В настоящее время наблюдается два подхода к созданию систем защиты информации. Первый подход предполагает реализацию мероприятий, направленных на предотвращение несанкционированных воздействий нарушителя на информационную сферу компьютерной сети. При этом подходе в структуру системы включаются межсетевые экраны, средства контроля доступа и анализа защищенности [1, 2].
Второй подход основывается на обнаружение факта несанкционированного проникновения нарушителя, а также на локализации места и установления источника воздействия. Основу структуры системы при этом составляют средства обнаружения несанкционированных воздействий, способных фиксировать попытки нарушения информационной безопасности на начальном этапе их развития в режиме реального времени.
На рассмотренных подходах отсутствуют средства, которые могли бы одновременно сочетать в себя все информационные характеристики систем защиты [3, 4].
Для создания интегрированных систем защиты со всеми функциональными характеристиками выше рассмотренных подходов, целесообразно включить в структуру системы следующие компоненты: межсетевой экран, средство обнаружение несанкционированных воздействий, средства анализа защищенности, специализированные программно-аппаратные средства защиты (СПАС) и устройство управления (Рис. 1).
Межсетевые экраны (брандмауэры) устанавливаются в точке соприкосновения локальных или корпоративных сетей передачи данных с сетями передачи данных общего пользования. Они ограничивают поток информации, поступающих с сети передачи данных общего пользования во внутреннюю сеть передачи данных. Такое ограничение имеет место в результате функционирования механизмов фильтрации сетевого трафика и аутентификации субъектов сети передачи данных, претендующих на доступ к информационной сфере. Процесс фильтрации трафика заключается в просмотре и анализе каждого пакета, проходящего через межсетевой экран, и передаче его во внутреннюю сеть только в том случае, если его содержимое соответствует критериям фильтрования, заданным администратором. В зависимости от выбранных фильтров брандмауэры могут работать на различных уровнях модели взаимодействия открытых систем OSI. Аутентификация осуществляется непосредственно перед получением доступа к информационному ресурсу. В качестве аутентификационных данных обычно выступают пароли и шифровочные ключи.
Рис. 1. Базовая структура интегрированной системы защиты информации
Средства обнаружения несанкционированных воздействий позволяют проводить мониторинг и анализ работы сети передачи данных, а также фиксировать попытки нарушения информационной безопасности сети. Определив факт атаки, система обнаружения пытается локализовать источник нападения и сообщает администратору о необходимости принятия соответствующих мер. Обнаружение несанкционированных воздействий реализуется в двух режимах:
– обнаружение атак в начальной фазе их развития;
– обнаружение последствий воздействий нарушителя на информационную сферу сети.
Различают два типа средств обнаружения: средства обнаружения на базе хоста и на базе сети передачи данных. В средствах первого типа источником информации для анализа текущего состояния является журналы аудита. В средствах второго типа обнаружение выполняется на основе анализа сетевого трафика. Высокий эффект достигается при комбинировании обоих типов средств обнаружения.
Средства анализа защищенности предназначены для определения степени защищенности информационной сферы сети. Они проводят осмотр сети на наличие мест уязвимости, и затем на базе полученной информации предлагают возможные варианты решения по их устранению. Выполнение этих задач может осуществляться с использованием двух механизмов: пассивных и активных. Пассивный анализ подразумевает сбор информации о применяемых в сети протоколах и программном обеспечении. На основе полученных данных можно сделать вывод о возможных точках уязвимости, присутствующих в сети. При активном анализе моделируются возможные атаки злоумышленника, и уже на базе результатов смоделированных атак оценивается уровень защищенности сети. Рекомендуется обязательно включить в состав интегрированной системы защиты как активных, так и пассивных средств анализа.
Специализированные программно-аппаратные средства (СПАС) защиты данных сети. Применение СПАС позволяют агрегировать данные, обрабатывать тривиальные ситуации и уведомлять администратора об исключительных событиях, требующих к себе незамедлительного внимания.
Устройства управления отвечает за контроль и управление процессами функционирования межсетевых экранов, средств анализа защищенности и обнаружения несанкционированных воздействий.
Эксплуатация интегрированной системы защиты информации должна выполняться только под контролем администратора. Перед установкой сети на конкретный хост должен быть оценен уровень защищенности последнего с помощью средств безопасности. Только убедившись в том, что хост не имеет точек уязвимости, администратор может выполнить процедуру установки. После завершения процесса установки сети с интегрированной системой защиты информации администратору необходимо выполнить: сканирование информационной сферы на наличие точек уязвимости и предпринять ряд мер по устранению обнаруженных недостатков; настроить межсетевой экран, определить правила фильтрования, а также определить параметры аутентификации пользователей.
Интегрированная система способна выполнять следующие функции:
- оценка уровня защищенности сети;
- проведение мониторинга работы сети;
- управление трафиком;
- обнаружение внутренних и внешних атак;
- режим восстановления нарушенной работоспособности сети.
Рассмотрим конкретный пример совместного использования различных компонентов интегрированной системы.
Допустим, что средства обнаружения несанкционированных воздействий зафиксировали факт проведения в сети распределенной атаки «отказ в обслуживании». Цель этой атаки заключается в посылке атакуемому хосту большого числа ICMP-эхо запросов от имени несуществующих хостов. Получив эхо запросы, атакуемый компьютер обрабатывает их и отсылает ICMP-эхо ответ. Поскольку источником эхо запросов являются несуществующие хосты, в результате атаки снижаются производительность объекта нападения, и пропускная способность каналов связи сети. После определения факта атаки средства обнаружения должна сигнализировать администратору о возникновении внештатной ситуации и передавать всю информацию о ней устройству управления системы. После получения необходимой информации устройства управления системы изменяет конфигурацию межсетевого экрана. Другими словами, устанавливаются новые правила фильтрования пакетов, содержащих IP-адреса, с которых совершается попытка нападения.
