно сформированный прикладной запрос. Эта мера позволяет не допустить использования нарушителями некорректных или редко применяемых запросов прикладного уровня для проникновения в систему или сеть.

Устранение брешей в безопасности
Для поддержания системы в защищенном состоянии встроенные механизмы обеспечения безопасности маршрутизатора следует дополнить адекватными организационными мерами. Ограничение физического доступа к системе — один из наиболее эффективных подходов к достижению этой цели. Развитием данного подхода является настройка сеансов работы с консолью и терминалами таким образом, чтобы они производили автоматическое отключение от системы по истечении небольшого периода неактивности (около 10 мин). От подсоединения модема к последовательному порту маршрутизатора следует воздерживаться, кроме тех случаев, когда это действительно необходимо: например, для обеспечения возможности получения дистанционной технической поддержки со стороны поставщика оборудования. Но при этом следует контролировать все действия службы технической поддержки.

После ограничения физического доступа к маршрутизаторам важно убедиться, что в системе установлены все выпущенные на текущий момент исправления. В середине 2001 г. в одном популярном семействе маршрутизаторов было обнаружено несколько серьезных недочетов, влияющих на защищенность. Один из них был связан с хранением паролей в памяти устройства в открытом виде. Эта ошибка позволила провести атаку по типу «отказ в обслуживании» путем посылки большого количества пакетов определенного типа, в результате злоумышленник получал возможность подобрать порядковые номера соединения TCP. Эти условия облегчали хакеру перехват и модификацию данных, причем он даже мог получить полный доступ с правами администратора. С помощью еще одного обнаруженного недостатка можно было заставить маршрутизатор совсем не реагировать на запросы. Он проявлялся, когда на уязвимый маршрутизатор посылался пакет ECHO REQUEST с опцией RECORD ROUTE.

Полгода спустя были обнаружены еще четыре ошибки, причем уже после того, как производитель исправил предыдущие. Этот пример подчеркивает важность отслеживания всех выпускаемых исправлений.

Международный центр реагирования на компьютерные инциденты (Computer Emergency Response Team, CERT) регулярно публикует сведения об обнаруженных ошибках и выпущенных исправлениях. При этом информация об ошибке носит общий характер, а о путях ее исправления — более подробный, что снижает риск использования публикуемого CERT материала для деструктивных действий. К сожалению, так поступают далеко не все организации, занимающиеся защитой. Подобное состояние дел породило множество споров о том, в какие сроки и в каких объемах должна публиковаться информация об обнаруженных проблемах.

В основном споры шли вокруг определения надлежащего интервала между сроками обнаружения уязвимости и обнародования этой информации. Производители маршрутизаторов должны обеспечить доступ к исправлениям своим клиентам и лишь после этого публиковать данные об ошибке.

К сожалению, третьи лица распространяют указанные сведения до того, как производитель успевает разработать и выпустить соответствующее исправление. Иногда такие шаги предпринимают сами клиенты, чтобы вынудить производителя реагировать на обнаружение ошибок более оперативно. Подобные методы воздействия в конце концов достигают желаемого результата, но приводят к тому, что хакерское сообщество получает возможность использовать полученную информацию до выхода необходимых корректив.

Пока потребители и производители не договорились о приемлемом «буферном периоде», в течение которого производитель обязан выпустить исправление, а сведения об ошибке не будут публиковаться, лучший способ защитить маршрутизаторы от неприятностей — постоянное отслеживание информации, публикуемой на сайтах Web производителей и в соответствующих группах новостей или списках рассылки. Не следует пренебрегать и сообщениями из хакерской среды — вы всегда будете в курсе появления новых вредоносных программ, использующих обнаруженные ошибки.

Предотвращение проблем с идентификацией
Другой распространенный среди хакеров способ проникновения — использование некачественно выбранных персоналом или заданных по умолчанию паролей. Выполнение стандартных рекомендаций — например, задание минимально разрешенной длины паролей и периодическая (30–60 дней) их смена — поможет эффективно предотвратить эти угрозы. Внеочередную смену паролей необходимо производить при увольнении ключевых сотрудников подразделений ИТ.

