Защита информации, виртуальные частные сети (VPN). Технология ViPNet.

Одна только скорость не гарантирует безопасности Internet-приложений будущего. Программно реализованные виртуальные сети, надстроенные над физическими сетями, могут гарантировать критически важным приложениям необходимую изоляцию от внешнего воздействия.

Пользователям критически важных Internet-приложений потребуется функциональность, которая вряд ли будет сама по себе реализована в Internet следующего поколения (Next-Generation Internet — NGI). Традиционно критически важные Internet-приложения физически или логически изолируются в попытке оправдать предположения, в которых каждое приложение рассматривается как независимое. При переносе подобных приложений в разделяемую сетевую инфраструктуру изоляция утрачивается, ставя под угрозу их безопасность. В силу этого срочно необходимы средства обеспечения и контроля защиты для приложений NGI, для чего нужно найти способ изолировать приложения друг от друга в совместно используемой среде.

Разработчики приложений полагаются на те или иные методы изоляции, чтобы исключить непредвиденное вмешательство. Интерпретация слова "вмешательство", однако, зависит от приложения. Например, некоторые критически важные приложения требуют только защиты от вторжений злоумышленников, что корректным образом обеспечивают виртуальные частные сети (virtual private network — VPN). Такие архитектуры легко перенести и в NGI. Но в Сети не существует столь же простого решения для обеспечения "невмешательства" иного рода, например, отсутствие непредвиденных потерь полосы пропускания или возникновения задержек в виртуальной частной сети. Решение этой задачи позволило бы обеспечить гарантированный уровень обслуживания даже при возникновении сбоя.

Я предлагаю новый механизм для изоляции сетевых приложений, который я назвал виртуальной сетью с перекрытиями (virtual overlay network — VON). VON позволяет обеспечить надежность и безопасность, необходимые в критически важных приложениях, однако такое решение чрезвычайно дорого реализовать в рамках современных технологий. Расширение функциональности современных маршрутизаторов в сочетании с хорошо продуманными механизмами групповых коммуникаций позволят реализовать концепцию VON с разумными затратами и хорошей масштабируемостью.

Cети с перекрытиями и виртуальные сети с перекрытиями

Термин сеть с перекрытиями описывает конфигурацию, в рамках которой базовая сеть поддерживает некоторую вторичную сеть, наслаивающуюся на базовую инфраструктуру. К примеру, предположим, что в некотором госпитале решили создать информационную систему по здравоохранению. Госпиталь может приобрести несколько сетей, каждая из которых изолирована от остальных и от общедоступной сети и каждая имеет параметры, соответствующие целям, для которых ее предполагается использовать. Вероятно, что госпиталю придется приплатить за более серьезные гарантии качества сетевых соединений, поэтому его ИТ-персонал заинтересован в том, чтобы сконфигурировать сеть с перекрытиями, которая будет обладать только теми характеристиками, которые действительно необходимы соответствующим приложениям.

Рис. 1. Две виртуальные сети «наслаиваются» на одну физическую сеть
Перекрытие обеспечивает изоляцию, скрывает физическую сеть и может обеспечить такие гарантии, как минимальная полоса пропускания. Овалами обозначены компьютеры; затененная часть рисунка – это «физический» Internet. С помощью предлагаемой технологии части сети изолируются от остального Internet.

Как показано на рисунке 1, сеть с перекрытиями будет характеризоваться следующими атрибутами:

• набор точек доступа, которые позволяют сети с перекрытиями функционировать как своего рода виртуальный Ethernet в том смысле, что она предлагает свои услуги в множестве мест, и приложения совместно используют единую логическую инфраструктуру;
• для агрегированного трафика в сети с перекрытиями гарантируются определенные свойства, что отличает ее от соединений точка-точка (во многом так же, как Ethernet обеспечивает совокупную пропускную способность 10 Мбит/с);
• глобальный уникальный идентификатор, которым помечается трафик внутри сети с перекрытиями, и который маршрутизаторы используют для обнаружения местонахождения ресурсов, зарезервированных для сети с перекрытиями.
  