После завершения процесса реконфигурации межсетевого экрана поток пакетов злоумышленника должен уменьшиться и соответственно должна уменьшиться вероятность реализации угрозы нарушения с информационной безопасности сети. Если источник воздействия нарушителя был определен средствами обнаружения с высокой точностью, устройство управления может блокировать узел злоумышленника путем проведения адекватной атаки с помощью средств анализа защищенности.
При обнаружении межсетевым экраном факта превышения с заданного числа попыток аутентификации пользователем, желающим получить доступ к информационной сфере сети, он передает выявленную информацию устройству управления системы. Устройство управления, используя механизм обнаружения, извещает администратора о попытке нарушения информационной безопасности сети. Далее он добавляет в межсетевой экран новые правила фильтрования, способные проигнорировать новые пакеты с того адреса, откуда фиксировалось превышение числа попыток аутентификации. После этого устройство управления может изменить значение данных аутентификации, которые были подвергнуты нападению.
Таким образом, для эффективного функционирования интегрированной системы защиты информации необходимо выполнение следующих определенных требований:
– наличие журнала аудита, где должна быть регистрирована информация о пакетах данных, передаваемых в сети и проходящих через систему защиты, включающего в себе содержимое пакетов, длину пакетов и число переданных пакетов;
– идентификация, аутентификация администратора безопасности. Система должна идентифицировать и аутентифицировать администратора безопасности перед разрешением выполнения любых действий, допускаемых от его имени. Если администратор получает доступ к функциям системы через консоль управления, то в качестве идентификационных данных должно выступать регистрационное имя, а в качестве аутентификационных — пароль;
– установка сроков действия атрибутов безопасности. Интегрированная система должна иметь возможность устанавливать срок действия атрибутов безопасности администратора (пароли, криптографические ключи). По истечении этого срока значения атрибутов должны быть изменены, что снижает вероятность их взлома;
– обеспечение безопасности информационной сферы. Интегрированная система должна быть способна обеспечить следующие три основные характеристики безопасности информационной сферы: конфиденциальность; целостность; доступность. Для обеспечения перечисленных характеристик интегрированная система оснащается несколькими сетевыми адаптерами, один из которых подключается к хорошо защищенному каналу передачи данных для обмена информацией с администратором, а другой — непосредственно к сети. Это позволяет перехватывать и анализировать все пакеты, проходящие через хост, на котором установлена интегрированная система. При этом конфигурация второго адаптера интегрированной системы построена таким образом, что он не может обмениваться пакетами с другими компьютерами, находящимися в этом же сегменте сети. Другим способом защиты информационной сферы является использование средств обнаружения для определения факта проведения несанкционированного воздействия на информационную сферу;
– самотестирование. Интегрированная система должна иметь возможность периодически выполнять набор программ самотестирования для подтверждения правильности ее функционирования. Периодичность выполнения процедур тестирования интегрированной системы должна регулироваться администратором;
– восстановление работоспособности. В случае нарушения работоспособности интегрированная система должна предоставить администратору возможность использования автоматизированных процедур восстановления нарушенного процесса функционирования системы.
Таким образом, использование интегрированной системы защиты дает следующие преимущества.
Централизация и унификация формата журнала аудита. Средства обнаружения, межсетевые экраны и средства анализа защищенности функционируют в рамках одного программного комплекса интегрированной системы, что позволяет использовать единую службу ведения журнала аудита безопасности.
Простота администрирования. Размещение средств обнаружения, межсетевые экраны и средств анализа защищенности в единой интегрированной системе позволяет использовать общий интерфейс управления для каждого компонента системы.
Высокая эффективность работы. Высокий уровень эффективности работы интегрированной системы достигается за счет устранения одного компонента системы и восполнения их преимуществами другого. Так, основной недостаток средств обнаружения несанкционированных воздействий, заключающийся в невозможности анализа содержимого пакетов данных, передаваемых с высокой скоростью, может быть устранен с помощью межсетевого экрана. Расширение же правил фильтрования пакетов межсетевого экрана позволяет уменьшить интенсивность входящего трафика и повысить тем самым эффективность работы средств обнаружения несанкционированного проникновения в сеть. Основной недостаток межсетевого экрана — невозможность защиты от сложных атак обычными методами фильтрации — преодолевается включением в интегрированную систему средств обнаружения несанкционированных воздействий, обладающий сложными алгоритмами обнаружения и локализации воздействий нарушителя как извне, так и внутри сети.
Литература:
- Широчин В. П., Мухин В. Е., Кулик А. В. Вопросы проектирования средств защиты информации в компьютерных системах и сетях. Киев; «ВЕК+». 2000. — 111 с.
- Ганиев С. К., Каримов М. М. «Вопросы оптимального сегментирования топологии локальных компьютерных сетей».-Ташкент, Проблемы информатики и энергетики, 2001,№ 2.-С.20–25.
- Ганиев С. К., Каримов М. М. «Интегрированная система защиты информации в корпоративных сетях»./Тезисы докладов Международной НПК «Innovation 2001».-Ташкент, 2001.-С.97–98.
- Karimov M. M., Kadirov M. M., “Some features of the use of models discretionary access control for protection against malware”, ВестникТашГТУ, № 2, Ташкент 2015, стр. 14–21.