На маршрутизаторах следует включить механизм шифрования паролей, чтобы в случае получения доступа к системным файлам конфигурации злоумышленник не мог узнать пароли без предварительного их дешифрования. Идентификация является одной из фундаментальных составляющих любой правильно спланированной стратегии обеспечения безопасности маршрутизатора. Для безопасного обмена критичной информацией с маршрутизаторами установите проверенные средства аутентификации. На большинстве маршрутизаторов аутентификацию можно настроить через систему управления доступом к контроллеру терминального доступа (Terminal Access Controller Access Control System, TACACS) и службу удаленной аутентификации пользователей по коммутируемому каналу (Remote Authentication Dial-In User Service, RADIUS) при помощи специализированных серверов аутентификации, что обеспечит надежную авторизацию с применением криптографических методов при доступе к маршрутизаторам.

При использовании этих методов аутентификации запрос пользователя об авторизации перенаправляется на специальные серверы аутентификации, расположенные обычно во внутренней сети. Сервер принимает решение о предоставлении доступа в зависимости от идентификатора пользователя, предъявленного пароля и других критериев: имени хоста или IP-адреса пользовательской системы, IP-адреса или имени ресурса, к которому запрошен доступ, текущего времени и дня недели. Серверы аутентификации позволяют дополнительно повысить уровень безопасности путем введения двухфакторной аутентификации, например, на основе обладания чем-либо и знания секрета. Роль первого фактора обычно играет программный модуль или устройство для генерации одноразовых паролей (токенов), а роль второго — идентификатор пользователя и пароль доступа к генератору токенов.

В других схемах аутентификации применяется туннелирование мандатов в Secure Shell (SSH) или IPSec. Эти протоколы позволяют предотвратить перехват критичной информации (идентификатора пользователя и пароля) путем ее шифрования и обеспечить целостность с помощью проверки криптографических контрольных сумм. Большинство маршрутизаторов поддерживает аутентификацию через SSH. Несмотря на достаточно широкую поддержку IPSec, это более сложное решение из-за необходимости обеспечения совместимости с механизмом преобразования адресов (Network Address Translation, NAT). Передача пакетов через туннель IPSec требует добавления специфичных маршрутов в конфигурацию маршрутизатора. В случае использования IPSec, скорее всего, придется настроить режим транспортного шифрования для туннеля IPSec, так как режим туннельного шифрования может вызвать трудности, если трафик проходит через сети с включенной трансляцией адресов. Это связано с тем, что в режиме туннельного шифрования пакеты шифруются полностью, включая заголовок, в противовес шифрованию только лишь тела пакета в транспортном режиме. Поскольку заголовки зашифрованы и защищены контрольной суммой, при внесении в них изменений транслирующим адреса устройством они воспринимаются как поддельные, и пакет отбрасывается.

Если нужно, чтобы маршрутизатор обеспечивал доступ по протоколу PPP, обратитесь к протоколу аутентификации Challenge Handshake Authentication Protocol (CHAP), передающему по каналу связи только хэшированное значение пароля. Выбор оптимального решения зависит от конфигурации сети и степени управляемости, которую требуется обеспечить для процесса аутентификации.

Окончание статьи, в котором автор рассматривает кокретные технические примеры организации защиты маршрутизаторов в совокупности с организационными мерами - в следующем номере рассылки...

Кертис Далтон - ведущий специалист по безопасности компании еGreenwich Technology Partners, специализирующейся на консалтинге в области информационных технологий. С ним можно связаться по адресу: cdalton@greenwichtech.com (опубликовано в журнале "LAN" №6/2002).

Вирус написан на языке VBScript, а само "заразное" письмо имеет тему Actualizacion critica de Anti-virus. Специалисты TrendMicro характеризуют VBS_SLIP.B как малоопасный. Вместе с тем, пользователям стоит соблюдать осторожность, поскольку в компании уже выявили несколько модификаций этого червя.
(источник - http://www.compulenta.ru/, опубликовано 04.07.2002)

Практическое внедрение нового алгоритма в оборудование для создания GSM-сетей и телефонные аппараты начнется в третьем квартале 2002 г.
(источник - http://www.compulenta.ru/, опубликовано 04.07.2002)

Кстати сказать, "Фалуньгун" давно и активно пользуется благами информационных технологий. Как сообщается на сайте Информационно-консультационного центра Св. Иринея Лионского, глобальная компьютерная сеть используется обеими сторонами для распространения своих взглядов на проблему запрещения "Фалуньгун" в КНР. Правительство Китая, тем не менее, оказалось неготовым к тому, что последователи Ли Хунчжи сделали электронную почту максимально удобным средством взаимодействия между отделениями "Фалуньгун" в различных провинциях и смогли весьма эффективно провести протестные мероприятия.