Если нижележащая сеть обладает соответствующими базовыми свойствами, к ней вполне можно добавить уровни программного обеспечения, которые позволяют добавить новые функции. Мы называем такие сети виртуальными сетями с перекрытиями, поскольку эти новые функции реализуются на программном уровне. Если сеть с перекрытиями обеспечивает некоторые базовые гарантии минимальной полосы пропускания и уровня потери пакетов, а также защищает собственную инфраструктуру от сбоев и внешних атак, вполне возможно реализовать практически любые необходимые свойства — при условии, что сеть с перекрытиями работает достаточно быстро.

Internet следующего поколения

Работа продолжается, и вокруг NGI ведутся жаркие дискуссии о том, как лучше всего добиться тех целей, которые поставлены перед новым поколением Сети. Тем не менее, большинство технологий, которые получат распространение в ближайшие несколько лет, уже существуют. По мере развития NGI основными приоритетами для разработчиков, вероятнее всего, останутся производительность, защита и качество обслуживания.

Обеспечение более высокой производительности

Безусловно, NGI будет быстрее. Аналитики предполагают, что распространение широкополосных технологий и оптоволоконных кабелей позволит увеличить производительность Internet в 10 – 100 раз. Однако сама по себе производительность ничего не дает для решения задачи изоляции от нежелательного вмешательства. В частности, современный Internet намного быстрее Internet, существовавшего лет десять назад, в то время как проблемы вмешательства стали намного серьезнее. В популярной литературе, как правило, скорость неразрывно связывают с безопасностью, но, хотя скорость зачастую является необходимым условием для гарантий безопасности, она редко оказывается условием достаточным.

Увеличение уровня защиты

NGI будет обладать лучшими защитными свойствами, чем современный Internet. На уровне сетевой инфраструктуры архитектура защиты уже развернута. На уровне приложений в NGI будут широко использоваться инфраструктуры открытого ключа вместе с высокоуровневыми строительными блоками, такими как виртуальные частные сети. Виртуальная частная сеть – это программная абстракция, наложенная на разделяемую сеть, в которой связь между конечными точками, принадлежащими к VPN, осуществляется с аутентификацией, шифруется из соображений безопасности, или и то, и другое. В этом смысле виртуальная частная сеть напоминает межсетевой экран, за исключением того, что межсетевой экран действует только на границах сети, в то время как VPN действует как сетевой интерфейс. Данная машина в каждый момент времени может принадлежать только к одной виртуальной частной сети, и гарантии, связанные с данной технологией, ограничиваются защитой.

В работе, выполненной нашей исследовательской группой в Корнелле совместно с группой Transis из Еврейского университета в Иерусалиме, мы изучили расширение VPN на основе идеи виртуальных сетей с перекрытиями, сосредоточившись исключительно на вопросах защиты. Наше решение, получившее название динамической виртуальной частной сети (Dynamic Virtual Private Network — DVPN) позволяет одной и той же машине одновременно входить в состав нескольких виртуальных частных сетей и обеспечивает отказоустойчивость. Мы также предложили протоколы DVPN для быстрого изменения ключей защиты при изменении набора участвующих компьютеров или приложений.

Вместе с тем, DVPN имеют ряд ограничений. К примеру, наша работа не позволяет таким службам, как файловые системы или базы данных размещаться в нескольких DVPN и не поддерживает связи между DVPN; всякий, кто серьезно занимается реализацией DVPN, должен еще раз проанализировать эти архитектурные решения. Тем не менее, кажется разумным утверждение о том, что с помощью расширения концепции динамической виртуальной частной сети мы могли бы обеспечить необходимую защиту инфраструктуры для сетей VON.

С другой стороны, предстоит преодолеть и немало сложностей. Последние исследования указывают на ряд трудностей, возникших в связи с организацией защиты, в том числе на неадекватную технологию для представления правил организации защиты, необходимость обеспечивать сложные характеристики во время исполнения, проверку свойств импортированного кода и управление защитой.

Средства изоляции

Предложенные для того чтобы обеспечить надежную изоляцию, сети VON позволяют добиться требуемого качества обслуживания в коммуникациях многие-ко-многим. Исследования, касающиеся проблематики качества обслуживания, в первую очередь направлены на то, чтобы компенсировать неустойчивую производительность современной Сети, что необходимо для поддержки IP-телефонии и других ресурсоемких мультимедиа-приложений.

Известно много подходов к обеспечению качества обслуживания. Среди самых заметных – RSVP, RED, RIO и целое семейство решений, известных под названием Diffserv. Все эти подходы во главу угла ставят гарантии, необходимые для телефонии и ориентированные на связь, осуществляемую по одноранговым соединениям. Разработка решений, рассчитанных на коммуникации многие-ко-многим, движется довольно медленно.

Решения, касающиеся поддержки качества обслуживания, можно разделить на две категории. Первая из них, примером которой является RSVP, резервирует ресурсы вдоль маршрута от источника к передатчику на короткие периоды времени. Вторая категория предусматривает создание пакетов в тот момент, когда они попадают в сеть. Этот подход требует, чтобы резервирование ресурсов осуществлялось службой, которая контролирует общие обязательства и сетевую маршрутизацию, принимая новые запросы, если маршрутизаторы могут их выполнить. Входящие пакеты помечаются как "профильные" ("in profile") и "непрофильные" ("out of profile"), и маршрутизаторы преимущественно "отбраковывают" последние, когда возникает переполнение. Дэвид Кларк и Джон Врославски показали, что эта методика обеспечивает превосходные статистические гарантии, в то же время позволяет избежать полноценного решения дорогостоящей задачи классификации трафика в сети. А именно, при использовании RSVP или аналогичных схем, если существует n конечных точек в сети, типичный маршрутизатор в общем случае должен управлять O(n2) соединениями. Анализ, необходимый для классификации каждого пакета, проходящего через маршрутизатор (чтобы определить его резервирование), становится очень дорогим, возможно даже чересчур, и использование ресурсов может оказаться неэффективным. Протоколы Diffserv, предлагающие только статистические гарантии, обходится без такого дорогостоящего анализа. Маршрутизатор просматривает всего один бит заголовка.

Ни один из этих механизмов не подходит для реализации сетей с перекрытиями из-за серьезных проблем, возникающих при эмуляции многопользовательской сети. Представьте себе медицинскую систему мониторинга, работающую по 10-мегабитной сети, обратиться к которой можно из 100 конечных точек. Мы хотим перенести это приложение в сеть с перекрытиями, реализованную с использованием механизма качества обслуживания в качестве базового строительного блока.

Вполне вероятно, что резкое увеличение нагрузки, связанной с конкретной парой конечных точек (источник, пересылающий информацию некоторому адресату) может достичь предела производительности сети с перекрытиями. Таким образом, в нашем примере, надстраиваемая сеть должна гарантировать совокупную полосу пропускания 10 Мбит/с, но при этом иметь возможность предоставить пиковую полосу пропускания любой паре пользователей, которые оказались в состоянии генерировать полную нагрузку, когда все остальные конечные точки сети простаивают. Протокол резервирования ресурсов в зависимости от соединения может, таким образом, быть вынужден резервировать O(1002 * 10) Мбит/с или 100 Гбит/с емкости центрального маршрутизатора. Действительно, такая реализация резервирования ресурсов впрямую может оказаться неудовлетворительной.

Существуют различные пути совершенствования этого решения. Например, мы могли бы динамически резервировать ресурсы для пар конечных точек так, чтобы в любой момент времени размер совокупной зарезервированной полосы пропускания не превышал 10 Мбит/с, но с изменением плана резервирования по мере необходимости. Помимо того, что изменение резервирования полосы пропускания потребует времени, оно также потребует распределенной координации с гарантиями отказоустойчивости. В силу вышесказанного мы отказались от такого подхода как чрезвычайно сложного.

Точно также мы можем представить себе периодическую многоадресную рассылку профайла с описанием деятельности в сети всем конечным точкам так, что все они получают полное представление о работе сети в целом. Недостаток этого решения — увеличение накладных расходов, поскольку число рассылаемых сообщений будет расти квадратично. По мере наращивания размеров сети с перекрытиями число таких сообщений будет расти, по крайней мере, линейно с увеличением числа конечных точек, причем каждое из сообщений представляет собой рассылку по n-1 адресу. Такая фоновая нагрузка кажется абсолютно неприемлемой. Более того, чем выше требуемое качество данных, тем больше будут накладные расходы.