Как сообщает издание Australian IT, взлому подверглись не только телевизионные спутники Sinosat-1, через которые идет трансляция многих каналов китайского ТВ, но и телефонная сеть в Пекине. В каждом доме раздавались звонки, и снимавшие трубку слышали пятиминутную аудиозапись, на которой последователи "Фалуньгуна" по пунктам громили аргументы запретивших их движение китайских властей. По телевидению же несколько минут демонстрировался плакат "Фалуньгун - это хорошо".

Китайские власти, естественно, старались не допустить распространения этой информации, однако из-за того, что в Китае есть интернет, происшествие, все-таки, получило широкую огласку. Китайские спутники и телевизионные станции, видимо, плохо защищены: как заявили представители располагающегося в Гонконге Информационного центра по вопросам прав человека и демократии (Information Centre for Human Rights and Democracy), в Китае, для того чтобы внести помехи в телетрансляцию на сотни километров вокруг, достаточно одной-единственной "антенны-тарелки" диаметром в три метра.
(источник - www.compulenta.ru, опубликовано 04.07.2002)

Манферделли рассказал, что Palladium - это кодовое название нового набора функций операционной системы Windows. При соответствующей аппаратной поддержке эти функции позволят обеспечить как индивидуальным, так и корпоративным пользователям повышенный уровень безопасности и сохранности данных. Palladium поможет снизить риск заражения вирусами, а также предотвратить проникновение в систему шпионских программ, собирающих данные о пользователе. Файлы будут кодироваться специальным кодом, привязанным к конкретной машине, что сделает бессмысленным их хищение. Возможна установка нескольких уровней безопасности, а также степени открытости личной информации.

Архитектура Palladium предполагает внесение изменений в центральные процессоры, чипсеты и такие периферийные устройства, как клавиатуры и принтеры. Как утверждает Манферделли, даже информация, которая передается с клавиатуры на монитор, будет защищена. Таким образом, при помощи Palladium появляется возможность создания системы с уровнем безопасности, аналогичным системам с закрытой архитектурой при сохранении всей гибкости открытой платформы Windows.

Манферделли заявил, что Palladium и система управления правами на цифровой контент (DRM) - это две различные технологии: "Для функционирования Palladium не требуется DRM, а для работы DRM не нужен Palladium". Однако аппаратная защищенность системы позволит повысить уровень надежности DRM.

По словам Манферделли, план развития проекта Palladium пока только пишется, и реализации этой технологии не стоит ждать в ближайшее время.
(источник - www.compulenta.ru, опубликовано 02.07.2002)

Специалисты компании Инфотекс ответят на все ваши вопросы, связанные с продуктами ViPNet, помогут в случае проблем при инсталляции и эксплуатации наших продуктов, а также проконсультируют по общим вопросам информационной безопасности...

Статья 13.12. Нарушение правил защиты информации

1. Нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну), - влечет наложение административного штрафа на граждан в размере от трех до пяти минимальных размеров оплаты труда; на должностных лиц - от пяти до десяти минимальных размеров оплаты труда; на юридических лиц - от пятидесяти до ста минимальных размеров оплаты труда.
2. Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну), - влечет наложение административного штрафа на граждан в размере от пяти до десяти минимальных размеров оплаты труда с конфискацией несертифицированных средств защиты информации или без таковой; на должностных лиц - от десяти до двадцати минимальных размеров оплаты труда; на юридических лиц - от ста до двухсот минимальных размеров оплаты труда с конфискацией несертифицированных средств защиты информации или без таковой.
3. Нарушение условий, предусмотренных лицензией на проведение работ, связанных с использованием и защитой информации, составляющей государственную тайну, созданием средств, предназначенных для защиты информации, составляющей государственную тайну, осуществлением мероприятий и (или) оказанием услуг по защите информации, составляющей государственную тайну, - влечет наложение административного штрафа на должностных лиц в размере от двадцати до тридцати минимальных размеров оплаты труда; на юридических лиц - от ста пятидесяти до двухсот минимальных размеров оплаты труда.
4. Использование несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну, - влечет наложение административного штрафа на должностных лиц в размере от тридцати до сорока минимальных размеров оплаты труда; на юридических лиц - от двухсот до трехсот минимальных размеров оплаты труда с конфискацией несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну, или без таковой.