Вместо того чтобы продолжать исследования в этом направлении я пришел к более серьезному выводу: любое решение VON, использующее модель резервирования точка-точка или механизм поддержки качества обслуживания, будет действительно дорогим или плохо масштабируемым. Если моя гипотеза верна, NGI вряд ли будет представлять собой дружественную среду для приложений, которым требуется механизм сетей с перекрытиями.

Альтернативы, поддерживающие VON

Ограничения, которые я описал, предполагают, что NGI будет быстрее и более защищенным, но не надежным. Такого результата можно было бы избежать за счет создания альтернативных архитектур виртуальных сетей, который, как представляется, вполне по силам современным технологиям.

Окончание статьи, в котором рассматриваются конкретные способы построения VON, будет опубликовано в следующем выпуске рассылки...

Кеннет Бирман – профессор факультета информатики Корнеллского университета. К области его научных интересов относятся отказоустойчивость, надежность и безопасность распределенных компьютерных систем. С ним можно связаться по электронной почте по адресу: ken@cs.cornell.edu. (опубликовано в журнале "Открытые Системы", #09/2000)

"Лаборатория Касперского", российский лидер в области разработки систем информационной безопасности, предупреждает пользователей об обнаружении первого Интернет-червя "Stator", использующего для своего распространения популярную почтовую программу "The Bat!". Лаборатория Касперского уже получила несколько сообщений о фактах обнаружения вируса в "диком" виде.

Пока этот вирус обнаружен в письмах от некой девушки Светы Ковалевой. К письму приложено "фото" - файл с двойным расширением photo1.jpg.pif. Что любопытно, при попытке посмотреть эту фотку действительно открывается фотография (вирус создает на диске JPEG-файл с фотографией девушки), а замаскировавшийся таким образом вирус-червь для начала рассылает самого себе адресатам из адресной книги The Bat!, потом внедряется в систему, ворует и отсылает хозяину логины и пароли подключения к локальной сети и Интернету. Кроме этого, Stator внедряется в exe-файлы, меняя их расширения на .vxd, а также копирует себя в системный каталог и регистрируется в ключе автозапуска реестра Windows, а это означает, что вирус будет активизироваться при каждом запуске Windows.

Благодаря расширенным функциональным возможностям, гибкости настройки и доступной цене за последние годы "The Bat!" приобрел большую популярность среди опытных пользователей Интернет, прежде всего, в Центральной и Восточной Европе. До недавнего времени, важным преимуществом этой почтовой программы также было отсутствие вредоносных кодов, использовавших в своих целях ее возможности. "В сущности, Stator является продолжением наступления компьютерного андерграунда на компьютерных пользователей. Он еще раз подтверждает известную закономерность: чем популярнее приложение, тем больше внимания обращают на него создатели вирусов", - комментирует Денис Зенкин, руководитель информационной службы компании.

Процедуры защиты от Интернет-червя "Stator" уже добавлены в ежедневное обновление антивирусной базы Антивируса Касперского™. "Лаборатория Касперского рекомендует всем пользователям, в особенности тем, кто использует "The Bat!" загрузить соответствующее обновление.
(источник - http://www.kaspersky.ru, опубликовано 20.04.2001)

По сообщению агентства Wired News, хакеры США и Китая объявили друг другу войну, несмотря на то, что США и Китай решили дело о сбитом китайском летчике путем мирных переговоров.

Сразу же после инцидента, значительно ухудшившего отношения между США и Китаем, китайские хакеры из так называемого "Союза Хакеров Китая" или, как они еще себя называют, "Альянса Красного Гостя" атаковали несколько американских сайтов. К 13 апреля атаке подверглось 9 правительственных сайтов.

Китайские хакеры взламывают сайты и оставляют на них послания протеста исключительно из патриотизма, денег им за это никто не платит. Сейчас китайские хакеры призывают всех своих коллег совершать планомерные атаки, взламывая все американские сайты, которые попадутся под руку.

Атака начнется 1 мая 2001 года и продлится неделю.

Американские специалисты по компьютерной безопасности предупреждают всех системных администраторов, чтобы они предприняли необходимые меры повышения безопасности компьютерных систем и сайтов. Они также заявляют, что на этот раз китайские хакеры не ограничатся только правительственными сайтами и системами, так что ни один системный администратор на территории США не может считать, что его эта атака не коснется.