ViPNet Custom Lite
Поставка состоит из пакета программ только с Доменом-К:
- ViPNet [Администратор] - выполняет все функции полноценного места администратора защищенной сети, в т.ч. роль центра регистрации и сертификации;
- ViPNet [Координатор] Lite - отличается от стандартного отсутствием функции почтового сервера (является также Сервером доступа удаленных Клиентов);
- ViPNet [Клиент] Lite - содержит: ViPNet Драйвер, ViPNet Монитор, ViPNet MFTP.
Поддерживает функции:
- Персонального сетевого экрана;
- Организации защищенных каналов клиент/клиент, клиент/сервер;
- Модуля автоматического обновления ключей и справочников;
- Защищенного чата и конференций;
- Файлового обмена;
- Дополнительной авторизации при входе в операционную систему (с использованием электронных носителей: eToken, iButton и т.п.)

ViPNet SDK
Варианты поставки ПО ViPNet, необходимого для встраивания функций работы с ЭЦП во внешние приложения

Поставка только криптографических библиотек

• Комплект динамических библиотек, устанавливаемых на клиентских местах, и обеспечивающих необходимую функциональность работы с ЭЦП (подпись, проверка подписи)

Предполагается, что ответственность за жизненный цикл ключей (контроль срока действия и доставка) полностью возлагается на приложение, в которое встраивается ЭЦП.
Клиенту не предоставляется ПО ViPNet [Администратор]. Формирование и смена ключей Пользователей производится по дополнительному запросу в ОАО "ИнфоТеКС", где будет храниться ЦУС и КЦ сети.

Минимальный вариант поставки

• Пакет программ ViPNet [Администратор], состоящий из программы "Центр управления сетью" (ЦУС) и "Ключевой центр" (КЦ). В терминах PKI функции центра регистрации выполняет ЦУС, а функции центра сертификации (удостоверяющего центра) выполняет КЦ.
  
• Комплект динамических библиотек, устанавливаемых на клиентских местах, и обеспечивающих необходимую функциональность работы с ЭЦП (подпись, проверка подписи)

В этом варианте предполагается, что ответственность за жизненный цикл ключей (контроль срока действия и доставка) полностью возлагается на приложение, в которое встраивается ЭЦП. В ЦУСе производится регистрация пользователей. КЦ формирует корневые сертификаты, секретные ключи подписи и сертификаты открытых ключей подписи и сохраняет их в виде файлов. Доставка этих файлов на клиентские места должна осуществляться каким-то защищенным способом (лично в руки, фельдъегерской связью, транспортом приложения и т.д.).

Вариант с автоматизированным обновлением всех ключей

• Пакет программ ViPNet [Администратор],
  
• Пакет программ ViPNet [Координатор] Lite, выполняющий функции сервера для обеспечения доставки необходимой ключевой информации. Таких серверов может быть один или несколько в зависимости от конфигурации сети.
  
• Пакет программ ViPNet [Клиент] EasyTransport-S, не только обеспечивающий необходимую функциональность работы с ЭЦП, но и обеспечивающий автоматизированное обновление всех ключей.

Оптимальный вариант поставки

• Пакет программ ViPNet [Администратор],
  
• Пакет программ ViPNet [Координатор] Lite, выполняющий функции сервера для обеспечения доставки необходимой ключевой информации. Таких серверов может быть один или несколько в зависимости от конфигурации сети.
  
• Пакет программ ViPNet [Клиент] Transport-S, не только обеспечивающий необходимую функциональность работы с ЭЦП, но и обеспечивающий автоматизированное обновление всех ключей и функции персонального сетевого экрана.

Со стоимостью новых решений можно ознакомиться по адресу: http://www.infotecs.ru/price.htm

Познакомиться с нашими решениями и получить более подробную информацию можно на web-сервере - http://www.infotecs.ru или по телефону (095) 737-6192 

Также получить ответы на интересующие Вас вопросы, Вы можете на нашем форуме, находящемся по адресу: http://www.infotecs.ru/phpBB2/index.php

Полнофункциональные демо-версии продуктов ViPNet Desk, TermiNet, ViPNet Office, ViPNet Tunnel, ViPNet Office Firewall находятся по адресу: http://www.infotecs.ru/demo.htm

Если у вас есть какие-нибудь пожелания или вопросы по поводу дальнейших выпусков рассылки, мы с удовольствием рассмотрим их.