Хакер и консультант по компьютерной безопасности из Будапешта по имени Талтос (Taltos) предупредил всех заинтересованных лиц, что китайские хакеры будут использовать весь свой потенциал и могут заметить даже мельчайшие недочеты в защите компьютеров. По мнению Талтоса, хакеры не будут разбираться, кому принадлежит сайт, правому или виноватому. Они будут гнаться, что называется, за количеством, не производя никакого предварительного отбора.

22-летний хакер Жи Ен Цу (Jia En Zhu) из Пекина считает, что США настраивают ближайших соседей Китая против его страны. "США стремится окружить Китай врагами, но мы можем протестовать против этого в Интернете и блокировать американские сайты," - заявил он. Акция протеста носит название "Laodong Jie Wuy Strike" ("Забастовка в День труда") в честь международного дня рабочих. Основным днем забастовки станет 4 мая - национальный китайский праздник "День молодости".

Однако американские хакеры не намерены позволить китайцам безнаказанно вламываться в их киберпространство. Группа хакеров под названием PoizonBOx взломала уже около сотни китайских сайтов. Контратака американцев началась 4 апреля. Операция проходит под кодовым названием ChinaKiller.

В отличие от своих китайских коллег, хакеры из США взламывают сайты выборочно и аккуратно, воздерживаясь от того, чтобы оставлять на сайтах противника политические лозунги или выражения неприязни к китайцам. На сайтах они оставляют сообщения "Сайт поимели PoizonBOx", а также координаты сайта хакерских новостей Security News Portal. Веб-мастер этого новостного сайта находится в полном неведении, почему группа хакеров решила прорекламировать его сайт таким образом.

Другие американские хакеры также постепенно присоединяются к войне. Хакер по имени Pr0phet, специализирующийся на дефейсе и уже взломавший два китайских сайта, призвал всех американских хакеров отмстить неразумным китайцам и "к чертовой матери порушить все их сервера". Хакер не думает, что эта "войнушка" будет иметь какие-либо политические последствия. Его цель - "поиметь этот Китай любым способом".

А ведь совсем недавно все считали, что виртуальные войны - всего лишь выдумки фантастов.
(источник - http://www.submarine.ru, опубликовано 20.04.2001)

[Apr 04-17] Security Info digest #29(по материалам Аналитического центра компьютерной безопасности (АЦ) www.sert.ru)

По данным http://www.attrition.org/mirror/attrition/ за период с 4 по 17 апреля было взломано 424 Веб сайтов, в том числе в домене .ru -
Lefco Bank (office.lefcobank.ru)

В Network Time Protocol Daemon (ntpd) версий 4.0.99k, 4.0.99b обнаружена дыра, которая позволяет злоумышленнику удаленно получить
полномочия пользователя, под которыми запущен сам демон - обычно root.
Ntpd сервер используется для синхронизации времени в сети Интернет. Он поддерживает NTP протокол версии 4, но так же совместим с NTP версии 3 (RFC 1305) и версиями 1 (RFC 1059), 2 (RFC 1119).
Уязвимости подвержены все OS, использующие ntpd (до ntp-4.0.99k_2): FreeBSD 3.x (все релизы), FreeBSD 4.x (все релизы), FreeBSD 3.5-STABLE и 4.2-STABLE до 2001-04-06, RedHat 7.0 и другие.
Временно закрыть эту дырку можно, добавив несколько строк в файл /etc/ntpd.conf - это подробно описано на http://www.eecis.udel.edu/~ntp/ntp_spool/html/accopt.htm
Следует отметить, что 6 апреля вышла новая версия ntpd демона (4.0.99k23), доступная с ftp://ftp.udel.edu/pub/ntp/ntp4/ntp-4.0.99k23.tar.gz
Подробнее:
http://www.securityfocus.com/

В текущей версии IP-Filter (3.4.16)( распространенный пакетный фильтр, написанный Darren Reed) и весьма вероятно в остальных версиях,
содержится баг, который позволяет при разрешенном доступе к одному UDP или TCP порту, получить доступ к любым другим TCP и UDP портам хоста, защищенного IP-Filter'ом.
Хотя баг присутствует в коде, с помощью которого обрабатываются фрагменты, уязвимости подвержены системы даже в случае, когда прохождение фрагментов запрещено конфигом.
Подробнее:
http://www.securityfocus.com/

В Xsun под OS Solaris версий 7/8 (на платформах x86 и sparc) обнаружена дыра, позволяющая зарегистрированным пользователям получить полномочия пользователя root.
Исправить соответствующий баг можно, убрав SUID флаг с файла /usr/openwin/bin/Xsun. (/bin/chmod a-s /usr/openwin/bin/Xsun).
Почитать подробнее, а так же посмотреть на эксплоит можно тут:
http://www.securityfocus.com/

"Аладдин" и "Инфотекс" представляют новое решение на выставке COMTEK'2001.

В Москве открылась крупнейшая российская компьютерная выставка Comtek'2001.
В первый день ее работы было объявлено о возникновении нового альянса: свои усилия объединили компании Aladdin Software Security R.D., лидер на российском рынке систем защиты цифрового контента, и "Инфотекс", одна из старейших High Tech компаний России, занимающая лидирующую позицию на отечественном рынке VPN (Virtual Private Network) решений и средств защиты информации в TCP/IP сетях.

Обе компании представляют новую совместную разработку и другие свои продукты на стенде S 332 во втором павильоне Экспоцентра на Красной Пресне.

Совместное решение представляет собой комплексную систему, призванную максимально облегчить предприятиям малого и среднего бизнеса задачу по обеспечению безопасности при работе с информацией в электронном виде.

Программный продукт ViPNet OFFICE компании "Инфотекс" - это высокоэффективное средство создания и управления VPN, позволяющее создать единую защищенную сеть на основе любых открытых каналов связи, обеспечивающее защищенную работу мобильных и удаленных пользователей в корпоративной сети посредством Интернет из любой точки мира. С другой стороны - это интегрированные с ним средства защиты сети в целом, ее сегментов и каждого клиента сети в отдельности (защита TCP/IP трафика, создаваемого любыми приложениями и программами; защита рабочих станций, серверов WWW, баз данных и приложений; защищенные автопроцессинг и транзакции для финансовых и банковских приложений, платежных систем). На основе ПО ViPNet в компании может быть реализован конфиденциальный документооборот с использованием процедур шифрования и Электронно-Цифровой подписи.

Со своей стороны, "Аладдин" предоставляет свой продукт Secret Disk, предназначенный для защиты конфиденциальной информации, хранящейся на персональных компьютерах.
Он обеспечивает надежное шифрование данных и двойную идентификацию пользователей, имеющих доступ к конфиденциальным документам - программную и аппаратную, и решает проблему хранения как открытой, так и секретной информации на одном и том же компьютере или другом носителе информации. В случае необходимости документы можно сделать недоступными даже при изъятии жесткого диска.

Аппаратная идентификация обеспечивается с помощью брелока eToken R2.
Этот брелок - одно из лучших известных средств аутентификации пользователей, подключаемых к порту USB. Он разработан специально для систем, требующих надежной аутентификации и безопасного хранения секретной информации (паролей, ключей шифрования, цифровых сертификатов). eToken R2 поддерживает множество известных приложений; он может шифровать данные с помощью встроенного криптографического алгоритма DESX.

Таким образом, теперь два разных коробочных продукта теперь поставляются в одной коробке. Сокращение расходов позволило значительно снизить цены, и компании, заинтересовавшиеся новым решением и желающие его приобрести, смогут сэкономить более $ 1000.

"Представленный на выставке продукт - первый результат нашего сотрудничества, - отметил Андрей Куприянов, руководитель отдела корпоративных проектов компании Aladdin Software Security R.D. - Как "Инфотекс", так и "Аладдин" предоставляют гибкие решения, и мы намерены развивать наше сотрудничество, добиваясь совместимости наших продуктов".

Полнофункциональные демо-версии продуктов ViPNet Desk, TermiNet, ViPNet Office, ViPNet Tunnel находятся по адресу 
http://www.infotecs.ru/demo.htm

Если у вас есть какие-нибудь пожелания или вопросы по поводу дальнейших выпусков рассылки, мы с удовольствием рассмотрим их.